余文芳++敖云濤

摘 要：隨著網(wǎng)絡(luò)用戶(hù)規(guī)模的大幅度增加，網(wǎng)絡(luò)用戶(hù)使用計(jì)算機(jī)的水平參差不齊，導(dǎo)致網(wǎng)絡(luò)安全事故頻頻發(fā)生，提升網(wǎng)絡(luò)安全態(tài)勢(shì)感知已經(jīng)成為研究的重點(diǎn)。本文提出了一種基于RF-SVM的網(wǎng)絡(luò)安全態(tài)勢(shì)感知算法，該算法引入回歸思想，在網(wǎng)絡(luò)入侵感知過(guò)程，充分地參考?xì)v史網(wǎng)絡(luò)攻擊數(shù)據(jù)，預(yù)測(cè)未來(lái)網(wǎng)絡(luò)數(shù)據(jù)流中潛在的威脅，實(shí)驗(yàn)證明該算法能夠有效地提升網(wǎng)絡(luò)安全感知的準(zhǔn)確度，降低預(yù)測(cè)誤差。

關(guān)鍵詞：SVM；回歸預(yù)測(cè)；網(wǎng)絡(luò)安全態(tài)勢(shì)

1 引言

隨著網(wǎng)絡(luò)的普及和發(fā)展，網(wǎng)絡(luò)用戶(hù)呈現(xiàn)規(guī)?；仙?，不同的網(wǎng)絡(luò)用戶(hù)使用計(jì)算機(jī)的水平各不相同，參差不齊，導(dǎo)致網(wǎng)絡(luò)受到的潛在威脅更加嚴(yán)重，網(wǎng)絡(luò)安全態(tài)勢(shì)感知已經(jīng)成為亟需解決的問(wèn)題之一。目前，經(jīng)過(guò)許多計(jì)算機(jī)學(xué)者的研究，已經(jīng)誕生了許多較好的網(wǎng)絡(luò)安全態(tài)勢(shì)感知算法，比如日志審計(jì)與性能修正算法、基于DS證據(jù)理論、基于混雜模型、基于神經(jīng)網(wǎng)絡(luò)、多維數(shù)據(jù)流挖掘算法、Markov博弈模型等，已經(jīng)在網(wǎng)絡(luò)態(tài)勢(shì)感知過(guò)程中得到了較好的驗(yàn)證，并且取得了良好的效果。同時(shí)，也建立了許多的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，如層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估方法、信息融合評(píng)估模型、復(fù)雜網(wǎng)絡(luò)評(píng)估模型等，促使網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)更加客觀(guān)和準(zhǔn)確。

SVM算法進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估時(shí)，無(wú)法充分地參考?xì)v史數(shù)據(jù)，僅能依據(jù)當(dāng)前的數(shù)據(jù)判斷網(wǎng)絡(luò)安全態(tài)勢(shì)，準(zhǔn)確率較低。為了解決這個(gè)問(wèn)題，本文引入了回歸預(yù)測(cè)的思想，該思想可以記憶歷史數(shù)據(jù)，充分地考慮過(guò)去的網(wǎng)絡(luò)攻擊事件，結(jié)合3當(dāng)前的數(shù)據(jù)流，判斷網(wǎng)絡(luò)安全態(tài)勢(shì)，能夠大幅度提升網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的準(zhǔn)確度。實(shí)驗(yàn)結(jié)果證明該方法運(yùn)行效率較高，運(yùn)行結(jié)果與實(shí)際值相比，誤差較低，精確性較高。

2 RF-SVM算法設(shè)計(jì)

2.1 RF-SVM理論

支持向量機(jī)是一種數(shù)據(jù)挖掘技術(shù)，其可以從海量數(shù)據(jù)中發(fā)現(xiàn)隱藏的模式，挖掘數(shù)據(jù)隱藏的信息，將相關(guān)的信息提供給系統(tǒng)，便于系統(tǒng)識(shí)別系統(tǒng)數(shù)據(jù)的時(shí)間序列或者發(fā)展趨勢(shì)。支持向量機(jī)在線(xiàn)性可分的標(biāo)準(zhǔn)下，其可以在解空間中尋找最佳的分類(lèi)平面；在線(xiàn)性不可分的情況下，其可以通過(guò)引入部分變量，采取非線(xiàn)性映射的方法，有效的將處于低緯輸入空間的樣本映射到高緯空間中，這樣就可以將解空間變?yōu)榫€(xiàn)性可分的情況，在高維解空間中尋找最優(yōu)解。同時(shí)，支撐向量機(jī)使用結(jié)構(gòu)風(fēng)險(xiǎn)最小化的基本原理，可以在向量的解空間中尋找最優(yōu)解，滿(mǎn)足求解的需要。

為了能夠更加有效地預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)，本文引入了回歸預(yù)測(cè)的思想，提出了RF-SVM算法，其基本原理如下：

假設(shè)給定樣本集（x，y）服從概率分布P（x，y），設(shè)定回歸函數(shù)如公式（1）：

同時(shí)引入結(jié)構(gòu)風(fēng)險(xiǎn)函數(shù)（2）：

公式（2）中， 表示描述函數(shù)，C為常數(shù)，f（）表示復(fù)雜度的項(xiàng)，公式（2）可以平衡經(jīng)驗(yàn)風(fēng)險(xiǎn)和模型復(fù)雜度，以便能夠取得一個(gè)折中的平衡。

在上述公式中可以引入不敏感損失函數(shù)ε的項(xiàng)，其可以具體定義為公式（3）：

公式（3）表示不懲罰偏差小于ε的項(xiàng)，能夠大幅度增加回歸函數(shù)的魯棒性。

公式（4）體現(xiàn)了引入回歸預(yù)測(cè)思想的支持向量機(jī)的核心思想，其既可以控制訓(xùn)練誤差，又可以控制模型復(fù)雜度，以便能夠獲取一個(gè)小的期望風(fēng)險(xiǎn)，提高模型的泛化能力。其最小代價(jià)泛化函數(shù)為公式（5）：

公式（5）中， 表示引入的松散變量，以便能夠利用拉格朗日函數(shù)和對(duì)偶原理，以便得到函數(shù)（6）：

公式（6）中， 表示拉格朗日算子，求解可以得到：

不為零的樣本即為支持向量，因此，最優(yōu)分類(lèi)面的權(quán)系數(shù)向量是支持向量的線(xiàn)性組合。b可由約束條件 求解，由此求得的最優(yōu)分類(lèi)函數(shù)是：

其中sgn（）為符號(hào)函數(shù)。

2.2 算法設(shè)計(jì)及參數(shù)設(shè)置

RF-SVM設(shè)計(jì)過(guò)程中，關(guān)鍵問(wèn)題包括兩個(gè)，首選需要選擇一個(gè)合適的核函數(shù)和參數(shù)，其次是訓(xùn)練得到算法的模型。

RF-SVM回歸模型的控制方法包括三種，分別是容量控制因子C、損失函數(shù)和核函數(shù)，這些方法均可以實(shí)現(xiàn)RF-SVM回歸模型得到有效的控制和實(shí)現(xiàn)回歸。為了能夠更加有效的驗(yàn)證本文算法的有效性，RF-SVM算法采用Vapnik的ε不敏感損失函數(shù)實(shí)施控制，并且同時(shí)采用高斯徑向基函數(shù)作為核函數(shù)，設(shè)置ε=0.008，不限定控制因子C的取值，在模型訓(xùn)練的過(guò)程中，可以設(shè)置高斯徑向基函數(shù)σ=0.2完成算法訓(xùn)練。

為了能夠更好地預(yù)測(cè)網(wǎng)絡(luò)攻擊態(tài)勢(shì)的指標(biāo)，RF-SVM算法實(shí)現(xiàn)包括兩個(gè)模塊，攻擊態(tài)勢(shì)預(yù)測(cè)訓(xùn)練模塊和預(yù)測(cè)模塊。每一個(gè)模塊的功能如下所所述。

2.2.1 RF-SVM訓(xùn)練模塊

算法執(zhí)行過(guò)程中，RF-SVM訓(xùn)練模塊由總控模塊、數(shù)據(jù)庫(kù)讀取模塊、態(tài)勢(shì)評(píng)估模塊和訓(xùn)練模塊四部分集成，完成攻擊態(tài)勢(shì)預(yù)測(cè)訓(xùn)練學(xué)習(xí)功能，具體執(zhí)行步驟包括以下幾個(gè)方面：

⑴設(shè)置輸入訓(xùn)練數(shù)據(jù)時(shí)間序列化條件，確定時(shí)間序列，統(tǒng)計(jì)時(shí)間序列的取值范圍；

⑵調(diào)用數(shù)據(jù)庫(kù)讀取控制函數(shù)和網(wǎng)絡(luò)攻擊態(tài)勢(shì)評(píng)估函數(shù)，完成統(tǒng)計(jì)時(shí)間序列的工作，并且評(píng)估各項(xiàng)數(shù)據(jù)的攻擊態(tài)勢(shì)，并且將按照時(shí)間序列分類(lèi)，將每一類(lèi)的評(píng)估值存入變量LIST中；

⑶將LIST數(shù)據(jù)傳入到預(yù)測(cè)模型訓(xùn)練模塊，生成一個(gè)預(yù)測(cè)模型。該訓(xùn)練模型根據(jù)24小時(shí)的歷史數(shù)據(jù)預(yù)測(cè)未來(lái)1h的攻擊態(tài)勢(shì)，以此前30天的數(shù)據(jù)為基礎(chǔ)，設(shè)計(jì)一個(gè)30組的時(shí)間序列，每個(gè)時(shí)間序列包括24項(xiàng)，每一項(xiàng)的取值為1h的網(wǎng)絡(luò)攻擊態(tài)勢(shì)評(píng)估指標(biāo)。

2.2.2 RF-SVM預(yù)測(cè)模塊

RF-SVM預(yù)測(cè)模塊的功能是根據(jù)近期一段時(shí)間內(nèi)網(wǎng)絡(luò)攻擊歷史數(shù)據(jù)，使用RF-SVM算法預(yù)測(cè)網(wǎng)絡(luò)攻擊態(tài)勢(shì)，RF-SVM預(yù)測(cè)模塊以訓(xùn)練模塊為基礎(chǔ)。預(yù)測(cè)模塊包括以下執(zhí)行步驟：

⑴根據(jù)輸入條件確定訓(xùn)練數(shù)據(jù)的時(shí)間序列，設(shè)定時(shí)間序列的統(tǒng)計(jì)時(shí)間范圍；

⑵完成統(tǒng)計(jì)時(shí)間序列的工作；

⑶調(diào)用攻擊態(tài)勢(shì)預(yù)測(cè)模塊，根據(jù)（2）統(tǒng)計(jì)的時(shí)間序列和訓(xùn)練模塊生成的模型，預(yù)測(cè)網(wǎng)絡(luò)攻擊態(tài)勢(shì)；

3 實(shí)驗(yàn)環(huán)境及結(jié)果分析

3.1 實(shí)驗(yàn)環(huán)境及數(shù)據(jù)

為了能夠評(píng)估RF-SVM算法的有效性，構(gòu)建了一個(gè)功能強(qiáng)大的入侵檢測(cè)系統(tǒng)，該系統(tǒng)擁有兩臺(tái)FTP服務(wù)器和一臺(tái)Web服務(wù)器，20臺(tái)計(jì)算機(jī)終端和6臺(tái)模擬攻擊計(jì)算機(jī)，2014年1月1日——2014年3月10日，選擇收集7萬(wàn)條日志報(bào)警信息、10萬(wàn)條網(wǎng)絡(luò)報(bào)警信息、8萬(wàn)條設(shè)備報(bào)警信息、5萬(wàn)條代理報(bào)警信息等共計(jì)30萬(wàn)條入侵攻擊報(bào)警信息，按照網(wǎng)絡(luò)態(tài)勢(shì)的分級(jí)標(biāo)準(zhǔn)，將其分類(lèi)，分別是4萬(wàn)條一級(jí)報(bào)警信息、8萬(wàn)條二級(jí)報(bào)警信息、8萬(wàn)條三級(jí)報(bào)警信息、10萬(wàn)條四級(jí)報(bào)警信息。

由于不同的時(shí)間段內(nèi)，網(wǎng)絡(luò)的攻擊數(shù)據(jù)集非常大，為了避免訓(xùn)練數(shù)據(jù)集時(shí)算法產(chǎn)生較大的誤差，針對(duì)計(jì)算得到的網(wǎng)絡(luò)攻擊態(tài)勢(shì)值實(shí)施歸一化處理。

歸一化處理公式如（5）所示：

公式（9）中的x表示當(dāng)前網(wǎng)絡(luò)態(tài)勢(shì)值， 表示歸一化后的網(wǎng)絡(luò)態(tài)勢(shì)值，xmax和xmin表示網(wǎng)絡(luò)最大態(tài)勢(shì)值和網(wǎng)絡(luò)最小態(tài)勢(shì)值。

將2014年1月1日——2014年2月28日的數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)集，完成RF-SVM算法的學(xué)習(xí)和訓(xùn)練；將2014年3月1日——2014年3月10日的入侵攻擊數(shù)據(jù)作為驗(yàn)證數(shù)據(jù)，以便驗(yàn)證算法的準(zhǔn)確性和可靠性，具體數(shù)據(jù)如表1所示。

3.2 實(shí)驗(yàn)結(jié)果分析

使用RF-SVM算法對(duì)2014年3月1日——2014年3月10日的入侵攻擊數(shù)據(jù)進(jìn)行預(yù)測(cè)，預(yù)測(cè)結(jié)果如表1所示。另外，為了更好地驗(yàn)證RF-SVM算法的有效性，本文同時(shí)與SVM算法預(yù)測(cè)的結(jié)果進(jìn)行比較，RF-SVM算法能夠很好地提高網(wǎng)絡(luò)攻擊態(tài)勢(shì)的預(yù)測(cè)準(zhǔn)確度，降低預(yù)測(cè)誤差，如圖1所示。

4 總結(jié)與展望

本文分析了SVM算法實(shí)施網(wǎng)絡(luò)態(tài)勢(shì)感知過(guò)程中存在的不足，即其僅能獨(dú)立地分析當(dāng)前網(wǎng)絡(luò)中的數(shù)據(jù)流，無(wú)法記憶歷史數(shù)據(jù)流，導(dǎo)致網(wǎng)絡(luò)安全態(tài)勢(shì)感知準(zhǔn)確度較低。因此，經(jīng)過(guò)努力，本文引入了回歸預(yù)測(cè)的思想，提出了RF-SVM算法，該算法能夠充分考慮網(wǎng)絡(luò)歷史攻擊事件及當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)，預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)，實(shí)驗(yàn)證明該算法能夠降低網(wǎng)絡(luò)安全態(tài)勢(shì)感知誤差，提升準(zhǔn)確度。RF-SVM算法未來(lái)工作的重點(diǎn)包括改進(jìn)核函數(shù)，優(yōu)化設(shè)置參數(shù)，以便實(shí)現(xiàn)自動(dòng)預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)。

[參考文獻(xiàn)]

[1]龔正虎，卓瑩.網(wǎng)絡(luò)態(tài)勢(shì)感知研究[J].軟件學(xué)報(bào).2010，21（07）：1605-1619.

[2]韋勇，連一峰.基于日志審計(jì)與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)學(xué)報(bào).2009，32（4）：763-772.

[3]石波，謝小權(quán).基于DS證據(jù)理論的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法研究[J].計(jì)算機(jī)工程與設(shè)計(jì).2013，34（3）：821-825.

[4]李聞，戴英俠，連一峰，馮萍慧.基于混雜模型的上下文相關(guān)主機(jī)入侵檢測(cè)系統(tǒng)[J].軟件學(xué)報(bào).2009（01）.

[5]仲兆滿(mǎn)，李存華，管燕.基于神經(jīng)網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)的研究和實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用.2007（30）.

[6]毛國(guó)君，宗東軍.基于多維數(shù)據(jù)流挖掘技術(shù)的入侵檢測(cè)模型與算法[J]. 計(jì)算機(jī)研究與發(fā)展.2009（04）.

⑶調(diào)用攻擊態(tài)勢(shì)預(yù)測(cè)模塊，根據(jù)（2）統(tǒng)計(jì)的時(shí)間序列和訓(xùn)練模塊生成的模型，預(yù)測(cè)網(wǎng)絡(luò)攻擊態(tài)勢(shì)；

3 實(shí)驗(yàn)環(huán)境及結(jié)果分析

3.1 實(shí)驗(yàn)環(huán)境及數(shù)據(jù)

為了能夠評(píng)估RF-SVM算法的有效性，構(gòu)建了一個(gè)功能強(qiáng)大的入侵檢測(cè)系統(tǒng)，該系統(tǒng)擁有兩臺(tái)FTP服務(wù)器和一臺(tái)Web服務(wù)器，20臺(tái)計(jì)算機(jī)終端和6臺(tái)模擬攻擊計(jì)算機(jī)，2014年1月1日——2014年3月10日，選擇收集7萬(wàn)條日志報(bào)警信息、10萬(wàn)條網(wǎng)絡(luò)報(bào)警信息、8萬(wàn)條設(shè)備報(bào)警信息、5萬(wàn)條代理報(bào)警信息等共計(jì)30萬(wàn)條入侵攻擊報(bào)警信息，按照網(wǎng)絡(luò)態(tài)勢(shì)的分級(jí)標(biāo)準(zhǔn)，將其分類(lèi)，分別是4萬(wàn)條一級(jí)報(bào)警信息、8萬(wàn)條二級(jí)報(bào)警信息、8萬(wàn)條三級(jí)報(bào)警信息、10萬(wàn)條四級(jí)報(bào)警信息。

由于不同的時(shí)間段內(nèi)，網(wǎng)絡(luò)的攻擊數(shù)據(jù)集非常大，為了避免訓(xùn)練數(shù)據(jù)集時(shí)算法產(chǎn)生較大的誤差，針對(duì)計(jì)算得到的網(wǎng)絡(luò)攻擊態(tài)勢(shì)值實(shí)施歸一化處理。

歸一化處理公式如（5）所示：

公式（9）中的x表示當(dāng)前網(wǎng)絡(luò)態(tài)勢(shì)值， 表示歸一化后的網(wǎng)絡(luò)態(tài)勢(shì)值，xmax和xmin表示網(wǎng)絡(luò)最大態(tài)勢(shì)值和網(wǎng)絡(luò)最小態(tài)勢(shì)值。

將2014年1月1日——2014年2月28日的數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)集，完成RF-SVM算法的學(xué)習(xí)和訓(xùn)練；將2014年3月1日——2014年3月10日的入侵攻擊數(shù)據(jù)作為驗(yàn)證數(shù)據(jù)，以便驗(yàn)證算法的準(zhǔn)確性和可靠性，具體數(shù)據(jù)如表1所示。

3.2 實(shí)驗(yàn)結(jié)果分析

使用RF-SVM算法對(duì)2014年3月1日——2014年3月10日的入侵攻擊數(shù)據(jù)進(jìn)行預(yù)測(cè)，預(yù)測(cè)結(jié)果如表1所示。另外，為了更好地驗(yàn)證RF-SVM算法的有效性，本文同時(shí)與SVM算法預(yù)測(cè)的結(jié)果進(jìn)行比較，RF-SVM算法能夠很好地提高網(wǎng)絡(luò)攻擊態(tài)勢(shì)的預(yù)測(cè)準(zhǔn)確度，降低預(yù)測(cè)誤差，如圖1所示。

4 總結(jié)與展望

本文分析了SVM算法實(shí)施網(wǎng)絡(luò)態(tài)勢(shì)感知過(guò)程中存在的不足，即其僅能獨(dú)立地分析當(dāng)前網(wǎng)絡(luò)中的數(shù)據(jù)流，無(wú)法記憶歷史數(shù)據(jù)流，導(dǎo)致網(wǎng)絡(luò)安全態(tài)勢(shì)感知準(zhǔn)確度較低。因此，經(jīng)過(guò)努力，本文引入了回歸預(yù)測(cè)的思想，提出了RF-SVM算法，該算法能夠充分考慮網(wǎng)絡(luò)歷史攻擊事件及當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)，預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)，實(shí)驗(yàn)證明該算法能夠降低網(wǎng)絡(luò)安全態(tài)勢(shì)感知誤差，提升準(zhǔn)確度。RF-SVM算法未來(lái)工作的重點(diǎn)包括改進(jìn)核函數(shù)，優(yōu)化設(shè)置參數(shù)，以便實(shí)現(xiàn)自動(dòng)預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)。

[參考文獻(xiàn)]

[1]龔正虎，卓瑩.網(wǎng)絡(luò)態(tài)勢(shì)感知研究[J].軟件學(xué)報(bào).2010，21（07）：1605-1619.

[2]韋勇，連一峰.基于日志審計(jì)與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)學(xué)報(bào).2009，32（4）：763-772.

[3]石波，謝小權(quán).基于DS證據(jù)理論的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法研究[J].計(jì)算機(jī)工程與設(shè)計(jì).2013，34（3）：821-825.

[4]李聞，戴英俠，連一峰，馮萍慧.基于混雜模型的上下文相關(guān)主機(jī)入侵檢測(cè)系統(tǒng)[J].軟件學(xué)報(bào).2009（01）.

[5]仲兆滿(mǎn)，李存華，管燕.基于神經(jīng)網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)的研究和實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用.2007（30）.

[6]毛國(guó)君，宗東軍.基于多維數(shù)據(jù)流挖掘技術(shù)的入侵檢測(cè)模型與算法[J]. 計(jì)算機(jī)研究與發(fā)展.2009（04）.

⑶調(diào)用攻擊態(tài)勢(shì)預(yù)測(cè)模塊，根據(jù)（2）統(tǒng)計(jì)的時(shí)間序列和訓(xùn)練模塊生成的模型，預(yù)測(cè)網(wǎng)絡(luò)攻擊態(tài)勢(shì)；

3 實(shí)驗(yàn)環(huán)境及結(jié)果分析

3.1 實(shí)驗(yàn)環(huán)境及數(shù)據(jù)

為了能夠評(píng)估RF-SVM算法的有效性，構(gòu)建了一個(gè)功能強(qiáng)大的入侵檢測(cè)系統(tǒng)，該系統(tǒng)擁有兩臺(tái)FTP服務(wù)器和一臺(tái)Web服務(wù)器，20臺(tái)計(jì)算機(jī)終端和6臺(tái)模擬攻擊計(jì)算機(jī)，2014年1月1日——2014年3月10日，選擇收集7萬(wàn)條日志報(bào)警信息、10萬(wàn)條網(wǎng)絡(luò)報(bào)警信息、8萬(wàn)條設(shè)備報(bào)警信息、5萬(wàn)條代理報(bào)警信息等共計(jì)30萬(wàn)條入侵攻擊報(bào)警信息，按照網(wǎng)絡(luò)態(tài)勢(shì)的分級(jí)標(biāo)準(zhǔn)，將其分類(lèi)，分別是4萬(wàn)條一級(jí)報(bào)警信息、8萬(wàn)條二級(jí)報(bào)警信息、8萬(wàn)條三級(jí)報(bào)警信息、10萬(wàn)條四級(jí)報(bào)警信息。

由于不同的時(shí)間段內(nèi)，網(wǎng)絡(luò)的攻擊數(shù)據(jù)集非常大，為了避免訓(xùn)練數(shù)據(jù)集時(shí)算法產(chǎn)生較大的誤差，針對(duì)計(jì)算得到的網(wǎng)絡(luò)攻擊態(tài)勢(shì)值實(shí)施歸一化處理。

歸一化處理公式如（5）所示：

公式（9）中的x表示當(dāng)前網(wǎng)絡(luò)態(tài)勢(shì)值， 表示歸一化后的網(wǎng)絡(luò)態(tài)勢(shì)值，xmax和xmin表示網(wǎng)絡(luò)最大態(tài)勢(shì)值和網(wǎng)絡(luò)最小態(tài)勢(shì)值。

將2014年1月1日——2014年2月28日的數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)集，完成RF-SVM算法的學(xué)習(xí)和訓(xùn)練；將2014年3月1日——2014年3月10日的入侵攻擊數(shù)據(jù)作為驗(yàn)證數(shù)據(jù)，以便驗(yàn)證算法的準(zhǔn)確性和可靠性，具體數(shù)據(jù)如表1所示。

3.2 實(shí)驗(yàn)結(jié)果分析

使用RF-SVM算法對(duì)2014年3月1日——2014年3月10日的入侵攻擊數(shù)據(jù)進(jìn)行預(yù)測(cè)，預(yù)測(cè)結(jié)果如表1所示。另外，為了更好地驗(yàn)證RF-SVM算法的有效性，本文同時(shí)與SVM算法預(yù)測(cè)的結(jié)果進(jìn)行比較，RF-SVM算法能夠很好地提高網(wǎng)絡(luò)攻擊態(tài)勢(shì)的預(yù)測(cè)準(zhǔn)確度，降低預(yù)測(cè)誤差，如圖1所示。

4 總結(jié)與展望

本文分析了SVM算法實(shí)施網(wǎng)絡(luò)態(tài)勢(shì)感知過(guò)程中存在的不足，即其僅能獨(dú)立地分析當(dāng)前網(wǎng)絡(luò)中的數(shù)據(jù)流，無(wú)法記憶歷史數(shù)據(jù)流，導(dǎo)致網(wǎng)絡(luò)安全態(tài)勢(shì)感知準(zhǔn)確度較低。因此，經(jīng)過(guò)努力，本文引入了回歸預(yù)測(cè)的思想，提出了RF-SVM算法，該算法能夠充分考慮網(wǎng)絡(luò)歷史攻擊事件及當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)，預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)，實(shí)驗(yàn)證明該算法能夠降低網(wǎng)絡(luò)安全態(tài)勢(shì)感知誤差，提升準(zhǔn)確度。RF-SVM算法未來(lái)工作的重點(diǎn)包括改進(jìn)核函數(shù)，優(yōu)化設(shè)置參數(shù)，以便實(shí)現(xiàn)自動(dòng)預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)。

[參考文獻(xiàn)]

[1]龔正虎，卓瑩.網(wǎng)絡(luò)態(tài)勢(shì)感知研究[J].軟件學(xué)報(bào).2010，21（07）：1605-1619.

[2]韋勇，連一峰.基于日志審計(jì)與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)學(xué)報(bào).2009，32（4）：763-772.

[3]石波，謝小權(quán).基于DS證據(jù)理論的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法研究[J].計(jì)算機(jī)工程與設(shè)計(jì).2013，34（3）：821-825.

[4]李聞，戴英俠，連一峰，馮萍慧.基于混雜模型的上下文相關(guān)主機(jī)入侵檢測(cè)系統(tǒng)[J].軟件學(xué)報(bào).2009（01）.

[5]仲兆滿(mǎn)，李存華，管燕.基于神經(jīng)網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)的研究和實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用.2007（30）.

[6]毛國(guó)君，宗東軍.基于多維數(shù)據(jù)流挖掘技術(shù)的入侵檢測(cè)模型與算法[J]. 計(jì)算機(jī)研究與發(fā)展.2009（04）.