基于RBF神經網絡的網絡安全態勢感知預測研究

錢建　李思宇

摘? ?要：針對網絡安全態勢的感知問題，結合巨龍山和者磨山風電場的運行情況，文章提出了基于徑向基函數（RBF）神經網絡的網絡安全態勢預測模型，采用K-means聚類算法對網絡參數進行優化并感知網絡安全態勢，并采用訓練數據來訓練該模型。訓練結果表明，該方法能較準確的獲得態勢預測結果，具有較高的檢測準確率，與BP神經網絡預測對比也顯示出更高的精度與更好的適應性。

關鍵詞：RBF神經網絡;網絡安全;態勢感知;預測

中圖分類號： TP309.2? ? ? ? ? 文獻標識碼：A

Abstract： Aiming at the problem of network security situation perception， combined with the operation of Julongshan and Zhemoshan wind farms， a network security situation prediction model based on radial basis function （RBF） neural network is proposed in this paper. The network parameters are optimized and the network security situation is sensed， and the training data is used to train the model. The training results show that this method can obtain situation prediction results more accurately， and has higher detection accuracy. Compared with the prediction of BP neural network， it also shows higher accuracy and better adaptability.

Key words： RBF neural network; network security; situational awareness; prediction

1 引言

隨著當今社會的快速發展，網絡與信息安全領域的發展日新月異，給人們生活水平帶來提高的同時，網絡安全問題也愈發嚴重[1～3]。盡管一系列的安全檢測產品如入侵檢測系統（IDS）和防火墻等已經廣泛應用于各領域[4]，但由于網絡攻擊手段逐漸呈現出多樣化，同時漏報、誤報和報告格式不統一等缺陷仍然存在，以及傳統網絡安全防護設備功能單一、不能全方位的對網絡的安全狀態做出整體的評價和估計等問題，網絡安全問題依然相當嚴峻[5～8]?；诖?，網絡安全研究也經歷了“安全體系的被動建設—主動發展—入侵—防御—評估一體系全面安全體系”的發展歷程[9～10]，網絡安全態勢研究應運而生?！熬W絡態勢”是一個整體和宏觀的概念，是指由各種網絡設備的運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡的當前狀態和變化趨勢?！熬W絡態勢感知”的概念最早由Bass于1999年首次提出，并認為可以將態勢感知技術應用于多個NIDS檢測結果的數據融合分析，網絡安全態勢感知作為一種主動防御技術，對網絡中的安全事件進行分析，及早的發現網絡中的風險[11]。通過對網絡、服務、主機、資源進行感知，及時的制定、調整安全策略，在攻擊發生前減少和降低風險[12]。

近年來，國內外不少學者對網絡安全態勢感知方法進行了研究。Liu等人[13]提出了NSSA的認知意識控制模型（CACM），CACM采用跨層架構和認知圈，可以突破不同網絡層之間的交互障礙，并提出了一種決策級融合方法，其中為不同的數據源分配不同的權重，從而可以提高融合精度，但是僅考慮單入侵攻擊，且數據源單一，也沒有對安全態勢的評估和預測結果做深入研究;Yang等人[14]基于MIMO系統理論，對5G網絡安全性的影響以及態勢感知技術的理論，構建了面向5G的大規模MIMO系統的安全態勢感知系統模型，但這些預測模型得到的最終預測結果精度較差，不能有效反映網絡安全的變化趨勢;Zhao等人[15]建立了網絡安全態勢感知指標體系，對指標因素進行選擇和量化，然后通過計算態勢值，構建了網絡安全態勢感知系統，但僅從網絡歷史的整體安全態勢本身數據進行分析，忽略影響網絡安全態勢的安全因子。

國內對態勢感知的研究雖然起步較晚，但也取得了相應的成果。謝麗霞等人[16]設計了一種基于BP神經網絡的網絡安全態勢評估方法，定義網絡安全態勢的一級評估和二級評估指標，但沒有考慮指標體系中各因素之間的關聯性，將會導致信息的融合處理存在很大難度;秦麗娜[17]提出了一種卷積神經網絡在線網絡安全攻擊檢測方法，基于傳統的卷積網絡設計了對網絡進行攻擊檢測的改進卷積神經網絡模型，缺乏指標體系有效性的驗證，無法驗證指標體系是否涵蓋了網絡安全的所有方面;蔣誠智等人[18]在現有的模型研究的基礎上，結合電力信息網絡的現狀與需求，提出了一種基于智能Agent的NSSA感知模型。模型從數據采集處理層、評估分析層、協調管理層和態勢決策層幾個層次介紹了涉及的Agent模型和功能模塊，對電力信息網絡安全監控和管理具有一定的指導意義，但該算法的復雜度很高、效率較低、實時性較差。

本文根據RBF神經網絡的優勢，結合巨龍山和者磨山風電場運行狀況，對風電場網絡安全態勢值進行分析，利用網絡安全態勢值具有非線性時間序列的特點，構建網絡安全態勢預測模型。使用RBF神經網絡找出網絡安全態勢值的非線性映射關系，以提高態勢預測的準確性，利用均方根誤差、多元統計系數、歸一化均方根誤差等參數檢驗預測網絡安全態勢值的準確性，同時與BP神經網絡預測模型進行比較。

2 者磨山風電場和巨龍山風電場運行狀況

者磨山風電場，建于云南省大理市下關西南，工程分兩期建設，總裝機容量45.75兆瓦，共安裝61臺750千瓦風力發電機組，總投資約5.2億元，年上網電量約14612萬千瓦/時;巨龍山風電場是五福山風電項目群第一期工程，裝機容量49.5兆瓦，風電場主要由33臺風機、33臺箱式變壓器、35千伏集電線路、進場道路及一座110千伏升壓站組成，項目總投資約4.5億元，年上網電量1.16億千瓦/時，兩者經濟效益與社會效益顯著。目前智能電網的發展越來越智能化，開放化的網絡架構、多樣性的電力需求使得電力系統愈加復雜，給電力系統的建設、運行帶來巨大的不確定性。電力系統的安全包括電力基礎設施安全和網絡信息安全，例如網絡黑客、企業間諜、設備缺陷、用戶操作錯誤以及自然災害等。各級政府需要將保證電力系統網絡安全作為保障電力系統安穩運行的重要工作來抓。網絡入侵攻擊等引發的信息系統故障不僅會損害信息系統，還會威脅物理系統，破壞電網的平穩運行。尤其是針對電力監控系統的各種網絡入侵攻擊，對具有信息物理融合系統特征的電力基礎設施構成了嚴峻的威脅。因此，為保障各類并網發電企業和主網的安全可靠運行，水電十四局大理聚能投資有限公司率先開展基于風電場電力監控系統的網絡安全態勢感知關鍵技術研究與集成示范，以期為發電企業開展相關工作起到示范帶頭作用。

3 RBF神經網絡基本原理與設計

徑向基函數（Radical Basis Function，RBF）神經網絡是一種三層前饋網絡，包括輸入層、隱含層、輸出層。其拓撲結構比較簡單，它是以徑向基函數作為激活函數，當輸入樣本與基函數中心距離接近時，隱含層節點會被激活，產生較大的輸出[19]。輸入層和隱含層之間的權值固定為1，輸入層不經任何變換直接將輸入向量映射至隱含層，該映射是一個非線性變換。隱含層和輸出層之間是有權值的，隱含層映射至輸出層是一個線性變換過程，網絡最終的輸出是隱含層所有神經元輸出的加權和[20]。

RBF神經網絡模型選擇距離函數作為隱含層節點的基函數，采用徑向基函數作為激活函數，同時使用線性優化技術，能夠有效提高網絡的學習收斂速度并避免局部最小問題，以任意精度可以逼近任何連續函數[21]。RBF神經網絡隱層的功能是將低維空間的輸入通過非線性函數映射到一個高維空間，然后再在這個高維空間進行曲線的擬合。它等價于在一個隱含的高維空間尋找一個能最佳擬合訓練數據的表面[22]。這點與普通的多層感知機MLP是不同的。

圖2為N-M-H結構的RBF基本神經網絡模型。該網絡具有N個輸入節點，m個隱節點，h個輸出節點。其中N為訓練樣本集的樣本數量，P為隱層節點數，L為目標輸出的個數。輸入層的任一節點用i表示，隱層的任一節點用j表示，輸出層的任一節點用y表示。

對各層的數學描述為：x=（x1，x2，…，xn）T為網絡輸入向量，輸入層的作用是在不對輸入信息進行的任何變換處理的情況下將其映射到隱含層;Φj（x），（j=1，2，…，m）為任一隱節點的激活函數，稱為“基函數”，選用高斯函數，計算各個輸入樣本與樣本中心的距離函數;W為輸出權矩陣，其中Wmh=（j=1，2，…，p n=1，2，…，L）為隱層第j個節點與輸出層第n個節點間的突觸權值;Y=（y1，y2，…，yh）為網絡輸出;輸出層將隱含層各節點的輸出進行線性組合，以對輸入模式進行響應輸出。對于RBF神經網絡預測安網絡全態勢而言，如圖3所示，其中每個樣本中5個值作為輸入值，最后1個值作為輸出。

在確定了神經網絡結構之后，基于徑向基神經網絡（RBF）預測生物柴油低溫流動性的具體實施流程，主要包括的3大步驟為：

1）數據獲取與預處理：針對網絡態勢的不同影響因素及其變化規律，考慮各參數之間量綱差異對徑向基神經網絡學習精度與效率的影響，采用下式進行數據歸一化處理：

2）樣本劃分：100組實驗數據，其中隨機選擇85%用于訓練學習，剩下的15%用于測試。

3）徑向基神經網絡預測與評估：利用測試樣本評估RBF神經網絡的網絡安全態勢的有效性。

4 模型評價指標

鑒于廣泛使用的模型評估指標的局限性，本研究通過對所建立的模型進行各種尺度變換不變的誤差度量和不確定性估計措施，對模型的可信度進行綜合評估，以使所建立的預測模型合理化。盡管與類似的研究相比，流行的模型評估指標已被用作模型性能的基準，但對于從原始指標相應縮放的變化中獲得的值，該指標的每個結果都已進一步合理化，以解決其固有的局限性，保留了常規措施的屬性。具體的性能評價指標為：

5 實驗分析

5.1 實驗設備與試驗數據

本文搭建了由主機、路由器、交換機、服務器等組成的網絡進行實驗，如圖4所示。

本文仿真數據來源于CICIDS2017，該數據集包含良性和最新的常見攻擊，還包括使用CICFlowMeter進行流量分析的結果，該流量分析具有基于時間戳、源IP地址和目標IP地址、源端口號和目標端口號、協議以及攻擊類型的標記流。根據謝麗霞等人的評估實驗對態勢值進行評估。利用獲取的態勢值形成歷史和當前的網絡態勢值進行態勢預測。結合網絡安全態勢值的計算特點，設定預測周期為12h。本文從態勢數據集中選取長度為100的網絡安全態勢時間序列。將輸入層節點設定為5，輸出層節點設定為1，同時為避免原始數據跨度大不利于處理的影響，對所得態勢值均作歸一化處理。

5.2 仿真結果及分析

RBF神經網絡是基于局部基函數和迭代函數逼近的神經網絡，通過基于單個單變量函數的項的線性組合來近似多變量函數的方法。該單變量函數是徑向基函數，徑向基函數網絡因其良好的逼近能力、更快的學習算法和更簡單的網絡結構而具有許多用途。圖6和圖7是RBF預測網絡安全態勢的預測值與實驗值的對比，從圖6和圖7可以看出，RBF神經網絡的預測精度比BP神經網絡的預測精度都要高，預測值和實際值基本相吻合，顯示出RBF神經網絡在預測網絡安全態勢的優越性。