基于改进的递归神经网络的网络安全态势预测

蔡均平,屈 雷

（1.国防信息学院一系湖北武汉,430010;2.国防信息学院八系湖北武汉,430010）

基于改进的递归神经网络的网络安全态势预测

蔡均平1,屈 雷2

（1.国防信息学院一系湖北武汉,430010;2.国防信息学院八系湖北武汉,430010）

本文利用神经网络处理非线性、复杂性等优势，基于改进的递归神经网络预测网络安全态势，实验结果证明该方法运行效率较高，运行结果与实际值相比，误差较低，精确性较高。

网络安全态势;递归神经网络;预测

0 引言

目前，网络安全态势已经诞生了许多优秀的算法和模型，传统的网络安全评估方法包括基于专家知识的方法、基于贝叶斯理论的方法、基于模糊逻辑的方法、基于人工神经网络的方法，同时在预测和评估方法中引入了粗集理论、D-S证据理论、聚类分析、关联规则分析等，将其融合在各个大规模的复杂的网络环境中，借助于经验知识，构建数学模型，经过分析和推理，分析网络各种软硬件资源、网络运行状态和网络用户的行为等特点，对网络当前的安全状况作出合理的判定。

1 神经网络的基本理论

神经网络模拟生物进化思维，具有独特的结构神经元反馈机制，其具有分布式信息存储、自适应学习、并行计算和容错能力较强的特点，以其独特的结构和信息处理方法，在自动化控制、组合优化、信息处理、机器人、模式识别、图像处理等机器学习领域得到了广泛的应用，随着许多学者的研究，神经网络已经诞生了许多新的模型，包括自适应谐振理论(ART)、Kohonen网络、反向传播(BP)网络和Hopfield网。尤其是大规模网络数据分析和态势预测中，神经网络能够建立一个良好的分类学习模型，并且在学习过程中优化每一层的神经元和神经元连接的每一个节点。最后，建立一个改进的神经网络态势预测要素，输入一个网络数据，输出的网络异常行为将作为网络安全态势的要素，能够为网络安全态势预测提供经验知识。

2 改进的递归神经网络评估与预测模型构建

网络态势预测过程中，影响网络安全运行的状况非常多，主观因素包括网络攻击者的能力和意图，网络管理者的防御意识和防御策略等；客观原因包括网络架构、网络的运行环境、网络中传输设备的性能等。目前，网络技术逐渐进步，星型、总线型网络架构已经无法满足人们的需求，但是许多融合的网络架构，使其更加复杂；网络传输设备种类越来越多，光纤传输、数字传输等取代了传统的低速率设备；使用网络的用户文化水平高低不一，网络运行环境也更加复杂，这些都增加了网络安全受到的潜在的威胁，因此，要想全面的、客观的、准确的判断一个网络的整体安全现状，必须依据现有的历史数据，建立一个精确的网络安全态势预测和评估模型，以便预测其发展趋势。

图1 基于改进的递归神经网络的网络安全预测与态势评估模型

本文充分考虑网络的复杂性、未来趋势的不确定性和随机性，利用改进的递归神经网络在预测网络复杂性的优势特点，提出了一种基于改进的递归神经网络的网络安全预测与态势评估模型如图1所示。

（1）收集网络数据

目前，收集的网络数据是预测和评估网络态势的基础工作，网络数据可以分为两类，分别是系统运行信息和系统配置信息。系统运行信息是通过分析网络数据流、网络设备性能数据和IDS日志，了解网络系统受到攻击的频次等情况；系统配置信息通过漏洞扫描等技术措施分析网络的服务规则、主机配置和网络架构配置等存在的漏洞信息。

（2）提取网络态势影响因素

根据采集的海量网络信息数据，实施预处理，进行关联分析，将影响网络正常运行的数据实施分类处理，形成统一的数据格式，将其存到数据库中，便于下一步实施处理。

（3）计算网络态势值

网络安全态势预测及评估的重要步骤是计算网络态势值。针对提取到影响网络态势的相关因素，根据其影响程度加权分析，可以定量分析网络上某个时间段的安全状态，本文从系统层、主机层和服务层计算网络态势值。

（4）网络态势预测

网络态势预测是实施网络态势评估的最后一步，是实现网络安全的预警的前提，态势预测可以基于历史网络信息和现在的网络信息预测将来网络的发展走势。采用改进的递归神经网络算法可以处理复杂的网络态势情况。

3 改进的递归神经网络预测模型的实现

在基于改进的递归神经网络预测网络态势的模型包括输入层、隐含层、承接层和输出层，其实一个改进的递归神经网络模型，在某个时间段内，可以从态势数据库中取出一个态势序列作为递归神经网络的输入向量S(t)，隐含层输出X(t)，承接层输出为Xc(t)，Y(t)表示网络的态势输出：

基于改进的递归神经网络的算法学习过程如下：

（1）初始化算法的各个参数的取值：设置算法的最大迭代次数为K、反馈增益因子a、学习样本P、教师样本Y、目标误差、学习率，随机生成并且初始化神经网络各层之间的连接权值向量W；

（2）使用Matlab自带的newelm()函数构建改建的神经网路；

（3）对神经网络进行迭代训练，迭代过程如下：

① 计算神经网络的输出：提供当前迭代的一个输入向量，计算神经网络的输出向量；

④ 调整学习率：在迭代过程中逐渐修改增大学习率的参数，设置一个阈值，如果学习率大于该阈值，采用下降梯度法；如果学习率小于该阈值，则使用牛顿法；

该算法与传统的递归神经网络算法相比，其引入了自适应的调整学习率的思想，从而能够有效的改变传统递归神经网络算法学习过程中，人们凭借经验值判断设置学习率，但是由于经验值非常难获取，尤其是在复杂的应用环境中，每一个算法面临的数据的大小、复杂程度都是不同的，导致学习率难以控制。改进的递归神经网络以一定的增量，逐渐修改学习率，并且设置一个阈值，以便更好的控制学习率。

4 仿真实验与分析

4.1 实验数据

本文基于改进的递归神经网络实现评估和预测网络安全态势，为了能够验证该算法的合理性、有效性，本文采用Honeynet收集的黑客攻击数据作为算法的测试的数据集，将数据进行预处理之后，使用计算网络安全态势值的方法计算态势值，然后进行仿真实验。

4.2 数据环境

为了能够更加有效的对数据进行实验，本文使用Matlab环境实现一个有效的改进递归神经网络算法，训练数据集。训练数据集的过程中，本文选取网络运行10周的数据，并且使用当天的网络黑客攻击数据计算网络当天的态势值，因此这10周共得到了70个网络态势值，由于不同的时间段内，网络的攻击数据集非常大，为了避免训练数据集时算法产生较大的误差，针对计算得到的网络攻击态势值实施归一化处理。

归一化处理公式如（5）所示：

Improved network security situation prediction based on recursive neural networks

Cai Junping1,Qu Lei2
(1.Defense Information School of a department of Hubei,Wuhan,430010; 2.College of Wuhan Hubei eight Department of defense information,430010)

Neural network to deal with nonlinear,complexity advantage of this paper,network security situation prediction based on improved recursive neural networks,experimental results show that the high efficiency of the method,results are compared with the actual values,low error,high accuracy.

Network Security Situation;Recurrent Neural Network;Prediction