CN115022194A

CN115022194A - 基于sa-gru的网络安全态势预测方法

Info

Publication number: CN115022194A
Application number: CN202210571016.2A
Authority: CN
Inventors: 陶晓玲; 刘梓毅; 欧阳逸夫; 符廉铕; 刘润蓉; 乔运铎; 崔滋铄; 武守一
Original assignee: Guilin University of Electronic Technology
Current assignee: Guilin University of Electronic Technology
Priority date: 2022-05-24
Filing date: 2022-05-24
Publication date: 2022-09-06
Anticipated expiration: 2042-05-24
Also published as: CN115022194B

Abstract

本发明涉及网络安全态势感知技术领域，具体涉及一种基于SA‑GRU的网络安全态势预测方法，利用Self‑Attention机制能有效学习当前候选集与过去隐藏状态信息间的关系，从而代替GRU神经网络中原有的更新门，使得改进GRU能充分保留当前时刻信息内容，而合理去除过去隐藏信息中冗余部分，并突出候选集中的关键信息，同时改进现有的网络安全态势预测方法无法充分考虑这些时序关系使得现有的态势预测方法难以实现高精度预测的问题，有效提升了网络安全态势预测的精度。

Description

基于SA-GRU的网络安全态势预测方法

技术领域

本发明涉及网络安全态势感知技术领域，具体涉及一种基于SA-GRU的网络安全态势预测方法。

背景技术

现有的网络安全态势预测方法主要包括基于离散模型、连续模型和常用机器学习的态势预测方法，这些方法虽然在态势预测上取得了较好的效果，但是由于网络攻击的随机性增加和态势值间时序性分析在态势预测中愈发重要，现有的网络安全态势预测方法难以在不规则的态势数据中找寻规律实现有效的态势预测，同时由于态势数据间存在时序性关联，无法充分考虑这些时序关系使得现有的态势预测方法难以实现高精度预测。

基于门控循环神经网络(Gate RecurrentUnit,GRU)的方法虽然在网络安全态势预测时能充分考虑态势数据的时序性，但该方法在预测过程中存在更新门无法有效控制过去信息的遗忘与当前时刻信息保留程度的问题。

发明内容

本发明的目的在于提供一种基于SA-GRU的网络安全态势预测方法，旨在解决现有的GRU存在更新门无法有效控制过去信息的遗忘与当前时刻信息保留程度的问题，实现有效精确的网络安全态势预测。

为实现上述目的，本发明提供了一种基于SA-GRU的网络安全态势预测方法，包括下列步骤：

将网络安全态势预测数据按比例分为预测训练集与预测测试集；

将所述预测训练集输入SA-GRU神经网络进行态势预测模型训练；

判断是否完成训练，如果未完成则继续训练，如果完成则进行下一步；

将所述预测测试集输入训练好的态势预测模型进行预测，输出相应的预测值。

其中，所述SA-GRU神经网络基于GRU神经网络改进形成，其中使用Self-Attention代替了原始GRU神经网络中的更新门结构。

其中，所述SA-GRU神经网络的具体实现流程，包括下列步骤：

初始化重置门；

构建候选集；

构建Self-Attention输入数据；

Self-Attention学习；

计算当前隐藏状态；

预测结果输出。

其中，所述重置门的状态由前一个节点传来的隐藏状态h_t-1和当前节点的输入X_t决定。

其中，所述候选集代表了当前时刻的输入数据与上一时刻隐藏状态输入当前时刻数据的合集。

其中，通过Self-Attention对当前候选集与过去隐藏状态之间的关系学习，构建新的过去隐藏状态h'_t-1。

其中，计算当前隐藏状态具体为对应GRU神经网络中h_t的计算，通过将候选集

与h'_t-1直接相加，以实现对当前隐藏状态h_t的更新。

本发明提供了一种基于SA-GRU的网络安全态势预测方法，利用Self-Attention机制能有效学习当前候选集与过去隐藏状态信息间的关系，从而代替GRU神经网络中原有的更新门，使得改进GRU能充分保留当前时刻信息内容，而合理去除过去隐藏信息中冗余部分，并突出候选集中的关键信息，同时改进现有的网络安全态势预测方法无法充分考虑这些时序关系使得现有的态势预测方法难以实现高精度预测的问题，有效提升了网络安全态势预测的精度。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明的一种基于SA-GRU的网络安全态势预测方法的流程示意图。

图2是本发明中的SA-GRU神经网络的结构示意图。

图3是本发明中的具体实施例中的UNSW-NB15数据集拓扑结构示意图。

图4是本发明具体实施例中各方法的MAE、MSE与RMSE三种不同预测指标效果对比图。

图5是本发明具体实施例中各方法的R2_{_score}结果对比图。

图6是本发明具体实施例中真实态势值与不同预测方法所得态势预测值的折线拟合对比图。

图7是本发明具体实施例中不同预测方法的效率对比图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

请参阅图1，本发明提出了一种基于SA-GRU的网络安全态势预测方法，包括下列步骤：

S1：将网络安全态势预测数据按比例分为预测训练集与预测测试集；

S2：将所述预测训练集输入SA-GRU神经网络进行态势预测模型训练；

S3：判断是否完成训练，如果未完成则继续训练，如果完成则进行下一步；

S4：将所述预测测试集输入训练好的态势预测模型进行预测，输出相应的预测值。

具体的，所述SA-GRU神经网络的结构如图2所示，其中R_t代表GRU中的重置门，X_t表示当前时刻的输入，h_t-1代表过去时刻的隐藏状态，h_t代表当前时刻的隐藏状态，

代表GRU中的候选集，h'_t-1代表经Self-Attention学习后的过去时刻隐藏信息，进一步的，SA-GRU具体实现流程如下：

S201：初始化重置门。重置门的状态由前一个节点传来的隐藏状态h_t-1和当前节点的输入X_t决定：

R_t＝σ(W_R·[h_t-1,X_t])

S202：构建候选集。候选集代表了当前时刻的输入数据与上一时刻隐藏状态输入当前时刻数据的合集，当前候选集上记忆的当前时间状态

可以表示为：

S203：构建Self-Attention输入数据。将h_t-1与

使用cat函数进行拼接，为Self-Attention学习做准备。

S204：Self-Attention学习。利用Self-Attention学习

与h_t-1之间的相互关系，构建新的关联矩阵h'_t-1，该矩阵中包含了h_t-1与

相关联的信息部分，和

中代表候选集的关键特征部分，同时该矩阵能突出候选集中能表述当前候选信息的重要部分，去除过去隐藏状态中与候选集中信息无关的冗余部分。

h'_t-1＝Self-Attention(h_cat)

Self-Attention具体计算过程可以参考Self-attention中的原始文献的计算流程，值得注意的是，由于本发明设计的方法中仅需要通过Self-Attention构建候选集

的补充信息h'_t-1，因此在Self-Attention学习后取值仅取h'_t-1。

S205：计算当前隐藏状态。这一步对应GRU中h_t的计算，为了避免GRU中存在更新门无法有效控制过去信息的遗忘与当前时刻信息保留程度的问题，本发明将候选集

与h'_t-1直接相加，以实现对当前隐藏状态h_t的更新。这是因为此时的h'_t-1包含了候选集

中的关键特征部分与h_t-1中与候选集相关联的过去隐藏状态信息部分。因此，可以实现对候选集中关键信息加以突出，并去除过去隐藏状态中冗余的信息部分。具体公式如下：

S206：预测结果输出。最终前向传播的输出如下：

y_t＝W_O·h_t

以下结合具体实施例和执行过程进行详细说明：

1、实验数据

本发明的具体实施例选择UNSW-NB15数据集作为实验数据集，与NSL-KDD、CIC-IDS和UNSW-NB15等数据集对比，UNSW-NB15数据集是一个公开有效数据集，且相对于其他数据集UNSW-NB15有着详细的时间戳，适用于网络安全态势预测数据集的构建。

UNSW-NB15数据集是由澳大利亚网络中心利用IXIA PerfectStorm工具创建，其拓扑结构如图3所示。IXIAPerfectStorm工具可用于生成大规模网络流量，支持35,000种以上的恶意攻击和245种以上程序协议。

请参阅图3，IXIA流量生成器由三个虚拟服务器配制而成。其中，服务器2用于发送异常流量，服务器1和3用于发送正常流量。服务器通过两个路由器连接到主机，两个路由器则连接到防火墙设备。UNSW-NB15数据集利用该拓扑图展现的方法分两次使用tcpdump5工具以数据包形式捕获网络流量，一次15小时，一次16小时，共计数据2,540,044条，被分别存放在4个csv文件中。

UNSW-NB15数据集每条数据包含47个不同特征与2个标签，涵盖了9类当前常见的网络攻击类型.其中，异常数据共计300,000条。

2、实验指标选取与态势量化

(1)指标选取

在网络安全态势预测中，指标选取为后续的态势量化工作提供了依据。由于目前网络安全态势指标的选取尚无官方统一标准，本发明在对比众多参考文献后，指标选取如表1所示。

表1态势量化所需指标

(2)态势量化方法

态势量化是网络安全态势预测至关重要的组成部分，态势量化的计算合理程度将直接影响到预测的合理性。

态势量化的计算主要涉及到权重确定的问题。通常，权重比例越高说明该项指标在预测中越重要。现今，常用的态势量化方法主要有两种：排序归一法和层次分析法。其中，归一法在实现过程中过于依赖专家经验，面对现今具有多重因素的指标数据，难以有效、客观的实现态势量化，从而导致预测存在一定的局限性。层次分析法虽然在一定程度上也依赖于专家经验，但是，它所特有的一致性检测对经由专家经验计算所得的权重进行合理性验证，这使得层次分析法相对于排序归一法更具有合理性。因此，在本发明中选用层次分析法作为态势量化的方法。

态势量化后的数据集将作为网络安全态势预测数据集。

3、实现流程

实现过程中的伪代码如表2所示：

具体伪代码含义如下：

算法伪代码第1行：初始化本发明所提SA-GRU神经网络的训练周期数n，n为自己给定周期，通常在n会在训练时loss值趋于平稳后结束。

算法伪代码第3行：将由所得态势数据训练集X输入SA-GRU_i神经网络进行周期数为n的训练，然后得到训练好的模型SA-GRU。

算法伪代码第5行：将态势数据测试集Y输入训练好的SA-GRU模型，然后得到对应的态势预测值S。

算法伪代码第6行：对比真实预测值与SA-GRU态势预测模型所得预测值S，对模型结果进行评价。

进一步的，本发明与基于GRU的态势预测方法、基于PMU的态势预测方法、基于PSO-LSTM的态势预测方法和基于RBF的态势预测方法进行对比验证实验效果。

1、实验效果评估指标

本发明的具体实施例中预选取了常用预测评价指标：平均绝对误差(MeanAbsolute Error,MAE)、均方误差(Mean Square Error,MSE)、均方根误差(Root MeanSquare Error,RMSE)、平均绝对百分比误差(Mean Absolute Percentage Error,MAPE)这四个指标作为评价指标，但是由于实施例实验数据中存在近0值，因此MAPE指标无法使用，本发明将使用R2_score指标代替MAPE指标作为模型拟合度评价依据，该指标主要用于线性回归模型拟合评价，也可用于非线性回归模型拟合评价。具体计算方法如下：

(1)平均绝对误差(MAE)：

(2)均方误差(MSE)：

(3)均方根误差(RMSE)：

(4)决定系数(R2_score)：

其中，N代表样本总数，y_i代表第i个样本的真实值，y'_i代表第i个样本的预测值，Var(y)代表求真实值y的方差。以上四个指标中R2_score的值越大，其他三个指标的值越小，代表模型拟合度越高。

2、预测精度对比

请参阅图4，图4展示了MAE、MSE与RMSE这三个指标对模型预测精度的评估。

由图4可知，本发明所提出的基于SA-GRU的态势预测方法在MAE、MSE与RMSE这三项指标上均优于其他对比方法，基于PSO-LSTM的态势预测方法次之，基于RBF的态势预测方法效果最差。这是因为基于RBF的态势预测方法虽然能较好地对态势值进行表征学习，但未能考虑态势值具有时序性的特性，因此其预测精度较低；此外，基于PMU、GRU和PSO-LSTM的态势预测方法虽然考虑到了态势数据具有的时序性，且能较好地处理数据的长期依赖问题，但是仍存在以下问题：

(1)基于PMU的态势预测方法虽然充分保留了当前时刻信息，并去除过去隐藏信息中的冗余部分，但是其未能突出当前与过去时刻中的关键信息内容。

(2)基于GRU的态势预测方法中，更新门无法有效控制过去信息的遗忘与当前时刻信息保留程度。

(3)基于PSO-LSTM的态势预测方法中，PSO在自动寻优时容易陷入局部最优解，同时LSTM相较于SA-GRU也在一定程度上存在着难以有效控制对过去信息的遗忘与当前时刻信息保留程度的问题。

与上述四种方法相比，本发明所提基于SA-GRU的态势预测方法能够更加有效处理当前时刻数据的保留与过去隐藏状态遗忘程度之间的关系，对过去信息中冗余内容进行遗忘，突出当前与过去时刻中的关键信息内容。因此，本发明所提方法在网络安全态势预测中有着更高的预测精度。

请参阅图5，图5使用R2_score对态势预测模型的拟合效果优劣进行评估，该评估值介于0～1之间，越接近1，说明预测模型的拟合效果越好。

为了方便进行对比，本发明将R2_score结果以百分比形式呈现，可以看出虽然在态势数据的量化过程中包含了大量具有随机性的网络攻击数据，致使态势预测难度增加，但是本发明所提基于SA-GRU方法依然有着良好的结果，且与其他四种对比方法相比，预测精度提升效果显著。

本发明所提方法的R2_score得分与得分第二高的基于PSO-LSTM的态势预测方法相比，有着4％以上的提升，与改进前的基于GRU的态势预测方法相比，更是有着8％的显著提升，这充分说明了本发明所提方法在网络安全态势预测精度上有较大的提升，这是因为本发明所提基于SA-GRU的态势预测方法能够更加有效处理当前时刻数据的保留与过去隐藏状态遗忘程度之间的关系，对过去信息中冗余内容进行遗忘，突出当前与过去时刻中的关键信息内容。

3、预测结果拟合度

本实施例还利用折线图的形式对比了真实态势值与四种不同预测方法所得态势预测值间的拟合程度，如图6所示。

基于SA-GRU态势预测方法的预测值与真实态势预测值虽然在一些态势预测样本拟合上有着些许波动，但是总体拟合效果良好，分析产生波动的原因是因为态势预测值的构成中包含了大量具有随机性的网络威胁攻击，这种随机性增加了网络安全态势预测的难度。其他四种方法中，基于RBF的态势预测方法仅在中间段的样本点上达到了预测值与真实值较好的拟合；基于PMU的态势预测方法在前中期预测值与真实值有着较好的拟合效果，但是，在中后期出现了明显的大幅度波动；基于PSO-LSTM与GRU的态势预测方法所得态势预测值与真实值虽然有着良好的拟合趋势，但是在拟合程度上相较于本发明所提方法依然有着明显的不足。

4、效率分析

基于SA-GRU的态势预测方法与基于GRU的态势预测方法、基于PMU的态势预测方法、基于PSO-LSTM的态势预测方法和基于RBF的态势预测方法的时间效率，如图7所示。

基于RBF的态势预测方法在上述五种方法中有着最高的运算效率，这是由于RBF神经网络结构最为简单；基于PMU、GRU与LSTM的态势预测方法由于三者分别有着一个门结构、两个门结构与三个门结构，因此，这三种方法在实现网络安全态势预测时，所需运算效率依次递增；本发明所提基于SA-GRU的态势预测方法使用了Self-Attention代替了原始GRU中的更新门结构，由于Self-Attention有着较多的运算次数，其在实现网络安全态势预测时有着较高的耗时。

尽管基于RBF的态势预测方法在所有对比实验中有着最高的运算效率，但是其态势预测精度在所有对比实验中最低；基于PMU、GRU与LSTM的态势预测方法虽然在效率上相较于本发明所提基于SA-GRU的态势预测方法有着些许优势，但是，本发明所提方法在态势预测精度上相较于基于PMU、GRU与LSTM的态势预测方法有着显著提升，并且经由时间复杂度分析，SA-GRU方法与GRU方法有着相同量级的时间复杂度。因此，相较于本发明所提方法在预测精度上带来的提升，同一时间复杂度下的少许时间开销增加，处于可接受的范围程度。

以上所揭露的仅为本发明一种较佳实施例而已，当然不能以此来限定本发明之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本发明权利要求所作的等同变化，仍属于发明所涵盖的范围。

Claims

1.一种基于SA-GRU的网络安全态势预测方法，其特征在于，包括下列步骤：

2.如权利要求1所述的基于SA-GRU的网络安全态势预测方法，其特征在于，

所述SA-GRU神经网络基于GRU神经网络改进形成，其中使用Self-Attention代替了原始GRU神经网络中的更新门结构。

3.如权利要求2所述的基于SA-GRU的网络安全态势预测方法，其特征在于，

所述SA-GRU神经网络的具体实现流程，包括下列步骤：

初始化重置门；

构建候选集；

构建Self-Attention输入数据；

Self-Attention学习；

计算当前隐藏状态；

预测结果输出。

4.如权利要求3所述的基于SA-GRU的网络安全态势预测方法，其特征在于，

所述重置门的状态由前一个节点传来的隐藏状态h_t-1和当前节点的输入X_t决定。

5.如权利要求3所述的基于SA-GRU的网络安全态势预测方法，其特征在于，

所述候选集代表了当前时刻的输入数据与上一时刻隐藏状态输入当前时刻数据的合集。

6.如权利要求3所述的基于SA-GRU的网络安全态势预测方法，其特征在于，

通过Self-Attention对当前候选集与过去隐藏状态之间的关系学习，构建新的过去隐藏状态h'_t-1。

7.如权利要求3所述的基于SA-GRU的网络安全态势预测方法，其特征在于，

计算当前隐藏状态具体为对应GRU神经网络中h_t的计算，通过将候选集

与h'_t-1直接相加，以实现对当前隐藏状态h_t的更新。