基于D-S證據理論的網絡安全態勢預測研究

裴廣利 趙建平 王歡 長春理工大學

基于D-S證據理論的網絡安全態勢預測研究

裴廣利 趙建平 王歡 長春理工大學

本文在針對國家網絡安全態勢預測問題的研究中的傳統的單項預測模型的預測精度不高，實時性差的問題，綜合了各個單項預測模型的優點，并且提出了一種新的組合預測的方法，最后進行仿真驗證，結果表明組合預測方法具有更高的預測精度。

D-S證據理論 網絡安全 態勢預測 組合預測

1 D-S證據理論概述

1967年Dempster首先提出的D-S證據理論。后期中，通過他的學生Shafer結合自己的研究成果對證據理論進行不斷的完善和補充，形成了現在的D-S證據理論。

2 實驗數據樣本

為了保證實驗數據的多源性和有效性，我們選取了HoneyNet最新公布的網絡攻擊數據，以確保數據能夠反映出最原始的攻擊行為，對這些數據進行收集與分析，并且進行仿真實驗。

Honey Net項目2015年9月1日至10日的告警信息統計表

3 時間序列ARIMA預測模型

時間序列就是將按照時間的先后對獲取的數據形成的一些數列，然后根據時間的走勢包括未來的發展過程以及發展趨勢來推斷和預測未來的發展。

根據時間序列各數據之間存在的相關性對其進行建模，然后將其應用到網絡安全態勢預測領域。

時間序列預測模型

優點：時間序列預測模型可以通過時間發展的趨勢和過程來推測一些沒有規則性的事務，并且進行預測值之間的關聯性。所以一般用它來進行動態預測。

根據已知的t個時期的時間序列觀測值

那么預測的誤差為

模型中，我們需要先進行平穩性的檢驗，由于時間序列是非平穩的等一系列的原因，需要對原來的模型進行一階差分處理，消除不平穩的因素，可以采用AIC準則，作為模型的選擇標準，我們選擇了ARIMA預測模型，并且通過介紹的這個模型，我們可以用它來預測未來幾天的網絡安全態勢值。

上述實驗，反映出了ARIMA模型對未來網絡安全態勢的預測。但是，由于它自身的缺陷，和真實值對比有會出現少量的誤差，下面進行誤差分析

ARIMA預測模型結果誤差分析

時間序號 態勢預測值 態勢真實值 誤差比6 2．9 3 10．6%7 39 30 34．15%8 32 29 20．13%9 47 53 33．25%10 27 20 32．41%

4 灰色Verhulst預測模型

優點：灰色Verhulst模型的好處就是可以檢測到離散的、原始的數據，通過一系列的累加處理，得到一個序列，然后計算序列的值，近幾年來，得到了研究者的廣泛應用。

Verhulst模型可以表示為

p(t)設置為阻尼項，b設置為常數，然后對這個非線性微分方程進行求解，得：

其中 t為初始時刻，p(t)為表示在t時刻的值，即數列初始值。

設有網絡安全態勢值序列X，通過計算得到一階累加數列X和平均值生成序列Z(1)。

則灰色Verhulst預測模型為：

通過網絡攻擊數據生成的網絡攻擊序列值，得到該模型的 a、b 的值：a=0．4237，b=0．0249，則此刻時間響應式為

Verhulst模型預測結果

灰色Verhulst模型預測結果誤差分析

序號 態勢預測值 態勢真實值 誤差比6 0 0 0%7 33 30 14．15%8 38 29 30．13%9 45 55 23．25%10 27 20 22．41%

5 Elman神經網絡預測模型

優點：在Elman神經網絡的分層結構中。每一個層都是互相關聯的，它能能夠得到類似前饋網絡，并且可以傳遞非線性傳遞函數，能夠進行更高的態勢預測。

設定f(x)、g(x)分別為兩個層中相對應的函數。w(k)表示k時刻承接層和隱含層之間的連接權值，X(k)分別表示k時刻表示為承接層與層單元單元之間的輸出，w(k)則表示k時刻層與層之間的連接權值。

Elman模型的預測結果

Elman預測模型結果誤差分析

序號 預測值 真實值 誤差比6 2 2 0%7 33 30 24．15%8 37 29 25．13%9 49 55 33．25%10 31 19 42．41%

進行組合預測的第一步，就是要對各個模型的權重進行提取，課題中使用的是權重提取模型。

假定我們根據情況設定這三種預測模型的結果分別是P1,P2,P3,P4，設定前幾天的的安全態勢為SA，那么這幾種預測模型的預測誤差就分別為e1,e2,e3,e4,則：

設定w1,w2,w3和w4分別為四種預測模型各自對應的權重，則組合預測模型的預測值可以表示為：

預測的總誤差E為：

誤差的方差D(E)為：

其次就是多模型權重的融合模型

前四種單項預測的網絡安全態勢預測值為p1,p2,p3和p4，其中對應的權值為w1,w2,w3,w4在識別框架中可以建立基本可信度分配m，則融合過程如下：

其中：

根據結果我們可以將預測到的安全態勢結果和其信度函數進行信息融合，然后將融合的結果和下一天的網絡安全態勢值對應的信度函數來進行第二次的信息融合，以此類推，直到推測出后面五天的網絡安全態勢值。

6 結束語

本文在研究的基礎上總結網絡安全態勢預測模型中單項預測模型的特點，分別進行分析，設計出組合預測模型，通過數據提取、融合，來進行模型的實驗仿真。從實驗可以看出，預測精度較以往得到了大大的提高。

[1]吳國強.網絡安全評估的研究[J].信息安全與技術，2012，(1):10-12,24.

[2] 孫寧. 網絡化系統安全態勢評估設計及態勢融合技術模型研究[D]. 蘭州：蘭州理工大學.2007.

[3] Haoliang Zhang, Jinqiao Shi, Xiaojun Chen. A Multi-Level Analysis Framework in Network Security Situation Awareness[J]. Procedia Computer Science, 2013, 17:530-536.

[4]Tiago P.F.Lima；Teresa B.Ludermir.An antomatic method for construction of ensembles to time series prediction[J]. International Journal of Hybrid Intelligent Systems.2013, 10(4):191-203.

裴廣利，男，1990年7月4日出生，漢族，現就讀于長春理工大學、碩士學位，研究方向為云計算及物聯網技術。