小波分析和ARIMA的信息安全态势预测
李波
摘 要: 针对信息安全态势变化的复杂性,为了保证信息系统的正常工作,提出小波分析和移动平均回归模型(ARIMA)的信息安全态势预测模型。首先对当前信息系统的安全状态进行分析,并采用小波分析对信息系统的原始状态信号进行变换,得到信号的低频分量和高频分量,然后分别采用ARIMA的低频分量和高频分量进行预测,并通过逆变换得到信息系统的安全状态预测值,最后采用VC++编程实现信息系统的安全态势预测实验。实验结果表明,该模型获得了较高精度的信息安全态势预测结果,预测结果具有重要价值。
关键词: 信息系统; 安全态势; 预测模型; 小波分析
中图分类号: TN915.08?34; TP391 文献标识码: A 文章编号: 1004?373X(2017)13?0091?03
Abstract: For the complexity of the information security situation variation, in order to guarantee the normal work of the information system, an information security situation prediction model based on wavelet analysis and ARIMA is proposed. The security status of the current information system is analyzed. The wavelet analysis is used to transform the original status signal of the information system to get the low?frequency component and high?frequency component of the signal. The ARIMA is used to predict the low?frequency component and high?frequency component respectively. The security status predicted value of the information system is obtained by means of inverse transformation. The VC++ programming is adopted to realize the security situation prediction experiment of the information system. The experimental results show that the proposed model can obtain the high?precision prediction result of information security situation, and the prediction result has important value.
Keywords: information system; security situation; prediction model; wavelet analysis
0 引 言
随着计算机的不断普及,各种企业、单位和部门均建立了相应的信息管理系统,从此信息安全问题随之而来,尤其是近几年,网络入侵、病毒的不断增加,安全问题给企业和部门带来了不同程度的损失。安全态势预测可以帮助人们提前了解信息系统将来的安全状态,帮助管理员提前制定防范措施,因此信息安全态势预测引起了大家的高度重视[1?2]。
为了保证信息系统的正常、安全运行,人们对信息系统的安全性进行了多方面的分析和研究,有学者从系统脆弱性方面对系统安全性进行分析,有学者从数据安全性对信息系统安全态势进行建模和预测,均获得了不错的效果[3]。这些技术只是从一个角度分析信息系统的安全性,不能全面、准确描述信息系统的变化状态,导致有时预测结果与实验结果相差很远,预测结果的可信度低[4]。为了克服它们的局限性和不足,有学者引入了回归分析、模糊理论、神经网络等现代先进理论对信息系统安全态势进行预测[5?7],信息系统安全态势预测结果较好。在实际应用中,这些方法有一些不足,如回归分析法的信息系统安全态势预测结果与参数确定密切相关,一旦参数确定不好,信息系统安全态势预测精度低;模糊理论对信息系统安全态势数据进行模糊化处理,建模过程复杂,难以实现,需要专业人员才能操作[8];神经网络虽然可以对信息系统安全态势的非线性变化特点进行预测,但要求样本数量多,而对一个具体信息系统,其历史数据数量相当有限,难以满足神经网络的建模条件,预测结果时高时低,建立的信息系统安全态势预测模型稳定性差[9?11]。
针对信息安全态势变化的复杂性,为了保证信息系统的正常工作,提出小波分析和移动平均回归模型(ARIMA)的信息安全态势预测模型,采用VC++编程实现信息系统的安全态势预测实验,结果表明,本文模型获得了较高精度的信息安全态势预测结果,可以帮助人们了解信息系统的安全性。
1 小波分析和ARIMA
1.1 小波分析
小波分析是一种频域信号分析方法,可以对原始信息逐渐精细分解,得到不同频率的分量,相对于原始信号,分解后的信号更加简单,平稳性更好,更加有利于后继信息系统安全态势预测的建模。设信息系统的安全态势原始数据为采用Mallat算法进行不同尺度分解,可以得到不同层的信号为:
式中:表示第一层信号,依次类推,表示第层信号。
可以通过小波逆变换对各层信号进行重构,得到:
1.2 ARIMA
ARIMA是当前最为经典的时间序列建模方法,将数据看作是一种时间序列,包括AR和MA两部分,形式灵活、通用性强,如果AR=0,那么ARIMA就变为移动平均模型如果MA=0,那么ARIMA就变为回归模型回归模型的表达式具体为:
式中为回归误差。
当之间互相关联,移动平均模型的表达式具体为:
式中:表示模型参数;表示噪声。
结合移动平均模型和回归模型,可以建立ARIMA具体表示为:
当模型的阶数较大时,与可以认为是等价的,即:
式中为相应的误差。
误差估计值的计算公式具体为:
式中采用最小二乘法(LS)进行计算。
通过建立模型,具体如下:
根据AIC准则估计参数以及的值。
式中:表示的协方差矩阵;表示参数的数量。
2 小波分析和ARIMA的信息安全态势预测步骤
ARIMA的信息安全态势预测步骤如下:
(1) 收集某一个信息系统安全状态的历史数据,并对数据进行补漏操作,即丢失数据采用前7个数据的平均值代替。
(2) 采用小波分析对原始信息系统状态信号进行变换,得到多个细节信号,并将细节信号划分为低频分量和高频分量。
(3) 采用ARIMA分别对信息系统状态信号低频分量和高频分量进行预测,得到它们的预测结果。
(4) 通过小波逆变换得到信息系统的安全状态预测值。
信息系统安全态势预测流程图如图1所示。
3 信息安全态势预测模型的性能测试
3.1 实验数据
选择某公司一年的信息安全状态数据作为测试数据,得到700个数据,选择500个数据建立信息系统安全态势预测模型,剩下的数据用于分析其预测性能。实验数据具体如图2所示。
3.2 结果与分析
采用小波分析对图2的数据进行分解,得到的结果如图3所示。从图3可以看出,相对于图2中的原始信息系统安全状态数据,分解后的数据规律性更加明显,变化趋势比较平滑,更加有利于ARIMA的建模。
采用ARIMA对不同分量进行预测,逆变换得到的信息系统安全态势预测结果如图4所示,选择没有小波分析的ARIMA进行对比实验,其信息系统安全态势预测结果如图5所示。对图4和图5的信息系统安全态势预测结果进行对比分析,本文模型的预测性能要明显优于对比模型(ARIMA)的预测性能,这是因为本文模型采用小波分析对信息系统安全状态数据进行分解,然后采用ARIMA分别对它们进行建模,更加准确地描述了信息系统安全态势的变化特点,预测结果更加可靠。
统计本文模型与对比模型的MAD值,结果见表1,对表1进行观察可以看出,本文模型的MAD要小于对比模型,提高了信息系统安全态势预测精度,这是因为ARIMA模型是一种单模型,只能从整体上对信息系统安全态势进行描述,无法发现数据中隐藏的更加精细的变化规律,而本文模型可以更加深层次地挖掘信息系统安全态势的变化特点,有效降低了信息系统安全态势的预测误差。
4 結 语
信息安全态势具有复杂的变化特点,不仅有非平稳性,而且有趋势性,当前模型无法全面描述该变化特点,为了解决该难题,本文提出了小波分析和ARIMA的信息安全态势预测模型。首先利用小波分析信号处理的优势,对信息系统安全态势数据进行预处理,得到更加精细的信号,便于发现其中的变化规律,然后利用ARIMA对不同信号进行建模,最后采用具体实验验证了本文模型的可行性和合理性,提高了信息系统安全态势预测结果的可靠性,具有广泛的应用前景。
参考文献
[1] 席荣荣,云晓春,金舒原,等.安全态势感知研究综述[J].计算机应用,2012,32(1):1?4.
[2] 唐作其,陈选文,戴海涛,等.多属性群决策理论信息安全风险评估方法研究[J].计算机工程与应用,2011,47(15):104?106.
[3] 王帆,霍明奎,王晓婷.基于模糊灰度的信息系统安全风险评价与对策[J].情报科学,2014,32(1):110?114.
[4] 王桢珍,姜欣,武小悦,等.信息安全风险概率计算的贝叶斯网络模型[J].电子学报,2010,38(2):18?22.
[5] 张勇,谭小彬,崔孝琳,等.基于Markov博弈模型的信息安全态势感知方法[J].软件学报,2011,22(3):495?508.
[6] 徐茹枝,常太华,吕广娟.基于时间序列的信息安全风险估计模型的研究[J].数学的实践与认识,2010,40(12):124?131.
[7] 党德鹏,孟真.基于支持向量机的信息安全风险评估[J].华中科技大学学报(自然科学版),2010,38(3):46?49.
[8] 高阳,罗军舟.基于灰色关联决策算法的信息安全风险评估方法[J].东南大学学报(自然科学版),2009,39(2):225?229.
[9] 李方伟,郑波,朱江,等.一种基于RBF神经网络的信息安全风险估计模型[J].重庆邮电大学学报(自然科学版),2014,26(5):576?583.
[10] 孟锦,马驰,何加浪,等.基于HGA?RBF神经网络的信息安全风险估计模型[J].计算机科学,2011,38(7):71?75.
[11] 阮慧,党德鹏.基于RBF模糊神经网络的信息安全风险评估[J].计算机工程与设计,2011,32(6):2113?2115.
[12] 付钰钰,吴晓平,叶清,等.模糊推理与多重结构神经网络在信息系统安全风险评价中的应用[J].海军工程大学学报,2011,23(1):10?16.
摘 要: 针对信息安全态势变化的复杂性,为了保证信息系统的正常工作,提出小波分析和移动平均回归模型(ARIMA)的信息安全态势预测模型。首先对当前信息系统的安全状态进行分析,并采用小波分析对信息系统的原始状态信号进行变换,得到信号的低频分量和高频分量,然后分别采用ARIMA的低频分量和高频分量进行预测,并通过逆变换得到信息系统的安全状态预测值,最后采用VC++编程实现信息系统的安全态势预测实验。实验结果表明,该模型获得了较高精度的信息安全态势预测结果,预测结果具有重要价值。
关键词: 信息系统; 安全态势; 预测模型; 小波分析
中图分类号: TN915.08?34; TP391 文献标识码: A 文章编号: 1004?373X(2017)13?0091?03
Abstract: For the complexity of the information security situation variation, in order to guarantee the normal work of the information system, an information security situation prediction model based on wavelet analysis and ARIMA is proposed. The security status of the current information system is analyzed. The wavelet analysis is used to transform the original status signal of the information system to get the low?frequency component and high?frequency component of the signal. The ARIMA is used to predict the low?frequency component and high?frequency component respectively. The security status predicted value of the information system is obtained by means of inverse transformation. The VC++ programming is adopted to realize the security situation prediction experiment of the information system. The experimental results show that the proposed model can obtain the high?precision prediction result of information security situation, and the prediction result has important value.
Keywords: information system; security situation; prediction model; wavelet analysis
0 引 言
随着计算机的不断普及,各种企业、单位和部门均建立了相应的信息管理系统,从此信息安全问题随之而来,尤其是近几年,网络入侵、病毒的不断增加,安全问题给企业和部门带来了不同程度的损失。安全态势预测可以帮助人们提前了解信息系统将来的安全状态,帮助管理员提前制定防范措施,因此信息安全态势预测引起了大家的高度重视[1?2]。
为了保证信息系统的正常、安全运行,人们对信息系统的安全性进行了多方面的分析和研究,有学者从系统脆弱性方面对系统安全性进行分析,有学者从数据安全性对信息系统安全态势进行建模和预测,均获得了不错的效果[3]。这些技术只是从一个角度分析信息系统的安全性,不能全面、准确描述信息系统的变化状态,导致有时预测结果与实验结果相差很远,预测结果的可信度低[4]。为了克服它们的局限性和不足,有学者引入了回归分析、模糊理论、神经网络等现代先进理论对信息系统安全态势进行预测[5?7],信息系统安全态势预测结果较好。在实际应用中,这些方法有一些不足,如回归分析法的信息系统安全态势预测结果与参数确定密切相关,一旦参数确定不好,信息系统安全态势预测精度低;模糊理论对信息系统安全态势数据进行模糊化处理,建模过程复杂,难以实现,需要专业人员才能操作[8];神经网络虽然可以对信息系统安全态势的非线性变化特点进行预测,但要求样本数量多,而对一个具体信息系统,其历史数据数量相当有限,难以满足神经网络的建模条件,预测结果时高时低,建立的信息系统安全态势预测模型稳定性差[9?11]。
针对信息安全态势变化的复杂性,为了保证信息系统的正常工作,提出小波分析和移动平均回归模型(ARIMA)的信息安全态势预测模型,采用VC++编程实现信息系统的安全态势预测实验,结果表明,本文模型获得了较高精度的信息安全态势预测结果,可以帮助人们了解信息系统的安全性。
1 小波分析和ARIMA
1.1 小波分析
小波分析是一种频域信号分析方法,可以对原始信息逐渐精细分解,得到不同频率的分量,相对于原始信号,分解后的信号更加简单,平稳性更好,更加有利于后继信息系统安全态势预测的建模。设信息系统的安全态势原始数据为采用Mallat算法进行不同尺度分解,可以得到不同层的信号为:
式中:表示第一层信号,依次类推,表示第层信号。
可以通过小波逆变换对各层信号进行重构,得到:
1.2 ARIMA
ARIMA是当前最为经典的时间序列建模方法,将数据看作是一种时间序列,包括AR和MA两部分,形式灵活、通用性强,如果AR=0,那么ARIMA就变为移动平均模型如果MA=0,那么ARIMA就变为回归模型回归模型的表达式具体为:
式中为回归误差。
当之间互相关联,移动平均模型的表达式具体为:
式中:表示模型参数;表示噪声。
结合移动平均模型和回归模型,可以建立ARIMA具体表示为:
当模型的阶数较大时,与可以认为是等价的,即:
式中为相应的误差。
误差估计值的计算公式具体为:
式中采用最小二乘法(LS)进行计算。
通过建立模型,具体如下:
根据AIC准则估计参数以及的值。
式中:表示的协方差矩阵;表示参数的数量。
2 小波分析和ARIMA的信息安全态势预测步骤
ARIMA的信息安全态势预测步骤如下:
(1) 收集某一个信息系统安全状态的历史数据,并对数据进行补漏操作,即丢失数据采用前7个数据的平均值代替。
(2) 采用小波分析对原始信息系统状态信号进行变换,得到多个细节信号,并将细节信号划分为低频分量和高频分量。
(3) 采用ARIMA分别对信息系统状态信号低频分量和高频分量进行预测,得到它们的预测结果。
(4) 通过小波逆变换得到信息系统的安全状态预测值。
信息系统安全态势预测流程图如图1所示。
3 信息安全态势预测模型的性能测试
3.1 实验数据
选择某公司一年的信息安全状态数据作为测试数据,得到700个数据,选择500个数据建立信息系统安全态势预测模型,剩下的数据用于分析其预测性能。实验数据具体如图2所示。
3.2 结果与分析
采用小波分析对图2的数据进行分解,得到的结果如图3所示。从图3可以看出,相对于图2中的原始信息系统安全状态数据,分解后的数据规律性更加明显,变化趋势比较平滑,更加有利于ARIMA的建模。
采用ARIMA对不同分量进行预测,逆变换得到的信息系统安全态势预测结果如图4所示,选择没有小波分析的ARIMA进行对比实验,其信息系统安全态势预测结果如图5所示。对图4和图5的信息系统安全态势预测结果进行对比分析,本文模型的预测性能要明显优于对比模型(ARIMA)的预测性能,这是因为本文模型采用小波分析对信息系统安全状态数据进行分解,然后采用ARIMA分别对它们进行建模,更加准确地描述了信息系统安全态势的变化特点,预测结果更加可靠。
统计本文模型与对比模型的MAD值,结果见表1,对表1进行观察可以看出,本文模型的MAD要小于对比模型,提高了信息系统安全态势预测精度,这是因为ARIMA模型是一种单模型,只能从整体上对信息系统安全态势进行描述,无法发现数据中隐藏的更加精细的变化规律,而本文模型可以更加深层次地挖掘信息系统安全态势的变化特点,有效降低了信息系统安全态势的预测误差。
4 結 语
信息安全态势具有复杂的变化特点,不仅有非平稳性,而且有趋势性,当前模型无法全面描述该变化特点,为了解决该难题,本文提出了小波分析和ARIMA的信息安全态势预测模型。首先利用小波分析信号处理的优势,对信息系统安全态势数据进行预处理,得到更加精细的信号,便于发现其中的变化规律,然后利用ARIMA对不同信号进行建模,最后采用具体实验验证了本文模型的可行性和合理性,提高了信息系统安全态势预测结果的可靠性,具有广泛的应用前景。
参考文献
[1] 席荣荣,云晓春,金舒原,等.安全态势感知研究综述[J].计算机应用,2012,32(1):1?4.
[2] 唐作其,陈选文,戴海涛,等.多属性群决策理论信息安全风险评估方法研究[J].计算机工程与应用,2011,47(15):104?106.
[3] 王帆,霍明奎,王晓婷.基于模糊灰度的信息系统安全风险评价与对策[J].情报科学,2014,32(1):110?114.
[4] 王桢珍,姜欣,武小悦,等.信息安全风险概率计算的贝叶斯网络模型[J].电子学报,2010,38(2):18?22.
[5] 张勇,谭小彬,崔孝琳,等.基于Markov博弈模型的信息安全态势感知方法[J].软件学报,2011,22(3):495?508.
[6] 徐茹枝,常太华,吕广娟.基于时间序列的信息安全风险估计模型的研究[J].数学的实践与认识,2010,40(12):124?131.
[7] 党德鹏,孟真.基于支持向量机的信息安全风险评估[J].华中科技大学学报(自然科学版),2010,38(3):46?49.
[8] 高阳,罗军舟.基于灰色关联决策算法的信息安全风险评估方法[J].东南大学学报(自然科学版),2009,39(2):225?229.
[9] 李方伟,郑波,朱江,等.一种基于RBF神经网络的信息安全风险估计模型[J].重庆邮电大学学报(自然科学版),2014,26(5):576?583.
[10] 孟锦,马驰,何加浪,等.基于HGA?RBF神经网络的信息安全风险估计模型[J].计算机科学,2011,38(7):71?75.
[11] 阮慧,党德鹏.基于RBF模糊神经网络的信息安全风险评估[J].计算机工程与设计,2011,32(6):2113?2115.
[12] 付钰钰,吴晓平,叶清,等.模糊推理与多重结构神经网络在信息系统安全风险评价中的应用[J].海军工程大学学报,2011,23(1):10?16.