基于改進的模糊神經網絡的網絡運行態勢感知技術*

何文雯，張濤濤，吳若無

（中國人民解放軍63892 部隊 復雜電磁環境效應國家重點實驗室，河南 洛陽 471000）

0 引言

信息時代，網絡已經滲透到人們日常生活的方方面面，因此保障網絡高效、穩定地運行是亟待解決的問題。為了保證網絡運行狀態的高效性和魯棒性，構建一個可管、可控、可信的網絡，對當前網絡運行態勢進行感知是必要的。網絡運行態勢感知就是對能夠引起網絡運行狀態變化的因素進行獲取和理解，對當前網絡狀態進行評估，從而能為網絡管理和運維中的資源調整提供信息支撐。因此，如何準確地對網絡態勢進行評價是網絡運行態勢研究的重點。

網絡態勢感知（Cyberspace Situation Awareness，CSA）的概念最早出現在軍事領域，是Bass 在1999年提出的[1]，他指出基于數據融合的網絡態勢感知是網絡管理的發展方向[1]。國內對網絡態勢的研究剛剛起步，目前，網絡態勢感知的研究大多集中于網絡安全態勢，對綜合網絡態勢和網絡運行態勢的研究較少。在網絡安全研究方面，人工智能方法被廣泛應用。陸冬[2]提出了基于Elman 神經網絡的態勢預測模型。章菊廣[3]采用特征關聯分析法對網絡態勢感知中的惡意行為進行檢測，該檢測方法在網絡安全態勢感知系統中表現良好。胡楚航[4]提出了基于長短記憶神經網絡（Long Short-Term Memory Neural Network，LSTM）的單模型預測方法。蔡潤[5]采用層次分析法（Analytic Hierarchy Process，AHP）構建態勢指標模型和模糊神經網絡結合起來對校園網絡進行網絡安全態勢感知。趙冬梅等人[6]將Transformer 用于網絡安全態勢預測。姚海濤[7]提出了基于改進反向傳播（Back Propagation，BP）神經網絡的軟件定義網絡（Soft Define Network，SDN）的網絡態勢評估算法。

在網絡傳輸態勢研究方面，國外還未有相關重要研究，國內龔正虎等人在文獻[8]中詳細討論了網絡態勢感知的研究框架和評估方法，卓瑩等人在文獻[9]中提出了基于拓撲-流量挖掘的網絡態勢感知技術，在文獻[10]中提出了基于網絡態勢評估的粗集分析模型，在文獻[11]中提出了網絡傳輸態勢模型（Network Transmission Situation Awarenes，NTSA），該模型采用聚類的方法分析空間流量，并基于網絡中拓撲的重要性對網絡運行態勢進行分析。王海學等人[12]基于神經網絡構建星間鏈路態勢感知模型，實現了對星間鏈路網絡的未來狀態進行感知預測，為網絡運行態勢的研究提供了重要思路。網絡運行態勢這一概念由柏駿在文獻[13]中提出，并提出了利用網絡鏈路的可達性計算網絡鏈路權重評估網絡運行態勢的方法。

網絡運行態勢主要關注用戶對網絡的體驗，反映網絡運行時的用戶滿意度。影響網絡運行態勢評估結果的態勢因子復雜多源，包括業務質量、網絡傳輸速率、網絡安全性等。這些態勢因子具有模糊性和不穩定性，為了保證評估結果的一致性和穩定性，要求網絡態勢感知模型具備模糊評估能力和多源信息融合能力[14-15]。模糊邏輯能夠很好地處理不確定性和模糊性數據，將人的思維具象化，但是在模糊推理過程中往往需要借助專家經驗確定模糊規則，這會導致推理結果過于依賴專家經驗，也無法滿足處理海量數據的需求。因此考慮將人工智能中的神經網絡和模糊邏輯結合，既能對神經網絡的黑盒性進行解釋，又能利用神經網絡處理大數據的優勢對網絡運行態勢進行感知。

針對以上需求，本文結合網絡運行態勢感知的特點，構建網絡運行質量指標體系，提出了CSA 模糊神經網絡進行網絡運行態勢感知，采用真實的網絡運行流量數據對模型進行優化和驗證。實驗證明，本文提出的CSA 模糊神經網絡的網絡運行態勢感知精度較傳統的模糊神經網絡提高了約0.91%，態勢感知效率提高了約30%。

1 模糊神經網絡

1.1 模糊邏輯

模糊邏輯能夠基于不精確或部分知識推理出結果，模糊邏輯推理系統如圖1 所示。

圖1 模糊邏輯推理系統

模糊邏輯推理系統各模塊工作流程如下文所述。

（1）模糊化。將輸入的精確量進行模糊化，設輸入數據為x=(x1,x2,…,xn)T，每一個輸入分量都可以模糊化為m類。則模糊化后的模糊子集為V(xi)={,,…,}，k=1,2,3,…,m，其 中，表 示第i個輸入分量的第k個語言變量，的值可以通過隸屬度函數μik來表示，常用的隸屬度函數為高斯函數。

（2）模糊規則庫。模糊規則庫用來提供模糊規則，模糊規則可以用IF-THEN 語句表示：

其中，y為輸出向量，yr為y的第r個分量。

（3）模糊推理。模糊推理方法可以用式（1）進行線性表示。

式中：yjt為第j個輸出分量yj在第t條模糊規則下的輸出，為常數，表示輸入分量x1對t條模糊規則的適應度。

（4）去模糊化：對模糊結果進行去模糊化。去模糊化通常使用加權平均判決法。設模糊規則共有t條，則第j個輸出向量yj的去模糊化公式為：

式中：Tq為輸入向量x對第q條模糊規則的適應度。

1.2 模糊神經網絡

模糊神經網絡就是將神經網絡引入模糊推理系統，使模糊神經網絡同時具有可解釋性和自我學習性。常見的模糊神經網絡有Mandani 模糊神經網絡和T-S 型模糊神經網絡，如圖2 和圖3 所示。

圖2 Mandani 模糊神經網絡的結構

圖3 T-S 型模糊神經網絡的結構

Mandani 模糊神經網絡共5 層，隸屬層對應模糊推理系統的模糊化層，規則層對應模糊規則庫，歸一化層對應去模糊化。T-S 型模糊神經網絡分為前件網絡和后件網絡，前件網絡對應模糊規則中的IF 條件，完成模糊化和模糊推理過程，后件網絡對應THEN 部分，完成去模糊化過程。

2 模糊神經網絡的改進

傳統的模糊神經網絡模型需要根據專家經驗制定模糊規則，從而確定隱層節點的個數，模糊規則制定的客觀性和正確性直接關系到態勢感知結果的準確性。規則的個數也直接關系到模糊神經網絡的復雜度，過多的規則數會造成模糊神經網絡在學習過程中產生大量的學習參數，學習效率大大降低。因此，如何從多維、海量、復雜的網絡運行數據中確定合適的模糊規則使網絡能夠根據輸入數據自適應地調節節點個數是網絡運行態勢感知中需要解決的問題。

網絡運行態勢感知即對網絡運行數據進行學習和處理，對當前的網絡狀態進行評價，將網絡運行數據映射為網絡運行態勢等級。因此，網絡運行態勢感知模型應當滿足一定的分類準確度。針對以上兩個方面的問題，提出CSA-模糊神經網絡，其結構如圖4 所示。

圖4 CSA 模糊神經網絡結構

為了解決模糊規則制定不當導致網絡復雜度增加的問題，本文將徑向基函數（Radial Basis Function，RBF）神經網絡結構引入到模糊邏輯中，構建RBF 模糊神經網絡。RBF 網絡中的隱層節點采用徑向基函數，與模糊邏輯中模糊規則的隸屬度函數一致，因此將RBF 網絡和模糊邏輯相結合，從而利用RBF 神經網絡可以通過智能算法調節隱層節點個數的優勢。為了滿足態勢感知模型對分類準確度的要求，添加了反模化層并在該層采用softmax()函數作為激活函數來完成歸一化層到輸出層的映射。

如圖4 所示，CSA 模糊神經網絡共6 層。前4層對應T-S 模糊邏輯中的IF 部分，后兩層對應T-S模糊邏輯中的THEN 部分。該模型中每一層的功能如下文所述。

（1）輸入層：將經過預處理的網絡數據輸入模型中。設輸入數據為n維數據x=(x1,x2,x3,…,xn)。

（2）規則映射層：完成模糊邏輯中的模糊劃分，并根據模糊劃分結果初始化節點個數和隸屬度函數。假設每一個輸入向量模糊劃分結果為m，則該層節點個數為mn。模型的隸屬度函數采用高斯函數，每一個節點的隸屬度函數為：

式中：xi表示輸入數據x的第i個輸入向量，cij表示xi對應的第j個模糊類的中心，σj表示第j個模糊類的類內方差。

（3）規則適應度層：其中的每個節點代表一條模糊規則，節點的輸出代表輸入數據對該條規則的適應度。每一個節點的函數為適應度函數，適應度函數由模糊推理中的模糊“與”方法計算所得，模糊“與”就是對該條規則中的所有輸入做算術積操作。每一個節點的適應度函數仍為高斯函數。

（4）歸一化層：對規則適應度進行歸一化處理，處理后所有節點的適應度之和為1。

（5）反模糊化層：通過softmax()函數將模糊規則映射為態勢級別。節點通過softmax()函數輸出每條模糊規則下該事件發生的概率，所有事件發生概率之和為1，概率最大事件則為當前態勢級別。softmax()函數的表達式如下：

式中：k為該層神經元節點的個數，xt為第t個節點的輸入。

（6）輸出層：輸出態勢級別。

采用該CSA-模糊神經網絡模型進行網絡運行態勢感知的步驟如下文所述。

（1）對原始數據進行模糊劃分，根據模糊劃分結果對模型進行初始化。模糊劃分采用K-mediods聚類的方法進行聚類，根據聚類結果確定規則映射層節點的個數和每個節點的隸屬度函數。

（2）按照模糊推理方法中的模糊“與”操作初始化規則適應度層中每個節點的適應度函數中的參數。

（3）初始化隱含層之間的鏈接權重，采用智能算法對模型中的參數進行訓練。

CSA-模糊神經網絡的模型優化流程如圖5所示。

圖5 CSA-模糊神經網絡模型優化流程

3 網絡運行態勢感知

為了驗證本文所提出的CSA-模糊神經網絡在真實網絡中的表現能力，本文選用MAWEILAB 實驗室采集的真實網絡流量數據進行仿真驗證。該實驗室基于圖方法對網絡運行狀態進行監測，創建了網絡數據流量庫。該數據庫的數據主要來自7 個采樣點，本文選擇其中一個采樣點的數據進行分析，該采樣點的數據集是對一條跨太平洋線路的每日流量跟蹤數據，選擇2006 年—2015 年10 月期間的數據進行網絡運行態勢感知。網絡運行態勢感知流程如圖6 所示。

圖6 網絡運行態勢感知仿真流程

3.1 指標確定和數據處理

網絡運行態勢從用戶角度出發，更關注網絡運行質量。因此綜合網絡運行時的流量特征和國際電信聯盟標準分局（International Telecommunication Union Telecommunication Standardization Sector，ITU-T）與國際互聯網工程任務組（The Internet Engineering Task Force，IETF）對網絡性能指標的定義，制定本文的網絡運行態勢指標體系，如表1所示。

表1 網絡運行態勢指標體系

按照制定的指標體系中的指標從MAWEILAB數據庫中搜集流量數據，搜集到的數據標簽值總共有4 個取值，代表網絡優、良、中、差的運行狀態，分別為0，1，2，3，取值越高表示網絡狀態越好。其中0 表示網絡狀態差，3 表示網絡狀態優。

對獲取到的網絡數據進行整理和量綱一體化處理。采用最大最小標準化方法進行歸一化，其公式為：

整理后的數據分布在[0,1]之間，量綱統一。表2 為整理后的部分網絡流量數據。

表2 部分網絡流量數據

3.2 結果分析

按照圖6 中的CSA-模糊神經網絡優化流程進行模型訓練。

（1）模糊劃分：采用K-mediods 聚類方法進行聚類，根據CH指標和肘部法則確定模糊劃分的個數。

CH 指標計算公式如下：

式中：tr(Bk)表示類間距離，tr(Wk)表示類內距離，k為聚類個數，n為數據集樣本數。CH(k)的值越大表示分類效果越好。

（2）肘部法則：通過計算聚類誤差平方和判斷聚類效果的好壞。以聚類數k為橫軸，聚類誤差為縱軸繪制折線圖。找到一個k值，使增加k值所帶來的類內誤差下降幅度最大時，該k值就是對應的最佳聚類數。聚類結果如圖7 所示，圖中橫坐標為聚類個數，縱坐標表示該法則下的取值。

圖7 網絡運行數據聚類指標

由上圖確定最佳聚類數是4，即有4 個模糊類。聚類中心和類內誤差如表3 和表4 所示。表3 中cij表示第i個中心點的第j維分量。

表3 網絡數據聚類中心點

表4 網絡數據聚類誤差

根據式（3）由聚類結果初始化CSA 模糊神經網絡各層節點個數和規則映射層的隸屬度函數，模型初始化參數如表5 所示。

表5 CSA 模糊神經網絡初始化參數

按照表中初始化參數設置模型，將預處理后的網絡運行數據按照2 ∶8 的比例分為測試數據和訓練數據，分別對CSA 模糊神經網絡模型和T-S 模糊神經網絡模型進行訓練和測試，比較兩個模型的網絡運行態勢感知能力。實驗結果如表6 所示。

表6 神經網絡預測精度比較

如表6 所示，CSA 模糊神經網絡較傳統T-S 型模糊神經網絡的態勢感知精度高0.91%，兩者的網絡運行態勢感知的準確率差別不大。

將CSA 模糊神經網絡模型的訓練過程和傳統T-S型模糊神經網絡進行對比，結果如圖8和9所示。圖8 和圖9 分別為CSA 模糊神經網絡與T-S 型模糊神經網絡的訓練和測試精度隨迭代次數的變化情況。如圖所示，CSA 模型的測試精度在迭代次數為150 次時完成收斂，T-S 模型在迭代次數為500 次時達到穩定。CSA 模型的收斂速率較T-S 模型提高了約30%，因此本文所提出的網絡態勢感知模型的收斂速度更快。

圖8 6 層模糊神經網絡訓練效果

圖9 5 層模糊神經網絡訓練結果

4 結語

本文結合網絡運行態勢感知的特點和需求，構建了網絡運行質量指標評價體系。對T-S 模糊神經網絡進行改進，提出了基于CSA 模糊神經網絡的網絡運行態勢感知模型。采用真實網絡運行數據對CSA 模糊神經網絡進行訓練和測試，提高了網絡運行態勢感知的效率和精度。