孫 衛(wèi) 喜

(渭南師范學院網(wǎng)絡安全與信息化學院 陜西 渭南 714099)

0 引 言

現(xiàn)今網(wǎng)絡已經(jīng)成為國家戰(zhàn)略部署、人民日常生活、社會經(jīng)濟發(fā)展的重要基礎(chǔ)。人們在工作、學習、生活等方面分享網(wǎng)絡帶來極大便利的同時也為經(jīng)常出現(xiàn)的網(wǎng)絡安全問題感到困惑，而網(wǎng)絡結(jié)構(gòu)的復雜化、數(shù)據(jù)的綜合化及協(xié)議的多樣化等使管理人員感到茫然[1]，特別是互聯(lián)網(wǎng)環(huán)境高速進化中網(wǎng)絡安全威脅及網(wǎng)絡攻擊手段多樣化已超越了防范措施的推出速度[2]。面對網(wǎng)絡攻擊行為規(guī)?；?、常態(tài)化發(fā)展的趨勢，研究如何在網(wǎng)絡攻擊之前，利用有效的防護措施及時發(fā)現(xiàn)攻擊行為并予以阻止就顯得非常有意義。

傳統(tǒng)的安全衛(wèi)士、殺毒軟件、防火墻的網(wǎng)絡安全防護往往是單一的，難以主動防御網(wǎng)絡威脅。美國的Time Bass[3-4]針對網(wǎng)絡安全的復雜性于1999年提出了網(wǎng)絡安全態(tài)勢感知的概念，網(wǎng)絡安全態(tài)勢感知NSSA(Network Security Situation Awareness)能對影響網(wǎng)絡安全的各種因素信息進行解析、收集、綜合處理，并建立數(shù)學模型，給出評估網(wǎng)絡安全的方法，進而對網(wǎng)絡安全進行預測。NSSA包含對網(wǎng)絡態(tài)勢要素獲取、態(tài)勢信息融合量化及對未來態(tài)勢預測等方面的內(nèi)容。傳統(tǒng)的網(wǎng)絡安全技術(shù)主要存在，檢測的數(shù)據(jù)流數(shù)據(jù)單一、速度慢、更新周期繁瑣等問題。與傳統(tǒng)的網(wǎng)絡安全技術(shù)相比，NSSA具有實時性、多樣性、整體性等優(yōu)點。其更注重網(wǎng)絡安全細節(jié)的特征[5]。NSSA作為網(wǎng)絡安全的新技術(shù)，以網(wǎng)絡安全發(fā)展狀況為關(guān)注點，能從整體上感知網(wǎng)絡的安全狀況。它的數(shù)據(jù)支持來源于硬件設(shè)備與軟件系統(tǒng)，更加注重統(tǒng)籌分析影響網(wǎng)絡安全的各種因素，全面實時、多角度反映網(wǎng)絡當前時刻的安全狀況。采用更加科學合理的網(wǎng)絡安全評估手段和方法對網(wǎng)絡安全狀況實時監(jiān)測，及時發(fā)現(xiàn)并處理發(fā)現(xiàn)的網(wǎng)絡安全問題，NSSA是網(wǎng)絡管理的發(fā)展方向。網(wǎng)絡安全態(tài)勢感知系統(tǒng)以網(wǎng)絡安全態(tài)勢要素為基礎(chǔ)，網(wǎng)絡安全態(tài)勢要素以數(shù)據(jù)精煉、對象精練、態(tài)勢精練三次抽象來獲取, 從網(wǎng)絡系統(tǒng)安全中獲取高質(zhì)量的網(wǎng)絡態(tài)勢要素是實現(xiàn)網(wǎng)絡安全主動防御的前提[6]。

網(wǎng)絡安全的重要性無論是國家或單位都有充分的認識，紛紛構(gòu)建其網(wǎng)絡安全態(tài)勢感知系統(tǒng)，該系統(tǒng)不僅需要對網(wǎng)絡實施漏洞檢查、入侵檢測、防火墻等基礎(chǔ)防御，更需要掌握全局網(wǎng)絡系統(tǒng)的安全運行數(shù)據(jù)，為管理者提供整個網(wǎng)絡變化的決策依據(jù)。

在實際操作中，NSSA能通過實時監(jiān)測的手段了解大規(guī)模復雜網(wǎng)絡環(huán)境中影響網(wǎng)絡安全狀態(tài)的網(wǎng)絡、用戶、網(wǎng)絡設(shè)備運行情況。在技術(shù)上，NSSA通常通過對當前和早期檢測信息表現(xiàn)出的網(wǎng)絡安全狀態(tài)進行分析處理，預測后續(xù)的網(wǎng)絡安全態(tài)勢[7]，從而使網(wǎng)絡管理者能及時利用可視化的網(wǎng)絡安全預測系統(tǒng)，對發(fā)現(xiàn)的網(wǎng)絡安全弱點、預測到的威脅，制定出相應的措施主動進行防御。本文研究的重點為網(wǎng)絡安全態(tài)勢感知中有關(guān)態(tài)勢預測的部分。

1 網(wǎng)絡安全態(tài)勢感知

SA(Situation Awareness)，態(tài)勢感知起源于軍事領(lǐng)域，用于對復雜結(jié)構(gòu)、影響因素眾多、大范圍事件的整體理解及快速決策處理[8]。Endsley[9]以“在一定的范圍內(nèi)，感知和理解環(huán)境狀況，并對后續(xù)發(fā)展趨勢進行推算” 最先確定了態(tài)勢感知，并將態(tài)勢獲取、態(tài)勢理解、態(tài)勢預測界定為態(tài)勢感知的三個方面。Loke[10]提出了“網(wǎng)絡態(tài)勢感知是網(wǎng)絡環(huán)境中所有信息按照邏輯約束關(guān)系進行組合的結(jié)果”，Lacey 等[11]通過系統(tǒng)研究網(wǎng)絡態(tài)勢感知給出了網(wǎng)絡空間態(tài)勢感知框架，雖然網(wǎng)絡態(tài)勢感知目前還沒有權(quán)威的定義，但網(wǎng)絡態(tài)勢感知作用很明確，即：通過感知系統(tǒng)觀測整個網(wǎng)絡的安全情況，依據(jù)觀測到的數(shù)據(jù)對網(wǎng)絡安全事件及時做出判斷，并以可視化方式提供給管理者決策[12]。

用于進行網(wǎng)絡安全態(tài)勢感知的三大技術(shù)包括數(shù)據(jù)挖掘、態(tài)勢評估以及態(tài)勢預測。其中，數(shù)據(jù)挖掘中力求準確、快速、全面地找到網(wǎng)絡威脅事件；態(tài)勢評估要求更為有效客觀地評價網(wǎng)絡安全態(tài)勢；態(tài)勢預測則強調(diào)預測網(wǎng)絡安全的準確性，以便網(wǎng)絡管理者依據(jù)預測結(jié)果采取相應的措施，保護網(wǎng)絡安全。本文的研究重點是在分析網(wǎng)絡安全態(tài)勢預測中的相關(guān)技術(shù)后，對其進行改進，并使改進后的態(tài)勢預測系統(tǒng)精度得以提高。

國外網(wǎng)絡安全態(tài)勢感知系統(tǒng)架構(gòu)的建立主要采用的是集成化思想，卡內(nèi)基梅隆大學SEI 2005年在網(wǎng)絡態(tài)勢感知系統(tǒng)中集成了Netflow工具，能對潛在的、惡意的網(wǎng)絡攻擊行為進行識別與響應并做出相應的防御。King等[13]在分類屬性網(wǎng)絡中運用深度包檢測技術(shù)提供了深刻全面的態(tài)勢感知結(jié)果，Varun 等在基于事件學習理論的基礎(chǔ)上構(gòu)建了分析網(wǎng)絡攻擊態(tài)勢的網(wǎng)絡攻擊檢測模型，Bode等[14]構(gòu)建了網(wǎng)絡態(tài)勢風險管理的貝葉斯網(wǎng)絡模型，F(xiàn)riedberg等[15]給出了網(wǎng)絡異常行為的態(tài)勢感知基于事件自動關(guān)聯(lián)的事件檢測AECID。CID(Cooperative Infrastructure Defense)中Fink等[16]提出了分層協(xié)同管理的思路，并在CID之上，提出了數(shù)字螞蟻的思路[17]。Szwed等[18]對網(wǎng)絡依賴關(guān)系中重要資產(chǎn)采用模糊認知圖的方式獲取并評估其危害程度，該方法存在數(shù)據(jù)來源單一、主觀性、誤差較大的問題。Liu等[19]基于隱馬爾可夫模型與報警觀測序列，以Viterbi 算法推導最大可能狀態(tài)轉(zhuǎn)移序列，實現(xiàn)攻擊意圖識別，但缺乏全網(wǎng)風險值量化。Ghasemigol 等[20]針對攻擊發(fā)生概率的不確定性，提出了一種綜合預測算法，提高了預測精度。Wu等[21]基于大數(shù)據(jù)分析提出了電網(wǎng)系統(tǒng)安全態(tài)勢感知機制，將博弈論和模糊聚類相結(jié)合，降低錯誤率提高預測效率。

國內(nèi)研究網(wǎng)絡安全態(tài)勢感知主要包括:網(wǎng)絡安全數(shù)據(jù)的全面獲得，數(shù)據(jù)融合方法及數(shù)據(jù)之間的關(guān)聯(lián)性分析,網(wǎng)絡安全態(tài)勢指標體系的建立以及網(wǎng)絡安全態(tài)勢評估。陳秀真等[22]利用網(wǎng)絡運行情況與告警信息數(shù)據(jù)，對網(wǎng)絡結(jié)構(gòu)及主機和服務發(fā)揮的作用進行系統(tǒng)分析，提取影響網(wǎng)絡態(tài)勢的多個因素，給出了網(wǎng)絡安全態(tài)勢計算方法和層次化的量化評估模型，但其缺乏對網(wǎng)絡攻擊間的聯(lián)系及整體性分析。李方偉等[23]給出的一種徑向基函數(shù)神經(jīng)網(wǎng)絡的網(wǎng)絡安全態(tài)勢預測模型，雖然對網(wǎng)絡安全態(tài)勢預測精度有所提高，但有預測結(jié)果不穩(wěn)定與過擬合的問題存在。韋勇等[24]依據(jù)層次化的思想，對節(jié)點上的安全要素利用D-S證據(jù)理論做了融合，再按照節(jié)點、子網(wǎng)、全網(wǎng)層融合，最后獲得網(wǎng)絡態(tài)勢值，從而在信息融合的基礎(chǔ)上建立網(wǎng)絡安全態(tài)勢評估模型。由于其有效處理了多源安全事件，使多源信息間的互補性得到了充分利用，從而使態(tài)勢感知的準確性進一步提高，也使得在網(wǎng)絡態(tài)勢感知中多源信息融合優(yōu)于單源的特征得到驗證。周新衛(wèi)等[25]基于安全態(tài)勢值與多節(jié)點網(wǎng)絡安全態(tài)勢重要影響因子值，采用構(gòu)建的模型對多節(jié)點網(wǎng)絡安全態(tài)勢進行預測，實現(xiàn)對突變態(tài)勢的有效預測，提高網(wǎng)絡安全態(tài)勢的預測精度。劉效武等[26]以數(shù)據(jù)信息從融合異質(zhì)多傳感器獲得，再用支持向量機結(jié)合特征約簡算法生成網(wǎng)絡安全態(tài)勢值，最后依據(jù)評價指標評價量化態(tài)勢感知。賈焰等[27]建立態(tài)勢感知模型時采用關(guān)聯(lián)分析與集中處理所收集到的網(wǎng)絡安全態(tài)勢數(shù)據(jù)，再對網(wǎng)絡安全態(tài)勢用建立的指標體系進行預測，該模型可用于較大規(guī)模的網(wǎng)絡環(huán)境。張丹等[28]利用自律反饋特性獲取網(wǎng)絡安全態(tài)勢數(shù)據(jù)，建立態(tài)勢評估模型時用層次分析法(AHP)，再用神經(jīng)網(wǎng)絡的改進方法對態(tài)勢進行預測。甘文道等[29]使用網(wǎng)絡徑向基函數(shù)神經(jīng)網(wǎng)絡更利于神經(jīng)網(wǎng)絡的結(jié)構(gòu)與參數(shù)控制，使得用網(wǎng)絡安全態(tài)勢圖反映網(wǎng)絡安全更直觀。黃亮亮[30]在網(wǎng)絡安全態(tài)勢預測中用PSO(Particle Swarm Optimization)優(yōu)化RBF(Radial Basis Function)網(wǎng)絡的方法，給出PSO-RBF網(wǎng)絡模型，通過對歷史數(shù)據(jù)分析并映射出未來的網(wǎng)絡態(tài)勢值。胡冠宇等[31]將云群的高維差分進化算法應用到預測網(wǎng)絡安全態(tài)勢中補充了算法的多樣性及搜索精度。琚安康等[32]將現(xiàn)有大數(shù)據(jù)處理技術(shù)與安全事件管理需求相結(jié)合，構(gòu)建了集數(shù)據(jù)存儲、實時關(guān)聯(lián)檢測、收集整理、離線分析發(fā)現(xiàn)、態(tài)勢呈現(xiàn)、威脅預警等有效地實施了全流程網(wǎng)絡安全態(tài)勢預測。

經(jīng)過專家學者對網(wǎng)絡安全態(tài)勢預測大量的分析研究及驗證，發(fā)現(xiàn)網(wǎng)絡式非線性的狀態(tài)特征使得時間序列應用于網(wǎng)絡安全態(tài)勢預測中存在許多問題。而傳統(tǒng)的統(tǒng)計學方法表示的是線性特征，因此需要借助于人工智能算法如支持向量機、馬爾可夫、神經(jīng)網(wǎng)絡等提高對網(wǎng)絡安全態(tài)勢的預測精準，但支持向量機參數(shù)選定的盲目性、神經(jīng)網(wǎng)絡參數(shù)的難以確定和馬爾可夫算法公式推導與建模過程的繁瑣也是網(wǎng)絡安全態(tài)勢預測面臨新的問題[33-35]。

網(wǎng)絡安全態(tài)勢感知常用的方法包括基于神經(jīng)網(wǎng)絡的方法、支持向量機、模糊邏輯、知識推理、基于貝葉斯網(wǎng)絡、深度學習的方法等。神經(jīng)網(wǎng)絡利用大量的實驗來進行神經(jīng)網(wǎng)絡模型的建立，存在計算量大、選擇基函數(shù)較為困難的問題。知識推理方法克服數(shù)學模型難以處理的情況，避免客觀性受主觀因素的影響，模擬人類思維過程。貝葉斯網(wǎng)絡用有向圖表示，圖中每一個節(jié)點表示一種變遷狀態(tài)，可從狀態(tài)屬性圖最小割、重要性程度、可信任性等分析網(wǎng)絡系統(tǒng)。網(wǎng)絡安全態(tài)勢感知方法按照其原理可分為：基于模式識別的態(tài)勢研究方法、基于知識推理的態(tài)勢研究方法及基于數(shù)學模型的態(tài)勢研究方法。

已有文獻對網(wǎng)絡安全態(tài)勢預測提供了理論基礎(chǔ)以及思路上的借鑒。目前網(wǎng)絡安全態(tài)勢預測的技術(shù)尚不成熟，用于網(wǎng)絡安全態(tài)勢預測的技術(shù)一般為一些智能優(yōu)化算法，然而這些算法較少考慮網(wǎng)絡安全態(tài)勢感知的實際情況。因此，造成了預測準確率低，時變性和非線性等因素未被考慮等問題。基于此，本文給出了一種將改進粒子群算法與支持向量機相結(jié)合的新算法來提高網(wǎng)絡安全態(tài)勢預測的精度。

2 網(wǎng)絡安全態(tài)勢預測模型的構(gòu)建

2.1 網(wǎng)絡安全態(tài)勢預測

網(wǎng)絡安全態(tài)勢的預測以發(fā)生網(wǎng)絡安全事件的數(shù)量、頻率、網(wǎng)絡受威脅程度等因素經(jīng)過處理而獲取反映網(wǎng)絡態(tài)勢的數(shù)據(jù)為根據(jù)。目前關(guān)于網(wǎng)絡安全態(tài)勢預測思路與框架尚未完全形成，發(fā)展較快的網(wǎng)絡安全態(tài)勢預測方法主要有：灰色預測、神經(jīng)網(wǎng)絡、時間序列預測法及支持向量機預測。

本文對上述網(wǎng)絡安全態(tài)勢預測的方法進行了分析比較[36-49]，并給出了相關(guān)方法的優(yōu)缺點以及適用范圍，具體如表1所示。

表1 網(wǎng)絡安全態(tài)勢預測方法比較

續(xù)表1

依據(jù)網(wǎng)絡安全態(tài)勢預測相關(guān)文獻及上述研究分析，得出網(wǎng)絡安全態(tài)勢預測具有以下特征：

(1) 數(shù)據(jù)呈現(xiàn)非線性，高維度等特征。

(2) 預測結(jié)果表現(xiàn)出不確定性，無周期性。

鑒于此，本文選擇支持向量機作為網(wǎng)絡安全態(tài)勢預測的基本模型。

然而傳統(tǒng)的支持向量機方法存在參數(shù)確定困難以及結(jié)果可能為局部最優(yōu)等問題。針對傳統(tǒng)支持向量機存在的問題，本文引入了一種改進的粒子群算法。改進的粒子群算法與傳統(tǒng)粒子群算法相比，使用了混沌優(yōu)化函數(shù)，使得改進后的算法更加偏向全局最優(yōu)，從而解決了參數(shù)確定及局部最優(yōu)的問題。

綜上所述，本文是在對目前網(wǎng)絡安全態(tài)勢預測方法大量的分析研究后，給出一種支持向量機與改進粒子群優(yōu)化算法相結(jié)合的網(wǎng)絡安全態(tài)勢預測方法，即在SVM優(yōu)點特征的基礎(chǔ)上引入改進的粒子群優(yōu)化算法，通過用無體積無質(zhì)量的粒子作為個體且規(guī)定各粒子的行為規(guī)則，使用個體之間的協(xié)作尋優(yōu)在表現(xiàn)出復雜特性的整個粒子群中尋找最優(yōu)解，進而優(yōu)化支持向量機的三個參數(shù)。該安全態(tài)勢預測方法還克服了使用線性方法評估網(wǎng)絡安全態(tài)勢帶來的預測精度低、描述網(wǎng)絡目前狀態(tài)與未來狀態(tài)關(guān)系困難等問題，更適應網(wǎng)絡安全態(tài)勢變化時變性、非線性等特點。

2.2 改進的粒子群與支持向量機算法

本文將按照由簡單到復雜的順序行文。首先給出一般的支持向量機算法，然后，引入改進的粒子群算法確定支持向量機所需參數(shù)，最后，給出綜合算法的計算步驟。

2.2.1支持向量機算法

為解決復雜的模式識別問題，Vapnik提出了支持向量機，取得了較大進展[50]，并在統(tǒng)計學習理論的基礎(chǔ)上給出了SVM分類器，較好地解決了線性不可分的問題[51]。后續(xù)的學者們研究出基于二叉樹的多分類方法[52]、序列最小優(yōu)化訓練算法(SMO)[53]、多分類理論、決策導向非循環(huán)圖法(DDAG)[54]、1-a.r方法[55]，近年來學者們又研究出Class-SVM、v-SVM、C-SVM等算法，進一步完善支持向量機的理論體系。張翔等[56]在態(tài)勢評估指標的時間序列預測中采用支持向量回歸預測方法。王庚等[57]采用遺傳算法的染色體編碼優(yōu)化支持向量機參數(shù)。李潔等[58]給出的通過對態(tài)勢樣本集進行歸一化處理和相空間重構(gòu)，利用相關(guān)向量機最優(yōu)的超參數(shù)與和聲搜索算法搜索，采用wilcoxon符號秩檢驗驗證模型預測性能之間的差異性，提升了網(wǎng)絡安全態(tài)勢預測模型的預測精度和速度。

支持向量機SVM訓練樣本通過預設(shè)函數(shù)的支持向量機訓練，函數(shù)的確定是在用不斷擬合方法給出重要參數(shù)的基礎(chǔ)上獲得的。SVM泛化能力強，對復雜的非線性數(shù)據(jù)與小樣本數(shù)據(jù)的建模識別能力很好。

本文所給樣本集為:

{{X1,Y1},{X2,Y2},…,{Xn,Yn}}Xi∈Rn

觀測樣本值Yi∈Rn,設(shè)回歸模型為：

f(x)=ωTx+b

(1)

式中：ω為支持向量機法向量，b為偏移量。

實現(xiàn)合理擬合樣本集需要用到損失函數(shù)ε，|yi-f(xi)|=max{0,|yi-f(xi)|-ε}觀測值與f(xi)回歸預測值間誤差的相對值不能大于ε，因而：

(2)

(3)

(4)

懲罰因子C>0，利用拉格朗日乘子求解，即：

(5)

(6)

并滿足：

(7)

把式(6)代入式(4)獲取優(yōu)化目標函數(shù)，給出K(x,xi)核函數(shù)來替換點積運算,則：

(8)

(9)

于是，問題就變?yōu)槎我?guī)劃問題，該問題的解：

(10)

鑒于在支持向量機核函數(shù)中使用高斯核函數(shù)較好，對高斯核函數(shù)做如下設(shè)定:

(11)

如下表達式是支持向量機預測模型:

(12)

高斯核函數(shù)寬度用σ表示。

2.2.2改進的粒子群優(yōu)化算法

使用SVM算法能從龐雜的網(wǎng)絡安全因素中找出規(guī)律，足以說明其對網(wǎng)絡安全態(tài)勢預測的有效性，而傳統(tǒng)確定SVM參數(shù)的方法如網(wǎng)絡搜索法、窮舉法及經(jīng)驗法存在耗時長、難以找到最優(yōu)參數(shù)、模型的預測精度較低等問題，分析前期對SVM用于網(wǎng)絡安全態(tài)勢預測的研究，發(fā)現(xiàn)SVM參數(shù)的優(yōu)化問題是決定預測精度的關(guān)鍵。支持向量機的主要參數(shù)是：① 核函數(shù)的寬度σ，非線性問題最優(yōu)解的復雜度用σ確定，σ的取值關(guān)系支持向量機的泛化能力；② 懲罰因子C，是過學習還是欠學習由C的取值過大或過小決定；③ 不敏感損失函數(shù)ε，支持向量數(shù)目和計算復雜度由ε確定,其表示訓練時的誤差期望。支持向量機主要參數(shù)的選取決定其預測精度，本文采用粒子群結(jié)合混沌優(yōu)化兩種算法對SVM的三個參數(shù)進行了優(yōu)化。

粒子群算法是基于群體智能的優(yōu)化理論所抽象出算法，其包括三方面內(nèi)容：一是用一個具備初始位置和速度的粒子表示優(yōu)化問題的解；二是按其最優(yōu)位置以及全局最優(yōu)位置動態(tài)調(diào)整粒子飛行速度和當前所處位置，搜尋粒子最好的目標獲得最優(yōu)解；三是用適應度函數(shù)衡量解的優(yōu)劣程度。

粒子群優(yōu)化算法是一種全局優(yōu)化進化算法，有著進化初期需要調(diào)整的參數(shù)少、容易實現(xiàn)、概念簡單、快速收斂等特征。但在用PSO優(yōu)化SVM的三個主要參數(shù)時發(fā)現(xiàn)：粒子群中當單個粒子搜索到某個局部最優(yōu)解時會影響到其周圍的其他尋優(yōu)粒子，導致它們快速靠近該粒子，這樣就會出現(xiàn)局部最優(yōu)解及粒子早熟等問題[59]。針對PSO存在局部最優(yōu)解及粒子早熟的問題，本文引入了混沌優(yōu)化算法對粒子群優(yōu)化算法做了改進。混沌優(yōu)化算法具有全局性的優(yōu)點[60]，其可以按某種規(guī)則一次性搜索一定范圍內(nèi)的所有情況，當粒子群出現(xiàn)部分收斂后，再按照粒子群變化的適應情況對粒子群最優(yōu)值及情況差的粒子進行混沌變異，使粒子群優(yōu)化算法避開部分最優(yōu)的能力得到進一步的提高。

采用改進的PSO算法優(yōu)化支持向量機中參數(shù)的思路為：將支持向量機中的三個參數(shù)作為一個組合優(yōu)化(σ,C,ε)，計算利用該組合得到的模擬值f(x)與實際值y的標準差(MSE)，并以此為目標建立多目標規(guī)劃模型，設(shè)置初始化參數(shù)并進行迭代，最終得到目標最小值。在迭代過程中，需要注意每個粒子的適應度值。若適應度值大于所給閾值，則使用一般PSO算法進行更新，若適應度值小于所給閾值，則使用混沌優(yōu)化算法進行處理，再對粒子進行更新。

當模型取最小值時，得到的組合為SVM的最優(yōu)參數(shù)。值得指出的是，需要預先給出這三個參數(shù)的取值范圍，并作為多目標規(guī)劃的約束。

式中：y為實際值，f(x)為利用SVM得到的模擬值。

ming(z1,z2,…,zi)=minMSE
s.t.ai≤zi≤bij=1,2,3

(13)

式中：z1、z2、z3分別對應SVM中需要得到的三個參數(shù)σ、C、ε，[ai,bi]分別為其對應的上下界。

使用PSO算法進行迭代的公式為：

(14)

(15)

下面給出用使用改進的PSO算法計算支持向量機參數(shù)的步驟：

Step2利用式(12)-式(13)計算所有粒子的初始個體極值以及全局初始極值。

Step5輸出最優(yōu)解向量。得到支持向量機所對應的函數(shù)表達式f(x)。

本文充分綜合上述兩種算法的優(yōu)點計算SVM的三個參數(shù)。用混沌優(yōu)化算法在參數(shù)選取時能使用普遍的參數(shù)選取法，不用考慮模型的變量維數(shù)和復雜度的特性，再利用混沌理論的規(guī)律性、遍歷性、隨機性等特點有效地解決了用PSO算法優(yōu)化時出現(xiàn)的局部最優(yōu)解及粒子早熟的問題，也就是用混沌變異算子對粒子群優(yōu)化算法進行必要的改進。在粒子群進化中確定粒子是否早熟依據(jù)粒子群適應度最優(yōu)變化情況，若變化不大于確定值時，則對粒子群中優(yōu)勝粒子的位置與速度進行更換，再用混沌變量映射非優(yōu)勝粒子，然后把替換了的優(yōu)勝粒子與使用混沌優(yōu)化后的非優(yōu)粒子組成新種群。使用混沌優(yōu)化法對此時全局最優(yōu)值進行擾動，以便增加尋找全局最優(yōu)解的幾率，使得粒子群經(jīng)過本操作后避開出現(xiàn)局部最優(yōu)點的問題。粒子的速度與位置經(jīng)混沌變量隨機性初始化后，種群的遍歷性及多樣性得到進一步的提高。

2.3 網(wǎng)絡安全態(tài)勢預測步驟

預測步驟如圖1所示。

圖1 網(wǎng)絡安全態(tài)勢預測

(1) 收集、整理網(wǎng)絡安全態(tài)勢數(shù)據(jù)，量化處理網(wǎng)絡安全監(jiān)測數(shù)據(jù)。

(2) 數(shù)據(jù)歸一化處理，影響網(wǎng)絡安全態(tài)勢的因素眾多，有時收集到的數(shù)據(jù)差異明顯，而支持向量機數(shù)據(jù)預測敏感區(qū)在(0,1)之間，故需要在(0,1)之間歸類原始的網(wǎng)絡安全態(tài)勢數(shù)據(jù)。

(3) 在前兩步的基礎(chǔ)上通過確定嵌入維數(shù)和時間延遲將一維的網(wǎng)絡安全態(tài)勢數(shù)據(jù)轉(zhuǎn)換為多維樣本態(tài)勢數(shù)據(jù)。

(4) 把獲得的樣本數(shù)據(jù)分為測試集與訓練集兩部分，把訓練集數(shù)據(jù)輸入SVM學習。

(5) SVM主要參數(shù)的優(yōu)化采用改進的粒子群優(yōu)化算法，實現(xiàn)用最優(yōu)參數(shù)建立預測模型。

(6) 對測試集使用建立的預測模型進行預測，完成反歸一化預測結(jié)果等處理，再依據(jù)得到的處理數(shù)據(jù)預測網(wǎng)絡安全態(tài)勢。

3 實驗分析

3.1 網(wǎng)絡安全態(tài)勢數(shù)據(jù)的選取

選取某公司2017年3月1日-4月29日和5月1日-6月29日的安全測試數(shù)據(jù)，每天取樣4回，安全測試數(shù)據(jù)按兩月為一批，通過計算后每批各獲得240個態(tài)勢值，以相同的過程分別對兩批數(shù)據(jù)進行實驗，通過MATLAB 2016b進行實驗。

3.2 實現(xiàn)預測網(wǎng)絡安全態(tài)勢的模型

累加所得的各組態(tài)勢值，以獲得新數(shù)據(jù)樣本，實行歸一化處理新數(shù)據(jù)樣本。把NSSA時間延遲設(shè)定為1，用試湊法得到的嵌入維數(shù)為6，這樣SVM就有了1個輸出變量和5個輸入變量，最后通過嵌入維數(shù)與延遲時間對獲得的數(shù)據(jù)進行重構(gòu)，生成SVM的測試集與訓練集樣本，再將生成的訓練集樣本數(shù)據(jù)輸入到預測模型中學習。預測模型為改進的粒子群優(yōu)化后的SVM。

3.3 預測網(wǎng)絡安全態(tài)勢

對本文所給網(wǎng)絡安全態(tài)勢預測模型通用性與有效性的檢驗，采用上述獲得的兩組重構(gòu)數(shù)據(jù)，以未改進的PSO-SVM模型與改進后的模型分別進行預測，然后比較兩種模型所得的預測結(jié)果。具體操作方法采用：① 先將兩組重構(gòu)數(shù)據(jù)的前200個點作為訓練樣本，用于兩種方法的訓練及模型的構(gòu)建；兩組數(shù)據(jù)的后40個點作為測試樣本，用于將兩種模型的預測結(jié)果與實際值進行比較。② 分別將兩組重構(gòu)數(shù)據(jù)的訓練樣本輸入SVM進行學習，SVM的三個參數(shù)用改進的粒子群優(yōu)化算法進行優(yōu)化，獲得用第一批數(shù)據(jù)時σ=5、ε=0.001、C=98；第二批數(shù)據(jù)時σ=5、ε=0.001、C=76.12。③ 用兩組數(shù)據(jù)所獲得的三個參數(shù)再分別將兩組重構(gòu)數(shù)據(jù)輸入到支持向量機進行學習、訓練得到新模型的預測結(jié)果。④ 圖2為比對未經(jīng)處理的原始值、本文所給方法得到的預測結(jié)果及未改進PSO-SVM得到的預測結(jié)果，圖3為PSO-SVM改進前后的誤差比較。

圖2 三種數(shù)據(jù)比較圖

圖3 兩種方法誤差比較

結(jié)果表明,采用本文給出的網(wǎng)絡安全態(tài)勢預測方法，預測未來的網(wǎng)絡安全狀態(tài)精度高、誤差小。

4 結(jié) 語

本文給出的采用支持向量機與改進粒子群優(yōu)化算法相結(jié)合的網(wǎng)絡安全態(tài)勢預測方法，是基于實際問題展開的，理論基礎(chǔ)深厚、可實施性強。實驗表明，該方法進一步提高了網(wǎng)絡安全預測的精確度及有效性。用本文給出的網(wǎng)絡安全態(tài)勢預測模型，能對先前網(wǎng)絡安全態(tài)勢的變化趨勢做出準確、客觀的評估，很好地預測后續(xù)的網(wǎng)絡安全態(tài)勢，便于指導網(wǎng)絡管理者做出更好應對網(wǎng)絡安全威脅的決策。