樊子华

(解放军信息工程大学， 郑州 450004)

基于HMM的网络安全态势评估方法

樊子华

(解放军信息工程大学， 郑州 450004)

为了准确高效地评估网络系统安全状态，提出了一种基于隐Markov模型(HMM)的态势量化方法。首先结合网络威胁类型及服务漏洞信息对其安全态势进行量化，然后按照层次化策略扩展到整个网络。基于KDD CUP99数据集的仿真实验分析表明，该方法能够完成对网络安全态势的感知与评估。

网络安全；HMM；态势感知；态势量化

随着Internet网络技术的不断发展，网络在社会的各个方面发挥着越来越重要的作用。但网络攻击技术的不断发展又使得网络所受到的安全威胁越来越大，传统的网络安全技术已经不能满足当今网络安全的需要。网络安全态势感知技术的出现使得网络防御呈现出主动性特点。通过感知网络系统的安全状态，可动态调整安全策略，降低网络系统的安全威胁。

“态势感知”(Situation Awareness，SA)起源于航天飞行的人因研究[1]。1999年Tim B将态势感知引入网络安全领域，提出了网络态势感知的概念[2]，并建立了网络态势感知功能框架[3]。许多学者在网络态势感知领域开展研究工作，取得了一定的成果。文献[4]和文献[5]根据层次化策略对网络安全态势进行评估，提出了层次化安全态势评估模型；文献[6]和文献[7]提出了基于神经网络的安全态势感知算法；文献[8]结合粒子群算法和支持向量机提出了网络安全态势感知模型；文献[9]通过分析威胁、管理员和普通用户之间的博弈关系，提出了基于Markov 博弈模型的网络安全态势感知方法，但该模型侧重于对局部威胁的评估，缺少对整体网络安全态势的考虑；文献[10]基于HMM提出了一种网络安全态势评估模型，但该模型仅仅将网络威胁强度作为HMM的观察序列，并不能合理地反映网络所处的安全状态。

鉴于以上研究现状，本文对HMM模型进行扩展，将网络威胁类型和服务漏洞信息综合起来作为观察序列；在评估量化中，计算每次网络威胁的服务威胁指数，根据层次化策略完成对整体网络态势的感知与量化评估。因此，该评估方法具有很强的实时性。

1 基于HMM模型的态势感知

1.1 HMM模型的建立

隐Markov模型是在Markov链基础上发展起来的具有双重随机过程的一种模型，具有有限隐蔽状态的Markov链所产生的输出为不可观测的状态序列，还具有产生可观察序列的随机过程。随机过程与Markov链每一状态通过一组概率分布相关联。由于状态不可见，只能通过观察序列来感知状态的存在及其性质，因此称之为隐Markov模型。HMM可用来估计隐藏在表面事件背后状态的概率。HMM的组成如图1所示。

图1 HMM组成示意图

由于网络结构的复杂性及网络内部的差异性，如果对网络整体建立HMM模型而进行态势评估，不仅会加大评估的复杂性，而且一个模型无法适应不同网络的需求，因此本文为资产上的每个服务分别建立一个HMM模型，根据威胁类型和漏洞信息得出观察序列，评估服务的安全态势。HMM模型可用一个五元组λ表示：λ={S,V,Π,A,B}。

状态空间S：HMM中隐藏的Markov链。S={S1,S2,…,SN}，表示服务所处状态的集合。本模型设定了4个状态，分别为Safe、Ignorable、Danger、Disastrous。不同状态网络威胁成功概率也不相同。各个状态之间的转移构成一个Markov链，每个状态都可以直接转移到另一个状态。在t时刻，服务所处状态为qt，qt∈(Safe,Ignorable,Attacked,Danger)。

Safe：表示处于安全状态，网络威胁成功概率较低。

Ignorable：表示安全性有所降低，网络威胁成功概率有较小提升。

Danger：表示处于危险状态，网络威胁成功概率大大增加。

Disastrous：表示已被入侵，网络威胁成功概率接近于1，机密性、完整性和可用性遭到破坏，处于灾难性的状态。

状态转移概率矩阵A：A=[aij]4×4。aij表示节点从状态si转移到状态sj的概率，aij=P(qt+1=sj|qt=si)，1≤i≤4,1≤j≤4。

观察空间M：M={V1,V2,V3,…,V10}。根据服务自身属性记录漏洞信息，受到威胁时，若需要的漏洞信息不存在，则将本次观测值记为V1；如果漏洞存在，则可根据威胁严重程度分为9类，对应V2，V3，…，V10。记t时刻的观察值为Ot，Ot∈{V1，V2，V3，…，V10}。

观察概率矩阵B：B=(bjk)4×10，bjk=P(Ot=Vk|qt=sj),1≤j≤4,1≤k≤10。它表示当处于状态j时，观察到服务安全威胁值为k的概率。

初始状态矢量Π：Π={π1,π2,π3,π4}，其中πi=P(q1=si)，1≤i≤4。它表示初始状态为si的概率。

1.2 态势感知

定义前向变量αt(j)=P(O1O2…Ot,qt=Si|λ)。它表示在模型λ下，t时刻资产状态为Si且t时刻之前的观察序列为O1O2…Ot的概率。αt(j)可由递归过程得到：

初始化：α1(i)=πibi(O1),1≤i≤4;

定义变量Γt(i)=P(qt=Si|O,λ)。它表示在给定观察序列O和模型λ的情况下，t时刻资产处于状态i的概率。Γt(i)可由下式得到：

t时刻服务所处状态就是t时刻概率最大的状态。

2 模型结构

在评估模型方面，文献[5]提出了层次化评估模型，采用自下而上、先局部后整体的方法，量化评估网络安全威胁态势。但该方法仅考虑主机一种资产，只根据报警日志计算威胁指数，并且该威胁指数反映的只是一段时间内的安全态势，实时性不强。本文对该层次化结构模型进行改进，提出了如图2所示的层次化网络系统安全威胁态势量化评估模型。

图2 层次化网络系统安全威胁态势评估模型

网络系统按层次可以分为网络、资产、服务3个层次。资产就是系统中有价值的资源，包括主机、服务器、路由器、网关和防火墙等。资产的类型、性能和网络位置等因素确定了资产权重，表示资产在网络中的重要程度。对于资产上的每个服务，可根据资产的重要性分为3个等级，即value={1,2,3}，并可根据所处等级得出服务在资产中的权重。

定义1 服务威胁指数ST：服务受到网络威胁时自身的损失。根据每个服务的配置，记录该服务的漏洞信息。当服务受到网络威胁时，与漏洞信息进行匹配。若该威胁需要的漏洞存在，则该威胁有可能成功；若需要的漏洞不存在，则该威胁不可能成功。考虑到服务在该时刻所处的安全状态，能够得出该威胁的成功概率P。结合服务重要性等级和成功概率，可计算该记录的服务威胁指数:

T=value·P

3.切实发挥好四个作用。党员领导干部在市场开拓中要发挥好“管理协调”作用，在经营创收中要发挥好“引领激励”作用，在安全稳定中要发挥好“控制防范”作用，在精细管理中要发挥好“执行表率”作用。切实引导全体干部员工把思想汇聚到打造一流上、智慧集聚到打造一流上、力量凝聚到打造一流上，切实为公司发展挑重担、负责任，为员工当先锋、作表率。

与文献中的服务威胁指数相比，该指数综合反映了威胁与漏洞信息，每次威胁的发生都会令指数产生变化。因此，它实时性较强。

定义3 网络系统威胁指数LT：某时刻整体网络安全损失的总和。由各资产威胁指数加权可得：

3 仿真实验

为了验证模型的合理性，本文基于KDD CUP99数据集演示了模型的具体实现过程。实验环境为局域网，该局域网共有8种不同的资产，包括主机、路由器、防火墙，等等。其网络结构如图3所示。

图3 网络结构拓扑示意图

每个资产根据类型、位置以及配置的不同，在网络中所占权重也不同。每个资产中的服务有不同的权重。系统内资产、资产权重以及资产中包含的服务及其权重如表1所示。

通过数据集中训练集的训练，可以将λ中Π、A、B初始化为：Π=(0.5,0.2,0.2,0.1)，

表1 系统中的资产、服务及其权重

资产资产权重(wt)资产所包含的服务(Server)服务重要性等级(value)服务权重(ws)10.152http,domain_u,pop3,private(3,1,2,3)(0.4,0.1,0.2,0.3)20.116http,domain_u,smtp(3,3,3)(0.4,0.2,0.4)30.116domain_u,ftp,private,telnet(1,3,3,3)(0.1,0.35,0.25,0.3)40.134ftp,pop3,private,eco_i(3,2,3,1)(0.4,0.2,0.3,0.1)50.083http,telnet,pop3(3,3,2)(0.4,0.4,0.2)60.138http,ftp,smtp(3,1,3)(0.3,0.4,0.3)70.126ftp,pop3,domain_u,private(3,2,1,3)(0.4,0.2,0.1,0.3)80.135domain_u,ftp(1,3)(0.25,0.75)

4 结果与讨论

图4是根据某段时间内资产2上http服务40次的威胁记录计算出来的服务威胁指数值。http权重为3，威胁指数越大，该服务就越危险。可选取不增加时间向量的层次化评估方法与本文方法进行实验对比。

在图4中，前4次为正常记录，此时服务处于Safe状态，威胁指数为0；第7次威胁使服务状态变为Ignorable；第18次威胁使服务状态变为Danger；第22次攻击使服务状态变为Disastrous。随着状态的变化，成功概率增加，威胁指数增加速率变快。网络管理员在第28次威胁时调整安全策略，消除了服务存在的漏洞。此时，虽然攻击仍在持续但不能成功，成功概率变为零。

图4 某段时间内的服务威胁指数值

图5为资产2的威胁态势。在110 min左右，资产遭受http和smtp两种攻击，经过本文方法计算的威胁指数明显高于层次化方法，更好地反映了资产的安全态势信息。

图5 资产2的威胁指数示意图

图6为整个网络系统的威胁态势。通过图6网络管理员能够直观地了解网络安全态势，及时调整安全策略。

图6 整体网络的威胁指数示意图

由于层次化方法没有使用时间向量，上一时刻安全态势值不对后续值产生影响，层次化方法的威胁指数低于本文方法。因此本文方法相比于层次化方法对威胁更加敏感，能够为网络管理员提供更准确的网络安全态势信息。

5 结 语

当前网络安全态势评估方法还不够成熟。本文综合考虑网络攻击与网络自身属性，运用HMM对安全态势进行定量计算，为网络安全态势的评估提供了一种新的思路。后续工作是优化模型中转移矩阵的训练方法，同时对网络态势预测进行研究。

[1] Endsley M R. Design and Evaluation for Situation Awareness Enhancement[C]//Proceedings of the Human Factors Society 32nd Annual Meeting. Santa Monica:Human Factors & Ergonomics Society,1988,32:97-101.

[2] Bass T． Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems[C]//1999 IRIS National Symposium Draft. [s.l.]:[s.n.],1999：24-27.

[3] Tim B． Intrusion Detection Systems and Multi sensor Data Fusion: Creating Cyberspace Situational Awareness[J]． Communications of the ACM，2000， 43(4)：99-105.

[4] 陈锋，刘德辉，张怡，等． 基于威胁传播模型的层次化网络安全评估方法[J]． 计算机研究与发展，2011， 48(6): 945-954．

[5] 陈秀真, 郑庆华, 管晓宏, 等. 网络化系统安全态势评估的研究[J].西安交通大学学报, 2004, 38(4): 404-408.

[6] 黄仁全, 李为民, 张庆波, 等. 基于 ADMPDE-WNN 的网络安全态势预测方法[J]. 电光与控制, 2013, 20(5): 10-14.

[7] He F, He D, Xu A, et al. Hybrid Model of Molten Steel Temperature Prediction Based on Ladle Heat Status and Artificial Neural Network[J].Journal of Iron and Steel Research, International, 2014, 21(2): 181-190.

[8] 陈善学，杨政，朱江，等. 一种基于累加PSO-SVM 的网络安全态势预测模型[J]．计算机应用研究，2015, 32(6):64-68.

[9] 张勇，谭小彬，催孝林，等． 基于Markov 博弈模型的网络安全态势感知方法[J]． 软件学报，2011， 22(3) : 495-508．

[10] 方研，殷肖川，孙益博，等.基于隐马尔可夫模型的网络安全态势评估[J]．计算机应用与软件，2013， 30(12):64-68.

(责任编辑：王长通)

Network Security Situation Assessment Method Based on the HMM

FAN Zi-hua

(PLA Information Engineering University, Zhengzhou 450004, China)

In order to accurate efficient assessment of network security system, this paper puts forward a quantitative method based on hidden Markov model (HMM). First of all, it combines network attack type and weight of the service in assets to quantify the security situation of the service, then extends to the entire network according to the hierarchical strategy. The experiment based on the KDD CUP99 dataset shows that this method can complete network security situation awareness and evaluation.

network security; HMM;situation awareness; situation assessment

2015-05-28

樊子华(1993-)，男，河南开封人，硕士生，主要研究方向为信息安全。

1671-6906(2015)06-0070-05

TP393.08

A

10.3969/j.issn.1671-6906.2015.06.016