CN110647900B

CN110647900B - 基于深度神经网络的安全态势智能预测方法、装置及系统

Info

Publication number: CN110647900B
Application number: CN201910292203.5A
Authority: CN
Inventors: 张玉臣; 胡浩; 张任川; 刘玉岭; 汪永伟; 鲍旭华; 孙怡峰; 周洪伟; 范钰丹; 何淼
Original assignee: Information Engineering University of PLA Strategic Support Force; Beijing Qianxin Technology Co Ltd
Current assignee: Information Engineering University of PLA Strategic Support Force; Beijing Qianxin Technology Co Ltd
Priority date: 2019-04-12
Filing date: 2019-04-12
Publication date: 2022-04-22
Anticipated expiration: 2039-04-12
Also published as: CN110647900A

Abstract

本发明属于网络安全技术领域，特别涉及一种基于深度神经网络的安全态势智能预测方法、装置及系统，该方法包含：以自动编码器为基本单元，结合误差反向传播BP神经网络，构建用于网络安全态势无监督训练学习的深度自编码网络模型；结合专家知识和层次评估深度自编码网络模型依次进行无监督逐层预训练和有监督模型参数微调，得到训练后的网络模型；基于训练后的网络模型，对目标网络安全态势进行预测。本发明通过应用深度自编码器作为基本结构，采用无监督逐层算法进行预训练，采用有监督算法进行参数微调，解决了对网络安全数据标签的依赖性问题，实现安全态势的自动化监测和智能预警，提高态势预测的精度和时效。

Description

基于深度神经网络的安全态势智能预测方法、装置及系统

技术领域

本发明属于网络安全技术领域，特别涉及一种基于深度神经网络的安全态势智能预测方法、装置及系统。

背景技术

随着以机器学习算法为核心的人工智能技术取得重大突破以及大数据分析平台系统的出现，将人工智能技术引入态势预测过程已经成为一个显著的技术发展趋势。态势预测是态势感知技术的核心组成部分，着眼点是如何根据系统中的当前和历史信息评估预测将来的趋势。它根据对过去收集的信息和当前所理解的态势信息，预测未来状态的趋势。态势预测使决策者能够掌握更有预见性和更加全面的网络空间状态，并做出准确合理的决策。网络安全态势预测常见的方法有时间值序列预测法、神经网络建模法和模式识别法三类，其中，(1)时间序列法，根据网络安全事件发展变化趋势具有延续性的原理，在固定时间间隔上度量各类态势要素信息，并使用相关评估算法计算出各时间段的网络安全态势，以此构建时间序列，通过拟合曲线和估计参数，以定量的方式计算出预测时间段的安全态势数据。该方法适用于分析平稳时间序列的变化规律，应用于现实网络时，由于各类安全事件突发，导致综合预测效果不佳；(2)模式识别法，综合专家知识和机器学习得到态势变化规则知识构建模板空间，通过数据挖掘对输入网络安全态势模式自动识别和处理。模式识别法可以采用有标签的方法构建模板空间，在缺乏专家知识的情况下，也可以采用无监督学习的方法学习规则知识以减少对标签数据的依赖性；(3)神经网络法，基于函数逼近理论构造，由大量微小的人工神经元节点互相连接而成的非线性动力系统，从态势数据中提取并构造容量充分的训练样本，并以对应时刻的态势值为样本打上标签，通过数据正向传播与误差反向传播算法训练网络，并调整连接权值和偏置参数，实现从态势输入到态势发展的映射关系构建，再通过训练好的网络以数据正向传播的方式，对态势数据的输入进行分类或预测，该方法具有良好的自学习和非线性分析能力，其不足在于学习过程过分依赖标签数据，需要大量标签数据作为训练集，而实际网络环境中，由于安全数据涉及隐私等问题，有标签数据十分稀缺的，因此，在训练数据不足的情况下，神经网络的训练过程易产生过拟合问题。

发明内容

为此，本发明提供一种基于深度神经网络的安全态势智能预测方法、装置及系统，解决现有网络安全态势对标签数据依赖性强等问题，提高神经网络在态势预测领域的应用，具有较强的实用性和可操作性。

按照本发明所提供的设计方案，一种基于深度神经网络的安全态势智能预测方法，包含如下内容：

A)以自动编码器为基本单元，结合误差反向传播BP神经网络，构建用于网络安全态势无监督训练学习的深度自编码网络模型；

B)结合专家知识和层次评估深度自编码网络模型依次进行无监督逐层预训练和有监督模型参数微调，得到训练后的网络模型；

C)基于训练后的网络模型，对目标网络安全态势进行预测。

上述的，A)中，自动编码器包含编码器和解码器，其中，编码器设置在输入层和隐藏层之间，解码器设置在隐藏层和输出层之间，彼此相邻的编码器隐藏层进行交叉堆叠，经过训练学习调整编码器权重和偏置参数，使得编码器重构误差趋于最小值。

上述的，无监督逐层训练中，利用无标签数据对深度自编码网络模型进行无监督预训练，确定网络模型各层间权值的范围空间。

优选的，无监督预训练包含如下内容：训练第一个自动编码器，使其重构误差最低；将上一个自动编码器输出作为下一个自动编码器输入，对该下一个自动编码器进行训练，使其重构误差最低，循环重复，直至深度自编码网络模型各层训练完成；将深度自编码网络模型最后一层作为下一个有监督层的输入。

上述的，有监督模型参数微调中，利用有标签数据对经过预训练的网络模型进行调整，对网络模型各层参数及权值进行优化。

优选的，网络模型调整包含如下内容：依据预训练的网络模型进行网络模型结构初始化；针对选取的有标签数据，利用BP神经网络算法对网络模型进行有监督训练，获取每层输出及每一层的有监督重构误差；依据有监督重构误差对网络权值参数和偏置向量进行微调，并与性能指标和规则值进行比对，直至达到预期要求，得到训练后的网络模型。

上述的，B)中，网络模型训练和参数微调中，结合专家知识建立网络安全态势指标体系，对网络中节点、防护、拓扑、流量、报警和配置信息进行提取，获取网络态势指标；采用层析分析法从服务、主机和网络三个细粒度层次对态势指标进行综合评估，获取系统网络安全态势值；构建用于网络模型训练的训练集和用于模型参数微调的测试集，依据训练集和测试集依次对网络模型进行预训练和参数调整。

优选的，系统网络安全态势值计算公式表示为：

其中，S_a为服务威胁态势向量，E_a为专家知识威胁严重程度向量，S_s为威胁事件数量向量；S_m为主机威胁态势向量，K_s为各主机节点开放的服务向量，E_p为通过专家知识加权得出的服务权重向量，E_m为专家知识主机权重向量，b为通过专家知识加权得出的对网络安全态势的修正值，S为最终系统网络安全态势值。

一种基于深度神经网络的安全态势智能预测装置，包含：构建模块、训练模块和预测模块，其中，

构建模块，用于以自动编码器为基本单元，结合误差反向传播BP神经网络，构建用于网络安全态势无监督训练学习的深度自编码网络模型；

训练模块，用于结合专家知识和层次评估深度自编码网络模型依次进行无监督逐层预训练和有监督模型参数微调，得到训练后的网络模型；

预测模块，用于基于训练后的网络模型，对目标网络安全态势进行预测。

本发明还提供一种网络安全态势智能预测系统，包含上述的基于深度神经网络的安全态势智能预测装置。

本发明的有益效果：

本发明引入具有通过无监督训练学习输入特征能力的自动编码器，并以自动编码器为基本单元，结合深度学习和神经网络构建深度自编码网络，利用自动编码器独特的“编码—解码—重构误差”的结构，通过无监督训练学习解决对标签数据依赖性的问题；再结合专家知识和层次评估，训练深度自编码网络，训练过程中，利用无标签数据对网络进行预训练，确定网络各层参数权值的范围空间；采用有标签样本对网络进行微调，对各层参数的权值进行优化，最终创建具有精确预测能力的模型。通过应用深度动编码器作为系统基本结构，采用无监督逐层算法进行预训练，采用有监督算法进行参数微调，解决了对网络安全数据标签的依赖性问题，实现服务、主机和网络多细粒层次的态势演化智能预测，提高网络安全态势预测能力和准确度。

附图说明：

图1为实施例中安全态势预测流程示意图之一；

图2为实施例中自动编码器构造示意图；

图3为实施例中深度自编码网络结构示意图；

图4为实施例中深度自编码网络模型训练流程示意图；

图5为实施例中智能态势预测流程图之二；

图6为实施例中态势评估指标体系图；

图7为实施例中安全态势预测装置示意图；

图8为实施例中DARPA1999网络拓扑图；

图9为实施例中实验网络攻击类型严重度权重向量；

图10为实施例中实验网络服务重要性权重向量；

图11为实施例中实验网络主机重要性权重向量；

图12为实施例中训练样本数据输入与标签值；

图13为实施例中不同样本容量下最小均方根误差指标及最佳预测模型参数；

图14为实施例中预测精度误差分布对比示意。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。实施例中涉及到的技术术语如下：

基于神经网络的方法因为具有良好的自学习能力，成为目前态势预测的主流方法之一，但对数据标签的依赖性强。由于神经网络的训练过程是有监督学习的过程，本质上是利用数据指导网络找到特征和标签之间的联系并调整至最优结构的过程，需要大量标签数据作为训练集，而在实际环境中，有标签的网络安全态势数据往往是稀缺的，制约了神经网络在态势预测领域的应用，成为目前亟待解决的技术难题。为此，本发明实施例，参见图1所示，提供一种基于深度神经网络的安全态势智能预测方法，包含：

以自动编码器为基本单元，结合误差反向传播BP神经网络，构建用于网络安全态势无监督训练学习的深度自编码网络模型；

结合专家知识和层次评估深度自编码网络模型依次进行无监督逐层预训练和有监督模型参数微调，得到训练后的网络模型；

基于训练后的网络模型，对目标网络安全态势进行预测。

本发明实施例中，应用自动编码器作为深度自编码网络的基本结构，图2形象地展示自动编码器的应用过程，自动编码器的隐藏层为m维，它的输入与输出同为n维。本发明实施例中，自动编码器包括编码器和解码器两个基本结构，编码器设置在输入层和隐藏层之间，其功能函数可设计为如公式(1)所示：

h＝f(x)＝s_f(wx+p) (1)

解码器设置在隐藏层和输出层之间，其功能函数可如公式(2)所示：

公式(1)和公式(2)中，f和g分别代表编、解码映射函数，s_f和s_g代表编、解码器的激励函数，w是权重参数，p和q是偏置，L是误差函数。在模型给定输入训练集

参数集θ＝{w,p,q}的情况下，自动编码器重构误差函数为：

J_AE(θ)＝∑_x∈SL(x,g(f(x))) (3)

利用自动编码器进行训练，其本质就是调整参数集θ，使得自动编码器整体重构误差接近最小值。通常选择均方误差或交叉熵函数作为误差函数，使用梯度下降算法求解J_AE(θ)的最小值，经过多轮迭代得到参数集θ的满意结构。

自动编码器独有的“编码—解码—重构误差”的结构，通过无监督训练学习可以有效解决对标签数据的依赖性问题。

针对自动编码器存在梯度弥散和陷入局部最优的问题，本发明另一个实施例中，引入误差反向传播BP神经网络，创建一个结合自动编码器和BP神经网络的深度自编码网络模型。其结构如图3所示：深度自编码网络模型工作流程中，训练完第一个自动编码器后，所有无标签训练样本经过编码器编码得到了自身的特征；将这些特征进行整合，作为下一个自动编码器的输入，按相同方法进行多轮次迭代训练；最后，将多个以前向传播方式训练好的自动编码器从结构上堆叠在一起，集成深度自编码网络；在输出阶段，模型将输入和通过输出层解码器提取的数据特征关联起来，并进行最终重构输出。

通过逐层无监督训练，使得自编码器具有了识别分类的能力。其特点在于将彼此相邻的隐藏层视为一个只有2层的浅层神经网络，从而有助于减少深度结构面临的梯度弥散和局部最优问题，同时交叉深度结构又可以提高模型的智能学习能力。

深度自编码网络模型的基本结构是若干由自编码器堆叠而成的浅层自编码网络，这种组织结构能够分层地提取输入数据的特征，可以使模型从底层学习到更多的能够表示数据隐含特征的抽象知识。建立在自动编码器训练的基础上，深度自编码网络的训练过程主要分为两步，第一步是无监督逐层预训练，利用无标签数据对深度自编码网络进行无监督训练，确定网络各层间权值的范围空间；第二步是使用有监督学习方法对网络进行参数微调，选用误差反向传播算法，利用少量有标签数据对经过预训练的网络进行调整，使用有监督训练方法对网络各层参数及权值进行优化。深度自编码网络训练流程如图4所示，详细步骤可设计如下：

a)无监督逐层预训练

步骤1.训练第一个自动编码器，使其重构误差最低；

步骤2.将上一个自动编码器的输出作为下一个自动编码器的输入，后者按上一步的相同方案进行训练；

步骤3.重复2的过程，直到深度自编码网络各层的训练完成为止；

步骤4.将深度自编码网络最后一层的输出作为下一个有监督层的输入，在保持前面各层均不变的情况下，初始化有监督层参数。

b)有监督微调

步骤1.网络结构初始化，将之前经过预训练确定的参数输入网络，初始化BP神经网络的权值、偏置等参数；

步骤2.选取一定量的有标签数据，利用BP神经网络算法对网络进行有监督训练，计算每一层的输出；

步骤3.计算网络中每一层的有监督学习重构误差，据此对网络权值系数和偏置向量进行微调；

步骤4.将各性能指标与规则值进行比对，若不能满足要求，则跳转到步骤2继续微调，直至达到预期要求。

本发明实施例中，结合专家知识建立网络安全态势指标体系，对网络中的节点信息、防护信息、拓扑信息、流量信息、报警信息、配置信息进行提取和分析，并综合选取能表征宏观网络脆弱性、容灾性、威胁性和稳定性的态势指标，如图5所示。

由于态势指标基于专家知识建立，难免会有一定的主观性，为此对态势指标进行自学习预训练，并运用少量专家知识对自学习评估模型进行参数调整，保证指标分布的客观性。本发明另一个实施例中，结合指标体系，采用层次分析法从服务、主机和网络三个细粒度层次对态势进行综合评估，评估值计算如公式(4)所示：

其中，S_a为服务威胁态势向量，E_a为专家知识给出的威胁严重程度向量，S_s为威胁事件数量向量；S_m为主机威胁态势向量，K_s为各主机运行服务向量，E_p为通过专家知识加权得出的服务权重向量，E_m为专家知识给出的主机权重向量，b为通过专家知识加权得出的对网络安全态势的修正值，S为最终计算得出的系统网络安全态势值。具体态势预测流程如图6所示，步骤可设计为如下内容：

步骤1.以固定时间段内采集到的告警日志和网络安全事件信息为数据源，综合计算各态势指标的值，并进行数据归一化；

步骤2.在各类态势指标值的基础上，依据专家经验值进行加权，对各指标权重进行定量评估，计算服务层威胁态势情况；

步骤3.综合服务威胁态势情况计算主机威胁态势；结合主机权重计算全网威胁态势；

步骤4.建立测试集和训练集，在得到网络安全态势评估值的基础上，选取相邻一段时段态势指标值组合起来，构建训练集时间值序列Xi＝[xi(1)，xi(2),…,xi(n)]，取Yi＝xi(n+1)作为标签；

步骤5.将序列X_i的各分量的值作为深度自编码网络的输入，并进行无监督逐层预训练；

步骤6.利用Y_i进行有监督微调训练，调整相关权值和参数，使模型获得最佳的性能，完成深度自编码模型训练；

步骤7.开展对网络安全态势的预测。

基于上述的预测方法，本发明实施例还提供一种基于深度神经网络的安全态势智能预测装置，参见图7所示，包含：构建模块、训练模块和预测模块，其中，

进一步的，本发明实施例还提供一种网络安全态势预测系统，包含上述的基于深度神经网络的安全态势智能预测装置。

为进一步验证本发明实施例技术方案的有效性，下面结合网络安全数据做进一步解释说明：

以DARPA 1999作为测评数据集，该数据集网络拓扑如图8所示。该数据集包含了5周的连续网络流量数据，其中，第2、4和5周数据包含精心设计的各类网络攻击原始流量，集中覆盖了Probe、DoS、R2L、U2R和SQL五大类共58种常见的攻击方式，是目前较全面的网络安全态势研究数据集。首先利用TCPReplay工具重放数据流，使用Snort软件作为入侵检测工具评估数据流，并得到各类安全事件原始报警；从数据集中选取第2和第4周336个小时的数据及其报警记录作为训练集空间，对各时间段的数据进行态势指标提取和态势评估，并使用其下一个时间段的态势评估值作为有监督学习的标签；最后选取第5周168个连续时间段的数据作为测试集，分析态势预测效果；参考Snort用户手册上攻击分类与优先级规则确定相关权重指标，如图9～11所示：样本构建阶段，采用时间段评估的方式，将1天分为12个时间段，以每8个时间段的态势值对应1个标签。部分训练样本的输入和标签如图12所示。

选用不同的模型参数如学习率、正则化方法、Dropout比率、隐藏层节点数等对模型进行训练和测试，使用均方根误差值作为评价指标进行态势预测准确性的测度：

公式(5)中，Y_i和Y_i'分别为态势实际值与预测值，N为样本数量。

图13所示，增加训练样本数量，继续监测预测性能，直至达到最优状态，得出训练效果最佳时的误差指标，为了显示本发明实施例中技术方案的技术优势，图14给出传统BP神经网络方法和本发明技术方案在部分测试集上的预测精度均方根误差曲线，从图14中可以看出，随着标签数据的增多，使用本发明技术方案和BP神经网络方法进行预测的均方根误差都呈现下降趋势。但本发明技术方案过程稳定，曲线平滑，波动较小，对标签数据依赖性低。同时，在小规模训练样本下，本发明技术方案的均方根误差明显小于BP神经网络，表明其预测精度整体较好，反映出深度结构的特点，具有学习能力好，自适应能力强的优势。

基于上述网络样本数据实验，进一步验证本发明通过应用深度动编码器作为系统基本结构，采用无监督逐层算法进行预训练，采用有监督算法进行参数微调，解决了对网络安全数据标签的依赖性问题，实现服务、主机和网络多细粒层次的态势演化智能预测，提升预测精确度和适用性。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的各实例的单元及方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不认为超出本发明的范围。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如：只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现，相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种基于深度神经网络的安全态势智能预测方法，其特征在于，包含如下内容：

B)结合专家知识和层次评估法对深度自编码网络模型依次进行无监督逐层预训练和有监督模型参数微调，得到训练后的网络模型；

C)基于训练后的网络模型，对目标网络安全态势进行预测；

无监督逐层训练中，利用无标签数据对深度自编码网络模型进行无监督预训练，确定网络模型各层间权值的范围空间；

无监督预训练包含如下内容：训练第一个自动编码器，使其重构误差最低；将上一个自动编码器输出作为下一个自动编码器输入，对该下一个自动编码器进行训练，使其重构误差最低，循环重复，直至深度自编码网络模型各层训练完成；将深度自编码网络模型最后一层作为下一个有监督层的输入；

有监督模型参数微调中，利用有标签数据对经过预训练的网络模型进行调整，对网络模型各层参数及权值进行优化；

网络模型调整包含如下内容：依据预训练的网络模型进行网络模型结构初始化；针对选取的有标签数据，利用BP神经网络算法对网络模型进行有监督训练，获取每层输出及每一层的有监督重构误差；依据有监督重构误差对网络权值参数和偏置向量进行微调，并与性能指标和规则值进行比对，直至达到预期效果，得到训练后的网络模型；

网络模型训练和参数微调中，结合专家知识建立网络安全态势指标体系，对网络中节点、防护、拓扑、流量、报警和配置信息进行提取，获取网络态势指标；采用层析分析法从服务、主机和网络三个细粒度层次对态势指标进行综合评估，获取系统网络安全态势值；构建用于网络模型训练的训练集和用于模型参数微调的测试集，依据训练集和测试集依次对网络模型进行预训练和参数调整；

系统网络安全态势值计算公式表示为：

其中，S_a为服务威胁态势向量，E_a为专家知识威胁严重程度向量，S_s为威胁事件数量向量；S_m为主机威胁态势向量，K_s为各主机节点开放的服务向量，E_p为通过专家知识加权得出的服务权重向量，E_m为专家知识主机权重向量，b为通过专家知识加权得出的对网络安全态势的修正值，S为最终系统网络安全态势值；

网络模型训练和参数微调流程，包含如下内容：以固定时间段内采集到的告警日志和网络安全事件信息为数据源，综合计算各态势指标的值，并进行数据归一化；依据专家经验值进行加权，对各指标权重进行定量评估，计算服务层威胁态势情况；综合服务威胁态势情况计算主机威胁态势；结合主机权重计算全网威胁态势；建立测试集和训练集，在得到网络安全态势评估值的基础上，选取相邻一段时段态势指标值组合起来，构建训练集时间值序列Xi＝[xi(1)，xi(2),…,xi(n)]，取Yi＝xi(n+1)作为标签；将序列X_i的各分量的值作为深度自编码网络的输入，并进行无监督逐层预训练；利用Y_i进行有监督微调训练，调整相关权值和参数，使模型获得最佳的性能，完成深度自编码网络模型训练，以利用训练后的深度自编码网络模型对网络安全态势开展预测。

2.根据权利要求1所述的基于深度神经网络的安全态势智能预测方法，其特征在于，A)中，自动编码器包含编码器和解码器，其中，编码器设置在输入层和隐藏层之间，解码器设置在隐藏层和输出层之间，彼此相邻的编码器隐藏层进行交叉堆叠，经过训练学习调整编码器权重和偏置参数，使得编码器重构误差趋于最小值。

3.一种基于深度神经网络的安全态势智能预测装置，其特征在于，基于权利要求1所述的方法实现，包含：构建模块、训练模块和预测模块，其中，

4.一种网络安全态势智能预测系统，其特征在于，包含权利要求3所述的基于深度神经网络的安全态势智能预测装置。