CN113486337A

CN113486337A - 一种基于粒子群算法的网络安全态势要素识别系统和方法

Info

Publication number: CN113486337A
Application number: CN202110677850.5A
Authority: CN
Inventors: 张克君; 郑炜; 王志强; 张翱; 王昱皓
Original assignee: BEIJING ELECTRONIC SCIENCE AND TECHNOLOGY INSTITUTE
Current assignee: BEIJING ELECTRONIC SCIENCE AND TECHNOLOGY INSTITUTE
Priority date: 2021-06-18
Filing date: 2021-06-18
Publication date: 2021-10-08
Anticipated expiration: 2041-06-18
Also published as: CN113486337B

Abstract

本发明涉及一种基于粒子群算法的网络安全态势要素识别系统和方法，该方法收集网络安全数据集，提出融合粒子群和模拟退火的态势要素识别模型，从位置更新和参数设置两阶段进行改进优化，引入退火算法中的Metropolis准则，增加粒子的选择性和对参数优化的适应度评价，提高要素质量和要素识别效率，实现对网络安全态势要素的高效识别。本发明可对原始数据集进行态势要素识别，为网络安全态势感知提供关键基础，加强网络安全态势感知的准确性和时效性。

Description

一种基于粒子群算法的网络安全态势要素识别系统和方法

技术领域

本发明涉及网络空间安全领域，特别涉及一种基于粒子群和模拟退火算法的网络安全态势要素识别模型及算法。

背景技术

随着信息技术的不断发展与普及，信息化和经济全球化相互促进，使得互联网融入到生活的方方面面中，对人们的生活产生深远的影响。当前的网络规模具有多借点、多分支、多网段、大流量等特点，网络安全问题越来越严峻，传统的监测方法和防护手段已经无法满足新的安全需求。网络安全态势感知(Network Security Situation Awareness，以下简称NSSA)能在复杂网络环境中，实时感知网络安全的风险，安全分析人员能结合网络安全环境，快速、准确地做出判断，将风险和损失降到最低。

网络安全态势感知过程可以分为以下四个过程：数据采集、态势理解、态势评估、态势预测。网络安全态势感知系统是通过采集网络安全防护系统数据、主机日志、漏洞信息、网络流量等数据，利用分类、关联分析等手段进行处理融合，采用数据分析和机器学习等技术对融合的信息进行定性和定量的分析，分析当前网络的安全状态，并给出相应的措施，这是网络安全态势感知的核心。网络安全态势要素识别是NSSA的基础，也是直接影响NSSA性能的关键性工作之一。

综上所述，网络安全态势识别模型是保证网络安全态势感知准确性和时效性的重要环节之一，但是目前态势要素识别的模型大多以框架结构和描述为主，没有统一的标准。提出的识别模型大部分需要在态势识别前引入大量的先验知识，然而目前网络安全领域对先验知识的获取还很困难，用于评估和预测的数据不够全面，操作性不强，准确性和时效性难以得到保证。另外还有一部分模型基于机器学习提出相应的态势要素识别模型，极大保证了要素识别的准确性，但同时也付出了极大的时间成本，缺失了网络安全态势感知的时效性。

发明内容

本发明主要解决的技术问题是：克服现有技术的不足，提出一种基于粒子群和模拟退算法的网络安全态势要素识别，可以使得态势要素识别的准确性和时效性得到很好保证，其中针对各类数据集的测试准确率均大于0.9014，对于真实获取的网络安全数据集SDS-W可达到0.9161。本发明提出的解决方案不仅在态势要素识别准确性上较好的逼近机器学习模型，还极大的减少时间成本，保证时效性，实验结果也证明了基于粒子群和退火算法的态势要素识别模型效果比较突出。

本发明技术解决方案：一种基于粒子群和模拟退火算法的网络安全态势识别系统，包括：数据获取模块、预处理模块、p_best和g_best退火更新模块和PSO参数退火优化模块；

数据获取模块：搭建第一网络环境，模拟攻击者行为对网络节点进行攻击，利用网络安全态势感知数据获取工具对网络中节点的态势相关数据进行采集，对于漏洞信息、攻击信息、流量信息等三个方面，采用包括了Nessus、Snort和Netflow等工具，对网络的基本运行、正在面临的攻击和潜在的安全隐患进行全面的表现，获得网络安全数据集SDS-W；

预处理模块：对数据获取模块获取的数据矩阵进行处理，去除掉无影响的要素字段，得到初步的有效且最能体现态势的要素组；

p_best和g_best退火更新模块：在对更新个体粒子的最好位置p_best时，利用Metropolis准则，在一定的概率下允许p_best向一个非更好的位置更新；同样，在更新群体粒子的最好位置g_best时，设置了g_best和G_best，其中g_best也被允许在一定的概率下向一个非更好的位置更新，算法结束时输出G_best。两次退火更新能增加粒子的选择性，能很好的防止PSO算法陷入局部最优解；

PSO参数退火优化模块：针对PSO算法中的参数，进行退火优化。在每次的迭代中，PSO算法针对粒子群的适应度和参数组合优化的评价值都可以利用最优适应度函数来表示。同样，因为Metropolis准则能接受非更好的参数组合，使得粒子可以更好的摆脱局部最优解；

测试模块：利用开放数据集和获取的SDS-W数据集，对本模型和一些其他算法进行实验比较，验证本模型的性能。

在本发明中，首先通过数据获取模块获取到逼真的网络安全数据集文件；经过预处理模块对获取数据的处理，初步得出能较好反映态势的要素组；其次p_best和g_best退火更新模块引入Metropolis准则，使得粒子能很好的跳出局部最优，增加粒子的选择性；再在PSO参数退火优化模块实现对PSO算法参数的退火优化，并增加对参数组合优化的适应度评价值；最后对模型和其它算法进行性能比较试验。

所述预处理模块的处理方式采用移除无关属性、处理缺失值和相关系性检查；其中：

所述移除无关属性为从数据获取模块获取的要素矩阵里面会有对模型识别无关的要素，在识别过程中，首先移除此部分要素；

所述处理缺失值，数据获取模块获取的要素矩阵中会有数据处于无值状态，考虑到获取过程中会对网络行为拥有的要素进行分类赋值，所以缺失值代表此网络行为无此项特征，实验中统一赋值为零，例如要素模块在提取如攻击采用的协议类型要素时，由于有些网络行为没有此要素，故在进行存储时便没有对此要素进行处理，这里对其进行填零操作，使其组成一张完整的要素表；

所述相关系性检查，考虑到某些要素之间存在相关性，这样的要素会对实验结构产生影响，所以本系统利用皮尔森相关系数求出它们之间的相关性，当大于规定的阈值时，依旧移除此项特征，本实验规定阈值为0.75；

上述三种处理方式为本实验的数据预处理阶段，通过上述三种方式处理，移除掉对实验结果无影响或影响较小的要素，得到初步反映网络安全态势的要素矩阵。

所述测试模块中的其他算法选用支持向量机、分类决策树、LD粒子群、BP神经网络、RNN。

根据本发明的另一方面，提出一种基于粒子群和模拟退火算法的网络安全态势识别模型，包括以下步骤：

第一步，搭建小型网络环境，获取网络安全数据集作为初始要素数据集；

第二步，对初始要素数据集进行数据预处理；

第三步，对p_best和g_best进行退火更新，使得粒子更好的跳出局部最优解，增加粒子的选择性；

第四步，对PSO参数组合进行退火优化，增加对参数组合优化的适应度评价值，使得参数组合更适应于要素数据集；

第五步，利用开放数据集和获取的SDS-W数据集，对本模型和一些其他算法进行实验比较，验证本模型的性能；

第一步中，所述小型网络环境包括七台主机，五个网络组件和两套NSSA数据获取工具，其中三台主机进行服务器模拟，包括了Web服务、FTP服务和database服务；所述网络安全数据集包括漏洞信息、攻击信息、流量信息等；

第三步中，所述退火更新为利用Metropolis准则，在一定的概率下允许p_best向一个非更好的位置更新；同样，在更新群体粒子的最好位置g_best时，设置了g_best和G_best，其中g_best也被允许在一定的概率下向一个非更好的位置更新，算法结束时输出G_best；

第四步中，所述PSO参数组合为惯性权重w、学习因子c1和c2。

本发明与现有技术相比的优点在于：

(1)在数据获取上，采用三种数据获取工具并考虑漏洞信息、攻击信息、流量信息，全面反应网络的基本运行、正面临的攻击和潜在的安全隐患。

(2)使用PSO与模拟退火算法相结合的方法，引入Metropolis准则，在识别准确性逼近机器学习的基础上，时效性大大提高。

现有的解决方案存在要素难以精确识别、时间成本高的问题，而时效性是评价要素识别模型的一个很重要因素。在识别算法选取上，并不是准确性越好的算法在网络安全态势感知中应用越广泛，本发明在要素识别和时效性上都有很好的表现。在实验算法选择上面，本方案选用了五种效果较为优秀的算法，包括：支持向量机、分类决策树、LD粒子群、BP神经网络、RNN。本发明实验结果如图5所示，从图5中可以看出基于粒子群和模拟退火的态势要素识别方法的准确率略低于机器学习模型，但是测试时间上大大所减少，在保证时效性的同时，一定程度保证了高准确性。

附图说明

图1为本发明模型总体框图；

图2为p_best和g_best退火更新模块流程图；

图3为PSO参数退火模块流程图；

图4为搭建的第一网络环境拓扑图；

图5为本发明实验结果对比图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅为本发明的一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域的普通技术人员在不付出创造性劳动的前提下所获得的所有其他实施例，都属于本发明的保护范围。

根据本发明的一个实施例，提供一种基于粒子群算法的网络安全态势要素识别方法，其中，网络节点安全数据被获取生成相应网络安全行为，在通过预处理后，网络安全态势要素识别模型对安全行为进行要素识别并将识别后的结果传入态势感知的后续阶段，完成行为的态势评估、预测。具体的实现过程为包括如下步骤：

步骤(1)搭建第一网络环境，模拟攻击者行为对网络节点进行攻击。利用网络安全态势感知数据获取工具对网络中节点的态势相关数据进行采集，采用包括了Nessus、Snort和Netflow等工具，对网络的基本运行、正在面临的攻击和潜在的安全隐患进行全面的表现，获得网络安全数据集SDS-W。

步骤(2)对获取的相关数据进行预处理，去除掉无影响的要素字段，得到初步的有效且最能体现态势的要素组，即初步的反映网络安全态势的要素矩阵。

步骤(3)在对更新个体粒子的最好位置p_best时，利用Metropolis准则，计算所有粒子各自的适应值f(xi)以及每个粒子目前的最好位置p_best的适应值f(p_best)。计算Δf＝f(x_i)-f(p_best)，则有概率p有p＝exp(-Δf/T)，T为当前温度，当p＞0时，允许p_best向一个非更好的位置更新；同样，在更新群体粒子的最好位置g_best时，设置了g_best和G_best，比较当前个体最好位置的适应值f(x_best)和群体最好位置的适应值f(G_best)，计算Δf＝f(x_best)-f(g_best)，在Metropolis准则下，有p＝exp(-Δf/T)，当p＞0时，g_best也被一个非更好的位置更新，算法结束时输出G_best。

(4)针对PSO算法中的参数，进行退火优化。在每次的迭代中，PSO算法针对粒子群的适应度和参数组合优化的评价值都可以利用最优适应度函数来表示。

(5)利用开放数据集和获取的SDS-W数据集，与一些其他算法进行实验比较，验证本模型的性能。

具体的，在步骤(1)中小型网络环境包括七台主机，五个网络组件和两套NSSA数据获取工具，其中三台主机进行服务器模拟，包括了Web服务、FTP服务和database服务。

在步骤(1)中网络安全数据集包括漏洞信息、攻击信息、流量信息等共37个字段。

在步骤(2)中所述预处理，首先移除对模型识别无关的要素：再对代表此网络行为无此项特征的缺失值，实验中统一赋值为零；最后利用皮尔森相关系数求出它们之间的相关性，当大于规定的阈值时，依旧移除此项特征，本实验规定阈值为0.75。

在步骤(3)中如图2所示，在更新个体粒子的最好位置p_best和群体粒子的最好位置g_best时，先对算法进行初始化，包括了最大迭代次数t_max、初始温度T₀、降温系数α、最低温度t_min、参数组合S(w，c1，c2)、适应度函数f(x)，其中，w为惯性权重、c1和c2为学习因子；再计算所有粒子各自的适应值f(xi)以及每个粒子目前的最好位置p_best的适应值f(p_best)。计算Δf＝＝f(x_i)-f(p_best)，当Δf＞0，更新p_best＝x；当Δf＜0，引入Metropolis准则，有p＝exp(-Δf/T)，当p＞0时，p_best＝x。设置两个变量来记录群体粒子经历的最好位置，分别是G_best和g_best。比较当前个体最好位置的适应值f(x_best)和群体最好位置的适应值f(G_best)。如果有f(x_best)＞f(G_best)，则G_best＝g_best＝x_best。否则，计算Δf＝f(x_best)-f(g_best)，当Δf＞0，更新g_best＝x_best；当Δf＜0，引入Metropolis准则，p＝exp(-Δf/T)，当p＞0时，g_best＝x_best。实现粒子的位置更新，增加粒子的选择性，跳出局部最优值，从而增加识别准确性。

在步骤(4)中如图3所示，对于参数惯性权重w、学习因子c1和c2进行组合，构建适应度评价函数，取评价函数C(s)＝g_best，求解得到新的参数组合S′(w′，c′₁，c′₂)并更新速度v_i和位置x_i。并计算适应度f(x_i)。

令C(s′)＝min[f(x_i)，i＝1，2，......，m]，其中m为粒子个数，ΔC＝C(s)-C(s′)。但ΔC＞0，则接受S′，进行退火操作，并依据S′更新速度和位置；当ΔC＜0，引入Metropolis准则，有p＝exp(-ΔC/T)，当p＞0时，接受S′，进行退火操作，并依据S′更新速度和位置。否则拒绝S′的状态，S仍为当前状态，依据S来对粒子进行更新速度和位置。最后，判断是否满足终止条件，若满足，则算法结束，输出最优值；否则，重新计算所有粒子各自的适应值f(x_i)以及每个粒子目前的最好位置p_best的适应值f(p_best)。从而解决了粒子群算法中参数设置盲目的问题，提高了粒子寻得全局最优解的能力。

根据本发明的实施例，还提出一种基于粒子群和模拟退火算法的网络安全态势识别系统，包括：数据获取模块、预处理模块、p_best和g_best退火更新模块和PSO参数退火优化模块；

数据获取模块：用于搭建第一网络环境，模拟攻击者行为对网络节点进行攻击，利用网络安全态势感知数据获取工具对网络中节点的态势相关数据进行采集，对于漏洞信息、攻击信息、流量信息三个方面，采用包括了Nessus、Snort和Netflow工具，对网络的基本运行、正在面临的攻击和潜在的安全隐患进行全面的表现，获得网络安全数据集SDS-W；

预处理模块：用于对数据获取模块获取的数据矩阵进行处理，去除掉无影响的要素字段，得到初步的反映网络安全态势的要素矩阵；

p_best和g_best退火更新模块：在对更新个体粒子的最好位置p_best时，利用Metropolis准则，在预定的概率下允许p_best向一个非更好的位置更新；同样，在更新群体粒子的最好位置g_best时，设置了g_best和G_best两个位置参数，其中g_best也被允许在预定的概率下向一个非更好的位置更新，算法结束时输出G_best；两次退火更新能增加粒子的选择性，防止PSO算法陷入局部最优解；

PSO参数退火优化模块：用于针对PSO算法中的参数，进行退火优化，在每次的迭代中，PSO算法针对粒子群的适应度和参数组合优化的评价值利用最优适应度函数来表示，Metropolis准则能接受非更好的参数组合，使得粒子摆脱局部最优解；

测试模块：利用开放数据集和获取的SDS-W数据集，进行实验对比和性能验证。

根据本发明的一个实施例，在实验算法选择上面，选用了五种效果较为优秀的算法，包括：支持向量机、分类决策树、LD粒子群、BP神经网络、RNN。

本发明实验结果如图5所示，从图5中可以看出基于粒子群和模拟退火的态势要素识别方法的准确率略低于机器学习模型，但是测试时间上大大所减少，在保证时效性的同时，一定程度保证了高准确性。

尽管上面对本发明说明性的具体实施方式进行了描述，以便于本技术领域的技术人员理解本发明，且应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

Claims

1.一种基于粒子群算法的网络安全态势要素识别系统，其特征在于，包括：数据获取模块、预处理模块、p_best和g_best退火更新模块和PSO参数退火优化模块；

数据获取模块：用于搭建第一网络环境，模拟攻击者行为对网络节点进行攻击，利用网络安全态势感知数据获取工具对网络中节点的态势相关数据进行采集，对于漏洞信息、攻击信息、流量信息三个方面，采用工具对网络的基本运行、正在面临的攻击和潜在的安全隐患进行全面的表现，获得网络安全数据集SDS-W；

p_best和g_best退火更新模块：在对更新个体粒子的最好位置p_best时，利用Metropolis准则，在预定的概率下允许p_best向一个非更好的位置更新；同样，在更新群体粒子的最好位置g_best时，设置g_best和G_best两个位置参数，其中g_best也被允许在预定的概率下向一个非更好的位置更新，算法结束时输出G_best；两次退火更新能增加粒子的选择性，防止PSO算法陷入局部最优解；

2.根据权利要求1所述的一种基于粒子群算法的网络安全态势要素识别系统，其特征在于：所述预处理模块的处理方式采用移除无关属性、处理缺失值和相关系性检查；其中：

所述处理缺失值，数据获取模块获取的要素矩阵中会有数据处于无值状态，获取过程中对网络行为拥有的要素进行分类赋值，缺失值代表此网络行为无此项特征，统一赋值为零；

所述相关系性检查，考虑到某些要素之间存在相关性，利用皮尔森相关系数求出它们之间的相关性，当大于规定的阈值时，依旧移除此项特征；

通过上述三种方式处理，得到初步反映网络安全态势的要素矩阵。

3.根据权利要求1所述的一种基于粒子群算法的网络安全态势要素识别系统，其特征在于：

所述测试模块中的其他算法选用支持向量机、分类决策树、LD粒子群、BP神经网络、RNN之一。

4.一种基于粒子群算法的网络安全态势要素识别方法，其特征在于，包括以下步骤：

第一步，搭建第一网络环境，获取网络安全数据集作为初始要素数据集；

第二步，对初始要素数据集进行数据预处理；

第五步，利用开放数据集和获取的SDS-W数据集，进行实验对比和性能验证。

5.根据权利要求4所述的一种基于粒子群算法的网络安全态势要素识别方法，其特征在于：

第一步中，所述第一网络环境包括七台主机，五个网络组件和两套NSSA数据获取工具，其中三台主机进行服务器模拟，包括了Web服务、FTP服务和database服务；所述网络安全数据集包括漏洞信息、攻击信息、流量信息。

6.根据权利要求4所述的一种基于粒子群算法的网络安全态势要素识别方法，其特征在于：

第三步中，所述退火更新为利用Metropolis准则，在预定的概率下允许p_best向一个非更好的位置更新；同样，在更新群体粒子的最好位置g_best时，设置了g_best和G_best，其中g_best也被允许在预定的概率下向一个非更好的位置更新，算法结束时输出G_best。

7.根据权利要求4所述的一种基于粒子群算法的网络安全态势要素识别方法，其特征在于：

第四步中，所述PSO参数组合为惯性权重w、学习因子c1和c2。