孫衛(wèi)喜，孫 歡

(1.渭南師范學院 網(wǎng)絡安全與信息化學院，陜西 渭南 714099;2.西安電子科技大學 經(jīng)濟與管理學院，陜西 西安 710071)

0 引 言

如今人們在工作、學習、生活等方面享受網(wǎng)絡帶來極大便利的同時也為經(jīng)常出現(xiàn)的網(wǎng)絡安全問題感到困惑，特別是互聯(lián)網(wǎng)環(huán)境高速進化中網(wǎng)絡安全威脅及網(wǎng)絡攻擊手段多樣化已超越了防范措施的推出速度，面對網(wǎng)絡攻擊行為規(guī)?；?、常態(tài)化發(fā)展的趨勢，研究如何在網(wǎng)絡攻擊之前，利用有效的防護措施及時發(fā)現(xiàn)攻擊行為并予以阻止就顯得非常有意義。網(wǎng)絡安全態(tài)勢感知(network security situation awareness，NSSA)能對影響網(wǎng)絡安全的各種因素進行解析、收集、綜合處理；建立數(shù)學模型；給出評估網(wǎng)絡安全的方法；對網(wǎng)絡安全進行預測。從而使網(wǎng)絡管理者能及時利用可視化的網(wǎng)絡安全預測系統(tǒng)，對發(fā)現(xiàn)的網(wǎng)絡安全弱點、預測到的威脅，制定出相應的措施主動進行防御。

1 網(wǎng)絡安全態(tài)勢感知

態(tài)勢感知(situation awareness，SA)起源于軍事領域，用于對復雜結構、影響因素眾多、大范圍事件的整體理解及快速決策處理。Time Bass針對網(wǎng)絡安全的復雜性于1999年提出了網(wǎng)絡安全態(tài)勢感知的概念[1]，雖然網(wǎng)絡態(tài)勢感知的標準定義目前還沒有，但網(wǎng)絡態(tài)勢感知作用卻很明確，即通過感知系統(tǒng)觀測整個網(wǎng)絡的安全情況，再依據(jù)觀測到的數(shù)據(jù)對網(wǎng)絡安全事件及時做出判斷，并以可視化方式提供給管理者進行決策。數(shù)據(jù)挖掘與態(tài)勢評估及態(tài)勢預測被普遍認為是網(wǎng)絡安全態(tài)勢感知的三大關鍵技術，數(shù)據(jù)挖掘中力求準確、快速、全面地找到網(wǎng)絡威脅事件；態(tài)勢評估要求更為有效客觀地評價網(wǎng)絡安全態(tài)勢；態(tài)勢預測則強調預測網(wǎng)絡安全的準確性，以便使網(wǎng)絡管理者依據(jù)預測結果采取相應的措施，保護網(wǎng)絡安全。

國外網(wǎng)絡安全態(tài)勢感知系統(tǒng)架構的建立主要采用的是集成化思想，卡內基梅隆大學SEI 2005年在網(wǎng)絡態(tài)勢感知系統(tǒng)中集成了Netflow工具，能對潛在的、惡意的網(wǎng)絡攻擊行為進行識別與響應，并做出相應的防御。King等2012年在分類屬性網(wǎng)絡中運用深度包檢測技術提供了深刻全面的態(tài)勢感知結果[2]；Friedberg等2015年給出了網(wǎng)絡異常行為的態(tài)勢感知基于事件自動關聯(lián)的事件檢測AECID[3]。

國內對網(wǎng)絡安全態(tài)勢感知的研究主要基于網(wǎng)絡安全數(shù)據(jù)的全面獲得，數(shù)據(jù)融合方法及數(shù)據(jù)之間的關聯(lián)性分析，網(wǎng)絡安全態(tài)勢指標體系的建立，以及網(wǎng)絡安全態(tài)勢評估。

陳秀真等利用網(wǎng)絡運行情況與告警信息數(shù)據(jù)，對網(wǎng)絡結構及主機和服務發(fā)揮的作用進行系統(tǒng)分析，提取影響網(wǎng)絡態(tài)勢的多個因素，給出了網(wǎng)絡安全態(tài)勢計算方法和層次化的量化評估模型[4]，但其缺乏對網(wǎng)絡攻擊間的聯(lián)系及整體性分析。韋勇等依據(jù)層次化的思想，對節(jié)點上的安全要素利用D-S證據(jù)理論做了融合，再按照節(jié)點、子網(wǎng)、全網(wǎng)層融合，最后獲得網(wǎng)絡態(tài)勢值，從而在信息融合的基礎上建立網(wǎng)絡安全態(tài)勢評估模型[5]，由于其有效處理了多源安全事件，使多源信息間的互補性得到了充分利用，從而使態(tài)勢感知的準確性進一步提高，也使得在網(wǎng)絡態(tài)勢感知中多源信息融合優(yōu)于單源的特征得到驗證。劉效武等以數(shù)據(jù)信息從融合異質多傳感器獲得，再用支持向量機結合特征約簡算法生成網(wǎng)絡安全態(tài)勢值，最后依據(jù)評價指標評價量化態(tài)勢感知[6]。

目前對NSSA的研究仍然處于探索階段，主要存在的問題是：缺乏統(tǒng)一的理論體系指導及態(tài)勢分級評價的客觀性；前期的評價體系仍然缺乏宏觀性及整體性；多屬性多源潛在的內部態(tài)勢信息及復雜的網(wǎng)絡元素間的關系無法展現(xiàn)；系統(tǒng)方面的研究及對網(wǎng)絡態(tài)勢結果溯源的較少。

2 網(wǎng)絡安全態(tài)勢預測模型的構建

2.1 網(wǎng)絡安全態(tài)勢預測

網(wǎng)絡安全態(tài)勢的預測以發(fā)生網(wǎng)絡安全事件的數(shù)量、頻率、網(wǎng)絡受威脅程度等因素經(jīng)過處理而獲取反應網(wǎng)絡態(tài)勢的數(shù)據(jù)為根據(jù)。網(wǎng)絡安全態(tài)勢預測標準模型與方法目前并沒有，發(fā)展較快的網(wǎng)絡安全態(tài)勢預測方法主要有：灰色預測、神經(jīng)網(wǎng)絡、時間序列預測法及支持向量機預測。

文中在對目前網(wǎng)絡安全態(tài)勢預測方法進行分析研究后，給出一種支持向量機與改進粒子群優(yōu)化算法相結合的網(wǎng)絡安全態(tài)勢預測方法，即在SVM優(yōu)點特征的基礎上用改進的粒子群優(yōu)化算法，通過用無體積無質量的粒子作為個體且規(guī)定各粒子的行為規(guī)則，使用個體之間的協(xié)作尋優(yōu)在表現(xiàn)出復雜特性的整個粒子群中尋找最優(yōu)解，進而優(yōu)化支持向量機的三個參數(shù)。該方法克服了使用線性方法評估網(wǎng)絡安全態(tài)勢帶來的預測精度低、描述網(wǎng)絡目前狀態(tài)與未來狀態(tài)關系困難等問題，更適應網(wǎng)絡安全態(tài)勢變化時變性、非線性等特點。

2.2 支持向量機算法

為了解決復雜的模式識別問題，Vapnik于1963年提出了支持向量機，該研究在1992年取得了較大進展[7]并于1995年在統(tǒng)計學習理論的基礎上給出了SVM分類器，較好地解決了線性不可分的問題[8]。后續(xù)的學者們研究出：基于二叉樹的多分類方法[9]、序列最小優(yōu)化訓練算法(SMO)[10]、多分類理論、決策導向非循環(huán)圖法(DDAG)[11]、1-a.r方法[12]。近年來相關學者們又研究出Class-SVM、v-SVM、C-SVM等算法，進一步完善了支持向量機的理論體系。張翔等在態(tài)勢評估指標時間序列預測中采用支持向量回歸預測的方法[13]；王庚等人用遺傳算法的染色體編碼優(yōu)化支持向量機參數(shù)[14]。

SVM訓練樣本通過預設函數(shù)的支持向量機訓練，函數(shù)的確定是在用不斷擬合方法給出重要參數(shù)的基礎上獲得的。SVM泛化能力強，對復雜的非線性數(shù)據(jù)與小樣本數(shù)據(jù)的建模識別能力很好。

文中所給樣本集為:{{X1,Y1},{X2,Y2},…,{Xn,Yn}},Xi∈Rn,觀測樣本值Yi∈Rn,設回歸模型為：

f(x)=ωTx+b

(1)

其中,ω為支持向量機法向量;b為偏移量。

實現(xiàn)合理擬合樣本集需要用到損失函數(shù)ε，|yi-f(xi)|=max{0,|yi-f(xi)|-ε}觀測值與f(xi)回歸預測值間誤差的相對值不能大于ε，因而：

(2)

(3)

(4)

懲罰因子C>0，利用拉格朗日乘子求解，即：

(5)

(6)

并滿足：

(7)

把式6代入式4獲取優(yōu)化目標函數(shù)，給出K(xi,xj)核函數(shù)來替換點積運算：

于是，問題就變?yōu)槎我?guī)劃問題，解該問題得到：

(10)

鑒于在支持向量機核函數(shù)中使用高斯核函數(shù)較好，對高斯核函數(shù)做如下設定:

(11)

支持向量機預測模型如下:

(12)

其中，σ表示高斯核函數(shù)寬度。

2.3 改進的粒子群優(yōu)化算法

用SVM能從龐雜的網(wǎng)絡安全因素中找出規(guī)律，足以說明其對網(wǎng)絡安全態(tài)勢預測的有效性，而傳統(tǒng)確定SVM參數(shù)的方法如網(wǎng)絡搜索法、窮舉法及經(jīng)驗法存在耗時長、難以找到最優(yōu)參數(shù)、模型的預測精度較低等問題，分析前期對SVM用于網(wǎng)絡安全態(tài)勢預測的研究，發(fā)現(xiàn)SVM參數(shù)的優(yōu)化問題是決定預測精度的關鍵。支持向量機的主要參數(shù)有:核函數(shù)的寬度σ，非線性問題最優(yōu)解的復雜度用σ確定，σ的取值關系支持向量機的泛化能力；懲罰因子C，是過學習還是欠學習由C的取值過大或過小決定；不敏感損失函數(shù)ε，支持向量數(shù)目和計算復雜度由ε確定,其表示訓練時的誤差期望。支持向量機主要參數(shù)的選取決定其預測精度，文中采用改進的粒子群優(yōu)化算法對這三個參數(shù)進行優(yōu)化。

粒子群優(yōu)化算法(PSO)是以無體積無質量的粒子為個體，且規(guī)定了單個粒子的行為，使得整個粒子群特征表現(xiàn)多樣化，以粒子個體間的協(xié)作得到最優(yōu)解。粒子群優(yōu)化算法是一種全局優(yōu)化進化算法，有著進化初期需要調整的參數(shù)少、容易實現(xiàn)、概念簡單、快速收斂等特征。但用POS優(yōu)化SVM的三個主要參數(shù)時發(fā)現(xiàn)，粒子群中當單個粒子搜索到某個局部最優(yōu)解時會影響到其周圍的其他尋優(yōu)粒子，導致它們快速靠近該粒子，這樣就會出現(xiàn)局部最優(yōu)解及粒子早熟等問題。針對該問題，引入了混沌優(yōu)化算法對粒子群優(yōu)化算法做了改進，混沌優(yōu)化算法具有全局性的優(yōu)點，其可以按某種規(guī)則一次性搜索一定范圍內的所有情況，當粒子群出現(xiàn)部分收斂后，再按照粒子群變化的適應情況對粒子群最優(yōu)值及情況差的粒子進行混沌變異，使粒子群優(yōu)化算法避開部分最優(yōu)的能力得到進一步的提高。

文中充分綜合兩種算法的優(yōu)點計算SVM的三個參數(shù)。用混沌優(yōu)化算法在參數(shù)選取時能使用普遍的參數(shù)選取法，不用考慮模型的變量維數(shù)和復雜度的特性，再利用混沌理論的規(guī)律性、遍歷性、隨機性等特點有效地解決了用PSO算法優(yōu)化時出現(xiàn)的局部最優(yōu)解及粒子早熟的問題，也就是用混沌變異算子對粒子群優(yōu)化算法進行必要的改進，即在粒子群進化中確定粒子是否早熟依據(jù)粒子群適應度最優(yōu)變化情況，若變化不大于確定值時，則對粒子群中優(yōu)勝粒子的位置與速度進行更換，再用混沌變量映射非優(yōu)勝粒子，然后把替換了的優(yōu)勝粒子與使用混沌優(yōu)化后的非優(yōu)粒子組成新種群；使用混沌優(yōu)化法對此時全局最優(yōu)值進行擾動，以便增加尋找全局最優(yōu)解的幾率，使得粒子群經(jīng)過本操作后避開出現(xiàn)局部最優(yōu)點的問題。粒子的速度與位置經(jīng)混沌變量隨機性初始化后，種群的遍歷性及多樣性得到進一步的提高。

2.4 提出的網(wǎng)絡安全態(tài)勢預測方法的預測步驟

預測步驟如圖1所示。

圖1 網(wǎng)絡安全態(tài)勢預測

(1)收集、整理網(wǎng)絡安全態(tài)勢數(shù)據(jù)，量化處理網(wǎng)絡安全監(jiān)測數(shù)據(jù)。

(2)數(shù)據(jù)歸一化處理，影響網(wǎng)絡安全態(tài)勢的因素眾多，有時收集到的數(shù)據(jù)差異明顯，而支持向量機數(shù)據(jù)預測敏感區(qū)在(0,1)之間，故需要在(0,1)之間歸類原始的網(wǎng)絡安全態(tài)勢數(shù)據(jù)。

(3)在前兩步的基礎上，通過確定嵌入維數(shù)和時間延遲將一維的網(wǎng)絡安全態(tài)勢數(shù)據(jù)轉換為多維樣本態(tài)勢數(shù)據(jù)。

(4)把獲得的樣本數(shù)據(jù)分為測試集與訓練集兩部分，把訓練集數(shù)據(jù)輸入SVM學習。

(5)SVM主要參數(shù)的優(yōu)化采用改進的粒子群優(yōu)化算法，實現(xiàn)用最優(yōu)參數(shù)建立預測模型。

(6)對測試集使用建立的預測模型進行預測，完成反歸一化預測結果等處理，再依據(jù)得到的處理數(shù)據(jù)預測網(wǎng)絡安全態(tài)勢。

3 實驗分析

3.1 網(wǎng)絡安全態(tài)勢數(shù)據(jù)的選取

選取某公司2017年3月1日-4月29日和5月1日-6月29日的安全測試數(shù)據(jù)，每天取樣4回，安全測試數(shù)據(jù)按兩月為一批，通過計算后每批各獲得240個態(tài)勢值，以相同的過程分別對兩批數(shù)據(jù)進行實驗，通過MATLAB 7.5進行實驗。

3.2 預測網(wǎng)絡安全態(tài)勢模型的實現(xiàn)

累加所得的各組態(tài)勢值，以獲得新數(shù)據(jù)樣本，實行歸一化處理新數(shù)據(jù)樣本。把NSSA時間延遲設定為1，用試湊法得到的嵌入維數(shù)為6，這樣SVM就有了1個輸出變量和5個輸入變量，最后通過嵌入維數(shù)與延遲時間對獲得的數(shù)據(jù)進行重構，生成SVM的測試集與訓練集樣本，再將生成的訓練集樣本數(shù)據(jù)輸入到預測模型中學習。預測模型為改進的粒子群優(yōu)化后的SVM。

3.3 網(wǎng)絡安全態(tài)勢的預測

對文中所給網(wǎng)絡安全態(tài)勢預測模型進行通用性與有效性的檢驗。采用上述獲得的兩組重構數(shù)據(jù)，將未改進的PSO-SVM模型與改進后的模型分別進行預測，然后比較兩種模型所得的預測結果。具體操作方法為：

(1)先將兩組重構數(shù)據(jù)的前200個點作為訓練樣本，用于兩種方法的訓練及模型的構建；兩組數(shù)據(jù)的后40個點作為測試樣本，用于將兩種模型的預測結果與實際值進行比較；

(2)分別將兩組重構數(shù)據(jù)的訓練樣本輸入SVM進行學習，SVM的三個參數(shù)用改進的粒子群優(yōu)化算法進行優(yōu)化，獲得第一批數(shù)據(jù)時σ=5，ε=0.001，C=98,第二批數(shù)據(jù)時σ=5，ε=0.001，C=76.12；

(3)用兩組數(shù)據(jù)所獲得的三個參數(shù)再分別將兩組重構數(shù)據(jù)輸入到支持向量機進行學習、訓練，得到新模型的預測結果；

(4)如圖2所示,比對未經(jīng)處理的原始值、文中所給方法得到的預測結果及未改進PSO-SVM得到的預測結果，比較誤差如圖3所示。

圖2 三種數(shù)據(jù)比較

圖3 兩種方法誤差比較

結果表明,采用文中給出的網(wǎng)絡安全態(tài)勢預測方法，預測未來的網(wǎng)絡安全狀態(tài)精度高、誤差小。

4 結束語

給出的采用支持向量機與改進粒子群優(yōu)化算法相結合的網(wǎng)絡安全態(tài)勢預測方法，是基于實際問題展開的，理論基礎深厚、可實施性強。實驗結果表明，該方法進一步提高了網(wǎng)絡安全預測的精確度及有效性。應用給出的網(wǎng)絡安全態(tài)勢預測模型，能對先前網(wǎng)絡安全態(tài)勢的變化趨勢做出準確、客觀的評估，很好地預測了后續(xù)的網(wǎng)絡安全態(tài)勢，便于網(wǎng)絡管理者更好地應對網(wǎng)絡安全威脅。