小波分析和ARIMA的信息安全態(tài)勢(shì)預(yù)測(cè)

李波

摘 要： 針對(duì)信息安全態(tài)勢(shì)變化的復(fù)雜性，為了保證信息系統(tǒng)的正常工作，提出小波分析和移動(dòng)平均回歸模型（ARIMA）的信息安全態(tài)勢(shì)預(yù)測(cè)模型。首先對(duì)當(dāng)前信息系統(tǒng)的安全狀態(tài)進(jìn)行分析，并采用小波分析對(duì)信息系統(tǒng)的原始狀態(tài)信號(hào)進(jìn)行變換，得到信號(hào)的低頻分量和高頻分量，然后分別采用ARIMA的低頻分量和高頻分量進(jìn)行預(yù)測(cè)，并通過(guò)逆變換得到信息系統(tǒng)的安全狀態(tài)預(yù)測(cè)值，最后采用VC++編程實(shí)現(xiàn)信息系統(tǒng)的安全態(tài)勢(shì)預(yù)測(cè)實(shí)驗(yàn)。實(shí)驗(yàn)結(jié)果表明，該模型獲得了較高精度的信息安全態(tài)勢(shì)預(yù)測(cè)結(jié)果，預(yù)測(cè)結(jié)果具有重要價(jià)值。

關(guān)鍵詞： 信息系統(tǒng)； 安全態(tài)勢(shì)； 預(yù)測(cè)模型； 小波分析

中圖分類號(hào)： TN915.08?34； TP391 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2017）13?0091?03

Abstract： For the complexity of the information security situation variation， in order to guarantee the normal work of the information system， an information security situation prediction model based on wavelet analysis and ARIMA is proposed. The security status of the current information system is analyzed. The wavelet analysis is used to transform the original status signal of the information system to get the low?frequency component and high?frequency component of the signal. The ARIMA is used to predict the low?frequency component and high?frequency component respectively. The security status predicted value of the information system is obtained by means of inverse transformation. The VC++ programming is adopted to realize the security situation prediction experiment of the information system. The experimental results show that the proposed model can obtain the high?precision prediction result of information security situation， and the prediction result has important value.

Keywords： information system； security situation； prediction model； wavelet analysis

0 引 言

隨著計(jì)算機(jī)的不斷普及，各種企業(yè)、單位和部門均建立了相應(yīng)的信息管理系統(tǒng)，從此信息安全問(wèn)題隨之而來(lái)，尤其是近幾年，網(wǎng)絡(luò)入侵、病毒的不斷增加，安全問(wèn)題給企業(yè)和部門帶來(lái)了不同程度的損失。安全態(tài)勢(shì)預(yù)測(cè)可以幫助人們提前了解信息系統(tǒng)將來(lái)的安全狀態(tài)，幫助管理員提前制定防范措施，因此信息安全態(tài)勢(shì)預(yù)測(cè)引起了大家的高度重視[1?2]。

為了保證信息系統(tǒng)的正常、安全運(yùn)行，人們對(duì)信息系統(tǒng)的安全性進(jìn)行了多方面的分析和研究，有學(xué)者從系統(tǒng)脆弱性方面對(duì)系統(tǒng)安全性進(jìn)行分析，有學(xué)者從數(shù)據(jù)安全性對(duì)信息系統(tǒng)安全態(tài)勢(shì)進(jìn)行建模和預(yù)測(cè)，均獲得了不錯(cuò)的效果[3]。這些技術(shù)只是從一個(gè)角度分析信息系統(tǒng)的安全性，不能全面、準(zhǔn)確描述信息系統(tǒng)的變化狀態(tài)，導(dǎo)致有時(shí)預(yù)測(cè)結(jié)果與實(shí)驗(yàn)結(jié)果相差很遠(yuǎn)，預(yù)測(cè)結(jié)果的可信度低[4]。為了克服它們的局限性和不足，有學(xué)者引入了回歸分析、模糊理論、神經(jīng)網(wǎng)絡(luò)等現(xiàn)代先進(jìn)理論對(duì)信息系統(tǒng)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)[5?7]，信息系統(tǒng)安全態(tài)勢(shì)預(yù)測(cè)結(jié)果較好。在實(shí)際應(yīng)用中，這些方法有一些不足，如回歸分析法的信息系統(tǒng)安全態(tài)勢(shì)預(yù)測(cè)結(jié)果與參數(shù)確定密切相關(guān)，一旦參數(shù)確定不好，信息系統(tǒng)安全態(tài)勢(shì)預(yù)測(cè)精度低；模糊理論對(duì)信息系統(tǒng)安全態(tài)勢(shì)數(shù)據(jù)進(jìn)行模糊化處理，建模過(guò)程復(fù)雜，難以實(shí)現(xiàn)，需要專業(yè)人員才能操作[8]；神經(jīng)網(wǎng)絡(luò)雖然可以對(duì)信息系統(tǒng)安全態(tài)勢(shì)的非線性變化特點(diǎn)進(jìn)行預(yù)測(cè)，但要求樣本數(shù)量多，而對(duì)一個(gè)具體信息系統(tǒng)，其歷史數(shù)據(jù)數(shù)量相當(dāng)有限，難以滿足神經(jīng)網(wǎng)絡(luò)的建模條件，預(yù)測(cè)結(jié)果時(shí)高時(shí)低，建立的信息系統(tǒng)安全態(tài)勢(shì)預(yù)測(cè)模型穩(wěn)定性差[9?11]。

針對(duì)信息安全態(tài)勢(shì)變化的復(fù)雜性，為了保證信息系統(tǒng)的正常工作，提出小波分析和移動(dòng)平均回歸模型（ARIMA）的信息安全態(tài)勢(shì)預(yù)測(cè)模型，采用VC++編程實(shí)現(xiàn)信息系統(tǒng)的安全態(tài)勢(shì)預(yù)測(cè)實(shí)驗(yàn)，結(jié)果表明，本文模型獲得了較高精度的信息安全態(tài)勢(shì)預(yù)測(cè)結(jié)果，可以幫助人們了解信息系統(tǒng)的安全性。

1 小波分析和ARIMA

1.1 小波分析

小波分析是一種頻域信號(hào)分析方法，可以對(duì)原始信息逐漸精細(xì)分解，得到不同頻率的分量，相對(duì)于原始信號(hào)，分解后的信號(hào)更加簡(jiǎn)單，平穩(wěn)性更好，更加有利于后繼信息系統(tǒng)安全態(tài)勢(shì)預(yù)測(cè)的建模。設(shè)信息系統(tǒng)的安全態(tài)勢(shì)原始數(shù)據(jù)為采用Mallat算法進(jìn)行不同尺度分解，可以得到不同層的信號(hào)為：

式中：表示第一層信號(hào)，依次類推，表示第層信號(hào)。

可以通過(guò)小波逆變換對(duì)各層信號(hào)進(jìn)行重構(gòu)，得到：

1.2 ARIMA

ARIMA是當(dāng)前最為經(jīng)典的時(shí)間序列建模方法，將數(shù)據(jù)看作是一種時(shí)間序列，包括AR和MA兩部分，形式靈活、通用性強(qiáng)，如果AR=0，那么ARIMA就變?yōu)橐苿?dòng)平均模型如果MA=0，那么ARIMA就變?yōu)榛貧w模型回歸模型的表達(dá)式具體為：

式中為回歸誤差。

當(dāng)之間互相關(guān)聯(lián)，移動(dòng)平均模型的表達(dá)式具體為：

式中：表示模型參數(shù)；表示噪聲。

結(jié)合移動(dòng)平均模型和回歸模型，可以建立ARIMA具體表示為：

當(dāng)模型的階數(shù)較大時(shí)，與可以認(rèn)為是等價(jià)的，即：

式中為相應(yīng)的誤差。

誤差估計(jì)值的計(jì)算公式具體為：

式中采用最小二乘法（LS）進(jìn)行計(jì)算。

通過(guò)建立模型，具體如下：

根據(jù)AIC準(zhǔn)則估計(jì)參數(shù)以及的值。

式中：表示的協(xié)方差矩陣；表示參數(shù)的數(shù)量。

2 小波分析和ARIMA的信息安全態(tài)勢(shì)預(yù)測(cè)步驟

ARIMA的信息安全態(tài)勢(shì)預(yù)測(cè)步驟如下：

（1） 收集某一個(gè)信息系統(tǒng)安全狀態(tài)的歷史數(shù)據(jù)，并對(duì)數(shù)據(jù)進(jìn)行補(bǔ)漏操作，即丟失數(shù)據(jù)采用前7個(gè)數(shù)據(jù)的平均值代替。

（2） 采用小波分析對(duì)原始信息系統(tǒng)狀態(tài)信號(hào)進(jìn)行變換，得到多個(gè)細(xì)節(jié)信號(hào)，并將細(xì)節(jié)信號(hào)劃分為低頻分量和高頻分量。

（3） 采用ARIMA分別對(duì)信息系統(tǒng)狀態(tài)信號(hào)低頻分量和高頻分量進(jìn)行預(yù)測(cè)，得到它們的預(yù)測(cè)結(jié)果。

（4） 通過(guò)小波逆變換得到信息系統(tǒng)的安全狀態(tài)預(yù)測(cè)值。

信息系統(tǒng)安全態(tài)勢(shì)預(yù)測(cè)流程圖如圖1所示。

3 信息安全態(tài)勢(shì)預(yù)測(cè)模型的性能測(cè)試

3.1 實(shí)驗(yàn)數(shù)據(jù)

選擇某公司一年的信息安全狀態(tài)數(shù)據(jù)作為測(cè)試數(shù)據(jù)，得到700個(gè)數(shù)據(jù)，選擇500個(gè)數(shù)據(jù)建立信息系統(tǒng)安全態(tài)勢(shì)預(yù)測(cè)模型，剩下的數(shù)據(jù)用于分析其預(yù)測(cè)性能。實(shí)驗(yàn)數(shù)據(jù)具體如圖2所示。

3.2 結(jié)果與分析

采用小波分析對(duì)圖2的數(shù)據(jù)進(jìn)行分解，得到的結(jié)果如圖3所示。從圖3可以看出，相對(duì)于圖2中的原始信息系統(tǒng)安全狀態(tài)數(shù)據(jù)，分解后的數(shù)據(jù)規(guī)律性更加明顯，變化趨勢(shì)比較平滑，更加有利于ARIMA的建模。

采用ARIMA對(duì)不同分量進(jìn)行預(yù)測(cè)，逆變換得到的信息系統(tǒng)安全態(tài)勢(shì)預(yù)測(cè)結(jié)果如圖4所示，選擇沒有小波分析的ARIMA進(jìn)行對(duì)比實(shí)驗(yàn)，其信息系統(tǒng)安全態(tài)勢(shì)預(yù)測(cè)結(jié)果如圖5所示。對(duì)圖4和圖5的信息系統(tǒng)安全態(tài)勢(shì)預(yù)測(cè)結(jié)果進(jìn)行對(duì)比分析，本文模型的預(yù)測(cè)性能要明顯優(yōu)于對(duì)比模型（ARIMA）的預(yù)測(cè)性能，這是因?yàn)楸疚哪Ｐ筒捎眯〔ǚ治鰧?duì)信息系統(tǒng)安全狀態(tài)數(shù)據(jù)進(jìn)行分解，然后采用ARIMA分別對(duì)它們進(jìn)行建模，更加準(zhǔn)確地描述了信息系統(tǒng)安全態(tài)勢(shì)的變化特點(diǎn)，預(yù)測(cè)結(jié)果更加可靠。

統(tǒng)計(jì)本文模型與對(duì)比模型的MAD值，結(jié)果見表1，對(duì)表1進(jìn)行觀察可以看出，本文模型的MAD要小于對(duì)比模型，提高了信息系統(tǒng)安全態(tài)勢(shì)預(yù)測(cè)精度，這是因?yàn)锳RIMA模型是一種單模型，只能從整體上對(duì)信息系統(tǒng)安全態(tài)勢(shì)進(jìn)行描述，無(wú)法發(fā)現(xiàn)數(shù)據(jù)中隱藏的更加精細(xì)的變化規(guī)律，而本文模型可以更加深層次地挖掘信息系統(tǒng)安全態(tài)勢(shì)的變化特點(diǎn)，有效降低了信息系統(tǒng)安全態(tài)勢(shì)的預(yù)測(cè)誤差。

4 結(jié) 語(yǔ)

信息安全態(tài)勢(shì)具有復(fù)雜的變化特點(diǎn)，不僅有非平穩(wěn)性，而且有趨勢(shì)性，當(dāng)前模型無(wú)法全面描述該變化特點(diǎn)，為了解決該難題，本文提出了小波分析和ARIMA的信息安全態(tài)勢(shì)預(yù)測(cè)模型。首先利用小波分析信號(hào)處理的優(yōu)勢(shì)，對(duì)信息系統(tǒng)安全態(tài)勢(shì)數(shù)據(jù)進(jìn)行預(yù)處理，得到更加精細(xì)的信號(hào)，便于發(fā)現(xiàn)其中的變化規(guī)律，然后利用ARIMA對(duì)不同信號(hào)進(jìn)行建模，最后采用具體實(shí)驗(yàn)驗(yàn)證了本文模型的可行性和合理性，提高了信息系統(tǒng)安全態(tài)勢(shì)預(yù)測(cè)結(jié)果的可靠性，具有廣泛的應(yīng)用前景。

參考文獻(xiàn)

[1] 席榮榮，云曉春，金舒原，等.安全態(tài)勢(shì)感知研究綜述[J].計(jì)算機(jī)應(yīng)用，2012，32（1）：1?4.

[2] 唐作其，陳選文，戴海濤，等.多屬性群決策理論信息安全風(fēng)險(xiǎn)評(píng)估方法研究[J].計(jì)算機(jī)工程與應(yīng)用，2011，47（15）：104?106.

[3] 王帆，霍明奎，王曉婷.基于模糊灰度的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)與對(duì)策[J].情報(bào)科學(xué)，2014，32（1）：110?114.

[4] 王楨珍，姜欣，武小悅，等.信息安全風(fēng)險(xiǎn)概率計(jì)算的貝葉斯網(wǎng)絡(luò)模型[J].電子學(xué)報(bào)，2010，38（2）：18?22.

[5] 張勇，譚小彬，崔孝琳，等.基于Markov博弈模型的信息安全態(tài)勢(shì)感知方法[J].軟件學(xué)報(bào)，2011，22（3）：495?508.

[6] 徐茹枝，常太華，呂廣娟.基于時(shí)間序列的信息安全風(fēng)險(xiǎn)估計(jì)模型的研究[J].數(shù)學(xué)的實(shí)踐與認(rèn)識(shí)，2010，40（12）：124?131.

[7] 黨德鵬，孟真.基于支持向量機(jī)的信息安全風(fēng)險(xiǎn)評(píng)估[J].華中科技大學(xué)學(xué)報(bào)（自然科學(xué)版），2010，38（3）：46?49.

[8] 高陽(yáng)，羅軍舟.基于灰色關(guān)聯(lián)決策算法的信息安全風(fēng)險(xiǎn)評(píng)估方法[J].東南大學(xué)學(xué)報(bào)（自然科學(xué)版），2009，39（2）：225?229.

[9] 李方偉，鄭波，朱江，等.一種基于RBF神經(jīng)網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)估計(jì)模型[J].重慶郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2014，26（5）：576?583.

[10] 孟錦，馬馳，何加浪，等.基于HGA?RBF神經(jīng)網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)估計(jì)模型[J].計(jì)算機(jī)科學(xué)，2011，38（7）：71?75.

[11] 阮慧，黨德鵬.基于RBF模糊神經(jīng)網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)評(píng)估[J].計(jì)算機(jī)工程與設(shè)計(jì)，2011，32（6）：2113?2115.

[12] 付鈺鈺，吳曉平，葉清，等.模糊推理與多重結(jié)構(gòu)神經(jīng)網(wǎng)絡(luò)在信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)中的應(yīng)用[J].海軍工程大學(xué)學(xué)報(bào)，2011，23（1）：10?16.