CN118316732B - 一种基于d-s证据理论的网络安全势态评估模型的建模方法 - Google Patents

Abstract

本发明提供的一种基于D‑S证据理论的网络安全势态评估模型的建模方法，利用不依赖先验知识的网络安全模型来对各个网络流量数据进行赋值，不使用专家经验人为赋值的，大大减小了网络安全态势评估结果的主观依赖性和由主观因素产生的误差。本发明中每个网络流量数据均对应一贡献值，通过选取特定贡献值的网络流量数据来进行网络安全评估，使得网络安全势态的指标特征能够进行动态化提取，并与网络流量数据动态差异性同步变化，减少了冗余和低效的特征，提高了网络安全态势评估的动态准确度和效率。

Description

一种基于D-S证据理论的网络安全势态评估模型的建模方法

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于D-S证据理论的网络安全势态评估模型的建模方法。

背景技术

在目前大部分有关态势指标体系的构建研究中，存在静态化提取指标以及提取的指标因为数据集差异性而导致有些指标对安全态势评估的贡献低的问题，大部分网络安全势态评估采用DS证据理论，而DS证据理论融合规则中的基本概率分配函数（Basicprobability assignment，BPA）都是由专家经验人为赋值的，这种方法会使最终的网络安全态势评估结果产生极高的主观依赖性，造成主观因素产生的误差较大的现象。

发明内容

针对现有技术中的问题，本发明提供一种基于D-S证据理论的网络安全势态评估模型的建模方法，利用不依赖先验知识的网络安全模型来对各个网络流量数据进行赋值，不使用专家经验人为赋值的，大大减小了网络安全态势评估结果的主观依赖性和由主观因素产生的误差。

为解决上述技术问题，本发明提供以下技术方案：一种基于D-S证据理论的网络安全势态评估模型的建模方法，具体包括如下步骤：

步骤100、采用分类器对预先采集的网络流量数据进行分类得到初始的训练集，并利用shap模型计算每个网络流量数据的贡献值，选择贡献值大于设定值的网络流量数据作为训练数据，设训练数据的个数为N；

步骤200、构造基于 AGA-BP 神经网络模型，采用所述训练数据作为AGA-BP 神经网络模型的输入并进行训练，AGA-BP 神经网络模型的输出为D-S证据理论的态势BPA，态势BPA为m(O₁) ,m( O₂) ,m(O₃) ,m(U )，O₁、O₂、O₃、U为态势状态X，X={O₁,O₂ ,O₃,U }；

步骤300、对态势BPA进行修正和融合，得到最终的态势BPA，通过最终的态势BPA能够获得网络安全等级。

优选地，所述步骤200具体包括如下步骤：

步骤210，设计BP神经网络，所述步骤210具体包括如下步骤：

步骤211：确定BP神经网络的层数和节点数：采用三层网络结构，输入层的节点数为N，输出层的节点数为4，由态势BPA的个数决定，隐含层的节点数采用以下公式计算：

，

n为BP 神经网络输入层的节点个数，n=N，q为输出层的节点个数，q=4，取[1,10]之间的整数；

步骤212、确定传递函数：传递函数采用sigmoid函数；

优选地，所述步骤200还包括步骤220、设计自适应遗传算法，具体包括如下步骤：

步骤221、确定编码方式：采用实数编码规则；

步骤222、确定适应度函数如下：

，且，

其中，为BP神经网络中节点的态势BPA 评估值，为 BP神经网络模型的预测值，是适应度函数；

步骤223、确定选择算子：采用轮盘赌选择法作为选择算子；

步骤224、确定交叉算子：采用算术交叉算子，交叉方式为：

，

其中，与为两个父代，X₁与X₂为交叉产生的两个新个体，为常数；

步骤225、确定变异算子：采用非均匀变异算子，设个体在处发生变异，那么新的基因值为：

，

其中，表示处基因值取值的最大值，表示处基因值取值的最小值，、分别表示、范围内的一个随机数，并且符合非均匀分布。

步骤230、采用自适应遗传算法对BP神经网络进行优化，具体包括如下步骤：

步骤231、确定 BP 神经网络的拓扑结构，并对其初始权值和阈值进行初始化，并且设定BP神经网络的最大训练次数以及训练目标误差；

步骤232、根据步骤 231确定的拓扑结构对 BP 神经网络的权值和阈值进行编码，形成初始染色体种群，确定种群规模；

步骤233、初始染色体种群通过选择、交叉、变异操作产生一群比初始染色体种群更优的新的染色体种群，并更新染色体种群中每条染色体对应的适应度函数值，记录最优染色体，并且更新自适应交叉率和自适应变异率：

，

，

其中，f_max和f_avg分别表示种群的最大适应度值和平均适应度值，表示参与交叉 的两个个体中较大的适应度值，f表示要变异个体的适应度值，p_c1、p_c2、p_m1、p_m2的取值分别为 0.9、0.6、0.1 和 0.01；

步骤234、判断由适应度函数公式得出的误差是否满足要求，如果误差满足要求，那么输出最优染色体的基因状态，解码得到 BP 神经网络的初始权值和阈值；如果不满足要求，返回步骤 233继续迭代训练；

步骤235、通过步骤 234获得初始权值和阈值之后，对 BP 神经网络开始进行训练，通过对BP神经网络的输出均方误差 MSE 进行计算，持续地对权值和阈值进行修正；

步骤236、判断 MSE 是否满足要求，如果满足要求，则停止训练，输出最优的权值和阈值；

步骤237、通过验证样本采用训练完成的 BP 神经网络获取态势BPA以进行验证；如果不满足要求，返回步骤235继续迭代训练，验证样本为预先准备好的网络流量数据。

优选地，在步骤300中，设所述训练数据具有时序性，选取一段时间内的训练数据，在该段时间内的训练数据共有C个，用滑动窗口的方法周期性地采集数据，设滑动窗口的窗口大小为w，在滑动窗口内共有w个训练数据，即在每个滑动窗口内共有w个证据体，每个证据体有4个焦元命题,数据结构如下：

，

，

……

；

步骤300具体包括如下步骤：

步骤310、计算每一个态势状态O₁、O₂、O₃、U在t₁-t_w的方差：

；

步骤320、采用扩展置信熵来度量每一个证据体的不确定性大小，公式如 下：

，

其中， ， ， 表示辨识框架的势，代表辨识框架中确切已知元素的个数，，，m（）为mass函数；

步骤330、将所述扩展置信熵用于态势BPA的修正，具体包括如下步骤：

步骤331、将扩展置信熵进行归一化处理：

，

步骤332、将作为权重因子，将其引用到如下的BPA修正公式：

，

，

，

；

步骤340、采用广义证据组合规则进行数据融合，具体包括步骤：

步骤341、定义广义证据组合规则：

，

其中，为开放世界辨识框架的命题子集，，，m₁和m₂为mass函数，，

归一化因子K定义为：

；

步骤342、采用广义证据组合规则融合w-1次：

，

，

，

，

即为经过修正和融合后的态势BPA。

与现有技术相比，本发明具有以下有益效果：

本发明提供的基于D-S证据理论的网络安全势态评估模型的建模方法，利用不依赖先验知识的网络安全模型来对各个网络流量数据进行赋值，不使用专家经验人为赋值的，大大减小了网络安全态势评估结果的主观依赖性和由主观因素产生的误差。本发明中每个网络流量数据均对应一贡献值，通过选取特定贡献值的网络流量数据，输入网络安全模型进行赋值，进而进行网络安全评估，不同时间段内选取的网络流量数据不同，使得网络安全势态的指标特征能够进行动态化提取，并与网络流量数据动态差异性同步变化，减少了冗余和低效的特征，提高了网络安全态势评估的动态准确度和效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明的建模方法的流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种基于D-S证据理论的网络安全态势评估模型的建模方法，具体包括如下步骤：

步骤100、采用分类器对预先采集的网络流量数据进行分类得到初始的训练集，并利用shap模型计算每个网络流量数据的贡献值，选择贡献值大于设定值的网络流量数据作为训练数据，设训练数据的个数为N。shap模型为现有技术，其输出的shap值即为贡献值。

步骤200、构造基于 AGA-BP 神经网络模型，具体包括如下步骤：

步骤210、设计BP神经网络，具体包括如下步骤：

步骤211、确定网络层数和节点数：

本发明的BP神经网络采用三层网络结构，具有一个隐含层。

AGA-BP 神经网络模型的输入数据网络流量数据，输出数据为态势BPA，态势BPA对应网络态势的安全等级，参见表1：

表1 态势BPA与安全等级的对应关系表

安全等级	态势BPA
		I级（安全）	(0.8-1.0]
II级（比较安全）	(0.45-0.8]
		III级（基本安全）	(0-0.45]
IV级（较不安全）	(0.55-1.0]
		V级（不安全）	(0-0.55]

构建辨识框架：态势状态{O₁ , O₂ ,O₃, U }分别表示 A 级安全状态、B 级安全状态、危险状态以及未知状态，A 级安全状态仅包括等级 I，B 级安全包括 II 级和 III 级安全等级，危险状态则包括 IV级和 V级安全等级，未知状态U代表非完备因子φ，故此辨识框架是在开放世界假设下的。步骤一中提取的N个训练数据归一化后作为 BP 神经网络的输入参数，输出参数作为 D-S证据理论的态势BPA，即m(O₁) ,m( O₂) ,m(O₃) ,m(U ),共有4个。因此，BP 神经网络输入层的节点个数是N，输出层的节点个数为4。

隐含层节点个数的选取采用经验公式，n为BP 神经网络输入层的节点个数，n=N，q为输出层的节点个数，q=4，是[1,10]之间的整数。

步骤212、确定传递函数：

本发明采用的传递函数为sigmoid函数。

步骤220、设计自适应遗传算法（AGA），具体包括如下步骤：

步骤221、确定编码方式：

由于 BP 神经网络的权值和阈值均为（-1，1）区间的随机数，使用二进制编码会使染色体长度过长，导致计算效率降低，因此本发明采用实数编码规则。

步骤222、确定适应度函数如下： ，且,其中，为网络系统中节点的态势BPA 评估值，为 BP神经网络模型预测值，是适应度函数。

步骤223、确定选择算子：

选择算子采用轮盘赌选择法，通过计算个体的适应度值对个体进行选择，值越大表示该个体被选择的可能性越大，第 i 个个体被选择的概率P_i为：,其中，为第个个体的适应度值，n 为群体规模。

步骤224、确定交叉算子：

本发明选择的交叉算子为算术交叉，交叉方式为：

，

其中，x₁与x₂为两个父代，X₁与X₂为交叉产生的两个新个体，为常数。

步骤225、确定变异算子：

本文选择的变异算子是非均匀变异。设个体在x_k处发生变异，那么新的基因值x_1k′为：

，

其中，表示处基因值取值的最大值，表示处基因值取值的最小 值，、分别表示、 范围内的一个随机数，并且符合非均匀分布。

步骤230、采用自适应遗传算法对BP神经网络进行优化：

本发明中的自适应遗传算法对 BP 神经网络的优化，本质上是利用自适应遗传算法来优化 BP 神经网络的初始权值和阈值，使优化后的 BP 神经网络的训练结果更加准确,基本步骤如下：

步骤231、确定 BP 神经网络的拓扑结构，并对其初始权值和阈值进行初始化，并且设定网络的最大训练次数以及训练目标误差；

步骤232、根据步骤 231确定的网络拓扑结构对 BP 神经网络的权值和阈值进行编码，形成初始化种群，确定种群规模；

步骤233、染色体种群通过选择、交叉、变异操作产生一群新的更优的染色体种群，并更新染色体种群中每条染色体对应的适应度函数值，记录最优染色体，并且更新自适应交叉率和自适应变异率：

，

，

其中，f_max和f_avg分别表示种群的最大适应度值和平均适应度值，表示参与 交叉的两个个体中较大的适应度值，f表示要变异个体的适应度值。p_c1、p_c2、p_m1、p_m2的取值分别为 0.9、0.6、0.1 和 0.01。

步骤234、判断由适应度函数公式得出的误差是否满足要求，如果误差满足要求，那么输出最优染色体的基因状态，解码得到 BP 神经网络的初始权值和阈值；如果不满足要求，返回步骤 233继续迭代训练；

步骤235、通过步骤 234获得初始权值和阈值之后，对 BP 神经网络开始进行训练，通过对BP神经网络的输出均方误差 MSE 进行计算，持续地对权值和阈值进行修正；

步骤236、判断 MSE 是否满足要求，如果满足要求，则停止训练，输出最优的权值和阈值；

步骤237、通过验证样本采用训练完成的 BP 神经网络获取 态势BPA以进行验证；如果不满足要求，返回步骤235继续迭代训练，验证样本为预先准备好的网络流量数据。

并且，在采用步骤一的训练数据进行训练后，得到了态势BPA，即关于态势状态{O₁, O₂ ,O₃, U }的一条证据记录，为之后的信息融合做准备。

步骤300、应用非完备证据的置信熵对步骤200得到的态势BPA进行修正与融合：

设步骤100中的训练数据具有时序性，评估一段时间内（t₀-t_n）的网络安全态势，该段时间内共有C个样本，用滑动窗口的方法来周期性地采样数据，设窗口大小为w，时间周期为T，则一共有C/w个周期，通过如下方法得到每个周期T的安全等级，共C/w个等级结果，进而得到一段时间内（t₀-t_n）的网络安全态势的折线走势图：

对于一个时间周期T的训练数据，态势状态X={O₁ , O₂ ,O₃, U }，在t₁-t_w内，共有w个证据体，每个证据体有4个焦元命题,训练数据结构如下：

，

，

……

；

步骤310、计算每一个态势状态O₁ 、O₂ 、O₃ 、U在t₁-t_w的方差，即：

；

步骤320、采用扩展置信熵E_ns来度量每一个证据体的不确定性大小，公式如下：

，

其中，，，，和是按照一定顺序的焦元命题的参数k值和mass函数值；n是焦元命题的个数；|A|表示焦元命题A 的势，代表焦元命题A中元素的个数；表示辨识框架的势，代表辨识框架中确切已知元素的个数；k的最大值为，记作；[ ]是高斯取整函数，参数k的值为波动平衡函数的函数值，具体地，设，该波动平衡函数是变量为的直线函数，a为直线函数的变量的系数，b为波动平衡函数的纵截距，0＜b≤，a和b使波动平衡函数的横截距大于0，小于0.5。

结合D-S证据理论和本发明的网络安全态势评估，每一个证据体m_i中（i在1与w之间），不确定性度量方法中各个参数分别是：|O₁|=1，|O₂|=1，|O₃|=1，|U|=0，，，，，=，，进而能够计算度量出每一个证据体m_i的不确定性大小（置信熵）E_ns(m_i)。

步骤330、将上述的态势BPA的不确定性的度量结果用于数据修正，以改进扩展置信熵的计算结果作为权重因子，经过归一化：

，

在基于上述的归一化的权重因子，将其引用到如下的BPA修正公式：

，

，

，

；

步骤340、采用广义证据组合规则进行数据融合：

根据广义证据理论定义，空集代表开放世界特性，因此空集与空集相交仍然为空 集，约定满足条件。在开放世界辨识框架U中，有两组广义mass函数,对 于开放世界辨识框架的命题子集，定义广义证据组合规 则：

，

其中，归一化因子K定义为：

，

两组广义mass函数中空集的融合结果仍然为空集，mass函数的计算结果定义为：

，

原始证据条数为w,经过不确定性度量方法修正为n条相同的证据，采用广义证据组合规则融合（w-1）次：

，

，

，

，

即为经过修正和融合后的态势BPA，根据表1，能够得出对应的安全等级。

网络安全等级的判定采用如下规则：

1）若，则在周期T的时间段内网络安全态势安全等级为：I级（安全）。

2）若，则在周期T的时间段内网络安全态势安全等级为：II级（比较安全）。

3）若，则在周期T的时间段内网络安全态势安全等级为：III级（基本安全）。

4）若，则在周期T的时间段内网络安全态势安全等级为：IV级（较不安全）。

5）若，则在周期T的时间段内网络安全态势安全等级为：V级（不安全）。

本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (1)

1.一种基于D-S证据理论的网络安全势态评估模型的建模方法，其特征在于，具体包括如下步骤：

步骤100、采用分类器对预先采集的网络流量数据进行分类得到初始的训练集，并利用shap模型计算每个网络流量数据的贡献值，选择贡献值大于设定值的网络流量数据作为训练数据，设训练数据的个数为N；

步骤200、构造基于 AGA-BP 神经网络模型，采用所述训练数据作为AGA-BP 神经网络模型的输入并进行训练，AGA-BP 神经网络模型的输出为D-S证据理论的态势BPA，态势BPA为，为态势状态X，，表示A级安全状态、表示B级安全状态、表示危险状态以及表示未知状态；

步骤300、对态势BPA进行修正和融合，得到最终的态势BPA，通过最终的态势BPA能够获得网络安全等级；

所述步骤200具体包括如下步骤：

步骤210，设计BP神经网络，所述步骤210具体包括如下步骤：

步骤211：确定BP神经网络的层数和节点数：采用三层网络结构，输入层的节点数为N，输出层的节点数为4，由态势BPA的个数决定，隐含层的节点数采用以下公式计算：

，

n为BP 神经网络输入层的节点个数，n=N，q为输出层的节点个数，q=4，取[1,10]之间的整数；

步骤212、确定传递函数：传递函数采用sigmoid函数；

所述步骤200还包括步骤220、设计自适应遗传算法，具体包括如下步骤：

步骤221、确定编码方式：采用实数编码规则；

步骤222、确定适应度函数如下：

，且，

其中，为BP神经网络中节点的态势BPA 评估值，为 BP神经网络模型的预测值，是适应度函数；

步骤223、确定选择算子：采用轮盘赌选择法作为选择算子；

步骤224、确定交叉算子：采用算术交叉算子，交叉方式为：

，

其中，与为两个父代，X₁与X₂为交叉产生的两个新个体，为常数；

步骤225、确定变异算子：采用非均匀变异算子，设个体在处发生变异，那么新的基因值为：

，

其中，表示处基因值取值的最大值，表示处基因值取值的最小值，、分别表示、范围内的一个随机数，并且符合非均匀分布；

所述步骤200还包括步骤230、采用自适应遗传算法对BP神经网络进行优化，具体包括如下步骤：

步骤231、确定 BP 神经网络的拓扑结构，并对其初始权值和阈值进行初始化，并且设定BP神经网络的最大训练次数以及训练目标误差；

步骤232、根据步骤 231确定的拓扑结构对 BP 神经网络的权值和阈值进行编码，形成初始染色体种群，确定种群规模；

步骤233、初始染色体种群通过选择、交叉、变异操作产生一群比初始染色体种群更优的新的染色体种群，并更新染色体种群中每条染色体对应的适应度函数值，记录最优染色体，并且更新自适应交叉率和自适应变异率：

，

，

其中，和分别表示种群的最大适应度值和平均适应度值，表示参与交叉的两个个体中较大的适应度值，表示要变异个体的适应度值，p_c1、p_c2、p_m1、p_m2的取值分别为0.9、0.6、0.1 和 0.01；

步骤234、判断由适应度函数公式得出的误差是否满足要求，如果误差满足要求，那么输出最优染色体的基因状态，解码得到 BP 神经网络的初始权值和阈值；如果不满足要求，返回步骤 233继续迭代训练；

步骤235、通过步骤 234获得初始权值和阈值之后，对 BP 神经网络开始进行训练，通过对BP神经网络的输出均方误差 MSE 进行计算，持续地对权值和阈值进行修正；

步骤236、判断 MSE 是否满足要求，如果满足要求，则停止训练，输出最优的权值和阈值；

步骤237、通过验证样本采用训练完成的 BP 神经网络获取态势BPA以进行验证；如果不满足要求，返回步骤235继续迭代训练，验证样本为预先准备好的网络流量数据；

在步骤300中，设所述训练数据具有时序性，选取一段时间内的训练数据，在该段时间内的训练数据共有C个，用滑动窗口的方法周期性地采集数据，设滑动窗口的窗口大小为w，在滑动窗口内共有w个训练数据，即在每个滑动窗口内共有w个证据体，每个证据体有4个焦元命题,数据结构如下：

，

，

……

；

步骤300具体包括如下步骤：

步骤310、计算每一个态势状态在的方差：

；

步骤320、采用扩展置信熵来度量每一个证据体的不确定性大小，公式如下：

，

其中， ， ，

表示辨识框架的势，代表辨识框架中确切已知元素的个数，，，m( )为mass函数, |A|表示焦元命题的势，代表焦元命题A中元素的个数，是按照一定顺序的焦元命题的mass函数值，，a为波动平衡函数的变量的系数，b为波动平衡函数的纵截距；

步骤330、将所述扩展置信熵用于态势BPA的修正，具体包括如下步骤：

步骤331、将扩展置信熵进行归一化处理：

，

步骤332、将作为权重因子，将其引用到如下的BPA修正公式：

，

，

，

；

步骤340、采用广义证据组合规则进行数据融合，具体包括步骤：

步骤341、定义广义证据组合规则：

，

其中，

为开放世界辨识框架的命题子集，，m1和m2为mass函数，，

归一化因子K定义为：

；

步骤342、结合步骤341，采用广义证据组合规则融合w-1次：

，

，

，

，

即为经过修正和融合后的态势BPA。