基于極限學(xué)習(xí)機的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型

孫 悅

(陜西交通職業(yè)技術(shù)學(xué)院 軌道交通學(xué)院， 西安 710018)

?

基于極限學(xué)習(xí)機的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型

孫 悅

(陜西交通職業(yè)技術(shù)學(xué)院 軌道交通學(xué)院， 西安 710018)

態(tài)勢預(yù)測是保證網(wǎng)絡(luò)安全的前提條件，針對網(wǎng)絡(luò)安全態(tài)勢復(fù)雜、非線性的變化特點，提出了基于極限學(xué)習(xí)機的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型。收集網(wǎng)絡(luò)安全態(tài)勢的歷史數(shù)據(jù)，并通過數(shù)據(jù)預(yù)處理便于后繼建模，然后采用極限學(xué)習(xí)機對網(wǎng)絡(luò)安全態(tài)勢進行訓(xùn)練，建立網(wǎng)絡(luò)安全態(tài)勢的預(yù)測模型，最后通過仿真對比實驗驗證其有效性。結(jié)果表明，極限學(xué)習(xí)機可以刻畫網(wǎng)絡(luò)安全的將來變化態(tài)勢，獲得了高精度的網(wǎng)絡(luò)安全態(tài)勢預(yù)測結(jié)果，同時網(wǎng)絡(luò)安全態(tài)勢的建模效率得到了明顯的提高。

網(wǎng)絡(luò)安全； 變化態(tài)勢； 極限學(xué)習(xí)機； 仿真實驗

0 引言

人們現(xiàn)在生活、工作、學(xué)習(xí)中均離不開網(wǎng)絡(luò)，網(wǎng)絡(luò)給人們生活帶來了極大的便利，然而人們在使用網(wǎng)絡(luò)過程中，由于安全意識的缺乏，以及網(wǎng)絡(luò)系統(tǒng)的開放性，同時給非法用戶也帶來便利，安全問題成為網(wǎng)絡(luò)研究中的一個熱點領(lǐng)域[1-3]。最原始的網(wǎng)絡(luò)安全預(yù)防技術(shù)主要通過防火墻、殺毒軟件對網(wǎng)絡(luò)工作狀態(tài)進行分析，對一些異常的網(wǎng)絡(luò)行為進行攔截，無法預(yù)測將來面臨的問題。網(wǎng)絡(luò)態(tài)勢預(yù)測能夠?qū)砭W(wǎng)絡(luò)狀態(tài)進行分析和描述，預(yù)測結(jié)果有利于制定安全防范策略，設(shè)計性能優(yōu)異的網(wǎng)絡(luò)安全態(tài)勢預(yù)測成為人們關(guān)注的焦點[4,5]。

學(xué)者們對網(wǎng)絡(luò)安全態(tài)勢預(yù)測問題進行大量的研究，傳統(tǒng)網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型為時間序列預(yù)測模模型，它們認為網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)之間存在一定的時間相關(guān)性建立網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型，如指數(shù)平滑法等[6]。然而網(wǎng)絡(luò)安全態(tài)勢不僅具有周期性、規(guī)律性變化特點，而且具有非線性、突變性變化特點，因此時間序列預(yù)測模型的預(yù)測精度有限[7,8]。近年來，有學(xué)者提高了支持向量機、神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型[9-11]，它們的非線性預(yù)測能力相對更強，獲得良好的網(wǎng)絡(luò)安全態(tài)勢預(yù)測結(jié)果，然而支持向量機的學(xué)習(xí)速度比較慢，當(dāng)網(wǎng)絡(luò)安全態(tài)勢預(yù)測的數(shù)據(jù)量比較大時，網(wǎng)絡(luò)建模速度慢，安全態(tài)勢預(yù)測效率無法滿足實際應(yīng)用的要求。而神經(jīng)網(wǎng)絡(luò)存在過擬合、收斂速度慢等不足，因此需要進一步尋找更優(yōu)算法建立網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型[12]。極限學(xué)習(xí)機是一種改進的前饋神經(jīng)網(wǎng)絡(luò)，確定了傳統(tǒng)神經(jīng)網(wǎng)絡(luò)的過擬合、收斂速度慢等缺陷，而且泛化能力沒有比支持向量機差[13]。

針對網(wǎng)絡(luò)安全態(tài)勢復(fù)雜、非線性的變化特點，提出了基于極限學(xué)習(xí)機的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型。結(jié)果表明，極限學(xué)習(xí)機獲得了高精度的網(wǎng)絡(luò)安全態(tài)勢預(yù)測結(jié)果，網(wǎng)絡(luò)安全態(tài)勢的建模效率也得到了明顯的提高。

1 極限學(xué)習(xí)機和粒子群優(yōu)化算法

1.1 極限學(xué)習(xí)機

設(shè)收集到的網(wǎng)絡(luò)安全態(tài)勢歷史樣本為：G={(x1,t1),(x2,t2),…,(xN,tN)}，xi=[xi1,xi2,…,xin]∈Rn，ti=[ti1,ti2,…,tin]∈Rm，i=1,2,…,N，采用極限學(xué)習(xí)機建立如式(1)。

(1)

式中，L為極限學(xué)習(xí)機的隱含層節(jié)點數(shù)；αi=[αi1,αi2,…,αin]T為極限學(xué)習(xí)機輸入節(jié)點的連接權(quán)值；bi為極限學(xué)習(xí)機的隱含層閾值；βi=[βii,βi2,…,βim]T表示極限學(xué)習(xí)機隱含層節(jié)點的連接權(quán)值；g(x)為極限學(xué)習(xí)機的激勵函數(shù)。

對式(1)進行分析可以知道，當(dāng)前多個方程時聯(lián)立時可以建立矩陣，即有式(2)。

Hβ=T

(2)

式中，H為極限學(xué)習(xí)機輸入矩陣，具體有：

H(α1,α2,…,αL,b1,b2,…,bL,x1,x2,…,xN)=

由于網(wǎng)絡(luò)安全態(tài)勢具有非線性，因此需要對極限學(xué)習(xí)機進行變換，便于求解，即式(3)。

(3)

引入拉格朗日乘子ω=[ω1,ω2,…,ωN]簡化式(3)的求解過程，加快極限學(xué)習(xí)機訓(xùn)練速度，這樣有式(4)。

(4)

對式(4)進行求偏導(dǎo)數(shù)得到式(5)。

(5)

式中，I表示矩陣。

對于一個新的網(wǎng)絡(luò)安全態(tài)勢樣本，基于極限學(xué)習(xí)機的預(yù)測結(jié)果如式(6)。

(6)

1.2 粒子群優(yōu)化算法

粒子i的速度和位置向量為：vi=(vi1,vi2,…,viD)T和xi=(xi1,xi2,…,xiD)T，當(dāng)前粒子i和群體的最優(yōu)位置向量為：pi=(pi1,pi2,…,piD)和pg=(pg1,pg2,…,pgD)，那么粒子狀態(tài)改變的方式為式(7)、(8)。

(7)

xid(t+1)=xid(t)+vid(t+1)

(8)

標準粒子群算法的陷入局部最優(yōu)，為此引入鯰魚算子對pgd或pid進行擾動，那么有式(9)。

(9)

式中，c3×rand和c4×rand為鯰魚算子，它們?yōu)槭?10)、(11)。

(10)

(11)

式中，ep和eg為當(dāng)前個體與最優(yōu)個體之間、全局最優(yōu)個體的偏差；e0p和e0g為當(dāng)前個體與最優(yōu)個體之間、全局最優(yōu)個體的閾值。

選擇2個函數(shù)分析改進粒子群優(yōu)化算法(MPSO)和標準粒子群優(yōu)化算法(PSO)的性能，它們?yōu)槭?12)、(13)。

(12)

(13)

兩種的收斂曲線如圖1所示。

(a) f1函數(shù)

(b) f2函數(shù)

相對于PSO算法，MPSO算法的收斂效果更優(yōu)，克服陷入局部最優(yōu)的缺陷，改善了搜索能力。

2 極限學(xué)習(xí)機的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型

(1) 收集某個網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢歷史數(shù)據(jù)，并對其值進行歸一化處理，即式(14)。

(14)

式中，δ為網(wǎng)絡(luò)安全態(tài)勢的值；δmax、δmin分別為網(wǎng)絡(luò)安全態(tài)勢的最大值和最小值；δnorm為歸一化后的網(wǎng)絡(luò)安全態(tài)勢值。

(2) 將一維網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)變換成為多維的網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)。

(3) 采用極限學(xué)習(xí)對網(wǎng)絡(luò)安全態(tài)勢的訓(xùn)練數(shù)據(jù)進行學(xué)習(xí)，并采用改進粒子群算法對極限學(xué)習(xí)機進行優(yōu)化，建立網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型，

基于極限學(xué)習(xí)機的網(wǎng)絡(luò)安全態(tài)勢預(yù)測原理,如圖2所示。

圖2 網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型的工作原理

3 網(wǎng)絡(luò)安全態(tài)勢預(yù)測的實例

3.1 數(shù)據(jù)來源

在Maltab 2014的平臺下進行網(wǎng)絡(luò)安全態(tài)勢預(yù)測實驗。選擇某一個網(wǎng)絡(luò)服務(wù)的安全態(tài)勢數(shù)據(jù)作為實驗對象，選擇200個數(shù)據(jù)建立極限學(xué)習(xí)機的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型，其作數(shù)據(jù)測試預(yù)測性能，數(shù)據(jù)如圖3所示。

圖3 網(wǎng)絡(luò)安全態(tài)勢的數(shù)據(jù)

3.2 極限學(xué)習(xí)機的網(wǎng)絡(luò)安全態(tài)勢預(yù)測結(jié)果

首先對圖3的一維網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)進行變換，得到一個多維的網(wǎng)絡(luò)安全態(tài)勢，本文通過確定嵌入維數(shù)確定，然后采用粒子群優(yōu)化算法對極限學(xué)習(xí)機的參數(shù)進行在線優(yōu)化，建立網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型，并進行單步和多步預(yù)測，預(yù)測結(jié)果,如圖4和5所示。

對單步和多步網(wǎng)絡(luò)安全態(tài)勢預(yù)測結(jié)果進行分析可知道，多步的網(wǎng)絡(luò)安全態(tài)勢預(yù)測效果要比單步的網(wǎng)絡(luò)安全態(tài)勢預(yù)測效果差，但是多步的預(yù)測結(jié)果實際意義更大，而且它們的預(yù)測精度均可以滿足網(wǎng)絡(luò)安全態(tài)勢管理的實際要求。

3.3 與其它網(wǎng)絡(luò)安全態(tài)勢模型的性能對比

為了分析極限學(xué)習(xí)機用于網(wǎng)絡(luò)安全態(tài)勢建模的優(yōu)越性，選擇文獻[10]～[12]的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型進行對照實驗，所有模型的網(wǎng)絡(luò)安全態(tài)勢預(yù)測精度如表1所示。

圖4 極限學(xué)習(xí)機的網(wǎng)絡(luò)安全態(tài)勢單步預(yù)測結(jié)果

圖5 極限學(xué)習(xí)機的網(wǎng)絡(luò)安全態(tài)勢多步預(yù)測結(jié)果

模型名稱單步預(yù)測精度/%多步預(yù)測精度/%本文模型97.3692.11文獻[10]94.6990.06文獻[11]95.8390.19文獻[12]94.7889.50

在所有網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型中，極限學(xué)習(xí)機的單步或者多步預(yù)測精度都最高，這表明獲得了更低的網(wǎng)絡(luò)安全態(tài)勢預(yù)測錯誤，準確刻畫了網(wǎng)絡(luò)安全態(tài)勢的變化特點。

在網(wǎng)絡(luò)安全管理中，效率是評價網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型的重要指標，共進行10次仿真實驗，采用平均值作為實驗結(jié)果，結(jié)果如圖6所示。

圖6 訓(xùn)練和測試時間比較

對圖6的網(wǎng)絡(luò)安全態(tài)勢模型的訓(xùn)練時間(秒,s)和測試時間進行分析可以發(fā)現(xiàn)，極限學(xué)習(xí)機的網(wǎng)絡(luò)安全態(tài)勢模型的訓(xùn)練時間和測試時間均要小于對比模型，這表明極限學(xué)習(xí)機的工作速度最高，提高了網(wǎng)絡(luò)安全態(tài)勢建模效率，具有更加廣泛的應(yīng)用范圍。

4 總結(jié)

態(tài)勢預(yù)測是保證網(wǎng)絡(luò)安全的一個重要條件，為了有效防止非法用戶進入網(wǎng)絡(luò)竊取重要的數(shù)據(jù)，結(jié)合網(wǎng)絡(luò)安全態(tài)勢的變化特點，提出基于極限學(xué)習(xí)機的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型，首先對原始網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)進行處理，從中發(fā)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢的變化特點，然后采用極限學(xué)習(xí)機擬合網(wǎng)絡(luò)安全態(tài)勢的變化趨勢，最后通地具體實驗對其有效性進行驗證，結(jié)果表明，極限學(xué)習(xí)機能夠有效跟蹤網(wǎng)絡(luò)安全態(tài)勢預(yù)測的變化特點，獲得了高精度的網(wǎng)絡(luò)安全態(tài)勢預(yù)測結(jié)果。

[1] 王慧強,賴積保,朱亮,等. 網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)研究綜述[J].計算機科學(xué),2006,10(2):5-10.

[2] 韋勇,連一峰,馮登國. 基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機研究與發(fā)展, 2009,46(3):353-262.

[3] 韋勇,連一峰. 基于日志審計與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢評估模型[J]. 計算機學(xué)報, 2009, 8(4):763-772.

[4] 陳秀鎮(zhèn),鄭慶華,管曉宏. 層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法[J]. 軟件學(xué)報, 2006, 17(4): 885-897.

[5] 石波, 謝小權(quán). 基于D-S證據(jù)理論的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法研究[J]. 計算機工程與設(shè)計, 2013,34(3): 821-825.

[6] 李凱,曹陽. 基于ARIMA模型的網(wǎng)絡(luò)安全威脅態(tài)勢預(yù)測方法[J]. 計算機應(yīng)用研究, 2012, 29(8): 3042-3043.

[7] 張翔,胡昌振,劉勝航,等. 基于支持向量機的網(wǎng)絡(luò)攻擊態(tài)勢預(yù)測技術(shù)研究[J]. 計算機工程, 2007,11(3):10-12.

[8] 李方偉,鄭波,朱江,張海波. 一種基于RBF神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J]. 重慶郵電大學(xué)學(xué)報(自然科學(xué)版), 2014, 26(5): 576-583.

[9] 韋勇,連一峰,馮登國. 基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J]. 計算機研究與發(fā)展, 2009, 46(3): 353-362.

[10] 徐茹枝,常太華,呂廣娟. 基于時間序列的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法的研究[J]. 數(shù)學(xué)的實踐與認識, 2010, 40(12): 124-131.

[11] 孟錦, 馬馳, 何加浪,等. 基于HHGA-RBF神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型[J]. 計算機科學(xué), 2011, 38(7): 71-75.

[12] 王曉鋒, 毛力, 楊國玲. 基于快速網(wǎng)絡(luò)模擬的安全態(tài)勢預(yù)測[J]. 系統(tǒng)仿真學(xué)報, 2012, 24(6): 1218-1222.

[13] 魏楨,鄧院昌,楊正浩. 基于ELM神經(jīng)網(wǎng)絡(luò)的風(fēng)電場噪聲預(yù)測模型[J]. 水電能源科學(xué), 2015, 33(5): 203-206.

Network Security Situation Forecasting Model Based on Extreme Learning Machine

Sun Yue

(Institute of Rail Transit, Shanxi College of Communication Technology, Xian 710018, China)

Situation prediction is a prerequisite to ensure network security. According to the complex and nonlinear characteristics of network security situation, a network security situation prediction model based on extreme learning machine is proposed. The first is to collect historical data of network security situation, and to facilitate the subsequent modeling through the pretreatment, and then it uses extreme learning machine to train the network security situation prediction model, establishes a network security situation, finally the simulation experiments verify its effectiveness. The results show that the extreme learning can depict the future change trend of network security, and obtain a high precision prediction result of network security situation, at the same time; the modeling efficiency of network security situation has been obviously improved.

Network security; Change trend; Extreme learning machine; Simulation experiment

孫 悅(1975-)，女，碩士，副教授，研究方向:計算機應(yīng)用技術(shù)。

1007-757X(2017)07-0055-04

TP391

A

2017.03.07)