支持向量机在网络安全风险评估课件

《支持向量机在网络安全风险评估课件》由会员分享，可在线阅读，更多相关《支持向量机在网络安全风险评估课件（81页珍藏版）》请在装配图网上搜索。

1、1 1第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用第5章 支持向量机在网络安全风险 评估和态势预测中的应用5.1 网络安全风险评估和态势预测概述5.2 支持向量机应用于网络安全风险评估和 态势预测的可行性5.3 基于支持向量机的网络安全风险评估方法5.4 基于支持向量机的网络态势预测方法5.5 小结2 2第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用 5.1 网络安全风险评估和态势预测概述5.1.1 网络安全风险评估基础理论及研究现状定义5.1.1 (网络安全风险评估)

2、网络安全风险评估是指依据国家有关网络信息安全技术标准，对网络信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。3 3第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用网络安全风险评估要评估网络信息系统的脆弱性、面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别网络信息系统的安全风险。根据评估结果，提出有效的安全措施，消除风险或将风险降低到最低程度。网络安全风险要素关系模型如图5.1.1所示，其基本概念及其他们之间的关系如下110。4 4第第 5

3、 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用图5.1.1 风险评估各要素关系图5 5第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用(1)威胁(Threat)：就是可能对资产或组织造成损害的意外事件的潜在原因，风险评估关心的是威胁发生的可能性。(2)脆弱性(Vulnerability)：也被称做漏洞，即资产或资产组中存在的可被威胁利用的缺点，脆弱性本身并不能构成伤害，但脆弱性一旦被威胁利用，就可能对资产造成损害。(3)风险(Risk)：是指特定威胁利用资产的脆弱性带来损害的潜在可

4、能性。风险是威胁事件发生的可能性与影响综合作用的结果。(4)资产(Assess)：是指任何对组织有价值的东西，包括计算机硬件、通信设施、数据库、文档信息、软件、信息服务和人员等。6 6第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用(5)资产价值(Assess Value)：是指资产的重要程度和敏感程度，资产价值是资产的属性，也是进行资产评估的具体内容。(6)安全需求(Security requirement)：是指为保证单位的业务战略能够正常行使，在信息安全保障措施方面提出的要求。(7)安全措施(Safeguard)：是指为了对付威

5、胁、减少脆弱性、保护资产、限制意外事件的影响、检测和响应意外事件、促进灾难恢复和打击信息犯罪而实施的各种事件、规程和机制的总称。(8)安全事件(Security incident)：是指威胁主体能够产生威胁，并利用资产及其安全措施的脆弱性，产生安全危害的情况。7 7第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用(9)残余风险(Residual risk)：是指采取安全防护措施，提高了防护能力后，仍然可能存在的风险。(10)业务战略(Bussness strategy)：是指一个组织通过信息技术手段实现的工作任务。一个单位的业务战略对

6、信息系统的依赖程度越高，风险评估的任务就越重要。8 8第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用风险评估各要素之间的关系如下：(1)业务战略依赖于资产去完成；资产具有价值，单位的业务战略越重要，对资产的依赖程度越高，资产的价值就越大，则风险越大。(2)风险是由威胁发起的，威胁越大则风险越大，并可能演变成安全事件；威胁都要利用脆弱性来危害资产，脆弱性使资产暴露，脆弱性越大则风险越大。(3)资产的重要性和对风险的意识会导出安全需求，安全需求通过安全措施来得到满足；安全措施可以抗击威胁，降低风险，减弱安全事件的影响。9 9第第 5 章

7、章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用(4)风险不可能也没有必要降低为零，在实施了安全措施后还会有残留下来的风险，其中一部分残余风险来自于安全措施不当或无效，在以后需要继续控制这部分风险；另一部分是综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分风险是可以接受的。残余风险应受到密切监视，因为它可能会在将来诱发新的安全事件。风险计算模型是对通过风险分析计算风险值的过程的抽象，它主要包括资产评估、威胁评估、脆弱性评估以及风险分析，如图5.1.2所示。10 10第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量

8、机在网络安全风险评估和态势预测中的应用图5.1.2 风险计算模型11 11第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用风险计算模型包含信息资产、弱点/脆弱性等关键要素。每个要素有各自的属性。信息资产的属性是资产价值；弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度；威胁的属性是威胁发生的可能性。风险计算的过程如下：(1)对信息资产进行识别，并对资产赋值；(2)对威胁进行分析，并对威胁发生的可能性赋值；(3)识别信息资产的脆弱性，并对弱点的严重程度赋值；(4)根据威胁和脆弱性计算安全事件发生的可能性；(5)结合信息资产的重要性

9、和在此资产上发生安全事件的可能性计算信息资产的风险值。12 12第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用通过对现有网络安全评估系统的研究，网络安全评估技术可进行如下划分111：(1)根据评估对象分为漏洞、威胁和资产评估。其中，资产评估从资产价值的角度评估系统中所有信息资产，找出哪些资产对系统的各种功能实现最重要，哪些资产最容易受到攻击，哪些资产值得采取安全措施。资产评估根据资产安全属性的输入，按照资产评估模型，得到资产的安全价值，用来确定评估对象，是威胁评估和漏洞评估的基础；漏洞评估主要是检测、评估影响系统安全的内部因素；威胁

10、评估分析外部事件对系统安全的影响。13 13第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用(2)依据运行方式分为基于单机系统、基于客户端、网络探测型和管理者/代理型评估软件。最早的安全评估工具是基于单机系统的方法，如COPS、System Security Scanner(S3)；采用客户端方法的有Kane Security Analyst；网络探测型通过在系统外围进行扫描来发现漏洞，不需要进入到网络中不同的系统，比如Nessus；使用管理者/代理型方法的检测人员，只需一台控制器和管理者通信，管理者依次和网络中不同系统上运行的检测代

11、理通信。14 14第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用(3)按照评估目标分为主机、网络、应用系统和安全策略评估。其中，主机评估包括对用户、系统、网络服务的安全分析；网络评估涉及网络设备(如交换机、路由器)和网络拓扑结构(网络安全区域划分、访问控制策略、通信传输加密等)的评估；应用系统评估涉及到非附属于操作系统的软件产品(如数据库)的评估；安全策略评估针对软件的使用问题，涉及对象是操作系统提供的功能选项设置，如service pack and hotfix、帐户和审计策略等。15 15第第 5 章章 支持向量机在网络安全风险

12、评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用(4)根据相对位置分为在企业内运行评估软件的内部评估和模拟黑客的外部评估。(5)根据评估方法分为手动和自动评估。手动方法由评估人员根据经验，检查各种配置是否正确、补丁是否齐全等；自动评估使用评估软件，检查系统安全漏洞，且对系统资源的使用状况进行分析。(6)根据评估模式分为基于评估标准检查列表(checklist)的静态评估和基于系统配置/黑客行为改变的动态评估。16 16第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用在针对目标进行评估过程中，经常使用到的技术有如下两

13、大类：(1)从安全漏洞的角度进行网络安全评估，通过各种方法识别网络中存在的漏洞，然后给出相应的评估结果和解决方案，常用的手段有入侵测试、安全审计、主观评价法、工具扫描和顾问访谈等。我们分别使用属性综合评价系统理论和D-S证据理论对漏洞的静态严重性和动态严重性进行了评估112,113。17 17第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用(2)不依赖于安全漏洞的安全评估模型，建立量化脆弱性因素的评估指标，通过不同的数学模型对各量化指标进行融合分析，得出合理的评估结果，如应用AHP算法对目标网络进行安全评估、基于Bayes网络的安全评

14、估等。但是，在应用第2种方法的安全评估工作中，量化指标值的确定包含大量主观成分，过多依赖专家经验。目前应用的风险评估的方法很多，主要有事件树分析法114、故障树分析法115、层次分析法116、模糊综合评判法117，还有最近出现的神经网络评估方法118等。表5.1.1详细说明了各种方法的特点及其优缺点119。18 18第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用19 19第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用5.1.2 网络态势预测基础理论及研究现状定义5.1.2

15、 (网络态势)网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络的当前状态和变化趋势120。需要指出的是，态势是一种状态、一种趋势，是一个整体和全局的概念，任何单一的情况或状态都不能称之为态势。定义5.1.3 (网络态势预测)网络态势预测是指根据提取出的历史网络态势，预测未来网络态势的过程。2020第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用网络态势预测是网络态势感知的一个重要的组成部分，网络态势感知的定义如下：定义5.1.4 (网络态势感知)网络态势感知是指在大规模网络环境中，对能够引起网络态势发生变

16、化的安全要素进行获取、理解、显示以及预测未来的发展趋势120。1988年，Endsley在其文章中121把态势感知定义为“在一定的时空条件下，对环境因素的获取、理解以及对未来状态的预测”，整个态势感知过程可由如图5.1.3所示的三级模型直观地表示出来。网络态势评估和威胁评估分别是网络态势感知的两个环节，网络威胁评估建立在网络态势评估的基础之上。三者之间的关系如图5.1.4所示。21 21第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用图5.1.3态势感知的三级模型2222第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支

17、持向量机在网络安全风险评估和态势预测中的应用图5.1.4网络态势感知、态势评估与威胁评估关系图2323第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用网络态势评估包括态势元素提取、当前态势分析和态势预测几个部分，主要涵盖以下几个方面：(1)在一定的网络环境下，提取进行态势估计要考虑的各要素，为态势推理做好准备；(2)分析并确定事件发生的深层次原因，给出对所监控网络当前态势的理解或综合评价；(3)已知T时刻发生的事件，预测1T，2T，Tn时刻可能发生的事件，进而确定网络态势的发展趋势。(4)形成态势图。2424第第 5 章章 支持向量机

18、在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用 5.2 支持向量机应用于网络安全风险 评估和态势预测的可行性5.2.1 支持向量机应用于网络安全风险评估的可行性使用支持向量机对网络安全风险进行评估，主要基于如下原因132：(1)网络安全风险评估本质上属于有限样本(数据)的、非线性模式识别问题，支持向量机是专门针对有限样本情况的，它的目标是得到现有信息下的最优解而不仅仅是样本数趋向于无穷大时的最优解。2525第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用(2)风险评估追求的是在现有信息情况下的最优解

19、，支持向量机能将分类问题最终转化成一个二次寻优问题，从理论上将得到全局最优解，解决了在神经网络方法中无法避免得到局部极值的情况。(3)风险评估对问题解决方法的泛化能力以及简单性要求较高。支持向量机能将实际问题通过非线性变换转到高维特征空间，在高维空间中构造线性判别函数使得原始空间具有了非线性判别函数的功能，不仅保证了模型的推广能力，并且解决了维数灾难问题。2626第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用5.2.2 支持向量机应用于网络态势预测的可行性网络态势感知系统通过对提取的网络特征值进行综合计算得出定量描述的网络总体状态的

20、安全态势值，这是一个基于时间序列的数据集，基于该数据集的态势预测具有非线性关系和非正态分布的特性133。传统的预测方法如线性回归分析、灰色预测等算法可以预测一段时间内数据变化的大致趋势，但在处理具有非线性关系、非正态分布特性的网络态势值所形成的时间序列数据时，效果不理想。2727第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用5.3 基于支持向量机的网络安全 风险评估方法 5.3.1 基于二叉树的多类分类方法基于支持向量机的网络安全风险评估方法119利用基于二叉树的多分类方法。其基本原理为首先将所有类别分成两个子类，再将子类进一步划分

21、成两个次级子类，如此循环下去，直到所有的节点都只包含一个单独的类别为止，此节点也是二叉树中的叶子，这样就得到一个倒立的二叉分类树。二叉树相对于其他的多分类算法来说，结构简单，所需的SVM分类器个数较少，对于K类分类问题只需构造K1个SVM分类器，所以识别速度较快，是目前最先进的一种多分类方法。2828第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用先将网络的风险等级分为四级：分别为一级，二级，三级，四级，其中一级为最低风险等级，四级为最高风险等级。基于二叉树的多分类方法用SVM1将训练样本先分为两类(A，B)，利用SVM2将A类分为两

22、类(一级和二级)，利用SVM3将B类分为两类(三级和四级)，所以共需3个SVM就可以把网络的安全风险分为四个不同的等级，形成倒立的树状结构，如图5.3.1所示。2929第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用图5.3.1 基于二叉树的分类框3030第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用5.3.2 基于支持向量机的网络安全评估模型基于支持向量机的网络安全风险评估方法以LIBSVM为核心代码，以Microsoft VC+6.0作为开发工具，优化设计了SVM工具箱

23、，不仅保证了评估效果，而且大大缩短了评估所花费的时间和费用，提高了评估效果，降低了评估代价。其评估模型包括以下几个部分119。(1)数据预处理。LIBSVM有专门的数据格式，数据预处理功能就是将收集的数据转换成LIBSVM数据格式。31 31第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用(2)设置参数并训练SVM模型。采用RBF核函数，其参数为s2，C=150，其余各参数采用默认参数。参数设置完成后，就可以进行训练和测试了，首先点击“Open”通过浏览导入存放训练数据的训练文件形成train文件，及其需要存放训练结果的模型文件mod

24、el.txt。然后点击“Train”按钮，就可看到训练得到的SVM模型的各个参数和训练时间。采用基于二叉树的多分类方法，得到3个SVM训练模型，如图5.3.2所示。3232第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用图5.3.2 SVM训练结果3333第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用(3)测试SVM模型。导入存放测试数据的文件，如test，输入存放结果的输出文件，如out.txt，然后点击“Test”按钮进行测试，就可对测试集的样本进行分类，可以通过结果显

25、示区域看到模型的分类精度和测试时间，也可以通过查看和测试文件存放在同目录的out.txt文件，得到测试集各个样本的分类结果，即风险等级。从而根据风险等级采取相应的控制措施，使系统的风险控制在可以接受的水平。3434第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用5.3.3 网络安全风险评估实验和结果分析SVM和ANN都是人工智能方法的两个分支，且都广泛的应用到风险评估方面，所以有必要对两者的评估效果进行比较。下面利用搜集到的样本数据，从三个方面对SVM和ANN评估效果进行比较。3535第第 5 章章 支持向量机在网络安全风险评估和态势

26、预测中的应用支持向量机在网络安全风险评估和态势预测中的应用其中ANN采用BPNN，其参数设置为：最大训练次数 100，最小均方误差 0.001，最小梯度 1e-10，显示间隔 5，训练时限是 inf，隐含层节点数为 5。SVM 的参数设置为：SVM 类型C-SVM，核函数类型 RBF 核，核函数参数 C=150，2s，其余参数选用默认值。SVM 的运行环境为：计算机配置 CPU为 2.80 GHz，215 MB 内存，Windows XP 环境下，VC+6.0版本编译的 SVM 工具箱。ANN 的运行环境为：计算机配置CPU 为 2.80 GHz，215 MB 内存，Windows XP 环境

27、下，MATLAB7.1 版本。3636第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用为了比较SVM和ANN在小样本情况下的分类性能，在训练样本中，分别选取10，20，50，80个样本作为训练样本集进行训练，用同样的900个样本作为测试集，对SVM和ANN模型进行测试，比较两者性能的优劣。结果如表5.3.1所示119。3737第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用3838第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势

28、预测中的应用 5.4 基于支持向量机的网络态势预测方法5.4.1 e-支持向量回归机定义 5.4.1 (超平面的e-带)设0e，一个超平面()ybwx的e-带是指该超平面沿y轴一次上下平移e所扫过的区域。3939第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用 (5.4.1)(),1,2,iybilee wx定 义5.4.2 (硬e-带 超 平 面)设 给 定 训 练 集11(,),(,)llTx yx y()，并给定0e，称一个超平面()ybw x为对于训练集T的硬e-带超平面，如果该超平面的e-带包含了训练集T的所有的训练点，则超

29、平面()ybwx满足 4040第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用下面考虑硬e带超平面的存在性。显然，对于有限个训练点组成的训练集，当e充分大时，硬e 带超平面总是存在的。而最小的能使硬e 带超平面存在的e值e min，则应该是下列最优化问题的最优值 (5.4.2)(5.4.3),minbeews.t.(),1,2,iiybileew x41 41第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用显然，对给定的0e，有三种可能情况：当minee时，硬e-带超平面存在

30、，而且不唯一；当minee时，只存在一个硬mine-带超平面；当minee时，硬e-带超平面不存在。4242第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用e-不敏感损失函数为 (5.4.4)(,()()cy fyfexxx其中()max0,()yfyfeexx，这里的e是一个预先给定的正数。e-不敏感损失函数的含义是，当x点的观测值y与预测值()f x之差不超过事先给定的e时，则认为在该点的预测值()f x是无损失的，尽管预测值()f x和观测值y可能并不完全相等。4343第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应

31、用支持向量机在网络安全风险评估和态势预测中的应用如果f(x)为单变量线性函数：(5.4.5)当样本点位于两条虚线之间的带状区域内时，则认为在该点没有损失；只有当样本点位于e带之外时，才有损失出现，如图5.4.1所示。()()fbxw x4444第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用图5.4.1 e-带示意图4545第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用1.线性硬e带支持向量回归机线性硬e带支持向量回归机的原始最优化问题为：(5.4.6)(5.4.7)(5.

32、4.8)2,1min2nbwwRRs.t.(),1,2,iibyilew x(),1,2,iiybilew x4646第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用为了求解式(5.4.6)(5.4.8)所示的最优化问题，引入Lagrange函数(5.4.9)2(*)1*11(,)()2()liiiiliiiiLbybyb eewww xw x4747第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用(5.4.10)(5.4.11)其中(*)*T11(,)0ll 为 Lagra

33、nge 乘子，这里用(*)是表示向量有*号和无*号两种情况的简单记号，如(*)0i表示0i和*0i。根据 Wolfe 对偶的定义，首先对 Lagrange 函数关于w，b求极小，即分别对w和b求偏导数并令它们为 0，得到：(*)*1(,)()0liiiiLbwwxw(*)*1(,)()0liiiLbbw4848第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用把式(5.4.10)、(5.4.11)所示的极值条件代入式(5.4.9)中，并对它关于a(*)求极大，就得到如下的对偶问题：(5.4.12)(5.4.13)(5.4.14)(*)2

34、*11111min()()()()()2llllliijjijiiiiiiiiiyex xR*1s.t.()0liii(*)0,1,2,iil4949第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用上述对偶问题的解为(*)*T11(,)lla aa a。令*1()liiiiwx (5.4.15)根据 KKT 条件，若选择的正分量0j，则可计算乘子b满足：()jjbye x (5.4.16)若选择*的正分量*0j，则可计算乘子b满足：()jjbye x (5.4.17)则(,)b是式(5.4.6)(5.4.8)所示的原始最优化问题的解。

35、5050第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用综上所述，线性硬e-带支持向量回归机的算法如下27。Step1 给定训练集11(,),(,)()nllTyyxx，其中nix，iy，1,il；Step2 选择适当的精度参数e；Step3 构造并求解最优化问题：(*)2*11111min()()()()()2llllliijjijiiiiiiiiiyex xR*1s.t.()0liii(*)0,1,2,iil51 51第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用Ste

36、p4 计算*1()liiiiwx，并且选择的正分量0j，据此计算()jjbyex；或者选择*的正分量*0j，也可计算()jjbyex；Step5 构造硬e-带 超 平 面()ybwx和 决策函数()()fbxwx*1()()liiiibx x。5252第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用2硬e-带支持向量回归机类似于支持向量分类机，可利用核函数，并参考上节所述的线性硬e-带支持向量回归机的算法推广得到硬e-带支持向量回归机算法。硬e-带支持向量回归机算法如下27：Step1 给定训练集11(,),(,)()nllTyyxx

37、，其中nix，iy，1,il；Step2 选择适当的精度参数e和核函数K；5353第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用Step3 构造并求解最优化问题：(5.4.18)(5.4.19)(5.4.20)(*)2*11111min()()(,)()()2llllliijjijiiiiiiiiiKyex xR*1s.t.()0liii(*)0,1,2,iil5454第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用 (5.4.21)(5.4.22)(5.4.23)*1()

38、(,)ljiiijibyKex x*1()(,)ljiiijibyKex x*1()()(,)liiiifKbxx x5555第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用3e-支持向量回归机把硬e-带支持向量回归机“软化”，便可得到通常使用的e-支持向量回归机。为“软化”硬e-带支持向量回归机的式(5.4.6)(5.4.8)所示的原始最优化问题，引进松弛变量(*)*T11(,)ll 和惩罚参数 C，这样便得到了e-支持向量回归机的原始最优化问题：5656第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络

39、安全风险评估和态势预测中的应用 (5.4.24)(5.4.25)(5.4.26)(5.4.27)(*)22*,111min()2nlliibiClwwRRRs.t.(),1,2,iiibyilew x*(),1,2,iiiybilew x(*)0,1,2,iil5757第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用这里(*)是表示向量有*号和无*号两种情况的简单记号。例如，(*)0i意味着0i和*0i，而(*)则表示向量(*)*T11(,)ll 。只要求得到式(5.4.24)(5.4.27)所示的原始问题的解(*)(,)bw后，便可

40、构造出决策函数()()fbxw x。注意解(*)(,)bw中的(*)在这里并不起作用，实际上我们关心的仅仅是其中的(,)bw。5858第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用为了求解式(5.4.24)(5.4.27)所示的原始问题，引入Lagrange函数：(5.4.28)2(*)(*)(*)*111*11(,)()()2()()lliiiiiiiiliiiiiliiiiiCLblybyb eewww xw x5959第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用(

41、5.4.29)(5.4.30)(5.4.31)式中，Lagrange 乘子满足(*)(*)0,0,1,2,iiil。分别对w，b和(*)求偏导数并令它们为 0，得到：(*)(*)(*)*1(,)()0liiiiLbwwxw(*)(*)(*)*1(,)()0liiiLbbw(*)(*)(*)(*)(*)(*)(,)0iiLbClw6060第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用将式(5.4.29)(5.4.31)代入式(5.4.28)中，并对之关于a(*)求极大，就得到了式(5.4.24)(5.4.27)所示的原始问题的对偶问题

42、：(5.4.32)(5.4.33)(5.4.34)(*)2*11111min()()()()()2llllliijjijiiiiiijiiyex xR*1s.t.()0liii*0,1,2,iiCill61 61第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用 (5.4.35)设(*)*T11(,)lla aa a是式(5.4.32)(5.4.34)所示的对偶问题的解，则式(5.4.24)(5.4.27)所示的原始问题关于w的唯一解可表示为*1()liiiiwx6262第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持

43、向量机在网络安全风险评估和态势预测中的应用又记 (5.4.36)(5.4.37)(5.4.38)(5.4.39)(5.4.40)(5.4.41)010iSi1(0,/)iSiC l/1/C liSiC l0*20iSi*2(0,/)iSiC l/*2/C liSiC l6363第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用又当；时，定义 (5.4.42)(5.4.43)则式(5.4.24)(5.4.27)所示的原始问题关于的解所组成的集合可表示为 (5.4.44)1,2j 0,/kC lmax()max()kjkjiii SdSy

44、w xmin()min()kjkjiii SdSy w x(,)bw(,),updnbbbbwww6464第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用其中*1()liiiiwx，dnb和upb按下列不同的情况计算：(1)如果1S 或者2S ，则取1jS或者2kS，并据此计算*1()()lupdnjiiijibbyex x (5.4.45)或者*1()()lupdnkiiikibbyex x (5.4.46)6565第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用(2)如果

45、或者，则计算 (5.4.47)(5.4.48)关于此结论的证明见参考文献27。/0min2min1min(),()upC lbdSdSee/0max1max2max(),()C ldnbdSdSee6666第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用考虑到实际应用中往往只发生第(1)种情况，并利用核函数将上述结论推广到非线性回归的情况，可得到e-支持向量回归机的算法如下27：Step1 给定训练集11(,),(,)()nllTyyxx，其中nix，iy，1,il；Step2 选择适当的参数e和C，并选择适当的核函数K；6767第第

46、 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用Step3 构造并求解最优化问题 (5.4.49)(5.4.50)(5.4.51)(*)2*11111min()()(,)()()2llllliijjijiiiiiiiiiKyex xR*1s.t.()0liii(*)0,1,2,iCill6868第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用Step4 构造决策函数：(5.4.52)其中按照下列方式计算：若选择，则 (5.4.53)*1()()(,)liiiifKbxx xb0,

47、jCl*1()(,)ljiiijibyKex x6969第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用若选择，则 (5.4.54)*0,kCl*1()(,)lkiiikibyKex x7070第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用5.4.2 基于支持向量机的网络态势预测模型我们提出的基于支持向量机的网络态势预测模型是层次化的网络安全态势感知模型中的一部分。网络安全态势感知模型从功能上自下而上分为三个层次，分别为多源信息层，网络安全态势评估层和网络安全态势预测层10

48、，如图5.4.2所示。71 71第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用图5.4.2 层次化网络态势感知模型7272第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用在多源信息层，可通过不同的数据接入方式，如专门的代理接口等，获取多源网络信息，包括如下内容：(1)网络拓扑信息 IT，即网络所有物理链接关系集合；(2)主机信息 IH，即包括主机权重wH，服务 SH和服务权重wS组成的二元组(SH，wS)；(3)报警信息 IA，即对多个入侵检测系统产生的原始报警信息进行预处

49、理，包括剔除无效时间戳报警；合并多个检测器对同一攻击的重复报警；主机报警按照是否存在相应漏洞的原则进行剔除或保留。7373第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用基于支持向量机的网络安全态势预测算法归纳如下134：Step 1 选择预测对象：服务、主机或网络，根据所获得安全态势值，构造相应的安全态势值样本12,nE EE；Step 2 利用前 n-m 个态势值作为训练样本，并选择合适的实验参数获得训练模型；Step 3 利 用 预 测 模 型 得 到 后 m 个 态 势 预 测 值12,n mn mnEEE；Step 4 计算

50、预测结果的平均绝对误差，评估预测结果的准确性。7474第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用5.4.3 网络态势预测实验和结果分析我们使用西安交通大学 CNSIS 实验室的测试网络获取的2004 年 11 月份数据(包含扫描、rpc.statd 和 ftp 缓冲区溢出攻击)为例进行网络态势预测。测试网络包括 9 台主机，其 IP 地址分别为 192.168.4.19，192.168.4.218，192.168.4.109，如图5.4.3 所示。根据 CNSIS 实验室网络态势评估部分所作的前期工作111，按照一天中的三个时间

51、段(0:008:00)Night、(8:00 18:00)OfficeHour、(18:0024:00)Evening)获得这批数据的服务、主机和网络每天的历史态势值。7575第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用图5.4.3 192.168.4.0局域网7676第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用实验选用支持向量回归算法SVRe，核函数选择 RBF核函数，实验参数中不敏感损失函数e、惩罚系数 C、核函数参数s对模型的学习精度和推广能力的好坏起着决定性作

52、用。我们参考 Melssen132给出的,Cs e的大致取值范围：81,10 C，0,0.2s，0.01,2.0e，利用试探法选择,Cs e的值。设定分析时间长度T为 30 天，统计分析单元t为 1天，每天按照(0:008:00)Night、(8:00 18:00)OfficeHour、(18:0024:00)Evening分三个时间段获取服务级、主机级和网络级的数据。7777第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用我们以前 18 天的态势数据作为训练数据，预测后 12 天的态势数据。下面分别从服务级、主机级和网络级的角度出发

53、，给出预测结果。图 5.4.4 是主机 IP2(IP 为 192.168.4.2 的主机)的 rpc 服务态势预测图。图 5.4.5 是主机 IP2 主机态势预测图。图 5.4.6 是 192.168.4.0 局域网的网络态势预测图。以上预测结果的平均绝对误差最大的不超过 0.02，预测效果 良好。7878第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用图5.4.4 IP2主机的rpc服务态势预测图7979第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用图5.4.5 IP2主

54、机态势预测图8080第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用图5.4.6 网络态势预测图81 81第第 5 章章 支持向量机在网络安全风险评估和态势预测中的应用支持向量机在网络安全风险评估和态势预测中的应用5.5 小 结本章介绍了支持向量机在网络安全风险评估和态势预测中的应用。首先对网络安全风险评估和态势预测的基础理论和研究现状做了介绍，随后对支持向量机在网络安全风险评估和态势预测应用中的可行性进行了分析，最后详细介绍了基于支持向量机的网络安全风险评估的方法、实验结果，以及基于支持向量机的网络态势预测方法、实验和结果分析。实验结果表明支持向量机在解决网络安全风险评估和态势预测问题中具有良好的性能。