一种基于DE-GWO-SVR的工业互联网安全态势预测方法

一种基于DE-GWO-SVR的工业互联网安全态势预测方法

　　技术领域

　　本发明属于工业互联网安全技术领域，涉及一种基于DE-GWO-SVR的工业互联网安全态势预测方法。

　　背景技术

　　互联网技术广泛应用工业企业中化，高速工业化和信息化催生出的工业互联为我们的生产生活带来了极大的便利，但随着工业信息化的逐渐深入，企业在转型升级过程中也随时要面临各种网络攻击的威胁。现在随着IPV6技术和5G技术的不断应用，工业互联网企业将面临更复杂多变的安全威胁。针对工业互联网安全可靠、海量覆盖、低时延等需求，加强工业信息安全，构建全方位的工业信息安全保障体系是智能制造企业发展的基础保障。传统的网络安全防护措施，如IDS防护，防火墙漏洞检查系统防护、数据加密防护等，都缺乏一定的自主性和关联性，而网络态势感知技术可以在大型的工业互联网环境下获取造成安全态势变化的相关信息，对内部安全事件进行有效的分析评估，并对最近将要面临的网络安全威胁进行顺延式预测，进一步帮助安全管理人员制定管理决策和预防行动。

　　目前，虽然有将机器学习方法应用到网络安全态势预测领域的，但都是应用到一般的互联网领域，没有针对工业互联网的安全态势预测技术，传统的网络安全态势预测技术大多不适合直接用在工业互联网中。因此，在工业互联网环境下的工业网络安全需要更高的安全性保障，研究工业互联网环境下准确率更高的安全态势预测方法是非常有意义的。

　　发明内容

　　有鉴于此，本发明的目的在于提供一种基于DE-GWO-SVR的工业互联网安全态势预测方法，解决传统网络安全态势预测方法不能较好地直接应用于工业互联网的问题，提出一种预测准确率高、收敛数度快的工业互联网安全态势预测方法。

　　为达到上述目的，本发明提供如下技术方案：

　　一种基于DE-GWO-SVR的工业互联网安全态势预测方法，包括以下步骤：

　　S1：收集工业互联网安全数据信息及安全资产信息并进行预处理，建立工业互联网安全数据库；

　　S2：对数据库中的安全数据进行处理，得到工业互联网安全态势值数据集；

　　S3：采用滑动窗口法将工业互联网安全态势值数据集中的数据构建出训练样本数据集和测试样本数据集；

　　S4：构建基于DE-GWO-SVR的工业互联网安全态势预测模型预测未来安全态势；

　　S5：检验安全态势预测模型，若不满足要求，则返回步骤S4，直至预测结果满足要求。

　　进一步，步骤S2具体包括以下步骤：

　　S21：通过对态势影响指标分类的研究，将提取到的数据进行预先处理，进行量化分级；

　　S22：安全态势值计算：按照以下公式计算一个周期内的工业互联网安全态势值：

　　

　　式中，T表示安全态势值的大小，N表示一周内不同类型的攻击总数量，i表示类型，ω1、ω2、ω3表示权重因子，Vi、Ti、Ai表示相同类型的攻击对应的脆弱程度值、威胁程度值以及资产价值；

　　S23：归一化处理：按照以下公式将数据归一化到[0,1]区间：

　　

　　式中，Xi和Xi′分别表示归一化处理前后的态势值，i＝1,2,…,150；Xmax和Xmin分别表示原始数据中的两最大值和最小值。

　　进一步，步骤S3中，采用滑动窗口法将工业互联网安全态势值样本数据集的80％数据确定为训练样本数据集，20％确定为测试样本数据集，选用滑动窗口为5，采取单步预测的方式即用前5个安全态势值预测后1个安全态势值，构建样本训练集D＝(Xi,Yi)和样本测试集T＝(Xi,Yi)。

　　进一步，步骤S4中，先将差分进化算法DE引入灰狼算法GWO得到改进的灰狼优化算法，初始化改进的灰狼优化算法中的种群规模、最大迭代次数、空间维数，再利用步骤S3中构建的训练样本数据集训练态势预测模型，以样本数据集经过训练得到的预测值和真实值之间的残差作为适应度函数，找出最优个体，最后将得到的最优个体对支持向量回归机SVR参数进行优化，构建出基于DE-GWO-SVR的工业互联网安全预测模型。

　　进一步，步骤S4具体包括以下步骤：

　　S41：模型参数初始化：设定N为灰狼种群的数量，G表示最大迭代数，缩放因子F，交叉概率参数CR，以及支持向量回归中涉及的两个系数C和g的取值范围，并在搜索空间中，对整个种群中的个体进行随机初始化；

　　S42：将训练样本数据集输入DE改进的GWO-SVR预测模型进行训练；随机产生种群内所有父代灰狼个体的位置信息，依据父代灰狼群中每个父代的适应度值，比较选出适应性最好的灰狼，分别作为父代α狼、β狼、δ狼，再利用下列公式更新狼群中其他父代狼的位置信息：

　　

　　A＝a·(2r-1)

　　式中，D(t)表示当前的三种优势灰狼中的某一种灰狼个体与目标的相隔位置，xp(t)为选取目标动物目前所在位置，t表示当前迭代次数；r∈rand(0,1)，A为协同因子；当|A|≥1时，捕食狼们在距离猎取目标较远的地方进行全局性搜索；当|A|<1时，捕食狼们开始逐渐包围猎物目标；

　　S43：差分进化操作：利用下列公式与新产生的子代灰狼个体执行变异操作，再与目标父代α狼进行交叉操作，产生中间变异体子代α狼；比较当前迭代过程中父子两代α狼的适应性，取适应性最好的灰狼作为新的父代α狼，并更新狼群内其他灰狼个体的位置信息，再次依靠个体适应度值排序后得到新的父代α狼、β狼、δ狼：

　　Vi(g)＝xr3(g)+F·(xr1(g)-xr2(g))

　　

　　

　　式中，xr1(g),xr2(g),xr3(g)为随机选取的三个父代个体且r1≠r2≠r3≠i，Vi(g)为变异子代个体，g为当前迭代数值；F0为缩放因子初始值，此时F∈(F0,2F0)且F∈(0,1)；CR为交叉概率，用于控制交叉程度，j表示待交叉维度，jrand表示整数下标，从{1,2,…,n}中随机选取。

　　进一步，步骤S5中，设定判定条件为是否达到最高预测精度条件或者是否已经迭代至G代，若达到了给定的终止算法循环的要求，就输出此时适应性最好的父代α狼个体位置信息，从而得到最佳的SVR相关惩罚参数C和RBF核函数参数g，以此建立最佳工业互联网安全态势预测模型，最后输入S3中得到的测试样本数据集，得到工业互联网安全态势的预测值。

　　本发明的有益效果在于：与传统的网络安全态势预测方法相比，利用差分进化算法改进灰狼优化算法，解决灰狼优化算法求解精度不高、以陷入局部最优解的问题，然后针对工业互联网安全数据高维复杂、非线性和开放性问题，利用改进的组合优化算法选取支持向量回归机的惩罚系数C和核函数参数g，最后利用支持向量回归算法的训练速度快、拟合效果好、不易陷入局部最优解等优点预测未来安全态势值。因此，本发明解决了工业互联网安全态势预测精度低、安全数据处理不理想的问题。

　　本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述，并且在某种程度上，基于对下文的考察研究对本领域技术人员而言将是显而易见的，或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。

　　附图说明

　　为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作优选的详细描述，其中：

　　图1为本发明所述的基于DE-GWO-SVR的工业互联网安全态势预测方法基本结构图；

　　图2为本发明所述的安全态势值量化方式图；

　　图3为本发明所述的灰狼捕食原理图；

　　图4为本发明所述的标准差分变异策略二维示意图；

　　图5为本发明所述的基于DE-GWO-SVR的工业互联网安全态势预测算法流程图。

　　具体实施方式

　　以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。需要说明的是，以下实施例中所提供的图示仅以示意方式说明本发明的基本构想，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。

　　其中，附图仅用于示例性说明，表示的仅是示意图，而非实物图，不能理解为对本发明的限制；为了更好地说明本发明的实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；对本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。

　　本发明实施例的附图中相同或相似的标号对应相同或相似的部件；在本发明的描述中，需要理解的是，若有术语“上”、“下”、“左”、“右”、“前”、“后”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此附图中描述位置关系的用语仅用于示例性说明，不能理解为对本发明的限制，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。

　　请参阅图1～图5，图1为一种基于DE-GWO-SVR的工业互联网安全态势预测方法基本结构图，适用于工业互联网环境下的网络安全态势预测，具体步骤如下：

　　101：数据预处理：根据工业企业网络安全数据信息以及资产价值信息构建工业互联网安全数据库；

　　102：评估量化：对得到的数据进行加权平均，并对数据进行归一化处理，得到工业互联网安全态势值样本数据集。

　　103：采用滑动窗口法将工业互联网安全态势值样本数据集的80％数据确定为训练样本数据集，20％确定为测试样本数据集，滑动窗口大小选为5，输出为1，构建训练样本集D＝(Xi,Yi)和测试样本集T＝(Xi,Yi)。

　　104：构建基于DE-GWO-SVR的工业互联网安全态势预测模型预测工业互联网未来安全态势；

　　105：若预测模型满足要求则停止，若不满足要求，则返回步骤S4，以此反复，直到预测结果满足要求为止。

　　可选地，在步骤102数据处理过程中，包括以下步骤：

　　1021：通过对态势影响指标分类的研究，将提取到的数据进行量化分级，按照以下公式计算一个周期内的工业互联网安全态势值：

　　

　　式中，T表示安全态势值的大小，N表示一周内不同类型的攻击总数量，i表示类型，ω1、ω2、ω3表示权重因子，Vi、Ti、Ai表示相同类型的攻击对应的脆弱程度值、威胁程度值以及资产价值。

　　1023：归一化处理：按照以下公式将数据归一化到[0,1]区间：

　　

　　式中，Xi和X′i分别表示归一化处理前后的态势值，i＝1,2,…,150；Xmax和Xmin分别表示为原始数据中的两个最值。

　　在步骤104中，参考图5所示，根据步骤103得到的数据集D和T，训练得到SVR的最优参数C和g，具体包括以下步骤：

　　1041：模型参数初始化：设定N为灰狼种群的数量，G表示最大迭代数，缩放因子F，交叉概率参数CR，以及支持向量回归中涉及的两个系数C和g的取值范围，并在搜索空间中，对整个种群中的个体进行随机初始化。

　　1042：模型参数初始化后将训练样本数据集输入DE改进的GWO-SVR预测模型进行训练。随机产生种群内所有父代灰狼个体的位置信息，参考图3所示，依据父代灰狼群中每个父代的适应度值，比较选出适应性最好的灰狼，分别作为父代α狼、β狼、δ狼，再利用下列公式更新狼群中其他父代狼的位置信息：

　　

　　A＝a·(2r-1)

　　式中，D(t)表示当前灰狼个体(三种优势灰狼中的某一种)与目标的相隔位置，xp(t)为选取目标动物目前所在位置，t表示当前迭代次数；r∈rand(0,1)，A为协同因子。当|A|≥1时，捕食狼们在距离猎取目标较远的地方进行全局性搜索；当|A|<1时，捕食狼们开始逐渐包围猎物目标，相当于算法进入局部性寻优阶段。

　　1043：差分进化操作：参考图4，利用下列公式与新产生的子代灰狼个体执行变异操作，再与目标父代α狼进行交叉操作，产生中间变异体子代α狼。比较当前迭代过程中父子两代α狼的适应性，取适应性最好的灰狼作为新的父代α狼，并更新狼群内其他灰狼个体的位置信息，再次依靠个体适应度值排序后得到新的父代α狼、β狼、δ狼。

　　Vi(g)＝xr3(g)+F·(xr1(g)-xr2(g))

　　

　　

　　式中，xr1(g),xr2(g),xr3(g)为随机选取的三个父代个体且r1≠r2≠r3≠i，Vi(g)为变异子代个体，g为当前迭代数值；F0为缩放因子初始值，此时F∈(F0,2F0)且F∈(0,1)；CR为交叉概率，用来控制交叉程度，j表示待交叉维度，jrand表示整数下标，从{1,2,…,n}中随机选取。

　　在步骤105中设定判定条件为是否达到最高预测精度条件或者是否已经迭代至G代。若达到了给定的终止算法循环的要求，就输出此时适应性最好的父代α狼个体位置信息，从而得到最佳的SVR相关惩罚参数C和RBF核函数参数g，以此建立最佳工业互联网安全态势预测模型。最后对测试样本数据集进行处理，输出态势预测结果呈现给安全管理人员。

　　本发明适用于针对工业互联网的安全态势预测，使用本发明所公开的工业互联网安全态势预测方法，由于基于机器学习方法，可先对数据集进行归一化处理、维度约简、异常数据检测与修正等工作，有利于提高预测精度。采用差分进化算法避免了灰狼算法易陷入局部最优解，再利用改进的灰狼优化算法选取最优的支持向量回归相关参数，最后采用支持向量回归预测工业互联网安全态势，可达到预测精度高，收敛能力强的效果。

　　最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本技术方案的宗旨和范围，其均应涵盖在本发明的权利要求范围当中。