黃振晗

(福建廣播電視大學(xué)莆田分校，莆田 351100)

在信息技術(shù)快速發(fā)展的背景下，網(wǎng)絡(luò)安全技術(shù)開始從之前的被動防御逐漸升級到主動防范.而在諸多主動防范技術(shù)中，安全預(yù)測技術(shù)無疑是其中極為重要的一環(huán)，通過安全預(yù)測技術(shù)能夠?qū)崿F(xiàn)提前預(yù)警并能對安全走勢進行動態(tài)評估.網(wǎng)絡(luò)安全態(tài)勢預(yù)測能夠?qū)窈蟮陌踩l(fā)展脈絡(luò)有著更加清晰的認(rèn)知，并為主動式安全管理提供極大的支持，可以顯著減少安全所帶來的諸多損失，因此深受社會各界矚目.當(dāng)前海內(nèi)外諸多學(xué)者提出了基于不同算法的安全預(yù)測模型，譬如時間序列、證據(jù)理論法等，這些模型的預(yù)測結(jié)果往往只能對安全相類性、周期性的發(fā)展態(tài)勢進行預(yù)測，并不能對隨機性或者突發(fā)性安全問題進行預(yù)測.為此部分學(xué)者開始將這種問題轉(zhuǎn)化成時間序列的回歸預(yù)測問題，然后借助于人工智能算法，例如灰色模型、SVM、BP神經(jīng)網(wǎng)絡(luò)等完成該安全預(yù)測的建模，得到較佳的效果.SVM是一種典型的以高斯模型為核心的非線性預(yù)測技術(shù)，它能夠在大量數(shù)據(jù)中挖掘出網(wǎng)絡(luò)安全潛含的規(guī)律.為了進一步提升該安全走勢的預(yù)測精準(zhǔn)度，在本次研究中對SVM參數(shù)使用遺傳算法進行優(yōu)化，由此創(chuàng)制相應(yīng)的安全預(yù)測模型.這樣就能更好利用遺傳算法的全局搜索能力對SVM參數(shù)加以合理優(yōu)化，使之更為精準(zhǔn)的進行網(wǎng)絡(luò)安全態(tài)勢的預(yù)測.最后對此方法進行仿真驗證，得出本次優(yōu)化的模型在該安全態(tài)勢預(yù)測領(lǐng)域頗具效果.

1 網(wǎng)絡(luò)安全態(tài)勢預(yù)測的原理

“態(tài)勢”的基本概念起源于軍事領(lǐng)域，其內(nèi)涵就是某個被研究對象狀態(tài)綜合表現(xiàn)，而此對象存在著范圍大、結(jié)構(gòu)復(fù)雜、影響要素眾多的特點.其中戰(zhàn)場態(tài)勢最為典型.在網(wǎng)絡(luò)安全研究中，該態(tài)勢的引入有助于創(chuàng)制更具可行性的體系，從而對該安全狀態(tài)進行全面與深入的認(rèn)知.該預(yù)測管理需要結(jié)合相應(yīng)的安全事件發(fā)生參數(shù)進行加權(quán)處理，譬如發(fā)生頻次、受威脅程度等.將大量安全信息進行融合，進而獲得相應(yīng)的態(tài)勢值來更加精準(zhǔn)的了解當(dāng)前安全水平，然后在綜合當(dāng)前與歷史態(tài)勢值來預(yù)測今后的安全趨勢.該態(tài)勢在采集數(shù)之時需要按照時間先后次序來開展，因此在具體處理之時能夠?qū)⑵湟曌饕粋€時間序列，而預(yù)測模型輸入變量則能遴選前段時間序列態(tài)勢值，而輸出則是下一個時間的安全態(tài)勢值.將具有安全態(tài)勢值的時間序列進行如下設(shè)置：

x={xi|xi∈R,i=1,2,…,L}

(1)

由此對網(wǎng)絡(luò)安全態(tài)勢的預(yù)測從本質(zhì)上就是對前N時間節(jié)點的態(tài)勢值加以分析，進而對后續(xù)不同時間節(jié)點的態(tài)勢值進行預(yù)測.其實現(xiàn)流程為：第一，訓(xùn)練對應(yīng)訓(xùn)練集，構(gòu)制該態(tài)勢預(yù)測模型.第二，借助于該模型對今后一段時間的網(wǎng)絡(luò)安全態(tài)勢進行預(yù)測.該網(wǎng)絡(luò)安全態(tài)勢能夠展現(xiàn)出隨機性與不確定性，因此需要對預(yù)測結(jié)果的準(zhǔn)確性進行提升，而不能簡單的使用傳統(tǒng)的預(yù)測模型.在此處可以借助于SVM來對該態(tài)勢進行預(yù)測.這項技術(shù)的核心可以對系統(tǒng)的隨機性與不確定性有著較強的自適應(yīng)學(xué)習(xí)能力.以下就基于SVM來對網(wǎng)絡(luò)安全態(tài)勢進行建模，然后對今后的安全態(tài)勢進行預(yù)測.

2 網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型

2.1 支持向量機算法

1995年，Vapnik和Cortes在研究中首次提出支持向量機這種用以統(tǒng)計學(xué)習(xí)的機器學(xué)習(xí)方法，如今SVM已經(jīng)成為機器學(xué)習(xí)的主流預(yù)測模型.它能夠?qū)維歐式空間Rn的兩類基本問題進行解決，亦即分類與回歸問題.可以概括成：獲取Rn中的實值函數(shù)g(x)，然后對任意輸入值x借助于決策函數(shù)f(x)=sgn[g(x)]來獲取相應(yīng)的輸出值y.

在此過程中g(shù)(x)函數(shù)形式較難明確，主要采用的方式就是創(chuàng)制與原始問題具有等價關(guān)系的對偶問題并加以計算.而這種問題通常為非線性規(guī)劃問題，也就是將原歐式空間Rn中的變量x借助于轉(zhuǎn)換φ完成至Hibert空間的轉(zhuǎn)換，進而得到線性規(guī)劃問題并進行求解.對應(yīng)的變換φ為：

Rn→Hilbert,x→x=φ(x)

(2)

在此SVM中，實現(xiàn)φ變換的方式為核函數(shù)的內(nèi)積轉(zhuǎn)換，亦即：

K(x,x′)=φ(x)φ(x′)

(3)

而Rn空間之中的決策函數(shù)為：

f(x)=sgn[wTφ(x)+b]

(4)

上式中的權(quán)重與閾值分別用w與b表征.

若是相應(yīng)的問題具有線性不可分屬性，那么就很難運用SVM來進行計算，目前較為可行的方法就是引入非負(fù)松弛因子，然后將其進行轉(zhuǎn)換使之成為二次優(yōu)化問題，亦即：

s.t.yi(w·φ(x)+b)≥1-ξi

ξ≥0,i=1,2,…,n

(5)

在上式中展現(xiàn)了典型凸二次規(guī)劃問題，所以可以借助于拉格朗日乘子來對其進行轉(zhuǎn)換，使之形成對偶問題，亦即使得計算最小化問題轉(zhuǎn)換成最大化求解，具體如下：

C≥ai≥0,i=1,2,…,l

(6)

上式中的拉格朗日算子為ai，通過對其進行計算，就能得到w的權(quán)向量，是為：

w=∑aiyiφ(xi)φ(x)

(7)

為此支持向量機的分類決策函數(shù)為：

f(x)=sgn[aiyiφ(xi)φ(x)+b]

(8)

在相應(yīng)的高維空間之中展開相應(yīng)的點積操作無疑有著頗大的難度，所以將其使用核函數(shù)來進行取代，那么該函數(shù)就能用下式表示：

f(x)=sgn[aiyik(x,xi)+b]

(9)

該SVM核函數(shù)會導(dǎo)入新參量，所以可以將RBF應(yīng)用該支持向量機的核函數(shù)，前者的形式為：

(10)

于是該函數(shù)的最終表征形式為：

(11)

2.2 支持向量機網(wǎng)絡(luò)安全態(tài)勢預(yù)測過程

利用SVM對網(wǎng)絡(luò)安全態(tài)勢進行預(yù)測，其過程為：

(1)對當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)進行采集，包括其中的處理不良與異常數(shù)據(jù).

(2)分析該態(tài)勢數(shù)據(jù)，因為對其影響的因素整體較多，容易產(chǎn)生較大的差異，其中SVM預(yù)測模型對(0，1)之間數(shù)據(jù)有著較高的敏感度，為此需要將原始數(shù)據(jù)進行歸一化，使之處于0至1之間，具體方法為：

(12)

(3)將一維網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)轉(zhuǎn)化成多維數(shù)據(jù)，實現(xiàn)機制就是利用嵌入維數(shù)與時間延遲來實現(xiàn).在本次研究中該時間延遲為1，而嵌入維數(shù)依次為2,3,…，借助于初步的試湊，于是獲得嵌入的m維數(shù).如果該一維態(tài)勢數(shù)據(jù)用{X1,X2,…,Xn}表征，那么便能獲得以下多維該態(tài)勢數(shù)據(jù)，具體如下：

表1 多維網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)

(4)將網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)細(xì)分成兩個模塊，亦即訓(xùn)練與測試集，SVM可以利用訓(xùn)練集進行學(xué)習(xí)，進而對SVM模型的參數(shù)進行最優(yōu)解尋找，具體可以通過遺傳算法來實現(xiàn)，這樣就能夠使得該預(yù)測模型參量具有最優(yōu)性.

(5)借助于該預(yù)測模型來對預(yù)測集進行分析，并輸出相應(yīng)的結(jié)果.接著利用反歸一算式將該結(jié)果轉(zhuǎn)換成具體安全態(tài)勢值，最后就可以據(jù)此對當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢進行準(zhǔn)確判斷與預(yù)測.

3 網(wǎng)絡(luò)安全態(tài)勢預(yù)測實例分析

3.1 網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)

為了對設(shè)計模型進行效果驗證，將實驗室入侵檢測開發(fā)組的測試環(huán)境用作實驗環(huán)境，而該入侵檢測的系統(tǒng)都統(tǒng)一的獨立于相應(yīng)的互聯(lián)網(wǎng)局域網(wǎng)之中，局域網(wǎng)內(nèi)含WEB與FTP服務(wù)器，普通計算機10臺，還有兩臺攻擊模擬機.實驗設(shè)備都配置了相應(yīng)的入侵檢測系統(tǒng)探頭，選擇2019年4月1至4月30日的邊界安全監(jiān)測數(shù)據(jù)，按照日采樣4次頻率，總共獲取120個態(tài)勢值，具體數(shù)據(jù)可參見下圖.將前面的90個態(tài)勢值用作SVM的訓(xùn)練樣本，而后30個則是該SVM的測試集，而相應(yīng)驗證試驗選用了matlab 9.1系統(tǒng).

圖1 網(wǎng)絡(luò)安全態(tài)勢樣本數(shù)據(jù)圖

3.2 模型的實現(xiàn)

首先將該態(tài)勢時延設(shè)定為1，然后利用以上的試湊法不斷提升嵌入的維數(shù)，通過分析獲得8維，對應(yīng)的SVM為7個輸入變量與1個輸出變量，該態(tài)勢數(shù)據(jù)的重構(gòu)就可以利用該時延與嵌入維數(shù)來實現(xiàn)，然后完成該SVM的訓(xùn)練與測試樣本集.隨后基于前者數(shù)據(jù)集來進行SVM學(xué)習(xí)，同時利用遺傳算法對此模型參量加以優(yōu)化.設(shè)置的參量包括進化代數(shù)、初始種群、變異與交叉概率，它們的值依次為100、40、0.01、0.05與0.95.該系統(tǒng)在運行至50.55 s之時出現(xiàn)目標(biāo)誤差，此時的SVM完成的訓(xùn)練步數(shù)達到5000，借助于該態(tài)勢的適應(yīng)度曲線可以得知，在30代遺傳之后，該染色體的適應(yīng)度開始逐漸穩(wěn)定，據(jù)此就能得到該預(yù)測模型的最優(yōu)參量：亦即高斯核函數(shù)寬度、不敏感損失函數(shù)與懲罰參數(shù)，依次為5、0.001與100.隨機對該安全態(tài)勢進行相應(yīng)的預(yù)測，得到圖2的適應(yīng)度曲線.分析該圖可知通過約30代的遺傳，該染色體適應(yīng)度開始漸穩(wěn)，由此得到該模型的最優(yōu)參量為：c=100，ε=0.001，σ=5.借助于該預(yù)測模型就可以得出預(yù)測誤差整體較小，預(yù)測精度得到了明顯的提升.

圖2 SVM參數(shù)優(yōu)化過程

3.3 網(wǎng)絡(luò)安全態(tài)勢預(yù)測

在使用最優(yōu)參量c=100，ε=0.001，σ=5構(gòu)筑相應(yīng)的安全態(tài)勢預(yù)測模型時，可以選用最優(yōu)模型對這30個態(tài)勢值進行預(yù)測，并得到圖3的結(jié)果，而通過圖3給出的預(yù)期曲線可以得知該預(yù)測模型整體預(yù)測誤差較小，有著較高的預(yù)測精度.

圖3 SVM網(wǎng)絡(luò)安全態(tài)勢預(yù)測結(jié)果圖

為了進行對比分析，運用BP與RBF這兩種神經(jīng)網(wǎng)絡(luò)算法來進行預(yù)測，并借助于均方(MSE)與平均相對誤差(MAE)來用作模型的評價指標(biāo)，得到表2對比結(jié)果.

表2 三種算法的預(yù)測性能分析表

通過表2對于三種算法的預(yù)測性能分析可知，SVM在預(yù)測速度、精度與所需時間上相較與另外兩種算法都有著較為明顯的優(yōu)勢.造成這種差異的原因是該SVM相較于RBF以及BP算法而言有著更多的優(yōu)勢，況且前者還進一步使用了遺傳算法對其參量加以優(yōu)化.裝使之能夠在整個空間中找到最優(yōu)解，有效規(guī)避另外兩個算法容易陷入局優(yōu)解、收斂速度慢等問題.為此SVM無疑在網(wǎng)絡(luò)安全態(tài)勢預(yù)測方面，無疑具有快速、高精度、高可靠性的優(yōu)勢.

4 結(jié)語

隨著信息網(wǎng)絡(luò)中各種新型技術(shù)的廣泛運用，網(wǎng)絡(luò)安全感知技術(shù)隨之誕生，這種感知技術(shù)可以細(xì)分成相應(yīng)態(tài)勢要素的提取、評估與預(yù)測.其中預(yù)測則是這項技術(shù)的核心，通過預(yù)測可以為相應(yīng)的管理人員提供當(dāng)前以及過去的相應(yīng)網(wǎng)絡(luò)安全狀態(tài)，同時還能在已有的數(shù)據(jù)基礎(chǔ)上挖掘與預(yù)測今后一段時間的網(wǎng)絡(luò)安全態(tài)勢，從而顯著較少管理者的數(shù)據(jù)分析工作量，所以該技術(shù)開始在安全研究領(lǐng)域受到極大重視.在本次研究中針對這種預(yù)測算法進行了分析，并提出以SVM為基礎(chǔ)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型，對此模型設(shè)計與實現(xiàn)進行概述，并利用仿真技術(shù)來對本次的模型設(shè)計進行驗證，得出該模型相較于傳統(tǒng)預(yù)測算法更為精準(zhǔn)，并能對網(wǎng)絡(luò)安全態(tài)勢的整體變化情況進行準(zhǔn)確的反應(yīng)，與此同時預(yù)測的結(jié)果也更加有利于網(wǎng)絡(luò)管理人員對今后網(wǎng)絡(luò)的安全演化進行判斷，并能提前準(zhǔn)備更為合適的解決策略.