顾兆军 王蕊莉 王帅卿

(中国民航大学计算机科学与技术学院 天津 300300)

基于GMM改进的信息系统安全态势实时预测研究

顾兆军 王蕊莉 王帅卿

(中国民航大学计算机科学与技术学院 天津 300300)

现有安全态势预测方法由于消耗较大和耗时较长而造成预测效果不佳，考虑到信息系统的结构复杂、信息交互频繁等特点，依据典型灰色模型GM(1,1)的消耗低、样本小、适用性强、短期预测效果好等特点对信息系统进行实时的安全态势预测。同时针对GM(1,1)模型的随机波动性小的问题，结合马尔可夫(Markov)链适用于随机波动较大的特点，提出一种以灰色GM(1,1)为预测原型，用马尔可夫链对GM(1,1)预测模型进行误差修正的实时信息系统安全态势预测模型。实验结果表明，在信息系统安全态势预测方面，该模型能够较准确地预测安全态势的总体趋势，且预测精度高于原灰色-马尔可夫模型的精度。

安全态势预测 灰色理论 马尔可夫模型

0 引 言

随着“宽带中国”战略推进实施，互联网升级全面提速，用户规模快速增长，网络的重要性逐步加强。2013年，斯诺登披露的“棱镜门”事件如同重磅炸弹，引发了国际社会和公众对网络安全的空前关注。2014年2月27日，中央网络安全和信息化领导小组成立，该小组研究制定网络安全和信息化发展战略，从而可以更好地统筹协调经济、政治、文化、社会及军事等各个领域的网络安全。由此可见，信息系统时刻面临着外部的威胁且安全状况非常严峻。迫切需要一个能为高层领导或管理员实时提供有关信息系统安全状况及安全态势发展趋势的系统，以使得管理人员能够及时发现网络中的异常事件，实时掌握系统安全状况，降低信息系统风险，提高信息系统安全防护能力。

安全态势感知能够充分利用信息系统各个设备产生的大量有用日志和报警对信息系统有一个整体安全态势的理解。然后运用安全态势评估方法从整体上动态反映当前信息系统的安全状况。最后利用安全态势预测方法对信息系统未来状况趋势进行预测，使得能够实时地为安全管理者展现信息系统所面临的威胁，并为最优决策和安全管理的优化提供依据，把由网络安全带来的风险和损失降低到最小限度。

信息系统安全态势预测是在安全态势感知的态势理解和态势评估的基础上，利用历史态势值数据和当前状态对信息系统的未来安全态势值进行预测。对信息系统安全态势预测的研究使之能够在安全威胁造成严重后果之前进行预测，使得管理者能够提前采取一定的防御措施，防患于未然。

目前，安全态势预测没有形成标准的方法体系，国内外学者对此进行了大量的研究，常用的预测方法主要有时间序列分析法[1]、支持向量机法[2-3]、线性回归法[4]、灰色预测法[5]和马尔可夫(Markov)法[6]。时间序列法能够体现时间序列的随机性和周期性，但步骤较为复杂，需要大量的人为参与。同时，支持向量机法具有较强的学习能力，精度较高，但是训练时间长，消耗较大。而灰色预测法算法模型简单、消耗较小、易于实现、适用于小样本预测、适用性强，但误差较大，无法体现周期性和随机性。而Markov法具有较强的随机性，能够有效地体现周期性，但在安全态势预测中很难确定态势集或可观测状态集。

为此，本文提出了一种基于灰色GM(1,1)为原型，用改进的马尔可夫链为误差校正的GMM实时信息系统安全态势预测模型。即使模型简单、消耗较小、易于实现、不需要太多的人为因素、适用性强，又能较好地体现安全态势预测的随机性与周期性，同时也大大提高了预测精度。

1 灰色-马尔可夫组合实时预测模型的建立

本文根据灰色预测法算法模型简单、消耗较小、易于实现、适用性强、只需一小部分数据样本就可以实现预测等特点，并结合马尔可夫模型的具有较强的随机性，能够有效地体现周期性的特点来修正灰色预测结果与实际之间的误差，建立了基于灰色-马尔可夫的信息系统安全态势实时预测模型，从而使得安全态势实时预测模型既能够较好地体现安全态势预测的随机性与周期性，又满足实时预测的需求。同时，本文针对传统的灰色-马尔可夫模型中的初始数据序列、状态划分和状态转移概率矩阵缺乏实时更新及马尔可夫模型中状态划分的不合理性等问题进行了改进。改进后的模型能够较准确地预测出安全态势的总体趋势，且预测精度高于原灰色-马尔可夫模型的精度，其预测模型流程如图1所示。

图1 改进的灰色-马尔可夫实时预测流程图

2 灰色GM(1,1)模型的建立

信息系统的实时预测需要在相对较短的时间内、较少的数据样本的情况下，根据最新的安全态势值来预测下一个时刻的安全态势趋势，而灰色预测模型在少数据、贫信息的预测中占有较为突出的优势，并且短期预测效果相对较好。所以本文采用灰色预测模型中最基本模型GM(1,1)来实现信息系统的实时预测，并在传统灰色预测模型的基础上，以滑动时间窗口来选择输入样本，以便获得较好的短期预测效果。其算法描述如下：

算法1 灰色GM(1,1)预测算法

输入m个随时间k(k=1,2,…,L)变化的数列原始安全态势值数据序列：

(1)

其中i=1,2,…,m。

步骤1 令i=0。

步骤2 对式(1)进行一次累加生成，得:

(2)

(3)

(4)

其中:

(5)

(6)

步骤5 建立生成数据GM(1,1)灰色预测模型：

(7)

步骤6 累减还原得到:

(8)

步骤9 分别求k时刻预测值的个数为S和总数Tol。

算法1在原GM(1,1)模型的基础上，利用新信息优先的原理，每预测一个安全态势值对GM(1,1)预测模型的初始数据序列去掉一个最旧信息，添加一个最新时刻的信息，从而能够对数据序列进行实时更新，以确保算法模型随时间变化而不断更新。同时，每预测未来8个安全态势值，根据最新数据对预测模型的参数进行一次更新。

3 预测模型的适用范围和精度的检验

灰色GM(1,1)预测模型建立后，需要对模型进行适用范围和模型精度的检验。肖新平等[14]指出模型的适用范围与发展系数-a相关，如表1所示。

表1 模型适用范围

由第1节建立的GM(1,1)模型是否有效、合理，需要通过一定的模型精度检验才能用作预测，其中模型精度检验包括残差检验、后验差检验和关联度检验三种检验方法。本文采用刘思峰等[15]提出的后验差检验方法进行检验。除此，刘思峰等指出一般情况下，最常用的是误差值检验指标。

(9)

(10)

由式(9)和式(10)可计算方差比C、小误差概率p如下所示：

(11)

(12)

常用的预测精度等级如表2所示。

表2 预测精度等级

4 改进的Markov修正模型

Markov模型是一个随机模型，常用来处理与时间序列有关的问题，广泛地应用于生物信息学、语音识别、天气预报、信息处理等领域，近几年也被用来进行安全态势预测。

一个完整的Markov模型一般包括状态集E、状态转移概率矩阵P和初始状态矩阵π三项元素，具有无后效性的特性。本文利用Markov模型的这种特性来对灰色模型中得到的拟合相对误差划分状态，通过状态转移概率来预测下一个状态的相对误差，以此对灰色模型进行修正，来提高灰色模型的预测精度。

4.1 状态划分

算法2 状态划分算法

输入 相对误差序列ε(0)(1),ε(0)(2),…,ε(0)(n)。

步骤1 令i=1，j=n，ε(0)(0)。

步骤2 当ε(0)(j)>ε(0)(0)时，则j=j-1，转步骤2。否则ε(0)(i)=ε(0)(j),i=i+1，转步骤3。

步骤3 当ε(0)(i)≤ε(0)(0)时，则i=i+1，转步骤3。否则ε(0)(j)=ε(0)(i),j=j-1，转步骤2。

步骤4 如果i

步骤5 如果i=j,则ε(0)(i)=ε(0)(0)。

步骤6 对ε(0)(1),ε(0)(2),…,ε(0)(i-1)和ε(0)(i+1),ε(0)(i+2),…,ε(0)(n)分别继续重复执行步骤1至步骤5，直到所在记录全部被排放到正确位置为止。

步骤8 ⊗1k=ε(0)(p)。

步骤9 如果ε(0)(q)=ε(0)(q+1)，则q=q+1，p=q+1转步骤9。

步骤10 ⊗2k=ε(0)(q)，k=k+1。

算法2对GM(1,1)模型预测态势值与实际值误差序列进行训练，根据历史误差序列落到每个区间的频率划分出m个状态区间。

4.2 状态转移概率矩阵的确定

(13)

状态转移概率矩阵为：

(14)

4.3 状态预测

选定最近的c个时刻，将其转移步数分别定义为1,2,…,c，根据式(13)-式(14)计算总概率矩阵Pcn。假设当前灰色预测所处的偏移状态为Ei，对Pcn每一列元素的总和，其中Pik=maxPij，则下一刻最有可能处的偏移状态为Ek，该状态的平均偏移量为：

(15)

在确定Pik时，如果第k行有两个或两个以上相同的最大值，则要结合c+1个时刻的状态转移概率矩阵进行计算。同时，为了提高预测精度，本文根据信息系统态势值有其规律性，但其随机性也比较大的特点，适时更新状态划分E和概率转移矩阵。由于神经网络原定时更新需要消耗大量的时间对其新样本进行训练，所以这种实时更新的方法更优于神经网络定时更新。

5 实验结果及分析

为了验证灰色-马尔可夫链改进方法的信息系统安全态势实时预测的可行性和有效性，本文搭建了一个模拟实验环境，其拓扑图如图2所示。模拟环境中包含了四个生产区域：安全管理区域、对外应用服务区域、生产区域和内网办公区域，其中对外服务区域为主要受攻击区域，其包括邮件服务器和网站服务器2台服务器，且分别为邮件服务器安装Windows Server 2003操作系统，为网站服务器安装Linux操作系统和net-snmp应用程序，并为两者安装Nessus漏洞扫描软件，其提供的服务类型和自身存在的漏洞如表3所示。

表3 受攻击区域内服务器的信息

图2 模拟实验环境拓扑图

模拟实验中攻击者选择LOIC.exe作为攻击工具，在不同时刻对Web服务器、邮件服务器等发起DDos攻击、漏洞扫描、修改Web服务器里面的数据、窃取邮件服务器器里面的数据等操作。具体攻击步骤如下：

第1阶段，正常用户在模拟过程中网站服务器和邮件服务器；

第2阶段，攻击者使用LOIC.exe模拟DDos攻击，并通过参数设置攻击频率是30次/s；

第3阶段，攻击者加大攻击频率到180次/s；

第4阶段，在第2个阶段情况下，攻击者运用漏洞扫描工具Nessus进行漏洞扫描，然后入侵到网站服务器并窃取其中的数据；

第5阶段，在第2个阶段情况下，攻击者漏洞扫描工具Nessus进行漏洞扫描，然后入侵到邮件服务器并修改其中的数据；

第6阶段，攻击者停止对网站服务器发起的DDos攻击；

第7阶段，攻击者停止对邮件服务器发起的DDos攻击。

根据攻击场景的设定，按图3所示的信息系统指标体系收采集来自路由器DDos攻击信息，其他服务器的Nessus漏洞扫描信息及路由器的Netflow数据流信息，为进一步的评估实验仿真和预测实验仿真提供全面可靠的数据源。

图3 信息系统评估指标体系

5.1 信息系统安全态势值的计算

本文是在文献[22]研究的基础上进行安全态势预测研究，如图4所示。其主要是根据AHP的基本原理从多层次、多角度来建立信息系统指标体系，并调查研究对指标进行标准化，运用改进的FAHP确实指标权重，同时结合FCE进行信息系统的安全态势值的计算。

图4 AHP-IFAHP-FCE模型结构

本文根据《基于改进的模糊层次分析法的信息系统安全态势评估模型》提出的安全态势评估指标体系每隔1小时提取上述模拟实验过程中的安全态势指标值，共提取了24个时刻的指标值，且利用其安全态势评估方法计算信息系统安全态势值，其计算结果如表4所示。

表4 信息系统24时刻的安全态势值

5.2 信息系统安全态势值预测及分析

本实验按照表4给出的信息系统安全态势值数据作为改进的GMM的测试数据，以Matlab作为工具进行防真实验。首先以前8个时刻的态势值作为一组输入样本，建立安全态势预测模型预测第9个时刻的态势值，然后采用新信息优先的原则，去除离当前时刻最早的时刻数据，添加离当前时刻最新的时刻的数据来更新输入样本数据。如在预测第10个时刻之前，用将最新的第9个时刻的实际数据添加到第8个时刻数据的后面，并去掉当前输入样本中最早时刻的数据即第1个时刻的数据，最后预测第9个时刻的安全态势值。以此类推，以时间窗口向前滑动来选择样本实时更新模型来进行预测下一个时刻的态势值。由于每组输入样本的计算方法是一致的，本文以初始输入样本为例对计算方法进行详细的说明。

步骤1 建立信息系统安全态势值GM(1,1)预测模型

按照表5所给出的1～8时刻的安全态势值数据，根据算法1中的步骤1至步骤7，运用Matlab工具建立安全态势值GM(1,1)预测模型为：

=0.5349e0.0149(t-1)

(16)

由式(4)、式(5)和式(6)可计算出该模型中-a=0.0149<0.3，由表1可知该模型可用于信息系统安全态势的实时预测。按上述建立的模型(式(16))计算出8个时刻信息系统安全态势预测值如表5所示。

表5 1 h-8 h的初始态势预测值

步骤2 利用GM(1,1)预测安全态势值

根据算法1中的步骤8至步骤10运用新信息优先原理，以时间窗口向前滑动来选择样本实时更新模型来预测下一个时刻的态势值，依次计算出24小时的信息系统安全态势预测值及误差值如表6所示。

表6 信息系统24个时刻的安全态势预测值

步骤3 状态划分

利用上述建立的实时更新预测模型预测500个时刻的态势值，然后将这些态势值如表6中24个时刻的那样计算得出500个时刻的预测值与实际值的历史误差值序列，最后根据算法2划分出4个状态，其结果为：

E1=[-0.5170,-0.1111]

E2=[-0.1102,0.0483]

E3=[0.0495,0.1263]

E4=[0.1266,0.3627]

步骤4 建立转移概率矩阵

在利用状态转移概率矩阵进行信息系统安全态势预测时，一般只需要考虑一步转移概率矩阵。利用Matlab工具计算得出表6中的24个时刻的误差值落在上述4个状态区间的状态区间序列，如表7所示。

表7 24个时刻的状态序列

根据表7中的状态区间序列，按式(13)和式(14)计算出转移概率矩阵为：

(17)

步骤5 状态预测

利用4.3节中的理论和式(15)进行状态预测，如果第k行有两个或两个以上相同的最大值，此时状态转移难以确定，需要考察二步或n步转移概率矩阵。比较第24个时刻信息系统安全态势的实际值0.5443与预测值0.5959可知，目前信息系统安全态势值处于状态E2，由状态转移概率矩阵式(17)的第2行，可知P23=maxP2j，即下一个小时的安全态势预测值最有可能处于状态E3。由于该模型以8个时刻为一个预测周期，由此根据式(16)可得第1个小时的预测值为：

=0.6228

同理可以预测其下一周期的安全态势预测值。表8为下一个周期，即未来7小时的安全态势预测值和实际值的比较。

表8 信息系统未来8小时的安全态势预测值

步骤6 预测模型精度检验

利用表8中的数据，根据3节中的式(9)-式(12)分别计算出小误差概率、相对误差、后验方差值比和关联度，其结果如表9所示，由表2可知关联度r>0.60时，该模型可以使用。根据表9中的小误差概率、相对误差、后验方差值比可知该模型满足一级精度。

表9 改进的GMM精度检验

如图5所示，本文将利用改进的灰色-马尔可夫算法预测出的安全态势值与没有改进的算法及信息系统实际的安全态势值进行对比发现，改进的GMM模型预测曲线趋势与实际曲线基本上一致，图中大部分改进的GMM预测曲线比没有改进的GMM模型预测更接近实际曲线。

图5 信息系统安全态势预测值对比图

6 结 语

本文的主要工作是研究怎样能够更好地预测信息系统安全态势状况，并指出了目前GMM模型中的灰色GM(1,1)预测算法的初始数据序列不具有实时更新的不足，提出了一种新的改进算法。同时针对GMM模型中Markov算法状态划分的不合理性进行了改进，在改进的GMM模型预测过程中添加了状态划分和状态转移概率的更新，并通过实验证明了改进的GMM预测模型可以实现实时安全态势预测，预测精度高于原GMM预测模型。下一步，需要在此理论的基础上，进一步研究信息系统安全态势预警，及时为管理者提供检测出的系统中存在的异常事件，并针对该异常现象为管理者提出最佳解决参考方案。

[1] 李凯, 曹阳. 基于ARIMA模型的网络安全威胁态势预测方法[J]. 计算机应用研究, 2012, 29(8):3042-3045.

[2] 孟锦. 网络安全态势评估与预测关键技术研究[D]. 南京：南京理工大学, 2012.

[3] 张翔, 胡昌振, 刘胜航, 等. 基于支持向量机的网络攻击态势预测技术研究[J]. 计算机工程, 2007, 33(11):10-12.

[4] Chang K C, Yin X, Saha R K. A linear predictive bandwidth conservation algorithm for situation awareness[C]//Proceedings of the 37th IEEE Conference on Decision and Control , 1998:4726-4731.

[5] 李心科, 金元杰. 基于灰色预测理论的软件缺陷预测模型研究[J]. 计算机应用与软件, 2009, 26(3):101-103.

[6] 章登义, 欧阳黜霏, 吴文李. 针对时间序列多步预测的聚类隐马尔科夫模型[J]. 电子学报, 2014, 42(12):2359-2364.

[7] Livani H, Jafarzadeh S, Fadali M S, et al. Power system state forecasting using fuzzy-Viterbi Algorithm[C]//2014 IEEE PES General Meeting | Conference & Exposition, 2014:1-5.

[8] Cartella F, Lemeire J, Dimiccoli L, et al. Hidden semi-Markov models for predicitve maintenance[J]. Mathematical Problems in Engineering, 2015, 2015:1-23.

[9] 黄同庆, 庄毅. 一种实时网络安全态势预测方法[J]. 小型微型计算机系统, 2014, 35(2):303-306.

[12] 任午令, 赵翠文, 姜国新, 等. 基于攻击行为预测的网络防御策略[J]. 浙江大学学报(工学版), 2014, 48(12):2144-2151,2229.

[13] Rabiner L R. A tutorial on hidden Markov models and selected applications in speech recognition[M]//Readings in Speech Recognition. San Francisco, CA, USA: Morgan Kaufmann Publishers, 1990:267-296.

[14] 肖新平, 宋忠民, 李峰. 灰技术基础及其应用[M]. 北京：科学出版社, 2005.

[15] 刘思峰, 党耀国, 方志耕, 等. 灰色系统理论及其应用[M]. 北京：科学出版社, 1999:126-135.

[16] Li F, Wang Z, Song Z. A new method for grey forecasting model group[J]. Journal of Systems Engineering and Electronics, 2002, 13(3):1-7.

[17] 杨军, 侯忠生. 一种基于灰色马尔科夫的大客流实时预测模型[J]. 北京交通大学学报, 2013, 37(2):119-123,128.

[18] 李频. 基于灰色动态马尔科夫的航班延误预测[J]. 上海工程技术大学学报, 2014, 28(4):333-336,346.

[19] Tong X, Chen M, Li Z. Grey optimized models and their existence theorem[J]. Kybernetes, 2004, 33(2):363-371.

[20] 马峻, 王京. 基于改进灰色马氏链模型的齿轮寿命分析[J]. 制造技术与机床, 2015(3):43-46.

[21] 刘红跃. 基于灰色马尔可夫链理论的股市分析[D]. 北京：北方工业大学, 2015:21-22.

[22] 顾兆军, 王蕊莉. 基于改进的模糊层次分析法的信息系统安全态势评估模型[J]. 计算机工程与科学, 2017(2).

RESEARCH ON REAL-TIME FORECAST OF SECURITY POSTURE OF INFORMATION SYSTEM BASED ON IMPROVED GREY-MARKOV CHAIN

Gu Zhaojun Wang Ruili Wang Shuaiqing

(CollegeofComputerScienceandTechnology,CivilAviationUniversityofChina,Tianjin300300,China)

Aiming at the problem of bad prediction result because of large consumption and time consuming in the existing security posture prediction methods,the information system is real-time forecasted in security posture according to the characteristics of low consumption,small sample,stronger applicability and excellent performance of short-time forecasting of the typical gray GM (1,1) model,considering the problems of large-scale,complex structure and frequent information exchange of information system.Meanwhile,aiming at the problem of low stochastic volatility of GM (1,1) model,an improved GM (1,1) model is built,which combines with the characteristic of larger random fluctuation of Markov chain applies.Thus,using gray GM (1,1) as a prototype of forecast,a real-time forecast of information system security posture is proposed by utilizing the Markov chain to modify the improved GM (1,1) model.The experimental results show that the model is able to predict the overall trend of security posture accurately and is better than the previous Grey-Markov model in the forecast of information systems security posture.

Security posture forecast Grey theory Markov model

2015-11-28。民航科技项目(MHRD20140205,MHRD20150233);中央高校基本科研业务费中国民航大学专项(3122013Z008,3122015D025);2014年民航安全能力建设资金项目(PDSA0008)。顾兆军，教授，主研领域：网络与信息安全，搜索引擎，民航信息系统。王蕊莉，硕士生。王帅卿，硕士生。

TP393.08

A

10.3969/j.issn.1000-386x.2017.02.049