國家電網(wǎng)蚌埠供電公司 易 飛

基于進(jìn)化神經(jīng)網(wǎng)絡(luò)模型的網(wǎng)絡(luò)安全態(tài)勢要素提取方法研究

國家電網(wǎng)蚌埠供電公司 易 飛

針對網(wǎng)絡(luò)安全態(tài)勢要素提取不全面和不準(zhǔn)確的近況，以神經(jīng)網(wǎng)絡(luò)模型為基礎(chǔ)，展開了基于遺傳進(jìn)化算法的進(jìn)化神經(jīng)網(wǎng)絡(luò)模型的網(wǎng)絡(luò)安全態(tài)勢要素提取方法研究。擬使用遺傳進(jìn)化算法對神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行優(yōu)化，進(jìn)而建立一種進(jìn)化神經(jīng)網(wǎng)絡(luò)模型。研究表明，在該種模型下，對提取大量網(wǎng)絡(luò)安全狀態(tài)數(shù)據(jù)中的態(tài)勢要素的精確度方面有了很大程度的提升，此外，還能對其進(jìn)行較為廣泛的推廣和普及。同時，為實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知的實(shí)現(xiàn)提供了一個全新的想法和突破點(diǎn)，可以證實(shí)該模型的準(zhǔn)確性和有效性。

進(jìn)化神經(jīng)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；態(tài)勢要素；優(yōu)化設(shè)計(jì)

近年來，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)攻擊工具的傻瓜式使用，網(wǎng)絡(luò)攻擊手段正朝著多元化方向發(fā)展，信息泄露等安全事件發(fā)生頻率不斷提升。當(dāng)下網(wǎng)絡(luò)安全態(tài)勢感知被公認(rèn)為是網(wǎng)絡(luò)安全這門學(xué)科的主要研究方向，而對精確實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢要素提取則是實(shí)現(xiàn)感知系統(tǒng)的第一步。在國內(nèi)，網(wǎng)絡(luò)安全學(xué)科的發(fā)展也正迎頭趕上，特別是在聚類分析和分類分析等方面。一些研究工作者已經(jīng)對相關(guān)問題做出了一定程度上的優(yōu)化和解決，這些工作為以后的安全態(tài)勢要素的研究工作奠定了基石。其中華東理工大學(xué)的張學(xué)琴團(tuán)隊(duì)提出了一種基于Fisher分和支持向量機(jī)的網(wǎng)絡(luò)入侵檢測特征提取方法；哈爾濱工程大學(xué)的王慧強(qiáng)教授將進(jìn)化策略和神經(jīng)網(wǎng)絡(luò)應(yīng)用到網(wǎng)絡(luò)安全態(tài)勢要素提取技術(shù)中，提出了一種基于進(jìn)化神經(jīng)網(wǎng)絡(luò)的態(tài)勢要素提取模型[3]。

1.理論基礎(chǔ)

1.1態(tài)勢要素獲取的本質(zhì)分析

網(wǎng)絡(luò)安全態(tài)勢要素提取的實(shí)質(zhì)就是發(fā)現(xiàn)存在于網(wǎng)絡(luò)中的各種引起異常的安全問題，并轉(zhuǎn)化為某種方式告知安全系統(tǒng)。王慧強(qiáng)教授將網(wǎng)態(tài)勢要素定義為一種二元組SF=(N,W)。其中N代表態(tài)勢要素的名稱，W代表態(tài)勢要素所占的權(quán)重，即該態(tài)勢要素對你系統(tǒng)的影響程度。由此可看出，網(wǎng)絡(luò)安全態(tài)勢要素提取的實(shí)質(zhì)是一個分類識別的問題，是對于網(wǎng)絡(luò)中的每條連接，判斷它是否屬于網(wǎng)絡(luò)中的正常連接，如果不是正常連接，用系統(tǒng)模型去識別它屬于哪種異常連接，進(jìn)而作為網(wǎng)絡(luò)安全要素反饋給系統(tǒng)模型。

1.2態(tài)勢感知分層實(shí)現(xiàn)模型

由于現(xiàn)階段正是安全態(tài)勢感知研究的發(fā)展時期，該學(xué)科的發(fā)展需要學(xué)習(xí)和借鑒專業(yè)領(lǐng)域的成熟先進(jìn)的理念和技術(shù)。Endsley于1995年提出了態(tài)勢感知理論模型，該理論模型著重于對態(tài)勢感知進(jìn)行理論上的了解，并對相關(guān)因素進(jìn)行量化融合分析的處理[1]。至此，態(tài)勢感知理論模型的應(yīng)用主要被分為對態(tài)勢要素的提取、理解和預(yù)測三個層面，這也為科研工作者提供了真實(shí)可靠的決策思路與依據(jù)。

在此模型中，我們定義大規(guī)模網(wǎng)絡(luò)安全態(tài)勢來源于網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)程序，一般計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)的各種異常問題都會間接或直接的影響大量的網(wǎng)絡(luò)服務(wù)的正常工作。為了更好的分析系統(tǒng)網(wǎng)絡(luò)所面臨的異常問題及所受到的攻擊行為對安全狀況的影響，需要明確網(wǎng)絡(luò)安全態(tài)勢的主要影響層面，并且對其逐一分析。

從查閱文獻(xiàn)可知，對網(wǎng)絡(luò)安全態(tài)勢的威脅可以從三個角度來進(jìn)行闡述，隨后分別從這三個角度來對網(wǎng)絡(luò)的狀態(tài)加以評價。具體說來，就是從行為層次方面、在線服務(wù)方面和網(wǎng)絡(luò)安全性方面。上述三個方面的安全性檢驗(yàn)可依照關(guān)鍵信息點(diǎn)的采集、態(tài)勢分析及預(yù)判等三個過程依次進(jìn)行。

BP神經(jīng)網(wǎng)絡(luò)算法是當(dāng)前使用最多、最成熟的提取網(wǎng)絡(luò)安全態(tài)勢要素的算法之一，它憑借著強(qiáng)大的兼容并行的特性、易于使用掌握的便捷性以及減少計(jì)算復(fù)雜程度的簡化性而成為一種被普羅大眾所廣泛接受的算法。我們可以將這種算法的核心定義為搜尋最小誤差。但是同時，他也存在著一些不足，特別在求安全態(tài)勢要素方面，通常存在收斂速度慢，學(xué)習(xí)效率低下不足的問題。究其原因，是由于其在處理非線性規(guī)劃時采用了最速下降的理論，以至于造成了上述不足。

結(jié)合上述的優(yōu)劣勢分析，筆者根據(jù)自身經(jīng)驗(yàn)，提出了一種采用進(jìn)化策略來改進(jìn)神經(jīng)網(wǎng)絡(luò)算法的訓(xùn)練方法。該方法的優(yōu)勢在于可以使訓(xùn)練處的網(wǎng)絡(luò)模型分類準(zhǔn)確度高并且不容易陷入局部循環(huán)的情況。這恰好彌補(bǔ)了BP算法的缺陷，使得搜索效率得到較大提升。

2.進(jìn)化神經(jīng)網(wǎng)絡(luò)模型

想要將網(wǎng)絡(luò)安全態(tài)勢的相關(guān)信息提取出來，可分為如下兩個大的方向：首先要進(jìn)化訓(xùn)練神經(jīng)網(wǎng)絡(luò)，再根據(jù)相關(guān)需求對數(shù)據(jù)和參數(shù)進(jìn)行提取。其進(jìn)化步驟分別為∶結(jié)構(gòu)編碼(染色體表示法)、變異策略、適度函數(shù)選取。

2.1進(jìn)化策略結(jié)構(gòu)編碼

神經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)處理能力不但跟神經(jīng)元之間的協(xié)同強(qiáng)度相關(guān)聯(lián)，而且與神經(jīng)元所構(gòu)成的拓?fù)浣Y(jié)構(gòu)、處理單元之間的輸入輸出特性相關(guān)。所以利用進(jìn)化策略對態(tài)勢要素提取模型進(jìn)行優(yōu)化處理，最重要的是染色體如何表示，即如何基因編碼。首先假設(shè)r,s,t為態(tài)勢要素提取模型中的輸入層、隱藏層和輸出層的處理單元個數(shù)。在該進(jìn)化模型中我們采用的是個體表示法，采用比較傳統(tǒng)的十進(jìn)制進(jìn)行表示，其中個體的編碼分為兩大塊：(Xk, αk)，其中Xk表示進(jìn)化到第k代的個體，αk表示進(jìn)化到第k代個體的連接權(quán)值或閡值。并且這兩大部分滿足：

式中，Xk表示第k代個體；N(0,σ)代表服從正態(tài)分布的隨機(jī)數(shù)，其均值為零，標(biāo)準(zhǔn)差為σ。新個體Xk+1，是在舊個體Xk的基礎(chǔ)上添加一個獨(dú)立隨機(jī)變量N(0,σ)生成的。

2. 2 適應(yīng)度函數(shù)選取

在進(jìn)化策略模型中，衡量個體好壞的比的標(biāo)準(zhǔn)是適應(yīng)度函數(shù)選取的是否合適。分類選擇計(jì)算是按照一種準(zhǔn)確的方式進(jìn)行，故可以將該優(yōu)化模型的目標(biāo)函數(shù)值設(shè)定為每個處理單元的適應(yīng)度函數(shù)，而不需要對目標(biāo)函數(shù)進(jìn)行任何變換處理。在這里定義模型的適應(yīng)度函數(shù)為：

2.3算法描述

利用遺傳進(jìn)化策略構(gòu)建的進(jìn)化神經(jīng)網(wǎng)絡(luò)模型的主要步驟如下：第一步：初始化相關(guān)參數(shù)，設(shè)定神經(jīng)網(wǎng)絡(luò)模型的輸入層，輸出層，隱層神經(jīng)元個數(shù)分別為r,s,t；設(shè)定算法終止精度要求為ξ，令初始化進(jìn)化代數(shù)k=1；第二步：隨機(jī)產(chǎn)生一系列初始父本，初始父本個數(shù)n應(yīng)滿足對神經(jīng)網(wǎng)絡(luò)模型的訓(xùn)練精度要求，按公式一計(jì)算每個父本的適應(yīng)度；第三步：對任一父本，變異產(chǎn)生子代，并計(jì)算其子代的適應(yīng)度函數(shù)；第四步：進(jìn)化代數(shù)為k+1，若，則完成進(jìn)化，否則進(jìn)入第二步繼續(xù)迭代。

3.模擬與分析

3.1原始數(shù)據(jù)描述

實(shí)驗(yàn)所用的初始數(shù)據(jù)來自WenkeLee等人于1998年在美國國防部高級研究計(jì)劃局作IDS評測時獲得的數(shù)據(jù)基礎(chǔ)上恢復(fù)出來的連接數(shù)據(jù)信息，即DARPA入侵檢測數(shù)據(jù)集[1]，見表1。

表1　DARPA數(shù)據(jù)集攻擊分布統(tǒng)計(jì)表

鑒于原始數(shù)據(jù)的數(shù)據(jù)量過于龐大，故在數(shù)據(jù)采納之前采用了分層抽樣的概率統(tǒng)計(jì)方式，采用這種方法主要旨在使抽樣數(shù)據(jù)和原始數(shù)據(jù)保持一定的一致性。反饋數(shù)據(jù)集和測試數(shù)據(jù)集的比例是7∶3，但是相異的數(shù)據(jù)可能具有同樣的比重。

3.2實(shí)驗(yàn)結(jié)果

本次實(shí)驗(yàn)的誤差分析主要從算法的平方和誤差和適度函數(shù)值這兩個方面來著手進(jìn)行，利用MATLAB進(jìn)行仿真分析驗(yàn)證，再從其結(jié)果中對網(wǎng)絡(luò)安全狀態(tài)數(shù)據(jù)的分類性能做出反饋。通過誤差分析和曲線擬合，即可得到兩種算法下的誤差判定指標(biāo)的值，即誤差平方和與適應(yīng)度函數(shù)隨進(jìn)化代數(shù)的增加曲線。如圖1、圖2圖實(shí)線所示為基于進(jìn)化策略的神經(jīng)網(wǎng)絡(luò)模型訓(xùn)練算法，虛線所示為基于遺傳算法的神經(jīng)網(wǎng)絡(luò)模型訓(xùn)練算法。

圖1　誤差平方和變化曲線圖

圖2　適應(yīng)度函數(shù)變化曲線圖

通過進(jìn)行誤差分析可知，基于進(jìn)化策略的神經(jīng)網(wǎng)絡(luò)模型訓(xùn)練算法在進(jìn)化到100代時，便可以看出基于進(jìn)化策略的神經(jīng)網(wǎng)絡(luò)訓(xùn)練算法的收斂性較基于遺傳算法的神經(jīng)網(wǎng)絡(luò)模型訓(xùn)練算法好。因此，在進(jìn)行網(wǎng)絡(luò)安全態(tài)勢要素提取實(shí)驗(yàn)時，算法必然具有較好的數(shù)據(jù)分類精度，并且算法性能穩(wěn)定。

網(wǎng)絡(luò)的安全性始終是一個不會過時的話題，它的態(tài)勢感知也將是極具可持續(xù)性的一個話題。本文提出了神經(jīng)網(wǎng)絡(luò)算法模型，可在網(wǎng)絡(luò)安全狀態(tài)和分析維護(hù)中起到關(guān)鍵性作用，在快速防止網(wǎng)絡(luò)被攻擊方面的作用同樣不容小覷。當(dāng)然，從整體來看，本文還有很多的不足和缺憾，比如沒有具體量化影響網(wǎng)絡(luò)安全的相關(guān)因素并確定其量化響應(yīng)機(jī)制，這也將是將來的研究的方向和重點(diǎn)需要考慮的地方。

[1]梁穎.基于數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢定量感知方法研究[D].哈爾濱:哈爾濱工程大學(xué),2007.

[2]蕭海東.網(wǎng)絡(luò)安全態(tài)勢評估與趨勢感知的分析研究[D].上海:上海交通大學(xué),2007.

[3]郭劍.網(wǎng)絡(luò)安全態(tài)勢感知中態(tài)勢要素獲取技術(shù)的研究[D].東北:東北大學(xué),2011.

[4]梁穎,王慧強(qiáng),劉磊.基于網(wǎng)絡(luò)服務(wù)狀態(tài)分析的安全態(tài)勢定量感知方法[J].北京交通大學(xué)學(xué)報(bào),2009(4).

[5]卿松.網(wǎng)絡(luò)安全態(tài)勢感知綜述[J].計(jì)算機(jī)安全,2011(10).

易飛（1983—），男，安徽蚌埠人，工程師，碩士，主要從事信息通信研究。