基于改進的遞歸神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測

蔡均平,屈 雷

（1.國防信息學(xué)院一系湖北武漢,430010;2.國防信息學(xué)院八系湖北武漢,430010）

基于改進的遞歸神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測

蔡均平1,屈 雷2

（1.國防信息學(xué)院一系湖北武漢,430010;2.國防信息學(xué)院八系湖北武漢,430010）

本文利用神經(jīng)網(wǎng)絡(luò)處理非線性、復(fù)雜性等優(yōu)勢，基于改進的遞歸神經(jīng)網(wǎng)絡(luò)預(yù)測網(wǎng)絡(luò)安全態(tài)勢，實驗結(jié)果證明該方法運行效率較高，運行結(jié)果與實際值相比，誤差較低，精確性較高。

網(wǎng)絡(luò)安全態(tài)勢;遞歸神經(jīng)網(wǎng)絡(luò);預(yù)測

0 引言

目前，網(wǎng)絡(luò)安全態(tài)勢已經(jīng)誕生了許多優(yōu)秀的算法和模型，傳統(tǒng)的網(wǎng)絡(luò)安全評估方法包括基于專家知識的方法、基于貝葉斯理論的方法、基于模糊邏輯的方法、基于人工神經(jīng)網(wǎng)絡(luò)的方法，同時在預(yù)測和評估方法中引入了粗集理論、D-S證據(jù)理論、聚類分析、關(guān)聯(lián)規(guī)則分析等，將其融合在各個大規(guī)模的復(fù)雜的網(wǎng)絡(luò)環(huán)境中，借助于經(jīng)驗知識，構(gòu)建數(shù)學(xué)模型，經(jīng)過分析和推理，分析網(wǎng)絡(luò)各種軟硬件資源、網(wǎng)絡(luò)運行狀態(tài)和網(wǎng)絡(luò)用戶的行為等特點，對網(wǎng)絡(luò)當(dāng)前的安全狀況作出合理的判定。

1 神經(jīng)網(wǎng)絡(luò)的基本理論

神經(jīng)網(wǎng)絡(luò)模擬生物進化思維，具有獨特的結(jié)構(gòu)神經(jīng)元反饋機制，其具有分布式信息存儲、自適應(yīng)學(xué)習(xí)、并行計算和容錯能力較強的特點，以其獨特的結(jié)構(gòu)和信息處理方法，在自動化控制、組合優(yōu)化、信息處理、機器人、模式識別、圖像處理等機器學(xué)習(xí)領(lǐng)域得到了廣泛的應(yīng)用，隨著許多學(xué)者的研究，神經(jīng)網(wǎng)絡(luò)已經(jīng)誕生了許多新的模型，包括自適應(yīng)諧振理論(ART)、Kohonen網(wǎng)絡(luò)、反向傳播(BP)網(wǎng)絡(luò)和Hopfield網(wǎng)。尤其是大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)分析和態(tài)勢預(yù)測中，神經(jīng)網(wǎng)絡(luò)能夠建立一個良好的分類學(xué)習(xí)模型，并且在學(xué)習(xí)過程中優(yōu)化每一層的神經(jīng)元和神經(jīng)元連接的每一個節(jié)點。最后，建立一個改進的神經(jīng)網(wǎng)絡(luò)態(tài)勢預(yù)測要素，輸入一個網(wǎng)絡(luò)數(shù)據(jù)，輸出的網(wǎng)絡(luò)異常行為將作為網(wǎng)絡(luò)安全態(tài)勢的要素，能夠為網(wǎng)絡(luò)安全態(tài)勢預(yù)測提供經(jīng)驗知識。

2 改進的遞歸神經(jīng)網(wǎng)絡(luò)評估與預(yù)測模型構(gòu)建

網(wǎng)絡(luò)態(tài)勢預(yù)測過程中，影響網(wǎng)絡(luò)安全運行的狀況非常多，主觀因素包括網(wǎng)絡(luò)攻擊者的能力和意圖，網(wǎng)絡(luò)管理者的防御意識和防御策略等；客觀原因包括網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)的運行環(huán)境、網(wǎng)絡(luò)中傳輸設(shè)備的性能等。目前，網(wǎng)絡(luò)技術(shù)逐漸進步，星型、總線型網(wǎng)絡(luò)架構(gòu)已經(jīng)無法滿足人們的需求，但是許多融合的網(wǎng)絡(luò)架構(gòu)，使其更加復(fù)雜；網(wǎng)絡(luò)傳輸設(shè)備種類越來越多，光纖傳輸、數(shù)字傳輸?shù)热〈藗鹘y(tǒng)的低速率設(shè)備；使用網(wǎng)絡(luò)的用戶文化水平高低不一，網(wǎng)絡(luò)運行環(huán)境也更加復(fù)雜，這些都增加了網(wǎng)絡(luò)安全受到的潛在的威脅，因此，要想全面的、客觀的、準確的判斷一個網(wǎng)絡(luò)的整體安全現(xiàn)狀，必須依據(jù)現(xiàn)有的歷史數(shù)據(jù)，建立一個精確的網(wǎng)絡(luò)安全態(tài)勢預(yù)測和評估模型，以便預(yù)測其發(fā)展趨勢。

圖1 基于改進的遞歸神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全預(yù)測與態(tài)勢評估模型

本文充分考慮網(wǎng)絡(luò)的復(fù)雜性、未來趨勢的不確定性和隨機性，利用改進的遞歸神經(jīng)網(wǎng)絡(luò)在預(yù)測網(wǎng)絡(luò)復(fù)雜性的優(yōu)勢特點，提出了一種基于改進的遞歸神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全預(yù)測與態(tài)勢評估模型如圖1所示。

（1）收集網(wǎng)絡(luò)數(shù)據(jù)

目前，收集的網(wǎng)絡(luò)數(shù)據(jù)是預(yù)測和評估網(wǎng)絡(luò)態(tài)勢的基礎(chǔ)工作，網(wǎng)絡(luò)數(shù)據(jù)可以分為兩類，分別是系統(tǒng)運行信息和系統(tǒng)配置信息。系統(tǒng)運行信息是通過分析網(wǎng)絡(luò)數(shù)據(jù)流、網(wǎng)絡(luò)設(shè)備性能數(shù)據(jù)和IDS日志，了解網(wǎng)絡(luò)系統(tǒng)受到攻擊的頻次等情況；系統(tǒng)配置信息通過漏洞掃描等技術(shù)措施分析網(wǎng)絡(luò)的服務(wù)規(guī)則、主機配置和網(wǎng)絡(luò)架構(gòu)配置等存在的漏洞信息。

（2）提取網(wǎng)絡(luò)態(tài)勢影響因素

根據(jù)采集的海量網(wǎng)絡(luò)信息數(shù)據(jù)，實施預(yù)處理，進行關(guān)聯(lián)分析，將影響網(wǎng)絡(luò)正常運行的數(shù)據(jù)實施分類處理，形成統(tǒng)一的數(shù)據(jù)格式，將其存到數(shù)據(jù)庫中，便于下一步實施處理。

（3）計算網(wǎng)絡(luò)態(tài)勢值

網(wǎng)絡(luò)安全態(tài)勢預(yù)測及評估的重要步驟是計算網(wǎng)絡(luò)態(tài)勢值。針對提取到影響網(wǎng)絡(luò)態(tài)勢的相關(guān)因素，根據(jù)其影響程度加權(quán)分析，可以定量分析網(wǎng)絡(luò)上某個時間段的安全狀態(tài)，本文從系統(tǒng)層、主機層和服務(wù)層計算網(wǎng)絡(luò)態(tài)勢值。

（4）網(wǎng)絡(luò)態(tài)勢預(yù)測

網(wǎng)絡(luò)態(tài)勢預(yù)測是實施網(wǎng)絡(luò)態(tài)勢評估的最后一步，是實現(xiàn)網(wǎng)絡(luò)安全的預(yù)警的前提，態(tài)勢預(yù)測可以基于歷史網(wǎng)絡(luò)信息和現(xiàn)在的網(wǎng)絡(luò)信息預(yù)測將來網(wǎng)絡(luò)的發(fā)展走勢。采用改進的遞歸神經(jīng)網(wǎng)絡(luò)算法可以處理復(fù)雜的網(wǎng)絡(luò)態(tài)勢情況。

3 改進的遞歸神經(jīng)網(wǎng)絡(luò)預(yù)測模型的實現(xiàn)

在基于改進的遞歸神經(jīng)網(wǎng)絡(luò)預(yù)測網(wǎng)絡(luò)態(tài)勢的模型包括輸入層、隱含層、承接層和輸出層，其實一個改進的遞歸神經(jīng)網(wǎng)絡(luò)模型，在某個時間段內(nèi)，可以從態(tài)勢數(shù)據(jù)庫中取出一個態(tài)勢序列作為遞歸神經(jīng)網(wǎng)絡(luò)的輸入向量S(t)，隱含層輸出X(t)，承接層輸出為Xc(t)，Y(t)表示網(wǎng)絡(luò)的態(tài)勢輸出：

基于改進的遞歸神經(jīng)網(wǎng)絡(luò)的算法學(xué)習(xí)過程如下：

（1）初始化算法的各個參數(shù)的取值：設(shè)置算法的最大迭代次數(shù)為K、反饋增益因子a、學(xué)習(xí)樣本P、教師樣本Y、目標誤差、學(xué)習(xí)率，隨機生成并且初始化神經(jīng)網(wǎng)絡(luò)各層之間的連接權(quán)值向量W；

（2）使用Matlab自帶的newelm()函數(shù)構(gòu)建改建的神經(jīng)網(wǎng)路；

（3）對神經(jīng)網(wǎng)絡(luò)進行迭代訓(xùn)練，迭代過程如下：

① 計算神經(jīng)網(wǎng)絡(luò)的輸出：提供當(dāng)前迭代的一個輸入向量，計算神經(jīng)網(wǎng)絡(luò)的輸出向量；

④ 調(diào)整學(xué)習(xí)率：在迭代過程中逐漸修改增大學(xué)習(xí)率的參數(shù)，設(shè)置一個閾值，如果學(xué)習(xí)率大于該閾值，采用下降梯度法；如果學(xué)習(xí)率小于該閾值，則使用牛頓法；

該算法與傳統(tǒng)的遞歸神經(jīng)網(wǎng)絡(luò)算法相比，其引入了自適應(yīng)的調(diào)整學(xué)習(xí)率的思想，從而能夠有效的改變傳統(tǒng)遞歸神經(jīng)網(wǎng)絡(luò)算法學(xué)習(xí)過程中，人們憑借經(jīng)驗值判斷設(shè)置學(xué)習(xí)率，但是由于經(jīng)驗值非常難獲取，尤其是在復(fù)雜的應(yīng)用環(huán)境中，每一個算法面臨的數(shù)據(jù)的大小、復(fù)雜程度都是不同的，導(dǎo)致學(xué)習(xí)率難以控制。改進的遞歸神經(jīng)網(wǎng)絡(luò)以一定的增量，逐漸修改學(xué)習(xí)率，并且設(shè)置一個閾值，以便更好的控制學(xué)習(xí)率。

4 仿真實驗與分析

4.1 實驗數(shù)據(jù)

本文基于改進的遞歸神經(jīng)網(wǎng)絡(luò)實現(xiàn)評估和預(yù)測網(wǎng)絡(luò)安全態(tài)勢，為了能夠驗證該算法的合理性、有效性，本文采用Honeynet收集的黑客攻擊數(shù)據(jù)作為算法的測試的數(shù)據(jù)集，將數(shù)據(jù)進行預(yù)處理之后，使用計算網(wǎng)絡(luò)安全態(tài)勢值的方法計算態(tài)勢值，然后進行仿真實驗。

4.2 數(shù)據(jù)環(huán)境

為了能夠更加有效的對數(shù)據(jù)進行實驗，本文使用Matlab環(huán)境實現(xiàn)一個有效的改進遞歸神經(jīng)網(wǎng)絡(luò)算法，訓(xùn)練數(shù)據(jù)集。訓(xùn)練數(shù)據(jù)集的過程中，本文選取網(wǎng)絡(luò)運行10周的數(shù)據(jù)，并且使用當(dāng)天的網(wǎng)絡(luò)黑客攻擊數(shù)據(jù)計算網(wǎng)絡(luò)當(dāng)天的態(tài)勢值，因此這10周共得到了70個網(wǎng)絡(luò)態(tài)勢值，由于不同的時間段內(nèi)，網(wǎng)絡(luò)的攻擊數(shù)據(jù)集非常大，為了避免訓(xùn)練數(shù)據(jù)集時算法產(chǎn)生較大的誤差，針對計算得到的網(wǎng)絡(luò)攻擊態(tài)勢值實施歸一化處理。

歸一化處理公式如（5）所示：

Improved network security situation prediction based on recursive neural networks

Cai Junping1,Qu Lei2
(1.Defense Information School of a department of Hubei,Wuhan,430010; 2.College of Wuhan Hubei eight Department of defense information,430010)

Neural network to deal with nonlinear,complexity advantage of this paper,network security situation prediction based on improved recursive neural networks,experimental results show that the high efficiency of the method,results are compared with the actual values,low error,high accuracy.

Network Security Situation;Recurrent Neural Network;Prediction