面向虛擬化網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取及安全態(tài)勢(shì)預(yù)測(cè)應(yīng)用

王 偉

（中央廣播電視總臺(tái)，北京 100859）

0 引 言

隨著信息化的普及和發(fā)展，廣播電視制播技術(shù)已經(jīng)逐步從SDI架構(gòu)轉(zhuǎn)向基于互聯(lián)網(wǎng)的IP架構(gòu)，特別是IPTV、網(wǎng)絡(luò)接入服務(wù)等業(yè)務(wù)的拓展，使得廣播電視行業(yè)逐步進(jìn)入網(wǎng)絡(luò)運(yùn)營與應(yīng)用范疇。然而，計(jì)算機(jī)網(wǎng)絡(luò)在顯著提升業(yè)務(wù)推進(jìn)效率和便捷度的同時(shí)，也引入了新的風(fēng)險(xiǎn)，即網(wǎng)絡(luò)安全問題。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)軟硬件架構(gòu)處于不斷發(fā)現(xiàn)問題和解決問題的過程中。除去業(yè)務(wù)對(duì)于網(wǎng)絡(luò)性能和功能的新需求外，來自內(nèi)部和外部的網(wǎng)絡(luò)安全威脅是最為典型的問題。傳統(tǒng)的網(wǎng)絡(luò)安全檢測(cè)與防御往往是面向具體的網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)所遭受的攻擊行為提出應(yīng)對(duì)方案，網(wǎng)絡(luò)安防往往是通過歷史事件倒推網(wǎng)絡(luò)安全漏洞，并事后予以彌補(bǔ)，這顯然無法為網(wǎng)絡(luò)安全提供實(shí)時(shí)保障，同時(shí)也無法應(yīng)對(duì)未知網(wǎng)絡(luò)風(fēng)險(xiǎn)[1]。同時(shí)，隨著網(wǎng)絡(luò)需求和功能的變動(dòng)，網(wǎng)絡(luò)架構(gòu)和技術(shù)形式往往會(huì)有相應(yīng)的變化和升級(jí)，特別是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，利用虛擬化服務(wù)及軟件，對(duì)網(wǎng)絡(luò)設(shè)備及架構(gòu)進(jìn)行實(shí)現(xiàn)已經(jīng)成為發(fā)展趨勢(shì)。網(wǎng)絡(luò)功能虛擬化（Network Functions Virtualization，NFV）及軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）的高度融合，就是虛擬化網(wǎng)絡(luò)及服務(wù)的典型應(yīng)用之一?？梢钥吹?，在新的技術(shù)發(fā)展趨勢(shì)下，網(wǎng)絡(luò)安全需求已經(jīng)從傳統(tǒng)的靜態(tài)安全評(píng)估和防護(hù)，逐步變?yōu)閷?duì)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè)和動(dòng)態(tài)的態(tài)勢(shì)預(yù)測(cè)。正是基于這一訴求，網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)被提出。對(duì)于網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)而言，態(tài)勢(shì)要素提取和態(tài)勢(shì)預(yù)測(cè)是兩個(gè)關(guān)鍵環(huán)節(jié)[1]。對(duì)于不同的網(wǎng)絡(luò)架構(gòu)和技術(shù)形式，特別是大規(guī)模異構(gòu)網(wǎng)絡(luò)，其態(tài)勢(shì)要素往往有較大差異。因此，態(tài)勢(shì)要素的獲取也是態(tài)勢(shì)預(yù)測(cè)的必要前置條件。而在態(tài)勢(shì)預(yù)測(cè)階段，常見的實(shí)現(xiàn)路徑主要為利用機(jī)器學(xué)習(xí)構(gòu)建模型，進(jìn)而對(duì)未來某時(shí)刻的網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)。本文擬通過研究面向NFV與SDN高度融合的網(wǎng)絡(luò)環(huán)境的態(tài)勢(shì)要素提取方法，進(jìn)一步對(duì)該網(wǎng)絡(luò)技術(shù)架構(gòu)下的安全態(tài)勢(shì)預(yù)測(cè)問題進(jìn)行研究。

1 NFV與SDN高度融合網(wǎng)絡(luò)架構(gòu)

1.1 NFV與SDN概述

1.1.1 NFV概述

網(wǎng)絡(luò)功能虛擬化（Network Functions Virtualization，NFV），是虛擬網(wǎng)絡(luò)構(gòu)建的一種基礎(chǔ)技術(shù)方案。NFV基于虛擬化技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)功能，對(duì)傳統(tǒng)交換機(jī)、路由交換協(xié)議、網(wǎng)絡(luò)管理工具等設(shè)備設(shè)施予以替代。該技術(shù)允許網(wǎng)絡(luò)設(shè)計(jì)與構(gòu)建人員利用通用服務(wù)器，對(duì)所需的各項(xiàng)網(wǎng)絡(luò)設(shè)施進(jìn)行虛擬化實(shí)現(xiàn)，在顯著降低傳統(tǒng)網(wǎng)絡(luò)設(shè)備用量、降低實(shí)施成本的同時(shí)，進(jìn)一步提升設(shè)備的綜合利用率和管理效率[2]。此外，NFV允許管理者利用一系列開放的應(yīng)用程序接口（Application Programming Interface，API）構(gòu)建可編程、可集中管理、可智能靈活配置部署的整套虛擬化網(wǎng)絡(luò)。更為特殊的一點(diǎn)是，NFV構(gòu)建的網(wǎng)絡(luò)設(shè)備具備彈性可伸縮特性，這就使得未來的升級(jí)擴(kuò)充高效便捷。

1.1.2 SDN概述

軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）的出現(xiàn)，解決了網(wǎng)絡(luò)管理對(duì)于平臺(tái)的“開放”和“集中”訴求?！伴_放”是指不同網(wǎng)絡(luò)設(shè)備的SDN能力開放問題，“集中”則主要指將網(wǎng)內(nèi)各設(shè)備的控制信息集中到一個(gè)控制平面進(jìn)行集成控制。前者能夠有效提升整個(gè)控制面板對(duì)各類規(guī)格設(shè)備和功能的控制兼容度，使得整套網(wǎng)絡(luò)具備較強(qiáng)的功能控制解耦能力。后者則能夠以最小粒度對(duì)網(wǎng)絡(luò)進(jìn)行集中管理，極大提升管理效率。

1.2 NFV與SDN融合架構(gòu)

從NFV與SDN各自的優(yōu)勢(shì)可以看出，如果將二者進(jìn)行高度融合，不僅可以有效提升網(wǎng)絡(luò)的開放性、彈性可伸縮性、敏捷性，而且能夠在顯著降低網(wǎng)絡(luò)復(fù)雜程度的同時(shí)，實(shí)現(xiàn)高效的內(nèi)部協(xié)調(diào)和管理。這也是NFV與SDN深度融合的基礎(chǔ)與核心驅(qū)動(dòng)力。NFV與SDN的高度融合架構(gòu)如圖1所示?？梢钥吹?，整套架構(gòu)以硬件虛擬化技術(shù)為核心，構(gòu)建了虛擬化資源池。此后基于這一虛擬化資源池，進(jìn)一步構(gòu)建各級(jí)虛擬化計(jì)算資源及各層級(jí)的虛擬化設(shè)備，并構(gòu)建各層虛擬網(wǎng)絡(luò)功能（Virtual Network Function，VNF），形成虛擬化網(wǎng)絡(luò)。與此同時(shí)，利用SDN構(gòu)建管理及控制面，將NFV、VNF及基礎(chǔ)虛擬接口的管理進(jìn)行集成[3]。由于SDN能夠與南向接口通過協(xié)議直接與轉(zhuǎn)發(fā)設(shè)備交互，同時(shí)能夠與外部應(yīng)用通過北向接口通信，這就使得SDN控制器成為網(wǎng)絡(luò)管理和調(diào)度的集成中心。

圖1 NFV/SDF高度融合架構(gòu)

2 NFV與SDN高度融合下的態(tài)勢(shì)要素提取

態(tài)勢(shì)預(yù)測(cè)是基于態(tài)勢(shì)要素實(shí)現(xiàn)的。對(duì)具體問題和場(chǎng)景而言，態(tài)勢(shì)要素往往需要根據(jù)實(shí)際情形進(jìn)行分類提取，并不存在一通百通的態(tài)勢(shì)要素集合。由于NFV/SDN高度融合下的網(wǎng)絡(luò)形態(tài)和復(fù)雜度都有了顯著的變化，因此，傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的安全態(tài)勢(shì)要素顯然無法用于該環(huán)境下網(wǎng)絡(luò)的態(tài)勢(shì)預(yù)測(cè)。本章節(jié)圍繞態(tài)勢(shì)要素提取展開研究，為后續(xù)態(tài)勢(shì)預(yù)測(cè)提供支撐。

2.1 態(tài)勢(shì)要素提取網(wǎng)絡(luò)架構(gòu)

針對(duì)NFV/SDN融合環(huán)境的網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取問題，本文擬通過構(gòu)建NFV/SDN融合網(wǎng)絡(luò)攻擊信息樣本庫，結(jié)合基于深度條件變分自編碼網(wǎng)絡(luò)，對(duì)樣本中隱含的有價(jià)值的態(tài)勢(shì)要素進(jìn)行分類提取。在該架構(gòu)中，由于隱變量z是原始樣本構(gòu)建的核心，因此核心問題是如何探求隱變量z的分布[4]。本方案考慮在生成網(wǎng)絡(luò)前增加一個(gè)編碼網(wǎng)絡(luò)，利用樣本及標(biāo)簽集c作為其輸入，進(jìn)而獲得隱變量z的分布?；跇?biāo)簽c，樣本可被強(qiáng)制分配至不同的分布空間。由于編碼網(wǎng)絡(luò)與生成網(wǎng)絡(luò)互為鏡像，因此隱變量可將編碼網(wǎng)絡(luò)的輸出重構(gòu)為原始數(shù)據(jù)。最后通過對(duì)比原始數(shù)據(jù)與重構(gòu)后的原始數(shù)據(jù)的差異，最終評(píng)估訓(xùn)練獲得的各項(xiàng)權(quán)值是否達(dá)到最優(yōu)。本文構(gòu)建的態(tài)勢(shì)要素分類提取網(wǎng)絡(luò)架構(gòu)如圖2所示。

圖2 態(tài)勢(shì)要素分類提取網(wǎng)絡(luò)架構(gòu)

2.2 模型訓(xùn)練

上文所構(gòu)建的態(tài)勢(shì)要素分類提取網(wǎng)絡(luò)架構(gòu)，其核心在于編碼網(wǎng)絡(luò)和生成網(wǎng)絡(luò)。利用這種深度神經(jīng)網(wǎng)絡(luò)，能夠?qū)颖局须[含的高級(jí)特征進(jìn)行捕捉，進(jìn)而指導(dǎo)攻擊樣本的分類。該過程可描述為樣本處理、輸入網(wǎng)絡(luò)及優(yōu)化參數(shù)三個(gè)步驟。

2.2.1 樣本處理

根據(jù)獲得的網(wǎng)絡(luò)攻擊數(shù)據(jù)集，及在NFV/SDF融合環(huán)境下獲取到的網(wǎng)絡(luò)攻擊數(shù)據(jù)，共同構(gòu)建一套訓(xùn)練數(shù)據(jù)集。樣本處理階段，需要對(duì)網(wǎng)絡(luò)攻擊數(shù)據(jù)進(jìn)行歸一化處理，使其形式和構(gòu)成與網(wǎng)絡(luò)攻擊數(shù)據(jù)集數(shù)據(jù)一致，獲得樣本集x=(x1,x2,…,xn)。此后通過人工標(biāo)記方式，將網(wǎng)絡(luò)攻擊數(shù)據(jù)樣本進(jìn)行標(biāo)記，形成集合c=(c1,c2,…,ck)。據(jù)此可獲得兩個(gè)多維數(shù)據(jù)集，其中n，k分別為處理后的數(shù)據(jù)維度。

2.2.2 輸入網(wǎng)絡(luò)

將上述數(shù)據(jù)輸入編碼網(wǎng)絡(luò)，可獲得隱變量z的分布，可通過中采樣處理進(jìn)一步獲得其采樣值。此后將z的采樣值作為參數(shù)，連同標(biāo)簽共同作為生成網(wǎng)絡(luò)的輸入?yún)?shù)，完成數(shù)據(jù)重構(gòu)。

2.2.3 優(yōu)化參數(shù)

通過損失函數(shù)可對(duì)網(wǎng)絡(luò)進(jìn)行反復(fù)優(yōu)化，以最終達(dá)到編碼參數(shù)?與生成參數(shù)θ的對(duì)數(shù)似然函數(shù)的變分下界最大化的目標(biāo)[5]。該過程可表示為式（1）：

式中：?表示編碼參數(shù)，θ表示生成參數(shù)，z表示采樣值，x表示樣本集，c表示樣本標(biāo)記集，L表示隱變量z的采樣數(shù)。q?(z|x,c)與pθ(x|z,c)分別表示編碼網(wǎng)絡(luò)和生成網(wǎng)絡(luò)的概率分布，其中pθ(x|z,c)主要用于評(píng)估隱函數(shù)z在生成網(wǎng)絡(luò)中能夠?qū)颖綾重構(gòu)為原始樣本的概率。此時(shí)，應(yīng)視近似概率q?(z|x,c)服從正態(tài)分布N(μ,δ2)，條件概率pθ(z|c)服從正態(tài)分布N(μ,1)。通過對(duì)上述兩個(gè)概率進(jìn)行KL散度，可評(píng)估二者的相似度。若二者不同，則該損失函數(shù)將對(duì)網(wǎng)絡(luò)進(jìn)行懲罰。

樣本擴(kuò)充階段主要通過生成網(wǎng)絡(luò)來完成。該網(wǎng)絡(luò)通過計(jì)算生成樣本與元樣本的偏離度，計(jì)算構(gòu)建損失，并指定構(gòu)建損失閾值。某類別的損失閾值（或稱最大構(gòu)建損失）可用式（2）表示。

式中：maxL表示損失閾值，即構(gòu)建損失的過濾標(biāo)準(zhǔn)，max(l(x,c))表示輸入的樣本集x及標(biāo)記集c的最大重構(gòu)損失值。若該類別樣本構(gòu)建損失超過該閾值，則剔除；反之，則納入新訓(xùn)練集合中，用于對(duì)編碼網(wǎng)絡(luò)進(jìn)行微調(diào)優(yōu)化。

2.3 樣本分類

編碼網(wǎng)絡(luò)完成訓(xùn)練后，可為編碼網(wǎng)絡(luò)增加softmax層，用于實(shí)現(xiàn)分類結(jié)果的輸出。通過softmax函數(shù)，神經(jīng)元的輸出將最終映射到（0，1）區(qū)間內(nèi)，直接表示分類概率。分類概率計(jì)算公式可表示為式（3）：

式中：W為回歸層的權(quán)重參數(shù)，b為偏置值，I為輸出層節(jié)點(diǎn)數(shù)量（表征類別數(shù)量）。

3 網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法研究

前文的成果能夠?yàn)榫W(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)提供適當(dāng)?shù)膽B(tài)勢(shì)要素。本文提出一種基于注意力機(jī)制的循環(huán)門控單元（Gated Recurrent Unit，GRU）網(wǎng)絡(luò)。該網(wǎng)絡(luò)實(shí)質(zhì)上是一種簡(jiǎn)化的長短時(shí)記憶網(wǎng)絡(luò)（Long Short-Term Memory，LSTM），是一種具備選擇性短時(shí)記憶能力的帶有門控制機(jī)制的神經(jīng)網(wǎng)絡(luò)，能夠針對(duì)網(wǎng)絡(luò)態(tài)勢(shì)要素變動(dòng)的歷史進(jìn)行綜合衡量，進(jìn)而對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行動(dòng)態(tài)感知[6]。

3.1 網(wǎng)絡(luò)構(gòu)建

本文構(gòu)建的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)網(wǎng)絡(luò)如圖3所示。輸入層的輸入數(shù)據(jù)來源為：利用前文分類獲取到的網(wǎng)絡(luò)態(tài)勢(shì)要素為分類標(biāo)準(zhǔn)，對(duì)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的數(shù)據(jù)進(jìn)行處理，使其符合網(wǎng)絡(luò)輸入層所需的維度和結(jié)構(gòu)。編碼層的核心即GRU網(wǎng)絡(luò)。通過GRU的門結(jié)構(gòu)，信息可根據(jù)需要進(jìn)行短暫存儲(chǔ)，以實(shí)現(xiàn)對(duì)信息實(shí)時(shí)流動(dòng)的調(diào)控。注意力層則主要對(duì)數(shù)據(jù)屬性權(quán)重進(jìn)行調(diào)整，對(duì)于各數(shù)據(jù)與網(wǎng)絡(luò)安全趨勢(shì)的關(guān)聯(lián)度進(jìn)行定義，確保整個(gè)注意力網(wǎng)絡(luò)能夠側(cè)重于對(duì)高影響因子的信息的關(guān)注，進(jìn)而獲得更精準(zhǔn)的預(yù)測(cè)結(jié)果[7]。網(wǎng)絡(luò)最后為預(yù)測(cè)網(wǎng)絡(luò)結(jié)構(gòu)，最終輸出實(shí)時(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)值。

圖3 基于注意力機(jī)制和GRU的網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)網(wǎng)絡(luò)

3.2 GRU超參數(shù)選擇

GRU網(wǎng)絡(luò)的性能與網(wǎng)絡(luò)參數(shù)息息相關(guān)[8]，諸如網(wǎng)絡(luò)神經(jīng)元數(shù)量m，batchsize，時(shí)間步長T等超參數(shù)的尋找十分關(guān)鍵。這里通過粒子群算法設(shè)計(jì)如圖4所示的步驟對(duì)超參數(shù)進(jìn)行選擇。

圖4 超參數(shù)組合優(yōu)化算法邏輯

首先，初始化粒子群參數(shù)，設(shè)定包括種群規(guī)模I、迭代次數(shù)p、慣性權(quán)重W，以及c1，c2變化區(qū)間在內(nèi)的所有粒子群建立所必須的參數(shù)。

其次，對(duì)種群根據(jù)規(guī)模I進(jìn)行隨機(jī)生成，參數(shù)包括網(wǎng)絡(luò)神經(jīng)元數(shù)量m，batchsize，時(shí)間步長T，同時(shí)對(duì)粒子初始速度和初始位置進(jìn)行指定。

此后根據(jù)每輪迭代，參照式（4）和式（5）對(duì)粒子位置進(jìn)行實(shí)時(shí)調(diào)整，并對(duì)粒子與歷史最佳位置和種群最佳位置進(jìn)行對(duì)比，評(píng)估是否到達(dá)了優(yōu)化終點(diǎn)。

3.3 模型求解

前文對(duì)GRU網(wǎng)絡(luò)參數(shù)進(jìn)行了最優(yōu)化，本階段將對(duì)模型進(jìn)行求解，完成輸入到輸出各步驟的設(shè)計(jì)。

第一步，定義輸入數(shù)據(jù)。這里將帶有時(shí)間序列的輸入數(shù)據(jù)用式（6）表示。

式中：T為時(shí)間步長，n為數(shù)據(jù)屬性數(shù)量。

第二步，通過式（7）—式（10）對(duì)GRU中重置門、更新門的控制邏輯進(jìn)行定義，實(shí)現(xiàn)信息記憶與遺忘機(jī)制。

式中：Wr表示重置門的權(quán)值矩陣，Wz表示更新門的權(quán)重矩陣，br表示重置門的偏置值，bz表示更新門的偏置值，°表示矩陣乘法。最終可獲得編碼器的映射結(jié)果ht。

第三步，利用h及原始訓(xùn)練樣本作為輸入值，輸入注意力層。在該層中，首先利用式（11）對(duì)h與其他屬性間的相似性進(jìn)行評(píng)估。

式中：k在[1,n]區(qū)間內(nèi)，表示安全指標(biāo)的編號(hào)，ht-1表示上一時(shí)刻編碼器的隱藏狀態(tài)，xk表示第k個(gè)安全指標(biāo)在一個(gè)時(shí)間步長中的數(shù)據(jù)。此后通過softmax對(duì)該評(píng)估值進(jìn)行歸一化，最終使得所有注意力權(quán)重總和為1。最終加權(quán)求和，獲得t時(shí)刻綜合權(quán)值ct（該權(quán)值充分考慮了歷史信息）。

第四步，利用預(yù)測(cè)網(wǎng)絡(luò)計(jì)算該時(shí)刻的預(yù)測(cè)輸出，并更新GRU的隱藏狀態(tài)。最終可獲得t時(shí)刻的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)值該過程可由式（12）和式（13）描述。

式中：g為基于softmax函數(shù)的線性變換，ct為t時(shí)刻的綜合權(quán)值，dt表示此刻GRU的隱藏狀態(tài)更新。

3.4 實(shí)驗(yàn)及模型評(píng)價(jià)

3.4.1 評(píng)價(jià)指標(biāo)及對(duì)照模型選擇

本文選擇平均絕對(duì)誤差（Mean Absolute Error，MAE）及均方根誤差（Root Mean Square Error，RMSE）作為模型效果的評(píng)估指標(biāo)?？擅枋鰹槭剑?4）及式（15）。

式中：N為預(yù)測(cè)次數(shù)，與測(cè)試數(shù)據(jù)集大小一致，yi為預(yù)測(cè)結(jié)果，為樣本標(biāo)記的真實(shí)態(tài)勢(shì)值。

為客觀評(píng)估本文設(shè)計(jì)的模型性能，選取Attention-RNN、AIS-LSTM兩種神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)模型，以及PSO-SVM這一傳統(tǒng)機(jī)器學(xué)習(xí)模型作為本次評(píng)價(jià)的對(duì)照模型。

3.4.2 數(shù)據(jù)預(yù)處理

數(shù)據(jù)方面，本文選取國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的周數(shù)據(jù)以及在NFV/SDF融合環(huán)境下的安全態(tài)勢(shì)數(shù)據(jù)，并確定以安全漏洞新增數(shù)量、外部攻擊中Web內(nèi)容篡改攻擊數(shù)量、網(wǎng)內(nèi)病毒感染數(shù)量、外部DDOS攻擊數(shù)量作為主要安全指標(biāo)。選取時(shí)間步長為周，準(zhǔn)備了共計(jì)260組訓(xùn)練數(shù)據(jù)及130組測(cè)試數(shù)據(jù)。

由于網(wǎng)絡(luò)隨機(jī)性較強(qiáng)，數(shù)據(jù)量綱差異較大，為便于訓(xùn)練，本文采用式（16）所描述的方法對(duì)數(shù)據(jù)進(jìn)行歸一化處理，以數(shù)據(jù)自身度量其變化程度，將數(shù)據(jù)變化的表達(dá)方式統(tǒng)一化。

式中：x為目標(biāo)數(shù)據(jù)，max(x)和min(x)分別為x的最大值和最小值。

3.4.3 結(jié)果對(duì)比及評(píng)價(jià)

通過對(duì)本文設(shè)計(jì)的模型、Attention-RNN、AISLSTM、PSO-SVM四種模型進(jìn)行訓(xùn)練和測(cè)試，得到如表1所示的結(jié)果。可以看到，本文設(shè)計(jì)的基于GRU的注意力模型的整體表現(xiàn)不僅遠(yuǎn)超傳統(tǒng)支持向量機(jī)（Support Vector Machine，SVM）模型，在與同類神經(jīng)網(wǎng)絡(luò)模型相比時(shí)也有更好的表現(xiàn)。該結(jié)果可以證實(shí)，注意力機(jī)制本身對(duì)于權(quán)重分配的優(yōu)化有較高的價(jià)值。

表1 四種模型的誤差值對(duì)比結(jié)果

4 結(jié) 語

本文面向NFV與SDN高度融合的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)問題進(jìn)行了研究。首先介紹了NFV與SDN網(wǎng)絡(luò)的特征和優(yōu)勢(shì)，并提出其與傳統(tǒng)網(wǎng)絡(luò)的差異；其次，探討了面向NFV/SDN融合網(wǎng)絡(luò)的態(tài)勢(shì)預(yù)測(cè)難點(diǎn)和步驟；再次，通過構(gòu)建態(tài)勢(shì)要素分類算法，提出了面向NFV/SDN融合網(wǎng)絡(luò)的態(tài)勢(shì)要素提取機(jī)制；最后，利用基于注意力機(jī)制的GRU網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型進(jìn)行構(gòu)建和求解。期望本文的研究能夠?yàn)榫W(wǎng)絡(luò)安全領(lǐng)域的工作提供一些幫助。