基于GMM改進的信息系統安全態勢實時預測研究

顧兆軍 王蕊莉 王帥卿

(中國民航大學計算機科學與技術學院 天津 300300)

基于GMM改進的信息系統安全態勢實時預測研究

顧兆軍 王蕊莉 王帥卿

(中國民航大學計算機科學與技術學院 天津 300300)

現有安全態勢預測方法由于消耗較大和耗時較長而造成預測效果不佳，考慮到信息系統的結構復雜、信息交互頻繁等特點，依據典型灰色模型GM(1,1)的消耗低、樣本小、適用性強、短期預測效果好等特點對信息系統進行實時的安全態勢預測。同時針對GM(1,1)模型的隨機波動性小的問題，結合馬爾可夫(Markov)鏈適用于隨機波動較大的特點，提出一種以灰色GM(1,1)為預測原型，用馬爾可夫鏈對GM(1,1)預測模型進行誤差修正的實時信息系統安全態勢預測模型。實驗結果表明，在信息系統安全態勢預測方面，該模型能夠較準確地預測安全態勢的總體趨勢，且預測精度高于原灰色-馬爾可夫模型的精度。

安全態勢預測 灰色理論 馬爾可夫模型

0 引 言

隨著“寬帶中國”戰略推進實施，互聯網升級全面提速，用戶規模快速增長，網絡的重要性逐步加強。2013年，斯諾登披露的“棱鏡門”事件如同重磅炸彈，引發了國際社會和公眾對網絡安全的空前關注。2014年2月27日，中央網絡安全和信息化領導小組成立，該小組研究制定網絡安全和信息化發展戰略，從而可以更好地統籌協調經濟、政治、文化、社會及軍事等各個領域的網絡安全。由此可見，信息系統時刻面臨著外部的威脅且安全狀況非常嚴峻。迫切需要一個能為高層領導或管理員實時提供有關信息系統安全狀況及安全態勢發展趨勢的系統，以使得管理人員能夠及時發現網絡中的異常事件，實時掌握系統安全狀況，降低信息系統風險，提高信息系統安全防護能力。

安全態勢感知能夠充分利用信息系統各個設備產生的大量有用日志和報警對信息系統有一個整體安全態勢的理解。然后運用安全態勢評估方法從整體上動態反映當前信息系統的安全狀況。最后利用安全態勢預測方法對信息系統未來狀況趨勢進行預測，使得能夠實時地為安全管理者展現信息系統所面臨的威脅，并為最優決策和安全管理的優化提供依據，把由網絡安全帶來的風險和損失降低到最小限度。

信息系統安全態勢預測是在安全態勢感知的態勢理解和態勢評估的基礎上，利用歷史態勢值數據和當前狀態對信息系統的未來安全態勢值進行預測。對信息系統安全態勢預測的研究使之能夠在安全威脅造成嚴重后果之前進行預測，使得管理者能夠提前采取一定的防御措施，防患于未然。

目前，安全態勢預測沒有形成標準的方法體系，國內外學者對此進行了大量的研究，常用的預測方法主要有時間序列分析法[1]、支持向量機法[2-3]、線性回歸法[4]、灰色預測法[5]和馬爾可夫(Markov)法[6]。時間序列法能夠體現時間序列的隨機性和周期性，但步驟較為復雜，需要大量的人為參與。同時，支持向量機法具有較強的學習能力，精度較高，但是訓練時間長，消耗較大。而灰色預測法算法模型簡單、消耗較小、易于實現、適用于小樣本預測、適用性強，但誤差較大，無法體現周期性和隨機性。而Markov法具有較強的隨機性，能夠有效地體現周期性，但在安全態勢預測中很難確定態勢集或可觀測狀態集。

為此，本文提出了一種基于灰色GM(1,1)為原型，用改進的馬爾可夫鏈為誤差校正的GMM實時信息系統安全態勢預測模型。即使模型簡單、消耗較小、易于實現、不需要太多的人為因素、適用性強，又能較好地體現安全態勢預測的隨機性與周期性，同時也大大提高了預測精度。

1 灰色-馬爾可夫組合實時預測模型的建立

本文根據灰色預測法算法模型簡單、消耗較小、易于實現、適用性強、只需一小部分數據樣本就可以實現預測等特點，并結合馬爾可夫模型的具有較強的隨機性，能夠有效地體現周期性的特點來修正灰色預測結果與實際之間的誤差，建立了基于灰色-馬爾可夫的信息系統安全態勢實時預測模型，從而使得安全態勢實時預測模型既能夠較好地體現安全態勢預測的隨機性與周期性，又滿足實時預測的需求。同時，本文針對傳統的灰色-馬爾可夫模型中的初始數據序列、狀態劃分和狀態轉移概率矩陣缺乏實時更新及馬爾可夫模型中狀態劃分的不合理性等問題進行了改進。改進后的模型能夠較準確地預測出安全態勢的總體趨勢，且預測精度高于原灰色-馬爾可夫模型的精度，其預測模型流程如圖1所示。

圖1 改進的灰色-馬爾可夫實時預測流程圖

2 灰色GM(1,1)模型的建立

信息系統的實時預測需要在相對較短的時間內、較少的數據樣本的情況下，根據最新的安全態勢值來預測下一個時刻的安全態勢趨勢，而灰色預測模型在少數據、貧信息的預測中占有較為突出的優勢，并且短期預測效果相對較好。所以本文采用灰色預測模型中最基本模型GM(1,1)來實現信息系統的實時預測，并在傳統灰色預測模型的基礎上，以滑動時間窗口來選擇輸入樣本，以便獲得較好的短期預測效果。其算法描述如下：

算法1 灰色GM(1,1)預測算法

輸入m個隨時間k(k=1,2,…,L)變化的數列原始安全態勢值數據序列：

(1)

其中i=1,2,…,m。

步驟1 令i=0。

步驟2 對式(1)進行一次累加生成，得:

(2)

(3)

(4)

其中:

(5)

(6)

步驟5 建立生成數據GM(1,1)灰色預測模型：

(7)

步驟6 累減還原得到:

(8)

步驟9 分別求k時刻預測值的個數為S和總數Tol。

算法1在原GM(1,1)模型的基礎上，利用新信息優先的原理，每預測一個安全態勢值對GM(1,1)預測模型的初始數據序列去掉一個最舊信息，添加一個最新時刻的信息，從而能夠對數據序列進行實時更新，以確保算法模型隨時間變化而不斷更新。同時，每預測未來8個安全態勢值，根據最新數據對預測模型的參數進行一次更新。

3 預測模型的適用范圍和精度的檢驗

灰色GM(1,1)預測模型建立后，需要對模型進行適用范圍和模型精度的檢驗。肖新平等[14]指出模型的適用范圍與發展系數-a相關，如表1所示。

表1 模型適用范圍

由第1節建立的GM(1,1)模型是否有效、合理，需要通過一定的模型精度檢驗才能用作預測，其中模型精度檢驗包括殘差檢驗、后驗差檢驗和關聯度檢驗三種檢驗方法。本文采用劉思峰等[15]提出的后驗差檢驗方法進行檢驗。除此，劉思峰等指出一般情況下，最常用的是誤差值檢驗指標。

(9)

(10)

由式(9)和式(10)可計算方差比C、小誤差概率p如下所示：

(11)

(12)

常用的預測精度等級如表2所示。

表2 預測精度等級

4 改進的Markov修正模型

Markov模型是一個隨機模型，常用來處理與時間序列有關的問題，廣泛地應用于生物信息學、語音識別、天氣預報、信息處理等領域，近幾年也被用來進行安全態勢預測。

一個完整的Markov模型一般包括狀態集E、狀態轉移概率矩陣P和初始狀態矩陣π三項元素，具有無后效性的特性。本文利用Markov模型的這種特性來對灰色模型中得到的擬合相對誤差劃分狀態，通過狀態轉移概率來預測下一個狀態的相對誤差，以此對灰色模型進行修正，來提高灰色模型的預測精度。

4.1 狀態劃分

算法2 狀態劃分算法

輸入 相對誤差序列ε(0)(1),ε(0)(2),…,ε(0)(n)。

步驟1 令i=1，j=n，ε(0)(0)。

步驟2 當ε(0)(j)>ε(0)(0)時，則j=j-1，轉步驟2。否則ε(0)(i)=ε(0)(j),i=i+1，轉步驟3。

步驟3 當ε(0)(i)≤ε(0)(0)時，則i=i+1，轉步驟3。否則ε(0)(j)=ε(0)(i),j=j-1，轉步驟2。

步驟4 如果i

步驟5 如果i=j,則ε(0)(i)=ε(0)(0)。

步驟6 對ε(0)(1),ε(0)(2),…,ε(0)(i-1)和ε(0)(i+1),ε(0)(i+2),…,ε(0)(n)分別繼續重復執行步驟1至步驟5，直到所在記錄全部被排放到正確位置為止。

步驟8 ?1k=ε(0)(p)。

步驟9 如果ε(0)(q)=ε(0)(q+1)，則q=q+1，p=q+1轉步驟9。

步驟10 ?2k=ε(0)(q)，k=k+1。

算法2對GM(1,1)模型預測態勢值與實際值誤差序列進行訓練，根據歷史誤差序列落到每個區間的頻率劃分出m個狀態區間。

4.2 狀態轉移概率矩陣的確定

(13)

狀態轉移概率矩陣為：

(14)

4.3 狀態預測

選定最近的c個時刻，將其轉移步數分別定義為1,2,…,c，根據式(13)-式(14)計算總概率矩陣Pcn。假設當前灰色預測所處的偏移狀態為Ei，對Pcn每一列元素的總和，其中Pik=maxPij，則下一刻最有可能處的偏移狀態為Ek，該狀態的平均偏移量為：

(15)

在確定Pik時，如果第k行有兩個或兩個以上相同的最大值，則要結合c+1個時刻的狀態轉移概率矩陣進行計算。同時，為了提高預測精度，本文根據信息系統態勢值有其規律性，但其隨機性也比較大的特點，適時更新狀態劃分E和概率轉移矩陣。由于神經網絡原定時更新需要消耗大量的時間對其新樣本進行訓練，所以這種實時更新的方法更優于神經網絡定時更新。

5 實驗結果及分析

為了驗證灰色-馬爾可夫鏈改進方法的信息系統安全態勢實時預測的可行性和有效性，本文搭建了一個模擬實驗環境，其拓撲圖如圖2所示。模擬環境中包含了四個生產區域：安全管理區域、對外應用服務區域、生產區域和內網辦公區域，其中對外服務區域為主要受攻擊區域，其包括郵件服務器和網站服務器2臺服務器，且分別為郵件服務器安裝Windows Server 2003操作系統，為網站服務器安裝Linux操作系統和net-snmp應用程序，并為兩者安裝Nessus漏洞掃描軟件，其提供的服務類型和自身存在的漏洞如表3所示。

表3 受攻擊區域內服務器的信息

圖2 模擬實驗環境拓撲圖

模擬實驗中攻擊者選擇LOIC.exe作為攻擊工具，在不同時刻對Web服務器、郵件服務器等發起DDos攻擊、漏洞掃描、修改Web服務器里面的數據、竊取郵件服務器器里面的數據等操作。具體攻擊步驟如下：

第1階段，正常用戶在模擬過程中網站服務器和郵件服務器；

第2階段，攻擊者使用LOIC.exe模擬DDos攻擊，并通過參數設置攻擊頻率是30次/s；

第3階段，攻擊者加大攻擊頻率到180次/s；

第4階段，在第2個階段情況下，攻擊者運用漏洞掃描工具Nessus進行漏洞掃描，然后入侵到網站服務器并竊取其中的數據；

第5階段，在第2個階段情況下，攻擊者漏洞掃描工具Nessus進行漏洞掃描，然后入侵到郵件服務器并修改其中的數據；

第6階段，攻擊者停止對網站服務器發起的DDos攻擊；

第7階段，攻擊者停止對郵件服務器發起的DDos攻擊。

根據攻擊場景的設定，按圖3所示的信息系統指標體系收采集來自路由器DDos攻擊信息，其他服務器的Nessus漏洞掃描信息及路由器的Netflow數據流信息，為進一步的評估實驗仿真和預測實驗仿真提供全面可靠的數據源。

圖3 信息系統評估指標體系

5.1 信息系統安全態勢值的計算

本文是在文獻[22]研究的基礎上進行安全態勢預測研究，如圖4所示。其主要是根據AHP的基本原理從多層次、多角度來建立信息系統指標體系，并調查研究對指標進行標準化，運用改進的FAHP確實指標權重，同時結合FCE進行信息系統的安全態勢值的計算。

圖4 AHP-IFAHP-FCE模型結構

本文根據《基于改進的模糊層次分析法的信息系統安全態勢評估模型》提出的安全態勢評估指標體系每隔1小時提取上述模擬實驗過程中的安全態勢指標值，共提取了24個時刻的指標值，且利用其安全態勢評估方法計算信息系統安全態勢值，其計算結果如表4所示。

表4 信息系統24時刻的安全態勢值

5.2 信息系統安全態勢值預測及分析

本實驗按照表4給出的信息系統安全態勢值數據作為改進的GMM的測試數據，以Matlab作為工具進行防真實驗。首先以前8個時刻的態勢值作為一組輸入樣本，建立安全態勢預測模型預測第9個時刻的態勢值，然后采用新信息優先的原則，去除離當前時刻最早的時刻數據，添加離當前時刻最新的時刻的數據來更新輸入樣本數據。如在預測第10個時刻之前，用將最新的第9個時刻的實際數據添加到第8個時刻數據的后面，并去掉當前輸入樣本中最早時刻的數據即第1個時刻的數據，最后預測第9個時刻的安全態勢值。以此類推，以時間窗口向前滑動來選擇樣本實時更新模型來進行預測下一個時刻的態勢值。由于每組輸入樣本的計算方法是一致的，本文以初始輸入樣本為例對計算方法進行詳細的說明。

步驟1 建立信息系統安全態勢值GM(1,1)預測模型

按照表5所給出的1～8時刻的安全態勢值數據，根據算法1中的步驟1至步驟7，運用Matlab工具建立安全態勢值GM(1,1)預測模型為：

=0.5349e0.0149(t-1)

(16)

由式(4)、式(5)和式(6)可計算出該模型中-a=0.0149<0.3，由表1可知該模型可用于信息系統安全態勢的實時預測。按上述建立的模型(式(16))計算出8個時刻信息系統安全態勢預測值如表5所示。

表5 1 h-8 h的初始態勢預測值

步驟2 利用GM(1,1)預測安全態勢值

根據算法1中的步驟8至步驟10運用新信息優先原理，以時間窗口向前滑動來選擇樣本實時更新模型來預測下一個時刻的態勢值，依次計算出24小時的信息系統安全態勢預測值及誤差值如表6所示。

表6 信息系統24個時刻的安全態勢預測值

步驟3 狀態劃分

利用上述建立的實時更新預測模型預測500個時刻的態勢值，然后將這些態勢值如表6中24個時刻的那樣計算得出500個時刻的預測值與實際值的歷史誤差值序列，最后根據算法2劃分出4個狀態，其結果為：

E1=[-0.5170,-0.1111]

E2=[-0.1102,0.0483]

E3=[0.0495,0.1263]

E4=[0.1266,0.3627]

步驟4 建立轉移概率矩陣

在利用狀態轉移概率矩陣進行信息系統安全態勢預測時，一般只需要考慮一步轉移概率矩陣。利用Matlab工具計算得出表6中的24個時刻的誤差值落在上述4個狀態區間的狀態區間序列，如表7所示。

表7 24個時刻的狀態序列

根據表7中的狀態區間序列，按式(13)和式(14)計算出轉移概率矩陣為：

(17)

步驟5 狀態預測

利用4.3節中的理論和式(15)進行狀態預測，如果第k行有兩個或兩個以上相同的最大值，此時狀態轉移難以確定，需要考察二步或n步轉移概率矩陣。比較第24個時刻信息系統安全態勢的實際值0.5443與預測值0.5959可知，目前信息系統安全態勢值處于狀態E2，由狀態轉移概率矩陣式(17)的第2行，可知P23=maxP2j，即下一個小時的安全態勢預測值最有可能處于狀態E3。由于該模型以8個時刻為一個預測周期，由此根據式(16)可得第1個小時的預測值為：

=0.6228

同理可以預測其下一周期的安全態勢預測值。表8為下一個周期，即未來7小時的安全態勢預測值和實際值的比較。

表8 信息系統未來8小時的安全態勢預測值

步驟6 預測模型精度檢驗

利用表8中的數據，根據3節中的式(9)-式(12)分別計算出小誤差概率、相對誤差、后驗方差值比和關聯度，其結果如表9所示，由表2可知關聯度r>0.60時，該模型可以使用。根據表9中的小誤差概率、相對誤差、后驗方差值比可知該模型滿足一級精度。

表9 改進的GMM精度檢驗

如圖5所示，本文將利用改進的灰色-馬爾可夫算法預測出的安全態勢值與沒有改進的算法及信息系統實際的安全態勢值進行對比發現，改進的GMM模型預測曲線趨勢與實際曲線基本上一致，圖中大部分改進的GMM預測曲線比沒有改進的GMM模型預測更接近實際曲線。

圖5 信息系統安全態勢預測值對比圖

6 結 語

本文的主要工作是研究怎樣能夠更好地預測信息系統安全態勢狀況，并指出了目前GMM模型中的灰色GM(1,1)預測算法的初始數據序列不具有實時更新的不足，提出了一種新的改進算法。同時針對GMM模型中Markov算法狀態劃分的不合理性進行了改進，在改進的GMM模型預測過程中添加了狀態劃分和狀態轉移概率的更新，并通過實驗證明了改進的GMM預測模型可以實現實時安全態勢預測，預測精度高于原GMM預測模型。下一步，需要在此理論的基礎上，進一步研究信息系統安全態勢預警，及時為管理者提供檢測出的系統中存在的異常事件，并針對該異常現象為管理者提出最佳解決參考方案。

[1] 李凱, 曹陽. 基于ARIMA模型的網絡安全威脅態勢預測方法[J]. 計算機應用研究, 2012, 29(8):3042-3045.

[2] 孟錦. 網絡安全態勢評估與預測關鍵技術研究[D]. 南京：南京理工大學, 2012.

[3] 張翔, 胡昌振, 劉勝航, 等. 基于支持向量機的網絡攻擊態勢預測技術研究[J]. 計算機工程, 2007, 33(11):10-12.

[4] Chang K C, Yin X, Saha R K. A linear predictive bandwidth conservation algorithm for situation awareness[C]//Proceedings of the 37th IEEE Conference on Decision and Control , 1998:4726-4731.

[5] 李心科, 金元杰. 基于灰色預測理論的軟件缺陷預測模型研究[J]. 計算機應用與軟件, 2009, 26(3):101-103.

[6] 章登義, 歐陽黜霏, 吳文李. 針對時間序列多步預測的聚類隱馬爾科夫模型[J]. 電子學報, 2014, 42(12):2359-2364.

[7] Livani H, Jafarzadeh S, Fadali M S, et al. Power system state forecasting using fuzzy-Viterbi Algorithm[C]//2014 IEEE PES General Meeting | Conference & Exposition, 2014:1-5.

[8] Cartella F, Lemeire J, Dimiccoli L, et al. Hidden semi-Markov models for predicitve maintenance[J]. Mathematical Problems in Engineering, 2015, 2015:1-23.

[9] 黃同慶, 莊毅. 一種實時網絡安全態勢預測方法[J]. 小型微型計算機系統, 2014, 35(2):303-306.

[12] 任午令, 趙翠文, 姜國新, 等. 基于攻擊行為預測的網絡防御策略[J]. 浙江大學學報(工學版), 2014, 48(12):2144-2151,2229.

[13] Rabiner L R. A tutorial on hidden Markov models and selected applications in speech recognition[M]//Readings in Speech Recognition. San Francisco, CA, USA: Morgan Kaufmann Publishers, 1990:267-296.

[14] 肖新平, 宋忠民, 李峰. 灰技術基礎及其應用[M]. 北京：科學出版社, 2005.

[15] 劉思峰, 黨耀國, 方志耕, 等. 灰色系統理論及其應用[M]. 北京：科學出版社, 1999:126-135.

[16] Li F, Wang Z, Song Z. A new method for grey forecasting model group[J]. Journal of Systems Engineering and Electronics, 2002, 13(3):1-7.

[17] 楊軍, 侯忠生. 一種基于灰色馬爾科夫的大客流實時預測模型[J]. 北京交通大學學報, 2013, 37(2):119-123,128.

[18] 李頻. 基于灰色動態馬爾科夫的航班延誤預測[J]. 上海工程技術大學學報, 2014, 28(4):333-336,346.

[19] Tong X, Chen M, Li Z. Grey optimized models and their existence theorem[J]. Kybernetes, 2004, 33(2):363-371.

[20] 馬峻, 王京. 基于改進灰色馬氏鏈模型的齒輪壽命分析[J]. 制造技術與機床, 2015(3):43-46.

[21] 劉紅躍. 基于灰色馬爾可夫鏈理論的股市分析[D]. 北京：北方工業大學, 2015:21-22.

[22] 顧兆軍, 王蕊莉. 基于改進的模糊層次分析法的信息系統安全態勢評估模型[J]. 計算機工程與科學, 2017(2).

RESEARCH ON REAL-TIME FORECAST OF SECURITY POSTURE OF INFORMATION SYSTEM BASED ON IMPROVED GREY-MARKOV CHAIN

Gu Zhaojun Wang Ruili Wang Shuaiqing

(CollegeofComputerScienceandTechnology,CivilAviationUniversityofChina,Tianjin300300,China)

Aiming at the problem of bad prediction result because of large consumption and time consuming in the existing security posture prediction methods,the information system is real-time forecasted in security posture according to the characteristics of low consumption,small sample,stronger applicability and excellent performance of short-time forecasting of the typical gray GM (1,1) model,considering the problems of large-scale,complex structure and frequent information exchange of information system.Meanwhile,aiming at the problem of low stochastic volatility of GM (1,1) model,an improved GM (1,1) model is built,which combines with the characteristic of larger random fluctuation of Markov chain applies.Thus,using gray GM (1,1) as a prototype of forecast,a real-time forecast of information system security posture is proposed by utilizing the Markov chain to modify the improved GM (1,1) model.The experimental results show that the model is able to predict the overall trend of security posture accurately and is better than the previous Grey-Markov model in the forecast of information systems security posture.

Security posture forecast Grey theory Markov model

2015-11-28。民航科技項目(MHRD20140205,MHRD20150233);中央高校基本科研業務費中國民航大學專項(3122013Z008,3122015D025);2014年民航安全能力建設資金項目(PDSA0008)。顧兆軍，教授，主研領域：網絡與信息安全，搜索引擎，民航信息系統。王蕊莉，碩士生。王帥卿，碩士生。

TP393.08

A

10.3969/j.issn.1000-386x.2017.02.049