神經(jīng)網(wǎng)絡(luò )視域下互聯(lián)網(wǎng)安全態(tài)勢預測方法分析

徐莎莎 楊俊丹 廖宋煒

摘要：傳統層次化網(wǎng)絡(luò )安全態(tài)勢評估模型在應用時(shí)，主要利用入侵檢測系統和警報系統發(fā)揮態(tài)勢評估作用，對警告要素關(guān)聯(lián)性缺乏關(guān)注。文章以神經(jīng)網(wǎng)絡(luò )為基礎背景探討互聯(lián)網(wǎng)安全態(tài)勢預測，意在完善層次化態(tài)勢評估模型，融入模糊層，為提升網(wǎng)絡(luò )安全態(tài)勢評估質(zhì)量提供保障。通過(guò)實(shí)踐分析可知，模糊層構建后，能夠通過(guò)警報匹配模式衡量警報成功率數值指標，并且進(jìn)一步對警報威脅性、警報成功率、警報周期3項指標進(jìn)行明確，確認其對網(wǎng)絡(luò )安全態(tài)勢影響程度。最后，在不同模型結構層級上計算出綜合警報態(tài)勢值，達到優(yōu)化錯報漏報問(wèn)題、提升評估結果準確度的目標。

關(guān)鍵詞：神經(jīng)網(wǎng)絡(luò )；
互聯(lián)網(wǎng)安全態(tài)勢評估；
深度學(xué)習；
警報成功率；
警報態(tài)勢值

中圖分類(lèi)號：TP39中圖分類(lèi)號? 文獻標志碼：A文獻標志碼

0 引言

網(wǎng)絡(luò )安全態(tài)勢感知是具有創(chuàng )新性和靈活性的網(wǎng)絡(luò )安全保障措施。通過(guò)綜合分析網(wǎng)絡(luò )系統現階段與前階段運行狀態(tài)，對網(wǎng)絡(luò )運行趨勢狀態(tài)進(jìn)行預測，有利于達成超前防御目標，提升網(wǎng)絡(luò )系統抵御外部侵害的能力。將網(wǎng)絡(luò )安全保障工作中的防御被動(dòng)化向主動(dòng)化方向推進(jìn)，是神經(jīng)網(wǎng)絡(luò )系統支持下提升互聯(lián)網(wǎng)安全保障的科學(xué)方法?；诨ヂ?lián)網(wǎng)安全事態(tài)評估問(wèn)題進(jìn)行研究，意在解決現階段互聯(lián)網(wǎng)安全穩定狀態(tài)維護的實(shí)際問(wèn)題，通過(guò)先進(jìn)技術(shù)與平臺應用，借助神經(jīng)網(wǎng)絡(luò )計算方法，為提升互聯(lián)網(wǎng)平臺安全穩定狀態(tài)提供支持。同時(shí)，態(tài)勢發(fā)展研究也能將隱患和問(wèn)題在萌芽階段進(jìn)行解決。另外，態(tài)勢研究本身也具有創(chuàng )新性，通過(guò)數據分析、發(fā)展趨勢研究為安全保障提供支持的關(guān)鍵方法。

1 互聯(lián)網(wǎng)安全態(tài)勢評估模型研究

1.1 互聯(lián)網(wǎng)安全態(tài)勢評估層次化體系基本結構分析

層次化評估模型在發(fā)揮作用時(shí)，以警報反饋及時(shí)性作為模型構建切入點(diǎn)。通過(guò)構建4個(gè)層次，對網(wǎng)絡(luò )安全態(tài)勢情況進(jìn)行多角度評估，但此種傳統層次化模型在警報信息獲取方面相對比較單一。本文通過(guò)借鑒傳統分層模型開(kāi)展多方面信息綜合分析，利用模糊綜合評價(jià)法，對警報發(fā)生邏輯關(guān)系進(jìn)行梳理分析［1］。并同步制定模糊規則，分別將警報威脅性、警報成功率、警報傳遞周期作為模糊推理基準指標進(jìn)行設置。在此基礎上，形成更加完善且具有綜合性的評估框架。

1.2 基于分層態(tài)勢評估的模糊綜合評價(jià)方法分析

從改良后的結構入手進(jìn)行觀(guān)察分析可知，模糊層中的警報威脅性、警報成功率、警報周期為核心改良要素，這3個(gè)要素共同構成模糊層［2］。具體來(lái)說(shuō)，模糊綜合評價(jià)方法流程要點(diǎn)包括以下幾部分。

1.2.1 三維要素確認環(huán)節

這一環(huán)節須首先確認因素及命名為U。設置U={u1，u2...un}集合中的數值分別代表評估對象的n不同類(lèi)型影響因素。假設評估集為V，則可得V={v1，v2...vm}，其中M代表每個(gè)因素的m種評判結果。在具體進(jìn)行三維要素確認時(shí)，U中的獨立子因素u1可通過(guò)評判方法f（ui）（i=1，2，3...n）得到對應評判數值，F是評判過(guò)程中的模糊映射，映射范圍覆蓋因素集U到評判集V這一數值范圍。上述整體過(guò)程可通過(guò)以下公式表示。

f：U→F（U）

ui→f（ui）=（ri1，ri2... rim）∈F（V）

其中，ri1，ri2... rim分別表示指標i對應的評判級別m隸屬度向量數值。

基于上述f計算數值，可將模糊關(guān)系表示為：

Rf（ui，vj）=f（ui）（vj）=rij

其中，i=1，2，3...n；
j=1，2，3...m。

隨后建立模糊評判矩陣R=（rij）nxm。

R=r11r12…r1mr21r22…r2mrn1rn2…rnm

通過(guò)上述分析過(guò)程可獲得模糊綜合評價(jià)方法3要素，即U，V，R。

1.2.2 計算警報相關(guān)度數值

警報相關(guān)度數值在計算過(guò)程中需要把握3方面步驟和要素。一是確定因素集與評判集具體范圍；
二是構建模糊評判矩陣，確認計算隸屬度［3］；
三是設置權重系數數值。其中，因素集與評判集的確認環(huán)節，因素集可按層次劃分，首層因素集中包含操作系統、網(wǎng)絡(luò )安全配置、應用服務(wù)、漏洞信息4方面要點(diǎn)。在第二層級因素集中，分別基于上述4個(gè)要點(diǎn)進(jìn)行進(jìn)一步細分。具體來(lái)說(shuō)，細分后的數據指標有多種不同類(lèi)型，以IP地址相關(guān)性、主機狀態(tài)、系統類(lèi)別、安全事件防護相關(guān)性等多方面指標為典型代表。在構建模糊評價(jià)矩陣，并確認計算隸屬度環(huán)節需要設置不同類(lèi)型約束條件，在約束條件背景下，進(jìn)行隸屬度范圍劃分。而在設置權重系數環(huán)節，須針對一個(gè)因素評判的過(guò)程，由專(zhuān)家咨詢(xún)或領(lǐng)域經(jīng)驗進(jìn)行確認 ［4］。

2 互聯(lián)網(wǎng)安全態(tài)勢預測模型分析

2.1 互聯(lián)網(wǎng)安全態(tài)勢預測算法設計

粒子群算法背景下，主要應用神經(jīng)網(wǎng)絡(luò )優(yōu)化，達到參數優(yōu)化效果。具體來(lái)說(shuō)，優(yōu)化形式包括兩種。一是模型網(wǎng)絡(luò )結構參數結合經(jīng)驗公式設定，這一部分優(yōu)化數據具有固定不變的特征，應用優(yōu)化算法主要優(yōu)化神經(jīng)網(wǎng)絡(luò )中的神經(jīng)元權值與自身閾值；
二是利用粒子群優(yōu)化算法，對神經(jīng)網(wǎng)絡(luò )結構超參數進(jìn)行調整，超參數具體包括神經(jīng)元數量、時(shí)間長(cháng)度、批處理大小。本文主要利用改進(jìn)后粒子群算法，對長(cháng)短記憶網(wǎng)的結構超參數進(jìn)行優(yōu)化，減少主觀(guān)選擇對參數模型的影響。在選定訓練數據后，除隱藏層數據外，其他神經(jīng)元個(gè)數可被有效確認。隨后，須進(jìn)行神經(jīng)網(wǎng)絡(luò )訓練環(huán)節的推進(jìn)［5］。其中，不確定隱藏層層數和隱藏層中的節點(diǎn)數量，主要需要基于經(jīng)驗總結現階段具有應用適宜性的隱藏層神經(jīng)元數目，經(jīng)驗公式如下。

m=n+l+αm=nl

其中，m為隱藏層節點(diǎn)數量，n為輸入層節點(diǎn)數量，l為輸入層節點(diǎn)數量。完成參數優(yōu)化后，可進(jìn)一步選擇適當函數公式進(jìn)行進(jìn)一步帶入訓練與計算。

2.2 互聯(lián)網(wǎng)安全態(tài)勢預測模型建立

整體模型構建須按照既定流程與步驟推進(jìn)，下文以構建安全態(tài)勢預測模型為研究目標分析模型的構建流程。

2.2.1 數據預處理環(huán)節分析

為了精準觀(guān)察時(shí)間序列規律性，避免數據受到梯度下降法算法影響，應當首先對網(wǎng)絡(luò )安全數據進(jìn)行統一處理，歸一處理方法須通過(guò)數據計算達到預期目標，具體計算公式如下。

Δxt=xt+1-xty=Δx-ΔxminΔxmax-Δxmin

公式中，xt，xt＋1代表t時(shí)刻與t＋1時(shí)刻的訓練樣本；
Δxt代表樣本；
xt＋1代表t＋1時(shí)刻的訓練樣本。Δxmin，Δxmax代表樣本查分后的最小值與最大值；
Y代表Δx進(jìn)行歸一化后得到的數值。

2.2.2 樣本及構造環(huán)節分析

在訓練集中，須進(jìn)一步對數據深度進(jìn)行劃分后形成標準輸入時(shí)間，具有n個(gè)屬性相同的網(wǎng)絡(luò )安全數據樣本。在此基礎上，進(jìn)行樣本態(tài)勢值確認。例如，用X表示不同數據代號，用1～N表示數據差異數值，則 XN可被確定為一個(gè)階段性樣本數據范圍內的態(tài)勢值。隨后，基于上述數據構建矩陣。在樣本矩陣中，數列是訓練樣本最后一行數值為樣本目標函數值，獨立樣本均可形成階梯式矩陣，而測試樣本主要用來(lái)驗證網(wǎng)絡(luò )計算數據結果的準確性與有效性。

2.2.3 初始化粒子參數環(huán)節分析

具體來(lái)說(shuō)，需要初始的參數包括種群規模、迭代次數、學(xué)習因子、粒子位置以及速度取向值限定區間。進(jìn)行參數初始化時(shí)，須參照標準化公式進(jìn)行驗證確認，確保初始化基礎參數的準確有效，為后續模型構建提供保障。

2.2.4 網(wǎng)絡(luò )參數初始化環(huán)節分析

網(wǎng)絡(luò )參數初始化環(huán)節需要應用自適應矩陣估計算法，進(jìn)行優(yōu)化算法訓練。訓練過(guò)程中，須持續計算損失函數值，直到計算次數達到最大迭代次數以及最小值趨于平穩這一效果方可停止。

2.2.5 模型訓練環(huán)節分析

模型訓練是將訓練樣本直接輸入神經(jīng)網(wǎng)絡(luò )進(jìn)行訓練，結合訓練樣本產(chǎn)生的均方誤差函數進(jìn)行確認。將其作為損失函數開(kāi)展模擬訓練，結合獨立粒子適應度函數取值，對局部最優(yōu)粒子和全局最優(yōu)粒子進(jìn)行有效優(yōu)化。當迭代次數達到最大值時(shí)，方可終止優(yōu)化過(guò)程，返回最優(yōu)粒子處。這時(shí)，例子所顯示的多維向量值可作為神經(jīng)網(wǎng)絡(luò )預測模型參數進(jìn)行確認。

2.2.6 網(wǎng)絡(luò )安全態(tài)勢預測環(huán)節分析

結合專(zhuān)業(yè)訓練計算算法，可求得模型參數最優(yōu)組合數值。并將測試樣本放入已經(jīng)完成訓練的模型中，驗證分析數值是否達到設定標準要求。在此基礎上，結合態(tài)勢威脅素質(zhì)水平對未來(lái)安全發(fā)展態(tài)勢進(jìn)行預測。

3 互聯(lián)網(wǎng)安全態(tài)勢預測仿真分析

在仿真分析中，須對一些基本算法參數進(jìn)行數值設定。在此基礎上，仿真構建模型，并進(jìn)一步完成數據訓練分析過(guò)程，隨著(zhù)數據收斂，獲取數據指標最優(yōu)值。在計算過(guò)程中，所需要關(guān)注的重點(diǎn)數據指標為均方誤差，此數值主要表示誤差平方期望值。通過(guò)均方誤差與真實(shí)值之間的差距，確認預測模型預測結果的準確性。從兩者關(guān)系上來(lái)講，模型預測值與真實(shí)值偏差越小，預測精準性越高。這種情況下，系數數值越接近數值1。在具體仿真測試時(shí)，為取得更加精準有效的數值指標，可進(jìn)行多次模型構建和預測計算，采取取平均值方式得到最終預測數據，預測模型的3組實(shí)驗預測結果對比統計模型如圖1所示。

圖1 3組實(shí)驗預測模型對比結果

通過(guò)對圖形分析預測對比結果進(jìn)行觀(guān)察可知，在3組預測過(guò)程中，PSO_SVM預測技術(shù)在實(shí)踐應用中效果相對較差，只能預測網(wǎng)絡(luò )安全序列數據的大致趨勢，這主要是由于支持向量機在小樣本二元分類(lèi)領(lǐng)域有更好的應用效果，若數據樣本復雜性逐步提高，容易產(chǎn)生較大誤差。而 LSTM隱含層神經(jīng)元個(gè)數選取過(guò)程中缺乏理論指導，容易出現局部最優(yōu)狀態(tài)，檢測結果精確度也相應會(huì )受到一定影響。

4 結語(yǔ)

綜合本文實(shí)踐分析可知，神經(jīng)網(wǎng)絡(luò )視域下互聯(lián)網(wǎng)安全態(tài)勢預測工作落實(shí)執行時(shí)，須結合互聯(lián)網(wǎng)安全態(tài)勢預測中的基礎算法與模型層次構建要求對傳統算法進(jìn)行優(yōu)化，添加模糊層進(jìn)行3項關(guān)鍵數據指標精準定位，以新構建預測模型與預測系統結構為優(yōu)化神經(jīng)網(wǎng)絡(luò )支持下互聯(lián)安全態(tài)勢預測結果提供支持?；炯軜嫎嫿ㄟ^(guò)程中，須借助神經(jīng)網(wǎng)絡(luò )基本技術(shù)以及相關(guān)計算方法為預測工作落實(shí)開(kāi)展提供支持和保障。計算環(huán)節公式、計算方法應結合神經(jīng)網(wǎng)絡(luò )構建背景進(jìn)行精準選擇、科學(xué)應用，以便提升互聯(lián)網(wǎng)安全態(tài)勢預測工作的有效性。

參考文獻

［1］何春蓉，朱江.基于注意力機制的GRU神經(jīng)網(wǎng)絡(luò )安全態(tài)勢預測方法［J］.系統工程與電子技術(shù)，2021（1）：258-266.

［2］張然，劉敏，張啟坤，等.基于SOA_BP神經(jīng)網(wǎng)絡(luò )的網(wǎng)絡(luò )安全態(tài)勢預測算法研究［J］.微電子學(xué)與計算機，2020（6）：62-65，69.

［3］李子梅，姜亦學(xué).基于DRNN神經(jīng)網(wǎng)絡(luò )的橫搖運動(dòng)實(shí)時(shí)預測方法分析［J］.艦船科學(xué)技術(shù)，2021（16）：19-21.

［4］魏青梅，李宇博，應雨龍.結合Dempster-Shafer證據理論與循環(huán)神經(jīng)網(wǎng)絡(luò )的網(wǎng)絡(luò )安全態(tài)勢預測［J］.濟南大學(xué)學(xué)報，2020（3）：238-246.

［5］涂錦，冷正興，劉丁毅.基于EMD和神經(jīng)網(wǎng)絡(luò )的非線(xiàn)性時(shí)間序列預測方法［J］.統計與決策，2020（8）：41-44.

（編輯 沈 強）

Analysis of internet security situation prediction method under neural network vision area

Xu? Shasha， Yang? Jundan， Liao? Songwei

（Jiangxi? University of Science and Technology， Nanchang 330000， China）

Abstract：
When the traditional hierarchical network security situation assessment model is applied， it mainly uses the intrusion detection system and the alarm system to play the role of situation assessment， and lacks attention to the relevance of warning elements. This paper discusses the prediction of Internet security situation based on the background of neural network， aiming to improve the hierarchical situation assessment model， integrate into the fuzzy layer， and provide a guarantee for improving the quality of network security situation assessment. According to the practical analysis of this paper， it is known that after the fuzzy layer construction， the numerical indicators of alarm success rate can be measured through the alarm matching mode， and the three indicators of alarm threat， degree success rate and alarm cycle can be further clarified to confirm its impact on the network security situation. Finally， the comprehensive alarm situation value is calculated at different model structure levels to achieve the goal of optimizing the problem of misreporting and underreporting and improving the accuracy of the evaluation results.

Key words：
neural network; internet security situation assessment; deep learning; alarm success rate; alert situation value