錢建　李思宇

摘? ?要：針對網(wǎng)絡(luò)安全態(tài)勢的感知問題，結(jié)合巨龍山和者磨山風(fēng)電場的運(yùn)行情況，文章提出了基于徑向基函數(shù)（RBF）神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型，采用K-means聚類算法對網(wǎng)絡(luò)參數(shù)進(jìn)行優(yōu)化并感知網(wǎng)絡(luò)安全態(tài)勢，并采用訓(xùn)練數(shù)據(jù)來訓(xùn)練該模型。訓(xùn)練結(jié)果表明，該方法能較準(zhǔn)確的獲得態(tài)勢預(yù)測結(jié)果，具有較高的檢測準(zhǔn)確率，與BP神經(jīng)網(wǎng)絡(luò)預(yù)測對比也顯示出更高的精度與更好的適應(yīng)性。

關(guān)鍵詞：RBF神經(jīng)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;態(tài)勢感知;預(yù)測

中圖分類號： TP309.2? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A

Abstract： Aiming at the problem of network security situation perception， combined with the operation of Julongshan and Zhemoshan wind farms， a network security situation prediction model based on radial basis function （RBF） neural network is proposed in this paper. The network parameters are optimized and the network security situation is sensed， and the training data is used to train the model. The training results show that this method can obtain situation prediction results more accurately， and has higher detection accuracy. Compared with the prediction of BP neural network， it also shows higher accuracy and better adaptability.

Key words： RBF neural network; network security; situational awareness; prediction

1 引言

隨著當(dāng)今社會的快速發(fā)展，網(wǎng)絡(luò)與信息安全領(lǐng)域的發(fā)展日新月異，給人們生活水平帶來提高的同時，網(wǎng)絡(luò)安全問題也愈發(fā)嚴(yán)重[1～3]。盡管一系列的安全檢測產(chǎn)品如入侵檢測系統(tǒng)（IDS）和防火墻等已經(jīng)廣泛應(yīng)用于各領(lǐng)域[4]，但由于網(wǎng)絡(luò)攻擊手段逐漸呈現(xiàn)出多樣化，同時漏報、誤報和報告格式不統(tǒng)一等缺陷仍然存在，以及傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)設(shè)備功能單一、不能全方位的對網(wǎng)絡(luò)的安全狀態(tài)做出整體的評價和估計等問題，網(wǎng)絡(luò)安全問題依然相當(dāng)嚴(yán)峻[5～8]?；诖?，網(wǎng)絡(luò)安全研究也經(jīng)歷了“安全體系的被動建設(shè)—主動發(fā)展—入侵—防御—評估一體系全面安全體系”的發(fā)展歷程[9～10]，網(wǎng)絡(luò)安全態(tài)勢研究應(yīng)運(yùn)而生?！熬W(wǎng)絡(luò)態(tài)勢”是一個整體和宏觀的概念，是指由各種網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)的當(dāng)前狀態(tài)和變化趨勢?！熬W(wǎng)絡(luò)態(tài)勢感知”的概念最早由Bass于1999年首次提出，并認(rèn)為可以將態(tài)勢感知技術(shù)應(yīng)用于多個NIDS檢測結(jié)果的數(shù)據(jù)融合分析，網(wǎng)絡(luò)安全態(tài)勢感知作為一種主動防御技術(shù)，對網(wǎng)絡(luò)中的安全事件進(jìn)行分析，及早的發(fā)現(xiàn)網(wǎng)絡(luò)中的風(fēng)險[11]。通過對網(wǎng)絡(luò)、服務(wù)、主機(jī)、資源進(jìn)行感知，及時的制定、調(diào)整安全策略，在攻擊發(fā)生前減少和降低風(fēng)險[12]。

近年來，國內(nèi)外不少學(xué)者對網(wǎng)絡(luò)安全態(tài)勢感知方法進(jìn)行了研究。Liu等人[13]提出了NSSA的認(rèn)知意識控制模型（CACM），CACM采用跨層架構(gòu)和認(rèn)知圈，可以突破不同網(wǎng)絡(luò)層之間的交互障礙，并提出了一種決策級融合方法，其中為不同的數(shù)據(jù)源分配不同的權(quán)重，從而可以提高融合精度，但是僅考慮單入侵攻擊，且數(shù)據(jù)源單一，也沒有對安全態(tài)勢的評估和預(yù)測結(jié)果做深入研究;Yang等人[14]基于MIMO系統(tǒng)理論，對5G網(wǎng)絡(luò)安全性的影響以及態(tài)勢感知技術(shù)的理論，構(gòu)建了面向5G的大規(guī)模MIMO系統(tǒng)的安全態(tài)勢感知系統(tǒng)模型，但這些預(yù)測模型得到的最終預(yù)測結(jié)果精度較差，不能有效反映網(wǎng)絡(luò)安全的變化趨勢;Zhao等人[15]建立了網(wǎng)絡(luò)安全態(tài)勢感知指標(biāo)體系，對指標(biāo)因素進(jìn)行選擇和量化，然后通過計算態(tài)勢值，構(gòu)建了網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，但僅從網(wǎng)絡(luò)歷史的整體安全態(tài)勢本身數(shù)據(jù)進(jìn)行分析，忽略影響網(wǎng)絡(luò)安全態(tài)勢的安全因子。

國內(nèi)對態(tài)勢感知的研究雖然起步較晚，但也取得了相應(yīng)的成果。謝麗霞等人[16]設(shè)計了一種基于BP神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法，定義網(wǎng)絡(luò)安全態(tài)勢的一級評估和二級評估指標(biāo)，但沒有考慮指標(biāo)體系中各因素之間的關(guān)聯(lián)性，將會導(dǎo)致信息的融合處理存在很大難度;秦麗娜[17]提出了一種卷積神經(jīng)網(wǎng)絡(luò)在線網(wǎng)絡(luò)安全攻擊檢測方法，基于傳統(tǒng)的卷積網(wǎng)絡(luò)設(shè)計了對網(wǎng)絡(luò)進(jìn)行攻擊檢測的改進(jìn)卷積神經(jīng)網(wǎng)絡(luò)模型，缺乏指標(biāo)體系有效性的驗證，無法驗證指標(biāo)體系是否涵蓋了網(wǎng)絡(luò)安全的所有方面;蔣誠智等人[18]在現(xiàn)有的模型研究的基礎(chǔ)上，結(jié)合電力信息網(wǎng)絡(luò)的現(xiàn)狀與需求，提出了一種基于智能Agent的NSSA感知模型。模型從數(shù)據(jù)采集處理層、評估分析層、協(xié)調(diào)管理層和態(tài)勢決策層幾個層次介紹了涉及的Agent模型和功能模塊，對電力信息網(wǎng)絡(luò)安全監(jiān)控和管理具有一定的指導(dǎo)意義，但該算法的復(fù)雜度很高、效率較低、實時性較差。

本文根據(jù)RBF神經(jīng)網(wǎng)絡(luò)的優(yōu)勢，結(jié)合巨龍山和者磨山風(fēng)電場運(yùn)行狀況，對風(fēng)電場網(wǎng)絡(luò)安全態(tài)勢值進(jìn)行分析，利用網(wǎng)絡(luò)安全態(tài)勢值具有非線性時間序列的特點，構(gòu)建網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型。使用RBF神經(jīng)網(wǎng)絡(luò)找出網(wǎng)絡(luò)安全態(tài)勢值的非線性映射關(guān)系，以提高態(tài)勢預(yù)測的準(zhǔn)確性，利用均方根誤差、多元統(tǒng)計系數(shù)、歸一化均方根誤差等參數(shù)檢驗預(yù)測網(wǎng)絡(luò)安全態(tài)勢值的準(zhǔn)確性，同時與BP神經(jīng)網(wǎng)絡(luò)預(yù)測模型進(jìn)行比較。

2 者磨山風(fēng)電場和巨龍山風(fēng)電場運(yùn)行狀況

者磨山風(fēng)電場，建于云南省大理市下關(guān)西南，工程分兩期建設(shè)，總裝機(jī)容量45.75兆瓦，共安裝61臺750千瓦風(fēng)力發(fā)電機(jī)組，總投資約5.2億元，年上網(wǎng)電量約14612萬千瓦/時;巨龍山風(fēng)電場是五福山風(fēng)電項目群第一期工程，裝機(jī)容量49.5兆瓦，風(fēng)電場主要由33臺風(fēng)機(jī)、33臺箱式變壓器、35千伏集電線路、進(jìn)場道路及一座110千伏升壓站組成，項目總投資約4.5億元，年上網(wǎng)電量1.16億千瓦/時，兩者經(jīng)濟(jì)效益與社會效益顯著。目前智能電網(wǎng)的發(fā)展越來越智能化，開放化的網(wǎng)絡(luò)架構(gòu)、多樣性的電力需求使得電力系統(tǒng)愈加復(fù)雜，給電力系統(tǒng)的建設(shè)、運(yùn)行帶來巨大的不確定性。電力系統(tǒng)的安全包括電力基礎(chǔ)設(shè)施安全和網(wǎng)絡(luò)信息安全，例如網(wǎng)絡(luò)黑客、企業(yè)間諜、設(shè)備缺陷、用戶操作錯誤以及自然災(zāi)害等。各級政府需要將保證電力系統(tǒng)網(wǎng)絡(luò)安全作為保障電力系統(tǒng)安穩(wěn)運(yùn)行的重要工作來抓。網(wǎng)絡(luò)入侵攻擊等引發(fā)的信息系統(tǒng)故障不僅會損害信息系統(tǒng)，還會威脅物理系統(tǒng)，破壞電網(wǎng)的平穩(wěn)運(yùn)行。尤其是針對電力監(jiān)控系統(tǒng)的各種網(wǎng)絡(luò)入侵攻擊，對具有信息物理融合系統(tǒng)特征的電力基礎(chǔ)設(shè)施構(gòu)成了嚴(yán)峻的威脅。因此，為保障各類并網(wǎng)發(fā)電企業(yè)和主網(wǎng)的安全可靠運(yùn)行，水電十四局大理聚能投資有限公司率先開展基于風(fēng)電場電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究與集成示范，以期為發(fā)電企業(yè)開展相關(guān)工作起到示范帶頭作用。

3 RBF神經(jīng)網(wǎng)絡(luò)基本原理與設(shè)計

徑向基函數(shù)（Radical Basis Function，RBF）神經(jīng)網(wǎng)絡(luò)是一種三層前饋網(wǎng)絡(luò)，包括輸入層、隱含層、輸出層。其拓?fù)浣Y(jié)構(gòu)比較簡單，它是以徑向基函數(shù)作為激活函數(shù)，當(dāng)輸入樣本與基函數(shù)中心距離接近時，隱含層節(jié)點會被激活，產(chǎn)生較大的輸出[19]。輸入層和隱含層之間的權(quán)值固定為1，輸入層不經(jīng)任何變換直接將輸入向量映射至隱含層，該映射是一個非線性變換。隱含層和輸出層之間是有權(quán)值的，隱含層映射至輸出層是一個線性變換過程，網(wǎng)絡(luò)最終的輸出是隱含層所有神經(jīng)元輸出的加權(quán)和[20]。

RBF神經(jīng)網(wǎng)絡(luò)模型選擇距離函數(shù)作為隱含層節(jié)點的基函數(shù)，采用徑向基函數(shù)作為激活函數(shù)，同時使用線性優(yōu)化技術(shù)，能夠有效提高網(wǎng)絡(luò)的學(xué)習(xí)收斂速度并避免局部最小問題，以任意精度可以逼近任何連續(xù)函數(shù)[21]。RBF神經(jīng)網(wǎng)絡(luò)隱層的功能是將低維空間的輸入通過非線性函數(shù)映射到一個高維空間，然后再在這個高維空間進(jìn)行曲線的擬合。它等價于在一個隱含的高維空間尋找一個能最佳擬合訓(xùn)練數(shù)據(jù)的表面[22]。這點與普通的多層感知機(jī)MLP是不同的。

圖2為N-M-H結(jié)構(gòu)的RBF基本神經(jīng)網(wǎng)絡(luò)模型。該網(wǎng)絡(luò)具有N個輸入節(jié)點，m個隱節(jié)點，h個輸出節(jié)點。其中N為訓(xùn)練樣本集的樣本數(shù)量，P為隱層節(jié)點數(shù)，L為目標(biāo)輸出的個數(shù)。輸入層的任一節(jié)點用i表示，隱層的任一節(jié)點用j表示，輸出層的任一節(jié)點用y表示。

對各層的數(shù)學(xué)描述為：x=（x1，x2，…，xn）T為網(wǎng)絡(luò)輸入向量，輸入層的作用是在不對輸入信息進(jìn)行的任何變換處理的情況下將其映射到隱含層;Φj（x），（j=1，2，…，m）為任一隱節(jié)點的激活函數(shù)，稱為“基函數(shù)”，選用高斯函數(shù)，計算各個輸入樣本與樣本中心的距離函數(shù);W為輸出權(quán)矩陣，其中Wmh=（j=1，2，…，p n=1，2，…，L）為隱層第j個節(jié)點與輸出層第n個節(jié)點間的突觸權(quán)值;Y=（y1，y2，…，yh）為網(wǎng)絡(luò)輸出;輸出層將隱含層各節(jié)點的輸出進(jìn)行線性組合，以對輸入模式進(jìn)行響應(yīng)輸出。對于RBF神經(jīng)網(wǎng)絡(luò)預(yù)測安網(wǎng)絡(luò)全態(tài)勢而言，如圖3所示，其中每個樣本中5個值作為輸入值，最后1個值作為輸出。

在確定了神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)之后，基于徑向基神經(jīng)網(wǎng)絡(luò)（RBF）預(yù)測生物柴油低溫流動性的具體實施流程，主要包括的3大步驟為：

1）數(shù)據(jù)獲取與預(yù)處理：針對網(wǎng)絡(luò)態(tài)勢的不同影響因素及其變化規(guī)律，考慮各參數(shù)之間量綱差異對徑向基神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)精度與效率的影響，采用下式進(jìn)行數(shù)據(jù)歸一化處理：

2）樣本劃分：100組實驗數(shù)據(jù)，其中隨機(jī)選擇85%用于訓(xùn)練學(xué)習(xí)，剩下的15%用于測試。

3）徑向基神經(jīng)網(wǎng)絡(luò)預(yù)測與評估：利用測試樣本評估RBF神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢的有效性。

4 模型評價指標(biāo)

鑒于廣泛使用的模型評估指標(biāo)的局限性，本研究通過對所建立的模型進(jìn)行各種尺度變換不變的誤差度量和不確定性估計措施，對模型的可信度進(jìn)行綜合評估，以使所建立的預(yù)測模型合理化。盡管與類似的研究相比，流行的模型評估指標(biāo)已被用作模型性能的基準(zhǔn)，但對于從原始指標(biāo)相應(yīng)縮放的變化中獲得的值，該指標(biāo)的每個結(jié)果都已進(jìn)一步合理化，以解決其固有的局限性，保留了常規(guī)措施的屬性。具體的性能評價指標(biāo)為：

5 實驗分析

5.1 實驗設(shè)備與試驗數(shù)據(jù)

本文搭建了由主機(jī)、路由器、交換機(jī)、服務(wù)器等組成的網(wǎng)絡(luò)進(jìn)行實驗，如圖4所示。

本文仿真數(shù)據(jù)來源于CICIDS2017，該數(shù)據(jù)集包含良性和最新的常見攻擊，還包括使用CICFlowMeter進(jìn)行流量分析的結(jié)果，該流量分析具有基于時間戳、源IP地址和目標(biāo)IP地址、源端口號和目標(biāo)端口號、協(xié)議以及攻擊類型的標(biāo)記流。根據(jù)謝麗霞等人的評估實驗對態(tài)勢值進(jìn)行評估。利用獲取的態(tài)勢值形成歷史和當(dāng)前的網(wǎng)絡(luò)態(tài)勢值進(jìn)行態(tài)勢預(yù)測。結(jié)合網(wǎng)絡(luò)安全態(tài)勢值的計算特點，設(shè)定預(yù)測周期為12h。本文從態(tài)勢數(shù)據(jù)集中選取長度為100的網(wǎng)絡(luò)安全態(tài)勢時間序列。將輸入層節(jié)點設(shè)定為5，輸出層節(jié)點設(shè)定為1，同時為避免原始數(shù)據(jù)跨度大不利于處理的影響，對所得態(tài)勢值均作歸一化處理。

5.2 仿真結(jié)果及分析

RBF神經(jīng)網(wǎng)絡(luò)是基于局部基函數(shù)和迭代函數(shù)逼近的神經(jīng)網(wǎng)絡(luò)，通過基于單個單變量函數(shù)的項的線性組合來近似多變量函數(shù)的方法。該單變量函數(shù)是徑向基函數(shù)，徑向基函數(shù)網(wǎng)絡(luò)因其良好的逼近能力、更快的學(xué)習(xí)算法和更簡單的網(wǎng)絡(luò)結(jié)構(gòu)而具有許多用途。圖6和圖7是RBF預(yù)測網(wǎng)絡(luò)安全態(tài)勢的預(yù)測值與實驗值的對比，從圖6和圖7可以看出，RBF神經(jīng)網(wǎng)絡(luò)的預(yù)測精度比BP神經(jīng)網(wǎng)絡(luò)的預(yù)測精度都要高，預(yù)測值和實際值基本相吻合，顯示出RBF神經(jīng)網(wǎng)絡(luò)在預(yù)測網(wǎng)絡(luò)安全態(tài)勢的優(yōu)越性。