基于人工免疫算法的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)

秦麗娜

(山西警察學(xué)院網(wǎng)絡(luò)安全保衛(wèi)系，太原 030401)

0　引言

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和網(wǎng)絡(luò)的進(jìn)一步應(yīng)用，各類網(wǎng)絡(luò)漏洞越來(lái)越多，網(wǎng)絡(luò)攻擊的手段呈現(xiàn)多樣性，網(wǎng)絡(luò)安全事件的檢測(cè)呈現(xiàn)出多樣性，雖然依靠防火墻、殺毒軟件等保護(hù)系統(tǒng)能在一定程度上實(shí)現(xiàn)網(wǎng)絡(luò)的安全評(píng)估，但是仍然難以在海量數(shù)據(jù)中保護(hù)網(wǎng)絡(luò)的安全，無(wú)法實(shí)現(xiàn)相應(yīng)的防范[1-3]。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)能基于管理者提供的歷史信息和當(dāng)前時(shí)刻的網(wǎng)絡(luò)安全態(tài)勢(shì)，對(duì)未來(lái)時(shí)段的網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)，因此，目前已經(jīng)成為了研究的熱點(diǎn)和難點(diǎn)[4-5]。

Bass于1999年首次提出網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念，自此之后，學(xué)者們開始關(guān)注網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)問(wèn)題的研究。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的本質(zhì)就是一個(gè)回歸問(wèn)題[6-8]。與一般的回歸問(wèn)題不同的是，目前學(xué)術(shù)界并未給出網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的統(tǒng)一定義，但是網(wǎng)絡(luò)攻擊具有方式多變、攻擊信息模型和非線性等特點(diǎn)。一些學(xué)者提出采用機(jī)器學(xué)習(xí)相關(guān)的方法來(lái)解決該問(wèn)題。李潔等[9]提出了一種基于和聲搜索和相關(guān)向量機(jī)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法，歸一化處理網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)樣本集，并對(duì)相空間進(jìn)行重構(gòu)，采用和聲搜索算法來(lái)優(yōu)化相關(guān)向量機(jī)的超參數(shù)，從而獲得一個(gè)具有較高預(yù)測(cè)精度的網(wǎng)絡(luò)預(yù)測(cè)模型。韓國(guó)彬[10]提出了一種基于混沌理論和LSSVM的網(wǎng)絡(luò)攻擊預(yù)測(cè)方法，在該方法中通過(guò)網(wǎng)絡(luò)攻擊頻率時(shí)間序列對(duì)模型參數(shù)的值進(jìn)行優(yōu)化和預(yù)測(cè)，并采用粒子群優(yōu)化算法來(lái)優(yōu)化模型參數(shù)。杜璞[11]設(shè)計(jì)了一種基于自適應(yīng)轉(zhuǎn)發(fā)控制策略的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法，首先構(gòu)建層次化的網(wǎng)絡(luò)安全模型對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)值進(jìn)行計(jì)算，然后再引入轉(zhuǎn)發(fā)控制機(jī)制，來(lái)控制不同節(jié)點(diǎn)在不同網(wǎng)絡(luò)環(huán)境下的轉(zhuǎn)發(fā)條件，求解網(wǎng)絡(luò)安全態(tài)勢(shì)回歸方程，實(shí)現(xiàn)安全態(tài)勢(shì)的預(yù)測(cè)。

本文在上述工作的基礎(chǔ)上，提出了一種基于人工免疫的網(wǎng)絡(luò)安全評(píng)估方法，采用人工免疫算法來(lái)優(yōu)化神經(jīng)網(wǎng)絡(luò)的安全評(píng)估方法，并通過(guò)實(shí)驗(yàn)證明了該方法的有效性。

1　網(wǎng)絡(luò)安全評(píng)估模型

網(wǎng)絡(luò)安全評(píng)估是指對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行安全評(píng)估，通過(guò)對(duì)網(wǎng)絡(luò)中的若干關(guān)鍵點(diǎn)的訪問(wèn)和操作等信息的獲取，對(duì)一些未經(jīng)授權(quán)的任何采用非法手段來(lái)獲取計(jì)算機(jī)資源的網(wǎng)絡(luò)安全威脅行為進(jìn)行監(jiān)測(cè)，來(lái)確定系統(tǒng)中發(fā)生的被攻擊現(xiàn)象?；诜蔷€性神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全評(píng)估模型如圖1所示。

本文的網(wǎng)絡(luò)安全評(píng)估模型是采用神經(jīng)網(wǎng)絡(luò)模型來(lái)建立網(wǎng)絡(luò)安全預(yù)測(cè)模型，采用訓(xùn)練數(shù)據(jù)來(lái)訓(xùn)練網(wǎng)絡(luò)安全預(yù)測(cè)模型，通過(guò)誤差反向傳播算法來(lái)實(shí)現(xiàn)輸出層誤差的反向傳遞，并通過(guò)誤差來(lái)調(diào)整隱藏層與輸出層的權(quán)重以及輸出層的偏差，然后進(jìn)一步反向傳播，來(lái)調(diào)整輸入層與隱藏層的權(quán)重以及隱藏層的偏差。網(wǎng)絡(luò)的優(yōu)化過(guò)程則通過(guò)人工免疫算法對(duì)網(wǎng)絡(luò)參數(shù)的不斷尋優(yōu)來(lái)實(shí)現(xiàn)。

圖1　基于人工免疫神經(jīng)網(wǎng)絡(luò)的 網(wǎng)絡(luò)安全預(yù)測(cè)模型

2　基于人工免疫優(yōu)化的神經(jīng)網(wǎng)絡(luò)網(wǎng)絡(luò)安全預(yù)測(cè)

2.1　神經(jīng)網(wǎng)絡(luò)參數(shù)的初始化

神經(jīng)網(wǎng)絡(luò)參數(shù)的初始化過(guò)程就是采用訓(xùn)練樣本來(lái)訓(xùn)練人工神經(jīng)網(wǎng)絡(luò)，即采用經(jīng)典的BP算法來(lái)訓(xùn)練神經(jīng)網(wǎng)絡(luò)，獲得網(wǎng)絡(luò)參數(shù)的一組初始優(yōu)化值，本文采用BP反向傳播算法來(lái)訓(xùn)練網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)進(jìn)行訓(xùn)練的過(guò)程為：

步驟1：建立網(wǎng)絡(luò)模型，建立3層的神經(jīng)網(wǎng)絡(luò)模型，即輸入層、隱含層和輸出層，輸入層的神經(jīng)元個(gè)數(shù)對(duì)應(yīng)了數(shù)據(jù)的維數(shù)，輸出層對(duì)應(yīng)了網(wǎng)絡(luò)對(duì)應(yīng)的安全評(píng)估預(yù)測(cè)結(jié)果。

步驟2：將訓(xùn)練數(shù)據(jù)輸入到網(wǎng)絡(luò)模型中，得到輸出結(jié)果，計(jì)算輸出結(jié)果和標(biāo)簽值的差異，并計(jì)算網(wǎng)絡(luò)的誤差平方和：

(1)

(2)

式中η為參數(shù)學(xué)習(xí)率。

步驟4：將訓(xùn)練數(shù)據(jù)訓(xùn)練完網(wǎng)絡(luò)后得到的參數(shù)作為網(wǎng)絡(luò)的初始參數(shù)。

2.2　親和度評(píng)價(jià)函數(shù)的定義

采用人工免疫算法對(duì)神經(jīng)網(wǎng)絡(luò)的參數(shù)進(jìn)行優(yōu)化時(shí)，需要定義親和度評(píng)價(jià)函數(shù)，親和度評(píng)估函數(shù)可以用于檢測(cè)解的優(yōu)劣，親和度函數(shù)fit(x)：S→R可以表示為：

(3)

從式(3)中可以發(fā)現(xiàn)，網(wǎng)絡(luò)輸出端的誤差越小，參數(shù)優(yōu)化的親和度越大，則得到的方案越優(yōu)。

2.3　抗體的復(fù)制和抑制

抗體的復(fù)制就是根據(jù)抗體的適應(yīng)度來(lái)選擇抗體的數(shù)量，即根據(jù)親和度的值在整個(gè)群體中選擇一些個(gè)體來(lái)進(jìn)行復(fù)制，復(fù)制的數(shù)量為：

(4)

式中M為種群的大小，而F(x)則表示個(gè)體當(dāng)前的親和度。

為了增加算法的多樣性，每個(gè)抗體編碼長(zhǎng)度為P，則所有抗體第k位的信息熵可以利用交叉熵，同時(shí)可以得到：

(5)

式中pi(k)表示第i個(gè)抗體的第k位基因相同的概率。從式(5)可以看出，當(dāng)兩個(gè)基因相同時(shí)，可以得到Hk(N)=0，Hk(N)的值越大則相似度越大，越接近于0則兩者幾乎完全一樣，那么抗體需要被抑制。因此，任何兩個(gè)抗體的親和度的計(jì)算可以表示為：

(6)

2.4　改進(jìn)免疫規(guī)劃算法描述

在采用樣本數(shù)據(jù)對(duì)神經(jīng)網(wǎng)絡(luò)模型進(jìn)行訓(xùn)練后，需要對(duì)網(wǎng)絡(luò)進(jìn)一步優(yōu)化，防止網(wǎng)絡(luò)陷入局部最優(yōu)，基于改進(jìn)免疫規(guī)劃算法的網(wǎng)絡(luò)安全評(píng)估主要是從兩個(gè)部分進(jìn)行優(yōu)化：

1)對(duì)神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行優(yōu)化，得到網(wǎng)絡(luò)的權(quán)值和閾值；

2)將優(yōu)化后的參數(shù)代入網(wǎng)絡(luò)，用該網(wǎng)絡(luò)進(jìn)行預(yù)測(cè)，然后對(duì)神經(jīng)網(wǎng)絡(luò)得到的預(yù)測(cè)結(jié)果進(jìn)一步優(yōu)化。

輸入：抗體種群規(guī)模N，抗體長(zhǎng)度為傳感器節(jié)點(diǎn)個(gè)數(shù)P，記憶單元F，記憶單元規(guī)模σ，權(quán)重因子α，β，當(dāng)前迭代次數(shù)λ=1，算法最大迭代次數(shù)為λmax；

輸出：網(wǎng)絡(luò)最優(yōu)結(jié)構(gòu)和算法的最優(yōu)解。

步驟1：采用BP反向傳播算法對(duì)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，得到最優(yōu)的網(wǎng)絡(luò)參數(shù)的初始種群Aλ={Ab1，Ab2，…，AbN}，同時(shí)采用訓(xùn)練數(shù)據(jù)輸入到采用Aλ初始化的網(wǎng)絡(luò)，得到網(wǎng)絡(luò)預(yù)測(cè)結(jié)果的初始種群Cλ={Cb1，Cb2，…，CbM}；

步驟2：根據(jù)式(3)計(jì)算抗體集Aλ={Ab1，Ab2，…，AbN}和抗體集Cλ={Cb1，Cb2，…，CbM}中所有抗體的親和度，按從大到小的順序，將較大的部分個(gè)體存入記憶單元F，將具有較大親和度的抗體的部分編碼基因作為疫苗；

步驟3：根據(jù)式(4)計(jì)算出抗體被復(fù)制的數(shù)量，然后隨機(jī)選擇其中部分個(gè)體來(lái)進(jìn)行交叉和變異操作，直到這兩個(gè)抗體集的數(shù)量分別達(dá)到N和M為止；

步驟4：對(duì)新的種群進(jìn)行免疫檢測(cè)，即測(cè)試所有個(gè)體的平均親和度，當(dāng)新一代所有抗體的平均親和度不如父代時(shí)，則新的一代被父代重新取代；

步驟5：計(jì)算抗體之間的親和度，對(duì)具有較大相互親和度的個(gè)體，即相似的個(gè)體進(jìn)行抑制，刪除其中的部分個(gè)體，得到新一代抗體種群Aλ+1和Cλ+1；

步驟6：更新當(dāng)前迭代次數(shù)λ=λ+1，并判斷當(dāng)前迭代次數(shù)λ是否達(dá)到最大值λmax，當(dāng)達(dá)到最大值時(shí)，則算法結(jié)束，并輸出記憶單元中的最優(yōu)個(gè)體，即神經(jīng)網(wǎng)絡(luò)的最優(yōu)參數(shù)以及網(wǎng)絡(luò)的最優(yōu)預(yù)測(cè)結(jié)果。

3　仿真實(shí)驗(yàn)

采用KDDCUP99作為仿真數(shù)據(jù)對(duì)本文基于人工免疫算法的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型進(jìn)行驗(yàn)證，對(duì)應(yīng)的攻擊按大類可以劃分為5類：Normal、Probe、DOS、U2R、R2L。為了有效地實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)，采用訓(xùn)練數(shù)據(jù)對(duì)神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，獲得神經(jīng)網(wǎng)絡(luò)的參數(shù)最優(yōu)值，然后采用人工免疫算法來(lái)對(duì)網(wǎng)絡(luò)參數(shù)和預(yù)測(cè)結(jié)果進(jìn)一步優(yōu)化，訓(xùn)練集中的記錄共1 000條，測(cè)試集中的記錄共800條。

文中算法的參數(shù)設(shè)置如下：抗體種群規(guī)模N=2 000，抗體長(zhǎng)度為訓(xùn)練特征數(shù)據(jù)的維度P=40，記憶單元F=200，記憶單元規(guī)模σ=100，權(quán)重因子α=0.45，β=0.55，算法最大迭代次數(shù)λmax=500。

系統(tǒng)的性能評(píng)價(jià)指標(biāo)主要有：訓(xùn)練的檢測(cè)率DR、誤檢率FPR和漏報(bào)率MR：

(7)

(8)

(9)

誤檢率FPR的計(jì)算為：

FPR=KR+MR。

(10)

將文中方法與傳統(tǒng)神經(jīng)網(wǎng)絡(luò)比較，得到4類攻擊對(duì)應(yīng)的檢測(cè)率和異常誤檢率見表1。由表1可以明顯看出，由于引入了人工免疫算法，本文提出的模型在檢測(cè)率上遠(yuǎn)遠(yuǎn)高于傳統(tǒng)的人工神經(jīng)網(wǎng)絡(luò)方法。

表1　本文方法與傳統(tǒng)網(wǎng)絡(luò)比較結(jié)果

為了進(jìn)一步驗(yàn)證本文所提模型的優(yōu)越性，將本文所提模型與文獻(xiàn)[10]和[11]所示的方法進(jìn)行比較，得到的結(jié)果見表2，從表2可以看出，文中方法具有最高的檢測(cè)率，且異常誤檢率遠(yuǎn)遠(yuǎn)低于其他兩種方法。

表2　本文方法與其他方法比較結(jié)果

4　結(jié)語(yǔ)

網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)是保證網(wǎng)絡(luò)正常運(yùn)行的一個(gè)重要條件，而網(wǎng)絡(luò)正常運(yùn)行則是保證人們的生產(chǎn)生活順利進(jìn)行的重要保證。為此，本文提出了一種新的基于人工免疫算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法。人工免疫算法的作用可以分為兩個(gè)方面：優(yōu)化網(wǎng)絡(luò)參數(shù)和優(yōu)化網(wǎng)絡(luò)輸出結(jié)果。兩層次優(yōu)化的目標(biāo)是為了避免算法陷入局部最優(yōu)，盡可能尋求到全局最優(yōu)解。為了驗(yàn)證文中所提模型的正確性，將所提方法與文獻(xiàn)[10]和[11]進(jìn)行比較，結(jié)果表明，文中方法不僅優(yōu)于基本的神經(jīng)網(wǎng)絡(luò)，同時(shí)也優(yōu)于其他比較模型。

[1] 杜璞.引入自適應(yīng)轉(zhuǎn)發(fā)控制的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)[J].科技通報(bào)，2014(10)：58-60.

[2] 孫曉東，孫少華.論多元集對(duì)分析聯(lián)系數(shù)AHP方法的網(wǎng)絡(luò)安全評(píng)估[J].自動(dòng)化與儀器儀表，2016(9)：150-151.

[3] LEE C M，KO C N.Time series prediction using RBF neural networks with a nonlinear time-varying evolution PSO algorithm [J].Neuro-computing，2009，73(1)：449- 460.

[4] LI Y，JING J.A method of improved support vector machine for network security situation forecasting [J].Advanced Materials Research，2011，187：291-296.

[5] 王庚，張景輝，吳娜.網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法的應(yīng)用研究[J].計(jì)算機(jī)仿真，2012，29(2)：98-101.

[6] ZHANG S，LI B，WANG B.The application of an improved integration algorithm of support vector machine to the prediction of network security situation[J].Applied Mechanics and Materials，2014，513：2285-2288.

[7] 吳元立，司光亞，羅批.人工智能技術(shù)在網(wǎng)絡(luò)空間安全防御中的應(yīng)用[J].計(jì)算機(jī)應(yīng)用研究，2015，32(8)：2241-2244.

[8] 劉春.AFSA-BPNN在網(wǎng)絡(luò)安全中的應(yīng)用研究[J].智能計(jì)算機(jī)與應(yīng)用，2015，5(3)：84-87.

[9] 李潔，張兆薇.基于和聲搜索算法和相關(guān)向量機(jī)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法[J].計(jì)算機(jī)應(yīng)用，2016，36(1)：199-202.

[10] 韓國(guó)彬.基于混沌理論和LSSVM的網(wǎng)絡(luò)攻擊預(yù)測(cè)算法[J].科技通報(bào)，2012，28(8)：140-141.

[11] 杜璞.引入自適應(yīng)轉(zhuǎn)發(fā)控制的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)[J].科技通報(bào)，2014(10)：58-60.