◆郭拯危 马文龙 郝婧

基于残差改进的灰色模型在电力行业网络安全预测中的应用

◆郭拯危 马文龙 郝婧

针对电力行业内传统网络安全预测无法全面反映系统整体状况，预测精度不高的缺点，提出一种网络安全预测方法。首先对网络安全事件进行分析，采用层次分析法构建网络安全指标体系，并对样本数据进行处理，构造异常值的分布序列，而后采用灰色方法进行预测模型建模，对预测结果运用神经网络方法进行残差修正，从而实现提高预测精度的目的。通过仿真实验，表明基于残差改进的灰色模型的网络安全预测方法的可行性和有效性。

灰色模型；残差改进；神经网络

1 引言

随着电力行业信息化建设水平的不断提高，部门之间信息交换愈加频繁，网络安全问题日益突出，为行业信息化工作的深入开展埋下了诸多隐患。并且作为重点行业，用户核心业务及敏感数据的安全保护，生产大区与信息大区分布范围较广但信息交换日益增多，网络结构受地区限制而差异较大，网络结构复杂等诸多因素决定了行业网络安全方面的特殊性。因此，针对行业特点，人们提出许多技术措施和管理手段。

但是由于网络安全涉及多个方面的内容[1-12]，无法简单地通过某一方面的数据而反映整体网络安全状况，现有网络安全机制出发点在于可视化的网络管理维护、突发事件的应急管理、风险评定等，这些措施加强了网络安全的管理，但是缺乏对网络安全的主动预测，以便提前遏制可能出现的各类安全问题，消除潜在风险。因此，本文通过综合日常运维工作实际与各项考核指标，提出一种基于残差改进GM(1,1)模型的网络安全预测方法。

2 网络安全预测方法与标准

本文所提出的信息风险预测方法，以灾变灰预测[13-14]为基础，从以往的被动防御方式，如防火墙、入侵检测技术等，转换为主动预测的方式，通过对以往网络安全事件发生的统计分析，包括网络安全事件发生的频率、数量[15]、类型以及威胁程度等多个方面，得出原始序列并指定阈值，构造异常序列与时分布映射，通过对时分布序列的GM(1,1)建模，对异常值时分布作预测，使运维管理人员、网络及软件工程师提前采取相应的防范措施，消除风险[16-18]。

在结合信息系统安全评价考核指标与日常运行维护所反映出的主要问题后，选择出重要的样本类型，具体参看图1，确定权重。

3 网络安全预测模型构建

层次分析法 首先将预测参考指标层次化[16]，通过相互比较确定各指标对于安全预测的重要程度，构造判断矩阵，而后考察判断矩阵对应于特征根的特征向量是否在容许的范围内，若通过了一致性检验，则再通过层次总排序来决定各个因素的优先程度，即对于网络安全预测的权重值。

GM(1,1)模型及灾变灰预测 如前所述，使用GM(1,1)灰色预测模型，其基本形式为x(0)(k)+az(1)(k)=b，根据此基本形式，可以列出如下两个矩阵：

图 1 网络安全预测参考指标

而后利用最小二乘法，可以得到P=(a,b)T=(BBT)-1BTY。其中，a和b就是灰色模型基本形式中的系数a和b，最后利用这两个系数去还原出模型的基本形式。灰色模型的白化方程为：

神经网络进行残差改进因为神经网络方法建模精度高，基于信息前向传播与误差反传的模型，使误差可控，即通过修改各层神经元权值，使误差最小[17-18]，因此可以使用残差序列建立BP神经网络模型，记（i=1,2,3,…,n），其中x(0)(i)为原始数据，为模型拟合值，e(0)(i)为残差，那么{e(0)(i)}为残差序列。另记S为预测阶数，使用e(0)(i-1),e(0)(i-2),…,e(0)(i-s)作为BP神经网络的输入样本，将e(0)(i)的值作为训练的预测期望值。

4 仿真分析

数据采样及预处理由以上数学模型，对某电力企业一年内的综合数据进行采样。首先由AHP层次分析法，构造判断矩阵，将由S1,S2,…,Sn（n<=7）构成的参考因素相互比较，得出以下判断矩阵：

此判断矩阵的一致性指标CI为0.0237，一致性比率CR为0.0174，不一致性程度在容许范围内，一致性可以接受，据此可以得到S1,S2,…,Sn（n=7）的权重，如表1所示。

表1 网络安全样本权重

本文收集了某电力企业在某年份的44组数据，数据来源为IPS、防火墙、漏洞评测工具监测信息，以及日常管理维护信息统计，通过标准化法进行数据预处理，得到样本输入，如表2所示。

采样数据为不同类型入侵事件的统计值，包括CGI攻击、木马后门程序、蠕虫病毒、安全审计执行等。首先对采样数据进行标准化处理，对原始数据进行线性变换，采用z-score标准化法，将多组不同量纲的数据转换成无量纲的标准化数据，从而消除数据量纲的影响。

GM(1,1)模型的灾变灰预测从样本数据集R1中选取大于阈值的数据构造异常值分布序列，因为这些项对风险值结果的贡献为正值，相对风险值结果偏高，那么pθ=(-0.0201,-0.1484,0.2355,……)，据此可以通过时分布映射得出δ=(3,5,10,11,13,16,……,35,36)，从而得到灰色模型[19]的原始数据序列，建立GM(1,1)模型，预测未来可能出现的风险时段。

表2 网络安全风险数据集

表3 拟合结果及误差分析

神经网络修正的残差模型预测 为了提高模型精度，对残差序列进行网络训练，输入层采用tansig传递函数，输出层采用purelin线性函数，训练次数1000 epochs，学习速率0.05，收敛误差取0.01，网络性能指标1e-2。训练中网络误差性能降低到目标值，或者训练次数达到最大值为止。训练结果及残差对比如表3所示。

如图2、图3所示，通过图像对比可以看出，经残差改进后的曲线更接近原始数据点，拟合效果更高。经检验，灾变灰预测模型的后验差比值为0.194，而经残差改进后的模型后验差比值为0.12，误差逐渐减小，又因c=0.12＜0.35，模型精度较高，因此可以作为预测模型。

5 结束语

通过比较，可以得知通过对残差序列的神经网络建模，使残差序列的拟合值逐渐减小，预测结果更接近真实值，预测精度相比灾变灰预测有了整体的提高。

灾变灰预测与神经网络残差修正的有效结合，既利用了神经网络的非线性映射能力，又发挥了灰色预测模型少数据建模的优点，使两种方法取长补短，提高了预测精度，从实际角度扩大了灰色模型的应用范围。

图2 原始曲线与两种预测曲线对比图

图3 改进后的残差对比图

[1]陈秀真,郑庆华,管晓宏,等.层次化网络安全威胁态势量化评估方法[J].软件学报,2006(4):885-897.

[2]张永铮,方滨兴,迟悦,等.用于评估网络信息系统的风险传播模型[J].软件学报,2007(1):137-145.

[3]赵冬梅,张玉清,马建峰.网络安全的综合风险评估[J].计算机科学,2004(7):66-69.

[4]武仁杰.神经网络在计算机网络安全评价中的应用研究[J].计算机仿真,2011,28(11):126-129.

[5]曹晓梅,韩志杰,陈贵海.基于流量预测的传感器网络拒绝服务攻击检测方案[J].计算机学报,2007,30(10):1798-1805.

[6]王春雷,方兰,王东霞,等.基于知识发现的网络安全态势感知系统[J].计算机科学,2012,39(7):11-17.

[7]李健宏,李广振.网络安全综合评价方法的应用研究[J].计算机仿真,2011,28(7):165-168.

[8]陈晓天.基于软计算的IP网络流量监测和控制关键技术研究[D].南京:南京邮电大学,2013.

[9]曾斌,钟萍.网络安全态势预测方法的仿真研究[J].计算机仿真,2012,29(5):170-173.

[10]姚晔.基于熵值法的网络安全态势组合预测模型[J].计算机仿真,2012,29(4):157-160.

Application of Network Security Forecast based on Improved Grey Model for Electric Power Industry

Zhengwei, MA Wenlong, HAO Jing

The paper suggests a new forecasting model for the network security-related problems in the power industry to remedy the shortcomings of the traditional ones which fail to reflect the industry’s overall conditions and cannot accurately predict. The sample data is collected by analyzing the events concerning the network security. Then AHP (analytic hierarchy process) is applied to set up an indicator system to evaluate those data and form a sequential distribution of exceptional values. Based upon that,GM (Grey Model) is introduced to comprehensively predict the conditions of the industry’s information security, and then the prediction results are modified by using artificial neural network method. The simulating tests have also been carried out to prove that the proposed model with improved GM as the basis is viable and valid.

grey model; error improvement; artificial neural network

TP393.08

B

1671-489X(2014)08-0132-04

10.3969/j.issn.1671-489X.2014.08.132

作者：郭拯危，河南大学计算机与信息工程学院教授，硕士生导师，研究方向为无线传感器技术等；马文龙，河南大学计算机与信息工程学院硕士研究生，研究方向为信息安全预测技术等（475004）；郝婧，助理工程师，国网开封供电公司信息通信公司信息运检技术专责（475000）。