基于連續狀態的隱Markov模型網絡安全態勢評估方法

◆劉 科 劉效武

（曲阜師范大學 信息科學與工程學院 山東 276826）

基于連續狀態的隱Markov模型網絡安全態勢評估方法

◆劉 科 劉效武

（曲阜師范大學 信息科學與工程學院 山東 276826）

在網絡安全態勢評估方法中，基于隱Markov模型的評估方法能較準確的反映網絡安全狀態的變化。但模型建立過程中，觀測序列與轉移矩陣難以科學地賦值，直接影響模型的準確性和有效性。針對上述挑戰，本文提出了連續狀態隱Markov模型的網絡安全態勢評估方法，首先，將安全狀態空間劃分為若干個有序狀態，新獲得的報警信息最優化的匹配已劃分的有序狀態作為觀測序列；其次，基于劃分的有序狀態，將網絡安全下一時間間隔可能處于的連續狀態作為狀態空間建立狀態轉移矩陣，從而有效降低轉移矩陣維度，減少計算量的同時也更加突出地反映了網絡的狀態變化。最后，通過仿真實驗分析，本文提出的模型建立方法更加合理地反映網絡安全態勢變化。

網絡安全態勢評估；隱Markov模型；連續狀態

0 引言

網絡安全問題趨向復雜化、多樣化發展，傳統單一的檢測設備難以滿足安全的需求。當接收到來自多個檢測設備的海量警報信息時，為了能更加有效地反映網絡的安全狀況，Arnes等[1]采用統計學方法建立隱Markov模型，從而解決警報不確定性問題，有效提高了報警的準確性，但其在隱Markov模型建立的過程中，采用隨機獲取觀測序列的方法，轉移概率趨于主觀經驗賦值，降低了其適用性。針對上述問題，諸多學者提出了各自的改進方法，其中Haslum等[2]提出了基于安全事件持續時間的方法來確定狀態轉移矩陣，但由于威脅的隨機性強，難以確定轉移概率。李偉明等[3]提出了利用遺傳算法來自動求解狀態轉移概率和觀測向量，能較好地評估網絡的安全狀況，但其針對特定攻擊和風險的描述規則缺乏靈活性，且規則庫不易構造。張勇等[4]提出將觀測事件與防護措施共同作為觀測序列，并引入遺忘因子來解決觀測序列過長的問題，但其未對防護措施進行有效的類型劃分。席榮榮等[5]則在此基礎上提出了警報質量的概念，有效提高了警報的有效性，并采用安全事件和防護措施的博弈過程來確定狀態轉移矩陣，提高了狀態轉移概率的有效性，但同時引入了較多變量，增加了計算復雜度。

在已有對隱Markov模型研究的基礎上，本文主要從以下兩個方面建立隱Markov模型。首先，對警報信息歸類并進行序列劃分，將檢測到的警報信息與劃分的序列進行匹配，將匹配的序列作為觀測序列；其次，對狀態空間進行連續狀態劃分，減少狀態轉移矩陣的計算量。

1 網絡安全態勢評估模型

網絡安全態勢反映了網絡中各種設備的運行狀況、連接特性以及用戶行為等整體變化狀態和變化趨勢。根據網絡安全態勢感知本質特征，借鑒已有研究的優秀成果，提出新的網絡安全態勢評估過程模型，如圖1所示。

圖1 網絡安全態勢評估過程模型圖

本模型主要包括觀測序列獲取模塊、隱Markov模型學習模塊以及網絡安全態勢評估模塊?？蓪B勢感知過程簡要分為三個步驟。（1）將獲取的警報信息最優化匹配已進行劃分的攻擊步驟序列，并對獲得的攻擊步驟進行重要性等級劃分；（2）將劃分后的等級結果作為觀測序列，實時學習更新隱Markov模型參數；（3）根據輸出的概率分布與設置的風險損失向量實時更新網絡安全態勢值，并以可視化的方式呈現給管理員。

2 隱Markov模型態勢評估方法

2.1 隱Markov模型建立

在真實網絡環境中，網絡的安全狀態是不可見的，但安全狀態所產生的報警信息是可以獲取的，網絡安全狀態與所獲取的報警信息存在一定的關聯關系，根據警報的信息可以推測網絡的安全狀況，這也是隱Markov的核心思想。

安全狀態G（Good）表示網絡中沒有任何類型的攻擊行為；

探測狀態R（Reconnaissance）表示網絡中存在掃描類探測行為；入侵狀態B（Break-in）表示網絡存在破壞系統權限的行為；攻陷狀態C（Compromised）網絡已被完全攻陷，失去了系統權限。

（3）P為狀態轉移矩陣，表示從一種狀態轉移到另一個狀態的概率分布，，其中表示t時刻網絡處于iS狀態，在t+1時刻處于jS的概率。

2.2 連續狀態的評估方法

在安全評估過程中，觀測序列的獲取和狀態轉移矩陣的確立影響安全評估的準確性，目前觀測向量多以隨機方式獲取，代表性差，狀態轉移矩陣依據一定專家經驗直接獲得，主觀性較強。為了能更加準確的反映網絡安全變化，本文將已知的安全警報信息歸類并進行有序序列劃分，通過對警報分類劃分，使獲得的觀測序列最大程度匹配到劃分的有序序列，并通過下一時間間隔所有可能處于的連續狀態空間來建立狀態轉移矩陣。

（1）觀測序列的獲取

隨著網絡的規?；蛷碗s化，網絡中將產生海量的警報信息，其中存在很大比例的不相關警報和誤報，為了有效提高警報的質量，通過采用文章[8]的方法約減警報信息，將約減后的警報匹配到攻擊步驟序列中，統計一個周期內檢測到的警報匹配到的攻擊步驟，將得到的攻擊步驟重要性等級作為觀測序列。對有序觀測序列建立轉換關系，如圖2所示。

圖2 觀測狀態序列關系圖

（2）狀態轉移矩陣的確定

狀態轉移矩陣作為模型建立的關鍵，直接影響安全態勢評估的準確性。為了降低矩陣計算量以及提高其準確性，假設網絡中安全狀態之間的轉移存在相關性和有序性，即網絡安全狀態是一個連續狀態序列，即G→R→B→C，當網絡處于狀態R時，網絡下一狀態取G，R或者B這三種狀態之一，而不會直接從狀態R轉移到狀態C，各狀態轉移關系如圖3所示。

圖3 網絡安全狀態轉移圖

根據安全狀態空間的轉移，獲得的狀態轉移矩陣P，以及基于安全狀態的連續性得到狀態轉移概率矩陣'P。

其中GGP表示從G狀態轉移到G狀態的概率，其概率值先由平均分配獲得，后根據獲取的觀測序列來實時更新各轉移概率值。

（3）觀測概率矩陣分布

觀測概率矩陣是影響模型建立的又一關鍵因素，在基于對警報的劃分的基礎上，統計收集到不同警報時，網絡所處的狀態信息比例來初始化觀測矩陣Q。

2.3 網絡狀態更新方法

其中1O為觀測向量中新獲取觀測值后的觀測向量，而2O為加入新觀測值之前的觀測向量，這樣當適應度較低時，說明模型參數對新加入的觀測值不能很好的表示，應更新模型參數，否則不對模型參數進行修改。更新狀態轉移矩陣的公式如下[6]：

2.4 網絡安全態勢量化

確定隱Markov模型的五元組之后，根據一定周期獲取的觀測向量，更新網絡處于各狀態的概率，并引入一個風險損失向量C，可獲得任意時刻t的網絡總風險值tR[9]，作為網絡安全態勢值。風險值計算方法如下：

其中)(iC為處于狀態i時，網絡受到的風險值，風險損失向量C可根據不同網絡對安全狀態的要求賦予不同的值，來適應不同的網絡環境。

3 實驗分析

為了驗證評估方法的有效性，本文采用林肯實驗室提供的經典數據源LLDoS1.0進行驗證。攻擊場景分為如下5個階段，不同階段將產生不同的警報信息：

（1）獲取活動主機列表；

（2）找到薄弱的主機；

（3）由sadmind緩沖區溢出漏洞侵入系統；

（4）在控制主機上安裝DDoS攻擊木馬；

（5）由控制主機攻擊遠程服務器。

通過對數據集進行重放，并將采樣周期設為300秒，通過對接收到的Snort警報信息進行約減聚類，匹配攻擊步驟，根據攻擊步驟重要性程度將其換分為四個等級，且等級之間存在相關。通過重放數據，獲得的37個采樣周期的觀測序列為（2，2，3，3，2，3，3，3，3，3，3，3，2，4，2，2，2，2，1，2，3，2，2，4，2，2，2，3，2，2，3，4，2，4，4，3，4），其中1為網絡中不存在警報信息，未發生攻擊行為，4為網絡中存在重要的警報信息。

為了說明方法的有效性，本文將概率進行平均分配，為了計算方便將概率轉移矩陣初始化為如下p。

為了與文獻[1]進行對比，采用了與其相同的初始矩陣、觀測矩陣和風險損失向量，即：

圖4 各方法生成的網絡安全態勢值

根據對比的結果可以看出，本文方法在18-20周期內存在明顯的態勢變化，說明存在攻陷狀態，這與DDoS的步驟描述完全相符，能明顯突出網絡中存在風險時的狀態變化；Xi的方法說明在大部分時間內，網絡處于探測和侵入的狀態，對攻陷雖然存在波動，但效果并不明顯；而Haslum的方法則說明網絡狀態在頻繁的波動，能反應網絡中的整體走勢，但波動較為頻繁；Arnes的方法從整體上反應了網絡狀態的變化趨勢，但對于攻陷狀態表現出變化緩慢，風險值變化小。本文方法整體上反應網絡安全態勢的同時，能突出的反映網絡中存在嚴重風險時的態勢變化。

根據重放數據知，在18-20周期內網絡處于攻陷的狀態，根據DDoS的攻擊步驟，各方法在攻陷狀態的概率分布，如圖5所示。

圖5 各方法攻陷狀態分布圖

從圖中可知，本文方法在攻陷狀態的概率分布明顯高于其他各方法，說明本文在網絡出現攻陷狀態時變化明顯，當網絡中存在攻陷狀態時，概率分布將顯著提高，而其他方法對攻陷狀態的存在變化不顯著。

通過DDoS攻擊的步驟可知在18-20周期內，網絡存在攻陷狀態，取第19周期內的網絡概率分布比較，如圖6所示。

圖6 第19周期各方法中狀態空間分布圖

從圖中可以看出，Xi方法和Hasulm方法雖然在這個周期內攻陷狀態概率有所提高，但變化并不顯著，而Arnes方法在攻陷狀態沒有變化。本文方法的攻陷概率值較為顯著，說明網絡中狀態變化顯著，存在嚴重安全威脅，已處于嚴重的攻陷狀態，應及時采取有效的防御措施。本文方法不僅符合了實際網絡的攻擊步驟，且突出反映了網絡中狀態的變化。

4 結論

本文提出的基于連續狀態的隱Markov模型的網絡安全態勢量化評估方法，根據觀測序列和狀態空間各維度之間相關的特點對隱Markov模型進行改進，使得模型建立簡單，評估過程準確，能較為準確的反應網絡安全狀態整體變化趨勢，并更加突出的反應網絡狀態的變化。但所提出的模型和方法仍存在不足之處：只是采用snort來作為數據源比較單一；對于并不存在相關的觀測序列不能很好反應網絡安全狀態的變化；對于攻陷狀態概率分布和態勢值偏高的情況也是下一步的重要研究內容。

[1]Arnes A，Valeur F，Vigna G．Using hidden markov models to evaluate the risk of intrusions[J]．Proceedings of the Recent Advances in Intrusion Detection．Hamburg，Germany，2006．

[2]Haslum K，Moe M E G，Knapskog S J．Real-time intrusion prevention and security analysis of networks using HMMs[J]．Proceedings of the 33rd IEEE Conference on Local Computer Networks．Montreal，Canada，2008．

[3]李偉明，雷杰，董靜等．一種優化的實時網絡安全風險量化方法[J]．計算機學報，2009．

[4]張勇，譚小彬．一種基于隱Markov模型的網絡安全態勢感知方法研究[J]．信息網絡安全，2011．

[5]席榮榮，云曉春，張永錚等．一種改進的網絡安全態勢量化評估方法[J]．計算機學報，2015．

[6]Rabiner L．R，A tutorial on hidden Markov model and selected applications in speech recognition[J]．Proceedings of the IEEE，1989．

[7]Xiaoyong C,Yangdan N．The research on dynamic risk assessment based on Hidden Markov Models[J]． Intern-ational Conference on Computer Science and Service System．2012．

[8]Shameli S．A，Dagenais M，Jabbarifar M，couture M．Real time intrusion prediction based on optimized alerts with hidden Markov Model[J]．Journal of networks 2012．

[9]Arens A，Sallhammar K，Haslum K．Real-time risk assessment with network sensors and intrusion detection systems[J]．Computational Intelligence and Security，2005．