基于灰色理论的物流信息系统风险态势预测模型建立及优化,本文主要内容关键词为:信息系统论文,态势论文,灰色论文,模型论文,风险论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
doi:10.3969/j.issn.1005-152X.2009.09.042
1 引言
态势感知源于航天飞行的人因(human factors)研究,目前广泛应用于航天飞行、军事战场、空中交通监管等领域。随着网络的不断壮大和普及应用,网络病毒、DoS/DDoS攻击等所造成的威胁和损失越来越大,很多研究人员和机构已经开始意识到仅仅依赖现有的信息系统网络安全产品无法实现对整个信息系统网络安全态势的实时监控,因此迫切需要一项新技术新方法来完成该项任务,于是提出了信息系统网络安全态势感知系统研究。纵观国内外相关研究,信息系统网络安全态势感知可描述为在大规模网络环境中,对能够引起信息系统网络安全态势发生变化要素的提取、当前态势的评估以及未来安全态势的预测[1]。
本文所研究的物流信息系统网络IP地址动态分配系统风险态势预测即属于信息系统网络安全态势感知在现实环境中针对较单纯数据的具体应用。文献[1]中提出了基于简单加权法和灰色理论的信息系统网络安全态势感知建模过程,本文基本沿用此方法针对具体问题建立评估和预测模型,并在应用过程中对所建立模型提出了改进方案。
2 具体建模过程
态势是一种状态,一种趋势,是一个整体和全局的概念。其发展趋势可简要概括为:(1)实时或近实时的态势获取;(2)信息系统网络安全态势挖掘;(3)多源异构传感器数据融合;(4)安全态势实时可视化;(5)信息系统网络安全事件预警与联动响应;(6)潜在的、未知的网络恶意行为和恶意代码检测[1]。
目前信息系统网络安全态势感知研究正处于起步阶段,其模型方面的研究也多见于框架模型,如Bass提出的基于多传感器数据融合的信息系统网络安全态势感知框架模型[2];Yin等人提出的基于Netflow信息系统网络安全态势感知框架模型[3]。简单加权法是利用加权多项式建立等式,计算评估函数值的数学方法。
灰色理论是我国学者邓聚龙于1982年提出的对部分信息明确,部分信息不明确的系统进行定性、定量研究的一门新兴学科,具有要求样本少、运算方便、对更新快的样本数据有很强针对性的特点,现在已经成为对系统进行分析、建模、预测、决策、规划及控制的有效工具[4]。
2.1 基于简单加权法的态势评估模型建立
建立评估模型所需的数据均来自某一时间段内对客户端参数的统计,包括:平均受攻击次数、平均产生IP冲突次数、平均IP地址失效次数。
假设1在某一时间段T内,N表示每个客户端平均受攻击次数;C表示N中产生IP冲突的次数;L表示C中导致IP地址失效次数;A表示T时间段内不同情况的影响权重
的集合,由管理员人为设定。
代表T内某种攻击造成的结果对于系统的影响,比如:在网络负载较小的凌晨,即使出现IP地址失效问题,由于未被占用的IP地址较多,服务器可以很快为客户端分配一个新IP,使其重新连接到网络,事实上,这个时间段内IP地址失效与IP冲突甚至并未造成后果的攻击相比对系统的影响并无太大差别,所以三者权重差别较小;而在网络负载较大的晚上20:00-24:00这段时间,出现IP地址失效问题后,由于大量IP地址被占用以及排队请求新IP的客户端数量较多等原因,客户端很可能在相当长时间内无法获得新IP地址,从而无法连接到网络,对系统的影响比其他两种情况要严重得多,所以权重较大。
定义1依据假设1,定义函数F(T,N,C,L,A)来表示IP地址动态分配系统的当前风险状况,记为
式中C和L分别做乘方和底数为10的指数运算,可以更好地反映更严重的攻击结果对IP地址动态分配系统风险态势的影响程度。F(T,N,C,L,A)越大说明IP地址动态分配系统面临的风险越大。
2.2 基于灰色理论的态势预测模型建立
灰色理论非常适用于预测建模,并且能保证较高的预测精度。而对于本文中建立的态势评估模型,针对未来态势的模糊性、随机性、不确定性等特点,适于采用灰色理论建立未来态势预测模型。本文采用的GM(1,1)预测模型是一阶、一个变量的微分方程模型,适合于对系统行为特征值大小的发展变化进行预测。
原始时间序列数据:
经过累加后生成的序列呈现出较强的指数分布规律,可以用线形动态模型模拟和逼近。这里利用GM(1,1)模型模拟累加生成后的数据序列,GM(1,1)模型表示一阶单变量灰色微分方程:
利用公式(7)、(8),即可求出各时间序列的预测数据。
为了检验预测数据的预测精度,需进行残差检验。残差检验法是用原始值与预测值进行比较的一种算术检验。
由公式(8)可求出相对误差△t:
至此,将发展系数a和灰色作用量b代入式(4)和(5)中,可得到IP地址动态分配系统风险态势预测模型;依据式(10)对所建立的模型进行误差检验。
2.3 态势预测模型的改进
上面所建立的GM(1,1)模型针对于IP地址动态分配系统风险态势预测是有其局限性的,主要表现在:此模型没有能够有效地反映出IP地址动态分配系统的实时性特点(时间间隔较大时,网络负载状况差别过大,导致态势评估参数统计值差别过大),这样会导致预测结果随时间点的右移而越来越偏离实际值。针对这个问题,可以考虑利用等维新息处理方法改进模型。
等维新息建模是指用GM(1,1)模型获得一个预测值,而后将其补充到已知数据之后同时去掉最老的一个数据,保持数列等维,建立GM(1,1)模型,预测下一个值,再将其结果补充到数列之后,再去掉最老的一个数据,这样新陈代谢,逐个预测,依次递补,直到完成预测目标或达到预定精度为止。
同一般灰色系统GM(1,1)预测模型相比较,等维新息GM(1,1)模型特点如下:(1)及时补充和利用灰信息,提高了灰平面的白色度,缩小了预测值的灰区间;(2)每预测一步,对灰参数做一次修正,并随之修正模型,使预测值在动态过程中产生[5]。
3 态势预测模型应用实验
为了验证所建立模型的合理性,在具体物流信息系统网络环境中对其进行模型应用实验。
3.1 实验环境配置
网络环境:某企业物流信息系统网络;
数据来源:接入物流信息系统网络的客户端主机(数量:6);
数据采集时间:2008年6月9日15:00-20:00(间隔1小时);
预测对象:2008年12月9日20:00-22:00每小时某企业物流信息系统网络IP地址动态分配系统风险态势(以F(T,N,C,L,A)表示)。
3.2 原始数据采集结果
结果如表1所示。
建立GM(1,1)模型,求出发展系数a和灰色作用量b:
a=-0.156 99;
b=16.007;
代入模型的时间响应方程:
重复以上操作过程,可以预测出20:00-22:00每小时某企业物流信息系统网络IP地址动态分配系统风险态势(以F(T,N,C,L,A)表示)。如表3所示。
表4 误差检验表
易求得预测结果平均残差为7.7%,也即预测精度不低于92%,高于90%,可确认为合格的预测结果。
4 结论
信息系统网络安全态势感知系统研究作为一个新的研究领域,对于提高网络应急响应的能力、缓解网络攻击所造成的危害、发现潜在恶意的入侵攻击行为等具有十分重要的意义[1]。本文所研究的物流信息系统网络IP地址动态分配系统风险态势预测即属于信息系统网络安全态势感知在现实环境中针对较单纯数据的具体应用。经实验验证,本文中所建立模型能够及时补充和利用灰信息,从而对系统的变化趋势有一个更好的拟合,能够比较有效地预测IP地址动态分配系统的未来风险态势,预测精度不低于92%,预测结果令人满意。
标签:网络安全论文; 预测模型论文; 灰色理论论文; 物流信息系统论文; 态势感知论文; 灰色模型论文; 网络模型论文; 物流网络论文; 动态模型论文; 风险模型论文;