基于神经网络的网络安全态势预测

秦丽娜

(山西警察学院 网络安全保卫系，山西 太原 030401)

随着计算机科学技术、互联网技术和无线传感技术的发展，各种类型的网络已经渗透到人类生活的各个角落，对人类社会的发展和人们的生活方式产生了积极的影响，与此同时，也带来了大量的安全问题，如对国家和政府的网络攻击，对企业数据的窃取，对个人信息的贩卖，给人类社会带来了极大的经济损失和精神压力[1-2]。因此，如何进一步提高网络的安全性，即对复杂多变的网络通过认知和理解来对其安全状态进行预测，有利于对网络的安全态势进行实时把控，提前做好安全防备工作，减少各类网络安全隐患对人类社会和经济发展的破坏。

传统的用于提高网络安全的设备往往只关注某一方面的安全问题，无法从整体上关注网络的安全状况[3]。网络安全态势感知作为一种通过对网络安全中的要素进行分析，从而感知网络安全状态的方法，可以用于预测网络安全态势。目前，网络安全态势预测已成为了国内外的一个焦点问题[4]。

目前主流的网络安全态势预测方法主要基于神经网络、优化算法和滤波器算法等。如文献[5]提出了一种面向多步攻击的网络安全态势评估方法，建立攻击场景的因果关联，建立相应的攻击轨迹和态势量化标准，实现对网络安全态势的评估。文献[6]提出了一种网络安全态势预测方法，建立网络安全态势的非线性映射关系，并通过布谷鸟搜索算法对神经网络结构进行参数优化，在优化过程中通过模拟退火和动态发现机制来提高预测精度。文献[7]提出了一种基于量子粒子群算法和进化策略网络安全状态预测方法，并利用灰色模型来模型参数寻优。文献[8]提出了一种基于关联熵的网络安全态势预测方法，通过关联熵来对网络的各因素进行分析，并通过卡尔曼滤波来对网络安全态势预测。

上述工作均研究网络安全态势预测，本文设计了一种神经网络的网络安全态势预测方法，并通过实验证明了文中方法的有效性。

1 背景知识

BP神经网络是一种通过网络结构的组织来模拟生物大脑神经元的功能的一种非线性逼近模型。相对于线性模型，BP神经网络具有更好的表示能力，对复杂系统的表示和逼近能力更强，对于其他系统也具有更好的泛化能力。在BP网络模型中，可以通过误差反向传播算法来实现输出层误差的反向传递，并通过误差来调整隐藏层与输出层的权重以及输出层的偏差，然后进一步反向传播来调整输入层与隐藏层的权重以及隐藏层的偏差。 一个三层的BP神经网络模型如图1所示。

图1 三层的BP神经网络

2 基于神经网络的网络安全态势模型

2.1 模型设计

设计的基于BP神经网络的网络安全态势预测模型如图1所示，该模型由数据输入、网络态势映射和网络安全态势预测输出三部分组成。其中：

图2 网络安全态势评估模型

(1)数据输入：网络数据输入是无线网络中各节点安全态势相关数据，数据的表示形式为(节点1对应的网络安全态势数据1、节点2对应的网络安全态势数据2，...，节点3对应的网络安全态势数据n)作为一组输入数据；

(2)网络态势数据映射：网络态势数据映射是通过神经网络来进行表示的，即通过神经网络的输入层、隐藏层以及输出层来表示。输入层即获取数据输入，并将输入的网络安全态势数据通过加权计算以隐藏层激活函数后映射为隐藏层的输出。

(3)网络安全态势预测输出：隐藏层获取这些数据后，经过再次加权映射后经过输出层的激活函数映射，得到最后的输出。

2.2 网络结构

网络的结构的确定包含输入层神经元个数的确定、隐藏层神经元个数的确定以及输出层神经元的确定以及各神经元激活函数的选择。输入层神经元个数为网络安全态势数据的种类，输出层神经元个数为1，即在网络输入的情况下，输出层的预测结果，网络的隐藏层个数的确定可以根据经验公式：

(1)

在式(1)中，网络安全态势预测模型的输入神经元个数km和输出神经元个数，而kout为网络安全态势预测模型的输入神经元个数，l为值域在[1,10]之间的随机数。

神经元激活函采用Sigmoid函数：

y(x,λ)=1/(1+e-x)

(2)

其中，x为该神经元的基函数输入，该函数将输入映射到[0,1]区间上，即当输入趋向正无穷时，激活函数的值趋向1；当输入趋向负无穷大时，激活函数的值趋向-1。

2.3 网络参数学习

在学习网络参数前，首先需要确定输出层的误差函数，输出层的误差函数可以表示数据对应的标签值和网络输出值之间的均方误差：

(3)

其中，E表示m个样本对应的输出神经元的总误差。

权值参数和偏差参数的更新可以表示为：

(4)

3 算法描述

基于神经网络的网络安全态势预测算法可以分为两个部分，第一部分为模型的训练，主要包括步骤1到5；第二个部分为模型的预测，主要包括步骤6。

步骤1：确定网络结构，即网络的层数，网络的输入神经元个数、隐藏层神经元个数、输出神经元个数；

步骤2：预处理网络的输入数据和输出数据，将输入数据输入网络，将输出数据作为标签数据；

步骤3：将输入数据输入网络后得到实际的输出数据，此时根据公式(3)计算输出端误差；

步骤4：根据公式(3)并利用反向传播算法，来对网络的权值和偏差参数进行调整；

步骤5：根据公式(3)计算网络误差，当误差小于一定阈值时，训练结束；

步骤6：将新的数据输入网络，得到数据对应的网络安全态势预测结果。

4 仿真实验

为了对基于神经网络的网络安全态势预测模型进行验证，在NS2仿真工具下，以某对环境实时感知的物联网在2016年1月1日00:00-12:00时的网络作为仿真环境，该时间段通常对应的网络攻击更为频繁，采集数据并对网络安全态势进行预测。在采用算法对模型进行训练完成后，采用该模型来对数据进行预测，得到的网络安全态势预测结果如图3所示。

图3 网络安全态势预测值

在图3中，横坐标[0,12]表示时间标号，即从0点到12点的各个时刻，纵坐标表示安全态势的值，其范围为[0,6]，区间[0,2]表示网络安全态势预测为安全值，区间[2,4]表示网络安全态势预测为较安全的值，区间[4,6]表示网络安全态势预测为危险值。图3得到的网络安全态势预测值与实际值基本保持一致。为了进一步对网络的安全态势进行评估，将图3中训练得到的网络模型用于预测下一天对应的相应时间段的网络安全态势预测值，得到的结果如图4所示。

图4 网络安全态势预测结果

图4对应了该网络在2016年1月2日00:00-12:00的预测结果 ，线条越高，表示其概率越高。从图中可以看出，00:00-05:00均处于危险状态05:00-11:00之间处于安全状态，11:00-12:00处于危险状态，显然，从图4中可以看出，通过本模型预测结果几乎没有差异，预测结果也与实际情况基本吻合，因此，本文所提模型能有效地根据三类安全态势，是一种有效的预测方法。

5 总结

为了实现对网络安全态势的实时预测，减少网络安全隐患，尽可能减少由于网络安全隐患对人类社会经济和生活的影响，设计了一种基于神经网络模型的网络安全态势预测方法。首先建立了基于神经网络的网络安全态势模型，然后提出对该模型进行训练的算法，在模型训练完毕后，利用该模型来进行预测，仿真实验证明了该方法能有效地进行预测，并具有较高的预测准确率。

[参考文献]

[1]龚俭, 臧小东, 苏琪,等. 网络安全态势感知综述[J]. 软件学报,2017, 28(4):1010-1026.

[2]CIVICIOGLU P，BESDOK E.A conceptual comparison of the cuckoo-search， particle swarm optimization， differential evolution and artificial bee colony algorithms [J].Artificial Intelligence review，2013， 39( 4) : 315-346．

[3]杨豪璞, 邱辉, 王坤. 面向多步攻击的网络安全态势评估方法[J]. 通信学报, 2017, 38(1):187-198.

[4]KERAMATI M，AKBARI A，KERAMATI M． CVSS-based security metrics for quantitative analysis of attack graphs [C]// ICCKE 2013: Proceedings of the 2013 International Conference on Computer and Knowledge Engineering． Piscataway， NJ: IEEE， 2013: 178-183．

[5]范九伦, 伍鹏. 基于RBF神经网络的网络安全态势预测方法[J]. 西安邮电大学学报, 2017, 22(2):7-11.

[6]谢丽霞, 王志华. 基于布谷鸟搜索优化BP神经网络的网络安全态势评估方法[J]. 计算机应用, 2017, 37(7):1926-1930.

[7]郭春晓，苏旸. 一种新的基于量子进化策略的网络安全态势优化预测算法[J].小型微型计算机系统,2014,6(35):1248-1252.

[8]刘念,刘孙俊,刘勇, 赵辉. 一种基于免疫的网络安全态势感知方法[J].计算机科学, 2010,1(37):126-129.