魏青梅，李宇博，應(yīng)雨龍

(1. 空軍工程大學(xué) 基礎(chǔ)部，陜西 西安 710051； 2. 陜西職業(yè)技術(shù)學(xué)院 基礎(chǔ)課部，陜西 西安 710038；3. 上海電力大學(xué) 能源與機(jī)械工程學(xué)院，上海 200090)

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和應(yīng)用的飛速發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)和交互場(chǎng)景產(chǎn)生了復(fù)雜、多樣的變化，使得網(wǎng)絡(luò)安全成為關(guān)系到網(wǎng)絡(luò)各個(gè)領(lǐng)域的重點(diǎn)問(wèn)題。為了避免、減少網(wǎng)絡(luò)安全風(fēng)險(xiǎn)對(duì)各個(gè)領(lǐng)域產(chǎn)業(yè)造成的損失，必須做好網(wǎng)絡(luò)安全的評(píng)估工作。根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)中的歷史信息完成對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)和安全狀況評(píng)估是網(wǎng)絡(luò)安全的研究重點(diǎn)之一[1]。通過(guò)對(duì)網(wǎng)絡(luò)安全的評(píng)估，能夠在評(píng)估結(jié)果的基礎(chǔ)上提升網(wǎng)絡(luò)防御的主動(dòng)性，同時(shí)為網(wǎng)絡(luò)安全的操作和決策提供重要的依據(jù)和手段，使得網(wǎng)絡(luò)安全問(wèn)題產(chǎn)生的危害降到最低[2]。

早期的網(wǎng)絡(luò)安全評(píng)估采用專家評(píng)價(jià)方式，由受邀專家以網(wǎng)絡(luò)結(jié)構(gòu)歷史數(shù)據(jù)為基礎(chǔ)，完成對(duì)網(wǎng)絡(luò)結(jié)構(gòu)今后態(tài)勢(shì)的打分，然后通過(guò)聚類的手段把分離程度偏大的專家評(píng)判結(jié)果剔除，將剩下的有意義的評(píng)判結(jié)果通過(guò)求解平均值給出結(jié)果[3]。隨著人們對(duì)網(wǎng)絡(luò)安全的關(guān)注程度不斷提升，網(wǎng)絡(luò)安全的評(píng)估不能僅限于當(dāng)前時(shí)間點(diǎn)的專家評(píng)估意見(jiàn)，網(wǎng)絡(luò)的歷史數(shù)據(jù)對(duì)網(wǎng)絡(luò)安全的評(píng)估起到重要作用。實(shí)際上，由于專家評(píng)估存在主觀偏差，而且不同專家的評(píng)判結(jié)果也會(huì)造成沖突問(wèn)題，因此在專家評(píng)估數(shù)據(jù)的基礎(chǔ)上，一些研究者通過(guò)Markov隨機(jī)過(guò)程完成對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)。此類方法通過(guò)Markov鏈構(gòu)建安全評(píng)估模型，解決了多個(gè)專家評(píng)價(jià)沖突問(wèn)題，并且以多位專家的評(píng)估意見(jiàn)作為綜合預(yù)測(cè)結(jié)果也可以抵消部分主觀偏差帶來(lái)的影響，但是，Markov鏈通常只能解決局部網(wǎng)絡(luò)結(jié)構(gòu)的安全態(tài)勢(shì)預(yù)測(cè)，缺少對(duì)全局安全數(shù)據(jù)的評(píng)估過(guò)程。為了解決傳統(tǒng)Markov鏈存在的局部問(wèn)題，反向傳播神經(jīng)網(wǎng)絡(luò)(BPNN)[4]、遺傳算法(GA)、蟻群算法(ACO)等機(jī)器學(xué)習(xí)算法被引入到網(wǎng)絡(luò)安全評(píng)估中，并結(jié)合專家知識(shí)給出推理規(guī)則，構(gòu)建有效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型。BPNN通常在價(jià)格預(yù)測(cè)[5]、指標(biāo)評(píng)估中有大量應(yīng)用，它的引入使得網(wǎng)絡(luò)安全的評(píng)估更具有客觀性。此外，由于專家的主觀態(tài)度通常有較多的沖突性，因此有學(xué)者從決策的角度出發(fā)，采用Dempster-Shafer(D-S)證據(jù)推理算法[6]，以決策表的重要屬性為依據(jù)給出基本概率分配，構(gòu)建相應(yīng)的網(wǎng)絡(luò)安全評(píng)估模型。

目前，采用模糊評(píng)價(jià)體系對(duì)專家主觀評(píng)價(jià)結(jié)果進(jìn)行模糊化，再利用機(jī)器學(xué)習(xí)模型對(duì)模糊特征進(jìn)行分類，獲得網(wǎng)絡(luò)安全評(píng)估結(jié)果成為主流?，F(xiàn)有的模糊評(píng)價(jià)體系利用專家的主觀評(píng)價(jià)分?jǐn)?shù)，計(jì)算安全隸屬度矩陣，然后使用隸屬度的方式構(gòu)建相應(yīng)的模糊評(píng)價(jià)權(quán)重矩陣，再將權(quán)重矩陣放入機(jī)器學(xué)習(xí)模型中回歸，預(yù)測(cè)出當(dāng)前系統(tǒng)的網(wǎng)絡(luò)安全結(jié)果[7]。實(shí)際上，專家的主觀偏差在一定時(shí)間段內(nèi)將會(huì)不斷積累，最終對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)結(jié)果的精度和魯棒性產(chǎn)生較大的影響。

為了解決現(xiàn)有的機(jī)器學(xué)習(xí)模型也無(wú)法處理數(shù)據(jù)在時(shí)序前、后之間的關(guān)系，導(dǎo)致積累的主觀偏差對(duì)網(wǎng)絡(luò)安全的評(píng)估帶來(lái)更大影響的問(wèn)題，本文中提出一種結(jié)合D-S證據(jù)理論與循環(huán)神經(jīng)網(wǎng)絡(luò)(RNN)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)算法。該方法首先以專家評(píng)價(jià)為基礎(chǔ)構(gòu)建網(wǎng)絡(luò)安全的系統(tǒng)角色，并由三角模糊函數(shù)獲取專家評(píng)估指標(biāo)； 然后引入D-S證據(jù)理論完成評(píng)估指標(biāo)的篩選、推理和校正，為網(wǎng)絡(luò)安全態(tài)勢(shì)構(gòu)建損失矩陣和可能性矩陣； 最后以損失矩陣和可能性矩陣為特征輸入至循環(huán)神經(jīng)網(wǎng)絡(luò)中，獲取網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)結(jié)果。由于循環(huán)神經(jīng)網(wǎng)絡(luò)能夠較好地處理時(shí)序數(shù)據(jù)，對(duì)時(shí)序前、后關(guān)系影響網(wǎng)絡(luò)安全評(píng)估的結(jié)果也有較好的處理效果，因此有望獲得正確率更高、魯棒性更好的網(wǎng)絡(luò)安全評(píng)估結(jié)果。

1 雙重模糊評(píng)價(jià)體系與特征矩陣構(gòu)建

由于傳統(tǒng)的模糊評(píng)價(jià)系統(tǒng)缺少一定的客觀評(píng)估指標(biāo)，因此會(huì)產(chǎn)生大量沖突的隸屬度，導(dǎo)致D-S證據(jù)推理出現(xiàn)大量的評(píng)估指標(biāo)被舍棄，最終導(dǎo)致評(píng)估特征較差，進(jìn)而影響安全評(píng)估結(jié)果。本文中將構(gòu)建一個(gè)雙重模糊評(píng)估體系，并且構(gòu)建相應(yīng)的評(píng)估特征矩陣。具體步驟如下：

1)確定網(wǎng)絡(luò)安全系統(tǒng)的幾個(gè)重要角色，排除對(duì)網(wǎng)絡(luò)安全系統(tǒng)影響較小的角色；

2)引入三角模糊函數(shù)，對(duì)專家的主觀評(píng)估分?jǐn)?shù)進(jìn)行客觀量化；

3)采用D-S證據(jù)理論對(duì)專家的客觀量化結(jié)果完成篩選、推理和校正，處理其中大部分有沖突的數(shù)據(jù)；

4)在篩選的專家態(tài)度基礎(chǔ)上，構(gòu)建損失矩陣特征和可能性矩陣特征，用于后續(xù)的安全信息評(píng)估。

1.1 三角模糊函數(shù)計(jì)算

三角模糊函數(shù)是一套構(gòu)建元素性質(zhì)的量化標(biāo)準(zhǔn)，用于確定專家評(píng)判網(wǎng)絡(luò)安全系統(tǒng)過(guò)程中的元素性質(zhì)[8]。對(duì)于模糊系統(tǒng)的評(píng)價(jià)來(lái)說(shuō)，清晰的文字化描述語(yǔ)言不僅無(wú)法給出精確的模糊定義，而且也無(wú)法給予具體而直觀的感受。由于主觀評(píng)判沖突較為嚴(yán)重的目標(biāo)無(wú)法通過(guò)清晰的定義給出，因此通常采用三角模糊函數(shù)(x0,x1,x2)進(jìn)行描述，其中x0、x1為描述值的上界和下界，x2為描述值的最大可能取值。假設(shè)(x0,x1,x2)和(y0,y1,y2)分別為2個(gè)三角模糊函數(shù)，兩者之間的歐式距離計(jì)算為

(1)

根據(jù)歐式距離計(jì)算即可獲得不同模糊函數(shù)之間的距離。在網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)過(guò)程中，可以通過(guò)該距離對(duì)主觀評(píng)判結(jié)果進(jìn)行客觀量化，然后采用改進(jìn)的加權(quán)D-S證據(jù)推理手段對(duì)量化后的安全評(píng)判信息進(jìn)行篩選。

1.2 改進(jìn)的加權(quán)D-S證據(jù)推理

D-S證據(jù)推理是一個(gè)重要的檢測(cè)、識(shí)別工具，它采用信任函數(shù)進(jìn)行不確定描述，與傳統(tǒng)的概率論相比，具有更嚴(yán)密的邏輯性，并且預(yù)測(cè)結(jié)果也有更高的魯棒性[9]。一般情況下，對(duì)于無(wú)法使用精確概率表達(dá)的問(wèn)題，都可以采用D-S證據(jù)推理予以表達(dá)，由概率分布區(qū)間來(lái)代替準(zhǔn)確概率值表達(dá)該問(wèn)題的不確定性，因此，在模糊評(píng)估問(wèn)題網(wǎng)絡(luò)安全態(tài)勢(shì)時(shí)通常采用D-S證據(jù)推理完成不確定性表達(dá)。

假設(shè)網(wǎng)絡(luò)安全態(tài)勢(shì)所有可能的取值可以通過(guò)互不相容的集合Ψ來(lái)表示。假設(shè)A表示該集合上的一個(gè)子集，該集合的基本概率賦值函數(shù)m(A)∶2Ψ→[0,1]滿足

該集合上的信任函數(shù)Tru(A)滿足

1)Tru∶2Ψ→[0,1];

該集合上的似真函數(shù)Lke∶2Ψ→[0,1]可以定義為

假設(shè)m(A)>0，那么A是信任函數(shù)的焦元，焦元組成的集合稱為集合的核。該集合采用Dempster規(guī)則，定義了2個(gè)信任函數(shù)Tru1、Tru2及其概率m1、m2。在信任函數(shù)及其概率基礎(chǔ)上，可以通過(guò)焦元A1,A2, …,Ak和B1,B2,…,Br定義D-S關(guān)系K，即

(2)

在2個(gè)焦元A、B的基礎(chǔ)上，兩者相交焦元C的概率函數(shù)為

(3)

當(dāng)參數(shù)K≠1時(shí)，可以確定1個(gè)基本概率值m；當(dāng)參數(shù)K=1時(shí)，2個(gè)概率m1、m2的組合出現(xiàn)矛盾，無(wú)法組成基本概率組合。當(dāng)出現(xiàn)多個(gè)證據(jù)時(shí)，一般采用一對(duì)多(one-versus-rest，OVR)的方式，兩兩進(jìn)行概率組合，獲得一個(gè)最終的基本概率結(jié)果。

根據(jù)上述定義的基本D-S證據(jù)推理可以發(fā)現(xiàn)，當(dāng)多個(gè)證據(jù)之間的沖突較小，不出現(xiàn)某種極端偏差時(shí)，D-S證據(jù)推理規(guī)則可以很好地靠近確定性較高的因素，但是，當(dāng)多個(gè)證據(jù)之間沖突過(guò)大，甚至出現(xiàn)某些證據(jù)對(duì)立時(shí)，D-S證據(jù)的計(jì)算過(guò)程會(huì)將所有的數(shù)據(jù)丟棄，融合效果較差。由于網(wǎng)絡(luò)結(jié)構(gòu)的多樣性，采用D-S證據(jù)推理對(duì)網(wǎng)絡(luò)安全進(jìn)行評(píng)估，正常的多證據(jù)沖突會(huì)由篩選、推理和校準(zhǔn)過(guò)程產(chǎn)生大量數(shù)據(jù)的丟棄，因此使得最后的融合結(jié)果更差。為了解決多證據(jù)沖突對(duì)D-S證據(jù)推理規(guī)則產(chǎn)生的不利影響，需要在2個(gè)焦元的概率m1、m2上計(jì)算兩者之間的相容度R12[10]，

(4)

式中u為相容程度系數(shù)。以2個(gè)焦元為基礎(chǔ)，還可以將相容度的計(jì)算延伸至n×n個(gè)變量空間中，獲得相容度矩陣

(5)

該矩陣中的數(shù)值表示2個(gè)證據(jù)之間相互支持的程度，支持程度越高，說(shuō)明可信度越高。絕對(duì)相容程度Si的計(jì)算公式為

(6)

理想狀態(tài)下，相容程度為n-1，那么最終的可信程度Ti為

(7)

改進(jìn)的D-S證據(jù)推理在計(jì)算證據(jù)融合之前，將每個(gè)證據(jù)的可信度作為基本概率的權(quán)重，通過(guò)加權(quán)的D-S證據(jù)推理重新計(jì)算基本概率賦值，即可避免因證據(jù)沖突過(guò)大而導(dǎo)致大量數(shù)據(jù)丟棄的情況。

1.3 雙重模糊評(píng)價(jià)體系的構(gòu)建

在雙重模糊評(píng)價(jià)體系結(jié)構(gòu)中，將評(píng)價(jià)的各個(gè)部分看作各種角色。為了簡(jiǎn)便，本文中在雙重模糊評(píng)價(jià)體系中定義了以下4個(gè)關(guān)鍵角色：

1)專家評(píng)估角色，Ex={ex1, ex2, …, exk}，k=1, 2, …；

2)威脅信息角色，Th={th1, th2, …, thn},n=1, 2, …；

3)資產(chǎn)信息角色，M={m1,m2, …,mt},t=1, 2, …；

4)脆弱元組角色，P={p1,p2, …,ps},s=1, 2, …。

以上述4個(gè)關(guān)鍵角色為基礎(chǔ)，構(gòu)建雙重模糊評(píng)價(jià)矩陣，包括風(fēng)險(xiǎn)發(fā)生后的損失矩陣和風(fēng)險(xiǎn)發(fā)生前的可能性矩陣。損失矩陣M(mij)n×s中的第i種角色與第j種資產(chǎn)之間的脆弱影響采用mij來(lái)表示，并且該脆弱影響結(jié)果在實(shí)際計(jì)算中被歸一化至區(qū)間[0,1]?？尚行跃仃嘚(nij)s×t中的第i種威脅與第j種脆弱元組之間的威脅影響采用nij來(lái)表示，并且該脆弱影響結(jié)果在實(shí)際計(jì)算中被歸一化至區(qū)間[0,100]。在實(shí)際情況下，安全評(píng)估是在一定時(shí)間范圍內(nèi)的，時(shí)間的變化可能會(huì)導(dǎo)致安全狀態(tài)發(fā)生變化，但是變化到哪個(gè)等級(jí)專家也無(wú)法評(píng)估出來(lái)。此時(shí)在改進(jìn)的D-S理論下，采用加權(quán)的方式給出損失矩陣和可能性矩陣的取值，

mij=wijmij|Ex1+wijmij|Ex2+…+wijmij|Exk，

i=1, 2, …,j=1, 2, …,s；

(8)

nij=wijnij|Ex1+wijnij|Ex2,…,wijnij|Exk，

i=1, 2, …,j=1, 2, …,t。

(9)

在加權(quán)D-S證據(jù)理論的運(yùn)行時(shí)，可以同時(shí)獲得M∈n×s和N∈s×t來(lái)作為模糊特征，客觀表達(dá)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)價(jià)。由于安全評(píng)估過(guò)程是隨時(shí)間變化的，這2個(gè)特征矩陣也隨著時(shí)間不斷變化，屬于時(shí)間序列特征，一定時(shí)間段內(nèi)的狀態(tài)都對(duì)安全評(píng)估結(jié)果產(chǎn)生影響，因此在評(píng)估中要選擇循環(huán)神經(jīng)網(wǎng)絡(luò)。

2 基于RNN的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)

RNN是深度神經(jīng)網(wǎng)絡(luò)的一種形式。不同于傳統(tǒng)的BPNN僅僅只有1～2層隱含層，RNN以時(shí)間序列為節(jié)點(diǎn)組成多個(gè)隱含層，隱含層與隱含層之間具有前、后時(shí)序關(guān)系，排在時(shí)序前面的隱含層將會(huì)對(duì)排在時(shí)序后面的隱含層產(chǎn)生影響，因此這種神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)可以有效地挖掘出隱含在時(shí)序前、后關(guān)系中的深度特征，通過(guò)這些深度特征將能夠?qū)︻A(yù)測(cè)問(wèn)題帶來(lái)更好的預(yù)測(cè)結(jié)果。實(shí)際上，網(wǎng)絡(luò)安全態(tài)勢(shì)是隨著時(shí)間不斷變化的一種時(shí)間序列數(shù)據(jù)值，存在于時(shí)間序列上的多個(gè)節(jié)點(diǎn)都將對(duì)發(fā)生網(wǎng)絡(luò)安全隱患的節(jié)點(diǎn)產(chǎn)生影響，因此，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)特征的預(yù)測(cè)并不能僅依靠單個(gè)數(shù)據(jù)節(jié)點(diǎn)中的推理特征，而應(yīng)將D-S推理特征看作時(shí)間序列，通過(guò)對(duì)前、后推理特征的時(shí)間序列挖掘，從而更好地獲得網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的結(jié)果。依托于深度RNN強(qiáng)大的時(shí)序數(shù)據(jù)處理能力，通過(guò)基于時(shí)間序列的BPNN算法可以挖掘出D-S證據(jù)推理特征中的隱含時(shí)序特征，從而獲得更精確的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)結(jié)果。

2.1 RNN結(jié)構(gòu)

RNN對(duì)時(shí)間序列特征的處理效果良好，通過(guò)計(jì)算前、后時(shí)間之間的關(guān)系，有效提取時(shí)間前、后之間的相關(guān)性，挖掘出隨著時(shí)間變化的關(guān)鍵特征，對(duì)未來(lái)時(shí)間的預(yù)測(cè)有較好的效果[11]。傳統(tǒng)RNN的隱含層信息傳遞幾乎貫穿整個(gè)網(wǎng)絡(luò)，其梯度會(huì)隨著時(shí)間的推移而逐漸消失或呈指數(shù)增大，導(dǎo)致誤差反向傳播無(wú)法繼續(xù)進(jìn)行，誤差無(wú)法傳遞至RNN前端部分。為了克服該缺陷，需要采用長(zhǎng)短時(shí)記憶(LSTM)單元結(jié)構(gòu)[12]對(duì)隱含層之間的信息傳遞進(jìn)行限制。LSTM單元結(jié)構(gòu)使用門結(jié)構(gòu)對(duì)信息傳播進(jìn)行限制，保證在誤差反向傳播過(guò)程中能夠保留誤差，進(jìn)而對(duì)網(wǎng)絡(luò)的權(quán)重完成更新。常見(jiàn)的RNN網(wǎng)絡(luò)架構(gòu)和LSTM單元結(jié)構(gòu)如圖1所示。

2.2 LSTM單元

將LSTM單元作為RNN隱含層，可以有效地保證梯度的變化。該記憶單元由4個(gè)受限門組成，分別是輸入門、記憶門、輸出門和狀態(tài)單元，這4個(gè)結(jié)構(gòu)經(jīng)過(guò)一些限制算法來(lái)保留誤差梯度。LSTM需要進(jìn)行公式組合，給出各個(gè)門對(duì)信息傳遞的限制。

(a)RNN結(jié)構(gòu) (b)LSTM單元結(jié)構(gòu)f—各個(gè)門采用的激活函數(shù)； g—單元的激活函數(shù)； h—最終輸出結(jié)果的激活函數(shù)。圖1 循環(huán)神經(jīng)網(wǎng)絡(luò)(RNN)結(jié)構(gòu)及長(zhǎng)短時(shí)記憶(LSTM)單元結(jié)構(gòu)

1)輸入門，

(10)

(11)

2)記憶門，

(12)

(13)

3)狀態(tài)單元，

(14)

(15)

4)輸出門，

(16)

(17)

5)輸出結(jié)果，

(18)

式中：w為層與層之間的連接的權(quán)重，如wil表示輸入層到輸入門之間的權(quán)重；t為采樣時(shí)間點(diǎn)；x為輸入的樣本特征；b為隱含層的輸入；c為單元的輸入；a表示各層的輸出結(jié)果；I、H、C分別為輸入、隱含和輸出神經(jīng)單元的個(gè)數(shù)；l、φ、ω分別為輸入門、記憶門和輸出門；f為各個(gè)門采用的激活函數(shù)；g為單元的激活函數(shù)采用；h為最終輸出結(jié)果的激活函數(shù)。

2.3 誤差發(fā)現(xiàn)傳播算法

神經(jīng)網(wǎng)絡(luò)的各個(gè)權(quán)重一般采用隨機(jī)數(shù)初始化，為了使神經(jīng)網(wǎng)絡(luò)對(duì)輸入的特征收斂，一般采用誤差反向傳播算法。該算法通過(guò)計(jì)算當(dāng)前網(wǎng)絡(luò)的輸出值與實(shí)際值的誤差作為更新權(quán)重的依據(jù)，從網(wǎng)絡(luò)的最后向網(wǎng)絡(luò)的前端逐漸傳播。在網(wǎng)絡(luò)結(jié)構(gòu)中，其隱含層的長(zhǎng)度與采樣點(diǎn)個(gè)數(shù)相同，可以通過(guò)在時(shí)間點(diǎn)之間構(gòu)建基于時(shí)間的誤差反向傳播算法(BPTT)[13]，完成誤差L從輸出層到輸入層的傳遞，從而修正RNN的權(quán)重，

(19)

(20)

通過(guò)公式組合，逐漸將誤差傳遞至各個(gè)權(quán)重。

1)輸出偏導(dǎo)數(shù)，

(21)

2)輸出門偏導(dǎo)數(shù)，

(22)

3)狀態(tài)單元偏導(dǎo)數(shù)，

(23)

(24)

4)記憶門偏導(dǎo)數(shù)，

(25)

5)輸入門偏導(dǎo)數(shù)，

(26)

通過(guò)這些偏導(dǎo)數(shù)即可確定出各個(gè)權(quán)重更新的方向，經(jīng)過(guò)若干次迭代后，即可獲得使網(wǎng)絡(luò)收斂的權(quán)重。在實(shí)驗(yàn)中，采用已經(jīng)訓(xùn)練好的RNN模型，可以對(duì)D-S證據(jù)理論求解的特征評(píng)價(jià)矩陣進(jìn)行預(yù)測(cè)。在網(wǎng)絡(luò)處于每個(gè)時(shí)間段中都可以將提取到的特征評(píng)價(jià)矩陣輸入至RNN中，對(duì)網(wǎng)絡(luò)結(jié)構(gòu)的后續(xù)安全態(tài)勢(shì)給出評(píng)估的預(yù)測(cè)結(jié)果。

3 結(jié)果與分析

3.1 實(shí)驗(yàn)數(shù)據(jù)集

采用開(kāi)源的MIT Lincoln Lab2000DARPA數(shù)據(jù)集[14](https://download.csdn.net/download/weixin_ 43211736/10929505)作為網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估預(yù)測(cè)算法的測(cè)試數(shù)據(jù)集。該數(shù)據(jù)集共包含58種最為典型的網(wǎng)絡(luò)攻擊方式，并首次將影響網(wǎng)絡(luò)安全態(tài)勢(shì)的攻擊劃分為5個(gè)主要類別，分別是Probe、DoS、R2L、U2R和Data，每個(gè)攻擊類別中都含有以時(shí)間序列為基礎(chǔ)的攻擊樣本數(shù)據(jù)。本文中共挑選出512個(gè)攻擊樣本，每個(gè)樣本為1 000×1型的時(shí)序數(shù)據(jù)，數(shù)據(jù)值表示當(dāng)前網(wǎng)絡(luò)安全狀態(tài)值。實(shí)驗(yàn)數(shù)據(jù)共有512 000個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)值，將其中的80%樣本作為RNN的訓(xùn)練數(shù)據(jù)集，剩下的20%樣本作為驗(yàn)證數(shù)據(jù)集，完成對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)。圖2所示為MIT DARPA數(shù)據(jù)集構(gòu)成的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。該數(shù)據(jù)集中分別給出了網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)內(nèi)資產(chǎn)分布狀態(tài)，有利于提取時(shí)序狀態(tài)下的雙模糊評(píng)估特征矩陣，根據(jù)D-S證據(jù)理論提取到的特征描述矩陣。

首先通過(guò)專家的主觀打分過(guò)程給出5個(gè)等級(jí)的評(píng)價(jià)數(shù)據(jù)，然后經(jīng)過(guò)雙重模糊處理和加權(quán)D-S證據(jù)推理，獲得雙重模糊特征矩陣，最后通過(guò)RNN處理，給出每個(gè)時(shí)間段內(nèi)的安全風(fēng)險(xiǎn)評(píng)估等級(jí)，表1所示為專家評(píng)估安全等級(jí)與三角模糊函數(shù)對(duì)應(yīng)關(guān)系。

3.2 雙重模糊評(píng)價(jià)體系結(jié)果

實(shí)驗(yàn)中邀請(qǐng)30位網(wǎng)絡(luò)安全專家對(duì)網(wǎng)絡(luò)架構(gòu)的安全等級(jí)進(jìn)行評(píng)估。為了驗(yàn)證雙重模糊評(píng)價(jià)系統(tǒng)的有效性，從中提取3位具有代表性的專家進(jìn)行驗(yàn)證，這3位專家在評(píng)估等級(jí)上的沖突較大，使用傳統(tǒng)D-S證據(jù)推理難以獲得更好的結(jié)果。假設(shè)資產(chǎn)集合為M={m1,m2}，威脅信息角色為Th={th1, th2}，脆弱元組角色為P={p1,p2,p3}，經(jīng)過(guò)3位代表性專家對(duì)網(wǎng)絡(luò)安全評(píng)估后，采用加權(quán)D-S證據(jù)推理可以得到專家主觀安全評(píng)估等級(jí)，如表2、3所示。

圖2 MIT DARPA數(shù)據(jù)集網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

表1 專家評(píng)估安全等級(jí)與三角模糊函數(shù)對(duì)應(yīng)關(guān)系

表2 專家對(duì)損失等級(jí)的評(píng)判

表3 專家對(duì)可能性等級(jí)的評(píng)判

經(jīng)過(guò)式(8)、(9)關(guān)于損失矩陣和可能性矩陣計(jì)算，可以得到如下2個(gè)特征矩陣：

M=

N=

以上述結(jié)果為基礎(chǔ)，將損失矩陣和可能性矩陣作為特征輸入至RNN，得到對(duì)3位專家的歸一化評(píng)估結(jié)果R，

從歸一化評(píng)價(jià)結(jié)果中可以看出，經(jīng)過(guò)改進(jìn)的加權(quán)D-S證據(jù)推理獲得的3位專家結(jié)果的差異性較小，不會(huì)因沖突過(guò)大而導(dǎo)致丟棄某些重要因素。實(shí)驗(yàn)結(jié)果表明，本文中提出的改進(jìn)的加權(quán)D-S證據(jù)推理對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的結(jié)果與對(duì)應(yīng)3位專家對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的結(jié)果基本保持一致。經(jīng)過(guò)該過(guò)程生成的損失特征矩陣和可能性特征矩陣能夠在深度學(xué)習(xí)模型中獲得更好的網(wǎng)絡(luò)安全評(píng)估結(jié)果，并使得結(jié)果更具有魯棒性。

3.3 RNN信息評(píng)估結(jié)果

經(jīng)過(guò)30個(gè)專家的安全評(píng)估打分，并提取雙重模糊特征矩陣后，需要進(jìn)行訓(xùn)練的特征維度包括損失特征矩陣和可能性損失矩陣，在時(shí)間T內(nèi)，構(gòu)成的輸入特征為S∈2T，因此本文中構(gòu)建的RNN的輸入神經(jīng)元為2個(gè)，深度為T，輸出直接給出網(wǎng)絡(luò)安全評(píng)估預(yù)測(cè)值，輸出層由1個(gè)神經(jīng)元組成。在RNN的訓(xùn)練中，由于該特征屬于非線性特征，因此在LSTM單元的輸入和輸出激活函數(shù)f上選用ReLu激活函數(shù)，而RNN中的LSTM單元的激活單元?jiǎng)t需要更強(qiáng)烈的激活，g函數(shù)采用tanh激活函數(shù)，h函數(shù)采用sigmoid激活函數(shù)[15]。在權(quán)重更新的學(xué)習(xí)率上，選用更適合RNN的RMSprop方法。為了防止過(guò)擬合，每一輪BPTT迭代完成后隨即丟棄部分權(quán)重，即隨機(jī)丟棄權(quán)重的比例d為0.5，網(wǎng)絡(luò)訓(xùn)練最大的迭代次數(shù)為300[16]。

循環(huán)神經(jīng)網(wǎng)絡(luò)的訓(xùn)練和網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)驗(yàn)證時(shí)所用的實(shí)驗(yàn)環(huán)境，采用Ubuntu16.04、CUDA 8.0、cudnn v5.1、opencv3.1(2.4.10)、caffe的深度學(xué)習(xí)配置，實(shí)驗(yàn)硬件環(huán)境為Intel(R) i7-6700K中央處理器(CPU)、GTX 1080Ti圖形處理器(GPU)、64 GB內(nèi)存的硬件配置。在訓(xùn)練過(guò)程中，對(duì)RNN共執(zhí)行了300次迭代，保證其能夠在訓(xùn)練中趨近于穩(wěn)定的誤差輸出。待訓(xùn)練收斂后，將驗(yàn)證集的100個(gè)樣本輸入至已訓(xùn)練好的模型中，進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)。圖3所示為本文中提出的算法的輸出值與實(shí)際輸出值的對(duì)比，表4所示為10個(gè)關(guān)鍵威脅點(diǎn)的網(wǎng)絡(luò)安全態(tài)勢(shì)檢測(cè)對(duì)比結(jié)果。

為了比較本文中提出的算法與傳統(tǒng)的淺層學(xué)習(xí)方法的預(yù)測(cè)結(jié)果，在實(shí)驗(yàn)條件相同的情況下，分別采用BPNN、GA、ACO等3種方法進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)，結(jié)果如圖4所示。表5所示為10個(gè)關(guān)鍵威脅點(diǎn)的網(wǎng)絡(luò)安全態(tài)勢(shì)在不同算法下的對(duì)比值，表6所示為不同算法的迭代時(shí)間與均方誤差。

RNN—循環(huán)神經(jīng)網(wǎng)絡(luò)。圖3 本文中提出的算法的輸出值與實(shí)際輸出值的對(duì)比

表4 10個(gè)關(guān)鍵威脅點(diǎn)的網(wǎng)絡(luò)安全態(tài)勢(shì)檢測(cè)對(duì)比結(jié)果

注： RNN—循環(huán)神經(jīng)網(wǎng)絡(luò)； ACO—蟻群算法；GA—遺傳算法； BPNN—反向傳播神經(jīng)網(wǎng)絡(luò)。圖4 不同算法的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)對(duì)比

表5 10個(gè)關(guān)鍵威脅點(diǎn)的網(wǎng)絡(luò)安全態(tài)勢(shì)在不同算法時(shí)的對(duì)比

表6 不同算法的迭代時(shí)間與均方誤差的對(duì)比

從實(shí)驗(yàn)結(jié)果的對(duì)比可以看出：1)在關(guān)鍵威脅時(shí)間點(diǎn)的網(wǎng)絡(luò)安全評(píng)估上，雙重模糊評(píng)價(jià)體系具有更全面的優(yōu)勢(shì)，特別是在處理專家預(yù)測(cè)結(jié)果沖突的情況下，結(jié)合深度預(yù)測(cè)模型后能夠獲得更精確、魯棒性更好的安全評(píng)估預(yù)測(cè)結(jié)果，因此該模型在網(wǎng)絡(luò)安全評(píng)估預(yù)測(cè)上是可行的。2)RNN的整體檢測(cè)效果更好，均方誤差結(jié)果更小，且網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的效果更好。3)由于RNN深度模型的層數(shù)較多，需要花大量時(shí)間進(jìn)行迭代、優(yōu)化、計(jì)算，因此時(shí)間復(fù)雜度更高，這主要由深度模型的特性決定的。

4 結(jié)論

本文中提出了一種結(jié)合D-S證據(jù)理論與RNN的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)算法，顯著提升了網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的準(zhǔn)確率、效率和魯棒性。在該算法中，由三角模糊函數(shù)構(gòu)建模糊評(píng)價(jià)系統(tǒng)指標(biāo)，并通過(guò)D-S證據(jù)理論校正了模糊評(píng)價(jià)系統(tǒng)指標(biāo)，構(gòu)建了損失矩陣和可能性矩陣，隨后采用RNN由損失矩陣和可能性矩陣進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)。該算法運(yùn)用D-S證據(jù)理論解決了專家評(píng)價(jià)沖突和偏差等一系列問(wèn)題，并且RNN也能夠保證對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的精度和魯棒性。由于受限于數(shù)據(jù)集中有限的安全評(píng)估數(shù)據(jù)，因此，今后的工作將集中在構(gòu)建更為完善的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)數(shù)據(jù)集，添加更多的安全評(píng)估數(shù)據(jù)，并構(gòu)建更為完善的預(yù)測(cè)模型，以獲得更優(yōu)良的預(yù)測(cè)精度和魯棒性。