基于D-S證據(jù)理論的網(wǎng)絡(luò)安全態(tài)勢預(yù)測研究

裴廣利 趙建平 王歡 長春理工大學(xué)

基于D-S證據(jù)理論的網(wǎng)絡(luò)安全態(tài)勢預(yù)測研究

裴廣利 趙建平 王歡 長春理工大學(xué)

本文在針對(duì)國家網(wǎng)絡(luò)安全態(tài)勢預(yù)測問題的研究中的傳統(tǒng)的單項(xiàng)預(yù)測模型的預(yù)測精度不高，實(shí)時(shí)性差的問題，綜合了各個(gè)單項(xiàng)預(yù)測模型的優(yōu)點(diǎn)，并且提出了一種新的組合預(yù)測的方法，最后進(jìn)行仿真驗(yàn)證，結(jié)果表明組合預(yù)測方法具有更高的預(yù)測精度。

D-S證據(jù)理論 網(wǎng)絡(luò)安全 態(tài)勢預(yù)測 組合預(yù)測

1 D-S證據(jù)理論概述

1967年Dempster首先提出的D-S證據(jù)理論。后期中，通過他的學(xué)生Shafer結(jié)合自己的研究成果對(duì)證據(jù)理論進(jìn)行不斷的完善和補(bǔ)充，形成了現(xiàn)在的D-S證據(jù)理論。

2 實(shí)驗(yàn)數(shù)據(jù)樣本

為了保證實(shí)驗(yàn)數(shù)據(jù)的多源性和有效性，我們選取了HoneyNet最新公布的網(wǎng)絡(luò)攻擊數(shù)據(jù)，以確保數(shù)據(jù)能夠反映出最原始的攻擊行為，對(duì)這些數(shù)據(jù)進(jìn)行收集與分析，并且進(jìn)行仿真實(shí)驗(yàn)。

Honey Net項(xiàng)目2015年9月1日至10日的告警信息統(tǒng)計(jì)表

3 時(shí)間序列ARIMA預(yù)測模型

時(shí)間序列就是將按照時(shí)間的先后對(duì)獲取的數(shù)據(jù)形成的一些數(shù)列，然后根據(jù)時(shí)間的走勢包括未來的發(fā)展過程以及發(fā)展趨勢來推斷和預(yù)測未來的發(fā)展。

根據(jù)時(shí)間序列各數(shù)據(jù)之間存在的相關(guān)性對(duì)其進(jìn)行建模，然后將其應(yīng)用到網(wǎng)絡(luò)安全態(tài)勢預(yù)測領(lǐng)域。

時(shí)間序列預(yù)測模型

優(yōu)點(diǎn)：時(shí)間序列預(yù)測模型可以通過時(shí)間發(fā)展的趨勢和過程來推測一些沒有規(guī)則性的事務(wù)，并且進(jìn)行預(yù)測值之間的關(guān)聯(lián)性。所以一般用它來進(jìn)行動(dòng)態(tài)預(yù)測。

根據(jù)已知的t個(gè)時(shí)期的時(shí)間序列觀測值

那么預(yù)測的誤差為

模型中，我們需要先進(jìn)行平穩(wěn)性的檢驗(yàn)，由于時(shí)間序列是非平穩(wěn)的等一系列的原因，需要對(duì)原來的模型進(jìn)行一階差分處理，消除不平穩(wěn)的因素，可以采用AIC準(zhǔn)則，作為模型的選擇標(biāo)準(zhǔn)，我們選擇了ARIMA預(yù)測模型，并且通過介紹的這個(gè)模型，我們可以用它來預(yù)測未來幾天的網(wǎng)絡(luò)安全態(tài)勢值。

上述實(shí)驗(yàn)，反映出了ARIMA模型對(duì)未來網(wǎng)絡(luò)安全態(tài)勢的預(yù)測。但是，由于它自身的缺陷，和真實(shí)值對(duì)比有會(huì)出現(xiàn)少量的誤差，下面進(jìn)行誤差分析

ARIMA預(yù)測模型結(jié)果誤差分析

時(shí)間序號(hào) 態(tài)勢預(yù)測值 態(tài)勢真實(shí)值 誤差比6 2．9 3 10．6%7 39 30 34．15%8 32 29 20．13%9 47 53 33．25%10 27 20 32．41%

4 灰色Verhulst預(yù)測模型

優(yōu)點(diǎn)：灰色Verhulst模型的好處就是可以檢測到離散的、原始的數(shù)據(jù)，通過一系列的累加處理，得到一個(gè)序列，然后計(jì)算序列的值，近幾年來，得到了研究者的廣泛應(yīng)用。

Verhulst模型可以表示為

p(t)設(shè)置為阻尼項(xiàng)，b設(shè)置為常數(shù)，然后對(duì)這個(gè)非線性微分方程進(jìn)行求解，得：

其中 t為初始時(shí)刻，p(t)為表示在t時(shí)刻的值，即數(shù)列初始值。

設(shè)有網(wǎng)絡(luò)安全態(tài)勢值序列X，通過計(jì)算得到一階累加數(shù)列X和平均值生成序列Z(1)。

則灰色Verhulst預(yù)測模型為：

通過網(wǎng)絡(luò)攻擊數(shù)據(jù)生成的網(wǎng)絡(luò)攻擊序列值，得到該模型的 a、b 的值：a=0．4237，b=0．0249，則此刻時(shí)間響應(yīng)式為

Verhulst模型預(yù)測結(jié)果

灰色Verhulst模型預(yù)測結(jié)果誤差分析

序號(hào) 態(tài)勢預(yù)測值 態(tài)勢真實(shí)值 誤差比6 0 0 0%7 33 30 14．15%8 38 29 30．13%9 45 55 23．25%10 27 20 22．41%

5 Elman神經(jīng)網(wǎng)絡(luò)預(yù)測模型

優(yōu)點(diǎn)：在Elman神經(jīng)網(wǎng)絡(luò)的分層結(jié)構(gòu)中。每一個(gè)層都是互相關(guān)聯(lián)的，它能能夠得到類似前饋網(wǎng)絡(luò)，并且可以傳遞非線性傳遞函數(shù)，能夠進(jìn)行更高的態(tài)勢預(yù)測。

設(shè)定f(x)、g(x)分別為兩個(gè)層中相對(duì)應(yīng)的函數(shù)。w(k)表示k時(shí)刻承接層和隱含層之間的連接權(quán)值，X(k)分別表示k時(shí)刻表示為承接層與層單元單元之間的輸出，w(k)則表示k時(shí)刻層與層之間的連接權(quán)值。

Elman模型的預(yù)測結(jié)果

Elman預(yù)測模型結(jié)果誤差分析

序號(hào) 預(yù)測值 真實(shí)值 誤差比6 2 2 0%7 33 30 24．15%8 37 29 25．13%9 49 55 33．25%10 31 19 42．41%

進(jìn)行組合預(yù)測的第一步，就是要對(duì)各個(gè)模型的權(quán)重進(jìn)行提取，課題中使用的是權(quán)重提取模型。

假定我們根據(jù)情況設(shè)定這三種預(yù)測模型的結(jié)果分別是P1,P2,P3,P4，設(shè)定前幾天的的安全態(tài)勢為SA，那么這幾種預(yù)測模型的預(yù)測誤差就分別為e1,e2,e3,e4,則：

設(shè)定w1,w2,w3和w4分別為四種預(yù)測模型各自對(duì)應(yīng)的權(quán)重，則組合預(yù)測模型的預(yù)測值可以表示為：

預(yù)測的總誤差E為：

誤差的方差D(E)為：

其次就是多模型權(quán)重的融合模型

前四種單項(xiàng)預(yù)測的網(wǎng)絡(luò)安全態(tài)勢預(yù)測值為p1,p2,p3和p4，其中對(duì)應(yīng)的權(quán)值為w1,w2,w3,w4在識(shí)別框架中可以建立基本可信度分配m，則融合過程如下：

其中：

根據(jù)結(jié)果我們可以將預(yù)測到的安全態(tài)勢結(jié)果和其信度函數(shù)進(jìn)行信息融合，然后將融合的結(jié)果和下一天的網(wǎng)絡(luò)安全態(tài)勢值對(duì)應(yīng)的信度函數(shù)來進(jìn)行第二次的信息融合，以此類推，直到推測出后面五天的網(wǎng)絡(luò)安全態(tài)勢值。

6 結(jié)束語

本文在研究的基礎(chǔ)上總結(jié)網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型中單項(xiàng)預(yù)測模型的特點(diǎn)，分別進(jìn)行分析，設(shè)計(jì)出組合預(yù)測模型，通過數(shù)據(jù)提取、融合，來進(jìn)行模型的實(shí)驗(yàn)仿真。從實(shí)驗(yàn)可以看出，預(yù)測精度較以往得到了大大的提高。

[1]吳國強(qiáng).網(wǎng)絡(luò)安全評(píng)估的研究[J].信息安全與技術(shù)，2012，(1):10-12,24.

[2] 孫寧. 網(wǎng)絡(luò)化系統(tǒng)安全態(tài)勢評(píng)估設(shè)計(jì)及態(tài)勢融合技術(shù)模型研究[D]. 蘭州：蘭州理工大學(xué).2007.

[3] Haoliang Zhang, Jinqiao Shi, Xiaojun Chen. A Multi-Level Analysis Framework in Network Security Situation Awareness[J]. Procedia Computer Science, 2013, 17:530-536.

[4]Tiago P.F.Lima；Teresa B.Ludermir.An antomatic method for construction of ensembles to time series prediction[J]. International Journal of Hybrid Intelligent Systems.2013, 10(4):191-203.

裴廣利，男，1990年7月4日出生，漢族，現(xiàn)就讀于長春理工大學(xué)、碩士學(xué)位，研究方向?yàn)樵朴?jì)算及物聯(lián)網(wǎng)技術(shù)。