[发明专利]一种基于联合隐马尔可夫模型与遗传算法的态势预测方法

摘要

一种基于联合隐马尔可夫模型与遗传算法的态势预测方法，该方法利用人工鱼群算法优化模糊聚类方法来处理冗余警报及误报，人工鱼群算法可以很好的克服模糊c均值聚类对初始聚类中心敏感的缺点，从而达到优化警报聚类精度的目的。同时针对隐马尔可夫模型在训练过程中初始参数的设定不当易导致训练结果局部最优的问题使用聚类后的警报作为输入，利用遗传算法来优化隐马尔可夫的初始值，再采用鲍姆韦尔奇算法来进一步训练优化后的参数，最终得出最大似然估计下的隐马尔可夫模型参数，用维特比算法结合观测值对安全态势进行预测。本方法可提高网络安全态势预测的准确度。

主权项

1.一种基于联合隐马尔可夫模型与遗传算法的态势预测方法，其特征在于，包括以下步骤：步骤一：根据收集的入侵检测警报，对其进行基于人工鱼群优化模糊均值聚类的入侵检测警报聚类方法的预处理，从而达到简化和准确分类警报的目的，并将处理的结果作为网络的外部观测值；根据收集的入侵检测警报，对其进行基于人工鱼群优化模糊均值聚类的入侵检测警报聚类方法的预处理，包括：1)：初始化入侵检测系统警报：剔除不必要的属性、对多源异构的数据进行初步聚合；2)利用一致矩阵法进行警报属性的权重分配；3)利用自定义的警报属性相似度函数以及权重关系建立警报的模糊相似矩阵；4)使用传递闭包法建立模糊等价矩阵，并对每条警报建立人工鱼个体；5)构建食物浓度函数，将高维样本映射到三维平面；6)进行基于人工鱼群算法的FCM聚类，它包括：1)定义人工鱼群算法的误差函数：其中rij¹ rij表示从高位样本映射到三维平面的样本i与样本j之间的欧式距离，假设i和j的坐标值分别为(a_i，b_i，c_i)、(a_j，b_j，c_j),那么rij¹：rij*是步骤四中建立的模糊等价矩阵中对应位置的值；2)定义个体的食物浓度函数：3)把从高维映射到三维的待聚类样本随机分布在三维空间中，对每个样本随机赋给三维坐标值；4)计算人工鱼的食物浓度大小；5)在当前鱼群的食物浓度的基础上进行聚群、觅食、追尾等优化行为；6)若组内的所有人工鱼都结束移动，则继续向下执行，否则转步骤4)；7)若更新后的人工鱼的个体最大食物浓度值与更新前的最大食物浓度函数值之差小于某个指定值，或者更新次数达到指定的最大次数，则结束，否则转步骤4)；8)应用FCM算法聚类得到的三维坐标值，并将最后的结果映射到原来的高维样本中；步骤二：根据网络风险等级确定网络的隐状态数N，依据专家经验，对各个隐状态的初始概率进行区间划分，并对隐状态间的转移概率，及隐状态到显状态的输出概率进行区间划分；步骤三：根据步骤二中划分好的各个隐状态的初始概率区间矩阵，转移概率区间矩阵，输出概率区间矩阵取区间内的随机数，并进行归一化以分别生成P个隐马尔可夫初始概率矩阵π，转移概率矩阵A，输出概率矩阵B；其中，随机分别生成P个隐马尔可夫初始概率矩阵π，转移概率矩阵A，输出概率矩阵B，所生成的概率矩阵所满足的具体归一化结果满足如下公式：步骤四：采用浮点数编码法对所生成的P个初始概率矩阵进行编码；所采用的浮点数编码法产生的染色体对应于隐马尔可夫模型的三个参数矩阵分别包含三部分，隐状态初始概率矩阵对应初始染色体Geπ，隐状态转移概率矩阵对应于转移染色体GeA，隐状态到显状态的输出矩阵对应于输出染色体GeB；步骤五：计算所有P个染色体的适应度值，为了防止遗传算法的随机性破坏当前种群中适应度值最优的个体，即最优保存策略，将适应度值最大的个体直接复制到下一种群；步骤六：对于后P‑1个染色体，计算其对种群离散性的支持度和适应度值的加权求和，结合轮盘赌规则使种群规模重新达到P；个体对种群离散性的支持度计算方式涉及如下定义:定义1：定义种群规模为S，定义一个染色体中包含Q＝m*n+n*n+N个基因，染色体k由G_k＝(G_k1,G_k2...G_kQ),k＝1,2...S表示；定义2：染色体适应度函数f：由于遗传算法所求的最优染色体个体为Hmm的初始参数矩阵，因此使用所有染色体的前向概率作为其适应度函数，即f＝P(O/λ)；定义3：定义个体表现型^ηk，即染色体k的适应度值与种群适应度值和的比值定义4：定义种群离散度d定义5：定义第k个染色体对于种群离散性的支持度为；步骤七：根据支持度大小确定交叉概率，采用算术交叉方式，完成个体间的遗传交叉的步骤如下：1)：随机选择一条染色体k，计算公式：其中Spt_max代表最大支持度，Spt_min代表最小支持度，Spt_k代表随机选择的染色体支持度；2)：生成随机数r，若r<Sptr,则染色体k为一条待交叉染色体。重复执行这两步，直到生成两条待交叉染色体；3)：对两条待交叉染色体进行遗传交叉，交叉原则为：Geπ1与Geπ1交叉，GeA1和GeA2交叉，GeB1和GeB2交叉；步骤八：根据支持度大小确定变异概率，采用非一致性变异方式，完成个体的遗传变异；变异方式为：其中G_k为随机选择的变异前的第k个染色体，G_k'为G_k变异后的染色体，G_max和G_min分别为当前适应度最大和最小的个体。t是(0～1]间变异常数，r是一个随机数；随机整数rand()是偶数时采用G_k’＝G_k+t(G_max‑G_k)r的变异方式，是奇数时采用G_k’＝G_k+t(G_k‑G_mix)r的变异方式，利用支持度确定变异概率的方式为同步骤七；步骤九：对经历过遗传复制，遗传交叉，遗传变异后的新生种群进行个体的归一化处理，满足隐马尔可夫的参数约束条件；步骤十：检查是否满足预先设定的迭代终止条件，若满足，则终止，选择适应度值最大的染色体作为全局最优值，并将所求染色体映射到隐马尔可夫模型的三个初始矩阵。否则返回步骤五开始进行新一轮的进化；步骤十一：采用鲍姆韦尔奇算法对步骤十得到的模型参数λ＝(π，A，B)进行迭代训练得到隐马尔可夫模型的最大似然估计参数；采用鲍姆韦尔奇算法对步骤十得到的λ＝(π，A，B)进行迭代训练得到HMM模型的最大似然估计参数，包含如下步骤：1)根据所述人工鱼群优化模糊均值聚类的入侵检测警报聚类方法得到D个警报序列数据样本{O₁,O₂,...O_D},其任一警报序列O_d＝{o₁^(d),o₂^(d),o₃^(d),....o_T^(d)}；2)根据所述遗传算法优化得到一个最优初始值λ＝(π，A，B)；3)对于每个样本d＝1,2,...D，用前向后向算法计算γ_t^(d)(i)，ξ_t^(d)(i,j),t＝1,2...T；4)对模型参数矩阵进行更新；5)检查各个矩阵是否满足收敛条件，若满足，则算法结束，否则返回(3)迭代执行；步骤十二：如果网络状态异常时，可以通过收集外部观测值，以及训练好的隐马尔可夫模型，利用维特比算法进行网络安全态势预测。