针对组合预测模型的自适应网络安全态势预测方法技术

本公开涉及基于组合预测模型的自适应网络安全态势预测方法，该方法包括：子模型训练步骤，从用于自适应安全态势预测的训练数据集中提取用于训练数据序列，训练出作为组合预测模型的构成要素的n个不同的子模型M；初始权重赋值步骤，针对每个子模型M

【技术实现步骤摘要】
针对组合预测模型的自适应网络安全态势预测方法


[0001]本公开总体上涉及网络信息安全领域，具体而言属于网络安全态势感知的
，更具体而言涉及一种针对组合预测模型的自适应网络安全态势预测方法。

技术介绍

[0002]随着大数据、人工智能(AI)和互联网的高速发展及应用，网络结构的复杂化、数据的多元化以及网络协议的多样化，使得多层面、多形式的网络安全风险随之加剧。网络攻击行为日渐向着分布化、规模化、复杂化等趋势发展。传统的入侵检测系统、防火墙等网络安全防御手段已经不能满足现在高速、智能、多源的网络安全需求，需要更加先进、优化的技术手段和方式方法去防范网络安全事件的发生。
[0003]1999年，Bass等人首次提出了网络安全态势感知(Network Security Situation Awareness，NSSA)的概念。安全态势感知最早运用于例如航空和军事领域，用以快速决策和处理复杂的航空和军事事件等，后来被研究者广泛运用于民用领域，如网络安全领域。研究者们发现安全态势感知不仅可以进行网络安全态势评估，也可以用来进行网络安全态势预测，使原来的被动防御变为主动防御，能够很大程度上解决网络安全的防御问题，因此成为了当下的热点研究方向之一。
[0004]在网络安全深度检测及态势感知方面，在大规模网络安全态势预测的场景下，由于未知的变化因素较多，导致对当前或未来的安全态势数值的预测难度较大。众多科研单位和企业等往往各自具有不同的预测模型。例如在常见的对DDOS(Distributed Denial of Service Attack，分布式拒绝服务攻击)攻击流量进行预测的情况下，可以采用如线性回归模型、决策树模型、局部加权线性回归模型等多种预测模型。然而，一种预测模型在不同时间窗口下通常有不同的表现，预测准确度(以例如均方误差MSE(Mean Square Error)为指标)会随着时间窗口的改变而发生波动，呈现“时好时坏”的状况。多种预测模型在相同时间窗口下的表现往往也呈现较大差异，多种预测模型中的各个预测模型的预测准确性的排名也会随着时间窗口的变动而发生变动。研究人员在对包括例如线性回归模型、决策树模型和局部加权线性回归模型等的多种预测模型的预测结果进行评价时发现，随着时间窗口的变动，其中的任意一种预测模型的预测准确性都有可能会排名第一，也有时会排名最后。
[0005]由于在不同的时间窗口下，不同预测模型的表现各有优劣，难以长期固定地选择，因此研究人员考虑将多种预测模型进行组合，对各个预测模型附加模型系数，从而对各个预测模型的预测结果进行加权之后得到组合后的最终预测结果。但是，这样的一次性人为设置静态权重，组合后的模型的整体表现依然呈现“随机”状况，在一定时间周期内，有的子模型表现优异，另一些子模型表现不佳，预测准确性依然呈现波动态势，特定情况下甚至可能出现震荡，总体表现依然会不稳定而动态变化。
[0006]为解决如上述人为一次性静态配置那样的静态管理子模型所带来的组合模型整体表现不稳定的问题，研究人员进一步考虑每经过一定时间周期对组合模型中的各个子模型的模型系数进行人工干预加权调整。然而，这样的方式更新时间周期较长，往往需要依赖
较长时间窗口的离线训练分析，效率低下且耗费较大的存储和运算资源，无法高效且及时地提升组合预测模型整体的预测表现。
[0007]在网络安全态势感知领域，针对上述那样的组合预测模型，如何根据各个模型的最近表现来灵活调整各自权重以提升整体预测准确度，即如何实现自适应网络安全态势预测，业内目前尚在探索之中。

技术实现思路

[0008]针对现有网络安全态势预测方法中静态配置和调整组合预测模型时准确性和效率较低、无法适应动态多变的网络安全需求的技术问题，本公开的目的在于提出一种针对组合预测模型的自适应网络安全态势预测方法，以滑动时间窗口机制，利用预测误差评价手段，对各模型的预测精度进行动态监控；根据监控结果，实现对各预测模型权重的自适应调整，最终提升组合预测模型整体对态势预测的准确性。
[0009]在下文中给出了关于本公开的简要概述，以便提供关于本公开的一些方面的基本理解。但是，应当理解，这个概述并不是关于本公开的穷举性概述。它并不是意图用来确定本公开的关键性部分或重要部分，也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念，以此作为稍后给出的更详细描述的前序。
[0010]根据本公开的一个方面，提供一种针对组合预测模型的自适应网络安全态势预测方法，该方法可以包括：子模型训练步骤，从用于自适应安全态势预测的训练数据集中提取用于训练的时间周期中的m个数据序列，利用梯度下降算法训练出作为组合预测模型的构成要素的n个不同的子模型M
i
，以均方误差MSE作为损失函数，其中m和n为自然数且m≥7，n≥3，i∈[1,...,n]；初始权重赋值步骤，针对每个子模型M
i
分别进行初始权重赋值；子模型在线预测步骤，对每个子模型M
i
的预测结果加权求和，输出当次对于网络安全态势预测的最终结果；子模型预测结果评价步骤，在用于评价的时间周期中，对每个子模型M
i
评价其预测结果的准确性；以及自适应权重调整步骤，利用在所述子模型预测结果评价步骤中的评价结果，对每个子模型M
i
的权重进行自适应调整。
[0011]根据本公开的另一个方面，提供一种基于组合预测模型的自适应网络安全态势预测装置，该装置可以包括：存储器，其上存储有指令；以及处理器，被配置为执行存储在所述存储器上的指令，以执行本公开的上述方面所述的针对组合预测模型的自适应网络安全态势预测方法。
[0012]根据本公开的又一个方面，提供一种计算机可读存储介质，其可以包括计算机可执行指令，所述计算机可执行指令在由一个或多个处理器执行时，使得所述一个或多个处理器执行根据本公开的上述方面所述的针对组合预测模型的自适应网络安全态势预测方法。
[0013]根据本公开的再一个方面，提供一种计算机程序产品，其包括计算机程序/指令，其特征在于，该计算机程序/指令被处理器执行时实现根据本公开的上述方面所述的针对组合预测模型的自适应网络安全态势预测方法的步骤。
[0014]根据本公开的针对组合预测模型的自适应网络安全态势预测方法，能够根据实际运行效果对组合预测模型中的各个子模型进行快速权重自动调整，使得组合预测模型整体无需人工干预，在自动运行一段时间后能够自动调整各个子模型的权重，从而有效提升组
合预测模型对整体态势预测的准确性。
附图说明
[0015]构成说明书的一部分的附图描述了本公开的实施例，并且连同说明书一起用于解释本公开的原理。
[0016]参照附图，根据下面的详细描述，可以更清楚地理解本公开，其中：
[0017]图1示出了根据本公开的实施例的针对组合预测模型的自适应网络安全态势预测方法100的示例性流程图；
[0018]图2示出了可以实现本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于组合预测模型的自适应网络安全态势预测方法，该方法包括：子模型训练步骤，从用于自适应安全态势预测的训练数据集中提取用于训练的时间周期中的m个数据序列，利用梯度下降算法训练出作为组合预测模型的构成要素的n个不同的子模型M
i
，以均方误差MSE作为损失函数，其中m和n为自然数且m≥7，n≥3，i∈[1,...,n]；初始权重赋值步骤，针对每个子模型M
i
分别进行初始权重赋值；子模型在线预测步骤，对每个子模型M
i
的预测结果加权求和，输出当次对于网络安全态势预测的最终结果；子模型预测结果评价步骤，在用于评价的时间周期中，对每个子模型M
i
评价其预测结果的准确性；以及自适应权重调整步骤，利用在所述子模型预测结果评价步骤中的评价结果，对每个子模型M
i
的权重进行自适应调整。2.根据权利要求1所述的基于组合预测模型的自适应网络安全态势预测方法，其中，在所述初始权重赋值步骤中，对训练出的n个子模型中的每个子模型M
i
的均方误差MSE
i
求算术平均，作为n个子模型的平均均方误差MSE0，针对每个子模型M
i
，计算在组合预测模型中的模型系数为计算每个子模型M
i
的初始权重为其中当完成初始权重赋值步骤后，在所述子模型在线预测步骤中，当子模型M
i
对于网络安全态势的预测结果为p
i
时，组合预测模型对于网络安全态势的当次最终预测结果为3.根据权利要求1所述的基于组合预测模型的自适应网络安全态势预测方法，其中，在所述子模型预测结果评价步骤中，设为用于评价的预定时间周期中有q次预测结果和实际结果，每个子模型M
i
的第k次预测结果Y
′
i,k
与实际结果Y
i,k
的差值为|Y
i,k
‑
Y
′
i,k
|，其中q和k为自然数且q≥m，k∈[1,...,q]，利用模型偏离度计算方法，计算预定时间周期中n个子模型的平均差值为计算各个子模型M
i
在预定时间周期中的模型偏离度为4.根据权利要求3所述的基于组合预测模型的自适应网络安全态势预测方法，其中，在所述自适应权重调整步骤中，根据模型偏离度计算方法，基于在所述子模型预测结果评价步骤中计算出的各个子模型M
i
在预定时间周期中的模型偏离度ΔY
i
，来计算每个子模型M
i...

【专利技术属性】
技术研发人员：田云帆，汪来富，张静静，杨天路，陈茂飞，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：