国家电网蚌埠供电公司 易 飞

基于进化神经网络模型的网络安全态势要素提取方法研究

国家电网蚌埠供电公司 易 飞

针对网络安全态势要素提取不全面和不准确的近况，以神经网络模型为基础，展开了基于遗传进化算法的进化神经网络模型的网络安全态势要素提取方法研究。拟使用遗传进化算法对神经网络结构进行优化，进而建立一种进化神经网络模型。研究表明，在该种模型下，对提取大量网络安全状态数据中的态势要素的精确度方面有了很大程度的提升，此外，还能对其进行较为广泛的推广和普及。同时，为实现网络安全态势感知的实现提供了一个全新的想法和突破点，可以证实该模型的准确性和有效性。

进化神经网络；网络安全；态势要素；优化设计

近年来，随着网络技术的不断发展和网络攻击工具的傻瓜式使用，网络攻击手段正朝着多元化方向发展，信息泄露等安全事件发生频率不断提升。当下网络安全态势感知被公认为是网络安全这门学科的主要研究方向，而对精确实现网络安全态势要素提取则是实现感知系统的第一步。在国内，网络安全学科的发展也正迎头赶上，特别是在聚类分析和分类分析等方面。一些研究工作者已经对相关问题做出了一定程度上的优化和解决，这些工作为以后的安全态势要素的研究工作奠定了基石。其中华东理工大学的张学琴团队提出了一种基于Fisher分和支持向量机的网络入侵检测特征提取方法；哈尔滨工程大学的王慧强教授将进化策略和神经网络应用到网络安全态势要素提取技术中，提出了一种基于进化神经网络的态势要素提取模型[3]。

1.理论基础

1.1态势要素获取的本质分析

网络安全态势要素提取的实质就是发现存在于网络中的各种引起异常的安全问题，并转化为某种方式告知安全系统。王慧强教授将网态势要素定义为一种二元组SF=(N,W)。其中N代表态势要素的名称，W代表态势要素所占的权重，即该态势要素对你系统的影响程度。由此可看出，网络安全态势要素提取的实质是一个分类识别的问题，是对于网络中的每条连接，判断它是否属于网络中的正常连接，如果不是正常连接，用系统模型去识别它属于哪种异常连接，进而作为网络安全要素反馈给系统模型。

1.2态势感知分层实现模型

由于现阶段正是安全态势感知研究的发展时期，该学科的发展需要学习和借鉴专业领域的成熟先进的理念和技术。Endsley于1995年提出了态势感知理论模型，该理论模型着重于对态势感知进行理论上的了解，并对相关因素进行量化融合分析的处理[1]。至此，态势感知理论模型的应用主要被分为对态势要素的提取、理解和预测三个层面，这也为科研工作者提供了真实可靠的决策思路与依据。

在此模型中，我们定义大规模网络安全态势来源于网络系统提供的网络服务程序，一般计算机网络系统中出现的各种异常问题都会间接或直接的影响大量的网络服务的正常工作。为了更好的分析系统网络所面临的异常问题及所受到的攻击行为对安全状况的影响，需要明确网络安全态势的主要影响层面，并且对其逐一分析。

从查阅文献可知，对网络安全态势的威胁可以从三个角度来进行阐述，随后分别从这三个角度来对网络的状态加以评价。具体说来，就是从行为层次方面、在线服务方面和网络安全性方面。上述三个方面的安全性检验可依照关键信息点的采集、态势分析及预判等三个过程依次进行。

BP神经网络算法是当前使用最多、最成熟的提取网络安全态势要素的算法之一，它凭借着强大的兼容并行的特性、易于使用掌握的便捷性以及减少计算复杂程度的简化性而成为一种被普罗大众所广泛接受的算法。我们可以将这种算法的核心定义为搜寻最小误差。但是同时，他也存在着一些不足，特别在求安全态势要素方面，通常存在收敛速度慢，学习效率低下不足的问题。究其原因，是由于其在处理非线性规划时采用了最速下降的理论，以至于造成了上述不足。

结合上述的优劣势分析，笔者根据自身经验，提出了一种采用进化策略来改进神经网络算法的训练方法。该方法的优势在于可以使训练处的网络模型分类准确度高并且不容易陷入局部循环的情况。这恰好弥补了BP算法的缺陷，使得搜索效率得到较大提升。

2.进化神经网络模型

想要将网络安全态势的相关信息提取出来，可分为如下两个大的方向：首先要进化训练神经网络，再根据相关需求对数据和参数进行提取。其进化步骤分别为∶结构编码(染色体表示法)、变异策略、适度函数选取。

2.1进化策略结构编码

神经网络的数据处理能力不但跟神经元之间的协同强度相关联，而且与神经元所构成的拓扑结构、处理单元之间的输入输出特性相关。所以利用进化策略对态势要素提取模型进行优化处理，最重要的是染色体如何表示，即如何基因编码。首先假设r,s,t为态势要素提取模型中的输入层、隐藏层和输出层的处理单元个数。在该进化模型中我们采用的是个体表示法，采用比较传统的十进制进行表示，其中个体的编码分为两大块：(Xk, αk)，其中Xk表示进化到第k代的个体，αk表示进化到第k代个体的连接权值或阂值。并且这两大部分满足：

式中，Xk表示第k代个体；N(0,σ)代表服从正态分布的随机数，其均值为零，标准差为σ。新个体Xk+1，是在旧个体Xk的基础上添加一个独立随机变量N(0,σ)生成的。

2. 2 适应度函数选取

在进化策略模型中，衡量个体好坏的比的标准是适应度函数选取的是否合适。分类选择计算是按照一种准确的方式进行，故可以将该优化模型的目标函数值设定为每个处理单元的适应度函数，而不需要对目标函数进行任何变换处理。在这里定义模型的适应度函数为：

2.3算法描述

利用遗传进化策略构建的进化神经网络模型的主要步骤如下：第一步：初始化相关参数，设定神经网络模型的输入层，输出层，隐层神经元个数分别为r,s,t；设定算法终止精度要求为ξ，令初始化进化代数k=1；第二步：随机产生一系列初始父本，初始父本个数n应满足对神经网络模型的训练精度要求，按公式一计算每个父本的适应度；第三步：对任一父本，变异产生子代，并计算其子代的适应度函数；第四步：进化代数为k+1，若，则完成进化，否则进入第二步继续迭代。

3.模拟与分析

3.1原始数据描述

实验所用的初始数据来自WenkeLee等人于1998年在美国国防部高级研究计划局作IDS评测时获得的数据基础上恢复出来的连接数据信息，即DARPA入侵检测数据集[1]，见表1。

表1　DARPA数据集攻击分布统计表

鉴于原始数据的数据量过于庞大，故在数据采纳之前采用了分层抽样的概率统计方式，采用这种方法主要旨在使抽样数据和原始数据保持一定的一致性。反馈数据集和测试数据集的比例是7∶3，但是相异的数据可能具有同样的比重。

3.2实验结果

本次实验的误差分析主要从算法的平方和误差和适度函数值这两个方面来着手进行，利用MATLAB进行仿真分析验证，再从其结果中对网络安全状态数据的分类性能做出反馈。通过误差分析和曲线拟合，即可得到两种算法下的误差判定指标的值，即误差平方和与适应度函数随进化代数的增加曲线。如图1、图2图实线所示为基于进化策略的神经网络模型训练算法，虚线所示为基于遗传算法的神经网络模型训练算法。

图1　误差平方和变化曲线图

图2　适应度函数变化曲线图

通过进行误差分析可知，基于进化策略的神经网络模型训练算法在进化到100代时，便可以看出基于进化策略的神经网络训练算法的收敛性较基于遗传算法的神经网络模型训练算法好。因此，在进行网络安全态势要素提取实验时，算法必然具有较好的数据分类精度，并且算法性能稳定。

网络的安全性始终是一个不会过时的话题，它的态势感知也将是极具可持续性的一个话题。本文提出了神经网络算法模型，可在网络安全状态和分析维护中起到关键性作用，在快速防止网络被攻击方面的作用同样不容小觑。当然，从整体来看，本文还有很多的不足和缺憾，比如没有具体量化影响网络安全的相关因素并确定其量化响应机制，这也将是将来的研究的方向和重点需要考虑的地方。

[1]梁颖.基于数据融合的网络安全态势定量感知方法研究[D].哈尔滨:哈尔滨工程大学,2007.

[2]萧海东.网络安全态势评估与趋势感知的分析研究[D].上海:上海交通大学,2007.

[3]郭剑.网络安全态势感知中态势要素获取技术的研究[D].东北:东北大学,2011.

[4]梁颖,王慧强,刘磊.基于网络服务状态分析的安全态势定量感知方法[J].北京交通大学学报,2009(4).

[5]卿松.网络安全态势感知综述[J].计算机安全,2011(10).

易飞（1983—），男，安徽蚌埠人，工程师，硕士，主要从事信息通信研究。