張?zhí)斓?/p>

(南通師范高等專科學(xué)校信息技術(shù)系，江蘇 南通 226000)

0 引言

近年來，隨著互聯(lián)網(wǎng)規(guī)模日益擴(kuò)大，網(wǎng)絡(luò)安全面臨的威脅日益增大，網(wǎng)絡(luò)的攻擊手段也層出不窮，僅依靠傳統(tǒng)被動(dòng)防御方法諸如防火墻、入侵檢測等難以滿足現(xiàn)代網(wǎng)絡(luò)安全的實(shí)際應(yīng)用要求［1］，網(wǎng)絡(luò)安全態(tài)勢感知(Network Security Situation Awareness，NSSA)應(yīng)運(yùn)而生。網(wǎng)絡(luò)安全態(tài)勢感知主要包括要素提取、態(tài)勢理解和態(tài)勢估計(jì)等內(nèi)容，其中網(wǎng)絡(luò)安全態(tài)勢估計(jì)最為關(guān)鍵，其既可以對網(wǎng)絡(luò)安全態(tài)勢的變化趨勢進(jìn)行估計(jì)，又可以為網(wǎng)絡(luò)管理員提供決策支持［2］。

網(wǎng)絡(luò)安全態(tài)勢估計(jì)問題引起了廣大學(xué)者的關(guān)注，他們投入了大量的物力和財(cái)力進(jìn)行廣泛研究，涌現(xiàn)了許多優(yōu)秀的網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型，當(dāng)前有線性模型和非線性模型［3］。線性模型中最具代表性的為時(shí)間序列分析模型，其將網(wǎng)絡(luò)安全態(tài)勢變化歷史樣本看作一種時(shí)間序列數(shù)據(jù)，從數(shù)據(jù)中找出隱藏的變化規(guī)律，從而對未來網(wǎng)絡(luò)安全態(tài)勢進(jìn)行估計(jì)，建模效率高，模型的估計(jì)速度快，在網(wǎng)絡(luò)安全管理中起著重要的作用［4-6］。然而時(shí)間分析模型本質(zhì)是一種線性建模方法，不能描述網(wǎng)絡(luò)安全態(tài)勢的不確定變化趨勢部分，尤其對于現(xiàn)代復(fù)雜網(wǎng)絡(luò)系統(tǒng)存在一定的缺陷［6］。非線性模型采用機(jī)器學(xué)習(xí)理論進(jìn)行建模，主要有神經(jīng)網(wǎng)絡(luò)、灰色理論、馬爾科夫、支持向量機(jī)以及高斯回歸等［7-10］，尤其是BP 神經(jīng)網(wǎng)絡(luò)具有更好的非線性預(yù)測能力，在網(wǎng)絡(luò)安全態(tài)勢估計(jì)應(yīng)用最為廣泛［11］。然而在實(shí)際應(yīng)用中，BP 神經(jīng)網(wǎng)絡(luò)的性能與其參數(shù)選擇直接相關(guān)，如果參數(shù)選擇不合理，難以建立準(zhǔn)確的網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型［12］。

布谷鳥搜索(Cuckoo Search，CS)算法是一種新型群體智能優(yōu)化算法，具有參數(shù)少、易于實(shí)現(xiàn)等優(yōu)點(diǎn)，為BP 神經(jīng)網(wǎng)絡(luò)參數(shù)優(yōu)化提供了一種新的工具［3］。基于此，本文提出一種基于組合方法的網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型，采用布谷鳥搜索算法優(yōu)化BP 神經(jīng)網(wǎng)絡(luò)參數(shù)，并應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢估計(jì)中，最后通過仿真實(shí)驗(yàn)測試其性能。

1 CS-BPNN 的網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型

1.1 BP 神經(jīng)網(wǎng)絡(luò)

BP 神經(jīng)網(wǎng)絡(luò)是眾多神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)算法中性能較優(yōu)的一種，其由輸入層、輸出層和隱含層組成，具體結(jié)構(gòu)如圖1 所示。每一層由大量的神經(jīng)元構(gòu)成，兩層之間各神經(jīng)元通過權(quán)值進(jìn)行聯(lián)系，對輸入與輸出之間關(guān)系可以任意地非線性逼近［13］。

圖1 BP 神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)

設(shè)BP 神經(jīng)網(wǎng)絡(luò)的隱含層各節(jié)點(diǎn)的輸入和輸出公式如下:

式中，ωij為從輸入層到隱含層的連接權(quán)值;θj為隱含層節(jié)點(diǎn)的閾值。

BP 神經(jīng)網(wǎng)絡(luò)的輸出層節(jié)點(diǎn)的輸入和輸出公式分別為:

式中，vj表示從隱含層與輸出層之間的連接權(quán)值;γ 表示輸出層的閾值。

1.2 布谷鳥搜索算法優(yōu)化BP 神經(jīng)網(wǎng)絡(luò)

在BP 神經(jīng)網(wǎng)絡(luò)初始訓(xùn)練之前，傳統(tǒng)方法采用隨機(jī)方式確定連接權(quán)值和閾值，導(dǎo)致網(wǎng)絡(luò)收斂速度慢，網(wǎng)絡(luò)結(jié)構(gòu)不穩(wěn)定，對網(wǎng)絡(luò)態(tài)勢估計(jì)結(jié)果產(chǎn)生不利影響。由于布谷鳥搜索算法的全局搜索能力強(qiáng)，因此將其用于優(yōu)化BP 神經(jīng)網(wǎng)絡(luò)的初始權(quán)值和閾值，以提高網(wǎng)絡(luò)態(tài)勢估計(jì)性能。CS 算法制定了3 個(gè)規(guī)則，具體如下:

1)布谷鳥的蛋代表BP 神經(jīng)網(wǎng)絡(luò)的參數(shù)潛在解，每一個(gè)蛋隨機(jī)放在一個(gè)鳥巢中孵化。

2)一部分鳥巢放著優(yōu)質(zhì)蛋，即較優(yōu)的BP 神經(jīng)網(wǎng)絡(luò)的參數(shù)，它們直接進(jìn)入下一代。

3)布谷鳥蛋被寄主鳥發(fā)現(xiàn)的概率為Pa∈(0，1)，一旦某個(gè)鳥巢被發(fā)現(xiàn)，寄主鳥立即丟棄鳥蛋或者鳥巢，尋找新的鳥巢。

式中，?表示步長控制量;⊕表示點(diǎn)對點(diǎn)乘法。

1.3 CS-BPNN 的網(wǎng)絡(luò)安全態(tài)勢估計(jì)步驟

1)收集網(wǎng)絡(luò)安全態(tài)勢歷史樣本，并進(jìn)行歸一化處理，根據(jù)網(wǎng)絡(luò)安全態(tài)勢的特點(diǎn)建立BP 神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)樣本。

2)將網(wǎng)絡(luò)安全態(tài)勢的訓(xùn)練樣本集輸入到BP 神經(jīng)網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)，采用布谷鳥搜索算法優(yōu)化權(quán)值和閾值，得到最優(yōu)的布谷鳥搜索算法優(yōu)化權(quán)值和閾值。

3)BP 神經(jīng)網(wǎng)絡(luò)根據(jù)布谷鳥搜索算法優(yōu)化權(quán)值和閾值對訓(xùn)練樣本進(jìn)行重新學(xué)習(xí)，建立網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型。

4)將測試樣本輸入到網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型進(jìn)行預(yù)測，檢驗(yàn)?zāi)Ｐ偷姆夯茝V性能。

本文設(shè)計(jì)的網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型的工作流程如圖2 所示。

圖2 本文網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型的工作流程

2 仿真實(shí)驗(yàn)

2.1 數(shù)據(jù)來源

選擇網(wǎng)絡(luò)安全態(tài)勢測試的標(biāo)準(zhǔn)數(shù)據(jù)集:Honeynet組織提供的數(shù)據(jù)進(jìn)行仿真測試，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3 所示［14］。

圖3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

收集2014 年10 月1 日到10 月30 日的網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)作為仿真對象，共獲得180 個(gè)樣本，選擇最后50 個(gè)樣本作為測試樣本，其它作為訓(xùn)練樣本，對樣本進(jìn)行歸一化處理，得到的結(jié)果如圖4 所示。

圖4 收集的網(wǎng)絡(luò)安全態(tài)勢值

結(jié)合網(wǎng)絡(luò)安全態(tài)勢值的非平穩(wěn)性和混沌性，確定圖4 中網(wǎng)絡(luò)安全態(tài)勢時(shí)間序列嵌入維數(shù)為12，延遲時(shí)間為1，即采用前12 個(gè)網(wǎng)絡(luò)安全態(tài)勢值對下一個(gè)時(shí)刻點(diǎn)的網(wǎng)絡(luò)安全態(tài)勢值進(jìn)行預(yù)測，設(shè)鳥巢位置數(shù)是10，Pa=0.20，最大迭代次數(shù)500 次。

2.2 結(jié)果與分析

2.2.1 擬合結(jié)果分析

將網(wǎng)絡(luò)安全態(tài)勢訓(xùn)練樣本輸入BPNN 進(jìn)行動(dòng)態(tài)、自適應(yīng)訓(xùn)練，采用布谷鳥搜索算法在線優(yōu)化權(quán)值和閾值，然后采用建立的網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型對訓(xùn)練樣本進(jìn)行擬合，得到的擬合結(jié)果和擬合偏差如圖5 所示。從圖5 可知，本文模型的網(wǎng)絡(luò)安全態(tài)勢擬合值和真實(shí)網(wǎng)絡(luò)安全態(tài)勢值擬合精度相當(dāng)?shù)母?，兩者之間的擬合偏差很小，實(shí)驗(yàn)結(jié)果表明本文模型可以準(zhǔn)確描述網(wǎng)絡(luò)安全態(tài)勢變化趨勢，獲得了十分理想的網(wǎng)絡(luò)安全態(tài)勢擬合效果。

圖5 CS-BPNN 估計(jì)值與真實(shí)值的擬合結(jié)果

2.2.2 泛化能力分析

對一個(gè)網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型來說，擬合性能只能描述模型的擬合效果，最為重要是其泛化推廣能力，本文模型對測試樣本集進(jìn)行預(yù)測，得到的結(jié)果如圖6 所示。從圖6 可知，相對于網(wǎng)絡(luò)安全態(tài)勢的擬合結(jié)果，本文的網(wǎng)絡(luò)安全態(tài)勢預(yù)測偏差增加大，但網(wǎng)絡(luò)安全態(tài)勢預(yù)測值與真實(shí)網(wǎng)絡(luò)安全態(tài)勢值之間的偏差較小，兩者的變化趨勢相一致，實(shí)驗(yàn)結(jié)果表明，本文模型是一種泛化能力強(qiáng)，預(yù)測精度高的網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型。

圖6 CS-BPNN 的估計(jì)值與實(shí)際值的變化曲線

2.2.3 與經(jīng)典模型的性能對比

為了測試本文模型的優(yōu)越性，選擇當(dāng)前經(jīng)典網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型［15-16］進(jìn)行對比實(shí)驗(yàn)，它們擬合結(jié)果和預(yù)測結(jié)果的均方根絕對誤差(RMSE)和平均相對誤差(MAPE)如表1 所示。從表1 可以看出，在所有網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型中，本文模型的擬合和預(yù)測誤差均有所下降，提高了網(wǎng)絡(luò)安全態(tài)勢的估計(jì)精度，驗(yàn)證了本文模型的可行性和優(yōu)越性。

表1 與經(jīng)典模型的性能對比

2.2.4 建模速度比較

在實(shí)際應(yīng)用中，如何提高網(wǎng)絡(luò)安全態(tài)勢估計(jì)速度具有十分重要的應(yīng)用價(jià)值，尤其對于一些軍事網(wǎng)絡(luò)，估計(jì)速度處于首要位置，進(jìn)行10 次仿真實(shí)驗(yàn)，不同模型的平均訓(xùn)練和測試時(shí)間如圖7 所示。從圖7 可知，在所有網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型中，本文模型的平均訓(xùn)練和測試時(shí)間均最短，加快了網(wǎng)絡(luò)安全態(tài)勢估計(jì)速度，網(wǎng)絡(luò)安全態(tài)勢建模效率最高。

圖7 不同模型的建模速度比較

3 結(jié)束語

網(wǎng)絡(luò)安全態(tài)勢估計(jì)一直是網(wǎng)絡(luò)安全研究領(lǐng)域中的難點(diǎn)，是保證網(wǎng)絡(luò)系統(tǒng)安全的前提，針對當(dāng)前網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型存在的不足，提出一種組合方法的網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型，該模型集成了布谷鳥搜索算法的全局尋優(yōu)能力和BP 神經(jīng)網(wǎng)絡(luò)強(qiáng)大的非線性預(yù)測能力，實(shí)驗(yàn)結(jié)果表明，與當(dāng)前經(jīng)典網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型相比，本文模型可以更好地描述網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢整體變化趨勢，獲得更高的網(wǎng)絡(luò)安全態(tài)勢估計(jì)精度，加快了網(wǎng)絡(luò)安全態(tài)勢建模速度。雖然本文模型取得了不錯(cuò)的網(wǎng)絡(luò)安全態(tài)勢估計(jì)結(jié)果，但是仍然還有許多工作要進(jìn)行研究，如網(wǎng)絡(luò)安全態(tài)勢樣本的混沌處理，這是下一步的研究重點(diǎn)。

［1］Zhang Haoliang，Shi Jinqiao，Chen Xiaojun.A multi-level analysis framework in network security situation awareness［J］.Procedia Computer Science，2013，17:530-536.

［2］Naderpour M，Lu Jie，Zhang Guangquan.An intelligent situation awareness support system for safety-critical environments［J］.Decision Support Systems，2014，59:325-340.

［3］張勇，譚小彬，崔孝林，等.基于Markov 博弈模型的網(wǎng)絡(luò)安全態(tài)勢感知方法［J］.軟件學(xué)報(bào)，2011，22(3):495-508.

［4］吳琨，白中英.集對分析的可信網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測［J］.哈爾濱工業(yè)大學(xué)學(xué)報(bào)，2012，44(3):112-118.

［5］Tang Chenghua，Xie Yi，Qiang Baohua，et al.Security situation prediction based on dynamic BP neural with covariance［J］.Procedia Engineering，2011，15:3313-3317.

［6］謝麗霞，王亞超，于巾博.基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢感知［J］.清華大學(xué)學(xué)報(bào)(自然科學(xué)版)，2013，53(12):1750-1760.

［7］徐茹枝，常太華，呂廣娟.基于時(shí)間序列的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法的研究［J］.數(shù)學(xué)的實(shí)踐與認(rèn)識(shí)，2010，40(12):124-131.

［8］李凱，曹陽.基于ARIMA 模型的網(wǎng)絡(luò)安全威脅態(tài)勢預(yù)測方法［J］.計(jì)算機(jī)應(yīng)用研究，2012，29(8):3042-3045.

［9］王曉鋒，毛力，楊國玲.基于快速網(wǎng)絡(luò)模擬的安全態(tài)勢預(yù)測［J］.系統(tǒng)仿真學(xué)報(bào)，2012，24(6):1218-1222.

［10］韋勇，連一峰，馮登國.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型［J］.計(jì)算機(jī)研究與發(fā)展，2009，46(3):353-362.

［11］尤馬彥，凌捷，郝彥軍.基于Elman 神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法［J］.計(jì)算機(jī)科學(xué)，2012，39(6):61-63.

［12］孟錦，馬馳，何加浪，等.基于HHGA-RBF 神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢估計(jì)模型［J］.計(jì)算機(jī)科學(xué)，2011，38(7):71-75.

［13］劉玉嶺，馮登國，連一峰，等.基于時(shí)空維度分析的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法［J］.計(jì)算機(jī)研究與發(fā)展，2014，51(8):1681-1694.

［14］李紀(jì)真，孟相如，溫祥西，等.螢火蟲群算法優(yōu)化高斯過程的網(wǎng)絡(luò)安全態(tài)勢預(yù)測［J］.系統(tǒng)工程與電子技術(shù)，2014，36(1):107-110.

［15］Walton S，Hassan O，Morgan K，et al.Modified cuckoo search:A new gradient free optimization algorithm［J］.Chaos，Solitons ＆ Fractals，2011，44(9):710-718.

［16］王凡，賀興時(shí)，王燕.基于高斯擾動(dòng)的布谷鳥搜索算法［J］.西安工程大學(xué)學(xué)報(bào)，2011，25(4):566-569.