基于極限學習機的網絡安全態勢預測模型

王 瑞李芯蕊馬雙斌

1(甘肅省公安廳網絡安全保衛總隊 蘭州 730030)2(蘭州大學甘肅省信息安全等級保護測評中心 蘭州 730030)2(蘭州大學應用技術研究院有限責任公司 蘭州 730030)(313916914@qq.com)

隨著互聯網的高速發展，網絡安全事件的逐年大幅遞增，使得網絡安全問題成為各國研究的熱點.網絡安全態勢預測是指對網絡安全原始數據進行采集后，使用信息識別技術提取網絡安全的態勢因子，運用合理的安全態勢預測方法得到網絡安全態勢值，并對網絡安全狀況進行預測[1].圍繞安全態勢要素、安全態勢預測和態勢可視化等進行研究；安全態勢預測技術是核心問題[2-3].

目前有很多文獻對網絡安全態勢預測方法進行研究，主要采用D-S理論、粗糙集理論、貝葉斯、神經網絡、嫡理論和專家系統等方法，都取得了一定的成果，對后續的研究工作起到了積極的指導作用.以Tim Bassb的理論為基礎，Salerno等人[4]提出通用的態勢感知的框架；Ames等人[5]將隱馬爾可夫模型運用到網絡安全態勢評估領域，通過當前網絡狀態計算網絡威脅值；美國的勞倫斯伯克利國家實驗室(Lawrence Berkeley National Lab)利用一種三維空間的視角對網絡流量進行描述，提高對威脅的感知能力[6]；韋勇等人[7]提出將通過各節點的網絡安全態勢值的結合，綜合評判節點所在網絡的安全態勢，其特點在于對節點日志信息的關聯分析，還通過節點的性能指標對相應的威脅權重進行修正；張勇等人[8]分析態勢感知中威脅的傳播規律，并建立Markov博弈模型對產生威脅的三方進行博弈推理，動態地評估網絡安全態勢.網絡安全態勢預測的研究對于提高網絡的監控能力、應急響應能力和預防干預能力都具有重要的意義.網絡安全態勢預測并不僅僅是對數據源進行預測，針對目前網絡安全態勢評估方法中的模型參數不容易獲取、模型消耗時間長且可信度不高等問題，本文綜合考慮網絡安全態勢的各方面因素，設計基于ELM的網絡安全態勢預測模型，可以直觀方便預測當前網絡安全態勢值，對當前網絡安全態勢有一個全面的把握.

1 極限學習機原理

極限學習機(ELM)的網絡模型結構圖如圖1所示.具有N個隱含神經元的單隱層前向神經網絡(SLFN)，可以學習N個具有任意小誤差的不同樣本，其輸入權重和隱含層偏差隨機分配.因此只需要調整輸出權重，而對輸入權重和隱層偏差的調整對SLFN的性能沒有貢獻.極限學習機(ELM)隨機選擇輸入權重和隱層偏差，然后可以獲得輸出權重.與傳統算法相比，ELM具有更快的學習速度和更好的泛化性能.其具體工作原理如下[9-10].

圖1 ELM模型結構圖

給定n個不同樣例(xj,yj)，其中xj為輸入向量，yj為輸出向量，有l個隱含層節點，激活函數為h(*)，wi=[wi 1,wi 2,…,wi n]T表示輸入節點與第i個隱含節點之間的輸入權重，βi=[βi 1,βi 2,…,βi m]T是第i個隱含節點與輸出節點之間的權重，bi為第i個隱含節點的偏移量.

以零誤差方式逼近給定的n個樣例，有wi，b和βi使式(1)成立：

(1)

即：Hβ=Y，H為隱含層輸出矩陣，Y為樣本輸出向量，其中：

H(w,b,x)=

(2)

(3)

(4)

在隱層神經元數和訓練集樣本數相同的情況下,任意w和b可以使單隱層前饋神經網絡以零誤差方式靠近輸入向量，即

(5)

其中,j=1,2,…,n.當訓練集樣本個數較大時，通常取隱含層神經元的個數l0，即

(6)

當選定激活函數h(x)無限可微時，對任意的w和任意的b，β的值可以通過式(7)求解，即

(7)

H為隱層的輸出矩陣，在ELM中隨機給定輸出權值和閾值，矩陣H就變成一個確定的矩陣，ELM的訓練就轉化成求輸出權值矩陣的問題.輸出權值矩陣β可由式(8)得到：

(8)

式(8)中H+為隱含層輸出矩陣的Moor-Penrose廣義逆.

ELM算法流程如下：

1) 隨機產生參數(wi,bi)，i=1,2,…,l(其中l為隱含層神經元的個數)；

2) 根據式(7)計算隱含層輸出矩陣H；

2 網絡安全態勢預測的原理

網絡安全態勢預測是一個復雜的過程，受到多種影響因素的影響，不訪假設這些預測指標為{x1,x2,…,xn}，預測指標之間又相互作用，不同指標對網絡安全態勢預測的作用不同，使得預測指標與網絡安全風險值之間不是簡單的線性關系，是一種十分復雜的非線性關系，這些因素最終產生的影響為

y=f(x1,x2,…,xn),

(9)

式中,f(*)為非線性擬合函數.

由式(9)得知，網絡安全態勢預測結果與預測指標以及非線性擬合函數直接相關.我們在預測過程引入極限學習機，建立基于ELM的網絡安全態勢預測模型.本文采用基于極限學習機的非線性模型對其進行預測，其預測結構如圖2所示:

圖2 網絡安全態勢預測原理圖

3 仿真實驗

3.1 數據選取

本文采用的數據樣本為國家互聯網應急響應中心網站公布的真實數據.把安全態勢分為5個等級，分別為:優、良、中、差、危.為方便量化分析模型，將5個級別的安全態勢與數字相對應，如表1所示：

表1 安全態勢與數字對應表

本文對自2014年第1期至2016年第52期的《網絡安全信息》與《動態周報》進行統計，篩選出148組數據進行歸一化處理，隨機取出138組作為訓練數據，10組作為測試數據.

3.2 結果與分析

為評估本文提出的基于ELM的網絡安全態勢預測模型的有效性，我們在MATLAB2014a平臺實現該模型.同時，與基于BP神經網絡的網絡安全態勢預測模型進行對比分析.

從圖3和圖4可以看出，ELM模型的預測值能較好地逼近真實值，預測誤差更小，具有較好的預測效果.

圖3 ELM預測輸出結果與BP預測輸出結果對比

圖4 ELM預測誤差與BP預測誤差對比

表2 不同模型預測精度對比

從表2可知，基于極限學習機網絡態勢預測模型的均方誤差(MSE)和平均絕對誤差(MAE)均低于基于BP神經網絡網絡態勢預測模型，尤其是在時間方面遠遠低于基于BP神經網絡網絡態勢預測模型.由此可見，基于極限學習機的網絡安全態勢預測模型預測精度高于傳統的BP神經網絡預測模型.

4 結束語

本文提出了一種基于極限學習機的網絡安全態勢預測模型，給出了解決網絡安全與管理的一種嘗試方法.基于極限學習機的網絡安全態勢預測模型可以幫助網絡安全管理人員提前對網絡安全形勢進行預判，便于其采取相應措施，提升網絡應急處理能力.