摘要:针对现有网络安全态势预测方法没有从影响网络安全态势的安全因素入手,无法准确预测未来网络安全态势,提出一种基于灰色理论和BP神经网络的预测方法被提议。 首先根据灰色模型系数的取值选取最合适的背景值,构造新的模型背景值函数。 其次,结合GM(1, 1)和GM(1, N)模型对网络安全态势进行预测,利用BP神经网络对态势预测值进行修正。 最后通过真实网络环境验证了所提方法在网络安全态势预测中的有效性。

0 前言

随着网络信息技术的日益发展,互联网正成为社会的信息基础设施。 与此同时,网络攻击和破坏行为也越来越普遍。 传统的网络安全防护设备(如防火墙、IDS等)功能单一,无法对网络的安全状况进行综合评价和估计[1]。 网络安全态势感知正是在这样的背景下应运而生。 其中,网络安全态势预测是网络安全态势感知的重要组成部分。 能够掌握网络系统整体运行的安全趋势,实时感知网络面临的威胁; 为及时准确的决策提供可靠依据,使网络不安全带来的风险和损失降到最低。

目前已有多方向、多层次的预测方法和模型,主要有:灰色GM(1, 1)模型[2]、神经网络[3]、支持向量机(Support Vector Machine,SVM)[4] ] 等等。

上述预测方法在一定程度上对网络安全态势进行了预测,存在的问题归纳如下:预测方法仅分析网络历史中整体安全态势本身的数据,而忽略了影响网络安全的安全因素。影响网络安全态势[5],而实际上,安全态势的变化与安全因素的变化密切相关。

对此,本文从影响网络安全态势的安全因素入手,结合灰色GM模型和BP神经网络对网络安全态势进行预测,并通过真实的实验环境验证了该方法的准确性。

一、网络安全态势的安全因素

在互联网的实际应用中,本文将安全因素分为网络的基本运行、网络的脆弱性和网络的威胁[6]。 漏洞侧重于描述网络本身的安全漏洞。 因素包括:子网中安全设备的数量、关键设备开放端口的数量、关键设备的漏洞数量。 网络基本可运行性主要是指网络本身的运行状态,可以直接反映安全事件的影响。 影响因素包括:主机CPU、内存等资源消耗、子网流量增长率、子网总数据流量、子网带宽占用率、数据丢包率。 威胁性侧重于描述各种网络攻击对网络内部造成的危害程度,主要统计已知攻击、疑似攻击和恶意代码的数量、频率和危害程度。 影响因素包括:告警数量、恶意代码数量、攻击频率、病毒和木马数量及危害程度。

2.灰色预测模型

灰色理论[7]主要通过一些已知信息的产生和发展,提取有价值的信息,以及对系统运行规律的正确认识来实现科学预测。

2.1 灰色GM(1, 1)、GM(1, N)模型

最基本的灰色预测模型是GM(1, 1)模型,其预测的灰色微分方程为:

(i=1, 2,…N, k=1, 2,…n)

在,

是数据序列,

为了

的累积生成序列,a为发展系数,b为灰色作用;

模型背景值.let

, 用最小二乘法拟合

. 在:

bp神经网络算法matlab代码_bp神经网络预测模型matlab代码_bp神经网络的matlab实现

GM(1,N)模型是一种适用于建立各种因子变量的动态相关分析模型。 预测一系列 N 个因子的灰色微分方程为:

参数向量

由B和Y可以用最小二乘法计算得到,微分方程的离散解为:

将式(6)累加归约可得

拟合预测因子。

2.2 灰度背景值的改进

上述模型的背景值[8]函数

使用均值生成法构造。其实公式是在[k-1,k]上

整合双方。 两者的差异是灰色模型精度低的主要原因; 参考文献[9]得到了高指数律序列实例情况下新的背景值构造公式:

基于此,本文设定:

当 0

当 0.3

参数 l1、l2、l3 通过粒子群优化进行优化。

当 0.8

3 灰色理论与BP神经网络相结合的预测原理

灰色理论具有建模简单、操作方便的特点。 神经网络具有自学习、自组织和自适应能力,但其处理非线性数据的能力较弱,而神经网络的特性正好可以对灰色模型进行补充。 因此,利用灰色模型信息量少的问题来代替神经网络所需的大样本,利用BP神经网络的非线性处理能力弥补灰色模型非线性拟合差的缺点,并建立了性能较好的灰色神经网络模型。

预测算法的步骤如下:

(1)历史安全因素和网络安全态势历史序列的无量纲归一化处理。 计算发展系数a,根据a的大小选择对应的模型背景值函数。

(2)将安全系数数据输入GM(1, 1)模型,得到安全系数的预测值

. (3)结合历史网络安全态势值,将所有安全因素的预测值输入GM(1,N)模型,得到网络安全态势预测值

, 剩余的

. (4)确定训练样本和预测样本的个数,将安全系数序列的所有预测值输入BP神经网络的输入端,以残差作为输出结果,均方误差为所有通过BP神经网络的训练样本作为目标进行BP神经网络。 train.最后用训练好的BP神经网络对残差进行预测,得到残差的预测值

.

(5) 对预测结果进行残差校正,输出最终的网络安全态势预测值:

(9)

4 PSO优化模型背景值参数

4.1 粒子群优化

PSO粒子群算法属于具有全局策略和启发式特性的群体智能进化计算方法。 优化问题的每个可行解都是搜索空间中的一个粒子。 该算法首先随机生成一个粒子种群,然后跟随当前最优粒子在种群中迭代搜索,直到满足要求,然后停止搜索。 种群粒子的速度和位置演化公式如下:

vid(t+1)=vid(t)+c1×rand×(pbest-xid(t))+c2×rand×(gbest-xid(t)) (10)

xid(t+1)=xid(t)+vid(t)(11)

其中,vid为粒子速度,维度为i×d,c1和c2为学习因子,分别调整飞向自身和邻居的步长,rand为(0,1)之间的随机数, xid(t)为粒子当前位置,pbest(t)表示粒子当前最佳位置,Gbest(t)表示种群当前最佳位置,即全局最优位置。

4.2 PSO算法优化背景值参数的步骤

算法设计思想:将背景值的所有参数映射到种群个体的位置。设置使用的适应度函数(本文为灰色GM(1,N)模型残差平方和的倒数

. 搜索满足适应度要求的粒子位置,将新生成的个体位置还原为背景值的参数,得到背景值的最优参数组合。

算法步骤如下:

(1)随机初始化背景值参数l1、l2、l3。

(2) 将背景值参数映射到PSO种群的粒子位置向量。

(3) 随机生成初始化种群(包括随机种群数M、速度、位置)。

(4)根据粒子群优化算法更新粒子的速度和位置,得到新的粒子位置和速度。

(5)计算粒子位置映射的背景值参数、残差和适应度。

(6)判断适应度是否满足设定值,如果满足,则输出当前位置对应的背景值参数,并终止迭代; 否则,继续下一步。

(7) 比较粒子当前位置与历史最优位置,如果当前位置更好,则用当前位置替换历史最优位置; 然后比较粒子的个体最优位置和全局最优位置,如果粒子的个体值更好,记录这个位置作为新的全局最优位置。

(8) 迭代次数t=t+1,若t>Tmax,终止迭代,否则转步骤(4)。

通过PSO粒子群优化算法,搜索最优背景值参数组合,使灰色GM(1,N)模型的残差最小,从而得到精度最好的模型。

5 实验分析

在实验前,本文采用参考文献[10]的态势评估方法结合安全因素,先对网络安全态势进行评估,从而获得实验所需的网络安全态势数据。

5.1 实验准备

本文搭建了一个由主机、路由器、交换机、服务器等组成的网络进行实验。

网络中包含的攻击目标有Web服务器、备份数据库、主数据库、DNS服务器、TCP服务器。 实验过程中的数据来自路由器中的Snort入侵检测信息、Netflow数据流信息、主机的Nessus漏洞扫描信息、Firewall日志信息。 实验中通过SQL注入漏洞攻击数据库、SYN Flood攻击TCP服务器、Web服务器、UDP Flood攻击DNS服务器等,进而从网络节点获取所需的异常数据,并在MATLAB7.0平台上进行仿真实验。

实验参数:设置预测周期为12小时,即前11个时间段的情况值预测后第1个时间段的情况值,训练样本数选择101,训练样本数预测样本为23。本粒子群优化算法中,初始粒子群大小M设置为100,位置xid∈[0,1],速度vid∈[-100,100],最大迭代次数Tmax =1 000,学习因子c1和c2均为2,适应度设为1000。对比灰色GM(1, 1)模型和没有任何优化的BP神经网络,预测网络安全态势。

5.2 实验结果

预测结果图如图1所示。

bp神经网络算法matlab代码_bp神经网络预测模型matlab代码_bp神经网络的matlab实现

通过计算模型得到的预测值,可以进一步计算残差、相对残差,检验模型的准确性。 表1是精度测试结果。

5.3 结果分析

从网络安全态势预测结果可以看出,三种方法的误差不同:灰色GM(1, 1)只能粗略反映网络安全态势的总体趋势; 1)模型小,但其训练样本太大,训练时间长; 与GM(1,1)模型和BP神经网络相比bp神经网络预测模型matlab代码,该方法具有更高的预测精度。

六,结论

本文方法在实际应用中存在两个难点:一是网络安全因素在预测结果中的局限性,如果选择的安全因素不完整,将极大地影响网络安全态势的预测结果; 二是预测能力受限于预测的安全系数,因此如何提高安全系数预测的准确性将是下一步的重点。

参考

[1] 王庚, 张敬辉, 吴娜. 网络安全态势预测方法的应用研究[J]. 计算机模拟, 2012, 29 (2): 98-101.

[2] 邓巨龙. 灰色理论基础[M]. 武汉:华中科技大学出版社,2002。

[3] 谢丽霞bp神经网络预测模型matlab代码,王亚超,于金波. 基于神经网络的网络安全态势感知[J]. 清华大学学报, 2013, 53(12): 1751-1760.

[4] 王彩银. 基于灰色关联分析和支持向量机集成的网络安全态势评估[J]. 计算机应用研究, 2013, 30(6): 1859-1862.

[5] 叶健健,温志成,吴欣欣,等. 基于多层次数据融合的网络安全态势分析方法研究[J]. 微型计算机及其应用, 2015, 34(8): 5-7, 11.

[6] 孙德恒. 基于指标融合的网络安全态势评估模型研究[D]. 西安:西北大学,2012.

[7] 刘思凤,谢乃明. 灰色系统理论及其应用[M]. 北京:科学出版社,2008.

[8] 刘思凤,邓巨龙. GM(1,1)模型的适用范围[J]. 系统工程理论与实践,2000(5):121-124.

[9]何庆飞,陈桂明,陈小虎,等.基于改进灰色神经网络的液压泵寿命预测[J]. 中国机械工程, 2013, 24(4): 500-506.

[10] 王治平. 基于指标体系的网络安全态势评估研究[D]. 长沙:国防科技大学,2010.