宏觀網絡態勢感知系統中的預測算法設計

（電子科技大學 計算機科學與工程學院， 成都610054）

摘 要：針對被動防御的問題，提出了一種基于支持向量回歸算法的網絡安全態勢預測方法。在最近固定時間段的數據集數據進行歸一化處理的基礎上，構造樣本數據并進行訓練，確定預測模型的各項參數。實驗證明該方法能有效地對網絡未來的安全態勢進行預測，結果優于其他算法，達到了實時在線條件下準確預測網絡安全態勢結果的目的。

關鍵詞：態勢感知；支持向量回歸；預測

中圖分類號：TP393.08文獻標志碼：A

文章編號：1001-3695(2009)04-1517-03

Prediction technique research in network situation awareness

YE Li，WANG Juan，ZHANG Feng-li

(School of Computer Science Engineering， University of Electronic Science Technology of China， Chengdu 610054， China)

Abstract:Aiming at the problem of passive defense，this paper presented a prediction technique in network security situation based on support vector regression algorithm. By processing normalized data set in last fixed time period， trained sample data to determine the parameter of prediction model. The experiment result shows that the technique can predict the network security situation efficiently and accurately， the result is better than other algorithms.It achieved the objective of predict network security situation accurately in real-time and on-line system.

Key words:situation awareness; support vector regression(SVR); forecast

計算機和網絡通信技術的高速發展，對人們的生活產生了日益重要的影響。與此同時，計算機網絡和操作系統本身的漏洞也越來越多地暴露出來，利用計算機網絡的各種違法犯罪活動層出不窮，給人們造成了巨大的財產損失，甚至威脅到國家整體的信息安全。因此，及時評估當前網絡狀態并預測其發展趨勢成為保障各種網絡服務安全急需解決的問題。

準確有效地預測網絡的安全態勢，使得網絡的安全管理從被動變為主動。管理員可以判斷網絡安全所處狀態的趨勢，更好地理解網絡狀態及其所受攻擊的狀態，能在網絡遭受攻擊和損失之前，及時采取防御措施，加強網絡安全設備的安全策略，更改網絡安全監管的安全規則，真正達到網絡安全主動防御的目的。線性回歸分析、灰色預測等傳統算法可以預測一段時間內數據變化的大致趨勢，但在處理具有非線性關系、非正態分布特性的宏觀網絡態勢值所形成的時間序列數據時，效果不理想。也有通過RBF等神經網絡[1]來進行網絡安全態勢值的預測，但神經網絡算法主要依靠經驗風險最小化原則，容易導致泛化能力的下降且模型結構難以確定。在學習樣本數量有限時，學習過程誤差易收斂于局部極小點，學習精度難以保證；學習樣本數量很多時，又陷入維數災難，泛化性能不高。在進行實時在線預測的網絡態勢感知系統中，神經網絡的這一缺點被進一步放大。

支持向量回歸（SVR）算法有效避免了上述算法所面臨的問題，預測絕對誤差小，保證了預測的正確趨勢率，能準確預測網絡態勢的發展趨勢。與RBF神經網絡的預測算法相比，其更有利于對實時在線網絡態勢值的預測分析。

1 相關技術

網絡態勢感知源于空中交通監管(air traffic control，ATC)態勢感知，是一個比較新的概念。1999年，Tim Bass首次提出網絡態勢感知(cyberspace situation awareness)的概念，并對網絡態勢感知與ATC態勢感知進行了類比，旨在把ATC態勢感知的成熟理論和技術借鑒到網絡態勢感知中來。目前，對網絡態勢感知還未能給出統一的、全面的定義。所謂網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。通過建立一套描述網絡態勢的指標體系，就可以對當前網絡狀況有一個直觀全面的了解，從而為實現主動安全防御打下良好的基礎。值得注意的是，態勢是一種狀態、一種趨勢，是一個整體和全局的概念，任何單一的情況或狀態都不能稱之為態勢。網絡態勢感知是指在大規模網絡環境中，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。

態勢感知包括態勢元素提取、當前態勢分析和未來態勢預測幾個部分，主要涵蓋以下幾個方面：

a)在一定的網絡環境下，提取進行態勢估計要考慮的各要素，為態勢推理做好準備；

b)分析并確定事件發生的深層次原因，給出對所監控網絡當前態勢的理解或綜合評價；

c)已知T時刻發生的事件，預測T+1，T+2，…，T+n時刻可能發生的事件，進而確定網絡態勢的發展趨勢。

態勢感知的結果是形成態勢分析報告和網絡綜合態勢圖，以不同圖標表示不同網絡狀態，使管理員能直觀了解網絡安全狀況，提供輔助決策信息。網絡態勢的評估結果是一個數值，根據不同的閾值區間，對應不同的安全等級。規范化定義的安全態勢分為紅、橙、黃、藍、綠，并且定義了各層代表的具體含義、層次之間轉換時需要采用的各項措施等。

為了對宏觀網絡的安全態勢進行有效評估和預測，系統結合網絡自身的特征，提出了四套相互關聯，且覆蓋了整個網絡各個層面的指標體系[2，3]，包括脆弱、容災、威脅、穩定四個方面，這四個指標體系定量描述了網絡各個部分的特征。

系統在安全態勢規范化定義的基礎上，對輸入的20個網絡安全指標和其綜合出來的四個綜合指數進行評估，得出網絡的安全態勢。

整個態勢感知過程包括理解模塊和決策支持，可以用如圖1所示的模型直觀表示。

系統通過對實時提取的網絡特征值進行綜合計算得出定量描述的網絡總體狀態的安全態勢值，這是一個基于時間序列的數據集，從而可以利用支持向量回歸算法進行分析計算。

2 支持向量回歸算法[4]

支持向量回歸算法的基本原理是通過一個非線性映射φ將數據Xi映射到一個高維特征空間F，并在此空間上進行線性回歸，從而將低維特征空間的非線性回歸問題轉換為高維特征空間的線性回歸問題來解決。

根據統計學原理確定的回歸函數為

f(x)=(ω，φ(x))+b(1)

其中φ:Rn→F，ω∈F。(ω，φ(x))表示內積；φ為Rm空間到F空間的非線性映射，X∈Rm；ω為權向量，ω∈F；b為偏置。

傳統的回歸問題解決方法是確定函數f，使得經驗風險最小化。通過SVM解決回歸問題是使經驗風險與置信風險（模型的復雜度）之和最小，因而預測模型具有很好的函數逼近能力和泛化能力。如果已確定式(1)中的φ(x)，利用樣本數據(Xi，Yi)使得式（2）泛函最小化，則可確定式(1)中的ω和b的估計值。

Rreg[f]=Remp[f]+λ‖ω‖2=Si=1C(ei)+λ‖ω‖2(2)

其中：Remp[f]為經驗風險；‖ω‖2為置信風險；C(ei)為模型的經驗損失，C為損失函數，ei=f(Xi)-Yi=Y^i-Yi為樣本的預測值與真實值之差；S為樣本容量。由于φ是固定的，‖ω‖2反映了模型在高維特征空間的復雜性，其值越小則置信風險越小。λ是用于控制樣本訓練損失與模型復雜性折中的正則化參數。

對于給定的損失函數，該問題可作為一個二次規劃問題解決。定義函數如下：

|y-f(x)|ε=max(0，|y-f(x)|-ε)(3)

其中：ε用于控制回歸逼近誤差寬度，控制支持向量的個數和泛化能力，其值越小，精度越高，支持向量數越多，但泛化能力減弱。采用該損失函數經驗風險為

Rεemp[f]=1/sSi=1|y-f(x)|ε(4)

因此求解式(2)等價于求解如下優化問題：

min L=1/2 ωT ω+CSi=1(ξ*i+ξi)

s.t.yi-(ω，φ(Xi))-b≤ε+ξ*i

(ω，φ(Xi))+b-yi≤ε+ξ*i

ξi，ξ*i≥0(5)

其中C=1/λ。

為便于求解，將該二次規劃（優化）問題轉換為其對偶問題得：

max J=1/2 (αi-α*i)(αj-α*j)(φ(Xi)，φ(Xj))+

Si=1α*i(Yi-ε)-Si=1αi(Yi+ε)(6)

s.t.0≤α*i≤C

Si=1αi=Si=1α*i

0≤αi≤C

求解可得ω=Si=1(αi-α*i)φ(Xi)，b可由任一支持向量代入求得，則可得非線性函數f:

f(x)=li=1(αi-α*i)K(Xi，X)+b(7)

對于核函數的選擇通常包括以下幾種：

a)多項式函數：K（x，y）=(x×y+1)d，d=1，2，…

b)徑向基函數：K(x，y)=exp(-‖x-y‖2/σ2)

c)Sigmoid函數：K(x，y)=tan h[b×(x×y)+θ]

系統中選擇徑向基函數作為核函數。

3 預測模型設計

態勢感知系統實時在線運行，每次處理采集數據，計算網絡安全態勢值的時間間隔是1 h，從而形成一個時間序列的數據集。

預測模型首先對最近一段固定時間段的數據集數據進行歸一化處理，在此基礎上構造樣本數據，將樣本數據劃分為N維向量。其中前m維為預測函數輸入向量，后n維為輸出向量（N=m + n），一組(m， n)構成一個訓練數據對。然后初始化模型訓練參數，通過形成的訓練數據對預測模型進行訓練，具體過程即是求解式(6)中所述的二次規劃方程。通過交叉檢驗方法優化選擇正則化參數和誤差控制參數，從而確定預測模型的各項參數。

在預測模型確定后，將最近的m個態勢值設置為輸入樣本，即預測時所需的輸入值，代入預測模型中進行計算，從而得出n維預測值。

4 實驗結果及分析

針對設計的SVR預測模型，在VC8.0的環境下進行訓練與測試的實驗。構造的預測函數輸入向量m=4，輸出向量n=1。SVR的核函數選擇為徑向基函數，正則化參數和誤差控制參數采用交叉檢驗方法進行優化選擇，本項目中取值為C=500，ε=1/1 000。

對于RBF神經網絡，采用三層結構的m-h-n結構的RBF網，即網絡具有m個輸入，h個隱節點，n個輸出。采用K-均值聚類算法確定隱含層徑向基函數的中心，聚類的個數同時確定了隱含層節點的個數。網絡的權值學習調整采用最小二乘遞推法RLS。

原始網絡數據為國家計算機網絡安全中心提供的重慶地區網絡數據。在將這些信息轉換為指標格式后，以1 h為單位對網絡態勢進行評估，得到了2007年10月19~25日的該地區網絡態勢值，從中取出19日~24日的態勢值作為訓練樣本。實際的網絡態勢值、SVR預測算法和RBF神經網絡預測算法的計算結果分別如圖2所示。

由于RBF神經網絡算法中的關鍵參數、隱含層徑向基函數的中心數值是根據對評估結果的聚類算法來確定的。在實時在線的網絡安全態勢評估應用中，聚類算法容易陷入局部最優化問題，同時容易將某些態勢的變化作為孤立類，使得數據處理不當，從而導致整個RBF神經網絡的解結果不穩定，如出現圖2所示預測值相對實際態勢結果的滯后反應。

SVR算法具有很好的函數逼近能力和泛化能力，避免了這個問題的產生。根據實驗數據分析計算，SVR算法預測值的平均絕對誤差小于0.02，預測偏差度控制在8%以內，具有較高的準確率，圖示中預測值與實際值的曲線發展方向也完全一致，達到了準確預測網絡安全態勢結果的目的。

5 結束語

本文針對宏觀網絡安全態勢感知系統中針對實時在線的網絡態勢值的預測算法研究，提出了通過支持向量回歸技術對網絡安全態勢值進行預測，并相對RBF神經網絡預測算法進行了實驗比較。結果表明，SVR算法有效避免了RBF神經網絡在實時預測運行時容易出現的解結果不穩定現象，預測的絕對誤差小，保證了預測的正確趨勢。該方法能準確地預測網絡態勢的發展趨勢，為管理員制定安全策略提供有價值的參考。管理員便可根據趨勢的變化制定針對性策略，從而對網絡進行有效監控。但是，對于預測算法效率的提高及網絡態勢值計算的標準化還有大量的工作要做，有待于日后進一步解決和完善。

參考文獻：

［1］

任偉， 蔣興浩，孫錟鋒.基于RBF神經網絡的網絡安全態勢預測方法[J].計算機工程與應用，2006，42（31）:136-138.

［2］葉李，王娟，秦志光.用灰色優勢分析確定網絡安全評估指標[J].電子科技大學學報，2007，36(6): 1195-1197.

［3］王娟，張鳳荔，傅翀，等.網絡態勢感知中的指標體系研究[J].計算機應用，2007，27(8):1907-1909.

［4］CRISTIANINI N，TAYLOR J S.支持向量機導論[M].李國正，王猛，曾華軍，譯.北京: 電子工業出版社，2005.

［5］黃虎，嚴余松，蔣葛夫，等.基于支持向量回歸機的公路貨運量預測模型[J].計算機應用研究，2008，25(2):632-633.

［6］蔣琰.基于NetFlow的網絡數據流量分析與異常檢測系統的研究與實現[D]. 上海: 同濟大學電子與信息工程學院，2006.

［7］BASS T.Intrusion detection systems multisensor data fusion: creating cyberspace situational awareness[J].Communications of the ACM，2000，43（4）:99-105.

［8］LY T C.Multiple hypotheses situation assessment[C]//Proc of the 6th International Conference on Information Fusion.2004：972-978.

［9］ENDSLEY M R.Design and evaluation for situation awareness enhancement[C]//Proc of the 32nd Human Factors Society Annual Meeting.1998:97-101.

［10］SMOLA A J，SCHOELKOPF B.A tutorial on support vector regression [J].Statistic and Computing，2004，14(3): 199-222.