CN112165402A

CN112165402A - 一种网络安全态势预测的方法和装置

Info

Publication number: CN112165402A
Application number: CN202011042345.5A
Authority: CN
Inventors: 张文娣
Original assignee: Beijing Institute of Environmental Features
Current assignee: Beijing Institute of Environmental Features
Priority date: 2020-09-28
Filing date: 2020-09-28
Publication date: 2021-01-01

Abstract

本发明提供了一种网络安全态势预测的方法和装置。所述方法包括：对网络安全态势序列进行相空间重构，通过所述空间重构确定输入序列和输出序列之间的映射关系；根据所述映射关系得到输出序列预测值与输出序列实际值匹配下的滑动时间窗；并且利用历史网络安全态势序列建立输入数据和所述输出数据之间的LSTM网络模型；对所述输入数据和所述输出数据之间的LSTM网络模型进行优化，利用优化的LSTM网络模型预测未来网络安全形势。本发明针对目前网络安全态势感知中由于数据复杂且庞大的特点引起的信息缺失和对信息利用不全面的问题，实现对历史信息的充分利用，通过对未来时刻网络安全状态的预测，为网络安全管理人员防御策略的制定提供依据。

Description

一种网络安全态势预测的方法和装置

技术领域

本发明涉及网络安全技术领域，特别是涉及一种网络安全态势预测的方法和装置。

背景技术

深度学习是机器学习中一种基于对数据进行表征学习的方法，基于深度学习的神经网络可以解决发掘隐藏信息的困难。对网络安全态势时间序列可以采用递归神经网络(Recurrent Neural Network，RNN)的方法，递归神经网络可以更好的利用传统神经网络结构所不能建模的信息。但RNN会使用矩阵的多次相乘来计算距离较远的节点之间的联系，这会引起梯度消失或者梯度膨胀的问题。处理这类问题最成功应用最广泛的就是门限RNN，门限RNN允许在不同时刻改变权重系数，且允许网络忘记当前已经累积的信息。

在网络结构日益复杂、网络设备逐渐增多的发展趋势下，网络安全态势预测越来越困难。现有的网络安全预测方法无法很好的利用庞大数据信息中的有用信息。

发明内容

本发明提供一种网络安全态势预测的方法和装置，针对目前网络安全态势感知中由于数据复杂且庞大的特点引起的信息缺失和对信息利用不全面的问题，实现对历史信息的充分利用，通过对未来时刻网络安全状态的预测，为网络安全管理人员防御策略的制定提供依据。

本发明公开了一种网络安全态势预测的方法，包括：

对网络安全态势序列进行相空间重构，通过所述空间重构确定输入序列和输出序列之间的映射关系；

根据所述映射关系得到输出序列预测值与输出序列实际值匹配下的滑动时间窗；并且利用历史网络安全态势序列建立输入数据和所述输出数据之间的LSTM网络模型；

对所述输入数据和所述输出数据之间的LSTM网络模型进行优化，利用优化的LSTM网络模型预测未来网络安全形势。

优选地，对网络安全态势序列进行相空间重构，通过所述空间重构确定输入序列和输出序列之间的映射关系包括：

通过重构得到输入X_re与输出Y_re之间的映射关系，结果如下：

其中，X_re为重构的m维矩阵，Y_re为对应的一维向量，m为窗口长度。

优选地，根据所述映射关系得到输出序列预测值与输出序列实际值匹配下的滑动时间窗包括：

通过变化窗口长度m，计算Y_re的预测误差，确定满足预设误差要求的所述Y_re对应的窗口长度m，所述Y_re的预测误差为输出序列预测值与输出序列实际值的误差。

优选地，利用历史网络安全态势序列建立输入数据和所述输出数据之间的LSTM网络模型包括：

利用历史网络安全态势序列建立输入X_re和输出Y_re之间的LSTM网络模型f，结果如下：

Y_re＝f(θ,X_re)

其中，θ代表模型参数，包含隐藏层的层数s、隐藏层节点的节点数量n和学习率η；

所述隐藏层层数s等于窗口长度m。

优选地，对所述输入数据和所述输出数据之间的LSTM网络模型进行优化包括：

应用粒子群算法对LSTM模型参数进行优化，利用适应度值对粒子进行评价，不断更新粒子速度和位置，使其达到最小的均方根误差RMSE，当RMSE达到预期误差时，满足终止条件，停止迭代，输出最优解；否则，返回继续迭代，确定模型参数后，得到LSTM网络模型f，RMSE表达式如下：

其中，x_i∈X,i＝1,2,…,k,X是网络安全态势值的时间态势序列，

是模型的输出值。

优选地，利用利用优化的LSTM网络模型预测未来网络安全形势包括：

通过序列前k个时刻的态势值来预测未来的j个态势值：

其中，

是由序列X中第(k+j)^th个值前的m个值得到的第(k+j)^th个预测值，j＝1,2,…,n。

另一方面，本发明提供一种网络安全态势预测的装置，包括：

映射模块，设置为对网络安全态势序列进行相空间重构，通过所述空间重构确定输入序列和输出序列之间的映射关系；

建模模块，设置为根据所述映射关系得到输出序列预测值与输出序列实际值匹配下的滑动时间窗；并且利用历史网络安全态势序列建立输入数据和所述输出数据之间的LSTM网络模型；

预测模块，设置为对所述输入数据和所述输出数据之间的LSTM网络模型进行优化，利用优化的LSTM网络模型预测未来网络安全形势。

优选地，所述映射模块通过所述空间重构确定输入序列和输出序列之间的映射关系包括：

优选地，所述建模模块根据所述映射关系得到输出序列预测值与输出序列实际值匹配下的滑动时间窗包括：

优选地，所述建模模块利用历史网络安全态势序列建立输入数据和所述输出数据之间的LSTM网络模型模型包括：

Y_re＝f(θ,X_re)

所述隐藏层层数s等于窗口长度m。

与现有技术相比，本发明具有以下优点：

本发明本文针对目前网络安全态势感知中由于数据复杂且庞大的特点引起的信息缺失和对信息利用不全面的问题，通过收集网络中一切对网络安全状态造成影响的安全要素，定量或定性评估计算网络安全状况，预测未来的安全状态。针对网络安全态势预测中数据复杂且庞大的特点引起的信息缺失和对信息利用不全面的问题，引入长短期记忆网络来进行态势预测，采用LSTM网络的记忆单元来实现对历史信息的充分利用，得到态势预测结果。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本发明技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本发明的技术方案，并不构成对本发明技术方案的限制。

图1为本发明实施例的网络安全态势预测的方法的流程图；

图2为本发明实施例的网络安全态势预测的装置的结构示意图；

图3是本发明实施例的基于LSTM网络的预测模型示意图；

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

实施例一

图1为本发明实施例的网络安全态势预测的方法的流程图，本发明实施例的网络安全态势预测的方法，可以包括步骤S101至步骤S103：

S101、对网络安全态势序列进行相空间重构，通过所述空间重构确定输入序列和输出序列之间的映射关系；

S102、根据所述映射关系得到输出序列预测值与输出序列实际值匹配下的滑动时间窗；并且利用历史网络安全态势序列建立输入数据和所述输出数据之间的LSTM网络模型；

S103、对所述输入数据和所述输出数据之间的LSTM网络模型进行优化，利用优化的LSTM网络模型预测未来网络安全形势。

本发明实施例中，步骤S101对网络安全态势序列进行相空间重构，通过所述空间重构确定输入序列和输出序列之间的映射关系包括：

本发明实施例中，步骤S102，根据所述映射关系得到输出序列预测值与输出序列实际值匹配下的滑动时间窗包括：

本发明实施例中，步骤S102，利用历史网络安全态势序列建立输入数据和所述输出数据之间的LSTM网络模型包括：

Y_re＝f(θ,X_re)

所述隐藏层层数s等于窗口长度m。

本发明实施例中，步骤S103中对所述输入数据和所述输出数据之间的LSTM网络模型进行优化包括：

是模型的输出值。

本发明实施例中，步骤S103利用优化的LSTM网络模型预测未来网络安全形势包括：

通过序列前k个时刻的态势值来预测未来的j个态势值。

其中，

实施例二

如图2所示，本发明实施例还提供一种网络安全态势预测的装置，包括：

映射模块100，设置对网络安全态势序列进行相空间重构，通过所述空间重构确定输入序列和输出序列之间的映射关系；

建模模块200，设置为根据所述映射关系得到输出序列预测值与输出序列实际值匹配下的滑动时间窗；并且利用历史网络安全态势序列建立输入数据和所述输出数据之间的LSTM网络模型；

预测模块300，设置为对所述输入数据和所述输出数据之间的LSTM网络模型进行优化，利用优化的LSTM网络模型预测未来网络安全形势。

本发明实施例中，所述映射模块100对网络安全态势序列进行相空间重构，通过所述空间重构确定输入序列和输出序列之间的映射关系：

本发明实施例中，建模模块200，所述建模模块根据所述映射关系得到输出序列预测值与输出序列实际值匹配下的滑动时间窗包括：

本发明实施例中，所述建模模块200建模模块利用历史网络安全态势序列建立输入数据和所述输出数据之间的LSTM网络模型包括：

Y_re＝f(θ,X_re)

所述隐藏层层数s等于窗口长度m。

本发明实施例中，所述预测模块300对所述输入数据和所述输出数据之间的LSTM网络模型进行优化：

是模型的输出值。

本发明实施例中，所述预测模块300利用优化的LSTM网络模型预测未来网络安全形势包括：

通过序列前k个时刻的态势值来预测未来的j个态势值。

其中，

实施例三

基于LSTM网络进行安全态势预测的框架如图3所示：

设定有网络安全态势值的时间序列{x_i|x_i∈R,i＝1,2,...,L}，需要通过序列的前N个时刻的态势值，预测出以后的M个时刻的网络安全态势值。基于LSTM网络实现从输入空间R^N到输出空间R^M的映射，从而达到时间序列预测的目的。

利用LSTM网络进行网络安全态势预测的过程描述如下:

应用态势序列X＝{x₁,x₂,...,x_k}进行态势预测，那么目标问题可转化为在给定{x_k-m,x_k-m+1,...,x_k-1}的条件下来预测x_k的值，其数学表达式为

x_k＝f(x_k-m,x_k-m+1,...,x_k-2,x_k-1)

其中，f表示从{x_k-m,x_k-m+1,...,x_k-1}到x_k的映射。

首先，在建模之前对网络安全态势序列进行相空间重构。通过重构得到输入X_re与输出Y_re之间的映射关系，结果如下:

其中，X_re为重构的m维矩阵，Y_re为对应的一维向量，m为窗口长度。利用最终预测误差(FPE)得到最优窗口长度m。

其次，利用历史网络安全态势序列建立了输入X_re和输出Y_re之间的LSTM网络模型f。

Y_re＝f(θ,X_re)

所述隐藏层层数s等于窗口长度m。

应用粒子群算法(Particle Swarm Optimization，PSO)对LSTM模型参数进行优化。该方法利用适应度值对粒子进行评价，不断更新粒子速度和位置，使其达到最小的均方根误差(RMSE)。当RMSE达到预期误差时，满足终止条件，停止迭代，输出最优解；否则，返回继续迭代。确定模型参数后，可以得到LSTM网络模型f。

其中，x_i∈X,i＝1,2,…,k,

是模型的输出值。

然后应用模型f来预测未来网络安全形势。通过序列前k个时刻的态势值来预测未来的j个态势值。

其中，

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。