一种基于Hurst指数的网络安全态势预测方法与流程

本发明涉及一种基于Hurst指数的网络安全态势预测方法，属于网络信息安全技术领域。

背景技术：

随着互联网的应用普及，网络规模越来越大，也越来越复杂。相应的，网络攻击也向着分布式、规模化、复杂化的方向发展。对于网络管理人员来说，迫切需要能对网络安全整体态势进行展示的安全产品。

所谓网络安全态势是指能够表达网络攻击行为和网络防御措施等由各种因素所构成的网络安全状态，并以数值量化的形式展示出来。由各个时刻的网络安全态势值，就构成了一个表达网络安全状态的时间序列，再基于网络安全态势的时间序列，就可以对未来时刻的网络安全态势值进行预测，以帮助网络管理人员了解网络安全态势的演化趋势，采取相应的安全措施。

目前，已有一些涉及网络安全态势预测方法的专利，如“一种网络安全态势预测方法”(申请号：2011101052724)、“一种网络安全态势预测方法及系统”(申请号：2013105443158)、“一种误报自适应的网络安全态势预测方法”(申请号：2014107050406)和“一种基于证据理论的网络安全态势预测方法”(申请号：2015101398133)。这些专利基于不同的理论，从不同的角度提出网络安全态势的预测方法。

然而，上述网络安全态势的预测方法都忽略了一个前提条件，即并非所有的时间序列都是可以用来预测的，如随机产生的时间序列，对其进行预测是没有意义的。因此，需要首先判定用于安全态势预测的时间序列是否具有可预测性。在此基础上，还要解决用于预测的时间序列长度问题。因为随着时间的积累，网络安全态势的时间序列会越来越长，很久之前的网络安全态势数值，从直观上来说，可能不会影响对未来时刻网络安全态势值的预测。因此，有必要确定一个合适的用于预测的时间序列长度，然而目前的方法都是主观选择一个定长的时间序列的长度，如最近一周内的网络安全态势值用于预测、最近一个月内的网络安全态势值用于预测等。同时，由于网络攻击行为具有一定的随机性，这导致网络安全态势的时间序列中也含有随机性，也就是说，网络安全态势并非完全可以预测的，对于其中的随机分量是无法进行预测的。然而现有的方法并没有考虑这一问题，试图对含有随机分量的网络安全态势值进行精确的预测。由于对随机分量的预测是无意义的，更合适的做法，是将网络安全态势时间序列中的随机分量分离出来，只对其中有规律的、可预测的分量进行预测，并确定预测精度。

技术实现要素：

针对上述不足，本发明提供了一种基于Hurst指数的网络安全态势预测方法，其能够根据网络安全态势的历史数据预测未来一段时间内的网络安全态势值。

本发明解决其技术问题采取的技术方案是：一种基于Hurst指数的网络安全态势预测方法，其特征是，利用时间序列的自相似性指标Hurst指数来做为网络安全态势预测判定标准和优化目标，它包括以下三个过程：(1)网络安全态势时间序列可预测性判定及时间序列长度确定，(2)时间序列中随机分量的分离，(3)预测模型的建立及结果输出。

进一步地，所述网络安全态势时间序列可预测性判定及时间序列长度确定的过程包括以下步骤：

步骤101：设网络安全态势的时间序列为x₁，x₂，...，x_N，设用于预测的时间序列长度用W表示，其中N和W均为正整数；

步骤102：如果N＞N₀，则转入步骤103；否则表示网络安全态势的历史数据过少，不满足计算要求，终止计算；

步骤103：取W的初始值为P，即取时间序列x_N-P+1，x_N-P+2，...，x_N-1，x_N，共P个数值，计算其Hurst指数H₁，其中，P<N₀；

步骤104：令W的值加1，即W＝W+1，取时间序列x_N-W+1，x_N-W+2，...，x_N-1，x_N，共W个数值，计算其Hurst指数H₂；

步骤105：重复步骤104，直至W＝N为止，则共获得N-P+1个Hurst指数：H₁，H₂，...，H_N-P+1；

步骤106：令H_max＝max{H₁，H₂，...，H_N-P+1}，即取这N-P+1个Hurst指数中的最大值，如果H_max≤0.5，则说明该网络安全态势的时间序列不可预测，终止计算；否则，设取得最大值H_max的相应的时间序列长度为k，则确定W＝k，即确定用时间序列x_N-k-1，x_N-k-2，...，x_N-1，x_N，共k个数值进行预测。

进一步地，所述时间序列中随机分量的分离过程包括以下步骤：

步骤201：将上述已选定时间序列长度为k的时间序列按顺序重新标号为x₁，x₂，...，x_W，并将时间序列x₁，x₂，...，x_W转换为M×K的矩阵E：

其中，1<K<W，M＝W-K；

步骤202：将式(1)中矩阵E进行奇异值分解，令矩阵E的协方差矩阵R＝EE^T，则有M个特征值和特征向量；令λ₁,λ₂,...,λ_M是R的特征值，且λ₁≥...≥λ_M；令U₁,...,U_M是相应的特征向量，则V_j＝E^TU_j/λ_j^1/2,j＝1,...,M；所以，E_j＝λ_j^1/2U_jV_j^T，因此，E＝E₁+E₂+...+E_M；

步骤203：取i的初值为1，令E⁽¹⁾＝Σ_iE_i；E⁽²⁾＝E-E⁽¹⁾，E⁽¹⁾代表时间序列中可预测的分量，E⁽²⁾代表时间序列中不可预测的随机分量；

步骤204：按式(2)和式(3)将E⁽¹⁾，E⁽²⁾重构为相应的时间序列x₁⁽¹⁾，x₂⁽¹⁾，...，x_W⁽¹⁾和x₁⁽²⁾，x₂⁽²⁾，...，x_W⁽²⁾；

X(t)⁽²⁾＝X(t)-X(t)⁽¹⁾(3)

式中，令K^*＝min(K,M)，M^*＝max(K,M)，e_ij是矩阵E⁽¹⁾的元素，则当K<M时，e_ij^*＝e_ij，否则e_ij^*＝e_ji；

步骤205：分别计算时间序列x₁⁽¹⁾，x₂⁽¹⁾，...，x_W⁽¹⁾的Hurst指数H⁽¹⁾和x₁⁽²⁾，x₂⁽²⁾，...，x_W⁽²⁾的Hurst指数H⁽²⁾；

步骤206：计算优化指标e_i＝|(1-H⁽¹⁾)-(H⁽²⁾-0.5)|；

步骤207：令i的取值加1，即i＝i+1，重复步骤203至步骤206；并比较e_i和e_i+1，如果e_i<e_i+1，则终止计算，并取前i个分量作为E⁽¹⁾，及相应的时间序列x₁⁽¹⁾，x₂⁽¹⁾，...，x_W⁽¹⁾进行网络安全态势预测，否则继续重复步骤3--6，直至i＝M为止。

进一步地，所述预测模型的建立及结果输出的过程包括以下步骤：

步骤301：选择参数p和q，其中，1≤p≤[W/4]，1≤q≤[W/4]；

步骤302：建立预测模型：

x_t′＝a₁x_t-1+a₂x_t-2+...+a_px_t-p-b₁u_t-1-...-b_qu_t-q (4)

其中：u_t＝x_t-x_t'，

将时间序列x₁⁽¹⁾，x₂⁽¹⁾，...，x_W⁽¹⁾代入式(4)，并利用最小二乘法确定参数a₁，....，a_p和b₁，...，b_q；

步骤303：将x_W⁽¹⁾，x_W-1⁽¹⁾，...，x_W-p+1⁽¹⁾和u_W，u_w-1，...，u_w-q代入式(4)，求得预测结果x_W+1。

进一步地，所述预测模型的建立及结果输出的过程还包括以下步骤：

步骤304：计算预测精度θ，预测精度θ的计算公式为：

式中，θ为预测精度，x_i⁽¹⁾和x_i为时间序列。

优选地，在网络安全态势时间序列可预测性判定及时间序列长度确定过程中，6≤N₀≤10，5≤P<N₀，P和N₀为正整数。

本发明的有益效果是：

本发明首先基于Hurst指数对网络安全态势时间序列的可预测性进行判定，在时间序列具有可预测性的前提下得到用于预测的时间序列长度，然后基于Hurst指数分离出其中不可预测的随机分量，只保留可预测的分量，最后根据预测模型给出最终的预测结果及预测精度。

与现有技术相比，本发明明确了根据实际的网络安全态势时间序列计算其是否具有可预测性，而非假定其具有可预测性，并通过计算得到最佳的用于预测的可变的时间序列长度，而非凭主观经验选择一个固定的时间序列长度；同时通过计算去除时间序列中无规律的随机分量，即对于预测无意义的噪声数据，在最大程度上保留时间序列中规律性的基础上，避免噪声数据的影响；并且通过预测模型计算得出预测结果和预测精度。

附图说明

下面结合说明书附图对本发明进行说明。

图1为本发明的方法流程图；

图2为本发明所述网络安全态势时间序列可预测性判定及时间序列长度确定过程的方法流程图；

图3为本发明所述时间序列中随机分量的分离过程的方法流程图；

图4为本发明所述预测模型的建立及结果输出过程的方法流程图。

具体实施方式

为能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开，下文中对特定例子的部件和设置进行描述。此外，本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。

为了克服目前技术的不足之处，本发明提供了一种新的网络安全态势预测方法，该方法的主要思路是利用时间序列的自相似性指标Hurst指数来做为判定标准，若网络安全态势的时间序列具有自相似性，则是可以预测的；否则该时间序列是随机的，是不可预测的。同时，利用Hurst指数来作为优化目标，分别确定用于预测的时间序列的长度、时间序列中分离随机分量的标准，以及估计最终预测的精度。

如图1所示，本发明的一种基于Hurst指数的网络安全态势预测方法，利用时间序列的自相似性指标Hurst指数来做为网络安全态势预测判定标准和优化目标，它包括以下三个过程：(1)网络安全态势时间序列可预测性判定及时间序列长度确定，(2)时间序列中随机分量的分离，(3)预测模型的建立及结果输出。

如图2所示，以N₀取值为6，P取值为5为例，本发明所述网络安全态势时间序列可预测性判定及时间序列长度确定的过程包括以下步骤：

步骤101：设网络安全态势的时间序列为x₁，x₂，...，x_N，共N个，本发明预测方法的目的就是求解未来下一个时刻的网络安全态势值x_N+1；设用于预测的时间序列长度用W表示，其中N和W均为正整数；

步骤102：如果N＞6，则转入步骤103；否则表示网络安全态势的历史数据过少，不满足计算要求，终止计算；

步骤103：取W的初始值为5，即取时间序列x_N-4，x_N-3，x_N-2，x_N-1，x_N，共5个数值，计算其Hurst指数H₁；

步骤104：令W的值加1，即W＝W+1，取时间序列x_N-W+1，x_N-W+2，...，x_N-1，x_N，共W个数值，计算其Hurst指数H₂；

步骤105：重复步骤104，直至W＝N为止，则共获得N-4个Hurst指数：H₁，H₂，...，H_N-4；

步骤106：令H_max＝max{H₁，H₂，...，H_N-P+1}，即取这N-P+1个Hurst指数中的最大值，如果H_max≤0.5，则说明该网络安全态势的时间序列不可预测，终止计算；否则，设取得最大值H_max的相应的时间序列长度为k，则确定W＝k，即确定用时间序列x_N-k-1，x_N-k-2，...，x_N-1，x_N，共k个数值进行预测。

如图3所示，本发明所述时间序列中随机分量的分离过程包括以下步骤：

步骤201：为描述方便，将上述已选定时间序列长度为k的时间序列按顺序重新标号为x₁，x₂，...，x_W，并将时间序列x₁，x₂，...，x_W转换为M×K的矩阵E：

其中，1<K<W，M＝W-K；

步骤202：将式(1)中矩阵E进行奇异值分解，令矩阵E的协方差矩阵R＝EE^T，则有M个特征值和特征向量；令λ₁,λ₂,...,λ_M是R的特征值，且λ₁≥...≥λ_M；令U₁,...,U_M是相应的特征向量，则V_j＝E^TU_j/λ_j^1/2,j＝1,...,M；所以，E_j＝λ_j^1/2U_jV_j^T，因此，E＝E₁+E₂+...+E_M；

步骤203：取i的初值为1，令E⁽¹⁾＝Σ_iE_i；E⁽²⁾＝E-E⁽¹⁾，E⁽¹⁾代表时间序列中可预测的分量，E⁽²⁾代表时间序列中不可预测的随机分量；

步骤204：按照式(2)和式(3)将E⁽¹⁾，E⁽²⁾重构为相应的时间序列x₁⁽¹⁾，x₂⁽¹⁾，...，x_W⁽¹⁾和x₁⁽²⁾，x₂⁽²⁾，...，x_W⁽²⁾；

X(t)⁽²⁾＝X(t)-X(t)⁽¹⁾ (3)

式中，令K^*＝min(K,M)，M^*＝max(K,M)，e_ij是矩阵E⁽¹⁾的元素，则当K<M时，e_ij^*＝e_ij，否则e_ij^*＝e_ji；

步骤205：分别计算时间序列x₁⁽¹⁾，x₂⁽¹⁾，...，x_W⁽¹⁾的Hurst指数H⁽¹⁾和x₁⁽²⁾，x₂⁽²⁾，...，x_W⁽²⁾的Hurst指数H⁽²⁾；

步骤206：计算优化指标e_i＝|(1-H⁽¹⁾)-(H⁽²⁾-0.5)|；

步骤207：令i的取值加1，即i＝i+1，重复步骤203至步骤206；并比较e_i和e_i+1，如果e_i<e_i+1，则终止计算，并取前i个分量作为E⁽¹⁾，及相应的时间序列x₁⁽¹⁾，x₂⁽¹⁾，...，x_W⁽¹⁾进行网络安全态势预测，否则继续重复步骤3--6，直至i＝M为止。

如图4所示，本发明所述预测模型的建立及结果输出的过程包括以下步骤：

步骤301：选择参数p和q，其中，1≤p≤[W/4]，1≤q≤[W/4]；

步骤302：建立预测模型：

x_t′＝a₁x_t-1+a₂x_t-2+...+a_px_t-p-b₁u_t-1-...-b_qu_t-q (4)

其中：u_t＝x_t-x_t'，t为正整数；

将时间序列x₁⁽¹⁾，x₂⁽¹⁾，...，x_W⁽¹⁾代入式(4)，并利用最小二乘法确定参数a₁，....，a_p和b₁，...，b_q；

步骤303：将x_W⁽¹⁾，x_W-1⁽¹⁾，...，x_W-p+1⁽¹⁾和u_W，u_w-1，...，u_w-q代入式(4)，求得预测结果x_W+1；

步骤304：计算预测精度θ，预测精度θ的计算公式为：

式中，θ为预测精度，x_i⁽¹⁾和x_i为时间序列。

上述实施例中，在网络安全态势时间序列可预测性判定及时间序列长度确定过程中，以N₀取值为6，P取值为5为例。为了计算准确快速，N₀的取值范围优选为[6,10]，P的取值范围优选为[6,N₀]，但本申请并不将其保护范围仅仅限定于此，对N₀和P的取值进行适当调整也可实现网络安全态势的预测，同样也应视为本申请的保护范围。

本发明首先对网络安全态势时间序列的可预测性进行判定，然后分离出其中不可预测的随机分量，最后给出最终的预测结果，它明确了根据实际的网络安全态势时间序列计算其是否具有可预测性，而非假定其具有可预测性，并通过计算得到最佳的用于预测的可变的时间序列长度，而非凭主观经验选择一个固定的时间序列长度；同时通过计算去除时间序列中无规律的随机分量，即对于预测无意义的噪声数据，在最大程度上保留时间序列中规律性的基础上，避免噪声数据的影响；并且通过预测模型计算得出预测结果和预测精度。

以上所述只是本发明的优选实施方式，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也被视为本发明的保护范围。