◆刘 科 刘效武

（曲阜师范大学 信息科学与工程学院 山东 276826）

基于连续状态的隐Markov模型网络安全态势评估方法

◆刘 科 刘效武

（曲阜师范大学 信息科学与工程学院 山东 276826）

在网络安全态势评估方法中，基于隐Markov模型的评估方法能较准确的反映网络安全状态的变化。但模型建立过程中，观测序列与转移矩阵难以科学地赋值，直接影响模型的准确性和有效性。针对上述挑战，本文提出了连续状态隐Markov模型的网络安全态势评估方法，首先，将安全状态空间划分为若干个有序状态，新获得的报警信息最优化的匹配已划分的有序状态作为观测序列；其次，基于划分的有序状态，将网络安全下一时间间隔可能处于的连续状态作为状态空间建立状态转移矩阵，从而有效降低转移矩阵维度，减少计算量的同时也更加突出地反映了网络的状态变化。最后，通过仿真实验分析，本文提出的模型建立方法更加合理地反映网络安全态势变化。

网络安全态势评估；隐Markov模型；连续状态

0 引言

网络安全问题趋向复杂化、多样化发展，传统单一的检测设备难以满足安全的需求。当接收到来自多个检测设备的海量警报信息时，为了能更加有效地反映网络的安全状况，Arnes等[1]采用统计学方法建立隐Markov模型，从而解决警报不确定性问题，有效提高了报警的准确性，但其在隐Markov模型建立的过程中，采用随机获取观测序列的方法，转移概率趋于主观经验赋值，降低了其适用性。针对上述问题，诸多学者提出了各自的改进方法，其中Haslum等[2]提出了基于安全事件持续时间的方法来确定状态转移矩阵，但由于威胁的随机性强，难以确定转移概率。李伟明等[3]提出了利用遗传算法来自动求解状态转移概率和观测向量，能较好地评估网络的安全状况，但其针对特定攻击和风险的描述规则缺乏灵活性，且规则库不易构造。张勇等[4]提出将观测事件与防护措施共同作为观测序列，并引入遗忘因子来解决观测序列过长的问题，但其未对防护措施进行有效的类型划分。席荣荣等[5]则在此基础上提出了警报质量的概念，有效提高了警报的有效性，并采用安全事件和防护措施的博弈过程来确定状态转移矩阵，提高了状态转移概率的有效性，但同时引入了较多变量，增加了计算复杂度。

在已有对隐Markov模型研究的基础上，本文主要从以下两个方面建立隐Markov模型。首先，对警报信息归类并进行序列划分，将检测到的警报信息与划分的序列进行匹配，将匹配的序列作为观测序列；其次，对状态空间进行连续状态划分，减少状态转移矩阵的计算量。

1 网络安全态势评估模型

网络安全态势反映了网络中各种设备的运行状况、连接特性以及用户行为等整体变化状态和变化趋势。根据网络安全态势感知本质特征，借鉴已有研究的优秀成果，提出新的网络安全态势评估过程模型，如图1所示。

图1 网络安全态势评估过程模型图

本模型主要包括观测序列获取模块、隐Markov模型学习模块以及网络安全态势评估模块。可将态势感知过程简要分为三个步骤。（1）将获取的警报信息最优化匹配已进行划分的攻击步骤序列，并对获得的攻击步骤进行重要性等级划分；（2）将划分后的等级结果作为观测序列，实时学习更新隐Markov模型参数；（3）根据输出的概率分布与设置的风险损失向量实时更新网络安全态势值，并以可视化的方式呈现给管理员。

2 隐Markov模型态势评估方法

2.1 隐Markov模型建立

在真实网络环境中，网络的安全状态是不可见的，但安全状态所产生的报警信息是可以获取的，网络安全状态与所获取的报警信息存在一定的关联关系，根据警报的信息可以推测网络的安全状况，这也是隐Markov的核心思想。

安全状态G（Good）表示网络中没有任何类型的攻击行为；

探测状态R（Reconnaissance）表示网络中存在扫描类探测行为；入侵状态B（Break-in）表示网络存在破坏系统权限的行为；攻陷状态C（Compromised）网络已被完全攻陷，失去了系统权限。

（3）P为状态转移矩阵，表示从一种状态转移到另一个状态的概率分布，，其中表示t时刻网络处于iS状态，在t+1时刻处于jS的概率。

2.2 连续状态的评估方法

在安全评估过程中，观测序列的获取和状态转移矩阵的确立影响安全评估的准确性，目前观测向量多以随机方式获取，代表性差，状态转移矩阵依据一定专家经验直接获得，主观性较强。为了能更加准确的反映网络安全变化，本文将已知的安全警报信息归类并进行有序序列划分，通过对警报分类划分，使获得的观测序列最大程度匹配到划分的有序序列，并通过下一时间间隔所有可能处于的连续状态空间来建立状态转移矩阵。

（1）观测序列的获取

随着网络的规模化和复杂化，网络中将产生海量的警报信息，其中存在很大比例的不相关警报和误报，为了有效提高警报的质量，通过采用文章[8]的方法约减警报信息，将约减后的警报匹配到攻击步骤序列中，统计一个周期内检测到的警报匹配到的攻击步骤，将得到的攻击步骤重要性等级作为观测序列。对有序观测序列建立转换关系，如图2所示。

图2 观测状态序列关系图

（2）状态转移矩阵的确定

状态转移矩阵作为模型建立的关键，直接影响安全态势评估的准确性。为了降低矩阵计算量以及提高其准确性，假设网络中安全状态之间的转移存在相关性和有序性，即网络安全状态是一个连续状态序列，即G→R→B→C，当网络处于状态R时，网络下一状态取G，R或者B这三种状态之一，而不会直接从状态R转移到状态C，各状态转移关系如图3所示。

图3 网络安全状态转移图

根据安全状态空间的转移，获得的状态转移矩阵P，以及基于安全状态的连续性得到状态转移概率矩阵'P。

其中GGP表示从G状态转移到G状态的概率，其概率值先由平均分配获得，后根据获取的观测序列来实时更新各转移概率值。

（3）观测概率矩阵分布

观测概率矩阵是影响模型建立的又一关键因素，在基于对警报的划分的基础上，统计收集到不同警报时，网络所处的状态信息比例来初始化观测矩阵Q。

2.3 网络状态更新方法

其中1O为观测向量中新获取观测值后的观测向量，而2O为加入新观测值之前的观测向量，这样当适应度较低时，说明模型参数对新加入的观测值不能很好的表示，应更新模型参数，否则不对模型参数进行修改。更新状态转移矩阵的公式如下[6]：

2.4 网络安全态势量化

确定隐Markov模型的五元组之后，根据一定周期获取的观测向量，更新网络处于各状态的概率，并引入一个风险损失向量C，可获得任意时刻t的网络总风险值tR[9]，作为网络安全态势值。风险值计算方法如下：

其中)(iC为处于状态i时，网络受到的风险值，风险损失向量C可根据不同网络对安全状态的要求赋予不同的值，来适应不同的网络环境。

3 实验分析

为了验证评估方法的有效性，本文采用林肯实验室提供的经典数据源LLDoS1.0进行验证。攻击场景分为如下5个阶段，不同阶段将产生不同的警报信息：

（1）获取活动主机列表；

（2）找到薄弱的主机；

（3）由sadmind缓冲区溢出漏洞侵入系统；

（4）在控制主机上安装DDoS攻击木马；

（5）由控制主机攻击远程服务器。

通过对数据集进行重放，并将采样周期设为300秒，通过对接收到的Snort警报信息进行约减聚类，匹配攻击步骤，根据攻击步骤重要性程度将其换分为四个等级，且等级之间存在相关。通过重放数据，获得的37个采样周期的观测序列为（2，2，3，3，2，3，3，3，3，3，3，3，2，4，2，2，2，2，1，2，3，2，2，4，2，2，2，3，2，2，3，4，2，4，4，3，4），其中1为网络中不存在警报信息，未发生攻击行为，4为网络中存在重要的警报信息。

为了说明方法的有效性，本文将概率进行平均分配，为了计算方便将概率转移矩阵初始化为如下p。

为了与文献[1]进行对比，采用了与其相同的初始矩阵、观测矩阵和风险损失向量，即：

图4 各方法生成的网络安全态势值

根据对比的结果可以看出，本文方法在18-20周期内存在明显的态势变化，说明存在攻陷状态，这与DDoS的步骤描述完全相符，能明显突出网络中存在风险时的状态变化；Xi的方法说明在大部分时间内，网络处于探测和侵入的状态，对攻陷虽然存在波动，但效果并不明显；而Haslum的方法则说明网络状态在频繁的波动，能反应网络中的整体走势，但波动较为频繁；Arnes的方法从整体上反应了网络状态的变化趋势，但对于攻陷状态表现出变化缓慢，风险值变化小。本文方法整体上反应网络安全态势的同时，能突出的反映网络中存在严重风险时的态势变化。

根据重放数据知，在18-20周期内网络处于攻陷的状态，根据DDoS的攻击步骤，各方法在攻陷状态的概率分布，如图5所示。

图5 各方法攻陷状态分布图

从图中可知，本文方法在攻陷状态的概率分布明显高于其他各方法，说明本文在网络出现攻陷状态时变化明显，当网络中存在攻陷状态时，概率分布将显著提高，而其他方法对攻陷状态的存在变化不显著。

通过DDoS攻击的步骤可知在18-20周期内，网络存在攻陷状态，取第19周期内的网络概率分布比较，如图6所示。

图6 第19周期各方法中状态空间分布图

从图中可以看出，Xi方法和Hasulm方法虽然在这个周期内攻陷状态概率有所提高，但变化并不显著，而Arnes方法在攻陷状态没有变化。本文方法的攻陷概率值较为显著，说明网络中状态变化显著，存在严重安全威胁，已处于严重的攻陷状态，应及时采取有效的防御措施。本文方法不仅符合了实际网络的攻击步骤，且突出反映了网络中状态的变化。

4 结论

本文提出的基于连续状态的隐Markov模型的网络安全态势量化评估方法，根据观测序列和状态空间各维度之间相关的特点对隐Markov模型进行改进，使得模型建立简单，评估过程准确，能较为准确的反应网络安全状态整体变化趋势，并更加突出的反应网络状态的变化。但所提出的模型和方法仍存在不足之处：只是采用snort来作为数据源比较单一；对于并不存在相关的观测序列不能很好反应网络安全状态的变化；对于攻陷状态概率分布和态势值偏高的情况也是下一步的重要研究内容。

[1]Arnes A，Valeur F，Vigna G．Using hidden markov models to evaluate the risk of intrusions[J]．Proceedings of the Recent Advances in Intrusion Detection．Hamburg，Germany，2006．

[2]Haslum K，Moe M E G，Knapskog S J．Real-time intrusion prevention and security analysis of networks using HMMs[J]．Proceedings of the 33rd IEEE Conference on Local Computer Networks．Montreal，Canada，2008．

[3]李伟明，雷杰，董静等．一种优化的实时网络安全风险量化方法[J]．计算机学报，2009．

[4]张勇，谭小彬．一种基于隐Markov模型的网络安全态势感知方法研究[J]．信息网络安全，2011．

[5]席荣荣，云晓春，张永铮等．一种改进的网络安全态势量化评估方法[J]．计算机学报，2015．

[6]Rabiner L．R，A tutorial on hidden Markov model and selected applications in speech recognition[J]．Proceedings of the IEEE，1989．

[7]Xiaoyong C,Yangdan N．The research on dynamic risk assessment based on Hidden Markov Models[J]． Intern-ational Conference on Computer Science and Service System．2012．

[8]Shameli S．A，Dagenais M，Jabbarifar M，couture M．Real time intrusion prediction based on optimized alerts with hidden Markov Model[J]．Journal of networks 2012．

[9]Arens A，Sallhammar K，Haslum K．Real-time risk assessment with network sensors and intrusion detection systems[J]．Computational Intelligence and Security，2005．