基于布谷鳥搜索優化BP神經網絡的網絡安全態勢評估方法

謝麗霞，王志華

(中國民航大學 計算機科學與技術學院，天津 300300) (*通信作者電子郵箱lxxie@126.com)

基于布谷鳥搜索優化BP神經網絡的網絡安全態勢評估方法

謝麗霞*，王志華

(中國民航大學 計算機科學與技術學院，天津 300300) (*通信作者電子郵箱lxxie@126.com)

針對現有基于神經網絡的網絡安全態勢評估方法效率低等問題，提出基于布谷鳥搜索(CS)優化反向傳播(BP)神經網絡(CSBPNN)的網絡安全態勢評估方法。首先，根據態勢輸入指標數和輸出態勢值確定BP神經網絡(BPNN)的輸入輸出節點數，根據經驗公式和試湊法計算出隱含層節點數；然后，隨機初始化各層的連接權值和閾值，使用浮點數編碼方式將權值與閾值編碼成布谷鳥；最后，使用CS算法對權值和閾值進行優化，得到用于態勢評估的CSBPNN模型并對其進行訓練，將網絡安全態勢數據輸入到CSBPNN模型中，獲取網絡的安全態勢值。實驗結果表明，與BPNN和遺傳算法優化BP神經網絡方法相比，基于CSBPNN的網絡安全態勢評估方法的迭代代數分別減少943和47且預測精度提高8.06個百分點和3.89個百分點，所提方法具有較快的收斂速度和較高的預測精度。

態勢評估；網絡安全；布谷鳥搜索；神經網絡；高精度

0 引言

近年來，隨著互聯網的發展，網絡攻擊技術和手段日新月異，各種網絡安全事件充斥網絡空間。傳統的網絡安全設備往往只關注某一方面的安全問題，不能從整體上反映網絡的安全狀況。在此背景下，網絡安全態勢評估技術應運而生，它能整體上感知網絡的安全狀況，為網絡管理人員提供決策幫助。

自Base[1]提出網絡安全態勢感知的概念以來，網絡安全態勢評估一直是態勢感知研究的重點[2]，但相關理論仍不完善，還沒有一種態勢評估方法在實際網絡環境中發揮出至關重要的作用。目前，找出一種高效的態勢評估方法成為態勢感知研究的重點。

Keramati等[3]提出一種使用通用漏洞評分系統的評分平均值和路徑長度的比值來計算攻擊可達性的評估方法，該方法可以定量分析網絡安全并計算網絡上的損失。汪永偉等[4]提出基于改進證據理論的態勢評估方法，通過相異計算對證據重要性修正后進行態勢融合獲取網絡態勢值。Szwed等[5]提出基于模糊認知圖的評估方法，該方法利用模糊認知圖獲取網絡中重要資產的依賴關系并進行危害程度評估。上述方法具有較強的主觀性且數據來源較為單一，存在較大的虛假報警率且評估的誤差較大。

陳麗莎[6]提出結合反向傳播(Back Propagation, BP)神經網絡與查找法的態勢評估方法，運用BP神經網絡(Back Propagation Neural Network, BPNN)評估網絡的威脅性、穩定性、容災性和脆弱性，然后使用等級矩陣得到網絡的態勢等級。Zhang等[7]對比基于BP神經網絡和基于徑向基(Radial Basis Function, RBF)網絡的態勢預測方法，實驗結果表明BP神經網絡的預測效率較高。黃亮亮[8]提出基于粒子群優化(Particle Swarm Optimization, PSO)優化RBF網絡的方法實現網絡安全態勢預測，設計PSO-RBF網絡模型對歷史數據分析并映射出未來的網絡態勢值。上述方法均是基于神經網絡且數據來源多樣，使得研究結果客觀性較強，但網絡的訓練時間過長且評估結果的精度不足。

針對現有基于神經網絡的網絡安全態勢評估方法效率低的問題，本文提出一種基于布谷鳥搜索優化BP神經網絡(Cuckoo Search optimized Back Propagation Neural Network， CSBPNN)的網絡安全態勢評估方法，該方法在訓練階段收斂速度快，評估階段精度高。與基于BP神經網絡和基于遺傳算法優化BPNN的網絡安全態勢評估方法相比，所提方法具有較快的評估速度和較高的精度。

1 CSBPNN評估模型

1.1 設計思想

利用BP神經網絡強大的非線性映射能力解決態勢評估中態勢數據與態勢值關系不確定的問題，從態勢數據中發現規律，推理出態勢值，使網絡安全態勢評估系統更靈活。針對隨機初始化BP神經網絡的權值和閾值容易造成網絡收斂速度慢、陷入局部極小值等問題，本文使用布谷鳥搜索(Cuckoo Search, CS)算法優化BP神經網絡的權值和閾值，獲得最優的權值和閾值使CSBPNN模型評估結果更準確。

1.2 態勢評估模型設計

BP神經網絡作為前饋型網絡的一種，是目前應用最為廣泛的網絡[9]。權值和閾值隨機分配下的BP神經網絡的訓練時間一般較長，經過訓練得到的權值和閾值也可能并非最優，本文采用CS算法尋找最優的權值和閾值。CS算法是群智能技術的典型搜索算法，為BP神經網絡參數優化提供了一種新的研究工具[10]，對CS算法與PSO算法、人工蜂群(Artificial Bee Colony, ABC)算法進行了比較研究，結果表明CS算法尋找基準測試函數全局最優值的時間復雜度比PSO和ABC算法低且獲取最優值的成功率高[11]。

本文結合網絡安全態勢評估的特點，設計了CSBPNN模型，如圖1所示。

圖1 CSBPNN網絡安全態勢評估模型

該模型由態勢數據輸入、態勢映射和態勢輸出部分組成，各部分的功能設計如下。

1)態勢數據輸入。分時段收集網絡中節點的態勢相關數據，每段時間收集的數據(態勢數據1，態勢數據2，…，態勢數據n)作為態勢輸入部分的一組輸入數據。

2)態勢數據映射。該部分由三層組成：輸入層、隱含層和輸出層。輸入層從態勢輸入部分獲取輸入數據，這些數據經過隱含層的運算得到隱含層的輸出，然后經過輸出層的運算得到輸出層的輸出，態勢數據映射完成。

輸入層的節點數與輸入數據數相同；輸出層的節點數與態勢評估結果數相同；隱含層數可以根據需要進行設置，但是層數越多、網絡越復雜，則訓練時間越長，不能滿足實際應用的需求，因此，采用一個隱含層并增加隱含層節點個數的設計方式，既可滿足實際應用的需求又能提高網絡的準確度。采用試湊法設置隱含層節點的個數，首先使用經驗公式設置較少的隱節點，然后每次增加等量的隱節點，在使用同一樣本集的前提下，選取訓練誤差最小時對應的節點數。初始隱節點數m為：

(1)

其中：n代表輸入層節點個數；l代表輸出層節點個數；δ代表0～10的常數；當(n+l)的開方是小數時，在滿足精度要求的前提下，選取盡可能少的隱含層節點數m[9]。

設輸入層有i個節點，隱含層有j個節點，輸出層有k個節點；輸入層到隱含層之間有連接權值wij，隱含層有閾值θj；隱含層到輸出層有連接權值vjk，輸出層有閾值rk；第j個隱含層節點的輸出值yj，第k個輸出層節點的輸出值yk，則：

(2)

(3)

式(2)和(3)中，f(x)為sigmoid函數，sigmoid函數是標準的BP神經網絡傳遞函數，它與生物神經元信息處理的真實反映非常相似且有一個簡單的導數，對開放學習算法十分有用；xi為輸入層輸入。

3)態勢數據輸出。接收態勢映射部分傳遞過來的值，該值即為某時段網絡的態勢值。

2 網絡安全態勢評估

2.1 布谷鳥編碼及適應度函數設計

網絡安全態勢評估的目的是完成態勢數據集到態勢結果集的映射，主要包括態勢數據的感知、獲取和評估計算，給出對網絡安全狀況的判斷性結果。在本文的態勢評估方法中，首先解決的是布谷鳥編碼和適應度函數設計兩個問題。

1)布谷鳥編碼方式。浮點數編碼直觀且具有編碼長度易控制、編碼精度高且大空間搜索能力強等特點，有利于處理多維及高精度連續函數，并可降低計算復雜性、提高運算效率，故本文采用浮點數編碼。

設網絡的輸入層節點數M，隱含層節點數I，輸出層節點數J，輸入層到隱含層矩陣W，隱含層到輸出層權值矩陣V，隱含層閾值矩陣θ，輸出層閾值矩陣r。所有權值和閾值共同編碼成一只布谷鳥，則布谷鳥的編碼為：

W11W21…WM1V11V21…V1Jθ1…W1IW2I…WMIVI1VI2 …VIJθIr1…rJ

(4)

2)適應度函數設計。適應度是衡量群體中個體好壞的依據，適應度值越高代表該個體越接近最優解。適應度函數的設計方案有3種：第1種是直接將目標函數作為適應度函數；第2種是對目標函數作一次加運算；第3種是對目標函數作一次加運算后取倒數。本文結合BP神經網絡總誤差越小越好的特點選用第3種設計方案。設BP神經網絡的總誤差E小于ε；I是隱含節點總數；M是輸入節點總數；第k個輸出節點的期望輸出為dk和實際輸出yk，則：

(5)

本文選用的第3種適應度函數設計方案表示為：

(6)

此外，本文的態勢評估方法還考慮了參數設計的問題。由于種群規模和發現概率是CS算法的兩個重要參數，當種群規模從5變化到50再到500，發現概率從0變化到0.1再到0.5的過程中，收斂率先變大再趨于穩定[10]。當種群規模設置較大時，收斂率略有提高但消耗了更多的時間和資源。Yi等[12]對CS算法選取不同的種群規模和發現概率進行實驗驗證，當種群規模為50，發現概率為0.1時，預測的準確率達到最高。綜上所述，種群規模選取50，發現概率選取0.1。

2.2 網絡安全態勢評估流程設計

基于CSBPNN的網絡安全態勢評估流程如圖2所示。

圖2 態勢評估流程

基于CSBPNN的網絡安全態勢評估步驟設計如下。

步驟1 收集網絡中各節點的態勢相關數據，剔除不完整的數據，獲取流量、數據包等網絡參數進行處理，產生CSBPNN模型的輸入數據。

(7)

Levy(λ)～u=t-λ; 1<λ<3

(8)

步驟5 判斷最優布谷鳥是否滿足條件或者迭代代數是否達到要求，如果是，則將最優布谷鳥解碼獲取最優的權值、閾值，賦給CSBPNN模型；反之，則執行步驟3。

步驟6 將態勢輸入數據作為CSBPNN模型的輸入，將態勢值作為CSBPNN模型的輸出，用足夠多的樣本訓練CSBPNN模型，完成態勢數據到態勢值的映射。

步驟7 將態勢指標數據輸入到具有評估能力的CSBPNN模型中，經過映射得到網絡的態勢值。

3 實驗結果與分析

3.1 實驗環境和步驟

3.1.1 實驗環境

本文搭建的實驗環境如圖3所示，包括8臺主機、5個網絡組件和snort入侵檢測系統，其中4臺主機模擬服務器，服務器具體配置參數見表1。圖3中用戶和攻擊者均可訪問該網絡中的主機[13]。

表1 主機配置

3.1.2 實驗步驟

本文實驗步驟設計如下：

1)正常用戶持續訪問Host1(IIS Web Server)、Host3(FTP Server)和Host5(Main Database)；

2)攻擊者利用漏洞CVE- 2013- 5793對Main Database進行攻擊；

3)攻擊者利用漏洞CVE- 2011- 0762對FTP Server進行攻擊；

4)攻擊者利用漏洞CVE- 2006- 2753對Main Database進行攻擊；

5)攻擊者利用漏洞CVE- 2004- 2650對IIS Web Server進行攻擊；

6)攻擊者利用漏洞CVE- 2013- 5908對Main Database進行攻擊。

重復上述步驟，將snort收集的數據包記錄在數據庫名為snortdb的MySQL數據庫中。實驗結束后分時段獲取網絡數據并進行處理，作為態勢輸入數據。

圖3 實驗網絡拓撲

漏洞攻擊威脅終端的可用性，而主機可用性依賴于CPU、內存、磁盤空間的使用情況、網絡帶寬、網絡連接使用率和進程/線程的增減等[14]。通過分析數據包的變化情況可發現這些攻擊，因此本文選取與數據包相關的態勢數據指標(如表2所示)。

表2 態勢數據指標

本文參考國家互聯網應急中心網絡安全基本態勢指數，并結合網絡的威脅、漏洞等要素特點，將網絡安全態勢劃分為優、良、中、差、危五個等級并用[0,1)、[1,2.5)、[2.5,6)、[6,8)、[8,10)五個區間進行定量描述。

本文實驗模擬的是漏洞攻擊，實驗中設置的漏洞都用通用漏洞評分系統(Common Vulnerability Scoring System, CVSS)進行評分，使用漏洞的CVSS基礎分作為網絡的安全態勢值，旨在驗證所提出的CSBPNN方法的可行性和高效性。收集并處理得到100組數據，其中80組作為訓練數據，20組作為測試數據，部分數據樣本如表3所示。

3.2 CSBPNN態勢評估模型建立

本文使用Matlab R2012b軟件的神經網絡工具箱實現提出的CSBPNN模型。Matlab運行平臺配置如下：處理器Intel Core i5- 3570 CPU @3.40 GHz 3.40 GHz，已安裝內存(RAM)：4.00 GB(3.89 GB可用)。CSBPNN模型包括布谷鳥搜索最優權值閾值部分和BP神經網絡構造兩部分。在布谷鳥尋優部分，選取布谷鳥種群規模n=50，設定發現概率p=0.1，最大迭代代數為50；在BP神經網絡部分，由于輸入的態勢數據分別是傳輸控制協議(Transmission Control Protocol, TCP)包分布、TCP包字節數比重、用戶數據報協議(User Datagram Protocol, UDP)包分布、UDP包字節數比重、互聯網控制報文協議(Internet Control Message Protocol, ICMP)包分布、ICMP包字節數比重、流入流量變化率、流出流量變化率，則設定輸入層節點數8，隱含層節點數通過式(1)選取4，經試湊得節點數6，輸出層輸出為態勢值，輸出節點數1，傳遞函數為標準的sigmoid函數，最大迭代次數設定為1 000。

表3 數據樣本表

3.3 實驗結果與分析

圖4顯示CS算法在尋找最優布谷鳥過程中的適應度變化曲線。

圖4 布谷鳥個體適應度值變化曲線

從圖4可以看出，CS算法僅采用較小的種群規模，經迭代20次，適應度就收斂于最優。這表明CS算法僅消耗很小的資源便達到最優，CS算法達到了預期的效果，是高效可行的。

使用Matlab軟件實現基于遺傳算法優化BP神經網絡(Genetic Algorithm optimized Back Propagation Neural Network, GABPNN)的態勢評估方法和基于BPNN的態勢評估方法[15]，并與本文方法進行評估對比。當CSBPNN、BPNN和GABPNN訓練完成時迭代次數分別為57，1 000和104次。從結果可以得出，CSBPNN的迭代次數分別比BPNN和GABPNN少943和57次。由此可知，CSBPNN態勢評估方法的收斂速度較快。

在Matlab軟件中完成3種模型的訓練后，對實驗網絡后面時段的態勢進行評估。將剩余的20個樣本數據輸入到CSBPNN模型的輸入部分，經過態勢映射得到網絡當前的態勢值。同樣，應用GABPNN方法和BPNN方法對這20組數據進行評估計算。將3種方法獲取的20組網絡安全態勢值和網絡的實際態勢值(即漏洞的CVSS評分)比較(詳見圖5)。

從圖5可以看出，除樣本8和樣本15以外，本文方法對其他樣本的評估結果更加接近網絡實際的態勢值。評估結果的平均相對誤差M為：

其中：yk和dk為評估模型的輸出值和期望輸出值；n為測試樣本集。經計算得到BPNN、GABPNN和CSBPNN三種方法評估相對的誤差分別為12.14%、7.97%和4.08%。CSBPNN網絡安全態勢評估方法的相對誤差比BPNN和GABPNN分別低8.06和3.89個百分點，所提方法準確度較好，能夠更加精準地描述網絡的安全態勢。

圖5 態勢評估結果

綜上所述，CSBPNN比BPNN和GABPNN具有更快的收斂速度、更強的逼近能力以及更高的評估精度。

4 結語

近年來，神經網絡以其強大的非線性映射能力在態勢評估中發揮著重要作用，一些智能算法相繼被用于神經網絡來提高態勢評估的準確性和效率，本文提出CSBPNN方法使用CS算法對BP神經網絡的參數進行優化，得到用于態勢評估的CSBPNN模型，將網絡安全態勢數據輸入到CSBPNN中映射出網絡的安全態勢值。該方法能有效解決現有網絡安全態勢評估方法效率低的問題。未來可以通過調整CS算法的步長參數等方式使算法的收斂速度和解的質量進一步提高，使CSBPNN態勢評估方法達到更好的評估效果。

References)

[1] BASS T. Intrusion detection systems & multisensor data fusion [J]. Communications of the ACM, 2000, 42(4):99-105.

[2] 王坤,邱輝,楊豪璞.基于攻擊模式識別的網絡安全態勢評估方法[J].計算機應用,2016,36(1):194-198.(WANG K, QIU H, YANG H P. Network security situation evaluation method based on attack pattern recognition [J]. Journal of Computer Applications, 2016, 36(1): 194-198.)

[3] KERAMATI M, AKBARI A, KERAMATI M. CVSS-based security metrics for quantitative analysis of attack graphs [C]// ICCKE 2013: Proceedings of the 2013 International Conference on Computer and Knowledge Engineering. Piscataway, NJ: IEEE, 2013: 178-183.

[4] 汪永偉,劉育楠,趙榮彩,等.基于改進證據理論的態勢評估方法[J].計算機應用,2014,34(2):491-495.(WANG Y W, LIU Y N, ZHAO R C, et al. Situation assessment method based on improved evidence theory [J]. Journal of Computer Applications, 2014, 34(2): 491-495.)

[5] SZWED P, SKRZYNSKI P. A new lightweight method for security risk assessment based on fuzzy cognitive maps [J]. International Journal of Applied Mathematics and Computer Science, 2014, 24(1): 213-225.

[6] 陳麗莎.大規模網絡安全態勢評估模型研究[D].成都:電子科技大學,2008:27-49.(CHEN L S. Research on the model of large-scale network security situation awareness [D]. Chengdu: University of Electronic Science and Technology of China, 2008: 27-49.)

[7] ZHANG Y X, JIN S Y, CUI X, et al. Network security situation prediction based on BP and RBF neural network [C]// ISCTCS 2013: Proceedings of the 2013 International Standard Conference on Trustworthy Computing and Services. Berlin: Springer, 2013: 659-665.

[8] 黃亮亮.網絡安全態勢評估與預測方法的研究[D].蘭州:蘭州大學,2016:36-41.(HUANG L L. The study of assessment and prediction methods for network security situation [D]. Lanzhou: Lanzhou University, 2016: 36-41.)

[9] 吳昌友.神經網絡的研究及應用[D].哈爾濱:東北農業大學,2007:8-28.(WU C Y. The research and application on neural network [D]. Harbin: Northeast Agriculture University, 2007: 8-28.)

[10] YANG X S. Nature-Inspired Metaheuristic Algorithms [M]. 2nd ed. Bristol, UK: Luniver Press, 2010: 105-114.

[11] CIVICIOGLU P, BESDOK E. A conceptual comparison of the cuckoo-search, particle swarm optimization, differential evolution and artificial bee colony algorithms [J]. Artificial Intelligence Review, 2013, 39(4): 315-346.

[12] YI J H, XU W H, CHEN Y T. Novel back propagation optimization by cuckoo search algorithm [J]. The Scientific World Journal, 2014, 2014(1): Article ID 878262.

[13] 韋勇.網絡安全態勢評估模型研究[D].合肥:中國科學技術大學,2009:65-69.(WEI Y. Research on network security situation awareness model [D]. Hefei: University of Science and Technology of China, 2009: 65-69.)

[14] 陶敬,馬小博,趙娟,等.基于資源可用性的主機異常檢測[J].電子科技大學學報,2007,36(s3):1449-1452.(TAO J, MA X B, ZHAO J, et al. A method for host abnormal detection based on resource availability [J]. Journal of University of Electronic Science and Technology of China, 2007, 36(s3): 1449-1452.)

[15] 王小川.MATLAB神經網絡43個案例分析[M].北京:北京航空航天大學出版社,2013:1-32.(WANG X C. MATLAB Neural Network 43 Case Analysis [M]. Beijing: Beihang University Press, 2013: 1-32.)

This work is partially supported by the National Science and Technology Major Project (2012ZX03002002), the National Natural Science Foundation of China (60776807, 61179045), the Science and Technology Major Project of Tianjin (09JCZDJC16800), the Science and Technology Foundation of Civil Aviation of China (MHRD201009, MHRD201205).

XIELixia, born in 1974, M. S., associate professor. Her research interests include network and information security.

WANGZhihua, born in 1990, M. S. candidate. His research interests include network and information security.

Networksecuritysituationassessmentmethodbasedoncuckoosearchoptimizedbackpropagationneuralnetwork

XIE Lixia*, WANG Zhihua

(SchoolofComputerScienceandTechnology,CivilAviationUniversityofChina,Tianjin300300,China)

Aiming at the low efficiency of the existing network security situation assessment method based on neural network, a network security situation assessment method based on Cuckoo Search (CS) optimized Back Propagation (BP) Neural Network (CSBPNN) was proposed. Firstly, the numbers of input and output nodes of the BP Neural Network (BPNN) were determined according to the number of input index and the output value. The number of hidden layer nodes was calculated according to the empirical formula and the trial and error method. Secondly, the connection weights and thresholds were randomly initialized, and the weights and thresholds were coded into cuckoo by using floating point coding. Finally, the weights and thresholds were optimized by using CS algorithm. The CSBPNN model for situation assessment was got and trained. The situation data was input into the CSBPNN model to obtain the situation value. The experimental results show that the iterative number of CSBPNN is reduced by 943 and 47 respectively, and the prediction accuracy is 8.06 percentage points and 3.89 percentage points higher than that of BPNN and Genetic Algorithm (GA) optimized BP neural network. The proposed algorithm has faster convergence speed and higher prediction accuracy.

situation assessment; network security; Cuckoo Search (CS); neural network; high-precision

TP393.08

:A

2016- 12- 28;

:2017- 03- 11。

國家科技重大專項(2012ZX03002002)；國家自然科學基金資助項目(60776807，61179045)；天津市科技計劃重點項目(09JCZDJC16800)；中國民航科技基金資助項目(MHRD201009，MHRD201205)。

謝麗霞(1974—)，女，重慶人，副教授，碩士，CCF會員，主要研究方向：網絡與信息安全； 王志華(1990—)，男，河南鄭州人，碩士研究生，主要研究方向：網絡與信息安全。

1001- 9081(2017)07- 1926- 05

10.11772/j.issn.1001- 9081.2017.07.1926