CN108076060A - 基于动态k-means聚类的神经网络态势预测方法 - Google Patents

Abstract

基于动态k‑means聚类的神经网络态势预测方法，包括以下步骤：1）收集某***网络安全基础数据，数据指标即感染网络病毒主机数量，被篡改网络数，被植入后门的网络数量，安全事件报告数,仿冒页面数量,以及安全漏洞和高危漏洞数量，对网络安全基础数据归一化处理；2）对归一化后的网络安全基础数据，利用动态k‑means聚类算法进行聚类，确定RBF神经网络中心神经元参数和个数N；3）使用归一化后的数据参与RBF神经网络训练，计算RBF神经元宽度并确定神经元输出；4）在训练过程中，对RBF神经网络的输出权值进行编码，使用PSO算法得到最优权值，使网络态势预测精度提高；5）使用已训练的RBF神经网络对某月网络态势进行预测，并与当月网络态势评估值作对比，计算误差；具有预测精度高的特点。

Description

基于动态k-means聚类的神经网络态势预测方法

技术领域

本发明属于网络态势预测技术领域，具体涉及基于动态k-means 聚类的神经网络态势预测方法。

背景技术

日益复杂的网络环境和不可预知的网络安全漏洞，使得网络管理工作变得异常艰辛。近年来，网络态势预测技术的兴起，通过对***底层安全元素信息进行收集处理(如，漏洞信息、感染病毒的主机数量等)，为网络管理工作提供便利。网络态势预测技术不仅可以对未来网络的安全态势提供数据分析，还可以帮助网络管理者提前做出管理决策，以此提高所在***的网络抗攻击能力，减少不安全事件发生的概率。因此，网络态势预测技术成为如今亟需研究的课题。

Bass等人于2000年最早提出了网络态势感知这一概念，概括了网络态势感知的基础概念，目标以及相关特性^[1]。但对于网络安全态势信息如何获取、理解、应用，以及对未来网络发展趋势的预测并未说明。

Srihari R提出一种基于概念的网络态势感知方法。通过对概念的要素进行提取，以此得到态势感知信息。该方法对要素的提取具有良好的效果，缺点是仅能抵御单入侵攻击，且数据源单一，因此并未对态势预测作深入研究。

Stephen L提出了基于三维空间的网络流量信息的可视化技术。采用X、Y、Z三维坐标来刻画网络地址、源IP和端口号，并设计出一个基于旋转立方结构的***，具有较好的态势评估能力。但该方法侧重于当前网络态势的可视化研究，对于网络态势预测并未涉及。

Liu Z等结合已有的要素提取技术，并采用数据挖掘的方法对数据进行融合，从而对网络态势仅评估和预测。数据挖掘技术的采用使得网络态势评估和预测的结果更加精确，但同时由于冗余数据过多、计算复杂度过大导致维数***及算法运行缓慢等问题。

发明内容

为克服上述现有技术的不足，本发明的目的是提供基于动态 k-means聚类的神经网络态势预测方法，相较传统的神经网络态势预测方法更为精确。

为实现上述目的，本发明采用的技术方案是：基于动态k-means 聚类的神经网络态势预测方法，包括以下步骤：

步骤1，收集某***半年内的网络安全基础数据，数据指标即感染网络病毒主机数量，被篡改网络数，被植入后门的网络数量，安全事件报告数,仿冒页面数量,以及安全漏洞和高危漏洞数量，将网络安全基础数据取值规范在[0,1]范围内，对网络安全基础数据归一化处理，；

步骤2，对归一化后的网络安全基础数据X＝[x₁,x₂,...,x_n]^T，利用动态k-means聚类算法进行聚类，确定RBF神经网络中心神经元参数 C_ji＝[C_j1,C_j2,...,C_jn]^T和个数N；

步骤3，使用归一化后的数据参与RBF神经网络训练，计算RBF 神经元宽度D_j＝[d_j1,d_j2,...,d_jn]并确定神经元输出z_j；

步骤4，在训练过程中，对RBF神经网络的输出权值进行编码 W＝[w₁,w₂,...,w_k]^T,(k＝1,2,...,n)，使用PSO算法得到最优权值，使网络态势预测精度提高；

步骤5，使用已训练的RBF神经网络对某月网络态势进行预测，并与当月网络态势评估值作对比，根据下述公式计算误差，

MSE可以评价数据的变化程度，MSE的值越小，说明预测模型描述实验数据具有更好的精确度，式中y_i表示态势评估值，表示态势预测值。

本发明的有益效果是：

与现有技术相比，本发明通过对算法的预测值和预测误差分析发现，动态k-means聚类算法结合粒子群最优化算法在神经网络中的应用，对于网络态势预测精度上有明显的提高。因此，本发明具有应用前景。

本申请在RBF(径向基函数)神经网络的基础上提出了基于动态k-means算法结合粒子群最优化算法(PSO)的网络态势预测方法，动态k-means聚类算法克服人为确定初始聚类中心的缺陷，采用动态调整聚类中心的方法，让初始的聚类中心之间的相互距离尽可能远，使RBF的网络中心选择更准确。粒子群最优化算法(PSO)目的在于选择最合适的RBF权值。

搭建网络环境进行仿真，分析发现相较于传统的RBF神经网络对网络态势预测，所提算法在预测精度上有所提高。因此，本发明所涉及的提算法在网络态势预测中具有一定可行性和有效性。

附图说明

图1(a)CNVD统计2017年上半年感染网络病毒主机数图。

图1(b)CNVD统计2017年上半年网络安全漏洞、高危漏洞数图。

图2为粒子群最优化算法(PSO)流程图。

图3为RBF神经网络的结构示意图。

图4为本发明实验环境拓扑结构图。

图5本发明算法和传统算法预测值对比图。

图6为本发明算法和传统算法预测误差对比图。

具体实施方式

下面结合附图和实施例对本发明的结构原理和工作原理作进一步详细说明。

本实施例搭建的实验环境为实验室搭建的局域网，包括主机若干、路由器、防火墙以及交换机。主机配置为Intel(R)Core(TM)i7-4790 CPU 3.60GHz，8.00GB内存，64位操作***。

普通用户和攻击者均可访问该局域网内的主机。选择局域网内的若干主机进行攻击，攻击手段如下：

①注入CVE-2016-9732、CVE-2016-2979、CVE-2016-2973漏洞对主机进行跨站脚本攻击。

②注入CVE-2016-2299、CVE-2016-4040、CVE-2016-3172漏洞对主机进行SQL注入攻击。

③注入CVE-2017-10804漏洞获取主机用户隐私信息。

通过使用burpsuit和WireShark软件对局域网进行检测分析，获取局域网一年内受攻击时感染网络病毒主机数量，被篡改网络数，被植入后门的网络数量，以及安全漏洞和高危漏洞数量的基础数据，作为研究基础。如图4所示为实验环境拓扑结构，由于空间有限拓扑结构仅显示部分主机。表1为收集所搭建局域网一年内每月的网络安全基础数据。

表1网络安全基础数据样本

基于动态k-means聚类的神经网络态势预测方法，包括以下步骤：

步骤1，收集实验室所搭建内的局域网内半年的网络安全基础数据，数据指标即感染网络病毒主机数量，被篡改网络数，被植入后门的网络数量，以及安全漏洞和高危漏洞数量，并对网络安全基础数据进行归一化；由于各指标特征参数常常具有不同的量纲和物理意义。如果以上数据直接参与网络态势预测运算，物理单位不同的数据会造成不可预测的误差，导致态势预测失败，因此需对网络安全基础数据归一化处理，将网络安全基础数据取值规范在[0,1]范围内；

步骤2，对归一化后的网络安全基础数据X＝[x₁,x₂,...,x_n]^T，利用动态k-means聚类算法进行聚类，确定RBF神经网络中心神经元参数C_ji＝[C_j1,C_j2,...,C_jn]^T和个数N；

步骤3，使用归一化后的数据参与RBF神经网络训练，计算RBF 神经元宽度D_j＝[d_j1,d_j2,...,d_jn]并确定神经元输出z_j；

步骤4，在训练过程中，对RBF神经网络的输出权值进行编码 W＝[w₁,w₂,...,w_k]^T,(k＝1,2,...,n)，使用PSO算法得到最优权值，使网络态势预测精度提高；

步骤5，使用已训练的RBF神经网络对某月网络态势进行预测，并与当月网络态势评估值作对比，为了保证评估值的准确性，参照 CVSS标准并随机选择10位网络安全专家对各指标进行评估打分取其平均值，得到当月网络态势评估值，计算误差；表2所示为CVSS标准下的网络态势级别，即任何时间段内的态势值对应一个风险等级，为网络管理者提供更为直观的网络态势情况。

表2CVSS标准下的网络态势级别表

参见图1(a)为CNVD统计2017年上半年感染网络病毒主机数图,图1(b)分别为CNVD统计2017年上半年网络安全漏洞、高危漏洞数图。

国家信息安全漏洞共享平台(China National Vulnerable Database，简称CNVD)是由国家计算机网络应急技术处理协调中心***内重要信息***单位、基础电信运营商、网络安全厂商等共同建立的信息安全漏洞信息共享知识库。

CNVD对于网络安全等级的设定参考CVSS(通用漏洞评分***) 评价标准。结合网络威胁、漏洞等要素特点，将网络安全态势的安全等级划分为5级，分别为安全，轻度危险，一般危险，中度危险，高度危险，并用[0,1]区间的数值进行等量描述。如表1所示为CVSS标准下的网络态势级别^[7]。

CNVD主要收集的基础信息包括感染网络病毒主机数量，被篡改网络数，被植入后门的网络数量，仿冒页面数量，安全事件报告数，以及安全漏洞和高危漏洞数量。本文仿真实验收集所在***的基础数据即为以上七类。

由于各指标特征参数常常具有不同的量纲和物理意义。如果以上数据直接参与网络态势预测运算，物理单位不同的数据会造成不可预测的误差，导致态势预测失败。因此根据实际需要，本文对态势评估指标进行归一化处理，去除数据物理单位的干扰，将数据取值规范在 [0,1]范围内^[8]。指标初始化公式如下：

其中：x_i表示数据值，x_max表示数值上限，x_min表示数值下限。

通过收集本实施例所搭建的局域网(参见图4)中半年的基础信息，以此使用本算法中的PSO-RBF神经网络进行训练，最终对局域网的态势进行预测。

实验分析是使用传统的RBF神经网络预测算法与本算法进行对比。对比包括预测值、预测误差。其中预测误差使用均方误差(MSE) 进行评价。表3为本算法与传统算法预测输出和真实值对比。图5和图6分别为本算法和传统算法预测值对比图和预测误差对比图。

均方误差是指参数估计值与参数真值之差平方的期望值。MSE可以评价数据的变化程度，MSE的值越小，说明预测模型描述实验数据具有更好的精确度。表达式如下：

式中y_i表示态势真实值，表示态势预测值。

表3本算法与传统算法预测输出和真实值对比

通过对算法的预测值和预测误差分析发现，动态k-means聚类算法结合粒子群最优化算法在神经网络中的应用，对于网络态势预测精度上有明显的提高。因此，可预见本发明的算法具有一定应用前景。

参见图2，图2为粒子群最优化算法(PSO)流程图。

粒子群最优化算法

粒子群最优化算法(PSO)属于群智能算法的一种，它是通过模拟鸟群捕食行为设计的。

粒子群算法通过设计一种粒子来模拟鸟群中的鸟，粒子仅具有速度和位置两种属性。每个粒子在搜索空间中单独搜寻最优解，得到当前个体极值P_best，并将此极值与整个粒子群里的其他粒子共享，找到最优的个体极值作为整个粒子群的当前全局最优解G_best。粒子群中的所有粒子根据P_best和G_best调整自身速度和位置。算法步骤及表达式如下^[12-14]：

①粒子群初始化

需要设置最大速度区间，位置信息即为整个搜索空间，随机初始化速度和位置。设置群体规模m。

②个体极值与全局最优解

个体极值为每个粒子找到的历史上最优的位置信息，并从这些个体历史最优解中找到一个全局最优解，并与历史最优解比较，选出最佳的作为当前的历史最优解。

③更新速度和位置公式

a.速度更新公式：

V_id＝ωV_id+C₁random(0,1)(P_id-X_id)+C₂random(0,1)(P_gd-X_id)(2-3)

其中，ω称为惯性因子，C₁和C₂称为加速常数，一般取C₁＝C₂∈ [0,4]。random(0,1)表示区间在[0,1]上的随机数。P_id表示在d维中第i个变量的个体极值。P_gd表示在d维中全局最优解。

b.位置更新公式：

X_id＝X_id+V_id (2-4)

④终止条件

终止条件分为两类，一是最大迭代数：G_max；二是相邻两代之间的误差在一个指定的范围内停止。本申请使用的是第二种终止条件。

参见图3，图3为RBF神经网络的结构示意图，其中，为了适用于态势预测，本发明使用的RBF神经网络含有m个输入节点，n个隐藏节点，以及l个输出节点，全响应函数为高斯函数。各个参数的表达式及计算方法如下^[16]：

①确定输入向量X：

X＝[x₁,x₂,...,x_n]^T，n为输入层单元数。由第一节可知，输入向量个数为7。

②初始化隐含层至输出层的连接权值：

W＝[w₁,w₂,...,w_k]^T,(k＝1,2,...,n)，其中k是隐含层单元数。连接权值的初始化及选择由粒子群最优化算法(PSO)确定。

③确定隐含层的神经元中心参数：

C_ji＝[C_j1,C_j2,...,C_jn]^T，n为神经元中心个数。不同隐含层神经元的中心应有不同的取值，并且与中心的对应宽度能够调节，使得不同的输入信息特征能被不同的隐含层神经元最大的反映出来。本文使用动态k-means聚类算法确定神经网络中心C_ji。

④初始化宽度向量D_j＝[d_j1,d_j2,...,d_jn](n为神经元中心个数)，其定义式如下：

其中，d_f为宽度调节系数，取值小于1，作用是是每个神经元更容易实现对局部信息的感受能力，有利于提高RBF神经网络的局部响应能力。

宽度向量影响着神经元对输入信息的作用范围：宽度越小，相应隐含层神经元作用函数的形状越窄，则处于其他神经元中心附近的信息在该神经元处的响应就越小

⑤计算隐含层第j个神经元的输出值z_j，其定义式如下：

其中C_j是隐含层第j个神经元的中心向量，D_j为隐含层第j个神经元宽度向量，与C_j相对应，||.||为欧式范数。

⑥输出层神经元的输出：

其中,k为权重系数的个数。

另外，RBF网络可通过适应度函数控制最优解，其优化目标是网络的期望输出Y'和实际输出Y的误差函数MSE最小，则误差函数E 为：

Claims (1)

1.基于动态k-means聚类的神经网络态势预测方法，其特征在于，包括以下步骤：

步骤1，收集某***半年内的网络安全基础数据，数据指标即感染网络病毒主机数量，被篡改网络数，被植入后门的网络数量，安全事件报告数,仿冒页面数量,以及安全漏洞和高危漏洞数量，将网络安全基础数据取值规范在[0,1]范围内，对网络安全基础数据归一化处理，；

步骤2，对归一化后的网络安全基础数据X＝[x₁,x₂,...,x_n]^T，利用动态k-means聚类算法进行聚类，确定RBF神经网络中心神经元参数C_ji＝[C_j1,C_j2,...,C_jn]^T和个数N；

步骤3，使用归一化后的数据参与RBF神经网络训练，计算RBF神经元宽度D_j＝[d_j1,d_j2,...,d_jn]并确定神经元输出z_j；

步骤4，在训练过程中，对RBF神经网络的输出权值进行编码W＝[w₁,w₂,...,w_k]^T,(k＝1,2,...,n)，使用PSO算法得到最优权值，使网络态势预测精度提高；

步骤5，使用已训练的RBF神经网络对某月网络态势进行预测，并与当月网络态势评估值作对比，根据下述公式计算误差，

<mrow> <mi>M</mi> <mi>S</mi> <mi>E</mi> <mo>=</mo> <mfrac> <mn>1</mn> <mi>n</mi> </mfrac> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <msup> <mrow> <mo>(</mo> <msub> <mi>y</mi> <mi>i</mi> </msub> <mo>-</mo> <msub> <mover> <mi>y</mi> <mo>^</mo> </mover> <mi>i</mi> </msub> <mo>)</mo> </mrow> <mn>2</mn> </msup> </mrow>

MSE可以评价数据的变化程度，MSE的值越小，说明预测模型描述实验数据具有更好的精确度，式中y_i表示态势评估值，表示态势预测值。