楊明+胡冠宇+劉倩

摘要：針對網(wǎng)絡安全態(tài)勢預測問題，提出了一種預測方法。該方法采用協(xié)方差矩陣自適應進化策略（CMAES）算法來優(yōu)化徑向基神經(jīng)網(wǎng)絡（RBF）預測模型中的參數(shù)，使得RBF預測模型具備更好的泛化能力，可以快速的找出復雜時間序列中的規(guī)律。仿真實驗結(jié)果表明，采用CMAES優(yōu)化的RBF預測模型能夠準確預測出一段時間內(nèi)的網(wǎng)絡安全態(tài)勢值，預測精度高于傳統(tǒng)預測手段。

關(guān)鍵詞：網(wǎng)絡安全態(tài)勢預測； CMAES優(yōu)化算法； RBF神經(jīng)網(wǎng)絡； 時間序列預測

DOI：1015938/jjhust201702026

中圖分類號： TP3930

文獻標志碼： A

文章編號： 1007-2683（2017）02-0140-05

Abstract：A method for network security situation prediction is proposed， where the covariance matrix adaptation evolution strategy algorithm （CMAES） is used to optimize the parameters of the radial basis function neural network forecasting model （RBF）， which makes the forecasting model have superior ability， and can quickly find out the rules of the complex time series The simulations results show that the proposed method can accurately predict the network security situation， and has better prediction accuracy than traditional prediction methods

Keywords：network security situation prediction； covariance matrix adaptation evolution strategy algorithm； Radial basis function neural network； time series prediction

0引言

隨著網(wǎng)絡技術(shù)的廣泛使用和快速發(fā)展，網(wǎng)絡系統(tǒng)開始呈現(xiàn)出越來越復雜的趨勢。所有復雜的系統(tǒng)都要面臨嚴峻的安全問題，網(wǎng)絡平臺也不例外，任何一個小的漏洞都有可能被黑客利用，從而導致整個網(wǎng)絡的崩潰。傳統(tǒng)的安全技術(shù)屬于被動防御技術(shù)，例如入侵檢測系統(tǒng)是在攻擊來臨時進行識別并作出反應。相比之下，管理人員更需要一種能夠宏觀描述并預測網(wǎng)絡整體狀況的技術(shù)，以此能夠做到未雨綢繆主動防御。針對這個問題，Bass T 在1999年提出了網(wǎng)絡安全態(tài)勢的概念[1-2]，他指出網(wǎng)絡安全態(tài)勢是一組能夠反映網(wǎng)絡系統(tǒng)宏觀狀態(tài)的數(shù)值，通過它可以讓管理人員快速的了解網(wǎng)絡運行的基本情況。獲取并處理網(wǎng)絡安全態(tài)勢的技術(shù)稱為網(wǎng)絡安全態(tài)勢感知[1，3-7]，它包括3個層次[8]：①網(wǎng)絡底層態(tài)勢要素的提?。☉B(tài)勢提取）；②網(wǎng)絡安全態(tài)勢的評估（態(tài)勢理解）；③網(wǎng)絡安全態(tài)勢的預測。態(tài)勢要素的提取主要依靠神經(jīng)網(wǎng)絡和支持向量機等分類技術(shù)將威脅網(wǎng)絡安全的數(shù)據(jù)分類，然后在由網(wǎng)絡安全態(tài)勢評估技術(shù)按照不同攻擊種類的重要程度加權(quán)平均得出網(wǎng)絡安全態(tài)勢值[9]。當收集到一段時間的歷史網(wǎng)絡安全態(tài)勢值后，就可以建立預測模型預測未來的網(wǎng)絡安全態(tài)勢?？梢钥闯?，網(wǎng)絡安全態(tài)勢預測技術(shù)是網(wǎng)絡安全態(tài)勢感知中最為重要的環(huán)節(jié)，本文要解決的就是網(wǎng)絡安全態(tài)勢預測問題。

目前，已經(jīng)有很多預測模型用于網(wǎng)絡安全態(tài)勢預測，例如灰色預測模型[10]、GABP預測模型[11]、RBF預測模型[12]、HMM預測模型[13]、EvHMM預測模型[14]以及HBRB預測模型[15-16]等?；疑A測模型是利用灰色理論對含不確定信息的系統(tǒng)進行預測的模型，但是它只能反映系統(tǒng)發(fā)展的大致趨勢，并不能精確預測未來的數(shù)值。HMM、EvHMM以及HBRB等預測模型將安全態(tài)勢視為隱含行為，優(yōu)化過程復雜且具有約束條件，不適用于實時性要求高的網(wǎng)絡系統(tǒng)。

神經(jīng)網(wǎng)絡模型是網(wǎng)絡安全態(tài)勢預測中最常用的方法，但是由于在訓練模型的過程中需要優(yōu)化大量的參數(shù)，且傳統(tǒng)的優(yōu)化算法往往會在優(yōu)化過程中陷入到局部最優(yōu)點，所以神經(jīng)網(wǎng)絡預測模型并不能精確的預測樣本數(shù)量小且規(guī)律性不強的網(wǎng)絡安全態(tài)勢。

針對上述問題，本文提出利用CMAES算法對RBF神經(jīng)網(wǎng)絡的參數(shù)進行優(yōu)化，從而提高網(wǎng)絡安全態(tài)勢預測的精度。CMAES算法全稱是協(xié)方差矩陣自適應進化策略[17-18]，是目前最受關(guān)注的優(yōu)化算法之一，它在高維非線性優(yōu)化問題上表現(xiàn)良好，能夠利用較少的個體快速收斂到全局最優(yōu)點。RBF全稱是徑向基神經(jīng)網(wǎng)絡，它具備良好的泛化能力和逼近性能，并且可以處理復雜的非線性系統(tǒng)。RBF解決了BP的局部最小值問題，并已成功應用到眾多的工程領(lǐng)域[19-24]。將兩者結(jié)合到一起，可以克服神經(jīng)網(wǎng)絡模型的缺點，增加全局優(yōu)化能力，提高預測精度。

本文的組織結(jié)構(gòu)為：在第一節(jié)中，介紹了RBF及CMAES的相關(guān)概念及基本原理。在第二節(jié)中提出了CMARBF預測模型。在第三節(jié)中，利用所提出的方法對實際網(wǎng)絡平臺的安全態(tài)勢進行預測，并將結(jié)果和其他傳統(tǒng)方法進行了比較。在第四節(jié)中，對CMARBF預測模型進行總結(jié)。

1基本概念

11RBF神經(jīng)網(wǎng)絡的基本原理

RBF神經(jīng)網(wǎng)絡模型在結(jié)構(gòu)上與BP相同，都屬于前饋型式神經(jīng)網(wǎng)絡。區(qū)別在于RBF的隱層只有一個且使用徑向基函數(shù)作為隱層神經(jīng)元的激活函數(shù)，RBF的隱層可以將輸入變換到高維空間中，從而解決低維空間線性不可分的問題。RBF神經(jīng)網(wǎng)絡模型具備良好的全局最優(yōu)和逼近性能，并且結(jié)構(gòu)不復雜，收斂速度快，可以作為系統(tǒng)辨識的、非線性函數(shù)逼近等領(lǐng)域的有力工具。典型的RBF神經(jīng)網(wǎng)絡模型結(jié)構(gòu)如圖1所示。

利用CMARBF預測網(wǎng)絡安全態(tài)勢的基本步驟如下所示：

Step1： 利用公式（9）確定模型的歷史樣本；

Step2： 確定RBF神經(jīng)網(wǎng)絡的初始參數(shù)Ω0；

Step3： 確定初始迭代次數(shù)t=0和最大迭代次數(shù)tmax；

Step4： 確定CMAES算法的初始參數(shù)；

Step5： 建立形如公式（11）優(yōu)化目標函數(shù)；

Step6： 進入循環(huán)：while t

Step 61： 利用公式（3）以Ωt作為期望meant生成新的種群；

Step 62： 利用公式（4）得到新的種群期望meant+1；

Step 63： 利用公式（5）（6）（8）更新種群的協(xié)方差矩陣，得到Mt+1；

Step 64： 利用公式（9）更新步長，得到st+1；

Step 65： 計算新種群的目標函數(shù)值，選出最優(yōu)個體（參數(shù)）Ωbest；

Step 66： 重復執(zhí)行step 61，直到t=tmax跳出循環(huán)；

Step7： 以Ωbest作為RBF神經(jīng)網(wǎng)絡的參數(shù)，歷史樣本做為訓練數(shù)據(jù)，對RBF進行訓練；

Step8： 用訓練RBF模型對安全態(tài)勢預測。

3仿真實驗

31背景描述

我們以真實的網(wǎng)絡平臺為背景（如圖3所示），收集了三個月共92天的攻擊數(shù)據(jù)，并將它們利用層次化評估方法求出92天的網(wǎng)絡安全態(tài)勢值。

圖3描繪的是某高校真實網(wǎng)絡環(huán)境，全網(wǎng)可分為內(nèi)網(wǎng)和DMZ區(qū)兩大部分。其中內(nèi)網(wǎng)包括圖書館、宿舍、行政樓和教學樓；DMZ區(qū)包括各類服務器及數(shù)據(jù)庫。攻擊數(shù)據(jù)的收集在防火墻及核心交換機上完成。

當作為網(wǎng)絡安全要素的攻擊數(shù)據(jù)收集完畢后，可以由專家確定各安全要素的權(quán)重，在利用常用的層次化評估方法獲得全網(wǎng)的網(wǎng)絡安全態(tài)勢值，如圖4所示：

從圖4可以看出，該網(wǎng)絡平臺的網(wǎng)絡安全態(tài)勢在整體上呈現(xiàn)一定的規(guī)律，每個月的中期攻擊強度增大，月底逐漸減小，但是在局部，態(tài)勢值有一定的隨機性。為了利用前述的CMARBF模型去預測網(wǎng)絡安全態(tài)勢值，我們將上述數(shù)據(jù)通過公示（9）生成了89組樣本，前60組作為訓練樣本，后29組作為預測樣本。模型的初始參數(shù)見表1：

32比較實驗

為驗證所提模型有效性，選取了沒有優(yōu)化RBF模型和GARBF模型與CMARBF模型比較，比較結(jié)果如圖5和表2所示：

從圖5和表2可以看出，CMARBF的預測精度要高于其他方法。

4結(jié)論

所提出的CMARBF預測模型是將新的進化算法CMAES引入到RBF模型中，利用CMAES高效的尋優(yōu)能力去解決高維模型中參數(shù)優(yōu)化問題。兩者的結(jié)合使得神經(jīng)網(wǎng)絡的結(jié)構(gòu)和參數(shù)更加合理，具有更好的預測能力。本文將所提方法應用于網(wǎng)絡安全態(tài)勢預測領(lǐng)域，得到了很好的效果。比較實驗結(jié)果表明，CMARBF模型的預測精度高于其他傳統(tǒng)方法。在今后的工作中，我們會繼續(xù)探索更適應與網(wǎng)絡安全態(tài)勢預測的新方法。

參 考 文 獻：

[1]BASS T Intrusion Detection System and Multisensor Data Fusion： Creating Cyberspace Situation Awareness[J]. Communications of The ACM， 2000， 43（4）： 99-105

[2]王庚， 張景輝， 吳娜 網(wǎng)絡安全態(tài)勢預測方法的應用研究[J]. 計算機仿真， 2012， 29（2）： 98-101

[3]胡冠宇， 喬佩利 基于云群的高維差分進化算法及其在網(wǎng)絡安全態(tài)勢預測上的應用[J]. 吉林大學學報（工學版）， 2016， 46（2）： 568-577

[4]魯穎欣， 王健， 齊宏卓 模糊判斷在網(wǎng)絡安全風險評估中的應用研究[J]. 哈爾濱理工大學學報， 2014， 19（1）：36-39

[5]高青波， 胡冠宇， 徐澤群 并行計算平臺的網(wǎng)絡安全態(tài)勢感知系統(tǒng)[J]. 科技創(chuàng)新與應用， 2015（15）： 4-5

[6]HU G Y， QIAO P Cloud Belief Rule Base Model for Network Security Situation Prediction[J]. IEEE Communications Letters， 2016， 20（5）： 914-917

[7]HU G Y， ZHOU Z J， ZHANG B C， et al A Method for Predicting the Network Security Situation Based on Hidden BRB Model and Revised CMAES Algorithm[J]. Applied Soft Computing， 2016， 48：404-418

[8]王慧強， 賴積保， 胡明明等 網(wǎng)絡安全態(tài)勢感知關(guān)鍵技術(shù)研究[J]. 武漢大學學報-信息科學版， 2008， 33（10）： 995-998

[9]陳秀真， 鄭慶華， 管曉宏等 層次化網(wǎng)絡安全威脅態(tài)勢量化評估方法[J]. 軟件學報， 2006， 17（4）： 885-897

[10]馬杰， 任望， 薛東軍等 灰色災變模型在計算機網(wǎng)絡安全態(tài)勢預測中的研究[C]. 第三屆信息安全漏洞分析與風險評估大會，2010

[11]胡明明， 王慧強， 賴積保 一種基于GABPNN的網(wǎng)絡安全態(tài)勢預測方法[m]. 北京：中國科技論文在線， 2007

[12]任偉，蔣興浩，孫錟鋒 基于RBF神經(jīng)網(wǎng)絡的網(wǎng)絡安全態(tài)勢預測方法[J]. 計算機工程與應用 2006 31： 136-139

[13]MUTHUMANI N， THANAMANI A S Optimizing Hidden Markov Model for Failure PredictionComparison of Gaines Optimization and Minimum Message Length Estimator[J]. Int J Comput Sci Eng， 2011， 3（2）： 892-898

[14]RAMASSO E Contribution of Belief Functions to HMM with an Application to Fault Diagnosis[J]. In： IEEE International Workshop on Machine Learning and Signal Processing， Grenoble， France， 2009： 2-4

[15]HU G Y， QIAO P L Cloud Belief Rule Base Model for Network Security Situation Prediction [J]. IEEE Communications Letters， 2016， 20（5）： 914-917

[16]HU G Y， ZHOU Z J， ZHANG B C， et al A Method for Predicting the Network Security Situation Based on Hidden BRB Model and Revised CMAES Algorithm[J]. Applied Soft Computing， 2016， 48： 404-418

[17]HANSEN N The CMA Evolution Strategy： a Comparing Review Towards a New Evolutionary Computation[J]. Advances on estimation of distribution algorithms， 2006， 75-102

[18]HANSEN N， KERN S Evaluating the CMA Evolution Strategy on Multimodal Test Functions[J]. Parallel Problem Solving from Nature PPSN VIII， 2004， 282-291

[19]陽同光， 桂衛(wèi)華 基于粒子群優(yōu)化神經(jīng)網(wǎng)絡觀測器感應電機定子電阻辨識[J]. 電機與控制學報， 2015， 19（2）：89-95

[20]王建敏， 董小萌， 吳云潔 高超聲速飛行器 RBF 神經(jīng)網(wǎng)絡滑模變結(jié)構(gòu)控制[J]. 電機與控制學報， 2016， 20（5）：103-110

[21]張旭隆， 曹言敬， 邵曉根 基于邊界約束RBF網(wǎng)絡的SRM磁鏈特性在線建模[J]. 電機與控制學報， 2015， 19（2）：83-88

[22]宋清昆， 李源松 RBF神經(jīng)網(wǎng)絡鍋爐燃燒系統(tǒng)建模[J]. 哈爾濱理工大學學報， 2016， 21（1）：89-92

[23]GUAN X， ZHU Y， SONG W Application of RBF Neural Network Improved by Peak Density Function in Intelligent Color Matching of Wood Dyeing[J]. Chaos Solitons & Fractals， 2016， 89：485-490

[24]BARATIHAROONI A， NAJAFIMARGHMALEKI A An Accurate RBFNN Model for Estimation of Viscosity of Nanofluids[J]. Journal of Molecular Liquids， 2016， 224：580-588

（編輯：王萍）