CN106339322A - 一种基于hmm‑aco的软件行为预测的方法 - Google Patents

Abstract

本发明涉及计算机软件技术领域，具体涉及一种基于HMM‑ACO的软件行为预测的方法。本发明包括：(1)建立知识库；知识库包括模型参数集、可观测序列集对应的标准隐状态短序列集、判定待检测序列是否异常的阈值；(2)进行软件行为识别，得到软件运行过程中产生的待检测系统调用序列集；(3)进行软件行为预测。本发明通过研究HMM在软件行为预测方面存在应用上的缺陷，即HMM会因为参数B的问题而陷入局部最优，导致模型精度下降，建立了蚁群算法与HMM相结合的新模型HMM‑ACO，有效地提高了模型的精度，进而提高了软件行为预测的准确率。

Description

一种基于HMM-ACO的软件行为预测的方法

技术领域

本发明涉及计算机软件技术领域，具体涉及一种基于HMM-ACO的软件行为预测的方法。

背景技术

随着计算机的普及和应用,各个企业对大型软件管理系统需求越来越高，各式各样的软件管理系统成为各个企业安全、可靠和稳定运行的重要保障。因此,迫切需要提出以评估软件系统运行状态为基础的系统评估和预测机制,以提高软件系统运行的可靠性,以保证软件系统中各项功能的正常、安全使用。

软件行为预测是评估软件系统运行状态的重要依据，软件行为预测通常是指将软件运行过程中产生的系统调用长序列作为软件行为预测的数据源，通过历史信息及软件系统当前状态信息,对软件未来时间可能出现的状态进行预测，准确的预测软件行为状态，有助于运维人员及早发现和处理可能的问题，防止功能降级或者系统崩溃，软件行为预测理论技术当前正处在初级发展阶段。

现有的软件行为预测方法主要基于时间序列法,即从以往软件行为状态序列中找到一定模式进而推测未来软件的行为状态，该方法预测准确率低，而且当前该方法并不能发掘软件实际状态和观测参数之间的联系，具有很大的局限性。目前关于软件行为状态预测的文献不多，公开的《一种基于隐马尔科夫模型的软件系统状态预测方法》的申请号为201510099169.1的专利文件通过使用HMM(Hidden Markov Model，隐马尔科夫模型)模型，在软件行为预测方面比较成功,但是由于HMM具有对初始参数，尤其是参数B敏感的缺陷，该方法很容易出现陷入局部最优的问题，因此亟须提出一种更优的、适用面更广的软件行为预测方法。

发明内容

本发明的目的在于克服HMM方法在软件行为预测中的缺点与不足，提出将蚁群优化算法ACO与HMM相结合的理论，并建立新的模型HMM-ACO,提高模型的精度,进而提高软件行为预测的准确率的基于HMM-ACO的软件行为预测的方法。

本发明的目的是这样实现的：

(1)建立知识库；知识库包括模型参数集、可观测序列集对应的标准隐状态短序列集Φ、判定待检测序列是否异常的阈值ψ；

(1.1)获取模型λ的参数π、A、B；标准的HMM可用一个五元组来表示，即λ＝(N，M，π，A，B)，由于N、M对模型λ影响较小，因此通常将模型λ的状态数目N、观测序列的观测值数目M忽略，简写为λ＝(π，A，B)；训练数据采用软件运行过程中产生的正常系统调用短序列集作为正常系统调用的短序列集，将正常系统调用短序列集使用B-W算法对模型λ进行训练，得到训练后的新模型λ＝(π，A，B)，将新模型中的参数π、A和B存入知识库中；

(1.2)获取标准隐状态短序列集Φ；使用Viterbi算法计算得到软件运行过程中产生的正常系统调用短序列集最匹配的隐状态序列集，将得到的隐状态序列集进行去重，将去重后的隐状态短序列集作为标准隐状态短序列集Φ，并存入到新知识库中；对于待检测系统调用短序列对应的最佳隐状态短序列，如果某个最佳隐状态短序列被包含在Φ中，则当前待检测系统调用短序列不是异常，反之则是异常的；

(1.3)判断待检测系统调用长序列是否异常的阈值ψ；阈值ψ为小于1的常数。假设标准隐状态短序列集Φ中隐状态短序列的个数为n'，待检测系统调用长序列对应的最佳隐状态短序列集中有m个短序列被包含在Φ中，如果m/n'＞ψ，那么判定该待检测系统调用长序列为正常，反之判定该待检测系统调用长序列为异常；

(2)进行软件行为识别，得到软件运行过程中产生的待检测系统调用序列集，进一步，该过程包含以下步骤：

(2.1)长序列切分；当有待检测系统调用长序列到来时，利用切分窗口对其进行切分，得到为一系列宽度均为K的待检测系统调用短序列，进而组合得到待检测系统调用短序列集；

(2.2)对于步骤(2.1)中得到的每一个待检测系统调用短序列，均使用Viterbi算法计算得到与其对应的最佳的隐状态短序列，然后将得到的所有隐状态短序列作为一个集合；

(2.3)判断步骤(2.2)中得到的每一个隐状态短序列是否在知识库中的标准隐状态短序列集Φ中，将不存在于标准隐状态序列集中的短序列个数记为p，获取判断待检测系统调用序列是否异常的阈值ψ，记标准隐状态短序列集中系统调用短序列的个数为n'，如果p/n'＜ψ，则说明该待检测系统调用长序列是正常的；否则说明是异常的，需进行异常处理；

当待检测系统调用长序列进行新知识库中的阈值ψ检测正常，通过待检测序列进行软件行为预测，转入步骤(3)，否则不能通过当前待检测序列进行软件行为预测；

(3)进行软件行为预测：

(3.1)优化HMM算法中的参数B形成模型HMM-ACO；利用蚁群算法对HMM的参数B优化之后形成新的模型HMM-ACO，其中，参数A、参数π、参数B的初始值均为任意赋值；

使用蚁群算法优化HMM的参数B的具体流程如下：

(3.1.1)建立连续的搜索空间Ω代表HMM中λ＝(π，A，B)，搜索空间的维数为参数A,B,π个数之和，根据隐马尔科夫模型中参数A,B,π的取值范围得到搜索空间Ω有N*M+N*N+N维，即x＝(π₁,...,π_N,a₁₁,...,a_NN,b₁₁,..,b_NM)^T，x也就是模型λ表示为x＝(x₁,x₂,...,x_n),0≤x_i≤1,i＝1,2,...,n，n＝N*M+N*N+N，搜索空间Ω中的一个点对应代表参数A,B,π的连续空间一个解，如果x确定，则HMM的参数B也确定；

确定x，定义度量函数其中O_i是HMM的观测序列，O_i∈{O₁，O₂，…，O_q，…，O_n}，n是观测序列个数，P(O_i/x)由HMM的Forward算法得到；

确定搜寻最优解x＝(x₁,x₂,...,x_n)步骤为：

m只蚂蚁组成蚁群Q，m为正整数，m只蚂蚁在由参数A,B,π组成的搜索空间Ω中寻找最优点x^best，使得度量函数f(x^best)的值最大；将搜索空间Ω划分为R个区域，其中R为正整数；蚁群Q在最优解搜索的初始化阶段为搜索空间Ω中各个区域赋予相同的信息素含量τ₀，τ₀为正数；m只蚂蚁通过遍历R个区域来代替对搜索空间Ω的搜索，将区域的中心点位置记为x'，使用各个区域中心代替各个区域，所有区域的中心点组成集合X^R；

(3.1.1.1)定义区域概率选择规则

$P\left(x^{\′}\right|X_f^{\′})=\frac{\mathrm{\τ}{\left(x^{\′}\right)}^v\mathrm{\η}{\left(x^{\′}\right)}^w}{\mathrm{\Σ}\mathrm{\τ}{\left(x^{\′}\right)}^v\mathrm{\η}{\left(x^{\′}\right)}^w},$

其中，X'_f为区域中心点x'所对应的度量函数值，τ(x')为区域中心点x'的信息素含量值，η(x')表示区域中心点x'的启发性信息，每个区域中心点x'的信息素含量值、启发性信息各不相同，v,w均为正值且为可变量，蚂蚁根据上述规则选择区域，每只蚂蚁均位于所选中区域的区域中心点上，将区域的中心点当作蚁穴，在各个区域选择若干点作为蚂蚁的狩猎点，其中，狩猎点满足隐马尔科夫模型的约束条件；

(3.1.1.2)在搜索开始时，m只蚂蚁被随机分配到各个区域中；根据区域概率选择规则P(x'|X'_f)，蚂蚁进行区域选择；

(3.1.1.3)定义可行解生成规则：将区域的区域中心点x'作为输入点，并将输入点记为x'＝(x'₁,x'₂,...,x'_n)，x′_i表示区域中心点x'在维数i处的向量，其中i∈[N×N+N+1,N×N+N+M×N]，定义微调变量δ∈[0,r]，其中r→0；在模型λ＝(π，A，B)中，前两个参数π,A对应x'的前N+N×N位且参数π,A都已经赋定合适的初始值，参数B对应于x'后面的M×N位，在x'的所有向量中，前N×N+N个向量保持不变，即x₁',x'₂,...,x'_N×N+N不变，进而得到维数i仅对应于x'的后M×N位；

对于所有的i∈[N×N+N+1,N×N+N+M×N]的x′_i，从中选取(M×N)/2个可行点使得每个x′_i←x′_i+δ，再选取(M×N)/2个可行点使得每个x′_i←x′_i-δ，然后判断新生成(M×N)个可行点x′_i各向量值是否满足x′_i-r_i≤x′_i≤x′_i+r_i,r＝(r₁,r₂,...,r_M*N)，如不满足就放弃该点；

(3.1.1.4)m只蚂蚁从蚁穴出发，根据可行解生成规则生成由M×N个可行点组成的点集Θ，改变微调变量δ大小直至使得所有的可行点在整个区域内的分布均匀，在初始时，蚁群算法随机选择p个狩猎点，在此基础上开始搜寻，即随机选择一个狩猎点x^s进行搜索，并设当前狩猎点的最优点为x^b，初始时令x^b＝x^s，在该狩猎点局部搜索最优点；

(3.1.1.4.1)设定蚂蚁的搜索半径为δ'，蚂蚁在搜索半径δ'构造的搜索区域内进行局部搜索；

(3.1.1.4.2)以当前狩猎点作为输入点，由可行解生成规则在以半径δ'为输入半径生成候选搜索点集；

(3.1.1.4.3)若在限定次数k内，使得f(x)＞f(x^b)，则令x^b←x；如果在限定次数k内不存在x使得f(x)＞f(x^b)，则停止搜索，直接执行步骤(3.1.1.4.5)；

(3.1.1.4.4)将k值重置，转到步骤(3.1.1.4.3)执行，直至遍历候选点集，转到步骤(3.1.1.4.5)；

(3.1.1.4.5)若x^s＝x^b，则增大搜索半径，转到步骤(3.1.1.4.2)继续搜索，否则令x^s←x^b，执行增加信息素的操作，转入步骤(3.1.1.4.1)，若在规定的最大忍耐次数n内仍然没有找到比狩猎点x^s更优的点，就重新选取狩猎点x^s，继续执行搜索，直至找到所有狩猎点的局部最优点为x^b；

(3.1.1.5)求出所有狩猎点的最优点x^b对应的f(x)值，进而得到f(x)的最大值，最大的f(x)对应的参数B最优；

(3.2)求取待检测的系统调用长序列对应的隐状态序列，根据其最后一个隐状态预测下一步发展隐状态；

(3.2.1)切分数据；根据待检测正常系统调用序列，利用切分窗口技术截取出宽度K的系统调用短序列O₁O₂O₃......O_K；

(3.2.2)求出O₁O₂O₃......O_K对应的最佳隐状态序列；对于步骤(3.2.1)中截取出的系统调用短序列O₁O₂O₃......O_K，根据知识库中存储的优化模型HMM-ACO以及Viterbi算法，求出O₁O₂O₃......O_K对应的最佳隐状态序列q₁q₂q₃......q_K；

(3.2.3)根据(3.2.2)中得到的隐状态序列的最后一个状态的值q_K以及模型HMM-ACO的状态转移矩阵A求出q_K的下一个可能性最大的隐状态；具体来说就是在隐状态转移概率矩阵A的第q_K行中，寻找得到所有元素中数值最大元素所在的列号，该列号表示的状态即是预测的下一个可能性最大的隐状态。

本发明的有益效果是：通过研究HMM在软件行为预测方面存在应用上的缺陷，即HMM会因为参数B的问题而陷入局部最优，导致模型精度下降，建立了蚁群算法与HMM相结合的新模型HMM-ACO，有效地提高了模型的精度，进而提高了软件行为预测的准确率。

附图说明

图1是一种基于HMM-ACO的软件行为预测的方法原理流程图；

图2是本发明方法中知识库组成结构图；

图3是基于HMM-ACO的软件行为预测方法的流程图。

具体实施方式

下面结合附图对本发明做进一步描述。

本发明针对现有技术的不足，提出一种基于HMM-ACO的软件行为预测的方法，克服了HMM方法在软件行为预测中由于参数B陷入局部最优、导致模型精度下降的缺点，通过将蚁群优化算法与HMM结合，建立新的模型HMM-ACO对软件行为进行预测,提高了软件行为预测的准确率，下面结合附图对本发明方法进行进一步的解释和说明。

如图1所示为一种基于HMM-ACO的软件行为预测方法流程图，包括如下步骤:

步骤1：建立知识库；如图2所示本发明方法中知识库包括模型参数集、可观测序列集(即正常系统调用的短序列集)对应的标准隐状态短序列集Φ、判定待检测序列是否异常的阈值ψ。

步骤1包括以下步骤：

步骤11：获取模型λ的参数π、A、B；标准的HMM可用一个五元组来表示，即λ＝(N，M，π，A，B)，由于N、M对模型λ影响较小，因此通常将模型λ的状态数目N、观测序列的观测值数目M忽略，简写为λ＝(π，A，B)。本发明方法中的训练数据采用软件运行过程中产生的正常系统调用短序列集(即新墨西哥大学Forrest教授研究入侵检测时使用的系统调用序列，可以从网站http://www.cs.unm.edu/～immsec/data/上下载，这里选取的数据与sendmail相关)作为正常系统调用的短序列集，将正常系统调用短序列集使用B-W算法对模型λ进行训练，得到训练后的新模型λ＝(π，A，B)，将新模型中的参数π、A和B存入知识库中。

步骤12：获取标准隐状态短序列集Φ；使用Viterbi算法计算得到软件运行过程中产生的正常系统调用短序列集最匹配的隐状态序列集，将得到的隐状态序列集进行去重，将去重后的隐状态短序列集作为标准隐状态短序列集Φ，并存入到新知识库中。本发明方法中，对于待检测系统调用短序列对应的最佳隐状态短序列，如果某个最佳隐状态短序列被包含在Φ中，则当前待检测系统调用短序列不是异常，反之则是异常的。

步骤13：判断待检测系统调用长序列是否异常的阈值ψ；阈值ψ为小于1的常数。假设标准隐状态短序列集Φ中隐状态短序列的个数为n'，待检测系统调用长序列对应的最佳隐状态短序列集中有m个短序列被包含在Φ中，如果m/n'＞ψ，那么判定该待检测系统调用长序列为正常，反之判定该待检测系统调用长序列为异常。

步骤2：进行软件行为识别，得到软件运行过程中产生的待检测系统调用序列集，进一步，该过程包含以下步骤：

步骤21：长序列切分；当有待检测系统调用长序列到来时，利用切分窗口(党小超,马峻,郝占军.基于Improved-HMM的进程行为异常检测[J].计算机工程与设计,2011,32(4):1264-1267.)对其进行切分，得到为一系列宽度均为K的待检测系统调用短序列，进而组合得到待检测系统调用短序列集；

步骤22：对于步骤21中得到的每一个待检测系统调用短序列，均使用Viterbi算法计算得到与其对应的最佳的隐状态短序列，然后将得到的所有隐状态短序列作为一个集合。

步骤23：判断步骤22中得到的每一个隐状态短序列是否在知识库中的标准隐状态短序列集Φ中，将不存在于标准隐状态序列集中的短序列个数记为p，获取判断待检测系统调用序列是否异常的阈值ψ，记标准隐状态短序列集中系统调用短序列的个数为n'，如果p/n'＜ψ，则说明该待检测系统调用长序列是正常的；否则说明是异常的，需进行异常处理。

当待检测系统调用长序列进行新知识库中的阈值ψ检测正常，则本发明方法能够通过待检测序列进行软件行为预测，转入步骤3，否则本发明方法不能通过当前待检测序列进行软件行为预测。

步骤3：进行软件行为预测

步骤31：优化HMM算法中的参数B形成模型HMM-ACO；由于HMM算法中参数B对模型λ的整体性能影响较大，而参数A和π的影响较小，可以忽略，所以利用蚁群算法对HMM的参数B优化(即将参数A、π赋合适的初始值，参数B随机赋初始值，然后再对参数B进行优化)之后形成新的模型HMM-ACO，其中，本发明方法中参数A、参数π、参数B的初始值均为任意赋值。

进一步，使用蚁群算法优化HMM的参数B的具体流程如下：

步骤311：本发明方法利用蚁群算法在解决连续优化问题中的优势，并结合HMM模型约束条件的特点，将HMM模型的参数估计问题转化为连续优化问题，因此建立连续的搜索空间Ω代表HMM中λ＝(π，A，B)，搜索空间的维数为参数A,B,π个数之和，根据隐马尔科夫模型中参数A,B,π的取值范围可以得到搜索空间Ω有N*M+N*N+N维，即x＝(π₁,...,π_N,a₁₁,...,a_NN,b₁₁,..,b_NM)^T，进而x也就是模型λ可以表示为x＝(x₁,x₂,...,x_n),0≤x_i≤1,i＝1,2,...,n，n＝N*M+N*N+N，搜索空间Ω中的一个点对应代表参数A,B,π的连续空间一个解，如果x确定，则HMM的参数B也确定。

若要确定x，需定义度量函数其中O_i是HMM的观测序列，O_i∈{O₁，O₂，…，O_q，…，O_n}，n是观测序列个数，P(O_i/x)可由HMM的Forward算法得到，由于P(O_i/x)的值可能很小，计算机的精度有时无法表示，所以本专利采用其对数形式表示。确定x的过程就是蚁群算法中蚂蚁在搜索空间Ω进行搜寻解操作、寻找最优的可行解，当寻找到较优解时，调用信息素更新操作增加当前较优解对应点的信息素浓度，吸引其他蚂蚁到当前较优解对应点附近做进一步搜索，直至找到最优解。

进一步，确定搜寻最优解x＝(x₁,x₂,...,x_n)步骤为：

假设m只蚂蚁组成蚁群Q，m为正整数，m只蚂蚁在由参数A,B,π组成的搜索空间Ω中寻找最优点x^best，使得度量函数f(x^best)的值最大。本发明方法将搜索空间Ω划分为R个区域，其中R为正整数。蚁群Q在最优解搜索的初始化阶段为搜索空间Ω中各个区域赋予相同的信息素含量τ₀(τ₀为正数)。m只蚂蚁通过遍历R个区域来代替对搜索空间Ω的搜索，将区域的中心点位置记为x'，使用各个区域中心代替各个区域，所有区域的中心点组成集合X^R。

步骤3111：定义区域概率选择规则

$P\left(x^{\′}\right|X_f^{\′})=\frac{\mathrm{\τ}{\left(x^{\′}\right)}^v\mathrm{\η}{\left(x^{\′}\right)}^w}{\mathrm{\Σ}\mathrm{\τ}{\left(x^{\′}\right)}^v\mathrm{\η}{\left(x^{\′}\right)}^w},$

其中，X'_f为区域中心点x'所对应的度量函数值，τ(x')为区域中心点x'的信息素含量值，η(x')表示区域中心点x'的启发性信息，每个区域中心点x'的信息素含量值、启发性信息各不相同，v,w均为正值且为可变量，二者对信息素和启发性信息起到了调节的作用，v越大表示蚂蚁选择搜索过区域中心点x'的可能性越大，w越大表示蚂蚁探索未探索的区域中心点x'的可能性越大。蚂蚁根据上述规则选择区域，每只蚂蚁均位于所选中区域的区域中心点上，将区域的中心点当作蚁穴，在各个区域选择若干点作为蚂蚁的狩猎点，其中，狩猎点满足隐马尔科夫模型的约束条件。

步骤3112：因此在搜索开始时，m只蚂蚁被随机分配到各个区域中；根据区域概率选择规则P(x'|X'_f)，蚂蚁进行区域选择。

步骤3113：定义可行解生成规则。将区域的区域中心点x'作为输入点，并将输入点记为x'＝(x'₁,x'₂,...,x'_n)，x′_i表示区域中心点x'在维数i处的向量，其中i∈[N×N+N+1,N×N+N+M×N]，定义微调变量δ∈[0,r]，其中r→0。因为在模型λ＝(π，A，B)中，前两个参数π,A对应x'的前N+N×N位且参数π,A都已经赋定合适的初始值，参数B对应于x'后面的M×N位，因此本发明方法在x'的所有向量中，前N×N+N个向量保持不变，即x′₁,x′₂,...,x'_N×N+N不变，进而得到本发明方法中维数i仅对应于x′的后M×N位。

对于所有的i∈[N×N+N+1,N×N+N+M×N]的x′_i，从中选取(M×N)/2个可行点使得每个x′_i←x′_i+δ，再选取(M×N)/2个可行点使得每个x′_i←x′_i-δ，然后判断新生成(M×N)个可行点x′_i各向量值是否满足x′_i-r_i≤x′_i≤x′_i+r_i,r＝(r₁,r₂,...,r_M*N)，如不满足就放弃该点.

步骤3114：m只蚂蚁从蚁穴出发，根据上述可行解生成规则生成由M×N个可行点组成的点集Θ，改变微调变量δ大小直至使得所有的可行点在整个区域内的分布均匀，避免可行点的集中造成的不利影响。本发明方法在初始时，蚁群算法随机选择p个狩猎点，在此基础上开始搜寻，即随机选择一个狩猎点x^s进行搜索，并设当前狩猎点的最优点为x^b，初始时令x^b＝x^s，在该狩猎点局部搜索最优点。

进一步，搜索局部最优点具体步骤如下，

步骤31141：设定蚂蚁的搜索半径为δ'，蚂蚁在搜索半径δ'构造的搜索区域内进行局部搜索。

步骤31142：以当前狩猎点作为输入点，由可行解生成规则在以半径δ'为输入半径生成候选搜索点集。

步骤31143：若在限定次数k内，使得f(x)＞f(x^b)，则令x^b←x；如果在限定次数k内不存在x使得f(x)＞f(x^b)，则停止搜索，直接执行步骤31145。

步骤31144：将k值重置，转到步骤31143执行，直至遍历候选点集，转到步骤31145。

步骤31145：若x^s＝x^b，则增大搜索半径，转到步骤31142继续搜索，否则令x^s←x^b，执行增加信息素的操作，转入步骤31141，若在规定的最大忍耐次数n内仍然没有找到比狩猎点x^s更优的点，就重新选取狩猎点x^s，继续执行搜索，直至找到所有狩猎点的局部最优点为x^b。

步骤3115:求出所有狩猎点的最优点x^b对应的f(x)值，进而得到f(x)的最大值，最大的f(x)对应的参数B最优。

步骤32：求取待检测的系统调用长序列对应的隐状态序列，根据其最后一个隐状态预测下一步发展隐状态。

进一步，步骤32包含以下步骤：

步骤321：切分数据；根据待检测正常系统调用序列，利用切分窗口技术(步骤21)截取出宽度K的系统调用短序列O₁O₂O₃......O_K；

步骤322：求出O₁O₂O₃......O_K对应的最佳隐状态序列；对于步骤321中截取出的系统调用短序列O₁O₂O₃......O_K，根据知识库中存储的优化模型HMM-ACO以及Viterbi算法，求出O₁O₂O₃......O_K对应的最佳隐状态序列q₁q₂q₃......q_K；

步骤323：根据上一步中得到的隐状态序列的最后一个状态的值q_K以及模型HMM-ACO的状态转移矩阵A求出q_K的下一个可能性最大的隐状态。具体来说就是在隐状态转移概率矩阵A的第q_K行中，寻找得到所有元素中数值最大元素所在的列号，该列号表示的状态即是预测的下一个可能性最大的隐状态。

例如：如果隐状态转移概率矩阵A的值如下表1所示，并且假设q_K＝2，那么就可以预测出q_K的下一个最有可能的状态是3。

表1HMM的参数A示例

综上，一种基于HMM-ACO的软件行为预测的方法流程图如图3所示。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (1)

1.一种基于HMM-ACO的软件行为预测的方法，其特征在于，包括如下步骤：

(1)建立知识库；知识库包括模型参数集、可观测序列集对应的标准隐状态短序列集Φ、判定待检测序列是否异常的阈值ψ；

(1.1)获取模型λ的参数π、A、B；标准的HMM可用一个五元组来表示，即λ＝(N，M，π，A，B)，由于N、M对模型λ影响较小，因此通常将模型λ的状态数目N、观测序列的观测值数目M忽略，简写为λ＝(π，A，B)；训练数据采用软件运行过程中产生的正常系统调用短序列集作为正常系统调用的短序列集，将正常系统调用短序列集使用B-W算法对模型λ进行训练，得到训练后的新模型λ＝(π，A，B)，将新模型中的参数π、A和B存入知识库中；

(1.2)获取标准隐状态短序列集Φ；使用Viterbi算法计算得到软件运行过程中产生的正常系统调用短序列集最匹配的隐状态序列集，将得到的隐状态序列集进行去重，将去重后的隐状态短序列集作为标准隐状态短序列集Φ，并存入到新知识库中；对于待检测系统调用短序列对应的最佳隐状态短序列，如果某个最佳隐状态短序列被包含在Φ中，则当前待检测系统调用短序列不是异常，反之则是异常的；

(1.3)判断待检测系统调用长序列是否异常的阈值ψ；阈值ψ为小于1的常数。假设标准隐状态短序列集Φ中隐状态短序列的个数为n'，待检测系统调用长序列对应的最佳隐状态短序列集中有m个短序列被包含在Φ中，如果m/n'＞ψ，那么判定该待检测系统调用长序列为正常，反之判定该待检测系统调用长序列为异常；

(2)进行软件行为识别，得到软件运行过程中产生的待检测系统调用序列集，进一步，该过程包含以下步骤：

(2.1)长序列切分；当有待检测系统调用长序列到来时，利用切分窗口对其进行切分，得到为一系列宽度均为K的待检测系统调用短序列，进而组合得到待检测系统调用短序列集；

(2.2)对于步骤(2.1)中得到的每一个待检测系统调用短序列，均使用Viterbi算法计算得到与其对应的最佳的隐状态短序列，然后将得到的所有隐状态短序列作为一个集合；

(2.3)判断步骤(2.2)中得到的每一个隐状态短序列是否在知识库中的标准隐状态短序列集Φ中，将不存在于标准隐状态序列集中的短序列个数记为p，获取判断待检测系统调用序列是否异常的阈值ψ，记标准隐状态短序列集中系统调用短序列的个数为n'，如果p/n'＜ψ，则说明该待检测系统调用长序列是正常的；否则说明是异常的，需进行异常处理；

当待检测系统调用长序列进行新知识库中的阈值ψ检测正常，通过待检测序列进行软件行为预测，转入步骤(3)，否则不能通过当前待检测序列进行软件行为预测；

(3)进行软件行为预测：

(3.1)优化HMM算法中的参数B形成模型HMM-ACO；利用蚁群算法对HMM的参数B优化之后形成新的模型HMM-ACO，其中，参数A、参数π、参数B的初始值均为任意赋值；

使用蚁群算法优化HMM的参数B的具体流程如下：

(3.1.1)建立连续的搜索空间Ω代表HMM中λ＝(π，A，B)，搜索空间的维数为参数A,B,π个数之和，根据隐马尔科夫模型中参数A,B,π的取值范围得到搜索空间Ω有N*M+N*N+N维，即x＝(π₁,...,π_N,a₁₁,...,a_NN,b₁₁,..,b_NM)^T，x也就是模型λ表示为x＝(x₁,x₂,...,x_n),0≤x_i≤1,i＝1,2,...,n，n＝N*M+N*N+N，搜索空间Ω中的一个点对应代表参数A,B,π的连续空间一个解，如果x确定，则HMM的参数B也确定；

确定x，定义度量函数其中O_i是HMM的观测序列，O_i∈{O₁，O₂，…，O_q，…，O_n}，n是观测序列个数，P(O_i/x)由HMM的Forward算法得到；

确定搜寻最优解x＝(x₁,x₂,...,x_n)步骤为：

m只蚂蚁组成蚁群Q，m为正整数，m只蚂蚁在由参数A,B,π组成的搜索空间Ω中寻找最优点x^best，使得度量函数f(x^best)的值最大；将搜索空间Ω划分为R个区域，其中R为正整数；蚁群Q在最优解搜索的初始化阶段为搜索空间Ω中各个区域赋予相同的信息素含量τ₀，τ₀为正数；m只蚂蚁通过遍历R个区域来代替对搜索空间Ω的搜索，将区域的中心点位置记为x'，使用各个区域中心代替各个区域，所有区域的中心点组成集合X^R；

(3.1.1.1)定义区域概率选择规则

$P\left(x^{\′}\right|X_f^{\′})=\frac{\mathrm{\τ}{\left(x^{\′}\right)}^v\mathrm{\η}{\left(x^{\′}\right)}^w}{\mathrm{\Σ}\mathrm{\τ}{\left(x^{\′}\right)}^v\mathrm{\η}{\left(x^{\′}\right)}^w},$

其中，X'_f为区域中心点x'所对应的度量函数值，τ(x')为区域中心点x'的信息素含量值，η(x')表示区域中心点x'的启发性信息，每个区域中心点x'的信息素含量值、启发性信息各不相同，v,w均为正值且为可变量，蚂蚁根据上述规则选择区域，每只蚂蚁均位于所选中区域的区域中心点上，将区域的中心点当作蚁穴，在各个区域选择若干点作为蚂蚁的狩猎点，其中，狩猎点满足隐马尔科夫模型的约束条件；

(3.1.1.2)在搜索开始时，m只蚂蚁被随机分配到各个区域中；根据区域概率选择规则P(x'|X'_f)，蚂蚁进行区域选择；

(3.1.1.3)定义可行解生成规则：将区域的区域中心点x'作为输入点，并将输入点记为x'＝(x'₁,x'₂,...,x'_n)，x'_i表示区域中心点x'在维数i处的向量，其中i∈[N×N+N+1,N×N+N+M×N]，定义微调变量δ∈[0,r]，其中r→0；在模型λ＝(π，A，B)中，前两个参数π,A对应x'的前N+N×N位且参数π,A都已经赋定合适的初始值，参数B对应于x'后面的M×N位，在x'的所有向量中，前N×N+N个向量保持不变，即x'₁,x'₂,...,x'_N×N+N不变，进而得到维数i仅对应于x'的后M×N位；

对于所有的i∈[N×N+N+1,N×N+N+M×N]的x'_i，从中选取(M×N)/2个可行点使得每个x'_i←x'_i+δ，再选取(M×N)/2个可行点使得每个x'_i←x'_i-δ，然后判断新生成(M×N)个可行点x'_i各向量值是否满足x'_i-r_i≤x'_i≤x'_i+r_i,r＝(r₁,r₂,...,r_M*N)，如不满足就放弃该点；

(3.1.1.4)m只蚂蚁从蚁穴出发，根据可行解生成规则生成由M×N个可行点组成的点集Θ，改变微调变量δ大小直至使得所有的可行点在整个区域内的分布均匀，在初始时，蚁群算法随机选择p个狩猎点，在此基础上开始搜寻，即随机选择一个狩猎点x^s进行搜索，并设当前狩猎点的最优点为x^b，初始时令x^b＝x^s，在该狩猎点局部搜索最优点；

(3.1.1.4.1)设定蚂蚁的搜索半径为δ'，蚂蚁在搜索半径δ'构造的搜索区域内进行局部搜索；

(3.1.1.4.2)以当前狩猎点作为输入点，由可行解生成规则在以半径δ'为输入半径生成候选搜索点集；

(3.1.1.4.3)若在限定次数k内，使得f(x)＞f(x^b)，则令x^b←x；如果在限定次数k内不存在x使得f(x)＞f(x^b)，则停止搜索，直接执行步骤(3.1.1.4.5)；

(3.1.1.4.4)将k值重置，转到步骤(3.1.1.4.3)执行，直至遍历候选点集，转到步骤(3.1.1.4.5)；

(3.1.1.4.5)若x^s＝x^b，则增大搜索半径，转到步骤(3.1.1.4.2)继续搜索，否则令x^s←x^b，执行增加信息素的操作，转入步骤(3.1.1.4.1)，若在规定的最大忍耐次数n内仍然没有找到比狩猎点x^s更优的点，就重新选取狩猎点x^s，继续执行搜索，直至找到所有狩猎点的局部最优点为x^b；

(3.1.1.5)求出所有狩猎点的最优点x^b对应的f(x)值，进而得到f(x)的最大值，最大的f(x)对应的参数B最优；

(3.2)求取待检测的系统调用长序列对应的隐状态序列，根据其最后一个隐状态预测下一步发展隐状态；

(3.2.1)切分数据；根据待检测正常系统调用序列，利用切分窗口技术截取出宽度K的系统调用短序列O₁O₂O₃......O_K；

(3.2.2)求出O₁O₂O₃......O_K对应的最佳隐状态序列；对于步骤(3.2.1)中截取出的系统调用短序列O₁O₂O₃......O_K，根据知识库中存储的优化模型HMM-ACO以及Viterbi算法，求出O₁O₂O₃......O_K对应的最佳隐状态序列q₁q₂q₃......q_K；

(3.2.3)根据(3.2.2)中得到的隐状态序列的最后一个状态的值q_K以及模型HMM-ACO的状态转移矩阵A求出q_K的下一个可能性最大的隐状态；具体来说就是在隐状态转移概率矩阵A的第q_K行中，寻找得到所有元素中数值最大元素所在的列号，该列号表示的状态即是预测的下一个可能性最大的隐状态。