王 瑞李芯蕊马双斌

1(甘肃省公安厅网络安全保卫总队 兰州 730030)2(兰州大学甘肃省信息安全等级保护测评中心 兰州 730030)2(兰州大学应用技术研究院有限责任公司 兰州 730030)(313916914@qq.com)

随着互联网的高速发展，网络安全事件的逐年大幅递增，使得网络安全问题成为各国研究的热点.网络安全态势预测是指对网络安全原始数据进行采集后，使用信息识别技术提取网络安全的态势因子，运用合理的安全态势预测方法得到网络安全态势值，并对网络安全状况进行预测[1].围绕安全态势要素、安全态势预测和态势可视化等进行研究；安全态势预测技术是核心问题[2-3].

目前有很多文献对网络安全态势预测方法进行研究，主要采用D-S理论、粗糙集理论、贝叶斯、神经网络、嫡理论和专家系统等方法，都取得了一定的成果，对后续的研究工作起到了积极的指导作用.以Tim Bassb的理论为基础，Salerno等人[4]提出通用的态势感知的框架；Ames等人[5]将隐马尔可夫模型运用到网络安全态势评估领域，通过当前网络状态计算网络威胁值；美国的劳伦斯伯克利国家实验室(Lawrence Berkeley National Lab)利用一种三维空间的视角对网络流量进行描述，提高对威胁的感知能力[6]；韦勇等人[7]提出将通过各节点的网络安全态势值的结合，综合评判节点所在网络的安全态势，其特点在于对节点日志信息的关联分析，还通过节点的性能指标对相应的威胁权重进行修正；张勇等人[8]分析态势感知中威胁的传播规律，并建立Markov博弈模型对产生威胁的三方进行博弈推理，动态地评估网络安全态势.网络安全态势预测的研究对于提高网络的监控能力、应急响应能力和预防干预能力都具有重要的意义.网络安全态势预测并不仅仅是对数据源进行预测，针对目前网络安全态势评估方法中的模型参数不容易获取、模型消耗时间长且可信度不高等问题，本文综合考虑网络安全态势的各方面因素，设计基于ELM的网络安全态势预测模型，可以直观方便预测当前网络安全态势值，对当前网络安全态势有一个全面的把握.

1 极限学习机原理

极限学习机(ELM)的网络模型结构图如图1所示.具有N个隐含神经元的单隐层前向神经网络(SLFN)，可以学习N个具有任意小误差的不同样本，其输入权重和隐含层偏差随机分配.因此只需要调整输出权重，而对输入权重和隐层偏差的调整对SLFN的性能没有贡献.极限学习机(ELM)随机选择输入权重和隐层偏差，然后可以获得输出权重.与传统算法相比，ELM具有更快的学习速度和更好的泛化性能.其具体工作原理如下[9-10].

图1 ELM模型结构图

给定n个不同样例(xj,yj)，其中xj为输入向量，yj为输出向量，有l个隐含层节点，激活函数为h(*)，wi=[wi 1,wi 2,…,wi n]T表示输入节点与第i个隐含节点之间的输入权重，βi=[βi 1,βi 2,…,βi m]T是第i个隐含节点与输出节点之间的权重，bi为第i个隐含节点的偏移量.

以零误差方式逼近给定的n个样例，有wi，b和βi使式(1)成立：

(1)

即：Hβ=Y，H为隐含层输出矩阵，Y为样本输出向量，其中：

H(w,b,x)=

(2)

(3)

(4)

在隐层神经元数和训练集样本数相同的情况下,任意w和b可以使单隐层前馈神经网络以零误差方式靠近输入向量，即

(5)

其中,j=1,2,…,n.当训练集样本个数较大时，通常取隐含层神经元的个数l0，即

(6)

当选定激活函数h(x)无限可微时，对任意的w和任意的b，β的值可以通过式(7)求解，即

(7)

H为隐层的输出矩阵，在ELM中随机给定输出权值和阈值，矩阵H就变成一个确定的矩阵，ELM的训练就转化成求输出权值矩阵的问题.输出权值矩阵β可由式(8)得到：

(8)

式(8)中H+为隐含层输出矩阵的Moor-Penrose广义逆.

ELM算法流程如下：

1) 随机产生参数(wi,bi)，i=1,2,…,l(其中l为隐含层神经元的个数)；

2) 根据式(7)计算隐含层输出矩阵H；

2 网络安全态势预测的原理

网络安全态势预测是一个复杂的过程，受到多种影响因素的影响，不访假设这些预测指标为{x1,x2,…,xn}，预测指标之间又相互作用，不同指标对网络安全态势预测的作用不同，使得预测指标与网络安全风险值之间不是简单的线性关系，是一种十分复杂的非线性关系，这些因素最终产生的影响为

y=f(x1,x2,…,xn),

(9)

式中,f(*)为非线性拟合函数.

由式(9)得知，网络安全态势预测结果与预测指标以及非线性拟合函数直接相关.我们在预测过程引入极限学习机，建立基于ELM的网络安全态势预测模型.本文采用基于极限学习机的非线性模型对其进行预测，其预测结构如图2所示:

图2 网络安全态势预测原理图

3 仿真实验

3.1 数据选取

本文采用的数据样本为国家互联网应急响应中心网站公布的真实数据.把安全态势分为5个等级，分别为:优、良、中、差、危.为方便量化分析模型，将5个级别的安全态势与数字相对应，如表1所示：

表1 安全态势与数字对应表

本文对自2014年第1期至2016年第52期的《网络安全信息》与《动态周报》进行统计，筛选出148组数据进行归一化处理，随机取出138组作为训练数据，10组作为测试数据.

3.2 结果与分析

为评估本文提出的基于ELM的网络安全态势预测模型的有效性，我们在MATLAB2014a平台实现该模型.同时，与基于BP神经网络的网络安全态势预测模型进行对比分析.

从图3和图4可以看出，ELM模型的预测值能较好地逼近真实值，预测误差更小，具有较好的预测效果.

图3 ELM预测输出结果与BP预测输出结果对比

图4 ELM预测误差与BP预测误差对比

表2 不同模型预测精度对比

从表2可知，基于极限学习机网络态势预测模型的均方误差(MSE)和平均绝对误差(MAE)均低于基于BP神经网络网络态势预测模型，尤其是在时间方面远远低于基于BP神经网络网络态势预测模型.由此可见，基于极限学习机的网络安全态势预测模型预测精度高于传统的BP神经网络预测模型.

4 结束语

本文提出了一种基于极限学习机的网络安全态势预测模型，给出了解决网络安全与管理的一种尝试方法.基于极限学习机的网络安全态势预测模型可以帮助网络安全管理人员提前对网络安全形势进行预判，便于其采取相应措施，提升网络应急处理能力.