基于PSO-SVR的网络态势预测模型

2018-08-16瑞李芯蕊马双斌

信息安全研究 2018年8期

王瑞李芯蕊马双斌

1(甘肃省公安厅网络安全保卫总队兰州 730030)2(兰州大学甘肃省信息安全等级保护测评中心兰州 730030)3(兰州大学应用技术研究院有限责任公司兰州 730030)(313916914@qq.com)

随着网络的发展，各行业经营模式的互联网化，使得网络成为我们生活中不可或缺的一部分.同时，网络安全问题也日益严峻，最近的勒索病毒更是对我们的一个严重警告，时时刻刻提醒着我们生活的网络环境仍然存在着很大的不安全性以及不确定性.网络安全态势预测(network situation prediction)是指在一定环境下，基于当前的网络安全态势的评估值和以前的一段时间周期内的历史评估数据，通过具有有效规则的网络安全态势值来表达网络运行的安全状况，模拟相同条件下下一时间周期的安全态势宏观变化情况，给网络管理员提供必要的安全防范策略决策支持.网络安全态势的概念于1999 年由Bass[1]正式提出，并构建了基于多传感器数据融合的网络安全态势感知模型.随后，国内外许多研究者投入大量精力对网络安全态势预测的相关理论及实践进行研究：Lai等人[2]提出附加权重的GM(1,1)预测模型对网络态势进行预测的方法；在Bao等人[3]提出的入侵意图的基础上，针对多步攻击的预测算法，谢丽霞等人[4]通过自适应遗传算法优化RBF神经网络的参数，并建立预测模型对网络态势进行感知；唐成华等人[5]针对态势评估性能所存在的问题，提出了DS融合知识的评估方法.

目前网络安全态势预测模型主要有灰色理论预测模型、回归分析预测模型和神经网络预测模型.灰色理论预测模型具有很强的适用性，同时其算法简单且易于实现.灰色模型计算工作量小，并且可以通过对少量样本的分析来体现网络的安全态势[6].但是，灰色理论模型预测的精度不高，具有较大误差，仅能反映基本的网络安全的未来走势，导致其应用范围狭窄，具有很大的局限性和不科学性.回归分析预测模型在时间上表现了很好的相关性，它能根据历史自变量值来估计因变量的总体平均值.同时，在预测结果方面，回归分析预测模型也体现了因变量的随机性及周期性.但是，回归分析预测模型也有一定的不足之处，它需要繁多的人工操作，对于中长期的情况，该方法效果并不理想.神经网络是在现代神经科学的基础上提出和发展起来的，它是由神经元作为基本单位，大量的微处理单元连接而成的复杂的、能够进行任务并行处理的系统.它通过非线性的方式将复杂的问题进行转换，随后通过超强的自组织、自学习能力，建立模型来处理不精确、模糊或海量的信息.但是神经网路方法需要较长的训练时间，消耗比较大，容易受到主观因素的影响，陷入局部极小值[7]，影响结果的客观性.

1 支持向量机

支持向量机是由Corinna Cortes和Vladimir Vapnik在1995年提出，它是一种监督学习模型，可用来进行数据分类、回归分析以及孤立点检测等应用.其优势在于它在高维空间中有效，且通过核机制的引入，能有效执行非线性分类的情况，针对线性不可分情况，引入核函数有效克服维数灾难[7].支持向量机的另一个特点在于它是把结构风险最小化，可以有效解决易陷入局部最小和过学习的问题.

支持向量机的结构示意图如图1所示：

图1 支持向量机的结构示意图

在图1所示支持向量机的结构中，要选择满足下述定理1的特征的核函数，将非线性的输入隐式映射到高维的特征空间中.

定理1[8]. 若对称函数K(μ,υ)能以正系数αk>0展开成

(1)

其充要条件为K(μ,υ)是某个特征空间中的内积，在使g≠0条件下：

(2)

∬K(μ,υ)g(μ)dμdμ>0

(3)

成立.

1.4.2 现有居家养老服务难以满足农村老人医疗护理服务需求随着经济社会发展以及医疗技术水平的提高，在带来老年人寿命延长的同时，也导致了老年人群的残障比增加。据第六次人口普查资料显示（图3），随着年龄的增长，农村自评为健康的老年人下降明显，失能、失智的老年人数目不断增加。同时，由于长时间从事重体力劳动、又缺乏体检等预防性观念，农村老年人的健康状况与城市相比较差，农村老人存在“潜在的”医疗服务需求，但是农村医疗资源相对缺乏、供给缺位，不利于农村居家养老服务项目和服务内容的拓展。

2 粒子群优化支持向量机

核函数和惩罚函数都具有可调节性，对支持向量机模型的建立起着至关重要的作用.选择合适的核函数将数据投影到比较合适的特征空间后才能使用支持向量机进行分类和预测[9].根据数据样本的规模和特点，并针对本文的网络态势预测问题，可以选择粒子群算法来优化支持向量机的参数.在解决网络搜索算法受限的问题上，粒子群算法和遗传算法都可以作为优化算法，但粒子群算法未使用交叉和变异操作，简化了操作步骤，提高了效率.

每个优化问题的潜在解其实就是粒子群算法的“粒子”，可以把它当作一个D维搜索空间上的点.

粒子群算法(particle swarm optimization)的基本原理可以描述为：假设在D维搜索空间中共有n个粒子以一定的速度在飞行，选取种群X=(X1,X2,…,Xn)，第i个粒子的位置为Xi=(xi 1,xi 2,…,xi n)，第i个粒子的速度为Vi=(vi 1,vi 2,…,vi D).根据目标函数计算出Xi对应的适应度值，其中Pi=(pi 1,pi 2,…,pi D)为其个体极值，种群的全局极值为Pg=(pg 1,pg 2,…,pg D).粒子的速度和位置的更新公式为

vi j(t+1)=wvi j(t)+c1r1(pi j(t)-
xi j(t))+c2r2,

(4)

xi j(t+1)=xi j(t)+vi j(t+1),

(5)

其中，w为惯性权重，i=1,2,…,n，j=1,2,…,d.

可以得到粒子群优化参数选优的具体过程为[10]：

Step1. 根据适应度函数评价粒子，直到满足停止迭代条件，其中适应度函数是根据交叉验证意义下的误差确定;

Step2. 初始化具有n个粒子数目的种群，设定空间位置和速度、最大迭代次数kmax、惯性权重w、学习因子c1,c2以及终止条件;

Step3. 求种群中每个粒子的适应度值;

Step4. 比较每个粒子的适应值和经过位置pbesti；效果好，作为当前最优位置pbesti；否则，保持原位置;

Step5. 比较每个粒子适应值和全局所经历的最优位置gbest，效果好，则将其作为种群经历的最优位置gbest;

Step6. 按照式(4)(5)对粒子速度和位置进行更新;

Step7.判断是否符合终止条件，若满足则输出，否则转Step3;我们把循环终止条件设为达到最大迭代次数genmax.

3 建立PSO-SVR预测模型

本文取绝对误差、平均绝对误差、平均相对误差和平均平方根误差作为实验的评价指标；这些值越小，说明预测得越准确.

本文采用的实验数据来自国家互联网应急中心网站上公布的态势报告，我们分别选取5个影响安全态势的因素：主机数量-感染病毒、网站数量-被篡改、网站总数-被植入后门、网站数量-仿冒页面和信息安全漏洞数量-新增.安全级别可分为：优、良、中、差、危.将安全态势转换为数字表示，如表1所示:

表1 安全态势与数字对应表

本文提出了基于PSO-SVR的网络态势预测模型，将过去和现在的统计指标数据进行归一化处理，形成历史网络态势值，将该值经过模型训练和测试后，可以达到预测未来的网络态势值的目的.在本文中我们取100周的态势报告，形成100组数据.取前90周作为训练，后10周作为模型预测.数据集中包含5个特征和1个标签.