顧兆軍 王蕊莉 王帥卿

(中國民航大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院 天津 300300)

基于GMM改進(jìn)的信息系統(tǒng)安全態(tài)勢實(shí)時預(yù)測研究

顧兆軍 王蕊莉 王帥卿

(中國民航大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院 天津 300300)

現(xiàn)有安全態(tài)勢預(yù)測方法由于消耗較大和耗時較長而造成預(yù)測效果不佳，考慮到信息系統(tǒng)的結(jié)構(gòu)復(fù)雜、信息交互頻繁等特點(diǎn)，依據(jù)典型灰色模型GM(1,1)的消耗低、樣本小、適用性強(qiáng)、短期預(yù)測效果好等特點(diǎn)對信息系統(tǒng)進(jìn)行實(shí)時的安全態(tài)勢預(yù)測。同時針對GM(1,1)模型的隨機(jī)波動性小的問題，結(jié)合馬爾可夫(Markov)鏈適用于隨機(jī)波動較大的特點(diǎn)，提出一種以灰色GM(1,1)為預(yù)測原型，用馬爾可夫鏈對GM(1,1)預(yù)測模型進(jìn)行誤差修正的實(shí)時信息系統(tǒng)安全態(tài)勢預(yù)測模型。實(shí)驗(yàn)結(jié)果表明，在信息系統(tǒng)安全態(tài)勢預(yù)測方面，該模型能夠較準(zhǔn)確地預(yù)測安全態(tài)勢的總體趨勢，且預(yù)測精度高于原灰色-馬爾可夫模型的精度。

安全態(tài)勢預(yù)測 灰色理論 馬爾可夫模型

0 引 言

隨著“寬帶中國”戰(zhàn)略推進(jìn)實(shí)施，互聯(lián)網(wǎng)升級全面提速，用戶規(guī)模快速增長，網(wǎng)絡(luò)的重要性逐步加強(qiáng)。2013年，斯諾登披露的“棱鏡門”事件如同重磅炸彈，引發(fā)了國際社會和公眾對網(wǎng)絡(luò)安全的空前關(guān)注。2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，該小組研究制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略，從而可以更好地統(tǒng)籌協(xié)調(diào)經(jīng)濟(jì)、政治、文化、社會及軍事等各個領(lǐng)域的網(wǎng)絡(luò)安全。由此可見，信息系統(tǒng)時刻面臨著外部的威脅且安全狀況非常嚴(yán)峻。迫切需要一個能為高層領(lǐng)導(dǎo)或管理員實(shí)時提供有關(guān)信息系統(tǒng)安全狀況及安全態(tài)勢發(fā)展趨勢的系統(tǒng)，以使得管理人員能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常事件，實(shí)時掌握系統(tǒng)安全狀況，降低信息系統(tǒng)風(fēng)險，提高信息系統(tǒng)安全防護(hù)能力。

安全態(tài)勢感知能夠充分利用信息系統(tǒng)各個設(shè)備產(chǎn)生的大量有用日志和報警對信息系統(tǒng)有一個整體安全態(tài)勢的理解。然后運(yùn)用安全態(tài)勢評估方法從整體上動態(tài)反映當(dāng)前信息系統(tǒng)的安全狀況。最后利用安全態(tài)勢預(yù)測方法對信息系統(tǒng)未來狀況趨勢進(jìn)行預(yù)測，使得能夠?qū)崟r地為安全管理者展現(xiàn)信息系統(tǒng)所面臨的威脅，并為最優(yōu)決策和安全管理的優(yōu)化提供依據(jù)，把由網(wǎng)絡(luò)安全帶來的風(fēng)險和損失降低到最小限度。

信息系統(tǒng)安全態(tài)勢預(yù)測是在安全態(tài)勢感知的態(tài)勢理解和態(tài)勢評估的基礎(chǔ)上，利用歷史態(tài)勢值數(shù)據(jù)和當(dāng)前狀態(tài)對信息系統(tǒng)的未來安全態(tài)勢值進(jìn)行預(yù)測。對信息系統(tǒng)安全態(tài)勢預(yù)測的研究使之能夠在安全威脅造成嚴(yán)重后果之前進(jìn)行預(yù)測，使得管理者能夠提前采取一定的防御措施，防患于未然。

目前，安全態(tài)勢預(yù)測沒有形成標(biāo)準(zhǔn)的方法體系，國內(nèi)外學(xué)者對此進(jìn)行了大量的研究，常用的預(yù)測方法主要有時間序列分析法[1]、支持向量機(jī)法[2-3]、線性回歸法[4]、灰色預(yù)測法[5]和馬爾可夫(Markov)法[6]。時間序列法能夠體現(xiàn)時間序列的隨機(jī)性和周期性，但步驟較為復(fù)雜，需要大量的人為參與。同時，支持向量機(jī)法具有較強(qiáng)的學(xué)習(xí)能力，精度較高，但是訓(xùn)練時間長，消耗較大。而灰色預(yù)測法算法模型簡單、消耗較小、易于實(shí)現(xiàn)、適用于小樣本預(yù)測、適用性強(qiáng)，但誤差較大，無法體現(xiàn)周期性和隨機(jī)性。而Markov法具有較強(qiáng)的隨機(jī)性，能夠有效地體現(xiàn)周期性，但在安全態(tài)勢預(yù)測中很難確定態(tài)勢集或可觀測狀態(tài)集。

為此，本文提出了一種基于灰色GM(1,1)為原型，用改進(jìn)的馬爾可夫鏈為誤差校正的GMM實(shí)時信息系統(tǒng)安全態(tài)勢預(yù)測模型。即使模型簡單、消耗較小、易于實(shí)現(xiàn)、不需要太多的人為因素、適用性強(qiáng)，又能較好地體現(xiàn)安全態(tài)勢預(yù)測的隨機(jī)性與周期性，同時也大大提高了預(yù)測精度。

1 灰色-馬爾可夫組合實(shí)時預(yù)測模型的建立

本文根據(jù)灰色預(yù)測法算法模型簡單、消耗較小、易于實(shí)現(xiàn)、適用性強(qiáng)、只需一小部分?jǐn)?shù)據(jù)樣本就可以實(shí)現(xiàn)預(yù)測等特點(diǎn)，并結(jié)合馬爾可夫模型的具有較強(qiáng)的隨機(jī)性，能夠有效地體現(xiàn)周期性的特點(diǎn)來修正灰色預(yù)測結(jié)果與實(shí)際之間的誤差，建立了基于灰色-馬爾可夫的信息系統(tǒng)安全態(tài)勢實(shí)時預(yù)測模型，從而使得安全態(tài)勢實(shí)時預(yù)測模型既能夠較好地體現(xiàn)安全態(tài)勢預(yù)測的隨機(jī)性與周期性，又滿足實(shí)時預(yù)測的需求。同時，本文針對傳統(tǒng)的灰色-馬爾可夫模型中的初始數(shù)據(jù)序列、狀態(tài)劃分和狀態(tài)轉(zhuǎn)移概率矩陣缺乏實(shí)時更新及馬爾可夫模型中狀態(tài)劃分的不合理性等問題進(jìn)行了改進(jìn)。改進(jìn)后的模型能夠較準(zhǔn)確地預(yù)測出安全態(tài)勢的總體趨勢，且預(yù)測精度高于原灰色-馬爾可夫模型的精度，其預(yù)測模型流程如圖1所示。

圖1 改進(jìn)的灰色-馬爾可夫?qū)崟r預(yù)測流程圖

2 灰色GM(1,1)模型的建立

信息系統(tǒng)的實(shí)時預(yù)測需要在相對較短的時間內(nèi)、較少的數(shù)據(jù)樣本的情況下，根據(jù)最新的安全態(tài)勢值來預(yù)測下一個時刻的安全態(tài)勢趨勢，而灰色預(yù)測模型在少數(shù)據(jù)、貧信息的預(yù)測中占有較為突出的優(yōu)勢，并且短期預(yù)測效果相對較好。所以本文采用灰色預(yù)測模型中最基本模型GM(1,1)來實(shí)現(xiàn)信息系統(tǒng)的實(shí)時預(yù)測，并在傳統(tǒng)灰色預(yù)測模型的基礎(chǔ)上，以滑動時間窗口來選擇輸入樣本，以便獲得較好的短期預(yù)測效果。其算法描述如下：

算法1 灰色GM(1,1)預(yù)測算法

輸入m個隨時間k(k=1,2,…,L)變化的數(shù)列原始安全態(tài)勢值數(shù)據(jù)序列：

(1)

其中i=1,2,…,m。

步驟1 令i=0。

步驟2 對式(1)進(jìn)行一次累加生成，得:

(2)

(3)

(4)

其中:

(5)

(6)

步驟5 建立生成數(shù)據(jù)GM(1,1)灰色預(yù)測模型：

(7)

步驟6 累減還原得到:

(8)

步驟9 分別求k時刻預(yù)測值的個數(shù)為S和總數(shù)Tol。

算法1在原GM(1,1)模型的基礎(chǔ)上，利用新信息優(yōu)先的原理，每預(yù)測一個安全態(tài)勢值對GM(1,1)預(yù)測模型的初始數(shù)據(jù)序列去掉一個最舊信息，添加一個最新時刻的信息，從而能夠?qū)?shù)據(jù)序列進(jìn)行實(shí)時更新，以確保算法模型隨時間變化而不斷更新。同時，每預(yù)測未來8個安全態(tài)勢值，根據(jù)最新數(shù)據(jù)對預(yù)測模型的參數(shù)進(jìn)行一次更新。

3 預(yù)測模型的適用范圍和精度的檢驗(yàn)

灰色GM(1,1)預(yù)測模型建立后，需要對模型進(jìn)行適用范圍和模型精度的檢驗(yàn)。肖新平等[14]指出模型的適用范圍與發(fā)展系數(shù)-a相關(guān)，如表1所示。

表1 模型適用范圍

由第1節(jié)建立的GM(1,1)模型是否有效、合理，需要通過一定的模型精度檢驗(yàn)才能用作預(yù)測，其中模型精度檢驗(yàn)包括殘差檢驗(yàn)、后驗(yàn)差檢驗(yàn)和關(guān)聯(lián)度檢驗(yàn)三種檢驗(yàn)方法。本文采用劉思峰等[15]提出的后驗(yàn)差檢驗(yàn)方法進(jìn)行檢驗(yàn)。除此，劉思峰等指出一般情況下，最常用的是誤差值檢驗(yàn)指標(biāo)。

(9)

(10)

由式(9)和式(10)可計算方差比C、小誤差概率p如下所示：

(11)

(12)

常用的預(yù)測精度等級如表2所示。

表2 預(yù)測精度等級

4 改進(jìn)的Markov修正模型

Markov模型是一個隨機(jī)模型，常用來處理與時間序列有關(guān)的問題，廣泛地應(yīng)用于生物信息學(xué)、語音識別、天氣預(yù)報、信息處理等領(lǐng)域，近幾年也被用來進(jìn)行安全態(tài)勢預(yù)測。

一個完整的Markov模型一般包括狀態(tài)集E、狀態(tài)轉(zhuǎn)移概率矩陣P和初始狀態(tài)矩陣π三項元素，具有無后效性的特性。本文利用Markov模型的這種特性來對灰色模型中得到的擬合相對誤差劃分狀態(tài)，通過狀態(tài)轉(zhuǎn)移概率來預(yù)測下一個狀態(tài)的相對誤差，以此對灰色模型進(jìn)行修正，來提高灰色模型的預(yù)測精度。

4.1 狀態(tài)劃分

算法2 狀態(tài)劃分算法

輸入 相對誤差序列ε(0)(1),ε(0)(2),…,ε(0)(n)。

步驟1 令i=1，j=n，ε(0)(0)。

步驟2 當(dāng)ε(0)(j)>ε(0)(0)時，則j=j-1，轉(zhuǎn)步驟2。否則ε(0)(i)=ε(0)(j),i=i+1，轉(zhuǎn)步驟3。

步驟3 當(dāng)ε(0)(i)≤ε(0)(0)時，則i=i+1，轉(zhuǎn)步驟3。否則ε(0)(j)=ε(0)(i),j=j-1，轉(zhuǎn)步驟2。

步驟4 如果i

步驟5 如果i=j,則ε(0)(i)=ε(0)(0)。

步驟6 對ε(0)(1),ε(0)(2),…,ε(0)(i-1)和ε(0)(i+1),ε(0)(i+2),…,ε(0)(n)分別繼續(xù)重復(fù)執(zhí)行步驟1至步驟5，直到所在記錄全部被排放到正確位置為止。

步驟8 ?1k=ε(0)(p)。

步驟9 如果ε(0)(q)=ε(0)(q+1)，則q=q+1，p=q+1轉(zhuǎn)步驟9。

步驟10 ?2k=ε(0)(q)，k=k+1。

算法2對GM(1,1)模型預(yù)測態(tài)勢值與實(shí)際值誤差序列進(jìn)行訓(xùn)練，根據(jù)歷史誤差序列落到每個區(qū)間的頻率劃分出m個狀態(tài)區(qū)間。

4.2 狀態(tài)轉(zhuǎn)移概率矩陣的確定

(13)

狀態(tài)轉(zhuǎn)移概率矩陣為：

(14)

4.3 狀態(tài)預(yù)測

選定最近的c個時刻，將其轉(zhuǎn)移步數(shù)分別定義為1,2,…,c，根據(jù)式(13)-式(14)計算總概率矩陣Pcn。假設(shè)當(dāng)前灰色預(yù)測所處的偏移狀態(tài)為Ei，對Pcn每一列元素的總和，其中Pik=maxPij，則下一刻最有可能處的偏移狀態(tài)為Ek，該狀態(tài)的平均偏移量為：

(15)

在確定Pik時，如果第k行有兩個或兩個以上相同的最大值，則要結(jié)合c+1個時刻的狀態(tài)轉(zhuǎn)移概率矩陣進(jìn)行計算。同時，為了提高預(yù)測精度，本文根據(jù)信息系統(tǒng)態(tài)勢值有其規(guī)律性，但其隨機(jī)性也比較大的特點(diǎn)，適時更新狀態(tài)劃分E和概率轉(zhuǎn)移矩陣。由于神經(jīng)網(wǎng)絡(luò)原定時更新需要消耗大量的時間對其新樣本進(jìn)行訓(xùn)練，所以這種實(shí)時更新的方法更優(yōu)于神經(jīng)網(wǎng)絡(luò)定時更新。

5 實(shí)驗(yàn)結(jié)果及分析

為了驗(yàn)證灰色-馬爾可夫鏈改進(jìn)方法的信息系統(tǒng)安全態(tài)勢實(shí)時預(yù)測的可行性和有效性，本文搭建了一個模擬實(shí)驗(yàn)環(huán)境，其拓?fù)鋱D如圖2所示。模擬環(huán)境中包含了四個生產(chǎn)區(qū)域：安全管理區(qū)域、對外應(yīng)用服務(wù)區(qū)域、生產(chǎn)區(qū)域和內(nèi)網(wǎng)辦公區(qū)域，其中對外服務(wù)區(qū)域?yàn)橹饕芄魠^(qū)域，其包括郵件服務(wù)器和網(wǎng)站服務(wù)器2臺服務(wù)器，且分別為郵件服務(wù)器安裝Windows Server 2003操作系統(tǒng)，為網(wǎng)站服務(wù)器安裝Linux操作系統(tǒng)和net-snmp應(yīng)用程序，并為兩者安裝Nessus漏洞掃描軟件，其提供的服務(wù)類型和自身存在的漏洞如表3所示。

表3 受攻擊區(qū)域內(nèi)服務(wù)器的信息

圖2 模擬實(shí)驗(yàn)環(huán)境拓?fù)鋱D

模擬實(shí)驗(yàn)中攻擊者選擇LOIC.exe作為攻擊工具，在不同時刻對Web服務(wù)器、郵件服務(wù)器等發(fā)起DDos攻擊、漏洞掃描、修改Web服務(wù)器里面的數(shù)據(jù)、竊取郵件服務(wù)器器里面的數(shù)據(jù)等操作。具體攻擊步驟如下：

第1階段，正常用戶在模擬過程中網(wǎng)站服務(wù)器和郵件服務(wù)器；

第2階段，攻擊者使用LOIC.exe模擬DDos攻擊，并通過參數(shù)設(shè)置攻擊頻率是30次/s；

第3階段，攻擊者加大攻擊頻率到180次/s；

第4階段，在第2個階段情況下，攻擊者運(yùn)用漏洞掃描工具Nessus進(jìn)行漏洞掃描，然后入侵到網(wǎng)站服務(wù)器并竊取其中的數(shù)據(jù)；

第5階段，在第2個階段情況下，攻擊者漏洞掃描工具Nessus進(jìn)行漏洞掃描，然后入侵到郵件服務(wù)器并修改其中的數(shù)據(jù)；

第6階段，攻擊者停止對網(wǎng)站服務(wù)器發(fā)起的DDos攻擊；

第7階段，攻擊者停止對郵件服務(wù)器發(fā)起的DDos攻擊。

根據(jù)攻擊場景的設(shè)定，按圖3所示的信息系統(tǒng)指標(biāo)體系收采集來自路由器DDos攻擊信息，其他服務(wù)器的Nessus漏洞掃描信息及路由器的Netflow數(shù)據(jù)流信息，為進(jìn)一步的評估實(shí)驗(yàn)仿真和預(yù)測實(shí)驗(yàn)仿真提供全面可靠的數(shù)據(jù)源。

圖3 信息系統(tǒng)評估指標(biāo)體系

5.1 信息系統(tǒng)安全態(tài)勢值的計算

本文是在文獻(xiàn)[22]研究的基礎(chǔ)上進(jìn)行安全態(tài)勢預(yù)測研究，如圖4所示。其主要是根據(jù)AHP的基本原理從多層次、多角度來建立信息系統(tǒng)指標(biāo)體系，并調(diào)查研究對指標(biāo)進(jìn)行標(biāo)準(zhǔn)化，運(yùn)用改進(jìn)的FAHP確實(shí)指標(biāo)權(quán)重，同時結(jié)合FCE進(jìn)行信息系統(tǒng)的安全態(tài)勢值的計算。

圖4 AHP-IFAHP-FCE模型結(jié)構(gòu)

本文根據(jù)《基于改進(jìn)的模糊層次分析法的信息系統(tǒng)安全態(tài)勢評估模型》提出的安全態(tài)勢評估指標(biāo)體系每隔1小時提取上述模擬實(shí)驗(yàn)過程中的安全態(tài)勢指標(biāo)值，共提取了24個時刻的指標(biāo)值，且利用其安全態(tài)勢評估方法計算信息系統(tǒng)安全態(tài)勢值，其計算結(jié)果如表4所示。

表4 信息系統(tǒng)24時刻的安全態(tài)勢值

5.2 信息系統(tǒng)安全態(tài)勢值預(yù)測及分析

本實(shí)驗(yàn)按照表4給出的信息系統(tǒng)安全態(tài)勢值數(shù)據(jù)作為改進(jìn)的GMM的測試數(shù)據(jù)，以Matlab作為工具進(jìn)行防真實(shí)驗(yàn)。首先以前8個時刻的態(tài)勢值作為一組輸入樣本，建立安全態(tài)勢預(yù)測模型預(yù)測第9個時刻的態(tài)勢值，然后采用新信息優(yōu)先的原則，去除離當(dāng)前時刻最早的時刻數(shù)據(jù)，添加離當(dāng)前時刻最新的時刻的數(shù)據(jù)來更新輸入樣本數(shù)據(jù)。如在預(yù)測第10個時刻之前，用將最新的第9個時刻的實(shí)際數(shù)據(jù)添加到第8個時刻數(shù)據(jù)的后面，并去掉當(dāng)前輸入樣本中最早時刻的數(shù)據(jù)即第1個時刻的數(shù)據(jù)，最后預(yù)測第9個時刻的安全態(tài)勢值。以此類推，以時間窗口向前滑動來選擇樣本實(shí)時更新模型來進(jìn)行預(yù)測下一個時刻的態(tài)勢值。由于每組輸入樣本的計算方法是一致的，本文以初始輸入樣本為例對計算方法進(jìn)行詳細(xì)的說明。

步驟1 建立信息系統(tǒng)安全態(tài)勢值GM(1,1)預(yù)測模型

按照表5所給出的1～8時刻的安全態(tài)勢值數(shù)據(jù)，根據(jù)算法1中的步驟1至步驟7，運(yùn)用Matlab工具建立安全態(tài)勢值GM(1,1)預(yù)測模型為：

=0.5349e0.0149(t-1)

(16)

由式(4)、式(5)和式(6)可計算出該模型中-a=0.0149<0.3，由表1可知該模型可用于信息系統(tǒng)安全態(tài)勢的實(shí)時預(yù)測。按上述建立的模型(式(16))計算出8個時刻信息系統(tǒng)安全態(tài)勢預(yù)測值如表5所示。

表5 1 h-8 h的初始態(tài)勢預(yù)測值

步驟2 利用GM(1,1)預(yù)測安全態(tài)勢值

根據(jù)算法1中的步驟8至步驟10運(yùn)用新信息優(yōu)先原理，以時間窗口向前滑動來選擇樣本實(shí)時更新模型來預(yù)測下一個時刻的態(tài)勢值，依次計算出24小時的信息系統(tǒng)安全態(tài)勢預(yù)測值及誤差值如表6所示。

表6 信息系統(tǒng)24個時刻的安全態(tài)勢預(yù)測值

步驟3 狀態(tài)劃分

利用上述建立的實(shí)時更新預(yù)測模型預(yù)測500個時刻的態(tài)勢值，然后將這些態(tài)勢值如表6中24個時刻的那樣計算得出500個時刻的預(yù)測值與實(shí)際值的歷史誤差值序列，最后根據(jù)算法2劃分出4個狀態(tài)，其結(jié)果為：

E1=[-0.5170,-0.1111]

E2=[-0.1102,0.0483]

E3=[0.0495,0.1263]

E4=[0.1266,0.3627]

步驟4 建立轉(zhuǎn)移概率矩陣

在利用狀態(tài)轉(zhuǎn)移概率矩陣進(jìn)行信息系統(tǒng)安全態(tài)勢預(yù)測時，一般只需要考慮一步轉(zhuǎn)移概率矩陣。利用Matlab工具計算得出表6中的24個時刻的誤差值落在上述4個狀態(tài)區(qū)間的狀態(tài)區(qū)間序列，如表7所示。

表7 24個時刻的狀態(tài)序列

根據(jù)表7中的狀態(tài)區(qū)間序列，按式(13)和式(14)計算出轉(zhuǎn)移概率矩陣為：

(17)

步驟5 狀態(tài)預(yù)測

利用4.3節(jié)中的理論和式(15)進(jìn)行狀態(tài)預(yù)測，如果第k行有兩個或兩個以上相同的最大值，此時狀態(tài)轉(zhuǎn)移難以確定，需要考察二步或n步轉(zhuǎn)移概率矩陣。比較第24個時刻信息系統(tǒng)安全態(tài)勢的實(shí)際值0.5443與預(yù)測值0.5959可知，目前信息系統(tǒng)安全態(tài)勢值處于狀態(tài)E2，由狀態(tài)轉(zhuǎn)移概率矩陣式(17)的第2行，可知P23=maxP2j，即下一個小時的安全態(tài)勢預(yù)測值最有可能處于狀態(tài)E3。由于該模型以8個時刻為一個預(yù)測周期，由此根據(jù)式(16)可得第1個小時的預(yù)測值為：

=0.6228

同理可以預(yù)測其下一周期的安全態(tài)勢預(yù)測值。表8為下一個周期，即未來7小時的安全態(tài)勢預(yù)測值和實(shí)際值的比較。

表8 信息系統(tǒng)未來8小時的安全態(tài)勢預(yù)測值

步驟6 預(yù)測模型精度檢驗(yàn)

利用表8中的數(shù)據(jù)，根據(jù)3節(jié)中的式(9)-式(12)分別計算出小誤差概率、相對誤差、后驗(yàn)方差值比和關(guān)聯(lián)度，其結(jié)果如表9所示，由表2可知關(guān)聯(lián)度r>0.60時，該模型可以使用。根據(jù)表9中的小誤差概率、相對誤差、后驗(yàn)方差值比可知該模型滿足一級精度。

表9 改進(jìn)的GMM精度檢驗(yàn)

如圖5所示，本文將利用改進(jìn)的灰色-馬爾可夫算法預(yù)測出的安全態(tài)勢值與沒有改進(jìn)的算法及信息系統(tǒng)實(shí)際的安全態(tài)勢值進(jìn)行對比發(fā)現(xiàn)，改進(jìn)的GMM模型預(yù)測曲線趨勢與實(shí)際曲線基本上一致，圖中大部分改進(jìn)的GMM預(yù)測曲線比沒有改進(jìn)的GMM模型預(yù)測更接近實(shí)際曲線。

圖5 信息系統(tǒng)安全態(tài)勢預(yù)測值對比圖

6 結(jié) 語

本文的主要工作是研究怎樣能夠更好地預(yù)測信息系統(tǒng)安全態(tài)勢狀況，并指出了目前GMM模型中的灰色GM(1,1)預(yù)測算法的初始數(shù)據(jù)序列不具有實(shí)時更新的不足，提出了一種新的改進(jìn)算法。同時針對GMM模型中Markov算法狀態(tài)劃分的不合理性進(jìn)行了改進(jìn)，在改進(jìn)的GMM模型預(yù)測過程中添加了狀態(tài)劃分和狀態(tài)轉(zhuǎn)移概率的更新，并通過實(shí)驗(yàn)證明了改進(jìn)的GMM預(yù)測模型可以實(shí)現(xiàn)實(shí)時安全態(tài)勢預(yù)測，預(yù)測精度高于原GMM預(yù)測模型。下一步，需要在此理論的基礎(chǔ)上，進(jìn)一步研究信息系統(tǒng)安全態(tài)勢預(yù)警，及時為管理者提供檢測出的系統(tǒng)中存在的異常事件，并針對該異?，F(xiàn)象為管理者提出最佳解決參考方案。

[1] 李凱, 曹陽. 基于ARIMA模型的網(wǎng)絡(luò)安全威脅態(tài)勢預(yù)測方法[J]. 計算機(jī)應(yīng)用研究, 2012, 29(8):3042-3045.

[2] 孟錦. 網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測關(guān)鍵技術(shù)研究[D]. 南京：南京理工大學(xué), 2012.

[3] 張翔, 胡昌振, 劉勝航, 等. 基于支持向量機(jī)的網(wǎng)絡(luò)攻擊態(tài)勢預(yù)測技術(shù)研究[J]. 計算機(jī)工程, 2007, 33(11):10-12.

[4] Chang K C, Yin X, Saha R K. A linear predictive bandwidth conservation algorithm for situation awareness[C]//Proceedings of the 37th IEEE Conference on Decision and Control , 1998:4726-4731.

[5] 李心科, 金元杰. 基于灰色預(yù)測理論的軟件缺陷預(yù)測模型研究[J]. 計算機(jī)應(yīng)用與軟件, 2009, 26(3):101-103.

[6] 章登義, 歐陽黜霏, 吳文李. 針對時間序列多步預(yù)測的聚類隱馬爾科夫模型[J]. 電子學(xué)報, 2014, 42(12):2359-2364.

[7] Livani H, Jafarzadeh S, Fadali M S, et al. Power system state forecasting using fuzzy-Viterbi Algorithm[C]//2014 IEEE PES General Meeting | Conference & Exposition, 2014:1-5.

[8] Cartella F, Lemeire J, Dimiccoli L, et al. Hidden semi-Markov models for predicitve maintenance[J]. Mathematical Problems in Engineering, 2015, 2015:1-23.

[9] 黃同慶, 莊毅. 一種實(shí)時網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J]. 小型微型計算機(jī)系統(tǒng), 2014, 35(2):303-306.

[12] 任午令, 趙翠文, 姜國新, 等. 基于攻擊行為預(yù)測的網(wǎng)絡(luò)防御策略[J]. 浙江大學(xué)學(xué)報(工學(xué)版), 2014, 48(12):2144-2151,2229.

[13] Rabiner L R. A tutorial on hidden Markov models and selected applications in speech recognition[M]//Readings in Speech Recognition. San Francisco, CA, USA: Morgan Kaufmann Publishers, 1990:267-296.

[14] 肖新平, 宋忠民, 李峰. 灰技術(shù)基礎(chǔ)及其應(yīng)用[M]. 北京：科學(xué)出版社, 2005.

[15] 劉思峰, 黨耀國, 方志耕, 等. 灰色系統(tǒng)理論及其應(yīng)用[M]. 北京：科學(xué)出版社, 1999:126-135.

[16] Li F, Wang Z, Song Z. A new method for grey forecasting model group[J]. Journal of Systems Engineering and Electronics, 2002, 13(3):1-7.

[17] 楊軍, 侯忠生. 一種基于灰色馬爾科夫的大客流實(shí)時預(yù)測模型[J]. 北京交通大學(xué)學(xué)報, 2013, 37(2):119-123,128.

[18] 李頻. 基于灰色動態(tài)馬爾科夫的航班延誤預(yù)測[J]. 上海工程技術(shù)大學(xué)學(xué)報, 2014, 28(4):333-336,346.

[19] Tong X, Chen M, Li Z. Grey optimized models and their existence theorem[J]. Kybernetes, 2004, 33(2):363-371.

[20] 馬峻, 王京. 基于改進(jìn)灰色馬氏鏈模型的齒輪壽命分析[J]. 制造技術(shù)與機(jī)床, 2015(3):43-46.

[21] 劉紅躍. 基于灰色馬爾可夫鏈理論的股市分析[D]. 北京：北方工業(yè)大學(xué), 2015:21-22.

[22] 顧兆軍, 王蕊莉. 基于改進(jìn)的模糊層次分析法的信息系統(tǒng)安全態(tài)勢評估模型[J]. 計算機(jī)工程與科學(xué), 2017(2).

RESEARCH ON REAL-TIME FORECAST OF SECURITY POSTURE OF INFORMATION SYSTEM BASED ON IMPROVED GREY-MARKOV CHAIN

Gu Zhaojun Wang Ruili Wang Shuaiqing

(CollegeofComputerScienceandTechnology,CivilAviationUniversityofChina,Tianjin300300,China)

Aiming at the problem of bad prediction result because of large consumption and time consuming in the existing security posture prediction methods,the information system is real-time forecasted in security posture according to the characteristics of low consumption,small sample,stronger applicability and excellent performance of short-time forecasting of the typical gray GM (1,1) model,considering the problems of large-scale,complex structure and frequent information exchange of information system.Meanwhile,aiming at the problem of low stochastic volatility of GM (1,1) model,an improved GM (1,1) model is built,which combines with the characteristic of larger random fluctuation of Markov chain applies.Thus,using gray GM (1,1) as a prototype of forecast,a real-time forecast of information system security posture is proposed by utilizing the Markov chain to modify the improved GM (1,1) model.The experimental results show that the model is able to predict the overall trend of security posture accurately and is better than the previous Grey-Markov model in the forecast of information systems security posture.

Security posture forecast Grey theory Markov model

2015-11-28。民航科技項目(MHRD20140205,MHRD20150233);中央高?；究蒲袠I(yè)務(wù)費(fèi)中國民航大學(xué)專項(3122013Z008,3122015D025);2014年民航安全能力建設(shè)資金項目(PDSA0008)。顧兆軍，教授，主研領(lǐng)域：網(wǎng)絡(luò)與信息安全，搜索引擎，民航信息系統(tǒng)。王蕊莉，碩士生。王帥卿，碩士生。

TP393.08

A

10.3969/j.issn.1000-386x.2017.02.049