網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)技術(shù)研究綜述

向城成 吳春江 劉啟和 周世杰

(電子科技大學(xué)信息與軟件工程學(xué)院 四川 成都 610054)

0 引 言

大數(shù)據(jù)時(shí)代的到來使得各個(gè)行業(yè)和領(lǐng)域與互聯(lián)網(wǎng)緊密結(jié)合,互聯(lián)網(wǎng)思維亦成為現(xiàn)代社會(huì)必不可少的思維方式,它與各傳統(tǒng)行業(yè)相結(jié)合,為各行業(yè)的發(fā)展提供了巨大驅(qū)動(dòng)力,與此同時(shí)也對(duì)網(wǎng)絡(luò)的安全性有了更嚴(yán)格的要求。無論是企業(yè)公司,還是學(xué)校公務(wù)機(jī)關(guān)都可能有自己的網(wǎng)絡(luò)結(jié)構(gòu),部署包括交換機(jī)、路由器、服務(wù)器等重要設(shè)備,相關(guān)單位會(huì)使用網(wǎng)絡(luò)傳輸各種數(shù)據(jù)、信息,一旦網(wǎng)絡(luò)的安全受到威脅,將會(huì)對(duì)整個(gè)單位的利益造成巨大的損失[1]。

互聯(lián)網(wǎng)雖然加快了各行業(yè)融合協(xié)同發(fā)展,但也使網(wǎng)絡(luò)安全面臨了更多的問題和威脅。僅2018年上半年,網(wǎng)絡(luò)攻擊相關(guān)的互聯(lián)網(wǎng)安全事件就層出不窮,如俄羅斯電網(wǎng)攻擊事件、美國(guó)300多所大學(xué)受伊朗黑客攻擊事件、美國(guó)Exactis公司數(shù)據(jù)泄露事件、安德瑪健身追蹤應(yīng)用MyFitnessPal數(shù)據(jù)泄漏事件、惡意軟件VPNFilter事件等。網(wǎng)絡(luò)安全事故的頻繁發(fā)生引發(fā)了各行各業(yè)的高度重視,學(xué)界對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)(Network Security Situation,NSS)的研究越發(fā)深入,一種基于NSS智能感知、評(píng)估、預(yù)測(cè)的新型網(wǎng)絡(luò)安全防護(hù)體系應(yīng)運(yùn)而生。

網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)(Network Security Situation Prediction,NSSP)首先采集一段時(shí)間中的攻擊事件,根據(jù)攻擊事件的種類、頻率等,然后關(guān)聯(lián)融合分析后得到評(píng)估的態(tài)勢(shì)值,利用過去時(shí)間的攻擊事件信息及態(tài)勢(shì)值可以對(duì)未來的NSS發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè),能夠?yàn)榫W(wǎng)絡(luò)管理人員提供必要的數(shù)據(jù)與信息支持,使網(wǎng)絡(luò)管理人員能夠采取必要的網(wǎng)絡(luò)安全防護(hù)措施,制定合理的網(wǎng)絡(luò)安全防護(hù)方案,以做出有效的網(wǎng)絡(luò)安全防護(hù)決策。

1 常見的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法

網(wǎng)絡(luò)安全態(tài)勢(shì)通過歷史數(shù)據(jù)對(duì)未來的態(tài)勢(shì)值進(jìn)行預(yù)測(cè)的方法有很多,根據(jù)數(shù)據(jù)的特性和使用方法的領(lǐng)域可對(duì)方法進(jìn)行分類。當(dāng)NSS數(shù)據(jù)具有少數(shù)據(jù)、貧信息、不確定性等特點(diǎn)時(shí),可將使用的方法分類為“不確定推理理論”,當(dāng)數(shù)據(jù)為其他正常完整數(shù)據(jù)時(shí),可將預(yù)測(cè)方法按方法類型分為“機(jī)器學(xué)習(xí)人工智能方法”和“神經(jīng)網(wǎng)絡(luò)方法”。因此常見的NSSP方法通常可分為以下三大類:不確定推理理論方法、機(jī)器學(xué)習(xí)及人工智能領(lǐng)域方法、神經(jīng)網(wǎng)絡(luò)方法,及多種優(yōu)化調(diào)整的混合預(yù)測(cè)方法和模型。本節(jié)主要介紹三類常用的預(yù)測(cè)方法,羅列其在各行業(yè)、各領(lǐng)域的應(yīng)用,并闡述在態(tài)勢(shì)預(yù)測(cè)領(lǐng)域的應(yīng)用策略或方案。

1.1 不確定性推理理論

在NSSP領(lǐng)域,進(jìn)行數(shù)據(jù)預(yù)測(cè)通常會(huì)遇到NSS信息、數(shù)據(jù)不完備或缺失的情況,這種情況下可考慮使用不確定推理理論的方法,利用不完備、不確定數(shù)據(jù),對(duì)未來態(tài)勢(shì)值進(jìn)行合理的預(yù)測(cè)和推斷。在NPPS領(lǐng)域,最常用的不確定性推理理論方法包括灰色系統(tǒng)理論和D-S證據(jù)理論。

1.1.1灰色系統(tǒng)理論

灰色系統(tǒng)理論[2]是于20世紀(jì)80年代提出的一種著重于不完備數(shù)據(jù)信息的方法,針對(duì)不完備信息(貧信息)、小數(shù)據(jù)的建模分析方法,通過生成、挖掘、提取有用的信息來處理僅部分信息已知的不確定系統(tǒng)[3],可根據(jù)僅部分已知信息正確描述演化規(guī)律或變化過程。

從灰色系統(tǒng)理論提出至今,在數(shù)據(jù)預(yù)測(cè)領(lǐng)域許多專家學(xué)者對(duì)其進(jìn)行了深層次的研究和討論,推動(dòng)灰色系統(tǒng)理論在數(shù)據(jù)預(yù)測(cè)應(yīng)用層面的發(fā)展[4],通過建立灰色預(yù)測(cè)模型在各種應(yīng)用場(chǎng)景進(jìn)行預(yù)測(cè)的研究應(yīng)用。比如楊文博等[5]為了驗(yàn)證灰色預(yù)測(cè)模型在運(yùn)營(yíng)橋梁的基本狀況,運(yùn)用灰色系統(tǒng)理論的原理,以某正在使用的橋梁為基礎(chǔ),基于GM(1,1)進(jìn)行建模與分析,并將預(yù)測(cè)數(shù)據(jù)與實(shí)測(cè)數(shù)據(jù)進(jìn)行對(duì)比分析,得到較為精準(zhǔn)的結(jié)論以證明灰色預(yù)測(cè)模型可以對(duì)橋梁狀況進(jìn)行預(yù)測(cè);Liu等[6]基于GM(1,1)對(duì)GDP指數(shù)預(yù)測(cè),并提出終點(diǎn)優(yōu)化的調(diào)優(yōu)策略,使GM(1,1)性能有所提升。

而利用灰色系統(tǒng)理論對(duì)NSS的預(yù)測(cè)方面,灰色系統(tǒng)理論進(jìn)行態(tài)勢(shì)預(yù)測(cè)可建立應(yīng)用面較廣的GM(1,1)及精度更高的GM(1,N)[7],利用沒有規(guī)律或規(guī)律表現(xiàn)較弱的數(shù)據(jù),然后對(duì)其整理規(guī)整,得到它的變化規(guī)律,這便是產(chǎn)生灰數(shù)據(jù)序列的過程,灰數(shù)據(jù)序列可以利用生成方式削弱它的隨機(jī)性從而體現(xiàn)規(guī)律性,通常采用累加、累減、加權(quán)鄰值等方式,這樣生成較有規(guī)律的生成數(shù),建立一階微分?jǐn)M合方程,然后利用一元線性回歸求得估計(jì)值以完成預(yù)測(cè)。GM(1,N)依然采用累加、累減、加權(quán)鄰值的生成方式,建立多因子數(shù)列微分方程,利用一元線性回歸方法求得估計(jì)值以完成預(yù)測(cè)。

1.1.2D-S證據(jù)理論

D-S證據(jù)理論(Dempster/Shafer Evidence Theory)是由Dempster提出,由Shafer進(jìn)一步推論發(fā)展起來的不確定推理理論,與灰色系統(tǒng)理論相似,同樣也有表達(dá)不確定信息的能力,其核心思想便是采用“區(qū)間估計(jì)”的方法來對(duì)不確定信息進(jìn)行描述,最終確定信任區(qū)間以獲得預(yù)測(cè)結(jié)果。

D-S證據(jù)理論同樣被廣泛用于數(shù)據(jù)預(yù)測(cè)領(lǐng)域,在各類預(yù)測(cè)的應(yīng)用場(chǎng)景中發(fā)揮了至關(guān)重要的作用。比如Gao等[8]利用D-S證據(jù)理論建立了瓦斯突出數(shù)據(jù)的預(yù)測(cè)模型,有效防止瓦斯突出可能帶來的巨大破壞;Bauer[9]通過使用多個(gè)預(yù)測(cè)模型作為證據(jù),結(jié)合D-S證據(jù)理論對(duì)保健結(jié)果進(jìn)行有效預(yù)測(cè)。

在NSSP領(lǐng)域,利用D-S證據(jù)理論,構(gòu)建基于D-S證據(jù)理論的預(yù)測(cè)模型以完成預(yù)測(cè)[10]。利用D-S結(jié)合攻擊、防御及整體性的NSS數(shù)據(jù),利用該方法善于處理不確定數(shù)據(jù)的特性,并且基于D-S證據(jù)理論進(jìn)行態(tài)勢(shì)評(píng)估(假設(shè)空間P)、安全狀態(tài)概率分配(Mass函數(shù))、融合計(jì)算(合成規(guī)則)等建立NSSP模型,通過攻擊態(tài)勢(shì)、防御態(tài)勢(shì)、總體態(tài)勢(shì)構(gòu)建D-S證據(jù)理論的假設(shè)空間、Mass函數(shù)及合成規(guī)則,最后確定信任區(qū)間的具體過程如圖1所示[11]。

圖1 基于D-S證據(jù)理論建立的NSSP模型

1.2 機(jī)器學(xué)習(xí)及人工智能領(lǐng)域方法

在NSSP領(lǐng)域,進(jìn)行數(shù)據(jù)預(yù)測(cè)時(shí)在數(shù)據(jù)完備的情況下,可考慮采用機(jī)器學(xué)習(xí)及人工智能領(lǐng)域的預(yù)測(cè)方法,通過歷史數(shù)據(jù)序列對(duì)未來時(shí)間態(tài)勢(shì)值進(jìn)行預(yù)測(cè),該類方法用在態(tài)勢(shì)預(yù)測(cè)中使用率最高的主要包括:支持向量機(jī)、隱馬爾可夫模型、卡爾曼算法等。

1.2.1支持向量機(jī)

支持向量機(jī)(Support Vector Machine,SVM)在機(jī)器學(xué)習(xí)與人工智能領(lǐng)域的應(yīng)用較為廣泛,是一種通常用來解決二分類問題的有監(jiān)督學(xué)習(xí)的算法。

支持向量機(jī)在各種預(yù)測(cè)場(chǎng)景下的應(yīng)用也成為近年來的熱門研究點(diǎn),結(jié)合一些參數(shù)優(yōu)化算法取得表現(xiàn)不錯(cuò)的SVM預(yù)測(cè)模型。比如Duan[12]利用PSO優(yōu)化的SVM模型即PSO_SVM,對(duì)一定時(shí)間內(nèi)的車流量進(jìn)行預(yù)測(cè);Alam等[13]利用多階段分類的SVM用于肺癌的預(yù)測(cè)。

在NSSP領(lǐng)域,基于SVM建立NSSP模型可首先創(chuàng)建基于時(shí)間維度的原始NSS數(shù)據(jù)序列,然后結(jié)合SVM的調(diào)參優(yōu)化策略,利用時(shí)間數(shù)據(jù)序列及SVM參數(shù)調(diào)優(yōu)等處理,得到基于SVM的NSSP模型。SVM訓(xùn)練相對(duì)容易且能夠方便地轉(zhuǎn)換為高維數(shù)據(jù),SVM也能夠直接地控制在分類時(shí)的平衡復(fù)雜性及錯(cuò)誤問題,利用SVM進(jìn)行NSSP的可行性和實(shí)用性較高[14]。

1.2.2隱馬爾可夫模型

隱馬爾可夫模型(Hidden Markov Model,HMM),“隱”表示其有未知參數(shù),HMM因其優(yōu)越性被廣泛應(yīng)用在語音識(shí)別、數(shù)據(jù)預(yù)測(cè)、狀態(tài)評(píng)估、分類問題、入侵檢測(cè)等領(lǐng)域[15],并取得了不錯(cuò)的效果。

隱馬爾可夫模型在數(shù)據(jù)預(yù)測(cè)方面有較廣泛的應(yīng)用。比如Wang等[16]使用堆疊式集成方法從HMM譜圖預(yù)測(cè)DNA結(jié)合蛋白;Chen等[17]使用基于XGBpred的極限梯度增強(qiáng)和基于HMMpred的隱馬爾可夫模型。在10倍交叉驗(yàn)證測(cè)試中,XGBpred和HMMpred在最先進(jìn)的方法Geno2pheno和G2p_str上均達(dá)到了更高的特異性72.56%和72.09%,相同的靈敏度為93.73%。

在NSSP領(lǐng)域,通過HMM構(gòu)建NSSP模型可表示為一個(gè)五元組[18]:(1) 隱含狀態(tài)集合:不可通過直接觀察得到的,可表示為NSS的狀態(tài)安全等級(jí);(2) 可觀察狀態(tài)集合:可選用與隱含狀態(tài)關(guān)聯(lián)的如系統(tǒng)日志、防護(hù)設(shè)備日志等作為觀測(cè)向量集;(3) 狀態(tài)轉(zhuǎn)移概率矩陣:在隱含狀態(tài)集合下不同安全等級(jí)的轉(zhuǎn)移矩陣;(4) 可觀察狀態(tài)轉(zhuǎn)移概率矩陣:為在不同可觀測(cè)向量與隱含狀態(tài)等級(jí)的關(guān)系轉(zhuǎn)移概率矩陣;(5) 初始概率矩陣:初始時(shí)刻所處的觀測(cè)向量與隱含狀態(tài)等級(jí)。利用HMM構(gòu)建NSSP模型進(jìn)行高效、精準(zhǔn)的預(yù)測(cè)[19],得到未來時(shí)刻的安全狀況以及時(shí)采取防護(hù)策略[20]。

1.2.3卡爾曼算法

卡爾曼算法,也稱卡爾曼濾波算法或線性二次估計(jì),以產(chǎn)生更多的未知變量估計(jì),通過估計(jì)每個(gè)時(shí)間幀變量的聯(lián)合概率分布,對(duì)系統(tǒng)狀態(tài)進(jìn)行最優(yōu)估計(jì),得到預(yù)測(cè)結(jié)果。

卡爾曼算法能夠有效對(duì)系統(tǒng)狀態(tài)進(jìn)行最優(yōu)估計(jì)以求得預(yù)測(cè)結(jié)果,因此它常被應(yīng)用在數(shù)據(jù)預(yù)測(cè)領(lǐng)域。比如Mo等[21]使用卡爾曼濾波算法對(duì)鋰離子電池的剩余壽命進(jìn)行預(yù)測(cè);Emami等[22]基于卡爾曼濾波算法建立短時(shí)間交通流量模型,對(duì)交通流量數(shù)據(jù)進(jìn)行最優(yōu)估計(jì)得到預(yù)測(cè)值。

在NSSP領(lǐng)域,卡爾曼算法利用描述狀態(tài)方程、觀測(cè)方程[23]進(jìn)行NSSP獲得相對(duì)精準(zhǔn)的預(yù)測(cè)結(jié)果,其中狀態(tài)方程包括:狀態(tài)向量轉(zhuǎn)移、狀態(tài)轉(zhuǎn)移矩陣、狀態(tài)向量等;而觀測(cè)方程包括:觀測(cè)噪聲、觀測(cè)向量等,利用基于卡爾曼算法建立NSSP模型,獲取原始數(shù)據(jù)值,并利用算法結(jié)合數(shù)據(jù)進(jìn)行預(yù)測(cè)[24];利用卡爾曼算法建立NSSP模型,卡爾曼算法的預(yù)測(cè)結(jié)果和實(shí)際結(jié)果趨勢(shì)一致,證明了卡爾曼濾波算法在NSSP中的可行性[25],且通常卡爾曼算法的預(yù)測(cè)精準(zhǔn)性要高于單純的GM(1,1)模型等[26]。

1.3 神經(jīng)網(wǎng)絡(luò)方法

在NSSP領(lǐng)域,在進(jìn)行數(shù)據(jù)預(yù)測(cè)且數(shù)據(jù)完備時(shí),神經(jīng)網(wǎng)絡(luò)方法是一種高效、精準(zhǔn)的預(yù)測(cè)方法,同樣通過歷史數(shù)據(jù)序列對(duì)未來時(shí)間態(tài)勢(shì)值進(jìn)行預(yù)測(cè),該類方法用在態(tài)勢(shì)預(yù)測(cè)中使用率最高的主要包括BP神經(jīng)網(wǎng)絡(luò)、RBF神經(jīng)網(wǎng)絡(luò)、RNN神經(jīng)網(wǎng)絡(luò)等。

1.3.1BP神經(jīng)網(wǎng)絡(luò)

BP(Back Propagation)神經(jīng)網(wǎng)絡(luò)是20世紀(jì)80年代,Rumelhart等提出的一種信號(hào)向前傳遞、誤差向后傳遞的多層神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)方法,可通過權(quán)重調(diào)整使輸出的預(yù)測(cè)結(jié)果更加接近于期望值,通常BP神經(jīng)網(wǎng)絡(luò)包含三層結(jié)構(gòu),分別是第一層輸入層、第二層隱含層、第三層輸出層。

BP神經(jīng)網(wǎng)絡(luò)在數(shù)據(jù)預(yù)測(cè)領(lǐng)域有良好的表現(xiàn)效果,也可用于分類問題、計(jì)算機(jī)視覺、機(jī)器人技術(shù)等領(lǐng)域。比如,Liu等[27]利用分段學(xué)習(xí)的雙層BP神經(jīng)網(wǎng)絡(luò),對(duì)道路通行流量進(jìn)行精準(zhǔn)的預(yù)測(cè)取得了較好結(jié)果;Wu等[28]提出了一種基于反向傳播BP神經(jīng)網(wǎng)絡(luò)的預(yù)測(cè)工具GAIFOA-BP,用于預(yù)測(cè)在不同儲(chǔ)油條件下FPSO模型相關(guān)位置的應(yīng)變值。

基于BP的NSSP模型首先利用現(xiàn)有的數(shù)據(jù)找到輸入、輸出的權(quán)值關(guān)系,在NSSP領(lǐng)域可利用BP神經(jīng)網(wǎng)絡(luò),建立NSSP模型[29],包括原始NSS數(shù)據(jù)的輸入層、映射層、輸出層如圖2所示。架構(gòu)輸入層為對(duì)應(yīng)節(jié)點(diǎn)的NSS原始數(shù)據(jù);映射層即為BP神經(jīng)網(wǎng)絡(luò),映射層的BP結(jié)構(gòu)即獲取數(shù)據(jù)輸入并加權(quán)計(jì)算,通過BP結(jié)構(gòu)的隱含層激活函數(shù)后映射成輸出,獲取數(shù)據(jù)再次通過加權(quán)、計(jì)算、映射得到輸出。

圖2 基于BP神經(jīng)網(wǎng)絡(luò)的NSSP預(yù)測(cè)架構(gòu)

1.3.2RBF神經(jīng)網(wǎng)絡(luò)

RBF(Radial Basis Function)即徑向基神經(jīng)網(wǎng)絡(luò),是使用RBF作為激活函數(shù)的人工神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu),RBF結(jié)構(gòu)的輸出為輸入的RBF函數(shù)與神經(jīng)元參數(shù)的線性組合。

RBF神經(jīng)網(wǎng)絡(luò)在函數(shù)近似、時(shí)間序列預(yù)測(cè)、分類等應(yīng)用場(chǎng)景下表現(xiàn)良好,RBF神經(jīng)網(wǎng)絡(luò)也是數(shù)據(jù)預(yù)測(cè)領(lǐng)域一個(gè)較精確高效的方法。比如J神經(jīng)網(wǎng)絡(luò)(基于遞歸粒子濾波的基于Rbf網(wǎng)絡(luò)的測(cè)量數(shù)據(jù)時(shí)間序列預(yù)測(cè))領(lǐng)域的新研究和發(fā)現(xiàn)的詳細(xì)信息[30]。Li等[31]使用了優(yōu)化后的徑向基(RBF)神經(jīng)網(wǎng)絡(luò)開發(fā)了一種通用的剩余保質(zhì)期數(shù)據(jù)預(yù)測(cè)模型,該模型通常用于采摘后的可食用葡萄,以實(shí)現(xiàn)比當(dāng)前保質(zhì)期預(yù)測(cè)方法更準(zhǔn)確的數(shù)據(jù)預(yù)測(cè)。

在NSSP領(lǐng)域,通過訓(xùn)練RBF神經(jīng)網(wǎng)絡(luò),找到前序數(shù)據(jù)與后續(xù)數(shù)據(jù)存在的映射關(guān)系,然后調(diào)整前序數(shù)據(jù)的個(gè)數(shù),探索不同的NSSP結(jié)果,態(tài)勢(shì)數(shù)據(jù)的值可以視為非線性的時(shí)間序列,RBF神經(jīng)網(wǎng)絡(luò)可以實(shí)現(xiàn)通過前序N個(gè)數(shù)據(jù)和后續(xù)M個(gè)數(shù)據(jù),找出在NSS數(shù)據(jù)的非線性映射關(guān)系,基于RBF結(jié)構(gòu)進(jìn)行NSSP流程如圖3所示。研究了基于RBF的NSSP預(yù)測(cè)結(jié)構(gòu),利用RBF及BP兩種網(wǎng)絡(luò)結(jié)構(gòu)得到NSSP結(jié)果,證明在NSSP領(lǐng)域RBF的預(yù)測(cè)結(jié)果比BP網(wǎng)絡(luò)要好[32]。

圖3 RBF網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行NSSP流程

1.3.3RNN神經(jīng)網(wǎng)絡(luò)

循環(huán)神經(jīng)網(wǎng)絡(luò)(Recurrent Neural Network,RNN)是神經(jīng)元相互之間連接形成一個(gè)有向環(huán)的人工神經(jīng)網(wǎng)絡(luò),它展示基于時(shí)間序列的動(dòng)態(tài)行為,廣泛地應(yīng)用在對(duì)序列態(tài)勢(shì)數(shù)據(jù)的處理方面。

由于循環(huán)神經(jīng)網(wǎng)絡(luò)善于處理任意長(zhǎng)的數(shù)據(jù),它在數(shù)據(jù)預(yù)測(cè)領(lǐng)域有較廣泛的應(yīng)用。比如Ramakrishnan等[33]通過歷史網(wǎng)絡(luò)流量及RNN預(yù)測(cè)未來流量數(shù)據(jù);Hagos等[34]通過RNN對(duì)TCP傳輸狀態(tài)進(jìn)行預(yù)測(cè)。

在NSSP領(lǐng)域,由于NSS有以時(shí)間為序列來預(yù)測(cè)的特點(diǎn),提出以RNN對(duì)NSS數(shù)據(jù)進(jìn)行預(yù)測(cè),利用RNN能夠充分利用任意長(zhǎng)度、以時(shí)間為序列的NSS數(shù)據(jù)信息,能夠有效保證利用RNN進(jìn)行NSSP的預(yù)測(cè)準(zhǔn)確性[35],NSS數(shù)據(jù)的特點(diǎn)以及RNN進(jìn)行數(shù)據(jù)預(yù)測(cè)的特性決定了兩者能夠完美結(jié)合以得到高精度高效率的預(yù)測(cè)結(jié)果。

2 方法特性、對(duì)比及其優(yōu)缺點(diǎn)

經(jīng)過十余年的發(fā)展,在常見的NSSP方法取得了巨大的成就同時(shí),學(xué)者們也發(fā)現(xiàn)了一些詬病,如需要參數(shù)優(yōu)化、模型調(diào)優(yōu)、預(yù)測(cè)精度不足等,該節(jié)橫向?qū)Ρ热箢愵A(yù)測(cè)技術(shù),并橫向?qū)Ρ攘司唧w各類別的預(yù)測(cè)技術(shù),分別詳細(xì)闡述態(tài)勢(shì)預(yù)測(cè)方法的優(yōu)缺點(diǎn)及其在網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)中表現(xiàn)的優(yōu)劣之處,如表1所示,能夠高效合理地選擇相應(yīng)的預(yù)測(cè)方法完成對(duì)NSS數(shù)據(jù)的預(yù)測(cè)。

2.1 不確定性推理理論類

兩種方法的優(yōu)缺點(diǎn)橫向?qū)Ρ热绫?所示。

表2 兩種不確定性推理理論方法優(yōu)缺點(diǎn)橫向?qū)Ρ?/p>

2.1.1灰色系統(tǒng)理論

利用灰色系統(tǒng)理論建立預(yù)測(cè)模型主要優(yōu)勢(shì)是可以利用小數(shù)據(jù)、貧信息來進(jìn)行預(yù)測(cè)工作,是在數(shù)據(jù)量小、數(shù)據(jù)不完整的場(chǎng)景下的不二之選;GM(1,1)與GM(1,N)通常對(duì)未來短時(shí)預(yù)測(cè)的情景下表現(xiàn)最好;利用這些模型的運(yùn)算過程比其他模型更為簡(jiǎn)單。對(duì)于單調(diào)遞增或單調(diào)遞減的數(shù)據(jù)序列,能達(dá)到很好效果,但在波動(dòng)變化、不規(guī)則變化、變化明顯的非線性數(shù)據(jù)序列的預(yù)測(cè)精度較低且誤差較大。

2.1.2D-S證據(jù)理論

D-S證據(jù)理論同灰色系統(tǒng)理論一樣,對(duì)于貧信息、小數(shù)據(jù)的描述直接方便,且該理論還有綜合不同數(shù)據(jù)源的特性。但其在理論論證上處于劣勢(shì),沒有強(qiáng)大的理論支撐其合理有效性;而且其對(duì)證據(jù)要求獨(dú)立,但在很多時(shí)候,數(shù)據(jù)間確實(shí)存在關(guān)聯(lián)。

2.2 機(jī)器學(xué)習(xí)及人工智能類

三種方法優(yōu)缺點(diǎn)橫向?qū)Ρ热绫?所示。

表3 三種機(jī)器學(xué)習(xí)及人工智能方法優(yōu)缺點(diǎn)橫向?qū)Ρ?/p>

2.2.1支持向量機(jī)

SVM在數(shù)據(jù)預(yù)測(cè)領(lǐng)域有廣泛應(yīng)用,其泛化能力強(qiáng),在新樣本中有較強(qiáng)適應(yīng)能力;利用有效的已知算法發(fā)現(xiàn)目標(biāo)函數(shù)的全局最優(yōu)解,能夠有效解決陷入局部最優(yōu)的主要問題;當(dāng)然SVM還能有效處理小樣本數(shù)據(jù)、高維度數(shù)據(jù)、非線性數(shù)據(jù)等。這些優(yōu)勢(shì)都為其在數(shù)據(jù)預(yù)測(cè)領(lǐng)域的發(fā)展提供了推動(dòng)力。但支持向量機(jī)也有許多詬病,首先在觀測(cè)樣本過多的情況下效率較低,對(duì)大規(guī)模訓(xùn)練樣本難以進(jìn)行;在核函數(shù)的尋找方面,對(duì)于非線性模型無統(tǒng)一標(biāo)準(zhǔn),較難尋找到合適的核函數(shù)取得良好的性能表現(xiàn);缺失值對(duì)于SVM的性能有至關(guān)重要的影響。

2.2.2隱馬爾可夫模型

隱馬爾可夫模型是通過轉(zhuǎn)移概率及可觀察的表現(xiàn)概率進(jìn)行建模,統(tǒng)計(jì)共同出現(xiàn)概率而非采用條件概率或局部歸一化,因此不易陷入局部最優(yōu)問題。建立基于HMM的預(yù)測(cè)模型可以反映觀察狀態(tài)和實(shí)際狀態(tài)之間的轉(zhuǎn)化規(guī)律及概率關(guān)系。在預(yù)測(cè)場(chǎng)景下,隱馬爾可夫模型學(xué)習(xí)的通常是隱含狀態(tài)集合、可觀察狀態(tài)集合兩者的聯(lián)合分布,而在預(yù)測(cè)中需要的是條件概率分布;在一些場(chǎng)景下,HMM對(duì)獨(dú)立性的假設(shè)較為嚴(yán)格,會(huì)導(dǎo)致模型設(shè)計(jì)有局限性。

2.2.3卡爾曼算法

卡爾曼算法可對(duì)需要預(yù)測(cè)的相關(guān)系統(tǒng)狀態(tài)進(jìn)行最優(yōu)估計(jì)。但它僅利用歷史數(shù)據(jù)進(jìn)行預(yù)測(cè)并未考慮動(dòng)態(tài)的環(huán)境外圍因素對(duì)NSS數(shù)據(jù)值的影響;卡爾曼算法還有預(yù)測(cè)精度略偏低的現(xiàn)象。

2.3 神經(jīng)網(wǎng)絡(luò)類

三種方法的優(yōu)缺點(diǎn)橫向?qū)Ρ热绫?所示。

表4 三種神經(jīng)網(wǎng)絡(luò)方法優(yōu)缺點(diǎn)橫向?qū)Ρ?/p>

續(xù)表4

2.3.1BP神經(jīng)網(wǎng)絡(luò)

BP神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)實(shí)際上實(shí)現(xiàn)的是從輸入到輸出的映射過程,網(wǎng)絡(luò)結(jié)構(gòu)如前文提到的包括三個(gè)層次,一個(gè)顯著的優(yōu)勢(shì)是BP結(jié)構(gòu)的非線性映射能力強(qiáng);與SVM一樣,有泛化能力較好地特性,對(duì)新樣本能夠較好的適應(yīng);BP結(jié)構(gòu)容錯(cuò)性也較好,局部出錯(cuò)不會(huì)對(duì)后續(xù)的全局預(yù)測(cè)結(jié)果產(chǎn)生大的波及。與SVM相反,BP結(jié)構(gòu)容易遇到局部最優(yōu)的問題而導(dǎo)致訓(xùn)練不成功;其優(yōu)化的目標(biāo)函數(shù)通常情況下是復(fù)雜的,這樣會(huì)導(dǎo)致整個(gè)結(jié)構(gòu)的效率低下;由于不能用步長(zhǎng)迭代的傳統(tǒng)方法,BP神經(jīng)網(wǎng)絡(luò)需預(yù)先設(shè)定步長(zhǎng)更新規(guī)則,這樣的操作同樣會(huì)導(dǎo)致BP神經(jīng)網(wǎng)絡(luò)低效;其結(jié)構(gòu)還時(shí)常面臨結(jié)構(gòu)不統(tǒng)一、過度依賴樣本、過擬合等問題。

2.3.2RBF神經(jīng)網(wǎng)絡(luò)

與BP網(wǎng)絡(luò)結(jié)構(gòu)相似,RBF網(wǎng)絡(luò)結(jié)構(gòu)實(shí)現(xiàn)也是輸入到輸出的映射過程,RBF在映射方面有能力強(qiáng)表現(xiàn)良好的特點(diǎn)。但與BP結(jié)構(gòu)不同的是,學(xué)習(xí)的收斂速度明顯快于BP結(jié)構(gòu)的收斂速度,且RBF結(jié)構(gòu)通過唯一最佳逼近,不會(huì)存在局部最優(yōu)的問題。RBF神經(jīng)網(wǎng)絡(luò)還在分類問題中表現(xiàn)良好。RBF網(wǎng)絡(luò)結(jié)構(gòu)存在最主要的問題是理論研究不足,無法合理闡述RBF的推理推導(dǎo)理論和過程、依據(jù)等;將特征都轉(zhuǎn)化成數(shù)字,通過數(shù)字的處理計(jì)算得到結(jié)果,這可能導(dǎo)致信息缺失的后果。

2.3.3RNN神經(jīng)網(wǎng)絡(luò)

RNN神經(jīng)網(wǎng)絡(luò)最大的優(yōu)勢(shì)在于處理任意長(zhǎng)度輸入、輸出的能力,且RNN利用時(shí)間序列數(shù)據(jù),這也是適用于網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的重要原因;但RNN與大多數(shù)神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)一樣有些缺點(diǎn),如訓(xùn)練難度較大且參數(shù)過多調(diào)參有難度等。

3 混合模型及優(yōu)化策略

可以看出傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)技術(shù)很多時(shí)候有表現(xiàn)不足的地方,如局部最優(yōu)、精度較低、依賴性大、過擬合等問題,因此許多專家學(xué)者基于不確定性推理理論、機(jī)器學(xué)習(xí)人工智能方法、神經(jīng)網(wǎng)絡(luò)方法為基礎(chǔ)建立混合模型或調(diào)優(yōu)。本節(jié)將介紹一些混合模型或優(yōu)化后的預(yù)測(cè)模型,能夠?yàn)轭A(yù)測(cè)提供精度更高、效率更高的方案。

3.1 不確定推理理論類

3.1.1灰色預(yù)測(cè)模型結(jié)合Markov鏈

前文提到灰色預(yù)測(cè)模型具有小數(shù)據(jù)貧信息預(yù)測(cè)、結(jié)構(gòu)簡(jiǎn)單、短時(shí)預(yù)測(cè)效果好等特點(diǎn),顧兆軍等[36]提出了將灰色預(yù)測(cè)模型與Markov相結(jié)合的NSSP模型,利用Markov模型強(qiáng)隨機(jī)性的特點(diǎn),將Markov加入到模型中,能夠有效修正預(yù)測(cè)模型中結(jié)果值和實(shí)際值之間的誤差,作者基于此提出了一種實(shí)時(shí)NSSP流程如圖4所示。

圖4 改進(jìn)的灰色模型+Markov實(shí)時(shí)NSSP流程

3.1.2灰色預(yù)測(cè)模型結(jié)合BP神經(jīng)網(wǎng)絡(luò)

鄧勇杰等[37]提出用灰色理論結(jié)合BP網(wǎng)絡(luò)結(jié)構(gòu)建立效果更優(yōu)的灰色神經(jīng)網(wǎng)絡(luò)NSSP架構(gòu),其結(jié)構(gòu)具有計(jì)算方便、結(jié)構(gòu)簡(jiǎn)單的特點(diǎn),而BP網(wǎng)絡(luò)結(jié)構(gòu)有非線性映射能力強(qiáng)、泛化能力強(qiáng)、容錯(cuò)性及自學(xué)習(xí)自適應(yīng)的特點(diǎn),因此作者提出利用灰色預(yù)測(cè)模型的小數(shù)據(jù)貧信息特點(diǎn),結(jié)合BP結(jié)構(gòu)強(qiáng)映射能力進(jìn)行殘差預(yù)測(cè),對(duì)NSSP結(jié)果值進(jìn)行殘差修正,從而獲得更精確的預(yù)測(cè)結(jié)果,建立性能優(yōu)于原始灰色模型的灰色BP網(wǎng)絡(luò)NSSP模型,改進(jìn)的灰色BP神經(jīng)網(wǎng)絡(luò)NSSP模型具體步驟如圖5所示。

圖5 改進(jìn)的灰色BP神經(jīng)網(wǎng)絡(luò)模型NSSP步驟

3.1.3自適應(yīng)的灰色預(yù)測(cè)模型

Zhu等[38]提出了采用自適應(yīng)灰色參數(shù)、等維灰色填充(Equal Dimensions Grey Filling,EDGF)來建立改進(jìn)的自適應(yīng)灰色分析預(yù)測(cè)模型。Verhulst模型是灰色理論中主要部分之一,作者采用自適應(yīng)參數(shù)的方式來確保灰色Verhulst模型精度;在精度得到保證后采用等維灰色填充構(gòu)造EDGF-Verhulst模型來抵抗未知因素對(duì)模型精度的影響。

3.1.4D-S證據(jù)理論的組合預(yù)測(cè)

由于NSSP受諸多不確定因素的影響,胡海亮[39]利用D-S證據(jù)理論建立組合模型,作者首先確定了單項(xiàng)預(yù)測(cè)模型權(quán)重,然后對(duì)歷史權(quán)重進(jìn)行融合以得到預(yù)測(cè)權(quán)重,并對(duì)權(quán)重的提取和權(quán)重的融合進(jìn)行了細(xì)致的描述,仿真實(shí)驗(yàn)證明了高精度的D-S理論組合模型進(jìn)行NSSP是有效可行的。

3.2 機(jī)器學(xué)習(xí)及人工智能類

3.2.1遺傳算法優(yōu)化的SVM模型

郭政等[40]提出以遺傳算法(GA)優(yōu)化的SVM即GA_SVM模型,GA_SVM模型同樣以NSS數(shù)據(jù)來訓(xùn)練SVM網(wǎng)絡(luò),通過遺傳算法來獲取合適的SVM預(yù)測(cè)模型參數(shù),在SVM的預(yù)測(cè)過程中,懲罰因子、核函數(shù)的選擇對(duì)SVM預(yù)測(cè)結(jié)果有著決定性的影響,利用GA的自然進(jìn)化過程,以此搜索最優(yōu)解來選取懲罰因子和核函數(shù),能夠有效排除因人為選定參數(shù)帶來的精度影響。

3.2.2引力搜索算法優(yōu)化的SVM模型

陳玉鑫等[41]提出以引力搜索算法(Gravitational Search Algorithm,GSA)優(yōu)化的SVM網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型GSA_SVM模型,與GA_SVM模型相似,同樣采用的是找到SVM最優(yōu)參數(shù)的策略,不同的是GSA_SVM模型采用引力搜索算法不斷變化參數(shù)以找到最優(yōu)參數(shù),然后根據(jù)GSA擇取的最優(yōu)參數(shù)來構(gòu)建SVM的NSSP模型,與原生SVM相比,預(yù)測(cè)模型GSA_SVM具有高精度、高效率等特性。

3.2.3粒子群算法優(yōu)化的SVM模型

陳善學(xué)等[42]提出以粒子群算法(Particle Swarm Optimization,PSO)來對(duì)SVM預(yù)測(cè)模型進(jìn)行參數(shù)尋優(yōu),建立一種累加PSO_SVM的NSSP模型,思想與GA_SVM、GSA_SVM類似都是利用算法的尋優(yōu)特性對(duì)SVM參數(shù)優(yōu)化,該模型的數(shù)據(jù)序列累加策略能夠減少不規(guī)則數(shù)據(jù)對(duì)預(yù)測(cè)結(jié)果的擾動(dòng)和影響。

3.2.4模擬退火及BW算法優(yōu)化的HMM模型

李方偉等[43]利用模擬退火算法(Simulate Anneal,SA)及Bauw_Welch(BW)算法的結(jié)合來解決隱Markov預(yù)測(cè)模型參數(shù)難以配置的問題,能夠建立精度更高、收斂速度更快的HMM預(yù)測(cè)模型,利用入侵檢測(cè)數(shù)據(jù)有效對(duì)NSS數(shù)據(jù)進(jìn)行預(yù)測(cè)。

3.2.5最大熵法優(yōu)化的HMM模型

詹雄等[20]提出結(jié)合最大熵算法(Maximum Entropy Method,MEM)對(duì)態(tài)勢(shì)值預(yù)測(cè)進(jìn)行統(tǒng)一的判定,有效提高動(dòng)態(tài)、實(shí)時(shí)的NSSP態(tài)勢(shì)數(shù)據(jù)值的準(zhǔn)確性。

3.2.6加權(quán)優(yōu)化的HMM模型

Liang等[15]利用多尺度熵的方法,基于加權(quán)HMM構(gòu)建NSSP模型,多尺度熵用于解決訓(xùn)練數(shù)據(jù)的問題,并對(duì)HMM傳遞矩陣參數(shù)訓(xùn)練進(jìn)行了優(yōu)化,利用NSS歷史數(shù)據(jù)特征間的關(guān)聯(lián)對(duì)未來NSS數(shù)據(jù)進(jìn)行預(yù)測(cè)。

3.2.7灰色關(guān)聯(lián)熵卡爾曼算法

Wang等[26]利用灰色關(guān)聯(lián)熵分析法分析影響預(yù)測(cè)結(jié)果的相關(guān)性,根據(jù)選擇的關(guān)鍵影響因素建立相應(yīng)的過程方程和預(yù)測(cè)方程,通過一種改進(jìn)的迭代計(jì)算方法,引入具有自適應(yīng)魯棒性能的新型拼接卡爾曼濾波算法,提高鋰離子電池組的充電狀態(tài)預(yù)測(cè)精度,實(shí)驗(yàn)證明了灰色關(guān)聯(lián)熵卡爾曼算法比灰色系統(tǒng)理論預(yù)測(cè)精度更高。

3.3 神經(jīng)網(wǎng)絡(luò)類

3.3.1改進(jìn)貝葉斯正則化的BP神經(jīng)網(wǎng)絡(luò)

周顯春等[44]提出一種基于改進(jìn)的貝葉斯正則化的BP網(wǎng)絡(luò)結(jié)構(gòu),模型應(yīng)用了BP網(wǎng)絡(luò)結(jié)構(gòu)非線性映射能力強(qiáng)的特點(diǎn),同時(shí)作者還使用了層次化的預(yù)測(cè)思想,總結(jié)如圖6所示。

圖6 BP網(wǎng)絡(luò)結(jié)構(gòu)分層NSSP思想步驟

3.3.2MEA-BP神經(jīng)網(wǎng)絡(luò)模型

思維進(jìn)化算法(Mind Evolutionary Algorithm,MEA)是一種1998年被提出的通常應(yīng)用于對(duì)人工神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化的算法。在NSSP領(lǐng)域,Xiao等[45]提出基于MEA-BP模型對(duì)NSS數(shù)據(jù)進(jìn)行預(yù)測(cè),NSS數(shù)據(jù)有著非線性時(shí)間序列的特點(diǎn),為了解決BP網(wǎng)絡(luò)結(jié)構(gòu)的局部最優(yōu)解、多次迭代、效率低下的問題,作者優(yōu)化了其權(quán)重和閾值,使用基于思維進(jìn)化算法優(yōu)化的MEA-BP模型進(jìn)行未來的NSS數(shù)據(jù)預(yù)測(cè),有效提高了預(yù)測(cè)準(zhǔn)確率和效率。

3.3.3RBF參數(shù)的改進(jìn)優(yōu)化

孟錦等[46]提出一種利用混合遞階遺傳算法(Hybrid Hierarchical Genetic Algorithm,HHGA)對(duì)RBF結(jié)構(gòu)進(jìn)行參數(shù)選擇優(yōu)化的HHGA_RBF模型,能夠利用樣本數(shù)據(jù)確定RBF結(jié)構(gòu)及參數(shù),預(yù)測(cè)精度較高。

賴智全[47]結(jié)合人工魚群算法(Artificial Fish Swarm Algorithm,AFSA)、粒子群算法(Particle Swarm Optimization,PSO),提出一種利用兩者結(jié)合來對(duì)RBF結(jié)構(gòu)進(jìn)行參數(shù)尋優(yōu),從而構(gòu)建一個(gè)高效的NSSP模型IAFSA_PSO_RBF預(yù)測(cè)模型。

3.3.4聚類和自適應(yīng)的RBF改進(jìn)優(yōu)化

甘文道等[48]提出基于資源分配網(wǎng)絡(luò)(Resource Allocating Network,RAN)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)樣本數(shù)據(jù)進(jìn)行聚類,并用改進(jìn)粒子群算法(Modified Particle Swarm Optimization,MPSO)來進(jìn)行參數(shù)尋優(yōu)構(gòu)建NSSP模型。

李方偉等[49]提出自適應(yīng)聚類(Adaptive Clustering,AC)的RBF神經(jīng)網(wǎng)絡(luò)NSSP模型,在反映總體變化趨勢(shì)的同時(shí)能夠有效提高精度。李方偉等[50]又提出可使用吸引力傳播(Affinity propagation,AP)對(duì)NSS數(shù)據(jù)樣本進(jìn)行聚類,使用差分進(jìn)化(Differential Evolution,DE)來優(yōu)化RBF神經(jīng)網(wǎng)絡(luò),構(gòu)建一種基于APDE_RBF網(wǎng)絡(luò)結(jié)構(gòu)的NSSP模型。

3.3.5小波神經(jīng)網(wǎng)絡(luò)(WNN)的定量預(yù)測(cè)

Zhang等[51]利用改進(jìn)生態(tài)位遺傳算法(Improved Niche Genetic Algorithm,INGA)構(gòu)建了基于小波神經(jīng)網(wǎng)絡(luò)(Wavelet Neural Network,WNN)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型,該模型采用具有較強(qiáng)非線性能力和容錯(cuò)性能的WNN。最終仿真結(jié)果表明,所提出的INGA-WNN預(yù)測(cè)模型具有更快的收斂速度和更高的預(yù)測(cè)精度,能夠?qū)W(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行更精準(zhǔn)和更快速的預(yù)測(cè)。

4 應(yīng)用場(chǎng)景及實(shí)用性分析

使用于態(tài)勢(shì)預(yù)測(cè)的網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)通常包括(列舉數(shù)據(jù)含適用面最廣的KDD1999、CIC-IDS-2017或自行數(shù)據(jù)采集)。

(1) 以KDD1999數(shù)據(jù)集為例:TCP連接基本特征、TCP連接的內(nèi)容特征、基于時(shí)間的網(wǎng)絡(luò)流量統(tǒng)計(jì)特征、基于主機(jī)的網(wǎng)絡(luò)流量統(tǒng)計(jì)特征。

(2) CIC-IDS-2017入侵檢測(cè)評(píng)估數(shù)據(jù)集為例:CICIDS2017數(shù)據(jù)集包含良性和最新的常見攻擊,類似于真實(shí)的真實(shí)數(shù)據(jù)(PCAP)。它還包括使用CICFlowMeter進(jìn)行網(wǎng)絡(luò)流量分析的結(jié)果,并基于時(shí)間戳、源和目標(biāo)IP、源和目標(biāo)端口、協(xié)議和攻擊(CSV文件)標(biāo)記流量,也可以使用提取的特征定義。

(3) 自行數(shù)據(jù)采集:通常數(shù)據(jù)采集是指從各種設(shè)備當(dāng)中獲取各種與網(wǎng)絡(luò)空間安全的相關(guān)數(shù)據(jù),如系統(tǒng)日志、告警、信息、網(wǎng)絡(luò)拓?fù)涞取?/p>

網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)預(yù)測(cè)流程如圖7所示。

圖7 網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)預(yù)測(cè)流程

4.1 不確定性推理理論類分析

不確定性推理理論可以使用信息部分清楚、部分不清楚并帶有不確定性現(xiàn)象的數(shù)據(jù),通常不需要大量樣本,且數(shù)據(jù)不需要有規(guī)律性分布,通常計(jì)算工作量小,預(yù)測(cè)精準(zhǔn)度較高,對(duì)于不確定性問題的描述很靈活和方便。

由于網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)的采集需要通過軟硬件技術(shù)的結(jié)合來產(chǎn)生和收集網(wǎng)絡(luò)安全數(shù)據(jù),可能導(dǎo)致網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)信息存在不確定性,部署的態(tài)勢(shì)數(shù)據(jù)搜集工具可能存在時(shí)間、空間、部署成本等因素的局限性因而導(dǎo)致數(shù)據(jù)樣本數(shù)量較少,且網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)通常呈不均勻分布。綜上所述,不確定性推理理論適用于小數(shù)據(jù)、貧信息時(shí)候的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)工作。

4.2 機(jī)器學(xué)習(xí)及人工智能類分析

通常情況下機(jī)器學(xué)習(xí)及人工智能類方法可以解決高維特征數(shù)據(jù),機(jī)器學(xué)習(xí)及人工智能類方法可以解決小樣本問題、非線性問題、不易陷入局部極小值問題,且泛化能力比較強(qiáng);其中卡爾曼算法還具有占用內(nèi)存小的優(yōu)點(diǎn),運(yùn)行速度很快,很適合于實(shí)時(shí)問題和嵌入式系統(tǒng)。

由于網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)通常有高維度的特征,可能由于部署的態(tài)勢(shì)數(shù)據(jù)搜集工具存在時(shí)間、空間、部署成本等因素的局限性因而導(dǎo)致數(shù)據(jù)樣本數(shù)量較少,所以面臨小樣本問題,通常情況下網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)呈現(xiàn)非線性變化。綜上所述,機(jī)器學(xué)習(xí)及人工智能類方法適用于小樣本、非線性的安全態(tài)勢(shì)預(yù)測(cè)工作。

4.3 神經(jīng)網(wǎng)絡(luò)類分析

神經(jīng)網(wǎng)絡(luò)能夠自適應(yīng)、自主學(xué)習(xí),不斷地調(diào)整神經(jīng)網(wǎng)絡(luò)中的參數(shù)以達(dá)到最符合期望的輸出,并且其非線性映射能力,有強(qiáng)大的理論支撐,個(gè)人神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)方法不易陷入局部極小問題,具有較強(qiáng)的輸入、輸出映射功能。

由于網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)通常呈非線性變化,通常還是一種從輸入到輸出的映射過程,網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)通常呈不均勻分布,但如BP神經(jīng)網(wǎng)絡(luò)擁有強(qiáng)大的理論支撐能夠更好地解釋態(tài)勢(shì)預(yù)測(cè)的過程及結(jié)果,RBF神經(jīng)網(wǎng)絡(luò)無局部極小問題可以有效解決控制數(shù)據(jù)呈不均勻分布帶來的影響。綜上所述,神經(jīng)網(wǎng)絡(luò)類方法適用于安全態(tài)勢(shì)預(yù)測(cè)工作。

5 結(jié) 語

NPPS相關(guān)技術(shù)經(jīng)過多年的發(fā)展取得了較大的進(jìn)展,在多種原有的預(yù)測(cè)模型基礎(chǔ)上進(jìn)行優(yōu)化,構(gòu)建混合模型提高預(yù)測(cè)精度或效率,或是創(chuàng)新選用一些相對(duì)冷門的預(yù)測(cè)模型嘗試對(duì)NSS進(jìn)行預(yù)測(cè)。

調(diào)查研究發(fā)現(xiàn)還有許多的數(shù)據(jù)預(yù)測(cè)方法沒有被嘗試使用在網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)領(lǐng)域,為了適應(yīng)目前網(wǎng)絡(luò)安全態(tài)勢(shì)的需求和發(fā)展,網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)技術(shù)需要考慮以下方向的發(fā)展:

(1) 將更多其他領(lǐng)域發(fā)展成熟的數(shù)據(jù)預(yù)測(cè)方法嘗試在NSSP領(lǐng)域進(jìn)行應(yīng)用,取得更好的效果。

(2) 選用相應(yīng)算法對(duì)模型調(diào)優(yōu)的例子多,但創(chuàng)新的混合模型仍相對(duì)較少,可嘗試創(chuàng)新更多的混合預(yù)測(cè)模型來提高精度和效率。

(3) 網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估和預(yù)測(cè)缺乏通用的權(quán)重和定義標(biāo)準(zhǔn),應(yīng)考慮構(gòu)建詳盡的通用標(biāo)準(zhǔn)。

(4) 網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)著眼于大規(guī)模網(wǎng)絡(luò),由于通常情況下網(wǎng)絡(luò)的數(shù)據(jù)流量大、網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量眾多、網(wǎng)絡(luò)環(huán)境復(fù)雜且異構(gòu),因此網(wǎng)絡(luò)安全態(tài)勢(shì)依然面臨著難以預(yù)測(cè)的狀況。

本文梳理近五年在NSSP領(lǐng)域的研究成果,分為不確定推理理論預(yù)測(cè)法、機(jī)器學(xué)習(xí)與人工智能方法、神經(jīng)網(wǎng)絡(luò)法三大類來介紹NSSP技術(shù),對(duì)各預(yù)測(cè)模型的特性及優(yōu)缺點(diǎn)進(jìn)行闡述,并梳理時(shí)下熱門的NSSP混合預(yù)測(cè)模型及優(yōu)化模型以提高預(yù)測(cè)精度與效率,為研究人員和網(wǎng)絡(luò)安全從業(yè)人員提供有效技術(shù)方案或優(yōu)化策略參考,能夠使研究人員對(duì)各預(yù)測(cè)方法有更深入的了解,對(duì)目前NSSP的發(fā)展和面臨的挑戰(zhàn)有更為詳細(xì)的認(rèn)識(shí)。