基于PSO-SVR的網絡態勢預測模型

王 瑞李芯蕊馬雙斌

1(甘肅省公安廳網絡安全保衛總隊 蘭州 730030)2(蘭州大學甘肅省信息安全等級保護測評中心 蘭州 730030)3(蘭州大學應用技術研究院有限責任公司 蘭州 730030)(313916914@qq.com)

隨著網絡的發展，各行業經營模式的互聯網化，使得網絡成為我們生活中不可或缺的一部分.同時，網絡安全問題也日益嚴峻，最近的勒索病毒更是對我們的一個嚴重警告，時時刻刻提醒著我們生活的網絡環境仍然存在著很大的不安全性以及不確定性.網絡安全態勢預測(network situation prediction)是指在一定環境下，基于當前的網絡安全態勢的評估值和以前的一段時間周期內的歷史評估數據，通過具有有效規則的網絡安全態勢值來表達網絡運行的安全狀況，模擬相同條件下下一時間周期的安全態勢宏觀變化情況，給網絡管理員提供必要的安全防范策略決策支持.網絡安全態勢的概念于1999 年由Bass[1]正式提出，并構建了基于多傳感器數據融合的網絡安全態勢感知模型.隨后，國內外許多研究者投入大量精力對網絡安全態勢預測的相關理論及實踐進行研究：Lai等人[2]提出附加權重的GM(1,1)預測模型對網絡態勢進行預測的方法；在Bao等人[3]提出的入侵意圖的基礎上，針對多步攻擊的預測算法，謝麗霞等人[4]通過自適應遺傳算法優化RBF神經網絡的參數，并建立預測模型對網絡態勢進行感知；唐成華等人[5]針對態勢評估性能所存在的問題，提出了DS融合知識的評估方法.

目前網絡安全態勢預測模型主要有灰色理論預測模型、回歸分析預測模型和神經網絡預測模型.灰色理論預測模型具有很強的適用性，同時其算法簡單且易于實現.灰色模型計算工作量小，并且可以通過對少量樣本的分析來體現網絡的安全態勢[6].但是，灰色理論模型預測的精度不高，具有較大誤差，僅能反映基本的網絡安全的未來走勢，導致其應用范圍狹窄，具有很大的局限性和不科學性.回歸分析預測模型在時間上表現了很好的相關性，它能根據歷史自變量值來估計因變量的總體平均值.同時，在預測結果方面，回歸分析預測模型也體現了因變量的隨機性及周期性.但是，回歸分析預測模型也有一定的不足之處，它需要繁多的人工操作，對于中長期的情況，該方法效果并不理想.神經網絡是在現代神經科學的基礎上提出和發展起來的，它是由神經元作為基本單位，大量的微處理單元連接而成的復雜的、能夠進行任務并行處理的系統.它通過非線性的方式將復雜的問題進行轉換，隨后通過超強的自組織、自學習能力，建立模型來處理不精確、模糊或海量的信息.但是神經網路方法需要較長的訓練時間，消耗比較大，容易受到主觀因素的影響，陷入局部極小值[7]，影響結果的客觀性.

1 支持向量機

支持向量機是由Corinna Cortes和Vladimir Vapnik在1995年提出，它是一種監督學習模型，可用來進行數據分類、回歸分析以及孤立點檢測等應用.其優勢在于它在高維空間中有效，且通過核機制的引入，能有效執行非線性分類的情況，針對線性不可分情況，引入核函數有效克服維數災難[7].支持向量機的另一個特點在于它是把結構風險最小化，可以有效解決易陷入局部最小和過學習的問題.

支持向量機的結構示意圖如圖1所示：

圖1 支持向量機的結構示意圖

在圖1所示支持向量機的結構中，要選擇滿足下述定理1的特征的核函數，將非線性的輸入隱式映射到高維的特征空間中.

定理1[8]. 若對稱函數K(μ,υ)能以正系數αk>0展開成

(1)

其充要條件為K(μ,υ)是某個特征空間中的內積，在使g≠0條件下：

(2)

?K(μ,υ)g(μ)dμdμ>0

(3)

成立.

1.4.2 現有居家養老服務難以滿足農村老人醫療護理服務需求 隨著經濟社會發展以及醫療技術水平的提高，在帶來老年人壽命延長的同時，也導致了老年人群的殘障比增加。據第六次人口普查資料顯示（圖3），隨著年齡的增長，農村自評為健康的老年人下降明顯，失能、失智的老年人數目不斷增加。同時，由于長時間從事重體力勞動、又缺乏體檢等預防性觀念，農村老年人的健康狀況與城市相比較差，農村老人存在“潛在的”醫療服務需求，但是農村醫療資源相對缺乏、供給缺位，不利于農村居家養老服務項目和服務內容的拓展。

2 粒子群優化支持向量機

核函數和懲罰函數都具有可調節性，對支持向量機模型的建立起著至關重要的作用.選擇合適的核函數將數據投影到比較合適的特征空間后才能使用支持向量機進行分類和預測[9].根據數據樣本的規模和特點，并針對本文的網絡態勢預測問題，可以選擇粒子群算法來優化支持向量機的參數.在解決網絡搜索算法受限的問題上，粒子群算法和遺傳算法都可以作為優化算法，但粒子群算法未使用交叉和變異操作，簡化了操作步驟，提高了效率.

每個優化問題的潛在解其實就是粒子群算法的“粒子”，可以把它當作一個D維搜索空間上的點.

粒子群算法(particle swarm optimization)的基本原理可以描述為：假設在D維搜索空間中共有n個粒子以一定的速度在飛行，選取種群X=(X1,X2,…,Xn)，第i個粒子的位置為Xi=(xi 1,xi 2,…,xi n)，第i個粒子的速度為Vi=(vi 1,vi 2,…,vi D).根據目標函數計算出Xi對應的適應度值，其中Pi=(pi 1,pi 2,…,pi D)為其個體極值，種群的全局極值為Pg=(pg 1,pg 2,…,pg D).粒子的速度和位置的更新公式為

vi j(t+1)=wvi j(t)+c1r1(pi j(t)-
xi j(t))+c2r2,

(4)

xi j(t+1)=xi j(t)+vi j(t+1),

(5)

其中，w為慣性權重，i=1,2,…,n，j=1,2,…,d.

可以得到粒子群優化參數選優的具體過程為[10]：

Step1. 根據適應度函數評價粒子，直到滿足停止迭代條件，其中適應度函數是根據交叉驗證意義下的誤差確定;

Step2. 初始化具有n個粒子數目的種群，設定空間位置和速度、最大迭代次數kmax、慣性權重w、學習因子c1,c2以及終止條件;

Step3. 求種群中每個粒子的適應度值;

Step4. 比較每個粒子的適應值和經過位置pbesti；效果好，作為當前最優位置pbesti；否則，保持原位置;

Step5. 比較每個粒子適應值和全局所經歷的最優位置gbest，效果好，則將其作為種群經歷的最優位置gbest;

Step6. 按照式(4)(5)對粒子速度和位置進行更新;

Step7.判斷是否符合終止條件，若滿足則輸出，否則轉Step3;我們把循環終止條件設為達到最大迭代次數genmax.

3 建立PSO-SVR預測模型

本文取絕對誤差、平均絕對誤差、平均相對誤差和平均平方根誤差作為實驗的評價指標；這些值越小，說明預測得越準確.

本文采用的實驗數據來自國家互聯網應急中心網站上公布的態勢報告，我們分別選取5個影響安全態勢的因素：主機數量-感染病毒、網站數量-被篡改、網站總數-被植入后門、網站數量-仿冒頁面和信息安全漏洞數量-新增.安全級別可分為：優、良、中、差、危.將安全態勢轉換為數字表示，如表1所示:

表1 安全態勢與數字對應表

本文提出了基于PSO-SVR的網絡態勢預測模型，將過去和現在的統計指標數據進行歸一化處理，形成歷史網絡態勢值，將該值經過模型訓練和測試后，可以達到預測未來的網絡態勢值的目的.在本文中我們取100周的態勢報告，形成100組數據.取前90周作為訓練，后10周作為模型預測.數據集中包含5個特征和1個標簽.

4 模型預測結果

網絡態勢實際值和預測值的對比如表2所示：

表2 網絡態勢實際值和預測值的對比

使用PSO-SVR模型測試樣本的網絡態勢預測曲線圖如圖2所示：

圖2 網絡態勢預測曲線圖

預測結果的絕對誤差曲線圖如圖3所示:

圖3 絕對誤差曲線圖

用評價指標對預測的結果進行定性的評判，得到各評價指標的值如表3所示：

表3 網絡態勢實際值和預測值的對比

從表2、圖2和圖3可得：本文提出的模型對實驗過程中所取的測試樣本的預測值與實際態勢值的基本相符，通過對實驗結果的分析，可以得出本文所提出的模型有較好的預測準確度，能夠符合網絡安全態勢預測技術的要求.

5 結 論

本文使用PSO優化SVR參數對網絡安全態勢進行預測.該預測模型能得到與真實值誤差較小的預測值，擬合性較好.實驗表明，PSO-SVR預測模型可以較好地預測網絡態勢，取得了較好的效果，增強網絡安全防御的主動性，降低網絡攻擊給人們帶來的損失，實用范圍廣泛.