CN115378653B - 一种基于lstm和随机森林的网络安全态势感知与预测方法及系统 - Google Patents

Abstract

本发明提供一种基于LSTM和随机森林的网络安全态势感知与预测方法及系统，所述方法包括：S10，基于卡方函数实现网络安全态势要素提取的步骤；S20，基于配比矩阵和一致性检验网络安全态势评估的步骤；S30，基于LSTM和随机森林实现网络安全态势预测的步骤。本发明能够解决目前网络安全态势评估和预测技术存在的问题。

Description

一种基于LSTM和随机森林的网络安全态势感知与预测方法及 系统

技术领域

本发明涉及网络安全态势技术领域，具体而言，涉及一种基于LSTM和随机森林的网络安全态势感知与预测方法及系统。

背景技术

随着互联网应用和服务的日益普及和迅猛发展，网络服务的访问量和用户数与日俱增，网络结构也愈发复杂，直接导致网络安全的管控更加困难。网络设备、设施一旦遭受网络攻击，将对人们的生产生活，甚至国家安全造成巨大的损失。而网络安全态势感知可以有效的对网络中的主机设备进行有效的安全风险评估，实时监测甚至提前预测其中存在的不安全因素，从而为网络安全决策提供有力支撑。

网络安全态势感知领域的主要研究点有：模型研究、评估指标体系研究、特征要素提取研究、评估和预测技术研究。网络安全态势评估和预测技术是研究的重点。

1、网络安全态势评估技术主要分为基于数学模型的评估方法、基于知识推理的评估方法和基于机器学习的评估方法3类。

(1)基于数学模型的评估方法：通过构建一个从网络安全态势指标数据集到结果集的映射函数，量化网络安全态势感知结果，常见的方法有层次分析法、集对分析法等。该类方法使用简单，具有先局部后整体、上层依赖下层、分层计算的全方位态势评估的特点，但是主观性较强；

(2)基于知识推理的评估方法：通过己有经验和逻辑推理对指标要素进行评估。常见的方法有D-S证据理论和贝叶斯理论等。该方法容错性较强，推理过程容易理解，但计算量较大，复杂度较高，难以用于实时的态势感知；

(3)基于机器学习的评估方法：主要分为训练和预测两个步骤。训练主要是找到态势感知指标集和网络安全态势值的关系。预测则是用训练步骤所得到的关系对新的指标输入集进行映射得到网络安全态势值。常见的方法有BP神经网络、SVM等。该方法具有学习能力强，性能好的特点，但在大量样本下模型训练时间长。

2、网络安全态势预测主要分为基于时间序列的预测方法、基于灰色理论的预测方法和基于机器学习的预测方法3类。

(1)基于时间序列的预测方法：通过从系统中获得的一系列时间序列数据进行曲线拟合，以构建相应的数学模型。该方法具有简单、直观等优点，但是不太适用于长期的预测和不规则的非线性特征的时间序列，并且其建模过程复杂性较髙，计算量较大。

(2)基于灰色理论的预测方法：通过对已掌握的信息进行分析和开发挖掘出有价值的信息，进而发现样本数据中潜在的变化规律，以此来对未知信息进行推理预测。该方法具有算法简单、所需的总数据量小、复杂度较低的特点，但是精度不高。

(3)基于机器学习的预测方法：基于机器学习的方法是网络安全态势预测技术中的一个热点研究方向。其中又可以细分为基于人工神经网络、深度学习和集成学习的预测方法。具有学习能力强，预测效果较好的特点，但是也存在训练不足、过拟合和算法性能较低的问题。

发明内容

本发明旨在提供一种基于LSTM和随机森林的网络安全态势感知与预测方法及系统，以解决目前网络安全态势评估和预测技术存在的问题。

本发明提供的一种基于LSTM和随机森林的网络安全态势感知与预测方法，包括：

S10，基于卡方函数实现网络安全态势要素提取的步骤；

S20，基于配比矩阵和一致性检验网络安全态势评估的步骤；

S30，基于LSTM和随机森林实现网络安全态势预测的步骤。

进一步地，步骤S10中基于卡方函数实现网络安全态势要素提取的步骤包括：

S11，确定网络安全态势要素；

S12，对网络安全态势要素进行量化并构建态势要素等级表。

进一步地，步骤S11中采用卡方函数对典型网络安全研究数据集的特征及特征值进行评分，并结合CVSS风险评估体系，确定网络丢包率、网络流量变化率和网络数据吞吐量作为网络安全态势要素。

进一步地，步骤S12中网络丢包率的量化计算公式如下：

其中：

L_j是第j个攻击方法的网络丢包率；n_j是此类攻击的总数，i表示第i种攻击；

P_i是从源地址到目的地址丢失的数据包数，N_i是从源地址发送到目的地址的数据包总数；同理，P’_i是从目的地址到源地址丢失的数据包数，N’_i是从目的地址发送到源地址的数据包总数。

进一步地，步骤S12中网络流量变化率的量化计算公式如下：

其中：

R_j表示第j次攻击方法的网络流量速率，n_j是此类攻击的总数，i表示第i种攻击；和/>分别表示T-1和T时段的网络流量值。

进一步地，步骤S12中网络数据吞吐量的量化计算公式如下：

其中：

S_j表示第j次攻击方法的网络数据吞吐量，Q_si表示从源地址发送到目的地址的流数据包大小，H_si是指到达目的地址所用的时间；同理，Q_di表示从目的地址发送到源地址的流数据包大小，H_di是指从目的地址到达源地址所用的时间。

进一步地，步骤S20中基于配比矩阵和一致性检验网络安全态势评估的步骤包括：

S21，通过构造配比矩阵计算网络安全态势要素的权重：结合网络安全态势评估的态势要素等级表以及九级量化评分表，构造关于网络安全态势要素的配比矩阵，将配比矩阵中的元素按列进行归一化处理后，按行求和除以矩阵的行数或列数，即分别得到网络丢包率、网络流量变化率和网络数据吞吐量的权重α、β、γ；

S22，通过E₁、E₂和E₃对网络安全态势要素的权重进行一致性检验：

E₁是配比矩阵中除最大特征值以外的特征值的负平均值，E₁的计算公式如下：

E₁越小，配比矩阵就越一致；为配比矩阵特征值，/>为配比矩阵特征值的最大值，n为配比矩阵的元素个数；

E₂是指配比矩阵的平均随机一致性指数，E₃的计算公式如下：

当E₃＜0.1时，则配比矩阵满足一致性要求，即网络安全态势要素的权重通过一致性检验。

进一步地，步骤S30中基于LSTM和随机森林实现网络安全态势预测的步骤包括：

首先，通过稀疏自编码器SSAE提取数据集特征，获得新的低维抽象特征；

然后，将处理后的网络流量数据分批输入到LSTM网络中进行训练；将输出的预测值作为攻击发生的概率，更新数据集中的标记以得到分类结果，预测网络攻击的类型；

最后，利用当前时间内攻击概率和影响程度的乘积，得到网络安全态势值。

进一步地，每种攻击的影响程度计算公式如下：

F(j)＝α*U(L_j)+β*U(R_j)+γ*U(T_k)；

其中：

L_j表示网络丢包率，R_j表示网络流量变化率，T_j网络数据吞吐量；

U(X)＝C/X，表示相应的效用值，X是属性的相应分数，C通常为1；

α、β、γ是U(L_j)、U(R_j)、U(T_j)三个网络安全态势要素效用值的权重，α+β+γ＝1。

本发明还提供一种基于LSTM和随机森林的网络安全态势感知与预测系统，所述系统用于实现上述的基于LSTM和随机森林的网络安全态势感知与预测方法，包括：

网络安全态势要素提取模块，用于执行基于卡方函数实现网络安全态势要素提取的步骤；

网络安全态势评估模块，用于执行基于配比矩阵和一致性检验网络安全态势评估的步骤；

网络安全态势预测模块，用于执行基于LSTM和随机森林实现网络安全态势预测的步骤。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

1、本发明提出了一个用于复杂网络的网络安全态势感知技术。采用卡方函数对数据集进行评价，以提取出网络安全态势要素。基于层次分析法确定态势要素的权重，以得到每种攻击方法的攻击影响程度，再结合LSTM-RF模型得到的每种攻击发生概率，进而得到连续时间段的网络安全态势评估量化值，以实现网络安全态势的感知。

2、本发明提供了一种能够应用于复杂网络的安全态势感知与预测机制。将网络流量的标签划分为正常流量和各种攻击类型，而不再是正常流量和异常流量，同时引入攻击概率的概念，以LSTM算法对各种流量发生的概率进行预测，并结合攻击影响程度对网络安全态势进行感知，以应对复杂网络的态势感知需求，更细致的描述网络安全态势情况。SSAE具有排除噪音数据的同时，过滤冗余特征信息学习更有价值信息的特性。因此，采用SSAE算法对数据特征进行提炼，以提高态势预测的准确率和效率。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例中基于LSTM和随机森林的网络安全态势感知与预测方法的流程图。

图2为本发明实施例中网络安全态势预测的流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

如图1所示，本实施例提出一种基于LSTM和随机森林的网络安全态势感知与预测方法，包括：

S10，基于卡方函数实现网络安全态势要素提取的步骤：

S11，确定网络安全态势要素：采用卡方函数对典型网络安全研究数据集的特征及特征值进行评分，并结合CVSS风险评估体系，确定网络丢包率、网络流量变化率和网络数据吞吐量作为网络安全态势要素。其中，网络丢包率、网络流量变化率和网络数据吞吐量这三个网络安全态势要素的权重需要用专家评分法和层次分析法(AHP)来计算。然后，利用多属性效用理论求出每种攻击的影响程度；具体地，每种攻击的影响程度计算公式如下：

F(j)＝α*U(L_j)+β*U(R_j)+γ*U(T_j)；

其中：

L_j表示网络丢包率，R_j表示网络流量变化率，T_j网络数据吞吐量；

U(X)＝C/X，表示相应的效用值，X是属性的相应分数，C通常为1；

α、β、γ是U(L_j)、U(R_j)、U(T_j)三个网络安全态势要素效用值的权重，α+β+γ＝1。

S12，对网络安全态势要素进行量化并构建态势要素等级表：

(1)网络丢包率

网络丢包率是指源地址向不接收数据包的目的地址发送数据包的比率。网络丢包率的量化计算公式如下：

其中：

L_j是第j个攻击方法的网络丢包率(若有5种攻击类型，那么j＝5)；n_j是此类攻击的总数，i表示第i种攻击；

P_i是从源地址到目的地址丢失的数据包数，N_i是从源地址发送到目的地址的数据包总数；同理，P’_i是从目的地址到源地址丢失的数据包数，N’_i是从目的地址发送到源地址的数据包总数；通过表1将L_j划分为四个态势安全风险等级。

表1，网络丢包率等级指标：

网络丢包率(Lj)	风险等级
		Lj>0.002	一级
Lj>0.001	二级
		Lj>0	三级
Lj＝0	四级

(2)网络流量变化率

网络流量变化率是指在网络上传输的数据量，速率是指网络上传输的数据在一定的连续时间内的变化。

网络流量变化率的量化计算公式如下：

其中：

R_j表示第j次攻击方法的网络流量速率，n_j是此类攻击的总数，i表示第i种攻击；和/>分别表示T-1和T时段的网络流量值；通过表2将网络流量变化率划分为四个态势安全风险级别。

表2，网络流量变化率等级指标：

网络流量变化率(Rj)	风险等级
		Rj<10000	一级
10000≤Rj<50000	二级
		50000≤Rj<100000	三级
Rj≥100000	四级

(3)网络数据吞吐量

网络数据吞吐量是指设备在不丢弃帧的情况下可以接受的最大速率。所述测试方法以一定速率发送多个帧，并计算由被测试设备发送的帧。如果发送的帧数等于接收到的帧数，则传输速率将增加并重新测试；否则，传输速率将被降低并重新测试，直到获得最终结果。网络数据吞吐量的量化计算公式如下：

其中：

S_j表示第j次攻击方法的网络数据吞吐量，Q_si表示从源地址发送到目的地址的流数据包大小，H_si是指到达目的地址所用的时间；同理，Q_di表示从目的地址发送到源地址的流数据包大小，H_di是指从目的地址到达源地址所用的时间。通过表3将网络数据吞吐量划分为四个态势安全风险级别。

表3，网络数据吞吐量等级指标：

网络数据吞吐量(Sj)	风险等级
		Sj<500	一级
500≤Sj<5000	二级
		5000≤Sj<10000	三级
Sj≥10000	四级

最后通过对照表1、表2和表3得到每种攻击类型的影响程度和相对应的网络丢包率、网络流量变化率及网络数据吞吐量的量化值与相应的态势安全风险级别。攻击类型包括：NORM、Gneric、RCN、Exploits、Fuzzers、Dos、ANLS、Worms、backdoors和Shellcode这10种。

S20，基于配比矩阵和一致性检验网络安全态势评估的步骤：

S21，通过构造配比矩阵计算网络安全态势要素的权重：

结合表1、表2、表3，通过九级量化评分表(如表4所示)构造3×3的关于网络安全态势要素的配比矩阵，将配比矩阵中的元素按列进行归一化处理后，按行求和除以矩阵的行数或列数，即可分别得到三个网络安全态势要素的权重α、β、γ。

表4，九级量化平评分表：

分值	评分规则
		1	两个网络安全态势要素具有同等重要性。
3	前者比后者更重要一点。
		5	前者比后者更重要一些。
7	前者比后者更重要得多。
		9	前者远比后者重要。
2、4、6、8	表示前者和后者的重要性相比程度介于上述相邻程度之间。

表4中需要注意，若重要程度前后两者相反，则对应评分规则打分取倒数。

S22，通过E₁、E₂和E₃对网络安全态势要素的权重进行一致性检验；

具体地：

E₁是配比矩阵中除最大特征值以外的特征值的负平均值，E₁的计算公式如下：

E₁越小(接近于0)，配比矩阵就越一致；为配比矩阵特征值，/>为配比矩阵特征值的最大值，n为配比矩阵的元素个数，如3×3的关于网络安全态势要素的配比矩阵，则n＝9。

E₂是指配比矩阵的平均随机一致性指数，1～9阶矩阵的E₂值由领域专家对照表4进行打分评定；

接下来，基于E₁和E₂最终得到网络安全态势要素的一致性检验值E₃，计算公式如下：

当E₃＜0.1时，则配比矩阵满足一致性要求，即网络安全态势要素的权重通过一致性检验。

S30，基于LSTM和随机森林实现网络安全态势预测的步骤：

通过稀疏自编码器SSAE提取数据集特征，获得新的低维抽象特征；然后将处理后的网络流量数据分批输入到LSTM网络中进行训练；将预测值作为攻击发生的概率，更新数据集中的标记以进一步服务于得到分类结果，预测网络攻击的类型；最后，利用当前时间内攻击概率和影响程度的乘积，得到网络安全态势值。具体过程如图2所示。

S31，通过数据搜集器采集网络流量相关数据集，将采集的数据集定义为：D＝[d₁，d₂，…，d_m]，其中，m是数据集D中的样本数量；然后将数据集D拆分为训练集D_train＝[d₁，d₂，…，d_r]和测试集D_test＝[d_r+1，d₂，…，d_m]；再基于稀疏自编码器SSAE，将已有网络流量特征集降维得到一组新的特征集FS＝[fs_t-r，fs_t-r+1，…，fs_t-1]。

S32，由多个LSTM单元共同构成LSTM网络，并通过初始化参数seed初始化LSTM网络；通过LSTM算法不断计算经过批量处理的训练集D_train以获得预测值，并在训练的同时，通过损失率loss和学习率μ更新LSTM网络，以得到最优的LSTM模型；得到LSTM模型后，多次迭代(迭代次数的参数为steps)计算输出预测值，再通过Z-score方法标准化特征集FS得到的预测序列PR_test，即攻击发生的概率；通过预测序列PR_test更新测试集D_test以生成新的测试集D′_test，使用训练集D_train和新的测试集D′_test分为11份等样本容量的数据集作为随机森林分类器的输入数据，通过随机森林分类器的投票机制输出为每个数据样本的最终分类结果，即流量样本的标签；通过信息增益计算的方法，得到数据集的最优特征τ_best，以及特征和标签之间的关系R_fl来最终实现随机森林的构建。具体算法流程如表5所示。

表5，网络安全态势预测的算法流程：

S33，每种攻击类型发生可能的预测结果乘以每种攻击的影响程度，就得到了当前时刻网络安全的态势值。每种攻击的态势值小于0.5则处于正常状态，而大于0.5则处于危险状态，需要针对该类型攻击方式进行防御策略的调整或者防御方法的改进。

由上可知，本发明具有如下优势：

1、本发明提出了一个用于复杂网络的网络安全态势感知技术。采用卡方函数对数据集进行评价，以提取出网络安全态势要素。基于层次分析法确定态势要素的权重，以得到每种攻击方法的攻击影响程度，再结合LSTM-RF模型得到的每种攻击发生概率，进而得到连续时间段的网络安全态势评估量化值，以实现网络安全态势的感知。

2、本发明提供了一种能够应用于复杂网络的安全态势感知与预测机制。将网络流量的标签划分为正常流量和各种攻击类型，而不再是正常流量和异常流量，同时引入攻击概率的概念，以LSTM算法对各种流量发生的概率进行预测，并结合攻击影响程度对网络安全态势进行感知，以应对复杂网络的态势感知需求，更细致的描述网络安全态势情况。SSAE具有排除噪音数据的同时，过滤冗余特征信息学习更有价值信息的特性。因此，采用SSAE算法对数据特征进行提炼，以提高态势预测的准确率和效率。

实施例2

本实施例提供一种基于LSTM和随机森林的网络安全态势感知与预测系统，所述系统用于实现实施例1所述的基于LSTM和随机森林的网络安全态势感知与预测方法，包括：

网络安全态势要素提取模块，用于执行基于卡方函数实现网络安全态势要素提取的步骤；

网络安全态势评估模块，用于执行基于配比矩阵和一致性检验网络安全态势评估的步骤；

网络安全态势预测模块，用于执行基于LSTM和随机森林实现网络安全态势预测的步骤。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (2)

1.一种基于LSTM和随机森林的网络安全态势感知与预测方法，其特征在于，包括：

S10，基于卡方函数实现网络安全态势要素提取的步骤；

S20，基于配比矩阵和一致性检验网络安全态势评估的步骤；

S30，基于LSTM和随机森林实现网络安全态势预测的步骤；

步骤S10中基于卡方函数实现网络安全态势要素提取的步骤包括：

S11，确定网络安全态势要素；

S12，对网络安全态势要素进行量化并构建态势要素等级表；

步骤S11中采用卡方函数对典型网络安全研究数据集的特征及特征值进行评分，并结合CVSS风险评估体系，确定网络丢包率、网络流量变化率和网络数据吞吐量作为网络安全态势要素；

步骤S12中网络丢包率的量化计算公式如下：

其中：

L_j是第j个攻击方法的网络丢包率；n_j是此类攻击的总数，i表示第i种攻击；

P_i是从源地址到目的地址丢失的数据包数，N_i是从源地址发送到目的地址的数据包总数；同理，P’_i是从目的地址到源地址丢失的数据包数，N’_i是从目的地址发送到源地址的数据包总数；

步骤S12中网络流量变化率的量化计算公式如下：

其中：

R_j表示第j次攻击方法的网络流量速率，n_j是此类攻击的总数，i表示第i种攻击；和F_Ti分别表示T-1和T时段的网络流量值；

步骤S12中网络数据吞吐量的量化计算公式如下：

其中：

S_j表示第j次攻击方法的网络数据吞吐量，Q_si表示从源地址发送到目的地址的流数据包大小，H_si是指到达目的地址所用的时间；同理，Q_di表示从目的地址发送到源地址的流数据包大小，H_di是指从目的地址到达源地址所用的时间；

步骤S20中基于配比矩阵和一致性检验网络安全态势评估的步骤包括：

S21，通过构造配比矩阵计算网络安全态势要素的权重：结合网络安全态势评估的态势要素等级表以及九级量化评分表，构造关于网络安全态势要素的配比矩阵，将配比矩阵中的元素按列进行归一化处理后，按行求和除以矩阵的行数或列数，即分别得到网络丢包率、网络流量变化率和网络数据吞吐量的权重α、β、γ；

S22，通过E₁、E₂和E₃对网络安全态势要素的权重进行一致性检验：

E₁是配比矩阵中除最大特征值以外的特征值的负平均值，E₁的计算公式如下：

E₁越小，配比矩阵就越一致；为配比矩阵特征值，/>为配比矩阵特征值的最大值，n为配比矩阵的元素个数；

E₂是指配比矩阵的平均随机一致性指数，E₃的计算公式如下：

当E₃＜0.1时，则配比矩阵满足一致性要求，即网络安全态势要素的权重通过一致性检验；

步骤S30中基于LSTM和随机森林实现网络安全态势预测的步骤包括：

首先，通过稀疏自编码器SSAE提取数据集特征，获得新的低维抽象特征；

然后，将处理后的网络流量数据分批输入到LSTM网络中进行训练；将输出的预测值作为攻击发生的概率，更新数据集中的标记以得到分类结果，预测网络攻击的类型；

最后，利用当前时间内攻击概率和影响程度的乘积，得到网络安全态势值；

每种攻击的影响程度计算公式如下：

F(j)＝α*U(L_j)+β*U(R_j)+γ*U(T_j)；

其中：

L_j表示网络丢包率，R_j表示网络流量变化率，T_j网络数据吞吐量；

U(X)＝C/X，表示相应的效用值，X是属性的相应分数，C通常为1；

α、β、γ是U(L_j)、U(R_j)、U(T_j)三个网络安全态势要素效用值的权重，α+β+γ＝1。

2.一种基于LSTM和随机森林的网络安全态势感知与预测系统，其特征在于，所述系统用于实现如权利要求1所述的基于LSTM和随机森林的网络安全态势感知与预测方法，包括：

网络安全态势要素提取模块，用于执行基于卡方函数实现网络安全态势要素提取的步骤；

网络安全态势评估模块，用于执行基于配比矩阵和一致性检验网络安全态势评估的步骤；

网络安全态势预测模块，用于执行基于LSTM和随机森林实现网络安全态势预测的步骤。