基于模糊淘汰机制的小生境技术的安全态势预测方法与流程

本发明涉及网络安全评估领域，具体涉及一种网络安全态势预测方法。

背景技术：

随着网络发展，人们的日常生活越来越依赖互联网，与此同时，各种新型攻击手段层出不穷，仅凭单一的防御手段很难解决这些安全问题，在这种严峻的环境下，网络安全态势感知技术得到了广泛应用。作为态势感知的核心技术，态势预测是通过分析历史和当前的态势信息，并加以一定技术手段来实现未来事件的有效预测。

为解决态势预测的一系列技术难题，国内外众多学者开始对预测方法进行深入研究，Olabelurin等利用DDOS攻击的特性，提出一种基于熵聚类的预测模型，并在真实网络中进行了验证；Pontes等考虑到数据源间的关联性，采用事件分析系统对网络安全进行预测；文志诚等通过建立隐马尔科夫模型，形成安全态势的前后依赖关系，从而对未来安全态势进行可靠性预测；赵国生等引入灰色理论，运用具有残差修正功能的非等时距Verhulst模型，对网络态势的规律进行了发掘；Elattar E等针对网络态势值非线性的特点，构建了层次化的网络结构评估模型，并利用支持向量机对网络态势值进行回归性预测。

预测方法种类繁多，神经网络因其高度的自适应性和自学习能力，以及对非线性函数具有较强的逼近能力等优点，在态势预测领域得到了广泛运用，但随着网络的日趋复杂化，利用传统方法得到的神经网络参数可能存在较大偏差，从而导致预测结果不能成为网络安全管理员做出正确决策的依据。

将人工智能优化算法应用于神经网络，可以在很大程度上解决参数寻优的问题，但依旧可能出现预测精度不够、收敛速度过慢、容易陷入局部最优和早熟收敛等问题，如何解决这些难题，成为学者研究智能优化算法与神经网络相结合的关键。

技术实现要素：

为解决以上技术问题，本发明的目的是提供一种基于改进小生境遗传算法(INGA)优化小波神经网络的态势预测方法，可以更好地维持了种群多样性，在提升收敛速度的同时，也避免了早熟收敛的问题。

本发明为解决上述技术问题，提供一种基于改进小生境遗传算法(INGA)优化小波神经网络的态势预测方法，包括：

步骤A、对采集的漏洞、流量、入侵检测系统等数据进行态势要素获取，将得到的态势要素通过层次化网络安全态势评估量化方法对收集到的要素信息进行评估量化处理；

步骤B、根据非线性逼近能力、收敛速度，选择合适的神经网络和结构进行预测；

步骤C、根据选定神经网络的误差函数构造个体适应度函数,并进行遗传操作；

步骤D、引入动态模糊聚类的小生境技术，并定义淘汰规则对差异化明显的小生境施行剔除，寻找符合条件的小生境；

步骤E、输入通过评估处理获得相应的网络安全测试集到有最优权值和阈值的小波神经网络WNN网络当中去，得到预测态势值。

优选地，所述根据非线性逼近能力、收敛速度，选择合适的神经网络和结构进行预测，包括：

步骤B1、根据不同神经网络的不同非线性拟合能力和容错能力，确定选取小波神经网络和采用紧致型的三层前馈结构进行研究，其中输入层共m个节点，隐含层h个节点，输出层n个节点；

步骤B2、隐含层阶段选取Morlet函数作为母小波的小波基函数，其数学公式如下所示：

ψ(x)＝cos(1.75x)exp(-x²/2)；

步骤B3、根据Kolmogorov理论，由输入层节点数确定隐含层节点数，计算公式如下所示：

h＝2m+1；

步骤B4、输出层阶段采用Sigmoid函数，WNN的最终输出结果由小波基函数拟合，公式如下所示：

其中，m表示输入层节点个数，h表示隐含层节点数，a₁～a_h、b₁～b_h分别是伸缩参数和平移参数，w₁₁～w_hm、w'₁₁～w'_hn分别表示输入层与隐含层、隐含层与输出层之间的网络连接权值。

优选地，所述根据选定神经网络的误差函数构造个体适应度函数，并进行遗传操作所使用的的相空间重构方法包括：

步骤C1、根据神经网络的误差函数构造个体适应度函数：

通过适应度函数获得所有个体的适应度值之后，采取降序排列，同时对前Q个个体进行存储，其中

Y_t为输出层的第t个节点的实际输出量，Y_t'为第t个节点的期望输出量；

步骤C2、使用GA算法获取到大规模复杂网络的全局最优解，遗传操作包括选择、交叉、变异三个部分。

优选地，使用GA算法获取到大规模复杂网络的全局最优解，遗传操作包括:

步骤C21、对种群进行初始化，根据要求对种群进行编码，将所要解决的问题以合适的方式进行编码后呈现给计算机；

步骤C22、采用期待值法进行选择，期待值计算公式如下所示：

式中，f_sum表示种群中所有个体的适应度值总和，f_i为个体i的适应度值，N代表种群的个体总数，同时，对q_i进行四舍五入后使用优势个体保留机制，将当代适应度值最高的个体直接遗传给下一代；

步骤C23、采用自适应方法对交叉算子和变异算子进行处理，分别定义自适应p_c和自适应p_m的调整公式为：

式中，α₁、α₂、β₁、β₂分别为(0,1)之间的一个值，f_max是种群个体的最大适应度值，f_avg表示种群的平均适应度值，由f'定义交叉操作前两个父代中较大的适应度值，f代表发生变异个体的适应度值。

优选地，采用自适应方法对交叉算子和变异算子进行处理，分别定义自适应p_c和自适应p_m的调整公式包括，α₁、α₂取0.8、0.5，β₁、β₂取0.05、0.001。

优选地，所述引入动态模糊聚类的小生境技术，包括

步骤D1、针对一个包含N个Chromlen维度个体的种群，首先对个体的实数基因码制使用以下公式进行归一化处理：

其中，x_pj表示个体x_p的第j位置的基因码制，x_pjmax和x_pjmin分别表示x_p在第j位置基因码制中的最大值和最小值；

步骤D2、根据归一化的结果，建立个体间的模糊相似矩阵R，计算公式如下所示：

通过寻找包含模糊相似矩阵R的最小传递闭包，获得了相应的模糊等价矩阵T，并利用T进行种群的聚类；

步骤D3、比较相似度系数λ与每对个体间的等价系数T_pq，若λ≤T_pq，则将个体x_p和x_q划分为同一小生境，依此类推，直到所有个体均被划分到小生境中，即根据每代的模糊等价矩阵以及种群个体数，对相似度系数λ动态更新，计算公式如下所示：

式中T_maxj表示最大适应度值个体x_max与个体x_j之间的等价系数，

步骤D4、通过每个小生境中个体适应度值大小的比较，对适应度值相对较小的个体施加惩罚因子，即min{f_p...f_q}＝penalty*min{f_p...f_q}，其中f_p、f_q分别表示个体x_p和x_q的适应度值，penalty是一个较强的惩罚因子；

步骤D5、定义种群熵d_t进行多样性的比较，p_n＝L_mn/N，其中Q代表第t代中存在子种群的个数，L_mn表示第m代中的第n个子种群的个体数，N为种群的总个体数，d越大说明多样性越高。

若某小生境与其它小生境的适应度值满足，即

|f_i-f_max|<f_default

则用满足适应度要求的个体进行替换，即

f_i＝f_niche(i)(1≤i≤n)

f_niche＝(f₁',f₂',f₃'...f_n')

式中，f_max是同代中最高适应度值，定义适应度的默认阈值为f_default，f_niche(i)表示替代小生境的第i个个体的适应度值；

步骤D6、如果所得个体未达到终止条件的要求，则将前代排序后的pop_i作为新种群，且遗传代数加1，同时，遗传进程返回继续遗传操作，直至达到终止条件，结束算法流程，获得优化后的WNN参数。

与现有技术相比，本发明达到的有益效果是：

本发明提供了一种改进的小生境遗传算法与小波神经网络结合的预测方法，通过采集网络和主机的异常信息，过滤网络安全威胁报警事件，从而建立预测模型的训练样本集；本发明采用具有较强非线性拟合能力和容错性能的小波神经网络对安全态势进行预测，并通过自适应遗传算法对传统小波神经网络参数进行优化；考虑到自适应遗传算法收敛速度较慢、易陷入早熟的问题，因此引入一种新的动态模糊聚类和淘汰规则的小生境技术，对其进行优化；本发明能够提高遗传算法的寻优能力及收敛速度，通过提高种群多样性，解决了遗传算法易陷入早熟收敛的问题，并能更准确地实现网络安全态势的预测。

附图说明

图1是本发明提供的网络安全态势预测方法的流程图；

图2是INGA-WNN、GA-WNN、GA-BP三种算法收敛速度图；

图3是WNN收敛速度图；

图4是本发明与WNN、GA-BP和GA-WNN安全态势预测仿真比较图；

图5是本发明与WNN、GA-BP和GA-WNN的绝对误差比较图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，下面结合附图对本发明的具体实施方式作进一步说明。

本发明采用具有较强非线性拟合能力和容错性能的小波神经网络对安全态势进行预测，通过自适应遗传算法对传统小波神经网络参数进行优化，并引入了一种新的动态模糊聚类和淘汰规则的小生境技术。最后使用本发明对下一时刻的网络安全态势值预测，图1为本发明提供的网络安全态势预测方法的流程图，该方法包括以下步骤：

步骤1：对采集的漏洞、流量、入侵检测系统等数据进行态势要素获取，将得到的态势要素通过层次化网络安全态势评估量化方法对收集到的要素信息进行评估量化处理；

步骤2：根据非线性逼近能力、收敛速度，选择合适的神经网络和结构进行预测；

步骤3：根据选定神经网络的误差函数构造个体适应度函数,并进行遗传操作；

步骤4：引入动态模糊聚类的小生境技术，并定义淘汰规则对差异化明显的小生境施行剔除，寻找符合条件的小生境；

步骤5，输入通过评估处理获得相应的网络安全测试集到有最优权值和阈值的WNN网络当中去，得到预测态势值。

根据本发明，其中，步骤2进一步包括以下步骤：

步骤2-1，根据不同神经网络的不同非线性拟合能力和容错能力，确定选取具有较强的小波神经网络，并采用紧致型的三层前馈结构进行研究，其中输入层共m个节点，隐含层h个节点，输出层n个节点；

步骤2-2，隐含层阶段选取Morlet函数(Morlet小波函数)作为母小波的小波基函数，其数学公式如下所示；

ψ(x)＝cos(1.75x)exp(-x²/2)

步骤2-3，根据Kolmogorov理论(卡姆理论)，由输入层节点数确定隐含层节点数，计算公式如下所示：

h＝2m+1

步骤2-4，输出层阶段采用Sigmoid函数，WNN的最终输出结果由小波基函数拟合，公式如下所示：

其中，m表示输入层节点个数，h表示隐含层节点数，a₁～a_h、b₁～b_h分别是伸缩参数和平移参数，w₁₁～w_hm、w'₁₁～w'_hn分别表示输入层与隐含层、隐含层与输出层之间的网络连接权值。

根据本发明，其中，步骤3具体包括以下步骤：

步骤3-1：根据神经网络的误差函数构造个体适应度函数：

通过适应度函数获得所有个体的适应度值之后，采取降序排列，同时对前Q个个体进行存储，其中

式中：Y_t为输出层的第t个节点的实际输出量，Y_t'为第t个节点的期望输出量；

步骤3-2：使用GA算法(遗传算法)获取到大规模复杂网络的全局最优解，遗传操作主要包括选择、交叉、变异三个部分。

所述步骤3-2中遗传操作具体步骤为：

步骤3-2-1，对种群进行初始化，根据要求对种群进行编码，将所要解决的问题以合适的方式进行编码后呈现给计算机；

步骤3-2-2，采用期待值法进行选择，期待值计算公式如下所示：

式中，f_sum表示种群中所有个体的适应度值总和，f_i为个体i的适应度值，N代表种群的个体总数，同时，对q_i进行四舍五入。

同时使用优势个体保留机制，将当代适应度值最高的个体直接遗传给下一代；

步骤3-2-3，采用自适应方法对交叉算子和变异算子进行处理，分别定义自适应p_c和自适应p_m的调整公式为：

式中，α₁、α₂、β₁、β₂分别为(0,1)之间的一个值，文中α₁、α₂取0.8、0.5，β₁、β₂取0.05、0.001，f_max是种群个体的最大适应度值，f_avg表示种群的平均适应度值，由f'定义交叉操作前两个父代中较大的适应度值，f代表发生变异个体的适应度值。

根据本发明，本发明步骤4具体包括如下步骤：

步骤4-1，针对一个包含N个Chromlen维度个体的种群，首先对个体的实数基因码制按进行归一化处理，其中，x_pj表示个体x_p的第j位置的基因码制，x_pjmax和x_pjmin分别表示x_p在第j位置基因码制中的最大值和最小值；

步骤4-2根据归一化的结果，建立个体间的模糊相似矩阵R，计算公式如下所示：

模糊相似矩阵满足自反性和对称性，模糊等价矩阵可以更好地解决小生境问题，因此，通过寻找包含模糊相似矩阵R的最小传递闭包，获得了相应的模糊等价矩阵T，并利用T进行种群的聚类；

步骤4-3，比较相似度系数λ与每对个体间的等价系数T_pq，若λ≤T_pq，则将个体x_p和x_q划分为同一小生境，依此类推，直到所有个体均被划分到小生境中。

根据每代的模糊等价矩阵以及种群个体数，对相似度系数λ动态更新，计算公式如下所示：

式中T_maxj表示最大适应度值个体x_max与个体x_j之间的等价系数。

步骤4-4，通过每个小生境中个体适应度值大小的比较，对适应度值相对较小的个体施加惩罚因子。

min{f_p...f_q}＝penalty*min{f_p...f_q}，

式中f_p、f_q分别表示个体x_p和x_q的适应度值，penalty是一个较强的惩罚因子。

步骤4-5，为定量分析改进后的小生境遗传算法在种群多样性的优势，定义种群熵d_t进行多样性的比较。

p_n＝L_mn/N

式中，Q代表第t代中存在子种群的个数，L_mn表示第m代中的第n个子种群的个体数，N为种群的总个体数，d越大说明多样性越高。

若某小生境与其它小生境的适应度值满足，即

|f_i-f_max|<f_default

则用满足适应度要求的个体进行替换，即

f_i＝f_niche(i)(1≤i≤n)

f_niche＝(f₁',f₂',f₃'...f_n')

式中，f_max是同代中最高适应度值，定义适应度的默认阈值为f_default，f_niche(i)表示替代小生境的第i个个体的适应度值；f'_n表示个体x_n交叉操作前两个父代中较大的适应度值；

步骤4-6，倘若所得个体未达到终止条件的要求，则将前代排序后的种群个体集合pop_i作为新种群，且遗传代数加1，同时，遗传进程返回继续遗传操作，直至达到终止条件，结束算法流程，获得优化后的WNN参数。

为了说明本发明的有益效果，采用了真实的安全数据，由实验室搭建的模拟网络安全平台提供，并在网络安全态势评估的基础上对网络安全态势值进行仿真分析。

实验选取安全平台90天的网络安全数据，划分前76天为训练样本，后14天为测试样本，并通过评估处理获得相应的网络安全态势值。

分析安全数据的攻击特点，发现较严重的攻击行为发生周期均为5天左右，本实验安全态势维数的选取如表1中所示。

表1安全态势维数选取

在图2和图3为本发明与其他三种方法收敛速度对比。实验结果显示，不同算法它们的收敛速度不尽相同，其中INGA-WNN的收敛速度最快，在68代就已达到收敛精度，其次是GA-WNN算法，在118代进入收敛，而GA-BP和WNN分别在139和359代才进入收敛状态。因此，可以判断，通过将动态模糊淘汰机制的小生境技术引入小波神经网络，可以有效降低收敛时间，提高搜索效率。

图4为本发明态势预测曲线与其他四种聚类方法对比。分别选取K-means、AGENES、DBSCAN以及FCM四种聚类方法对小生境进行聚类划分，INGA-WNN在趋势预测的准确性上比其余四种聚类方法更高。

通过图5可以发现，四种预测模型均有较好的预测效果，但本发明INGA-WNN相比于WNN、GA-BP和GA-WNN可以得到更趋近真实网络的结果，且预测误差相对更小。主要是INGA-WNN采用动态模糊淘汰机制的小生境遗传算法对非线性拟合能力更强的小波神经网络进行寻优，利用动态模糊聚类进行种群小生境划分，并运用淘汰规则对所划分的小生境处理，从而解决了遗传种群的多样性问题，避免陷入早熟状态，使结果更容易收敛于全局最优。

本发明所举实施方式或者实施例对本发明的目的、技术方案和优点进行了进一步的详细说明，所应理解的是，以上所举实施方式或者实施例仅为本发明的优选实施方式而已，并不用以限制本发明，凡在本发明的精神和原则之内对本发明所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。