[发明专利]针对组合预测模型的自适应网络安全态势预测方法

说明书

本公开涉及基于组合预测模型的自适应网络安全态势预测方法，该方法包括：子模型训练步骤，从用于自适应安全态势预测的训练数据集中提取用于训练数据序列，训练出作为组合预测模型的构成要素的n个不同的子模型M；初始权重赋值步骤，针对每个子模型M_i分别进行初始权重赋值；子模型在线预测步骤，对每个子模型M_i的预测结果加权求和，输出当次对于网络安全态势预测的最终结果；子模型预测结果评价步骤，在用于评价的时间周期中，对每个子模型M_i评价其预测结果的准确性；以及自适应权重调整步骤，利用在所述子模型预测结果评价步骤中的评价结果，对每个子模型M_i的权重进行自适应调整。

技术领域

本公开总体上涉及网络信息安全领域，具体而言属于网络安全态势感知的技术领域，更具体而言涉及一种针对组合预测模型的自适应网络安全态势预测方法。

背景技术

随着大数据、人工智能(AI)和互联网的高速发展及应用，网络结构的复杂化、数据的多元化以及网络协议的多样化，使得多层面、多形式的网络安全风险随之加剧。网络攻击行为日渐向着分布化、规模化、复杂化等趋势发展。传统的入侵检测系统、防火墙等网络安全防御手段已经不能满足现在高速、智能、多源的网络安全需求，需要更加先进、优化的技术手段和方式方法去防范网络安全事件的发生。

1999年，Bass等人首次提出了网络安全态势感知(Network Security SituationAwareness，NSSA)的概念。安全态势感知最早运用于例如航空和军事领域，用以快速决策和处理复杂的航空和军事事件等，后来被研究者广泛运用于民用领域，如网络安全领域。研究者们发现安全态势感知不仅可以进行网络安全态势评估，也可以用来进行网络安全态势预测，使原来的被动防御变为主动防御，能够很大程度上解决网络安全的防御问题，因此成为了当下的热点研究方向之一。

在网络安全深度检测及态势感知方面，在大规模网络安全态势预测的场景下，由于未知的变化因素较多，导致对当前或未来的安全态势数值的预测难度较大。众多科研单位和企业等往往各自具有不同的预测模型。例如在常见的对DDOS(Distributed Denial ofService Attack，分布式拒绝服务攻击)攻击流量进行预测的情况下，可以采用如线性回归模型、决策树模型、局部加权线性回归模型等多种预测模型。然而，一种预测模型在不同时间窗口下通常有不同的表现，预测准确度(以例如均方误差MSE(Mean Square Error)为指标)会随着时间窗口的改变而发生波动，呈现“时好时坏”的状况。多种预测模型在相同时间窗口下的表现往往也呈现较大差异，多种预测模型中的各个预测模型的预测准确性的排名也会随着时间窗口的变动而发生变动。研究人员在对包括例如线性回归模型、决策树模型和局部加权线性回归模型等的多种预测模型的预测结果进行评价时发现，随着时间窗口的变动，其中的任意一种预测模型的预测准确性都有可能会排名第一，也有时会排名最后。

由于在不同的时间窗口下，不同预测模型的表现各有优劣，难以长期固定地选择，因此研究人员考虑将多种预测模型进行组合，对各个预测模型附加模型系数，从而对各个预测模型的预测结果进行加权之后得到组合后的最终预测结果。但是，这样的一次性人为设置静态权重，组合后的模型的整体表现依然呈现“随机”状况，在一定时间周期内，有的子模型表现优异，另一些子模型表现不佳，预测准确性依然呈现波动态势，特定情况下甚至可能出现震荡，总体表现依然会不稳定而动态变化。

为解决如上述人为一次性静态配置那样的静态管理子模型所带来的组合模型整体表现不稳定的问题，研究人员进一步考虑每经过一定时间周期对组合模型中的各个子模型的模型系数进行人工干预加权调整。然而，这样的方式更新时间周期较长，往往需要依赖较长时间窗口的离线训练分析，效率低下且耗费较大的存储和运算资源，无法高效且及时地提升组合预测模型整体的预测表现。

在网络安全态势感知领域，针对上述那样的组合预测模型，如何根据各个模型的最近表现来灵活调整各自权重以提升整体预测准确度，即如何实现自适应网络安全态势预测，业内目前尚在探索之中。

发明内容