謝麗霞，王志華

(中國民航大學(xué) 計算機(jī)科學(xué)與技術(shù)學(xué)院，天津 300300) (*通信作者電子郵箱lxxie@126.com)

基于布谷鳥搜索優(yōu)化BP神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法

謝麗霞*，王志華

(中國民航大學(xué) 計算機(jī)科學(xué)與技術(shù)學(xué)院，天津 300300) (*通信作者電子郵箱lxxie@126.com)

針對現(xiàn)有基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法效率低等問題，提出基于布谷鳥搜索(CS)優(yōu)化反向傳播(BP)神經(jīng)網(wǎng)絡(luò)(CSBPNN)的網(wǎng)絡(luò)安全態(tài)勢評估方法。首先，根據(jù)態(tài)勢輸入指標(biāo)數(shù)和輸出態(tài)勢值確定BP神經(jīng)網(wǎng)絡(luò)(BPNN)的輸入輸出節(jié)點(diǎn)數(shù)，根據(jù)經(jīng)驗公式和試湊法計算出隱含層節(jié)點(diǎn)數(shù)；然后，隨機(jī)初始化各層的連接權(quán)值和閾值，使用浮點(diǎn)數(shù)編碼方式將權(quán)值與閾值編碼成布谷鳥；最后，使用CS算法對權(quán)值和閾值進(jìn)行優(yōu)化，得到用于態(tài)勢評估的CSBPNN模型并對其進(jìn)行訓(xùn)練，將網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)輸入到CSBPNN模型中，獲取網(wǎng)絡(luò)的安全態(tài)勢值。實驗結(jié)果表明，與BPNN和遺傳算法優(yōu)化BP神經(jīng)網(wǎng)絡(luò)方法相比，基于CSBPNN的網(wǎng)絡(luò)安全態(tài)勢評估方法的迭代代數(shù)分別減少943和47且預(yù)測精度提高8.06個百分點(diǎn)和3.89個百分點(diǎn)，所提方法具有較快的收斂速度和較高的預(yù)測精度。

態(tài)勢評估；網(wǎng)絡(luò)安全；布谷鳥搜索；神經(jīng)網(wǎng)絡(luò)；高精度

0 引言

近年來，隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)攻擊技術(shù)和手段日新月異，各種網(wǎng)絡(luò)安全事件充斥網(wǎng)絡(luò)空間。傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備往往只關(guān)注某一方面的安全問題，不能從整體上反映網(wǎng)絡(luò)的安全狀況。在此背景下，網(wǎng)絡(luò)安全態(tài)勢評估技術(shù)應(yīng)運(yùn)而生，它能整體上感知網(wǎng)絡(luò)的安全狀況，為網(wǎng)絡(luò)管理人員提供決策幫助。

自Base[1]提出網(wǎng)絡(luò)安全態(tài)勢感知的概念以來，網(wǎng)絡(luò)安全態(tài)勢評估一直是態(tài)勢感知研究的重點(diǎn)[2]，但相關(guān)理論仍不完善，還沒有一種態(tài)勢評估方法在實際網(wǎng)絡(luò)環(huán)境中發(fā)揮出至關(guān)重要的作用。目前，找出一種高效的態(tài)勢評估方法成為態(tài)勢感知研究的重點(diǎn)。

Keramati等[3]提出一種使用通用漏洞評分系統(tǒng)的評分平均值和路徑長度的比值來計算攻擊可達(dá)性的評估方法，該方法可以定量分析網(wǎng)絡(luò)安全并計算網(wǎng)絡(luò)上的損失。汪永偉等[4]提出基于改進(jìn)證據(jù)理論的態(tài)勢評估方法，通過相異計算對證據(jù)重要性修正后進(jìn)行態(tài)勢融合獲取網(wǎng)絡(luò)態(tài)勢值。Szwed等[5]提出基于模糊認(rèn)知圖的評估方法，該方法利用模糊認(rèn)知圖獲取網(wǎng)絡(luò)中重要資產(chǎn)的依賴關(guān)系并進(jìn)行危害程度評估。上述方法具有較強(qiáng)的主觀性且數(shù)據(jù)來源較為單一，存在較大的虛假報警率且評估的誤差較大。

陳麗莎[6]提出結(jié)合反向傳播(Back Propagation, BP)神經(jīng)網(wǎng)絡(luò)與查找法的態(tài)勢評估方法，運(yùn)用BP神經(jīng)網(wǎng)絡(luò)(Back Propagation Neural Network, BPNN)評估網(wǎng)絡(luò)的威脅性、穩(wěn)定性、容災(zāi)性和脆弱性，然后使用等級矩陣得到網(wǎng)絡(luò)的態(tài)勢等級。Zhang等[7]對比基于BP神經(jīng)網(wǎng)絡(luò)和基于徑向基(Radial Basis Function, RBF)網(wǎng)絡(luò)的態(tài)勢預(yù)測方法，實驗結(jié)果表明BP神經(jīng)網(wǎng)絡(luò)的預(yù)測效率較高。黃亮亮[8]提出基于粒子群優(yōu)化(Particle Swarm Optimization, PSO)優(yōu)化RBF網(wǎng)絡(luò)的方法實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢預(yù)測，設(shè)計PSO-RBF網(wǎng)絡(luò)模型對歷史數(shù)據(jù)分析并映射出未來的網(wǎng)絡(luò)態(tài)勢值。上述方法均是基于神經(jīng)網(wǎng)絡(luò)且數(shù)據(jù)來源多樣，使得研究結(jié)果客觀性較強(qiáng)，但網(wǎng)絡(luò)的訓(xùn)練時間過長且評估結(jié)果的精度不足。

針對現(xiàn)有基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法效率低的問題，本文提出一種基于布谷鳥搜索優(yōu)化BP神經(jīng)網(wǎng)絡(luò)(Cuckoo Search optimized Back Propagation Neural Network， CSBPNN)的網(wǎng)絡(luò)安全態(tài)勢評估方法，該方法在訓(xùn)練階段收斂速度快，評估階段精度高。與基于BP神經(jīng)網(wǎng)絡(luò)和基于遺傳算法優(yōu)化BPNN的網(wǎng)絡(luò)安全態(tài)勢評估方法相比，所提方法具有較快的評估速度和較高的精度。

1 CSBPNN評估模型

1.1 設(shè)計思想

利用BP神經(jīng)網(wǎng)絡(luò)強(qiáng)大的非線性映射能力解決態(tài)勢評估中態(tài)勢數(shù)據(jù)與態(tài)勢值關(guān)系不確定的問題，從態(tài)勢數(shù)據(jù)中發(fā)現(xiàn)規(guī)律，推理出態(tài)勢值，使網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)更靈活。針對隨機(jī)初始化BP神經(jīng)網(wǎng)絡(luò)的權(quán)值和閾值容易造成網(wǎng)絡(luò)收斂速度慢、陷入局部極小值等問題，本文使用布谷鳥搜索(Cuckoo Search, CS)算法優(yōu)化BP神經(jīng)網(wǎng)絡(luò)的權(quán)值和閾值，獲得最優(yōu)的權(quán)值和閾值使CSBPNN模型評估結(jié)果更準(zhǔn)確。

1.2 態(tài)勢評估模型設(shè)計

BP神經(jīng)網(wǎng)絡(luò)作為前饋型網(wǎng)絡(luò)的一種，是目前應(yīng)用最為廣泛的網(wǎng)絡(luò)[9]。權(quán)值和閾值隨機(jī)分配下的BP神經(jīng)網(wǎng)絡(luò)的訓(xùn)練時間一般較長，經(jīng)過訓(xùn)練得到的權(quán)值和閾值也可能并非最優(yōu)，本文采用CS算法尋找最優(yōu)的權(quán)值和閾值。CS算法是群智能技術(shù)的典型搜索算法，為BP神經(jīng)網(wǎng)絡(luò)參數(shù)優(yōu)化提供了一種新的研究工具[10]，對CS算法與PSO算法、人工蜂群(Artificial Bee Colony, ABC)算法進(jìn)行了比較研究，結(jié)果表明CS算法尋找基準(zhǔn)測試函數(shù)全局最優(yōu)值的時間復(fù)雜度比PSO和ABC算法低且獲取最優(yōu)值的成功率高[11]。

本文結(jié)合網(wǎng)絡(luò)安全態(tài)勢評估的特點(diǎn)，設(shè)計了CSBPNN模型，如圖1所示。

圖1 CSBPNN網(wǎng)絡(luò)安全態(tài)勢評估模型

該模型由態(tài)勢數(shù)據(jù)輸入、態(tài)勢映射和態(tài)勢輸出部分組成，各部分的功能設(shè)計如下。

1)態(tài)勢數(shù)據(jù)輸入。分時段收集網(wǎng)絡(luò)中節(jié)點(diǎn)的態(tài)勢相關(guān)數(shù)據(jù)，每段時間收集的數(shù)據(jù)(態(tài)勢數(shù)據(jù)1，態(tài)勢數(shù)據(jù)2，…，態(tài)勢數(shù)據(jù)n)作為態(tài)勢輸入部分的一組輸入數(shù)據(jù)。

2)態(tài)勢數(shù)據(jù)映射。該部分由三層組成：輸入層、隱含層和輸出層。輸入層從態(tài)勢輸入部分獲取輸入數(shù)據(jù)，這些數(shù)據(jù)經(jīng)過隱含層的運(yùn)算得到隱含層的輸出，然后經(jīng)過輸出層的運(yùn)算得到輸出層的輸出，態(tài)勢數(shù)據(jù)映射完成。

輸入層的節(jié)點(diǎn)數(shù)與輸入數(shù)據(jù)數(shù)相同；輸出層的節(jié)點(diǎn)數(shù)與態(tài)勢評估結(jié)果數(shù)相同；隱含層數(shù)可以根據(jù)需要進(jìn)行設(shè)置，但是層數(shù)越多、網(wǎng)絡(luò)越復(fù)雜，則訓(xùn)練時間越長，不能滿足實際應(yīng)用的需求，因此，采用一個隱含層并增加隱含層節(jié)點(diǎn)個數(shù)的設(shè)計方式，既可滿足實際應(yīng)用的需求又能提高網(wǎng)絡(luò)的準(zhǔn)確度。采用試湊法設(shè)置隱含層節(jié)點(diǎn)的個數(shù)，首先使用經(jīng)驗公式設(shè)置較少的隱節(jié)點(diǎn)，然后每次增加等量的隱節(jié)點(diǎn)，在使用同一樣本集的前提下，選取訓(xùn)練誤差最小時對應(yīng)的節(jié)點(diǎn)數(shù)。初始隱節(jié)點(diǎn)數(shù)m為：

(1)

其中：n代表輸入層節(jié)點(diǎn)個數(shù)；l代表輸出層節(jié)點(diǎn)個數(shù)；δ代表0～10的常數(shù)；當(dāng)(n+l)的開方是小數(shù)時，在滿足精度要求的前提下，選取盡可能少的隱含層節(jié)點(diǎn)數(shù)m[9]。

設(shè)輸入層有i個節(jié)點(diǎn)，隱含層有j個節(jié)點(diǎn)，輸出層有k個節(jié)點(diǎn)；輸入層到隱含層之間有連接權(quán)值wij，隱含層有閾值θj；隱含層到輸出層有連接權(quán)值vjk，輸出層有閾值rk；第j個隱含層節(jié)點(diǎn)的輸出值yj，第k個輸出層節(jié)點(diǎn)的輸出值yk，則：

(2)

(3)

式(2)和(3)中，f(x)為sigmoid函數(shù)，sigmoid函數(shù)是標(biāo)準(zhǔn)的BP神經(jīng)網(wǎng)絡(luò)傳遞函數(shù)，它與生物神經(jīng)元信息處理的真實反映非常相似且有一個簡單的導(dǎo)數(shù)，對開放學(xué)習(xí)算法十分有用；xi為輸入層輸入。

3)態(tài)勢數(shù)據(jù)輸出。接收態(tài)勢映射部分傳遞過來的值，該值即為某時段網(wǎng)絡(luò)的態(tài)勢值。

2 網(wǎng)絡(luò)安全態(tài)勢評估

2.1 布谷鳥編碼及適應(yīng)度函數(shù)設(shè)計

網(wǎng)絡(luò)安全態(tài)勢評估的目的是完成態(tài)勢數(shù)據(jù)集到態(tài)勢結(jié)果集的映射，主要包括態(tài)勢數(shù)據(jù)的感知、獲取和評估計算，給出對網(wǎng)絡(luò)安全狀況的判斷性結(jié)果。在本文的態(tài)勢評估方法中，首先解決的是布谷鳥編碼和適應(yīng)度函數(shù)設(shè)計兩個問題。

1)布谷鳥編碼方式。浮點(diǎn)數(shù)編碼直觀且具有編碼長度易控制、編碼精度高且大空間搜索能力強(qiáng)等特點(diǎn)，有利于處理多維及高精度連續(xù)函數(shù)，并可降低計算復(fù)雜性、提高運(yùn)算效率，故本文采用浮點(diǎn)數(shù)編碼。

設(shè)網(wǎng)絡(luò)的輸入層節(jié)點(diǎn)數(shù)M，隱含層節(jié)點(diǎn)數(shù)I，輸出層節(jié)點(diǎn)數(shù)J，輸入層到隱含層矩陣W，隱含層到輸出層權(quán)值矩陣V，隱含層閾值矩陣θ，輸出層閾值矩陣r。所有權(quán)值和閾值共同編碼成一只布谷鳥，則布谷鳥的編碼為：

W11W21…WM1V11V21…V1Jθ1…W1IW2I…WMIVI1VI2 …VIJθIr1…rJ

(4)

2)適應(yīng)度函數(shù)設(shè)計。適應(yīng)度是衡量群體中個體好壞的依據(jù)，適應(yīng)度值越高代表該個體越接近最優(yōu)解。適應(yīng)度函數(shù)的設(shè)計方案有3種：第1種是直接將目標(biāo)函數(shù)作為適應(yīng)度函數(shù)；第2種是對目標(biāo)函數(shù)作一次加運(yùn)算；第3種是對目標(biāo)函數(shù)作一次加運(yùn)算后取倒數(shù)。本文結(jié)合BP神經(jīng)網(wǎng)絡(luò)總誤差越小越好的特點(diǎn)選用第3種設(shè)計方案。設(shè)BP神經(jīng)網(wǎng)絡(luò)的總誤差E小于ε；I是隱含節(jié)點(diǎn)總數(shù)；M是輸入節(jié)點(diǎn)總數(shù)；第k個輸出節(jié)點(diǎn)的期望輸出為dk和實際輸出yk，則：

(5)

本文選用的第3種適應(yīng)度函數(shù)設(shè)計方案表示為：

(6)

此外，本文的態(tài)勢評估方法還考慮了參數(shù)設(shè)計的問題。由于種群規(guī)模和發(fā)現(xiàn)概率是CS算法的兩個重要參數(shù)，當(dāng)種群規(guī)模從5變化到50再到500，發(fā)現(xiàn)概率從0變化到0.1再到0.5的過程中，收斂率先變大再趨于穩(wěn)定[10]。當(dāng)種群規(guī)模設(shè)置較大時，收斂率略有提高但消耗了更多的時間和資源。Yi等[12]對CS算法選取不同的種群規(guī)模和發(fā)現(xiàn)概率進(jìn)行實驗驗證，當(dāng)種群規(guī)模為50，發(fā)現(xiàn)概率為0.1時，預(yù)測的準(zhǔn)確率達(dá)到最高。綜上所述，種群規(guī)模選取50，發(fā)現(xiàn)概率選取0.1。

2.2 網(wǎng)絡(luò)安全態(tài)勢評估流程設(shè)計

基于CSBPNN的網(wǎng)絡(luò)安全態(tài)勢評估流程如圖2所示。

圖2 態(tài)勢評估流程

基于CSBPNN的網(wǎng)絡(luò)安全態(tài)勢評估步驟設(shè)計如下。

步驟1 收集網(wǎng)絡(luò)中各節(jié)點(diǎn)的態(tài)勢相關(guān)數(shù)據(jù)，剔除不完整的數(shù)據(jù)，獲取流量、數(shù)據(jù)包等網(wǎng)絡(luò)參數(shù)進(jìn)行處理，產(chǎn)生CSBPNN模型的輸入數(shù)據(jù)。

(7)

Levy(λ)～u=t-λ; 1<λ<3

(8)

步驟5 判斷最優(yōu)布谷鳥是否滿足條件或者迭代代數(shù)是否達(dá)到要求，如果是，則將最優(yōu)布谷鳥解碼獲取最優(yōu)的權(quán)值、閾值，賦給CSBPNN模型；反之，則執(zhí)行步驟3。

步驟6 將態(tài)勢輸入數(shù)據(jù)作為CSBPNN模型的輸入，將態(tài)勢值作為CSBPNN模型的輸出，用足夠多的樣本訓(xùn)練CSBPNN模型，完成態(tài)勢數(shù)據(jù)到態(tài)勢值的映射。

步驟7 將態(tài)勢指標(biāo)數(shù)據(jù)輸入到具有評估能力的CSBPNN模型中，經(jīng)過映射得到網(wǎng)絡(luò)的態(tài)勢值。

3 實驗結(jié)果與分析

3.1 實驗環(huán)境和步驟

3.1.1 實驗環(huán)境

本文搭建的實驗環(huán)境如圖3所示，包括8臺主機(jī)、5個網(wǎng)絡(luò)組件和snort入侵檢測系統(tǒng)，其中4臺主機(jī)模擬服務(wù)器，服務(wù)器具體配置參數(shù)見表1。圖3中用戶和攻擊者均可訪問該網(wǎng)絡(luò)中的主機(jī)[13]。

表1 主機(jī)配置

3.1.2 實驗步驟

本文實驗步驟設(shè)計如下：

1)正常用戶持續(xù)訪問Host1(IIS Web Server)、Host3(FTP Server)和Host5(Main Database)；

2)攻擊者利用漏洞CVE- 2013- 5793對Main Database進(jìn)行攻擊；

3)攻擊者利用漏洞CVE- 2011- 0762對FTP Server進(jìn)行攻擊；

4)攻擊者利用漏洞CVE- 2006- 2753對Main Database進(jìn)行攻擊；

5)攻擊者利用漏洞CVE- 2004- 2650對IIS Web Server進(jìn)行攻擊；

6)攻擊者利用漏洞CVE- 2013- 5908對Main Database進(jìn)行攻擊。

重復(fù)上述步驟，將snort收集的數(shù)據(jù)包記錄在數(shù)據(jù)庫名為snortdb的MySQL數(shù)據(jù)庫中。實驗結(jié)束后分時段獲取網(wǎng)絡(luò)數(shù)據(jù)并進(jìn)行處理，作為態(tài)勢輸入數(shù)據(jù)。

圖3 實驗網(wǎng)絡(luò)拓?fù)?/p>

漏洞攻擊威脅終端的可用性，而主機(jī)可用性依賴于CPU、內(nèi)存、磁盤空間的使用情況、網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)連接使用率和進(jìn)程/線程的增減等[14]。通過分析數(shù)據(jù)包的變化情況可發(fā)現(xiàn)這些攻擊，因此本文選取與數(shù)據(jù)包相關(guān)的態(tài)勢數(shù)據(jù)指標(biāo)(如表2所示)。

表2 態(tài)勢數(shù)據(jù)指標(biāo)

本文參考國家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全基本態(tài)勢指數(shù)，并結(jié)合網(wǎng)絡(luò)的威脅、漏洞等要素特點(diǎn)，將網(wǎng)絡(luò)安全態(tài)勢劃分為優(yōu)、良、中、差、危五個等級并用[0,1)、[1,2.5)、[2.5,6)、[6,8)、[8,10)五個區(qū)間進(jìn)行定量描述。

本文實驗?zāi)M的是漏洞攻擊，實驗中設(shè)置的漏洞都用通用漏洞評分系統(tǒng)(Common Vulnerability Scoring System, CVSS)進(jìn)行評分，使用漏洞的CVSS基礎(chǔ)分作為網(wǎng)絡(luò)的安全態(tài)勢值，旨在驗證所提出的CSBPNN方法的可行性和高效性。收集并處理得到100組數(shù)據(jù)，其中80組作為訓(xùn)練數(shù)據(jù)，20組作為測試數(shù)據(jù)，部分?jǐn)?shù)據(jù)樣本如表3所示。

3.2 CSBPNN態(tài)勢評估模型建立

本文使用Matlab R2012b軟件的神經(jīng)網(wǎng)絡(luò)工具箱實現(xiàn)提出的CSBPNN模型。Matlab運(yùn)行平臺配置如下：處理器Intel Core i5- 3570 CPU @3.40 GHz 3.40 GHz，已安裝內(nèi)存(RAM)：4.00 GB(3.89 GB可用)。CSBPNN模型包括布谷鳥搜索最優(yōu)權(quán)值閾值部分和BP神經(jīng)網(wǎng)絡(luò)構(gòu)造兩部分。在布谷鳥尋優(yōu)部分，選取布谷鳥種群規(guī)模n=50，設(shè)定發(fā)現(xiàn)概率p=0.1，最大迭代代數(shù)為50；在BP神經(jīng)網(wǎng)絡(luò)部分，由于輸入的態(tài)勢數(shù)據(jù)分別是傳輸控制協(xié)議(Transmission Control Protocol, TCP)包分布、TCP包字節(jié)數(shù)比重、用戶數(shù)據(jù)報協(xié)議(User Datagram Protocol, UDP)包分布、UDP包字節(jié)數(shù)比重、互聯(lián)網(wǎng)控制報文協(xié)議(Internet Control Message Protocol, ICMP)包分布、ICMP包字節(jié)數(shù)比重、流入流量變化率、流出流量變化率，則設(shè)定輸入層節(jié)點(diǎn)數(shù)8，隱含層節(jié)點(diǎn)數(shù)通過式(1)選取4，經(jīng)試湊得節(jié)點(diǎn)數(shù)6，輸出層輸出為態(tài)勢值，輸出節(jié)點(diǎn)數(shù)1，傳遞函數(shù)為標(biāo)準(zhǔn)的sigmoid函數(shù)，最大迭代次數(shù)設(shè)定為1 000。

表3 數(shù)據(jù)樣本表

3.3 實驗結(jié)果與分析

圖4顯示CS算法在尋找最優(yōu)布谷鳥過程中的適應(yīng)度變化曲線。

圖4 布谷鳥個體適應(yīng)度值變化曲線

從圖4可以看出，CS算法僅采用較小的種群規(guī)模，經(jīng)迭代20次，適應(yīng)度就收斂于最優(yōu)。這表明CS算法僅消耗很小的資源便達(dá)到最優(yōu)，CS算法達(dá)到了預(yù)期的效果，是高效可行的。

使用Matlab軟件實現(xiàn)基于遺傳算法優(yōu)化BP神經(jīng)網(wǎng)絡(luò)(Genetic Algorithm optimized Back Propagation Neural Network, GABPNN)的態(tài)勢評估方法和基于BPNN的態(tài)勢評估方法[15]，并與本文方法進(jìn)行評估對比。當(dāng)CSBPNN、BPNN和GABPNN訓(xùn)練完成時迭代次數(shù)分別為57，1 000和104次。從結(jié)果可以得出，CSBPNN的迭代次數(shù)分別比BPNN和GABPNN少943和57次。由此可知，CSBPNN態(tài)勢評估方法的收斂速度較快。

在Matlab軟件中完成3種模型的訓(xùn)練后，對實驗網(wǎng)絡(luò)后面時段的態(tài)勢進(jìn)行評估。將剩余的20個樣本數(shù)據(jù)輸入到CSBPNN模型的輸入部分，經(jīng)過態(tài)勢映射得到網(wǎng)絡(luò)當(dāng)前的態(tài)勢值。同樣，應(yīng)用GABPNN方法和BPNN方法對這20組數(shù)據(jù)進(jìn)行評估計算。將3種方法獲取的20組網(wǎng)絡(luò)安全態(tài)勢值和網(wǎng)絡(luò)的實際態(tài)勢值(即漏洞的CVSS評分)比較(詳見圖5)。

從圖5可以看出，除樣本8和樣本15以外，本文方法對其他樣本的評估結(jié)果更加接近網(wǎng)絡(luò)實際的態(tài)勢值。評估結(jié)果的平均相對誤差M為：

其中：yk和dk為評估模型的輸出值和期望輸出值；n為測試樣本集。經(jīng)計算得到BPNN、GABPNN和CSBPNN三種方法評估相對的誤差分別為12.14%、7.97%和4.08%。CSBPNN網(wǎng)絡(luò)安全態(tài)勢評估方法的相對誤差比BPNN和GABPNN分別低8.06和3.89個百分點(diǎn)，所提方法準(zhǔn)確度較好，能夠更加精準(zhǔn)地描述網(wǎng)絡(luò)的安全態(tài)勢。

圖5 態(tài)勢評估結(jié)果

綜上所述，CSBPNN比BPNN和GABPNN具有更快的收斂速度、更強(qiáng)的逼近能力以及更高的評估精度。

4 結(jié)語

近年來，神經(jīng)網(wǎng)絡(luò)以其強(qiáng)大的非線性映射能力在態(tài)勢評估中發(fā)揮著重要作用，一些智能算法相繼被用于神經(jīng)網(wǎng)絡(luò)來提高態(tài)勢評估的準(zhǔn)確性和效率，本文提出CSBPNN方法使用CS算法對BP神經(jīng)網(wǎng)絡(luò)的參數(shù)進(jìn)行優(yōu)化，得到用于態(tài)勢評估的CSBPNN模型，將網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)輸入到CSBPNN中映射出網(wǎng)絡(luò)的安全態(tài)勢值。該方法能有效解決現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢評估方法效率低的問題。未來可以通過調(diào)整CS算法的步長參數(shù)等方式使算法的收斂速度和解的質(zhì)量進(jìn)一步提高，使CSBPNN態(tài)勢評估方法達(dá)到更好的評估效果。

References)

[1] BASS T. Intrusion detection systems & multisensor data fusion [J]. Communications of the ACM, 2000, 42(4):99-105.

[2] 王坤,邱輝,楊豪璞.基于攻擊模式識別的網(wǎng)絡(luò)安全態(tài)勢評估方法[J].計算機(jī)應(yīng)用,2016,36(1):194-198.(WANG K, QIU H, YANG H P. Network security situation evaluation method based on attack pattern recognition [J]. Journal of Computer Applications, 2016, 36(1): 194-198.)

[3] KERAMATI M, AKBARI A, KERAMATI M. CVSS-based security metrics for quantitative analysis of attack graphs [C]// ICCKE 2013: Proceedings of the 2013 International Conference on Computer and Knowledge Engineering. Piscataway, NJ: IEEE, 2013: 178-183.

[4] 汪永偉,劉育楠,趙榮彩,等.基于改進(jìn)證據(jù)理論的態(tài)勢評估方法[J].計算機(jī)應(yīng)用,2014,34(2):491-495.(WANG Y W, LIU Y N, ZHAO R C, et al. Situation assessment method based on improved evidence theory [J]. Journal of Computer Applications, 2014, 34(2): 491-495.)

[5] SZWED P, SKRZYNSKI P. A new lightweight method for security risk assessment based on fuzzy cognitive maps [J]. International Journal of Applied Mathematics and Computer Science, 2014, 24(1): 213-225.

[6] 陳麗莎.大規(guī)模網(wǎng)絡(luò)安全態(tài)勢評估模型研究[D].成都:電子科技大學(xué),2008:27-49.(CHEN L S. Research on the model of large-scale network security situation awareness [D]. Chengdu: University of Electronic Science and Technology of China, 2008: 27-49.)

[7] ZHANG Y X, JIN S Y, CUI X, et al. Network security situation prediction based on BP and RBF neural network [C]// ISCTCS 2013: Proceedings of the 2013 International Standard Conference on Trustworthy Computing and Services. Berlin: Springer, 2013: 659-665.

[8] 黃亮亮.網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測方法的研究[D].蘭州:蘭州大學(xué),2016:36-41.(HUANG L L. The study of assessment and prediction methods for network security situation [D]. Lanzhou: Lanzhou University, 2016: 36-41.)

[9] 吳昌友.神經(jīng)網(wǎng)絡(luò)的研究及應(yīng)用[D].哈爾濱:東北農(nóng)業(yè)大學(xué),2007:8-28.(WU C Y. The research and application on neural network [D]. Harbin: Northeast Agriculture University, 2007: 8-28.)

[10] YANG X S. Nature-Inspired Metaheuristic Algorithms [M]. 2nd ed. Bristol, UK: Luniver Press, 2010: 105-114.

[11] CIVICIOGLU P, BESDOK E. A conceptual comparison of the cuckoo-search, particle swarm optimization, differential evolution and artificial bee colony algorithms [J]. Artificial Intelligence Review, 2013, 39(4): 315-346.

[12] YI J H, XU W H, CHEN Y T. Novel back propagation optimization by cuckoo search algorithm [J]. The Scientific World Journal, 2014, 2014(1): Article ID 878262.

[13] 韋勇.網(wǎng)絡(luò)安全態(tài)勢評估模型研究[D].合肥:中國科學(xué)技術(shù)大學(xué),2009:65-69.(WEI Y. Research on network security situation awareness model [D]. Hefei: University of Science and Technology of China, 2009: 65-69.)

[14] 陶敬,馬小博,趙娟,等.基于資源可用性的主機(jī)異常檢測[J].電子科技大學(xué)學(xué)報,2007,36(s3):1449-1452.(TAO J, MA X B, ZHAO J, et al. A method for host abnormal detection based on resource availability [J]. Journal of University of Electronic Science and Technology of China, 2007, 36(s3): 1449-1452.)

[15] 王小川.MATLAB神經(jīng)網(wǎng)絡(luò)43個案例分析[M].北京:北京航空航天大學(xué)出版社,2013:1-32.(WANG X C. MATLAB Neural Network 43 Case Analysis [M]. Beijing: Beihang University Press, 2013: 1-32.)

This work is partially supported by the National Science and Technology Major Project (2012ZX03002002), the National Natural Science Foundation of China (60776807, 61179045), the Science and Technology Major Project of Tianjin (09JCZDJC16800), the Science and Technology Foundation of Civil Aviation of China (MHRD201009, MHRD201205).

XIELixia, born in 1974, M. S., associate professor. Her research interests include network and information security.

WANGZhihua, born in 1990, M. S. candidate. His research interests include network and information security.

Networksecuritysituationassessmentmethodbasedoncuckoosearchoptimizedbackpropagationneuralnetwork

XIE Lixia*, WANG Zhihua

(SchoolofComputerScienceandTechnology,CivilAviationUniversityofChina,Tianjin300300,China)

Aiming at the low efficiency of the existing network security situation assessment method based on neural network, a network security situation assessment method based on Cuckoo Search (CS) optimized Back Propagation (BP) Neural Network (CSBPNN) was proposed. Firstly, the numbers of input and output nodes of the BP Neural Network (BPNN) were determined according to the number of input index and the output value. The number of hidden layer nodes was calculated according to the empirical formula and the trial and error method. Secondly, the connection weights and thresholds were randomly initialized, and the weights and thresholds were coded into cuckoo by using floating point coding. Finally, the weights and thresholds were optimized by using CS algorithm. The CSBPNN model for situation assessment was got and trained. The situation data was input into the CSBPNN model to obtain the situation value. The experimental results show that the iterative number of CSBPNN is reduced by 943 and 47 respectively, and the prediction accuracy is 8.06 percentage points and 3.89 percentage points higher than that of BPNN and Genetic Algorithm (GA) optimized BP neural network. The proposed algorithm has faster convergence speed and higher prediction accuracy.

situation assessment; network security; Cuckoo Search (CS); neural network; high-precision

TP393.08

:A

2016- 12- 28;

:2017- 03- 11。

國家科技重大專項(2012ZX03002002)；國家自然科學(xué)基金資助項目(60776807，61179045)；天津市科技計劃重點(diǎn)項目(09JCZDJC16800)；中國民航科技基金資助項目(MHRD201009，MHRD201205)。

謝麗霞(1974—)，女，重慶人，副教授，碩士，CCF會員，主要研究方向：網(wǎng)絡(luò)與信息安全； 王志華(1990—)，男，河南鄭州人，碩士研究生，主要研究方向：網(wǎng)絡(luò)與信息安全。

1001- 9081(2017)07- 1926- 05

10.11772/j.issn.1001- 9081.2017.07.1926