CN115242428B

CN115242428B - 一种基于优化cw-rnn的网络安全态势预测方法

Info

Publication number: CN115242428B
Application number: CN202210648125.XA
Authority: CN
Inventors: 杜秀丽; 陶帆; 丁晓辉; 邱少明; 吕亚娜
Original assignee: Dalian University
Current assignee: Dalian University
Priority date: 2022-06-08
Filing date: 2022-06-08
Publication date: 2024-05-31
Anticipated expiration: 2042-06-08
Also published as: CN115242428A

Abstract

本发明一种基于优化CW‑RNN的网络安全态势预测方法，包括采集某一网络的当前时刻以及当前时刻之间某段时间的网络安全态势值；利用滑动窗口技术对采集到的网络安全态势值进行处理，判断数据集是否进行归一化处理；输入训练集对优化后的时钟周期循环神经网络进行训练，得到训练好的优化时钟周期循环神经网络，将所述训练好的优化时钟周期循环神经网络作为网络安全态势预测模型；将测试集输入到网络安全态势预测模型，得到下一时刻的网络安全态势的预测值，网络安全态势预测模型，设置时钟的机制在不同时刻对态势数据进行处理，该方法同时GWO算法对CW‑RNN的关键超参数组和进行寻优，避免了人为设置的随意性，进一步提高预测结果的准确度。

Description

一种基于优化CW-RNN的网络安全态势预测方法

技术领域

本发明属于网络安全态势感知领域，涉及一种基于优化CW-RNN的网络安全态势预测方法。

背景技术

在网络安全态势预测方面，早期一些概率推理模型如攻击图模型、贝叶斯模型、马尔可夫模型用于预测单个或复合攻击事件的演化趋势，对离线历史数据的依赖性很强，而且必须使用依赖关系来表达先决条件和后置条件，在模型复杂的情况下，增加了计算的复杂性；由于态势数据的复杂非线性特点，目前许多研究人员使用机器学习和神经网络相关算法来研究网络安全态势预测。与概率推理模型相比，机器学习经典方法如支撑向量机的灵活性要强一些，但在小样本的学习中，支撑向量机的优势更加明显，而网络的情况数据则逐渐趋于大数据化；反向传播神经网络(Back Propagation,BP)由于网络全连接的结构导致收敛速度慢且局部最优，卷积神经网络(Convolutional Neural Network,CNN)的卷积核结构改善了BP网络结构所带来的问题，但是CNN对具有较高的局部空间相关性的数据具有更好的性能，而网络安全态势数据多为时序型，因此BP神经网络和CNN网络都不适合在具有高度时序的态势预测中使用；长短期记忆循环神经网络(Long Short Term Memory,LSTM)是RNN类的一种变体，它的结构决定了LSTM能够处理一些时序性较强的数据。并且传统LSTM适合处理长时延的序列，而网络安全态势数据长短期时序特征共存且特征与态势数据之间呈现非线性映射，时钟周期循环神经网络(Clockwork RNN,CW-RNN)通过为隐藏层单元设定时钟周期使得输出既能学习到高频率更新模块中的短期信息，又能学习到低频率更新模块中保留的长期记忆，增强了对数据的记忆能力。

图1CW-RNN网络结构，Clockwork-RNN网络通过调整递归神经网络(RecurrentNeural Network,RNN)隐藏层的连接结构，解决学习时间序列中出现的长期依赖问题。该网络结构最大特点是通过设置时钟驱动网络参数更新。CW-RNN拥有输入层、隐藏层和输出层，但是在隐藏层的结构上与标准RNN不同，时钟周期循环神经网络将隐藏层划分为独立的多个模块，并为每个模块都配置一个独立的时钟，控制该模块对输入的处理。CW-RNN不同于RNN隐藏层内所有神经元的全连接形式，因为时钟周期的存在且时钟周期的大小关系着模块的更新速度，规定了只能更新慢的模块连接到更新快的模块，故信息的传递是由更新慢的模块向更新快的模块传送。CW-RNN的网络结构请参见图1，图中方框代表输入信息，圆圈代表神经元，箭头指向代表连接方向，即信息传播方向。

CW-RNN的正向传播计算和标准RNN相似，标准RNN网络在时刻t的隐藏层输出和最终输出/>分别用公式(1)和公式(2)计算：

其中，W_H，W_I和W_O是分别是隐藏层，输入层和输出层权重参数，x^(t)是t时刻的输入，是t-1时刻的隐藏层的输出，f_H()和f_O()是隐藏层和输出层的非线性激活函数，b_H和b_O是隐藏层、输出层的偏差。

CW-RNN将公式(1)里的权重参数W_H、W_I根据划分的模块个数分成g行，每一行分别对应一个模块。

CW-RNN的隐藏神经元与标准RNN相比不同点在于：

①CW-RNN隐藏层模块之间的连接只存在于从大时钟周期模块到小时钟周期模块之间，所以隐藏层权重W_H是一个上三角矩阵，可以表示为：

②CW-RNN隐藏层的模块激活由时钟控制。在t时刻只有满足T_i∈{T₁,...,T_g}被t整除的模块，该模块内的神经元才会被激活，因此，W_H其实是分段函数：

将公式(5)代入公式(1)计算，则在t时刻激活的模块会更新输出其他未激活的模块会输出其t-1时刻的状态值/>

CW-RNN的反向传播计算仍然使用基于时间的反向传播算法，但和前向传播相似，其反向传播仅作用于t时刻激活的模块，只有被激活模块的参数进行更新而未被激活的模块依旧使用t-1时刻的参数值

采用分模块结构，设置时钟周期使得CW-RNN中的各个模块能够在不同时间对数据进行处理，从而增强了对数据的记忆能力。因为各模块的时钟不一样，各模块的增益速度也各不相同，而时钟周期小的模块组件会迅速地进行高频率的更新，类似于短时的记忆；而那些具有大的时钟循环的模块会比较缓慢地进行更新，这就等同于长时的记忆。因此，通过对长、短期模块的联合输出，可以保证输出既能学习到高频率更新模块中的近期信息，又能学习到低频率更新模块中保留的长期记忆。而且参加权重更新的神经元数量远小于标准RNN，使得CW-RNN的训练速度加快。

灰狼算法(Grey Wolf Optimization,GWO)模拟了灰狼狩猎活动，按照社会等级将狼群划分为四层：α等级最高，之后依次为β、δ和ω狼。当狼群对猎物实施包围和发起进攻时，α狼负责带领狼群，β和δ负责协助，ω狼紧随其后，最终完成狩猎行为，即GWO算法得到了最优解。对于包围猎物的行为可以数学建模为公式(6)和公式(7)。

式中表示当前灰狼与所狩猎对象之间的距离，/>代表灰狼每个个体自身的位置向量，/>表示所捕猎对象所在的位置向量，/>和/>分别为系数向量，可以根据公式(8)和(9)计算。

式中从2到0线性递减，/>和/>是0到1范围内的随机向量。因此，/>是介于-a和a之间的随机值。为了模拟狩猎行为，且/>的随机值在[-1，+1]时，当/>时灰狼将攻击猎物并获得猎物的当前位置，当/>时灰狼散去，进行全局搜索。协调系数向量/>表示存在于自然界中的障碍物对灰狼攻击猎物时的干扰。

狼群在α狼的指引下搜寻猎物的位置并进行猎杀。通过每次迭代获得α、β和δ狼，并更新其他狼的位置。公式如下：

式中和/>都为任意的随机向量，α、β和δ狼自身所在的位置分别由和/>表示，/>和/>用于计算当前狼距离三只头狼的具体值，t为迭代次数，/>为ω狼的最终位置。α、β和δ狼是通过计算相应的拟合度得到的，而猎物的可能位置可以通过三个最优解来估计。每个候选解通过公式(13)更新其位置，最后，满足结束条件时结束。

由于训练CW-RNN的网络结构时，很多的参数需要人为设置，需要强大的专业知识支撑，如果设置不好，无法深度提取网络安全态势值得时序特征，影响最终的态势预测效果。GWO算法具有结构简单、需要调节的参数少，容易实现等特点，其中收敛因子a、收敛系数向量和协调系数向量/>能够在局部寻优与全局搜索之间实现平衡，因此在对问题的求解精度和收敛速度方面都有良好的性能。

发明内容

为了解决网络安全态势预测中，网络安全态势数据长短期时序特征共存且特征与态势数据之间呈现非线性映射，针对现有网络安全态势预测方法多以长期特征为主，而忽略短期特征导致预测精度不高的问题，本发明提供本发明采用的技术方案是：一种基于优化CW-RNN的网络安全态势预测方法，包括以下步骤：

S1:采集某一网络的当前时刻以及当前时刻之间某段时间的网络安全态势值；

S2:利用滑动窗口技术对采集到的网络安全态势值进行处理，得到预处理后的网络安全态势值，预处理后的网络安全态势值构成数据集，将所述数据集划分数据集得到训练集和测试集；

S3：判断数据集是否进行归一化处理，若数据集已经进行归一化处理，执行S4，否则对数据集进行归一化处理；

S4：输入训练集对优化后的时钟周期循环神经网络进行训练，得到训练好的优化时钟周期循环神经网络，将所述训练好的优化时钟周期循环神经网络作为网络安全态势预测模型；

S5将测试集输入到网络安全态势预测模型，得到下一时刻的网络安全态势的预测值。

进一步地：该方法适用于局域网络的网络安全态势预测。

进一步地：所述预处理采用滑动窗口进行。

进一步地：所述优化后时钟周期循环神经网络的构建过程如下：

S41：初始化灰狼算法参数与狼群，

S42：初始化时钟周期循环神经网络参数；

S43：计算狼群个体适应度值

S44：比较每个灰狼的适应度值，选取适应度最好的前三匹狼为狼α、狼β、狼δ；

S45：根据狼α、狼β、狼δ更新其他灰狼ω的位置；

S46：更新灰狼算法中的收敛因子a、收敛系数向量和协调系数向量/>

S46：判断灰狼算法是否迭代至最大进化次数，如果迭代至最大进化次数执行S47，否则进化次数加一，执行S44；

S47：输出狼α的位置坐标，即得到优化后的时钟周期循环神经网络。

进一步地：所述灰狼算法的各个参数包括狼群总体个数、循环迭代的最大进化次数并将时钟周期循环神经网络的隐藏层神经元个数、学习率、迭代次数和每个批次的大小转化为狼群个体位置的参数坐标，并设置优化参数的上下限。

进一步地：所述时钟周期循环神经网络的各个参数包括输入神经元个数，输出神经元个数和网络的时钟周期。

进一步地：所述适应度函数为预测值与真实值的均方误差。

进一步地：所述网络安全态势的预测值包括平均相对误差、平均绝对误差和最小均方误差。

一种基于优化CW-RNN的网络安全态势预测装置，包括：

采集模块：用于采集某一网络的当前时刻以及当前时刻之间某段时间的网络安全态势值；

预处理模块:用于利用滑动窗口技术对采集到的网络安全态势值进行处理，得到预处理后的网络安全态势值，预处理后的网络安全态势值构成数据集，将所述数据集划分数据集得到训练集和测试集；

判断模块：用于判断数据集是否进行归一化处理，若数据集已经进行归一化处理，执行训练模块，否则对数据集进行归一化处理；

训练模块：用于输入训练集对优化后的时钟周期循环神经网络进行训练，得到训练好的优化时钟周期循环神经网络，将所述训练好的优化时钟周期循环神经网络作为网络安全态势预测模型；

预测模块：用于将测试集输入到网络安全态势预测模型，得到下一时刻的网络安全态势的预测值。

本发明提供的一种基于优化CW-RNN的网络安全态势预测方法，属于网络安全态势感知中的态势预测环节，CW-RNN通过为隐藏单元划分模块，且为每一个模块设定不同的时钟周期使得输出既能学习到高频率更新模块中的短期信息，又能学习到低频率更新模块中保留的长期记忆，增强了对数据的记忆能力，同时提出使用灰狼算法对CW-RNN的隐藏层神经元个数、学习率、迭代次数和每个批次大小进行寻优，构建网络安全态势预测模型；将网络安全态势预测模型，设置时钟的机制在不同时刻对态势数据进行处理，保证既能学习网络安全态势数据的短期特征又能保留长期记忆，同时参与更新的神经元数量降低，使得训练速度加快，同时GWO算法对CW-RNN的关键超参数组和进行寻优，避免了人为设置的随意性，进一步提高预测结果的准确度。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做以简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是CW-RNN网络结构图；

图2是基于GWO优化CW-RNN的网络安全态势预测算法流程图；

图3为GWO优化的CW-RNN在训练集上的适应度函数值即误差函数的收敛图；

图4是GWO优化CW-RNN的参数变化图，其中(a)为隐藏层的神经单元大小随着数算法迭代的收敛图；(b)为隐藏层的学习率大小随着算法迭代的收敛图；(c)为隐藏层的迭代次数大小随着算法迭代的收敛图；(d)为隐藏层的批处理大小随着算法迭代的收敛图；

图5为使用GWO优化的CW-RNN与原始CW-RNN、LSTM在测试集上的预测结果对比图。

具体实施方式

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合，下面将参考附图并结合实施例来详细说明本发明。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本发明的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。同时，应当清楚，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员己知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中，任向具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

在本发明的描述中，需要理解的是，方位词如“前、后、上、下、左、右”、“横向、竖向、垂直、水平”和“顶、底”等所指示的方位或位置关系通常是基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，在未作相反说明的情况下，这些方位词并不指示和暗示所指的装置或元件必须具有特定的方位或者以特定的方位构造和操作，因此不能理解为对本发明保护范围的限制：方位词“内、外”是指相对于各部件本身的轮廓的内外。

为了便于描述，在这里可以使用空间相对术语，如“在……之上”、“在……上方”、“在……上表面”、“上面的”等，用来描述如在图中所示的一个器件或特征与其他器件或特征的空间位置关系。应当理解的是，空间相对术语旨在包含除了器件在图中所描述的方位之外的在使用或操作中的不同方位。例如，如果附图中的器件被倒置，则描述为“在其他器件或构造上方”或“在其他器件或构造之上”的器件之后将被定位为“在其他器件或构造下方”或“在其位器件或构造之下”。因而，示例性术语“在……上方”可以包括“在……上方”和“在……下方”两种方位。该器件也可以其他不同方式定位(旋转90度或处于其他方位)，并且对这里所使用的空间相对描述作出相应解释。

此外，需要说明的是，使用“第一”、“第二”等词语来限定零部件，仅仅是为了便于对相应零部件进行区别，如没有另行声明，上述词语并没有特殊含义，因此不能理解为对本发明保护范围的限制。

图2基于GWO优化CW-RNN的网络安全态势预测算法流程图；

一种基于优化CW-RNN的网络安全态势预测方法，包括以下步骤：

CW-RNN通过为隐藏单元设定时钟周期使得输出既能学习到高频率更新模块中的短期信息，又能学习到低频率更新模块中保留的长期记忆，增强了对数据的记忆能力。同时提出使用GWO对CW-RNN的隐藏层神经元个数、学习率、迭代次数和每个批次大小进行寻优，构建网络安全态势预测模型。

CW-RNN网络训练涉及多个超参数的设置：隐藏层神经元个数、学习率、迭代次数和每个批次的大小。隐藏层的神经元个数决定了网络的结构，学习率决定模型权重迭代的步长，迭代次数以及批处理大小直接影响模型的训练结果。不同超参数的组合对最终的预测精度具有不同的影响，为了避免超参数设置的随意性，使用GWO优化CW-RNN，对CW-RNN的超参数组合(h_size,learning_rate,epochs,batch_size)进行寻优。在类似于GWO的智能群体优化算法中，适应度是衡量个体表现的重要指标，它可以依据不同的适应性程度来进行个体的选取，具有较高适应性值的个体更容易成为领导者同时也对应着较优解。

进一步地：该方法适用于局域网络的网络安全态势预测。

进一步地：所述预处理采用滑动窗口进行。

S41：初始化灰狼算法参数与狼群，

S42：初始化时钟周期循环神经网络参数；

S43：计算狼群个体适应度值

S45：根据狼α、狼β、狼δ更新其他灰狼ω的位置；

S46：判断是否迭代至最大进化次数，如果迭代至最大进化次数执行S47，否则进化次数加一，执行S44；

进一步地：所述灰狼算法的各个参数包括狼群总体个数、循环迭代的最大进化次数等并将时钟周期循环神经网络的隐藏层神经元个数、学习率、迭代次数和每个批次的大小转化为狼群个体位置的参数坐标，并设置优化参数(隐藏层神经元个数、学习率、迭代次数、每个批次的大小)的上下限。

进一步地：所述适应度函数为预测值与真实值的均方误差。

一种基于优化CW-RNN的网络安全态势预测装置，包括：

实施例：网络安全态势预测实验数据源来自CICIDS-2017数据集中的周五数据经过态势评估后所得到的安全态势值。最终构建样本5019个样本，按7：3划分训练集和测试集。实验数据实验所使用的电脑环境为Intel(R)Core(TM)i7-4790 CPU@3.60GHz，8.00GBRAM，仿真语言为python3.6 tensorflow1.10，编译坏境为PyCharm Community Edition2020.2.2x64。

本申请利用GWO算法优化对CW-RNN参数寻优，具体寻优参数包括CW-RNN隐藏层的神经单元数、学习率、迭代次数以及batch的大小。其他关键参数设置如下：输入神经元10个，输出神经元1个、GWO初始化种群20个，最大迭代次数为15，寻优参数下限为[8,10-4,100,16]，上限为[200,5*10-2,600,128]，适应度函数为均方误差。

实施例1：模型最优参数组合的仿真分析

图3所示为GWO优化的CW-RNN在训练集上的适应度函数值即误差函数的收敛图，从图中可以看出第1次迭代误差函数值下降较快并持续下降并且在第9次迭代后逐渐收敛。

图4是GWO优化CW-RNN的参数变化图，其中图4(a)为隐藏层的神经单元大小随着数算法迭代的收敛图；(b)为隐藏层的学习率大小随着算法迭代的收敛图；(c)为隐藏层的迭代次数大小随着算法迭代的收敛图；(d)为隐藏层的批处理大小随着算法迭代的收敛图；

由图4中可以看到隐藏层的神经单元数最终收敛到176个、学习率为0.001437、CW-RNN的训练迭代次数为329以及网络输入的batch_size为24。至此获得了性能最好的超参数来修正提出的态势预测模型结构，得到模型的最佳参数组合。

实施例2：预测结果对比分析

图5为使用GWO优化的CW-RNN与原始CW-RNN、LSTM在测试集上的预测结果对比图。从图中可以看出LSTM基本符合数据走势，而相比较LSTM，CW-RNN网络的预测效果则更加明显，这是因为CW-RNN同时对网络安全态势数据的长短期时序特征进行挖掘，弥补了LSTM适合于捕捉长期特征的不足。GWO优化的CW-RNN由于使用GWO对CW-RNN的关键参数进行了寻优，因此预测结果比原始CW-RNN网络的预测效果稍胜一筹。

同时为了能够更加直观且有效的对本章所提出的网络安全态势预测方法进行评估，现将计算三种方法在测试集上预测结果的平均相对误差(MAPE)、平均绝对误差(MAE)和最小均方误差(MSE)。对比结果如表1所示。从表1中可以直接看出CW-RNN相对于LSTM，预测结果的MAPE值、MAE值和MSE值分别提升了9.17％，3.21％，6.61％；提出的GWO优化CW-RNN的网络安全态势预测方法的均为最小，相对于CW-RNN提高了3.09％，9.23％，11.13％；相对于LSTM提高了14.2％、12.1％、17％。

表1测试集预测结果

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

1.一种基于优化CW-RNN的网络安全态势预测方法，该方法适用于局域网络的网络安全态势预测，其特征在于：包括以下步骤：

S5将测试集输入到网络安全态势预测模型，得到下一时刻的网络安全态势的预测值；

所述优化后时钟周期循环神经网络的构建过程如下：

S41：初始化灰狼算法参数与狼群，

S42：初始化时钟周期循环神经网络参数；

S43：计算狼群个体适应度值

S45：根据狼α、狼β、狼δ更新其他灰狼ω的位置；

S47：输出狼α的位置坐标，即得到优化后的时钟周期循环神经网络；

所述灰狼算法的各个参数包括狼群总体个数、循环迭代的最大进化次数并将时钟周期循环神经网络的隐藏层神经元个数、学习率、迭代次数和每个批次的大小转化为狼群个体位置的参数坐标，并设置优化参数的上下限。

2.根据权利要求1所述的一种基于优化CW-RNN的网络安全态势预测方法，其特征在于：所述预处理采用滑动窗口进行。

3.根据权利要求1所述的一种基于优化CW-RNN的网络安全态势预测方法，其特征在于：所述时钟周期循环神经网络的各个参数包括输入神经元个数，输出神经元个数和网络的时钟周期。

4.根据权利要求1所述的一种基于优化CW-RNN的网络安全态势预测方法，其特征在于：所述适应度函数为预测值与真实值的均方误差。

5.根据权利要求1所述的一种基于优化CW-RNN的网络安全态势预测方法，其特征在于：所述网络安全态势的预测值包括平均相对误差、平均绝对误差和最小均方误差。