VoI.34 No.3 1O6 舰船电子工程 Ship Electronic Engineering 总第237期 2014年第3期 基于HHGA—RBF算法的网络态势预测模型研究 杨美兰 张大鹏 宋世延。 罗(1.国防信息学院研究生管理大队武汉悦 葫芦岛125000) 430010)(2.92493(3.海军工程大学电子工程学院武汉430033)(4.161医院武汉430010) 摘 要 安全态势评估作为网络安全态势技术的重要组成部分,对于最终决策的制定起着关键作用。目前关于安全态 势评估的研究较为热门,但尚不成熟,其中安全态势预测更处于起步阶段。在对现有网络安全态势评估方法和技术进行调 研分析基础上,基于对当前网络安全态势的数据分析,得到量化后的离散数据点,研究得出这些离散数据点在时间轴上具有 非线性分布的特点,提出了一种基于HHGA-RBF算法的网络安全态势预测模型,对态势评估输出的数据,采用预测模型对 安全态势的发展趋势进行预测。根据网络安全态势的实际特点,对该算法进行了改进,详细讨论了具体的预测算法和执行 过程。最后,设计并实现了军用网络安全态势评估软件系统,实现了网络态势预测。 关键词安全态势评估;网络态势预测;HHGA-RBF;系统开发 TP391 DOI:10.3969/j.issnl672—9730.2014.03.028 中图分类号Prediction Model of Network Situation Based on HHGA-RBF Algorithm YANG Meilan ZHANG Dapeng。SONG Shiyan。LUO Yue (1.Postgraduate Department,Defense Information School,Wuhan 430010)(2.No.92943 Troops of PI A,Huludao 125000) (3.Electronic Engineering College,Naval University of Engineering,Wuhan 430033) (4.The 161 Hospital of PLA,Wuhan 430010) Abstract Security situation assessment is an important part of network security posture technology.Currently the se— curity situation assessment is a popular topic but not yet mature,in which security situation is in its infancy forecast.Based on research and analysis of existing network security situation assessment methods and techniques,quantified discrete data points are botained after analysis of the current network security situation data.Research is done to get these discrete data points on the timeline with nonlinear characteristics of the distribution.a prediction mode1 based on HHGA—RBF network se— curity situation is proposed,which can assess output situation data and forecast the development trend.According to the ac— tua[characteristics of network security situation,the algorithm has been improved though detailed discussion of specific pre— diction algorithm and implementation process.Finally,one pair of military network security situation assessment software system is designed and implemented.System development follows the software engineering theories and techniques and im— plements the network trend forecasts and realizes the network trend forecasts. Key Words security situation assessment,networking trend forecasting,HHGA-RBF,system development Class Number TP391 1引言 现阶段网络安全问题愈发严重,一方面是由 击工El ̄3] 塞 曼案 鑫轰 动态反映网络安全状况,并对其发展趋势进行预 于互联网的应用范围越来越广泛,规模越来越庞 大,另一方面由于系统脆弱性不断发现,简单易用 测和预警,为增强网络安全性提供可靠的参照依 据。因此,网络安全态势评估模型及关键技术已 收稿日期:2013年9月13日,修回日期:2013年1O月30日 作者简介:杨美兰,女,硕士研究生,研究方向:网络技术。张大鹏,男,工程师,研究方向:计算机应用技术。宋世延, 男,硕士研究生,助教,研究方向:计算机应用技术。罗悦,女,硕士,助理工程师,研究方向:信息管理技术。 2014年第3期 舰船电子工程 1O7 成为目前网络安全领域的研究热点[4]。为了应对 未来出现的网络战争,需加强对军内网络安全防 为主,这是因为神经网络尤其是径向基神经网络具 有良好的逼近性能和处理非线性数据的优势¨9]。 大部分都是基于离线学习的思想,且学习过程漫 长,精度有限,对大规模网络安全态势的预测效果 不理想。针对以上问题,本文重点研究网络安全态 势预测。 护措施。传统的网络安全防护大多是从防御角度 对网络资源进行保护,而网络安全态势评估技术 则是一种主动的网络防护技术。目前在该领域的 研究还处于起步阶段,大多数的研究还停留在理 论上。 2.2 网络安全态势感知中的关键技术 网络在不同时刻的安全态势彼此相关,安全态 势变化有一定的内部规律,这种规律可以预测网络 态势预测基于过去和当前的态势评估结果,对 网络整体或局部的安全态势在未来某个时间点或 在将来时刻的安全态势_5],从而可以有预见性地指 导管理员进行安全策略的配置,实现动态的安全管 理,预防大规模安全事件的发生。本文采用的预测 方法是基于时间序列分析的方法,时间序列分析是 利用态势评估得到的结果,通过曲线拟合和参数估 计,建立相应的模型进行预测,具体实施时采用 HHGA—RBF模型。 军用网络安全态势评估技术研究和系统开 发_6],对于提高军用网络的安全防护能力,进一 步保证军用网络资源不被非法获取和破坏具有 重要意义。通过系统的实现与测试,证明该模型 能够有效地对当前的网络安全态势实现量化评 分,并对安全态势的发展趋势具有一定的预测能 力。 2相关理论基础 2.1 网络态势预测基本理论 态势感知最早是起源于航空应用领域,用于对 当前空域中的飞行流量进行研究、判断、预测。蒂 姆贝斯将这一研究理论和成果应用于网络安全的 研究领域,最早提出了网络安全态势感知的相关理 论和定义_7 ]。在以之后,各个国家的专家和学者 从各个不同的角度对这一技术进行了研究,给出了 自己的定义。到目前为止,尚未形成一个统一的, 被普通承认的定义。本文中采纳的对于网络安全 态势的定义为:通过对目标网络中所有节点设备的 信息采集,获取节点的运行情况,通过对网络中数 据的分析,获取网络的活动情况,以及网络用户的 行为等信息,综合以上信息和数据,实现对当前网 络状况的准确定义和及时判断,并以此为基础,对 目标网络未来一段时间内的安全状况进行预测。 对于网络安全态势的研究而言,其目的是为了能够 在网络的安全状况发生变化时,通过对以上主要影 响因素的获取和及时响应,实现对系统中资源的安 全保护。 现有的为数不多的态势预测手段以神经网络 一段时间的发展趋势进行预测_l 。目前,有很多 成熟的预测算法可用,比如人工神经网络、灰色理 论和时间序列分析等等,它们有各自的特点和适用 范围。 人工神经网络是一种模拟人的认知过程,将信 息分布式存储和并行协同处理的非线性动力系 统l_1 ,其实质是将当前时刻的输出表示为前几步 输入和输出值的非线性函数。常用的ANN是三 层BP神经网络,包含输入层、隐含层和输出层,首 先确定输入和初始权值,然后正向计算每一层的输 出,接着根据计算结果反向调整每一层的权值,然 后再从新计算,如此反复调整权值直到计算结果满 足需求。 目前对此方面的研究主要有两种思路:第一种 基于单个入侵攻击事件,利用单次预测结果,结合 每种攻击的威胁程度,计算相应的下个或多个时刻 的态势值,此种方法在确定每种攻击威胁程度时需 要主观经验判断;第二种基于非线性时间序列进行 预测,综合分析历史安全态势规律以预测未来某一 时刻或某一时间段内的安全态势。 在对第二种方法的研究中,文献[12]初步探 讨了一种基于RBF神经网络的网络安全态势预 测方法,通过大量实验和训练来建立RBF神经网 络模型用于态势预测,但仅使用了报警的数量、类 型等作为预测的依据,没有考虑网络整体状态趋 势,并且选择的是基本的RBF神经网络,没有进 行数据训练,存在基函数选择困难和数据量大的 问题。 Liu XiaoE¨]等利用小波神经网络解决非线性 时间序列预测问题,所表现出了收敛速度和容错能 力等方面的优势。文献E143提出了一种基于小波 神经网络的动态定量预测网络安全态势的方法,并 用改进后的遗传算法进行优化。本文的研究方法 同样基于时间序列,提出了在用RBF神经网络对 态势值进行预测的同时,使用HHGA对RBF神经 网络进行了训练。 108 杨美兰等:基于HHGA-RBF算法的网络态势预测模型研究 总第237期 2.3与传统网络安全防范技术的对比 心和扩展宽度后,输出层权值可以采用最小二乘 法进行设计。为此,将HGA与最小二乘法相结 合,采用基于混合递阶遗传算法(Hybrid Hierar— chy Genetic Algorithm,HHGA)的RBF神经网 网络安全态势评估系统是一种新的基于主动 防御的网络安全技术。在网络安全的保障方面,目 前主要采用的是防火墙、入侵检测系统等,这些传 统的网络安全技术与网络安全态势评估技术有着 联系,但也存在着较大的不同。从网络安全防御的 机制上看,防火墙技术和入侵检测系统都是针对于 已经发生的非法入侵事件或者是网络攻击行为进 行处理,在功能上较为单一,主要是针对特定的网 络学习算法,其中递阶染色体中只包含隐层参 数,输出层的设计在GA的评价函数中完成。混 合递阶遗传算法优化神经网络的算法流程如图 1所示。 对控制基 和参数 络攻击形式进行防范。网络安全态势评估则是一 种主要防御的技术,它的研究重点是基于当前采集 到的各类数据,对网络的安全态势进行评估,从而 达到防患于未然的目标。防火墙和入侵检测系统 主要是通过对网络数据信息的分析来实现安全防 御,而网络安全态势评估的数据来源则较为广泛, 包括网络中各节点主机的状态信息、网络用户的操 作信息、杀毒软件的病毒检测信息、网络通信包分 析数据等。 3 基于HHGA—RBF算法的网络态 势预测模型 3.1构建网络态势预测模型 因为遗传算法具有全局搜索、收敛速度快等特 点,将其与神经网络结合起来,不仅能发挥神经网 络的泛化映射能力,而且能克服收敛速度慢和易陷 入局部最优的缺点[1引。但是较大的时间代价的引 入,也妨碍了通过采用遗传算法来学习RBF网络 的发展,因此一般在用遗传算法来优化RBF网络 的同时,需要和其他一些传统的方法相结合,如回 归方法、聚类方法或最小二乘法等,以弥补遗传算 法的不足。本文的研究中选择将遗传算法与最小 二乘法相结合,利用前者确定了中心和扩展宽度 后,再用后者设计输出层权值。 此外,递阶遗传算法(Hierarchy Genetic Algo- rithm,HGA)也是近年来提出的一种较为流行的 新型遗传算法,采用二进制编码和实数编码相结合 的混合编码方法,可以在对神经网络参数优化求解 的同时对神经网络的结构进行优化,具有较高的学 习效率。 基于HGA的RBF神经网络算法能够根据 样本数据确定RBF神经网络的结构和参数,但 在学习过程中算法的收敛速度较慢。它将输出 层神经元的连接权重放到染色体中用遗传算法 进行搜索,分析RBF神经网络的结构可知,RBF 神经网络输出层为线性神经元,因此在确定了中 基因进行编码 初始化种群种群p1 对基闳进行组合和 解码构造RBF隐层 最小二乘法确定输出层权值 I 得到优化的l堡 l 新 种 群 P4 变异:对父代以, m的概率进 行变异操作 图1 HHGA-RBFNN流程图 3.2网络态势预测模型分析 1)采用HGA的编码方法 HGA中染色体由两部分组成:控制基因和参 数基因。控制基因采用二进制编码,编码长度为 最大隐层节点个数,每一位对应一个隐层节点, “1”表示隐层节点存在,对应的参数基因处于有效 状态;“0”表示隐层节点不存在,对应的参数基因 处于无效状态。控制基因中“1”的个数即为隐层 节点的个数。为了加强遗传算法在解空间的搜索 能力,参数基因采用实数编码,表示隐层节点中心 和宽度。 2)初始化 确定种群大小为Q。合适的群体规模对遗传 算法的收敛具有重要的意义。群体太小难以求得 满意的结果,群体太大则计算复杂。依据经验,群 体规模一般取20 ̄160。 控制基因和参数基因分别初始化,控制基因设 置最大值M,即最大隐层节点数为M,最小值为1。 2014年第3期 舰船电子工程 1O9 参数基因初始化为[0,1]区间的随机数; 3)适应度函数 中随机选取两个个体z 和z。,按下式定义的线性 组合交叉方式,将z 、 。对应交叉位的值相组合产 生新后代公式: fYl一 2 q-(1--a)zl 训练RBF神经网络的目标是使其在满足一定 精度的要求下具有最简单的网络结构,也就是使得 网络的精确度和网络的复杂度的综合指标达到最 小。 lY2一nz1+(1--a)x2 网络的精度目标函数: N 其中, 是一个随机数,以∈[o, ]。 变异运算用来模拟生物在自然的遗传环境中 的基因突变,通过变异操作,可确保种群中遗传基 F1=SSE=∑(xk--Yk)。 z一】 其中,SSE为网络输出与期望输出之间的误差平方 和。 网络复杂度由隐层节点数决定,目标函数:Fz ==L 为使递阶遗传算法有效地训练RBF网络,需 要建立能同时反映这两个目标的适应度函数。本 文采用了最小信息量准则(AIC)适应度函数。 一[Nlog[ ( — ]d-4L]+易 其中,N为样本数,L为隐层节点数, 为期望输出 值, 为训练RBF网络输出值,b为一足够大的值。 SSE越小,L越小,_厂将越大。 4)遗传操作 (1)iN择与复制 选择若干适应度值最大的染色体作为父本,直 接遗传给下一代。HHGA与GA的选择操作一 样,适应度越大的个体被选择的概率也越大。 采用期待值法来求个体的期望值: 一 一上 { { l N 其中,/‘为个体i的适应度,7为适应度平均值, 为种群的总适应度,』\,为种群规模。 个体期待值确定种群中的个体是否进入下一 代进行优化,个体i被复制的个数为初始化种群经 过选择与复制由P1成为P2。 (2)交叉与变异 交叉的目的在于产生新的基因组合,交叉后形 成种群P3。 由于控制基因和参数基因使用不同的编码方 式,所以分别进行交叉处理。控制基因的交叉遵循 二进制编码的交叉规则:一点交叉操作,即在个体 串中随机设定一个交叉点,实行交叉时该点前后的 两个个体的部分结构进行交换,并产生两个新个 体。 参数基因采用的是实值编码,因此需要采用模 拟二进制交叉操作。模拟二进制交叉从父代群体 因类型的多样性,以使搜索能在尽可能大的空间中 进行。变异操作是按一定的概率从种群P3中每次 随机选取一个个体,随机变化选定个体的某一个或 对于控制基因,即染色体以二进制编码的系统 中,以一定的概率对其进行求反运算,随机地将染 色体的某一个基因由1变成0,或由0变成1。 对于参数基因的实值编码,用偏置变异,以一 定概率给该位加上一个随机偏置值变。 交叉率和变异率采取自适应选择,交叉概率 Pf和变异概率 z按下式随适应度自动改变。 PC一 f {一一{二 j一、,,\> k。 厂<7 PP 一 一 /j 一/’ 厂 一 【k f<f 式中, 为当前种群最大适应度,7为该代种群的 平均适应度,l厂 为待交叉父母个体中适应度较大 者,_厂为变异个体的适应度。其中,k ,k ,k。,k 取 值范围为(0,1),给定k 一是。一1,k 一是 一0.5。 由此可见,当种群各个个体的适应度趋于一致 或局部最优时,Pc和Pm增加,而当种群适应度比 网络安全态势的变化是一个典型的非线性复 杂系统,其变化的规律有着随机和不确定的特点, 但其网络安全态势的指标在其时问序列上有着相 关性。利用艾尔曼神经网络对于非线性复杂系统 预测方面的强大能力,课题经过研究,以该类神经 网络为基础,构建了一个网络安全态势的预测模 型。遗传算法主要步骤如下: 1)随机产生一个初始种群,其中每个个体都 是确定长度的染色体。 2)按预定的目标函数(或评价指标)对染色体 种群中的每个染色体进行评价,并根据结果给出一 个适应度的值。 11O 杨美兰等:基于HHGA-RBF算法的网络态势预测模型研究 总第237期 3)根据适应度对每个染色体进行选择复制、 交叉、变异等遗传操作,去除适应度低的染色体, 留下适应度高的染色体,从而得到一个新的种群。 由于新群体的成员是上一代种群的优秀者的继承 者,有着上一代的优良性态,因而明显优于上一 代。 4)再次对染色体种群中的每个染色体进行评 价,计算适应度值。如果满足预定的目标函数或评 价指标,则停止优化搜索;若仍不满足,则执行步骤 3),循环操作,直到满足停止准则。 4 结语 传统的网络安全防护大多从防御的角度出发 对网络资源进行保护,而网络安全态势评估技术则 是一种主动的网络防护技术。它从网络自身的特 点和外界对网络的攻击手段两个方面进行考虑,利 用相关技术实现对网络系统潜在问题以及外界对 网络的威胁进行评估,目的是为了实现对网络安全 威胁的及早发现,及时处理,降低损失。目前在该 领域的研究还处于起步阶段,大多数的研究还停留 在理论上。本文对目前在该领域的研究成果进行 了讨论和分析,重点是现有的网络安全态势评估的 关键技术;然后从网络自身的特点入手,建立了网 络安全态势评估模型,明确了网络安全态势评估的 方法和步骤。网络安全态势评估技术的研究和系 统的开发,对于提高网络的安全防护能力,进一步 保证网络资源不被非法获取和破坏具有重要意义, 同时也对网络安全主动防护的理论与实践研究具 有重要意义。随着网络技术的发展,还会不断出现 新的安全问题,网络安全各项技术也需要不断的发 展。本文基本实现了军用网络态势的预测功能,能 帮助网络管理员提前预判网络变化趋势,从而调整 安全策略。但还有许多问题需要经过实践不断完 善。 参考文献 E1]Michael Howard,James Whittaker.Network Security Basics EJ].The IEEE Computer Society,2009(5): 1540-1593. [21黄莉,费金龙.科技期刊网络化保密问题的思考和对策 [J].中国科技期刊研究,2010,21(2):145—147. E3]胡铮.网络与信息安全EM].北京:清华大学出版社, 2006:318-323. [4]Sean Conve.Network Security Architectures[M].北 京:人民邮电出版社,2005:90—94. [5]魏永红,李天智,张志.网络信息安全防御体系探讨 口].河北省科学院报,2011,23(1):25—28. [6]秦宗全,于咏梅,郭大春.校园网络安全防范体系研究 [J].计算机时代,2010(2):16—18. [7]Stephen Northeutt.深入剖析网络边界安全[M].北京: 机械工业出版社,2009:4-11. [8]Merike Kaeo.Designing Network Security[M].Indi— ana:Cisco Press,2011:11—19. E9]Greg Holden.防火墙与网络安全一入侵检测与VPN [M].北京:清华大学出版社,2010:66—68. [10]John V.Harrison,Hal Berghe1.A Protocol Layer Survey of Network Security[J].Advances in Corn— puters,2005,64(1):109—158. [11]Matt Bishop.Introduction to computer security[M]. 北京:电子工业出版社,2010:212—213. [12]赵光耀,邹鹏,韩伟红.基于遗传算法和LSSVM的网 络安全事件发生频率预测[J].信息网络安全,2010, 10:26. [13]刘晓,曾祥虎,刘春宇.边坡非线性位移的神经网络一时 问序列分析[J].岩石力学与工程学报,2005,24(19): 3499—3504. [14]赖积保.基于异构传感器的网络安全态势感知若干关 键技术研究[D].哈尔滨:哈尔滨工程大学,2009. [1 5]David Allen,Adnan Darwiche.Online value network linkages:integration,information sharing and flexi— bility[J].Electronic Commerce Research and Appli— cations,2011,4(2):1OO一112.
