基于组合模型的网络安全态势估计

张天丹

(南通师范高等专科学校信息技术系，江苏 南通 226000)

0 引言

近年来，随着互联网规模日益扩大，网络安全面临的威胁日益增大，网络的攻击手段也层出不穷，仅依靠传统被动防御方法诸如防火墙、入侵检测等难以满足现代网络安全的实际应用要求［1］，网络安全态势感知(Network Security Situation Awareness，NSSA)应运而生。网络安全态势感知主要包括要素提取、态势理解和态势估计等内容，其中网络安全态势估计最为关键，其既可以对网络安全态势的变化趋势进行估计，又可以为网络管理员提供决策支持［2］。

网络安全态势估计问题引起了广大学者的关注，他们投入了大量的物力和财力进行广泛研究，涌现了许多优秀的网络安全态势估计模型，当前有线性模型和非线性模型［3］。线性模型中最具代表性的为时间序列分析模型，其将网络安全态势变化历史样本看作一种时间序列数据，从数据中找出隐藏的变化规律，从而对未来网络安全态势进行估计，建模效率高，模型的估计速度快，在网络安全管理中起着重要的作用［4-6］。然而时间分析模型本质是一种线性建模方法，不能描述网络安全态势的不确定变化趋势部分，尤其对于现代复杂网络系统存在一定的缺陷［6］。非线性模型采用机器学习理论进行建模，主要有神经网络、灰色理论、马尔科夫、支持向量机以及高斯回归等［7-10］，尤其是BP 神经网络具有更好的非线性预测能力，在网络安全态势估计应用最为广泛［11］。然而在实际应用中，BP 神经网络的性能与其参数选择直接相关，如果参数选择不合理，难以建立准确的网络安全态势估计模型［12］。

布谷鸟搜索(Cuckoo Search，CS)算法是一种新型群体智能优化算法，具有参数少、易于实现等优点，为BP 神经网络参数优化提供了一种新的工具［3］。基于此，本文提出一种基于组合方法的网络安全态势估计模型，采用布谷鸟搜索算法优化BP 神经网络参数，并应用于网络安全态势估计中，最后通过仿真实验测试其性能。

1 CS-BPNN 的网络安全态势估计模型

1.1 BP 神经网络

BP 神经网络是众多神经网络学习算法中性能较优的一种，其由输入层、输出层和隐含层组成，具体结构如图1 所示。每一层由大量的神经元构成，两层之间各神经元通过权值进行联系，对输入与输出之间关系可以任意地非线性逼近［13］。

图1 BP 神经网络的结构

设BP 神经网络的隐含层各节点的输入和输出公式如下:

式中，ωij为从输入层到隐含层的连接权值;θj为隐含层节点的阈值。

BP 神经网络的输出层节点的输入和输出公式分别为:

式中，vj表示从隐含层与输出层之间的连接权值;γ 表示输出层的阈值。

1.2 布谷鸟搜索算法优化BP 神经网络

在BP 神经网络初始训练之前，传统方法采用随机方式确定连接权值和阈值，导致网络收敛速度慢，网络结构不稳定，对网络态势估计结果产生不利影响。由于布谷鸟搜索算法的全局搜索能力强，因此将其用于优化BP 神经网络的初始权值和阈值，以提高网络态势估计性能。CS 算法制定了3 个规则，具体如下:

1)布谷鸟的蛋代表BP 神经网络的参数潜在解，每一个蛋随机放在一个鸟巢中孵化。

2)一部分鸟巢放着优质蛋，即较优的BP 神经网络的参数，它们直接进入下一代。

3)布谷鸟蛋被寄主鸟发现的概率为Pa∈(0，1)，一旦某个鸟巢被发现，寄主鸟立即丢弃鸟蛋或者鸟巢，寻找新的鸟巢。

式中，∂表示步长控制量;⊕表示点对点乘法。

1.3 CS-BPNN 的网络安全态势估计步骤

1)收集网络安全态势历史样本，并进行归一化处理，根据网络安全态势的特点建立BP 神经网络的学习样本。

2)将网络安全态势的训练样本集输入到BP 神经网络进行学习，采用布谷鸟搜索算法优化权值和阈值，得到最优的布谷鸟搜索算法优化权值和阈值。

3)BP 神经网络根据布谷鸟搜索算法优化权值和阈值对训练样本进行重新学习，建立网络安全态势估计模型。

4)将测试样本输入到网络安全态势估计模型进行预测，检验模型的泛化推广性能。

本文设计的网络安全态势估计模型的工作流程如图2 所示。

图2 本文网络安全态势估计模型的工作流程

2 仿真实验

2.1 数据来源

选择网络安全态势测试的标准数据集:Honeynet组织提供的数据进行仿真测试，其网络拓扑结构如图3 所示［14］。

图3 网络拓扑结构

收集2014 年10 月1 日到10 月30 日的网络安全态势数据作为仿真对象，共获得180 个样本，选择最后50 个样本作为测试样本，其它作为训练样本，对样本进行归一化处理，得到的结果如图4 所示。

图4 收集的网络安全态势值

结合网络安全态势值的非平稳性和混沌性，确定图4 中网络安全态势时间序列嵌入维数为12，延迟时间为1，即采用前12 个网络安全态势值对下一个时刻点的网络安全态势值进行预测，设鸟巢位置数是10，Pa=0.20，最大迭代次数500 次。

2.2 结果与分析

2.2.1 拟合结果分析

将网络安全态势训练样本输入BPNN 进行动态、自适应训练，采用布谷鸟搜索算法在线优化权值和阈值，然后采用建立的网络安全态势估计模型对训练样本进行拟合，得到的拟合结果和拟合偏差如图5 所示。从图5 可知，本文模型的网络安全态势拟合值和真实网络安全态势值拟合精度相当的高，两者之间的拟合偏差很小，实验结果表明本文模型可以准确描述网络安全态势变化趋势，获得了十分理想的网络安全态势拟合效果。

图5 CS-BPNN 估计值与真实值的拟合结果

2.2.2 泛化能力分析

对一个网络安全态势估计模型来说，拟合性能只能描述模型的拟合效果，最为重要是其泛化推广能力，本文模型对测试样本集进行预测，得到的结果如图6 所示。从图6 可知，相对于网络安全态势的拟合结果，本文的网络安全态势预测偏差增加大，但网络安全态势预测值与真实网络安全态势值之间的偏差较小，两者的变化趋势相一致，实验结果表明，本文模型是一种泛化能力强，预测精度高的网络安全态势估计模型。

图6 CS-BPNN 的估计值与实际值的变化曲线

2.2.3 与经典模型的性能对比

为了测试本文模型的优越性，选择当前经典网络安全态势估计模型［15-16］进行对比实验，它们拟合结果和预测结果的均方根绝对误差(RMSE)和平均相对误差(MAPE)如表1 所示。从表1 可以看出，在所有网络安全态势估计模型中，本文模型的拟合和预测误差均有所下降，提高了网络安全态势的估计精度，验证了本文模型的可行性和优越性。

表1 与经典模型的性能对比

2.2.4 建模速度比较

在实际应用中，如何提高网络安全态势估计速度具有十分重要的应用价值，尤其对于一些军事网络，估计速度处于首要位置，进行10 次仿真实验，不同模型的平均训练和测试时间如图7 所示。从图7 可知，在所有网络安全态势估计模型中，本文模型的平均训练和测试时间均最短，加快了网络安全态势估计速度，网络安全态势建模效率最高。

图7 不同模型的建模速度比较

3 结束语

网络安全态势估计一直是网络安全研究领域中的难点，是保证网络系统安全的前提，针对当前网络安全态势估计模型存在的不足，提出一种组合方法的网络安全态势估计模型，该模型集成了布谷鸟搜索算法的全局寻优能力和BP 神经网络强大的非线性预测能力，实验结果表明，与当前经典网络安全态势估计模型相比，本文模型可以更好地描述网络系统的安全态势整体变化趋势，获得更高的网络安全态势估计精度，加快了网络安全态势建模速度。虽然本文模型取得了不错的网络安全态势估计结果，但是仍然还有许多工作要进行研究，如网络安全态势样本的混沌处理，这是下一步的研究重点。

［1］Zhang Haoliang，Shi Jinqiao，Chen Xiaojun.A multi-level analysis framework in network security situation awareness［J］.Procedia Computer Science，2013，17:530-536.

［2］Naderpour M，Lu Jie，Zhang Guangquan.An intelligent situation awareness support system for safety-critical environments［J］.Decision Support Systems，2014，59:325-340.

［3］张勇，谭小彬，崔孝林，等.基于Markov 博弈模型的网络安全态势感知方法［J］.软件学报，2011，22(3):495-508.

［4］吴琨，白中英.集对分析的可信网络安全态势评估与预测［J］.哈尔滨工业大学学报，2012，44(3):112-118.

［5］Tang Chenghua，Xie Yi，Qiang Baohua，et al.Security situation prediction based on dynamic BP neural with covariance［J］.Procedia Engineering，2011，15:3313-3317.

［6］谢丽霞，王亚超，于巾博.基于神经网络的网络安全态势感知［J］.清华大学学报(自然科学版)，2013，53(12):1750-1760.

［7］徐茹枝，常太华，吕广娟.基于时间序列的网络安全态势预测方法的研究［J］.数学的实践与认识，2010，40(12):124-131.

［8］李凯，曹阳.基于ARIMA 模型的网络安全威胁态势预测方法［J］.计算机应用研究，2012，29(8):3042-3045.

［9］王晓锋，毛力，杨国玲.基于快速网络模拟的安全态势预测［J］.系统仿真学报，2012，24(6):1218-1222.

［10］韦勇，连一峰，冯登国.基于信息融合的网络安全态势评估模型［J］.计算机研究与发展，2009，46(3):353-362.

［11］尤马彦，凌捷，郝彦军.基于Elman 神经网络的网络安全态势预测方法［J］.计算机科学，2012，39(6):61-63.

［12］孟锦，马驰，何加浪，等.基于HHGA-RBF 神经网络的网络安全态势估计模型［J］.计算机科学，2011，38(7):71-75.

［13］刘玉岭，冯登国，连一峰，等.基于时空维度分析的网络安全态势预测方法［J］.计算机研究与发展，2014，51(8):1681-1694.

［14］李纪真，孟相如，温祥西，等.萤火虫群算法优化高斯过程的网络安全态势预测［J］.系统工程与电子技术，2014，36(1):107-110.

［15］Walton S，Hassan O，Morgan K，et al.Modified cuckoo search:A new gradient free optimization algorithm［J］.Chaos，Solitons ＆ Fractals，2011，44(9):710-718.

［16］王凡，贺兴时，王燕.基于高斯扰动的布谷鸟搜索算法［J］.西安工程大学学报，2011，25(4):566-569.