摘  要： 針對(duì)現(xiàn)有的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法沒有從影響網(wǎng)絡(luò)安全態(tài)勢(shì)的安全因子入手，不能準(zhǔn)確地預(yù)測(cè)未來網(wǎng)絡(luò)安全態(tài)勢(shì)，提出了一種基于灰色理論和BP神經(jīng)網(wǎng)絡(luò)的預(yù)測(cè)方法。首先依據(jù)灰色模型系數(shù)的取值大小選擇最合適的背景值，并構(gòu)造了一種新的模型背景值函數(shù)。其次，結(jié)合GM（1，1）、GM（1，N）模型預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)，并用BP神經(jīng)網(wǎng)絡(luò)對(duì)態(tài)勢(shì)預(yù)測(cè)值進(jìn)行修正。最后，通過真實(shí)的網(wǎng)絡(luò)環(huán)境驗(yàn)證了所提出的方法在網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)中的有效性。

　　關(guān)鍵詞： 灰色理論；網(wǎng)絡(luò)安全態(tài)勢(shì)感知、預(yù)測(cè)；BP神經(jīng)網(wǎng)絡(luò)；粒子群算法

0 引言

　　隨著網(wǎng)絡(luò)信息技術(shù)的日益發(fā)展，互聯(lián)網(wǎng)正在成為社會(huì)的信息基礎(chǔ)設(shè)施。同時(shí)，網(wǎng)絡(luò)攻擊和破壞行為日益普遍，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)設(shè)備（如防火墻、IDS等）功能單一、不能全方位地對(duì)網(wǎng)絡(luò)的安全狀態(tài)做出整體的評(píng)價(jià)和估計(jì)[1]。網(wǎng)絡(luò)安全態(tài)勢(shì)感知就是在這種背景下產(chǎn)生的。其中網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的一個(gè)重要部分，它能夠?qū)W(wǎng)絡(luò)系統(tǒng)整體運(yùn)行的安全趨勢(shì)進(jìn)行把握，實(shí)時(shí)地感知網(wǎng)絡(luò)所面臨的威脅；為及時(shí)、準(zhǔn)確的決策提供可靠依據(jù)，使由網(wǎng)絡(luò)不安全帶來的風(fēng)險(xiǎn)和損失降低到最低限度。

　　目前存在多方位、多層面的預(yù)測(cè)方法和模型，主要有：灰色GM（1，1）模型[2]、神經(jīng)網(wǎng)絡(luò)[3]、支持向量機(jī)（Support Vector Machine，SVM）[4]等。

　　上述預(yù)測(cè)方法都在一定程度上對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行了預(yù)測(cè)，存在的問題總結(jié)如下：預(yù)測(cè)方法僅從網(wǎng)絡(luò)歷史的整體安全態(tài)勢(shì)本身數(shù)據(jù)進(jìn)行分析，忽略影響網(wǎng)絡(luò)安全態(tài)勢(shì)的安全因子[5]，而實(shí)際上安全態(tài)勢(shì)的變化是與安全因子的變化密切相關(guān)的。

　　對(duì)此，本文從影響網(wǎng)絡(luò)安全態(tài)勢(shì)的安全因子入手，結(jié)合灰色GM模型、BP神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)，并通過真實(shí)的實(shí)驗(yàn)環(huán)境去驗(yàn)證本方法的準(zhǔn)確性。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)安全因子

　　在互聯(lián)網(wǎng)實(shí)際應(yīng)用中，本文從網(wǎng)絡(luò)基礎(chǔ)運(yùn)行性、網(wǎng)絡(luò)脆弱性、網(wǎng)絡(luò)威脅性[6]劃分安全因子。脆弱性側(cè)重描述網(wǎng)絡(luò)本身的安全漏洞。因子包含：子網(wǎng)內(nèi)安全設(shè)備數(shù)目、關(guān)鍵設(shè)備開放端口的數(shù)量、關(guān)鍵設(shè)備漏洞數(shù)目。網(wǎng)絡(luò)基礎(chǔ)運(yùn)行性主要指網(wǎng)絡(luò)本身的運(yùn)行狀態(tài)，能直接反映安全事件造成的影響。因子有：主機(jī)CPU、內(nèi)存等資源消耗量、子網(wǎng)流量增長(zhǎng)率、子網(wǎng)數(shù)據(jù)流總量、子網(wǎng)帶寬占用率、數(shù)據(jù)丟包率。威脅性側(cè)重描述各種網(wǎng)絡(luò)攻擊對(duì)網(wǎng)絡(luò)內(nèi)部產(chǎn)生的危害程度，主要統(tǒng)計(jì)已知攻擊、疑似攻擊和惡意代碼的數(shù)量、頻率及危害度。因子包括：報(bào)警數(shù)目、惡意代碼數(shù)量、病毒木馬等的攻擊頻率、數(shù)目及危害度。

2 灰色預(yù)測(cè)模型

　　灰色理論[7]主要通過對(duì)部分已知信息的生成、開發(fā)、提取有價(jià)值的信息、實(shí)現(xiàn)對(duì)系統(tǒng)運(yùn)行規(guī)律的正確認(rèn)識(shí)從而達(dá)到科學(xué)的預(yù)測(cè)。

　　2.1 灰色GM（1，1）、GM（1，N）模型

　　灰色預(yù)測(cè)模型中最基本的是GM（1，1）模型，其預(yù)測(cè)的灰色微分方程為：

　?。╥=1，2，…N，k=1，2，…n）

　　其中，為數(shù)據(jù)序列，為的累加生成序列，a為發(fā)展系數(shù)，b為灰色作用量；模型背景值。讓，按最小二乘法擬合得。其中：

　　GM（1，N）模型是一種適合于建立各因子變量的動(dòng)態(tài)關(guān)聯(lián)分析模型，含N個(gè)因子序列的預(yù)測(cè)灰色微分方程為：

參數(shù)向量可由B、Y按最小二乘法計(jì)算，微分方程的離散解為：

　　對(duì)式（6）累減還原得擬合預(yù)測(cè)值。

　　2.2 灰色背景值的改進(jìn)

　　上述模型的背景值[8]函數(shù)采取均值生成方法構(gòu)造。而實(shí)際是在[k-1，k]上對(duì)式兩邊求積分。二者之間的差值是灰色模型精度不高的主要原因；參考文獻(xiàn)[9]在序例具有高指數(shù)規(guī)律的情況下，得到新的背景值構(gòu)造公式為：

　　基于此，本文設(shè)定：

　　當(dāng)0<-a≤0.3，序列變化平穩(wěn)時(shí)，采取均值生成方法構(gòu)造背景值函數(shù)。

　　當(dāng)0.3<-a≤0.8，序列變化呈中間狀態(tài)時(shí)，采用本文構(gòu)造的背景值：

　　參數(shù)l1、l2、l3由粒子群算法進(jìn)行優(yōu)化。

　　當(dāng)0.8<-a≤1時(shí)，原始序列呈高指數(shù)增長(zhǎng)，選取新背景值構(gòu)造函數(shù)。

3 結(jié)合灰色理論和BP神經(jīng)網(wǎng)絡(luò)的預(yù)測(cè)原理

　　灰色理論具有建模簡(jiǎn)單、運(yùn)算方便等特點(diǎn)。神經(jīng)網(wǎng)絡(luò)具有自學(xué)習(xí)、自組織和自適應(yīng)能力，對(duì)非線性數(shù)據(jù)的處理能力較弱，神經(jīng)網(wǎng)絡(luò)的特點(diǎn)恰好能對(duì)灰色模型進(jìn)行補(bǔ)充。因此，以灰色模型的貧信息代替神經(jīng)網(wǎng)絡(luò)所需的大樣本，以BP神經(jīng)網(wǎng)絡(luò)的非線性處理能力彌補(bǔ)灰色模型非線性擬合差的缺點(diǎn)，建立性能更優(yōu)的灰色神經(jīng)網(wǎng)絡(luò)模型。

　　預(yù)測(cè)算法步驟如下：

　?。?）對(duì)歷史安全因子、網(wǎng)絡(luò)安全態(tài)勢(shì)歷史序列無量綱歸一化處理。計(jì)算發(fā)展系數(shù)a，依據(jù)a的大小選擇對(duì)應(yīng)的模型背景值函數(shù)。

　?。?）將安全因子數(shù)據(jù)輸入到GM（1，1）模型中，得到安全因子預(yù)測(cè)值。

　?。?）結(jié)合歷史網(wǎng)絡(luò)安全態(tài)勢(shì)值，將安全因子所有預(yù)測(cè)值輸入到GM（1，N）模型中，得到網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)值、殘差。

　?。?）確定訓(xùn)練樣本、預(yù)測(cè)樣本數(shù)目，以安全因子序列所有預(yù)測(cè)值輸入BP神經(jīng)網(wǎng)絡(luò)的輸入端、殘差作為輸出結(jié)果、所有訓(xùn)練樣本通過BP神經(jīng)網(wǎng)絡(luò)的均方誤差為目標(biāo)對(duì)BP神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練。最后用訓(xùn)練好的BP神經(jīng)網(wǎng)絡(luò)對(duì)殘差進(jìn)行預(yù)測(cè)，得到殘差預(yù)測(cè)值。

　　（5）對(duì)預(yù)測(cè)結(jié)果進(jìn)行殘差修正，輸出最終網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)值：

　（9）

4 粒子群算法優(yōu)化模型背景值參數(shù)

　　4.1 粒子群算法

　　PSO粒子群算法屬于帶有全局策略和啟發(fā)性質(zhì)的群體智能進(jìn)化計(jì)算方法。每個(gè)優(yōu)化問題的可行解都是搜索空間中的一個(gè)粒子。算法首先隨機(jī)生成一個(gè)粒子種群，然后追隨當(dāng)前最優(yōu)粒子在種群中進(jìn)行迭代搜索，直到達(dá)到要求，停止搜索。種群粒子的速度、位置進(jìn)化公式如下：

　　vid（t+1）=vid（t）+c1×rand（）×（pbest-xid（t））+c2×rand（）×（Gbest-xid（t））（10）

　　xid（t+1）=xid（t）+vid（t）（11）

　　其中，vid是粒子的速度，維數(shù)為i×d維，c1、c2為學(xué)習(xí)因子，分別調(diào)節(jié)飛赴自身和鄰居的步長(zhǎng)，rand()是介于（0，1）之間的隨機(jī)數(shù)，xid（t）是粒子當(dāng)前位置，pbest（t）代表粒子當(dāng)前最好位置，Gbest（t）代表種群當(dāng)前最好位置，即全局最優(yōu)位置。

　　4.2 PSO算法優(yōu)化背景值參數(shù)的步驟

　　算法設(shè)計(jì)思想：將背景值的所有參數(shù)映射成種群個(gè)體的位置。設(shè)定采用的適應(yīng)度函數(shù)（本文為灰色GM（1，N）模型殘差平方和的倒數(shù)。搜尋使適應(yīng)度滿足要求的粒子位置，新生成的個(gè)體位置還原為背景值的參數(shù)，得到背景值最優(yōu)參數(shù)組合。

　　算法步驟如下：

　　（1）隨機(jī)初始化背景值參數(shù)l1、l2、l3。

　?。?）背景值參數(shù)映射為PSO種群粒子位置向量。

　?。?）隨機(jī)產(chǎn)生初始化種群（包括隨機(jī)種群數(shù)目M、速度、位置）。

　?。?）依據(jù)粒子群算法更新粒子的速度和位置，得到新的粒子位置和速度。

　?。?）計(jì)算粒子位置映射的背景值參數(shù)、殘差和適應(yīng)度。

　?。?）判斷適應(yīng)度是否滿足設(shè)定值，如果滿足，輸出當(dāng)前位置所對(duì)應(yīng)的背景值參數(shù)，終止迭代；否則，繼續(xù)下一步。

　?。?）比較粒子的當(dāng)前位置和歷史最優(yōu)位置，若當(dāng)前位置較好，用當(dāng)前位置替換歷史最優(yōu)位置；然后將粒子的個(gè)體最好位置與全局最優(yōu)位置做比較，若粒子的個(gè)體值更好則記錄此位置為新的全局最優(yōu)位置。

　?。?）迭代次數(shù)t=t+1，如果t>Tmax，終止迭代，否則，轉(zhuǎn)到第（4）步。

　　通過PSO粒子群算法，搜尋到最優(yōu)的背景值參數(shù)組合，使灰色GM（1，N）模型的殘差最小，從而得到精度最好的模型。

5 實(shí)驗(yàn)分析

　　實(shí)驗(yàn)前本文采用參考文獻(xiàn)[10]的態(tài)勢(shì)評(píng)估方法結(jié)合安全因子對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)先進(jìn)行評(píng)估，以便獲取實(shí)驗(yàn)所需的網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)。

　　5.1 實(shí)驗(yàn)準(zhǔn)備

　　本文搭建了由主機(jī)、路由器、交換機(jī)、服務(wù)器等組成的網(wǎng)絡(luò)進(jìn)行實(shí)驗(yàn)。

　　網(wǎng)絡(luò)中包含的受攻擊目標(biāo)分別為Web服務(wù)器、備份數(shù)據(jù)庫(kù)、主數(shù)據(jù)庫(kù)、DNS服務(wù)器、TCP服務(wù)器。實(shí)驗(yàn)過程中的數(shù)據(jù)來源于路由器中的Snort入侵檢測(cè)信息、Netflow數(shù)據(jù)流信息、主機(jī)的Nessus漏洞掃描信息、Firewall日志信息。實(shí)驗(yàn)時(shí)將SQL注入漏洞攻擊數(shù)據(jù)庫(kù)、SYN Flood攻擊TCP服務(wù)器、Web服務(wù)器、UDP Flood攻擊DNS服務(wù)器等，然后從網(wǎng)絡(luò)節(jié)點(diǎn)獲得所需的異常數(shù)據(jù)，在MATLAB7.0平臺(tái)進(jìn)行仿真實(shí)驗(yàn)。

　　實(shí)驗(yàn)參數(shù)：設(shè)定預(yù)測(cè)周期為12 h，即通過前11個(gè)時(shí)間段的態(tài)勢(shì)值預(yù)測(cè)之后的1個(gè)時(shí)間段的態(tài)勢(shì)值，選取訓(xùn)練樣本數(shù)為101，預(yù)測(cè)樣本數(shù)為23。本次的粒子群算法中，粒子種群初始規(guī)模M設(shè)定為100，位置xid∈[0，1]、速度vid∈[-100，100]，最大迭代次數(shù)Tmax=1 000、學(xué)習(xí)因子c1、c2均為2，適應(yīng)度設(shè)定為：1 000。對(duì)比不經(jīng)任何優(yōu)化處理的灰色GM（1，1）模型、BP神經(jīng)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)。

　　5.2 實(shí)驗(yàn)結(jié)果

　　預(yù)測(cè)結(jié)果曲線圖如圖1所示。

　　可以進(jìn)一步通過對(duì)模型得到的預(yù)測(cè)值計(jì)算殘差、相對(duì)殘差、檢驗(yàn)?zāi)Ｐ偷臏?zhǔn)確性。表1為精度檢驗(yàn)結(jié)果。

　　5.3 結(jié)果分析

　　從網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)結(jié)果可以看出，3種方法檢驗(yàn)結(jié)果誤差各有不同：灰色GM（1，1）只能粗略地反映網(wǎng)絡(luò)安全態(tài)勢(shì)的總體趨勢(shì)；BP神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)結(jié)果誤差相對(duì)GM（1，1）模型小，但是其訓(xùn)練樣本過大，訓(xùn)練時(shí)間較長(zhǎng)；對(duì)比GM（1，1）模型、BP神經(jīng)網(wǎng)絡(luò)，本方法預(yù)測(cè)精度更高。

6 結(jié)論

　　本文的方法在實(shí)際應(yīng)用中有兩方面的難點(diǎn)：一是預(yù)測(cè)結(jié)果網(wǎng)絡(luò)安全因子的限制，如果選取的安全因子不完全，會(huì)很大地影響網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)結(jié)果，二是預(yù)測(cè)能力受安全因子預(yù)測(cè)能力的影響，因而如何提高安全因子預(yù)測(cè)的準(zhǔn)確性將是下一步的工作重點(diǎn)。

　　參考文獻(xiàn)

　　[1] 王庚，張景輝，吳娜.網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法的應(yīng)用研究[J].計(jì)算機(jī)仿真，2012，29（2）：98-101.

　　[2] 鄧聚龍.灰理論基礎(chǔ)[M].武漢：華中科技大學(xué)出版社，2002.

　　[3] 謝麗霞，王亞超，于巾博.基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知[J].清華大學(xué)學(xué)報(bào)，2013，53（12）：1751-1760.

　　[4] 汪材印.灰色關(guān)聯(lián)分析和支持向量機(jī)相融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估[J].計(jì)算機(jī)應(yīng)用研究，2013，30（6）：1859-1862.

　　[5] 葉健健，文志誠(chéng)，吳欣欣，等.基于多層次數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)分析方法研究[J].微型機(jī)與應(yīng)用，2015，34（8）：5-7，11.

　　[6] 孫德衡.基于指標(biāo)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型研究[D].西安：西北大學(xué)，2012.

　　[7] 劉思峰，謝乃明.灰色系統(tǒng)理論及其應(yīng)用[M].北京：科學(xué)出版社，2008.

　　[8] 劉思峰，鄧聚龍.GM（1，1）模型的適應(yīng)范圍[J].系統(tǒng)工程理論與實(shí)踐，2000（5）：121-124.

　　[9] 何慶飛，陳桂明，陳小虎，等.基于改進(jìn)灰色神經(jīng)網(wǎng)絡(luò)的液壓泵壽命預(yù)測(cè)[J].中國(guó)機(jī)械工程，2013，24（4）：500-506.

　　[10] 王志平.基于指標(biāo)體系的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估研究[D].長(zhǎng)沙：國(guó)防科學(xué)技術(shù)大學(xué)，2010.