基於模糊淘汰機制的小生境技術的安全態勢預測方法與流程

2023-04-29 19:52:37 2

本發明涉及網絡安全評估領域，具體涉及一種網絡安全態勢預測方法。

背景技術：

隨著網絡發展，人們的日常生活越來越依賴網際網路，與此同時，各種新型攻擊手段層出不窮，僅憑單一的防禦手段很難解決這些安全問題，在這種嚴峻的環境下，網絡安全態勢感知技術得到了廣泛應用。作為態勢感知的核心技術，態勢預測是通過分析歷史和當前的態勢信息，並加以一定技術手段來實現未來事件的有效預測。

為解決態勢預測的一系列技術難題，國內外眾多學者開始對預測方法進行深入研究，Olabelurin等利用DDOS攻擊的特性，提出一種基於熵聚類的預測模型，並在真實網絡中進行了驗證；Pontes等考慮到數據源間的關聯性，採用事件分析系統對網絡安全進行預測；文志誠等通過建立隱馬爾科夫模型，形成安全態勢的前後依賴關係，從而對未來安全態勢進行可靠性預測；趙國生等引入灰色理論，運用具有殘差修正功能的非等時距Verhulst模型，對網絡態勢的規律進行了發掘；Elattar E等針對網絡態勢值非線性的特點，構建了層次化的網絡結構評估模型，並利用支持向量機對網絡態勢值進行回歸性預測。

預測方法種類繁多，神經網絡因其高度的自適應性和自學習能力，以及對非線性函數具有較強的逼近能力等優點，在態勢預測領域得到了廣泛運用，但隨著網絡的日趨複雜化，利用傳統方法得到的神經網絡參數可能存在較大偏差，從而導致預測結果不能成為網絡安全管理員做出正確決策的依據。

將人工智慧優化算法應用於神經網絡，可以在很大程度上解決參數尋優的問題，但依舊可能出現預測精度不夠、收斂速度過慢、容易陷入局部最優和早熟收斂等問題，如何解決這些難題，成為學者研究智能優化算法與神經網絡相結合的關鍵。

技術實現要素：

為解決以上技術問題，本發明的目的是提供一種基於改進小生境遺傳算法(INGA)優化小波神經網絡的態勢預測方法，可以更好地維持了種群多樣性，在提升收斂速度的同時，也避免了早熟收斂的問題。

本發明為解決上述技術問題，提供一種基於改進小生境遺傳算法(INGA)優化小波神經網絡的態勢預測方法，包括：

步驟A、對採集的漏洞、流量、入侵檢測系統等數據進行態勢要素獲取，將得到的態勢要素通過層次化網絡安全態勢評估量化方法對收集到的要素信息進行評估量化處理；

步驟B、根據非線性逼近能力、收斂速度，選擇合適的神經網絡和結構進行預測；

步驟C、根據選定神經網絡的誤差函數構造個體適應度函數,並進行遺傳操作；

步驟D、引入動態模糊聚類的小生境技術，並定義淘汰規則對差異化明顯的小生境施行剔除，尋找符合條件的小生境；

步驟E、輸入通過評估處理獲得相應的網絡安全測試集到有最優權值和閾值的小波神經網絡WNN網絡當中去，得到預測態勢值。

優選地，所述根據非線性逼近能力、收斂速度，選擇合適的神經網絡和結構進行預測，包括：

步驟B1、根據不同神經網絡的不同非線性擬合能力和容錯能力，確定選取小波神經網絡和採用緊緻型的三層前饋結構進行研究，其中輸入層共m個節點，隱含層h個節點，輸出層n個節點；

步驟B2、隱含層階段選取Morlet函數作為母小波的小波基函數，其數學公式如下所示：

ψ(x)＝cos(1.75x)exp(-x2/2)；

步驟B3、根據Kolmogorov理論，由輸入層節點數確定隱含層節點數，計算公式如下所示：

h＝2m+1；

步驟B4、輸出層階段採用Sigmoid函數，WNN的最終輸出結果由小波基函數擬合，公式如下所示：

其中，m表示輸入層節點個數，h表示隱含層節點數，a1～ah、b1～bh分別是伸縮參數和平移參數，w11～whm、w'11～w'hn分別表示輸入層與隱含層、隱含層與輸出層之間的網絡連接權值。

優選地，所述根據選定神經網絡的誤差函數構造個體適應度函數，並進行遺傳操作所使用的的相空間重構方法包括：

步驟C1、根據神經網絡的誤差函數構造個體適應度函數：

通過適應度函數獲得所有個體的適應度值之後，採取降序排列，同時對前Q個個體進行存儲，其中

Yt為輸出層的第t個節點的實際輸出量，Yt'為第t個節點的期望輸出量；

步驟C2、使用GA算法獲取到大規模複雜網絡的全局最優解，遺傳操作包括選擇、交叉、變異三個部分。

優選地，使用GA算法獲取到大規模複雜網絡的全局最優解，遺傳操作包括:

步驟C21、對種群進行初始化，根據要求對種群進行編碼，將所要解決的問題以合適的方式進行編碼後呈現給計算機；

步驟C22、採用期待值法進行選擇，期待值計算公式如下所示：

式中，fsum表示種群中所有個體的適應度值總和，fi為個體i的適應度值，N代表種群的個體總數，同時，對qi進行四捨五入後使用優勢個體保留機制，將當代適應度值最高的個體直接遺傳給下一代；

步驟C23、採用自適應方法對交叉算子和變異算子進行處理，分別定義自適應pc和自適應pm的調整公式為：

式中，α1、α2、β1、β2分別為(0,1)之間的一個值，fmax是種群個體的最大適應度值，favg表示種群的平均適應度值，由f'定義交叉操作前兩個父代中較大的適應度值，f代表發生變異個體的適應度值。

優選地，採用自適應方法對交叉算子和變異算子進行處理，分別定義自適應pc和自適應pm的調整公式包括，α1、α2取0.8、0.5，β1、β2取0.05、0.001。

優選地，所述引入動態模糊聚類的小生境技術，包括

步驟D1、針對一個包含N個Chromlen維度個體的種群，首先對個體的實數基因碼制使用以下公式進行歸一化處理：

其中，xpj表示個體xp的第j位置的基因碼制，xpjmax和xpjmin分別表示xp在第j位置基因碼制中的最大值和最小值；

步驟D2、根據歸一化的結果，建立個體間的模糊相似矩陣R，計算公式如下所示：

通過尋找包含模糊相似矩陣R的最小傳遞閉包，獲得了相應的模糊等價矩陣T，並利用T進行種群的聚類；

步驟D3、比較相似度係數λ與每對個體間的等價係數Tpq，若λ≤Tpq，則將個體xp和xq劃分為同一小生境，依此類推，直到所有個體均被劃分到小生境中，即根據每代的模糊等價矩陣以及種群個體數，對相似度係數λ動態更新，計算公式如下所示：

式中Tmaxj表示最大適應度值個體xmax與個體xj之間的等價係數，

步驟D4、通過每個小生境中個體適應度值大小的比較，對適應度值相對較小的個體施加懲罰因子，即min{fp...fq}＝penalty*min{fp...fq}，其中fp、fq分別表示個體xp和xq的適應度值，penalty是一個較強的懲罰因子；

步驟D5、定義種群熵dt進行多樣性的比較，pn＝Lmn/N，其中Q代表第t代中存在子種群的個數，Lmn表示第m代中的第n個子種群的個體數，N為種群的總個體數，d越大說明多樣性越高。

若某小生境與其它小生境的適應度值滿足，即

|fi-fmax|<fdefault

則用滿足適應度要求的個體進行替換，即

fi＝fniche(i)(1≤i≤n)

fniche＝(f1',f2',f3'...fn')

式中，fmax是同代中最高適應度值，定義適應度的默認閾值為fdefault，fniche(i)表示替代小生境的第i個個體的適應度值；

步驟D6、如果所得個體未達到終止條件的要求，則將前代排序後的popi作為新種群，且遺傳代數加1，同時，遺傳進程返回繼續遺傳操作，直至達到終止條件，結束算法流程，獲得優化後的WNN參數。

與現有技術相比，本發明達到的有益效果是：

本發明提供了一種改進的小生境遺傳算法與小波神經網絡結合的預測方法，通過採集網絡和主機的異常信息，過濾網絡安全威脅報警事件，從而建立預測模型的訓練樣本集；本發明採用具有較強非線性擬合能力和容錯性能的小波神經網絡對安全態勢進行預測，並通過自適應遺傳算法對傳統小波神經網絡參數進行優化；考慮到自適應遺傳算法收斂速度較慢、易陷入早熟的問題，因此引入一種新的動態模糊聚類和淘汰規則的小生境技術，對其進行優化；本發明能夠提高遺傳算法的尋優能力及收斂速度，通過提高種群多樣性，解決了遺傳算法易陷入早熟收斂的問題，並能更準確地實現網絡安全態勢的預測。

附圖說明

圖1是本發明提供的網絡安全態勢預測方法的流程圖；

圖2是INGA-WNN、GA-WNN、GA-BP三種算法收斂速度圖；

圖3是WNN收斂速度圖；

圖4是本發明與WNN、GA-BP和GA-WNN安全態勢預測仿真比較圖；

圖5是本發明與WNN、GA-BP和GA-WNN的絕對誤差比較圖。

具體實施方式

為了使本發明的目的、技術方案及優點更加清楚明白，下面結合附圖對本發明的具體實施方式作進一步說明。

本發明採用具有較強非線性擬合能力和容錯性能的小波神經網絡對安全態勢進行預測，通過自適應遺傳算法對傳統小波神經網絡參數進行優化，並引入了一種新的動態模糊聚類和淘汰規則的小生境技術。最後使用本發明對下一時刻的網絡安全態勢值預測，圖1為本發明提供的網絡安全態勢預測方法的流程圖，該方法包括以下步驟：

步驟1：對採集的漏洞、流量、入侵檢測系統等數據進行態勢要素獲取，將得到的態勢要素通過層次化網絡安全態勢評估量化方法對收集到的要素信息進行評估量化處理；

步驟2：根據非線性逼近能力、收斂速度，選擇合適的神經網絡和結構進行預測；

步驟3：根據選定神經網絡的誤差函數構造個體適應度函數,並進行遺傳操作；

步驟4：引入動態模糊聚類的小生境技術，並定義淘汰規則對差異化明顯的小生境施行剔除，尋找符合條件的小生境；

步驟5，輸入通過評估處理獲得相應的網絡安全測試集到有最優權值和閾值的WNN網絡當中去，得到預測態勢值。

根據本發明，其中，步驟2進一步包括以下步驟：

步驟2-1，根據不同神經網絡的不同非線性擬合能力和容錯能力，確定選取具有較強的小波神經網絡，並採用緊緻型的三層前饋結構進行研究，其中輸入層共m個節點，隱含層h個節點，輸出層n個節點；

步驟2-2，隱含層階段選取Morlet函數(Morlet小波函數)作為母小波的小波基函數，其數學公式如下所示；

ψ(x)＝cos(1.75x)exp(-x2/2)

步驟2-3，根據Kolmogorov理論(卡姆理論)，由輸入層節點數確定隱含層節點數，計算公式如下所示：

h＝2m+1

步驟2-4，輸出層階段採用Sigmoid函數，WNN的最終輸出結果由小波基函數擬合，公式如下所示：

其中，m表示輸入層節點個數，h表示隱含層節點數，a1～ah、b1～bh分別是伸縮參數和平移參數，w11～whm、w'11～w'hn分別表示輸入層與隱含層、隱含層與輸出層之間的網絡連接權值。

根據本發明，其中，步驟3具體包括以下步驟：

步驟3-1：根據神經網絡的誤差函數構造個體適應度函數：

通過適應度函數獲得所有個體的適應度值之後，採取降序排列，同時對前Q個個體進行存儲，其中

式中：Yt為輸出層的第t個節點的實際輸出量，Yt'為第t個節點的期望輸出量；

步驟3-2：使用GA算法(遺傳算法)獲取到大規模複雜網絡的全局最優解，遺傳操作主要包括選擇、交叉、變異三個部分。

所述步驟3-2中遺傳操作具體步驟為：

步驟3-2-1，對種群進行初始化，根據要求對種群進行編碼，將所要解決的問題以合適的方式進行編碼後呈現給計算機；

步驟3-2-2，採用期待值法進行選擇，期待值計算公式如下所示：

式中，fsum表示種群中所有個體的適應度值總和，fi為個體i的適應度值，N代表種群的個體總數，同時，對qi進行四捨五入。

同時使用優勢個體保留機制，將當代適應度值最高的個體直接遺傳給下一代；

步驟3-2-3，採用自適應方法對交叉算子和變異算子進行處理，分別定義自適應pc和自適應pm的調整公式為：

式中，α1、α2、β1、β2分別為(0,1)之間的一個值，文中α1、α2取0.8、0.5，β1、β2取0.05、0.001，fmax是種群個體的最大適應度值，favg表示種群的平均適應度值，由f'定義交叉操作前兩個父代中較大的適應度值，f代表發生變異個體的適應度值。

根據本發明，本發明步驟4具體包括如下步驟：

步驟4-1，針對一個包含N個Chromlen維度個體的種群，首先對個體的實數基因碼制按進行歸一化處理，其中，xpj表示個體xp的第j位置的基因碼制，xpjmax和xpjmin分別表示xp在第j位置基因碼制中的最大值和最小值；

步驟4-2根據歸一化的結果，建立個體間的模糊相似矩陣R，計算公式如下所示：

模糊相似矩陣滿足自反性和對稱性，模糊等價矩陣可以更好地解決小生境問題，因此，通過尋找包含模糊相似矩陣R的最小傳遞閉包，獲得了相應的模糊等價矩陣T，並利用T進行種群的聚類；

步驟4-3，比較相似度係數λ與每對個體間的等價係數Tpq，若λ≤Tpq，則將個體xp和xq劃分為同一小生境，依此類推，直到所有個體均被劃分到小生境中。

根據每代的模糊等價矩陣以及種群個體數，對相似度係數λ動態更新，計算公式如下所示：

式中Tmaxj表示最大適應度值個體xmax與個體xj之間的等價係數。

步驟4-4，通過每個小生境中個體適應度值大小的比較，對適應度值相對較小的個體施加懲罰因子。

min{fp...fq}＝penalty*min{fp...fq}，

式中fp、fq分別表示個體xp和xq的適應度值，penalty是一個較強的懲罰因子。

步驟4-5，為定量分析改進後的小生境遺傳算法在種群多樣性的優勢，定義種群熵dt進行多樣性的比較。

pn＝Lmn/N

式中，Q代表第t代中存在子種群的個數，Lmn表示第m代中的第n個子種群的個體數，N為種群的總個體數，d越大說明多樣性越高。

若某小生境與其它小生境的適應度值滿足，即

|fi-fmax|<fdefault

則用滿足適應度要求的個體進行替換，即

fi＝fniche(i)(1≤i≤n)

fniche＝(f1',f2',f3'...fn')

式中，fmax是同代中最高適應度值，定義適應度的默認閾值為fdefault，fniche(i)表示替代小生境的第i個個體的適應度值；f'n表示個體xn交叉操作前兩個父代中較大的適應度值；

步驟4-6，倘若所得個體未達到終止條件的要求，則將前代排序後的種群個體集合popi作為新種群，且遺傳代數加1，同時，遺傳進程返回繼續遺傳操作，直至達到終止條件，結束算法流程，獲得優化後的WNN參數。

為了說明本發明的有益效果，採用了真實的安全數據，由實驗室搭建的模擬網絡安全平臺提供，並在網絡安全態勢評估的基礎上對網絡安全態勢值進行仿真分析。

實驗選取安全平臺90天的網絡安全數據，劃分前76天為訓練樣本，後14天為測試樣本，並通過評估處理獲得相應的網絡安全態勢值。

分析安全數據的攻擊特點，發現較嚴重的攻擊行為發生周期均為5天左右，本實驗安全態勢維數的選取如表1中所示。

表1安全態勢維數選取

在圖2和圖3為本發明與其他三種方法收斂速度對比。實驗結果顯示，不同算法它們的收斂速度不盡相同，其中INGA-WNN的收斂速度最快，在68代就已達到收斂精度，其次是GA-WNN算法，在118代進入收斂，而GA-BP和WNN分別在139和359代才進入收斂狀態。因此，可以判斷，通過將動態模糊淘汰機制的小生境技術引入小波神經網絡，可以有效降低收斂時間，提高搜索效率。

圖4為本發明態勢預測曲線與其他四種聚類方法對比。分別選取K-means、AGENES、DBSCAN以及FCM四種聚類方法對小生境進行聚類劃分，INGA-WNN在趨勢預測的準確性上比其餘四種聚類方法更高。

通過圖5可以發現，四種預測模型均有較好的預測效果，但本發明INGA-WNN相比於WNN、GA-BP和GA-WNN可以得到更趨近真實網絡的結果，且預測誤差相對更小。主要是INGA-WNN採用動態模糊淘汰機制的小生境遺傳算法對非線性擬合能力更強的小波神經網絡進行尋優，利用動態模糊聚類進行種群小生境劃分，並運用淘汰規則對所劃分的小生境處理，從而解決了遺傳種群的多樣性問題，避免陷入早熟狀態，使結果更容易收斂於全局最優。

本發明所舉實施方式或者實施例對本發明的目的、技術方案和優點進行了進一步的詳細說明，所應理解的是，以上所舉實施方式或者實施例僅為本發明的優選實施方式而已，並不用以限制本發明，凡在本發明的精神和原則之內對本發明所作的任何修改、等同替換、改進等，均應包含在本發明的保護範圍之內。