T门

第40卷第2期

2021年2月

绵阳师范学院学报

Journalof

MianyangTeachers'College

Vol.40No.2

Feb.2021

D01：10.16276/51-1670/g.2021.02.015

一种新型带门限回归单元

循环神经网络的信息安全评估算法

魏明桦

(福州职业技术学院信息技术工程系，福建福州350108)

摘要：目的：

针对现有信息安全评估算法的准确性和鲁棒性不足，以及评估效率的低下

，本文提出一种新型

带门限回归单元的循环神经网络(GRU-RNN)信息安全评估算法.方法:该算法首先提取信息安全评估中的内外

安全态势特征，然后将特征应用至GRU-RNN时间序列分析网络中，

通过对该时间序列分析网络模型的训练和交

叉验证，

完成对网络信息安全的评估.结果:在林肯实验室的DARPA数据集上进行仿真实验，相比于传统网络安

全评估算法，本文提出算法获得了更高的评估准确率和鲁棒性.冬管GRU-RNN模型需要更多的训练时间，但是

能够保证更好的评估结果，

并且适合不稳定的信息安全数据评估.结论:本文提出的内外安全态势特征能够很好

的描述时间序列数据中的信息安全特性，并且应用GRU-RNN模型能够应对非平稳数据，同时提升了信息安全评

估的准确率与鲁棒性.

关键词：内外安全态势；时间序列分析；信息安全评估

；门限回归单元；循环神经网络

中图分类号：TN914金银花的副作用 文献标志码

：A文章编号：1672-612X(2021)02-0075-06

0前言

最早关于网络信息安全评估的工作为网络安全要素分析，通过邀请专家打分、评判获取初级安全要素,

然后采用聚类等手段分离程度偏大的专家评判结果剔除，再将剩下的有意义的评判结果通过求解平均值给

出结果⑶•相比于网络安全要素的数据分析和预测，网络信息安全评估是针对网络整体安全状况而言，通过

感知网络整体中的安全要素的有效组合,挖掘各种网络安全要素的内在联系,对网络安全的保持有重要的意

义.安全态势预测旨在通过构建安全态势评估模型和方法，来对将来的安全态势进行预测的方法.随着人

们对网络信息安全的关注程度不断升高,网络信息安全评估应同时包含当前的和历史上的专家评估意见.

为建立合理的历史网络安全要素，一些研究者采用Markov随机链⑷对时序数据处理,形成信息安全评估模

型，完善了基于模型的信息安全评估方法•然而,Markov随机链对局部网络安全问题求解效果良好，但并未

考虑全局的网络安全要素•为了同时考虑局部和全局网络安全要素，大量机器学习的算法应用至网络安全

要素分析之中*句，包括BP神经网络、支持向量回归以及以粒子群为代表的群体智能算法等，在不同网络安

全数据中,均取得了不错的效果•虽然现有模型对网络信息安全评估在一定程度上取得了不错的进展，

但是

现有方法还存在以下关键问题亟待解决⑺:

(1)现有方法一般从数据层面入手提取关键特征再进行模式识别形成网络安全预测结果，实际上数据

层面属于外部安全态势特征，而网络安全要素之间是相互关联的，所以需要提取其内外关联的安全态势特

征，才能够对复杂的网络结构进行安全预测；

(2)现有方法均为面向简单网络结构的安全预测，这些方法针对复杂网络结构会出现鲁棒性降低，预测

准确率降低等问题，浅层机器学习模型对更复杂的网络数据学习能力较差，需要采用更为复杂的深度神经网

络对安全预测问题进行构建.

针对上述问题，本文提出一种结合内外安全态势特征与循环神经网络的网络安全态势预测算法,该算法

收稿日期:2020-05-05

基金项目：福建省教育厅中青年教师教育科研项目：(JAT171070).

作者简介:魏明桦(1980-),男，福建福州人，副教授

，博士，研究方向:人工智能、神经网络算法.

•75•

绵阳师范学院学报(自然科学版)

首先对网络时间序列数据进行内外安全态势的特征提取，再将二者联合起来作为安全预测特征,输入至

RNN中进行训练，并通过时序误差反向传播算法(BPTT)对RNN进行训练，经过迭代优化后,能够对网络安

全态势作出准确预测，且该模型对复杂网络结构也有较好的结果•

1内外安全态势特征提取

11安全态势的定义

定义1：一般情况下,网络安全态势Gsa可以通过在网络上存在的主机定义，所有主机在某个时刻t的安

全态势Hsa加权获得总体的网络安全态势•该网络安全态势可以通过离散化为五个层级.

定义2：组成网络安全态势的主机安全态势主要包括三种主机态势，其一是基础运行的主机r，其二是

脆弱运行的主机u,其三则是遭到威胁运行的主机F.三种类型的主机安全态势通过加权获取主机安全态

势

定义3：基础运行的主机通过基础运

行指数Ir加权获得,脆弱运行的主机通过

脆弱运行指数Iv加权获得,受威胁运行的

主机通过受威胁运行指数IF加权获得■

网络安全态势可观测指标是预测的基

础，并且是外部可以用于观测的信息来源.

在本文的信息安全评估需要建立一套合

理、

科学的可观测指标体系

，充分利用多

源异构信息源，并且能够全面评价预测当

前网络的整体安全性能.网络安全态势可

观测指标体系及预测架构如图1所示•

Obrvableindexes

图1网络安全态势可观测指标体系及预测架构

rkcuritysituationobrvable

indexsystemandpredictionarchitecture

1.2内外安全态势特征提取

本文对网络安全态势预测提取的特征为内外结合特征囲，分别是内部安全指标Safety,外部安全指标

指标强调网络系统中各个服务器

、终端自身的可靠性，采用IP层的数据变化量来量化;Secur-

ity指标则强调对于外界攻击的防护水平，采用攻击频率与协议数据包所占比例共同量化•

Safety指标随着时间变化的影响因子定义如下：

N

IPt=^IPdatan(1)

n=1

IP-

Safety=x100%

(2)

其中,IPd砒j表示第n层的IP数据量,N为IP诊字节总数.

Security指标随着时间变化的影响因子定义如下:

N

匕=》(2仏=會)(3)

7=1

N

X,=P,/^PtX100%(4)

t=l

Security,=[Yi,Xt~(5)

其中，D={0,。2,...,殳}表示检测到的外部攻击数据包集合，DS为D中攻击类型字段，S=

{St,S2,S”}表示m种攻击类型的总集合，乙为攻击S：的数量.P=

{P1,P2三毛作家 ,P”}表示n种协议的数据

总量，X,为在t时刻上的协议占比比例•

最终,内外安全态势值S,由内部态势值Safety与外部态势值Security的和组成

：

S,=[Safety^Security,](6)

•76•

魏明桦:一种新型带门限回归单元循环神经网络的信息安全评估算法

根据上述定义可知，内外安全态势值s由3维变量组成，

假设时间长度为T,则该特征的维度为SwR3xT,

该特征属于时间序列特征，由于在提取特征过程中不同对象常常拥有不同的量纲和物理意义,所以在构建深

度学习模型之前需要对内外安全态势评估指标进行归一化处理,将每一个维度的特征数据归一化至[0,1]

范围内，下式给出了归一化的过程：

s：=Si~5min(7)

tt、丿

$maxSmin

其中，s：表示第i个维度的特征值，表示该维度特征值的最小值，s爲表示该维度特征值的最大值-

2基于循环神经网络的信息安全评估预测

2.1RNN网络结构

在特征提取完成后，一般采用各种机器学习模型对提取到的特征进行建模，

再使用构建的模型进行后续

网络数据的网络信息安全评估■当前最常用的学习模型包括BP神经网络、PSO优化算法、SVM分类器等方

法,随着信息现代化的不断进行，传统浅层模型已经逐渐不能满足网络信息安全评估的需要•深度学习是在

浅层学习模型基础上的更深层次的研究，近年来对机器学习和模式识别的影响较大.卷积神经网络

(CNN)、循环神经网络(RNN)、深度信念网络(DBN)是现有的三种主流深度神经网络模型⑼，通常情况下,

CNN用于处理空间分辨率较高的数据,RNN用于处理时间分辨率较高的数据,DBN则用于无监督学习提取

数据的本质特征•

本文提取到的内外安全态势特征属于时间序列数据，在处理上可以采用RNN模型，该模型能够根据时

间序列数据,逐步提取出网络数据中最本质的特征用于网络安全预测，鲁棒性更高-

RNN网络由输入层、隐含层和输Outputlayer

出层组成，网络的层数与时间上的采

样点数相同，各层的隐含层之间使用Hiddenlayer

权重相连，相互之间传递信息，所以

对时间序列特征的处理效果良好,通Inputlayer

过计算前后时间之间的关系，有效提

取时间前后之间的相关性，挖掘出特

征随着时间变化的关键特征,对未来

时间的预测有较好的效果3〕.图2Fig.

给出了常见的基本RNN网络架构.

ThelengthofInternalandexternalinformation

featuresovertime

图2基本的循环神经网络架构

Basicrecurrentneuralnetworkarchitecture

2.2GRU记忆单元

传统RNN网络的隐含层信息传递几乎贯穿整个网络，随着时间的推移其梯度会逐渐消失或呈指数增

大，这将导致误差反向传播无法继续进行，误差无法传递至RNN前端部分⑴〕.为了克服该缺陷，需要对隐

含层之间的信息传递作出限制,一般采用GRU单元结构,该单元结构使用T门结构对信息传播作出限制,能

够保证在误差反向传播过程中能够保留住误差,进而对网络的权重完成更新•GRU单元是在LSTM单元的

基础上形成的简化结构，能够在每个循环单元中自适应的获得不同时间尺度的依赖，继而保证误差反向传播

过程中的梯度，与LSTM不同之处在,GRU在单元中构造了retgate和updategate获得时间依赖保证梯度

有效性，且采用候选输出与上一次输出的加权结果构造输出，从图4的GRU单元结构中可以看出，GRU需

要如下的组合函数实现：

更新门：z,=bg+U扎J(8)

重置门：r,=a(Wtx,+(9)

记忆单元：ht=tanh(Wx,+(10)

隐含状态：ft,=(1+ztht(11)

•77•

绵阳师范学院学报(自然科学版)

其中，力表示时间序列，下标r,u分别表示retgate和update

gate,下标c表示cellunit,即GRU的状态，K,H分别表示输入层、隐藏

层的神经元个数，3分别表示各层与各gate之间的权重,例如，必表

示输入层到retgate之间的权重•xk表示t时刻的输入信息，b；'表

示t-1时刻隐层通过循环传递到的t时刻的信息，s：表示cellunit在

t时刻的状态，眄表示的结果使用/函数,cellunit的输

入激活使用g函数.

3仿真实验与结果分析

3.1数据集与初始化

在本文中,实验数采用麻省理工林肯实验室的DARPA

数据安全数据集［⑷，该数据集包含了网络边界和网络内

资产分布状态，还有USTAT主机IDS给出的网络警报信

息,可以用于提取网络信息安全评估的特征.下图4给

出了MITDARPA数据集构成的网络拓扑结构图,该数据

集中主要包括三种主要业务，分别是互联网业务、文件传

输业务和邮件业务,各个服务器与终端也在图中标示出

来,该数据集给出了数量较多的攻防模拟场景，为了简化

攻防的常见,特选出以下攻击步骤作为网络信息安全评

估步骤：

(1)普通终端在整个过程中一直进行Web,File图4

Transfer和Mail业务；

(2)使用SQL注入漏洞攻击172.16.112.10服务器

(3)使用UDP泛洪攻击172.16.112.100服务器

图3门限回归记忆单元结构图

Fig.3Structureofthreshold

MITDARPA数据集构成的网络拓扑结构图

Fig.4Networktopologyof

MITDARPAdatat

(4)使用蠕虫病毒攻击172.1女裙英语怎么读 6.112.50服务器

根据攻击场景的设定，记录下路由器的Snort攻击信息,Netflow

数据流信息以及其他终端的Nessus漏洞扫描信息，一共给出1000

个样本，每个样本的时间点采样长度为512个.然后根据上述定义

的内外网络信息安全评估特征提取方法提取到稳定特征，并将其中

90%的数据作为训练数据,10%的数据作为验证数据,再将训练数

据输入至带GRU记忆结构单元的RNN网络中，经过BPTT算法不

断迭代，最终形成一个收敛的深度预测模型,

再使用验证数据进行

网络信息安全评估的验证•

3.2实验结果与分析Numberofiterations

为了验证本文提出的网络信息安全评估的性能和时间复杂度，

我们将RNN模型分别于FWNN,PS0和GA-SVM等浅层模型进行

了对比•在RNN模型中分别比较了三种单元，tanH,LSTM和

GRU.图5给出了三种不同单元的RNN在随着迭代次数增加的时候

的平均误差结果曲线•表1则给出了6种不同模型在信息安全评估

图5三种不同RNN模型的迭代

次数与均方误差的曲线图

Fig.5Thecurveofiterationtimes

andmeansquar死的光荣 eerrorofthree

differentRNNmodels

过程中的训练和验证时的时间复杂度•

从图5中的结果可以看出，随着迭代次数的增力0,GRU单元获得了最小的平均误差.收敛到的0.1的误

差时,GRU使用了最小的迭代次数和最小的时间复杂度•从表1的结果可以看出，GRU比tanH和LSTM拥

有更好的性能高.时间复杂度的结果可以看出GRU-RNN(198.35ms),比tanH-RNNs(214.34ms)和

・78・

魏明桦:一种新型带门限回归单元循环神经网络的信息安全评估算法

LSTM-RNNs

(248.11ms)稍微慢一些.但是比三种传统浅层模型都快FWNN(233.23

ms),PSO(232.42ms)

和GA-SVM(268.43ms).

表1不同算法的信息安全评估训练和验证时间复杂度

omplexityofinfonnationcurityasssmenttraining

andverificationfordifferentalgorithms

本文提出算法传统算法

Tanh-RNN

LSTM-RNN

GRU-RNNFWNNPSO

GA-SVM

训练/S

1

647.262198.481598.382167.392983.231

874.34

验ffi/s

214.34

24&1119&35

233.23

232.42

268.43

因为从原始数据中收集到的内外安全态势特征是时间序列数据

，更适合使用深度RNN模型来处理这类

数据-使用RNN模型处理的效果好于传统的浅层模型

.表3中的结果显示出了,重点样本表示的是整个网络

中危险系数最高的地方，一个算法评估网络信息安全重要的是分析这些重点样本的安全性评估.从表2中的

重点样本的检测来看，深度RNN模型获得了最稳定、鲁棒性的重点样本检测结果

，比浅层模型效果好•GRU

-RNN获得了最好的重点样本检测结果，与真实结果相比最接近•

众所周知，深度模型卷积神经网络(CNN)和循环神经网络(RNN)在预测回归和分类上已经被广泛运用•

因为信息安全评估问题处理的是时间序列数据，这些数据包含有时域特征，该特征很难使用CNN模型提取.为

了验证RNN模型更适合于提取这类特征，第三个对比实验时比较CNN和RNN,采用序列上的典型样本.平均

的预测结果和方差通过统计模型计算,方差分析用于检测两个模型之间是否存在显著性差异.表3中给出了

对比结果•

表2关键威胁点样本的信息安全评估算法对比结果

Tab.2Comparisonresultsofinformationcurityasssmentalgorithmsforkeythreatpointsamples

本文提出算法

传统算法

关键威胁点Tanh-RNN

LSTM-RNNGRU-RNNFWNNPSOGA-SVM

130.730.750.76

0.67

0.76

0.74

25

0.720.770.78

0.51

0.680.72

350.75

0.730.73

0.66

0.77

0.66

390.640.660.650.490.590.68

460.680.690.68

0.38

0.68

0.73

590.830.820.830.790.840.89

670.880.870.900.580.960.98

860.840.890.870.480.720.74

930.590.660.680.660.780.68

1000.680.670.660.580.760.92

表3CNN以及GRU-RNN在关键威胁点评估的平均值、方差以及显著性对比

Tab.3Comparisonofmeanvalue,varianceandsignificanceofCNN

andgrumnincriticalthreatpointasssment

关键威胁点卷积神经网络

本文提出算法

显著性

13

0.73(0.13)0.76(0.31)

P

=0.42

25

0.55(0.21)0.78(0.24)

P<0.01

35

0.58(0.29)0.73(0.18)

P<0.01

39

0.46(0.26)0.65(0.11)

P<0.01

46

0.55(0.16)0.68(0.19)

P<0.01

59

0.81(0.07)0.83(0.08)

P

=0.37

67

0.68(0.13)0.90(0.03)

P<0.01

86

0.84(0.09)0.87(0.06)

P

=0.38

93

0.46(0.19)0.68(0.13)

P<0.01

100

0.54(0.16)0.66(0.12)

P<0.01

从表3中的对比结果可以看出,在关键点上有70%的是GRU-RNN模型超过CNN模型，也就是说GRU

・79・

绵阳师范学院学报(自然科学版)

-RNN比CNN的模型在预测性能上来说好很多,并且在鲁棒性上也比CNN模型要好.GRU-RNN模型提取

到了时间域上的特征，这些特征更好的用于时间序列数据的信息安全评估.

根据实验结果的对比分析，可以得到如下三个结论:

(1)在关键威胁点的检测上，内外安全态势预测值能够更好的把握住网络态势预测的内在特征，且RNN

深度模型与传统浅层模型相比，能够获得更精确、更鲁棒的威胁检测结果•深度模型在网络信息安全评估上

是可行的•

(2)在整体的检测上,RNN深度模型的均方误差更低,对整体的检测优于浅层模型,但是深度模型的层

数较多，需要花大量时间进行迭代、优化、计算，所以RNN深度模型的时间复杂度更高，这主要由深度模型的

特性决定的■

(3)深度模型在分类精度上效果更好,由于深度模型拥有更多的隐含层，所以在训练上所需要的时间复

杂度更高.然而,复杂度的消耗都是由于深度模型的特性造成的.

4结束语

计算网络和大数据飞速发展的背后，网络安全问题逐渐成为人们关注的焦点.在网络安全问题中，信息

安全评估是当前最重要的问题之一.本文通过深入研究现阶段信息安全评估研究对象，以及常用的研究方

法，并分析出现阶段网络安全态势研究不足之处■针对现阶段浅层模型对网络复杂度的分析不足，提出一种

结合内外安全态势特征值与GRU-RNN深度模型对信息安全进行评估.在公开数据集的测试上发现,GRU-

RNN深度模型能够获得更精确、更鲁棒的关键威胁点预测，并在全局的预测上与浅层模型相比获得了最小

的均方误差结果•GRU-RNN深度模型虽然在迭代中需要消耗更多的时间，

但是能够一定程度保证精确度的

鲁棒,在网络安全态势预测上有较强的实践意义.今后的工作包括构建隐含层更多的深度更深的深度模型,

用于处理更大量的网络安全态势数据.

参考文献：

[1]部金丽.计算机网络信息安全防护策略及评估算法[J]•计算机产品与流通,2020(05)：8&

[2]任剑锋，叶春明.嵌入指针网络的深度循环神经网络模型求解作业车间调度问题[J/OL].计算机应用研究：1-6：2020-04

-27],/10.19734/.1001-3695.2019浑然一体 .10.0602.

[3]罗新宇，段斌，

吴俊锋，赖俊.基于证据推理的风电场SCADA系统安全脆弱性定量评估方法[J/OL].电力系统自动化：1-

9[2020-04-27

]./kcms/detail/.20200416.164&.

[4]FarzandipourMehrdad,Meidani

Zahra,NabovatiEhsan,SadeqiJabaliMonireh,DehghanBanadaki

calrequire

mentsframeworkofhospitalinformationsystems:designandevaluation.[J].BMC

medicalinformaticsanddecision

making,

2020,20:1-10.

[5]高亚楠，刘丰

，陈永刚.信息安全风险管理标准体系研究[J].信息安全研究,2018,4(

10):928-933.

[6]张益,霍珊珊，刘美静.信息安全风险评估实施模型研究[J].信息安全研究,2018,4(10):934-939.

[7]陈星宇,陈焕燮,汪灿,匡海峰.基于BP神经网络的信息安全风险评估研究[J].信息通信,2018(04):165-166.

[8]ectivenessofHealthCareInformationTechnologies:Evaluation

ofTrust,SecurityBeliefs,and

Pri

vacyasDeterminantsofHealth

CareOutcomes[J].Journalofmedical

Internetrearch,2018,20(4)：el07(1-13).

[9]刘佳杰，孙英明，王敏锋，张志峰.银行业境外机构信息安全风险评估方法研究与实践[J]冲国金融电脑,2018(03)：62-67,

[10]吴文刚，张志文，王庆生.基于模糊综合评判和AHP信息安全风险评估模型[J].重庆理工大学学报(自然科学),2017,31

(07)：156-161.

[11]金力，谭红春,丁大为，方芳，

阚红星.基于改进证据理论的信息安全风险评估模型[J].重庆理工大学学报(自然科学)，

2017,31(05):119-124.

(下转第87页)

•80•

杨平，等:机器人路径规划的遗传算法求解策略分析

AnalysisofSolvingStrategyofGenetic

AlgorithmforRobotRoutePlanning

YANGPing1,TANDaHun1

2

(of

Mathematics

and

Information,ChinaWestNormal

University

,Nanchong,

Sichuan637009；ute

ofcomputing

Method

andApplicationSoftware,ChinaWestNormalUniversity

,Nanchong,

Sichuan

637009)

Abstract:Forsolvingtherobotroute

planningproblemwithobstaclesbythe

geneticalgorithm,differentge

ore,fourtestscenarioswith

different

obstaclesinthe

lesarelectedfromrectangles,

circles

andtheirmixed

hesameex

perimentalparameters

,thethreelectionstrategies

ofroulette

wheel

lection,emperorlection

andtournament

lection

areudtosolve.

Afterrepeatedexperiments,

themeanandstandarddeviationoftheshortestpathlengths

arecounted.

Theresultsshowthatthemeanandstandarddeviationoftheshortestpathlengthsobtainedbythetour

nament

lectionaresmallerthantho

ore,

thetournament

lectionhasbetterperform

anceinsolvingsuchproblems.

Keywords:geneticalgorithm,robotrouteplanning,

roulettewheellection,emperorlection,tournament

lection

(责任编辑:陈英)

(上接第80页)

ANewInformationSec自信小故事 urityEvaluation

AlgorithmBadonRecurrentNeural

WEIMinghua

(Departmentofinformationtechnology

engineering,FuzhouPolytechnic,Fuzhou,Fujian350108)

Abstract:Object：Inviewofthelackofaccuracy

androbustnessoftheexistinginformationcurityasss

mentalgorithms,andthelowefficiencyoftheasssment,

thispaperpropos

anewinformationcurityasss

mentalgorithmwithgatedrecurrentunit(GRU-RNN).Method:Thealgorithmfirstextractsthe

internalandexter

nalcuritysituation

features

ofinformationcurityasssment,andthenappliesthefeatures

toGRU-RNNtime

riesanalysis

hthetrainingandcrossvalidationofthetimeriesanalysisnetworkmodel,

thenet

s:ThesimulationexperimentwascarriedoutonDARPA

edwiththetraditionalnetworkcurityevaluationalgorithm,thealgorithm

propodinthispaperhashigher

ghGRU-RNNmodelneedsmoretrain

ingtime,itcanensurebetterevaluationresultsandissuitableforunstableinformationcuritydataevaluation.

Conclusion:Theinternalandexternalcuritysituationfeaturespropodinthispapercanwelldescribetheinfor

mationcurityfeaturesintimeries

data,andtheapplication

of

GRU-RNNmodelcandealwithnon-stationary

data,

whileimprovingtheaccuracyandrobustnessofinformationcurityasssment.

Keywords:internalandexternalinformationfeatures,

time-riesdataprocessing,informationcurity

evalua

tion,gatedrecurrentunit,

recurrentneuralnetwork

(责任编辑:陈英)师徒结对协议书

•87•