[发明专利]一种基于联合隐马尔可夫模型与遗传算法的态势预测方法

说明书

一种基于联合隐马尔可夫模型与遗传算法的态势预测方法，该方法利用人工鱼群算法优化模糊聚类方法来处理冗余警报及误报，人工鱼群算法可以很好的克服模糊c均值聚类对初始聚类中心敏感的缺点，从而达到优化警报聚类精度的目的。同时针对隐马尔可夫模型在训练过程中初始参数的设定不当易导致训练结果局部最优的问题使用聚类后的警报作为输入，利用遗传算法来优化隐马尔可夫的初始值，再采用鲍姆韦尔奇算法来进一步训练优化后的参数，最终得出最大似然估计下的隐马尔可夫模型参数，用维特比算法结合观测值对安全态势进行预测。本方法可提高网络安全态势预测的准确度。

技术领域

本发明属于信息安全技术领域，具体涉及一种基于联合隐马尔可夫模型与遗传算法的态势预测方法。

背景技术

随着互联网技术的发展，其承载的业务越来越多。电力、水利、通信、银行、交通、教育、军事等等都离不开互联网。互联网上承载的各种业务，存储的各种信息、都是物理现实价值的体现。比特币的出现更加模糊了虚拟网络世界与现实世界的界限。网络世界信息量巨大、纷繁复杂。互联网的自由、便捷、快速接入，使得全世界人们对互联网的使用不受时间、地点的限制，从而网络安全也越来越受到格外关注。近年来，在网络中的攻击工具和手法日趋复杂多样，仅仅依靠传统的安全防范措施已经无法满足安全高度敏感部门的需求。传统的针对网络安全采取的防护手段分散、单一，不能从宏观角度对各种网络关键因素进行综合评判。逐渐兴起的对网络安全态势感知的研究正是在这种背景下产生的。

网络安全态势感知是通过对网络中的关键要素数据进行获取、理解和评估，最后通过评估结果来预测整网安全态势，具体网络安全态势感知框架如图2。其中，态势预测通过对网络状态持续不断的检测，当发现网络状态异常，即利用已知预测模型来预测网络下一步状态。现有的基于隐马尔可夫模型的态势预测方法，通过EM算法结合实际网络观测值进行训练，当网络出现异常时，利用已训练模型预测网络态势值，其存在以下缺点：

现有聚类方法在应用于入侵检测警报处理时存在对初始聚类中心敏感的问题，使得对于警报结果的分析不够准确。从而影响最后模型的训练，不能很好的得到准确模型。

由于隐马尔可夫模型本身的固有缺陷，易导致在利用EM算法训练时，初始值的选取标准缺陷使初始值选取结果较差，从而出现局部最优的训练结果。

发明内容

为了克服上述现有技术的不足，本发明的目的是提供一种基于联合隐马尔可夫模型与遗传算法的态势预测方法，它在警报初始化过程中采用鱼群算法优化模糊聚类方法有效地克服警报聚类分析容易陷入局部极值的缺点，提高警报聚类结果的精度，同时利用群体智能感知算法优化隐马尔可夫态势预测模型，使得模型训练很好的避免局部最优，从而使得网络安全态势预测结果更加准确。

为了实现上述目的，本发明采用的技术方案是：

一种基于联合隐马尔可夫模型与遗传算法的态势预测方法，其特征在于，包括以下步骤：

步骤一：根据收集的入侵检测警报，对其进行基于人工鱼群优化模糊均值聚类的入侵检测警报聚类方法的预处理，从而达到简化和准确分类警报的目的，并将处理的结果作为网络的外部观测值；

根据收集的入侵检测警报，对其进行基于人工鱼群优化模糊均值聚类的入侵检测警报聚类方法的预处理，包括：

1)：初始化入侵检测系统警报：剔除不必要的属性、对多源异构的数据进行初步聚合；

2)利用一致矩阵法进行警报属性的权重分配；

3)利用自定义的警报属性相似度函数以及权重关系建立警报的模糊相似矩阵；

4)使用传递闭包法建立模糊等价矩阵，并对每条警报建立人工鱼个体；

5)构建食物浓度函数，将高维样本映射到三维平面；

6)进行基于人工鱼群算法的FCM聚类，它包括：