基于隱馬爾科夫模型的信息安全評(píng)估*

譚平嶂，滕鵬國(guó)，李 丹

（中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引言

隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)的普及，越來(lái)越多的信息系統(tǒng)聯(lián)入網(wǎng)絡(luò)，為人們的生產(chǎn)生活帶來(lái)了極大便利，同時(shí)也擴(kuò)大了信息系統(tǒng)和信息的安全風(fēng)險(xiǎn)。隨著信息系統(tǒng)能力和復(fù)雜程度的提高，各種網(wǎng)絡(luò)威脅日新月異，安全威脅的形態(tài)也逐步向廣域化、組織化及復(fù)雜化的特點(diǎn)發(fā)展演進(jìn)[1-2]。在網(wǎng)絡(luò)高度發(fā)展，聯(lián)通能力不成為障礙的情況下，信息安全成為制約信息化的主要瓶頸。對(duì)系統(tǒng)安全性的擔(dān)憂，直接影響了一些業(yè)務(wù)的網(wǎng)上運(yùn)營(yíng)和數(shù)據(jù)共享。

由于網(wǎng)絡(luò)攻擊事件層出不窮，信息系統(tǒng)的管理者和維護(hù)者逐步建立了風(fēng)險(xiǎn)意識(shí)和安全防范意識(shí)。因此，在一些重點(diǎn)領(lǐng)域的信息化建設(shè)中，人們往往投入大量資金開(kāi)展網(wǎng)絡(luò)和系統(tǒng)安全防護(hù)建設(shè)[3-4]，但是仍然對(duì)系統(tǒng)的安全性感覺(jué)“不托底”。對(duì)安全的主要困惑體現(xiàn)于如下4 個(gè)方面。

（1）雖然系統(tǒng)中已經(jīng)采用了很多防控措施，并部署了很多安全防護(hù)設(shè)備，但是仍不能確定系統(tǒng)是否足夠安全，是否有效解決了安全問(wèn)題，是否存在遺漏或安全死角，以及如何更有效地確保系統(tǒng)安全性。

（2）當(dāng)前系統(tǒng)的配置和部署，能夠在何種程度上保護(hù)系統(tǒng)的安全，不清楚系統(tǒng)安全防護(hù)強(qiáng)度有多大以及需要多大。

（3）安全防護(hù)系統(tǒng)運(yùn)行中，面臨威脅攻擊時(shí)，眾多安全防護(hù)設(shè)備如防病毒、主機(jī)監(jiān)控、IDS 等上報(bào)了很多告警信息，但無(wú)法確定威脅攻擊的嚴(yán)重程度，對(duì)整個(gè)系統(tǒng)的正常運(yùn)行影響有多大，帶來(lái)的安全風(fēng)險(xiǎn)又有多大，當(dāng)前的安全防護(hù)體系是否能夠有效抵御，是否需要采取應(yīng)急措施。

（4）如何進(jìn)行安全風(fēng)險(xiǎn)定位，若感覺(jué)系統(tǒng)運(yùn)行不正常如何界定威脅的影響范圍。在大量的告警、日志等信息中，很難進(jìn)行高效準(zhǔn)確的風(fēng)險(xiǎn)定位和影響因素的關(guān)聯(lián)性分析，從而難以對(duì)威脅攻擊進(jìn)行及時(shí)有效的防范和處理。

針對(duì)信息系統(tǒng)的擁有者而言，上述困惑的本質(zhì)在于安全性是系統(tǒng)內(nèi)在的一個(gè)較為抽象的概念，也是一個(gè)和網(wǎng)絡(luò)威脅對(duì)抗相對(duì)的概念。組成安全性的要素往往不能夠直接測(cè)量或采集，安全性評(píng)估與通過(guò)信息系統(tǒng)或安全防護(hù)設(shè)備采集的指標(biāo)往往脫節(jié)。例如：安全防護(hù)裝備采集的告警信息一般是網(wǎng)絡(luò)攻擊的直接特征信息，但不能直接反應(yīng)系統(tǒng)的安全狀態(tài)以及判斷能否抵御當(dāng)前的攻擊。同時(shí)，安全性涵蓋系統(tǒng)組成和運(yùn)用模式當(dāng)中多種要素的疊加，單一指標(biāo)難以判定系統(tǒng)整體的安全性。因此，引入隱馬爾科夫模型，通過(guò)打通可測(cè)量指標(biāo)與系統(tǒng)安全性之間的聯(lián)系，建立一個(gè)信息安全風(fēng)險(xiǎn)的評(píng)估體系，對(duì)系統(tǒng)的安全性進(jìn)行整體描述，幫助信息系統(tǒng)的擁有者和管理者能夠整體評(píng)估當(dāng)前系統(tǒng)的安全性。

1 隱馬爾科夫模型的描述

隱馬爾科夫模型（Hidden Markov Model，HMM）簡(jiǎn)稱HMM 模型[5-7]，是通過(guò)觀測(cè)值求解隱藏狀態(tài)變化的模型，通過(guò)雙重的隨機(jī)模型描述狀態(tài)與觀測(cè)值對(duì)應(yīng)關(guān)系。在隱馬爾可夫模型中，隱藏狀態(tài)雖不直接可見(jiàn)，但影響狀態(tài)的某些變量則是可見(jiàn)的。由于每一個(gè)狀態(tài)在可能輸出的符號(hào)上都有概率分布，從而可以建立隱藏狀態(tài)和觀察值的統(tǒng)計(jì)模型，通過(guò)可觀測(cè)到的數(shù)據(jù)，預(yù)測(cè)不可觀測(cè)到的數(shù)據(jù)。

假定系統(tǒng)有一個(gè)狀態(tài)值序列X={x1,x2,x3,x4,x5,…,xt}，其觀測(cè)值序列為Y={y1,y2,y3,y4,y5,…,yt}。在每個(gè)時(shí)間點(diǎn)上觀測(cè)到的情況僅僅和當(dāng)前的隱藏狀態(tài)變量有關(guān)（即y1和x1相關(guān)，y2和x2相關(guān)，…），而隱藏狀態(tài)變量X是無(wú)法觀測(cè)的，這就是HMM 模型，如圖1 所示。

圖1 隱馬爾科夫模型

假定其中隱藏狀態(tài)變量序列X具有N種取值，表明該系統(tǒng)具有N個(gè)狀態(tài)，狀態(tài)集合S記為S={s1,s2,s3,…,sN}。觀測(cè)值Y具有M種取值，表明該系統(tǒng)觀測(cè)值有M個(gè)取值，觀測(cè)值集合O記為O={o1,o2,o3,…,oM}。

一個(gè)HMM 模型一般由3 個(gè)部分組成，記為λ={A,B,Π}

（1）狀態(tài)轉(zhuǎn)移概率矩陣A維度為N×N可表示為任意兩個(gè)狀態(tài)之間轉(zhuǎn)移概率形成的矩陣，記為A={aij}，或者：

aij表示序列X從狀態(tài)si轉(zhuǎn)移到sj的概率，其中：

（2）觀測(cè)概率矩陣B維度為N×M表示發(fā)射概率及每個(gè)狀態(tài)下觀測(cè)值的概率，記為B={bi(k)}。bi(k)表示序列Y在狀態(tài)si時(shí)觀測(cè)值ok的概率，其中：

（3）初始狀態(tài)概率向量Π，維度為N×1。記為Π={πi}，πi表示初始時(shí)狀態(tài)為si的概率，其中：

從隱馬爾科夫模型定義中可以看出，該模型中通過(guò)狀態(tài)轉(zhuǎn)移矩陣描述了隱藏狀態(tài)變量之間的轉(zhuǎn)移概率，通過(guò)觀測(cè)矩陣描述了系統(tǒng)內(nèi)部狀態(tài)與外部觀測(cè)值之間的對(duì)應(yīng)概率。結(jié)合初始狀態(tài)概率，能夠計(jì)算出各種內(nèi)部狀態(tài)序列出現(xiàn)的概率以及各狀態(tài)與觀測(cè)值之間的關(guān)系。在安全性評(píng)估中，由于安全狀態(tài)是內(nèi)在的、無(wú)法讀取的，而人們感興趣的是如何通過(guò)能夠觀測(cè)的數(shù)據(jù)計(jì)算出信息系統(tǒng)當(dāng)前的安全狀態(tài)。因此，可以將安全狀態(tài)抽象為系統(tǒng)的狀態(tài)序列，將信息系統(tǒng)和安全防護(hù)設(shè)備的一些采樣讀數(shù)作為觀測(cè)序列，從而建立一個(gè)隱馬爾科夫模型，通過(guò)觀測(cè)序列計(jì)算隱藏狀態(tài)序列出現(xiàn)的概率，從而實(shí)現(xiàn)對(duì)系統(tǒng)安全狀態(tài)的評(píng)估。

2 安全評(píng)估模型的建立

對(duì)信息系統(tǒng)進(jìn)行安全性評(píng)估和安全建設(shè)時(shí)，針對(duì)信息系統(tǒng)的安全性，需要具有以下的認(rèn)識(shí)。

（1）安全性是有條件的，是信息系統(tǒng)在一定條件下對(duì)任意可能攻擊破壞承受能力的總和。任何信息系統(tǒng)在安全建設(shè)或管理中需要接受信息安全的不完備。

（2）安全性是相對(duì)的，是攻防雙方博弈對(duì)抗的綜合結(jié)果，沒(méi)有100%安全。對(duì)于一個(gè)信息系統(tǒng)而言，不可能解決完所有的安全威脅后系統(tǒng)再開(kāi)始運(yùn)行。安全的規(guī)劃和建設(shè)需要與系統(tǒng)運(yùn)用效率取得平衡。

（3）風(fēng)險(xiǎn)是永遠(yuǎn)存在的。在信息系統(tǒng)業(yè)務(wù)運(yùn)行過(guò)程中，安全風(fēng)險(xiǎn)始終如影隨形。安全運(yùn)維保障處理威脅攻擊不能頻繁打斷業(yè)務(wù)的正常運(yùn)行，需要在系統(tǒng)運(yùn)行中對(duì)各類攻擊具有一定的容忍度。

因此，信息系統(tǒng)安全評(píng)估是系統(tǒng)建設(shè)的重要組成部分。通過(guò)對(duì)信息系統(tǒng)安全狀態(tài)的實(shí)時(shí)評(píng)估，能夠及時(shí)掌握系統(tǒng)的安全狀態(tài)和面臨的危險(xiǎn)程度，通過(guò)調(diào)整防控策略最大限度降低系統(tǒng)風(fēng)險(xiǎn)，保障系統(tǒng)正常運(yùn)行。信息安全評(píng)估的內(nèi)容與方法有別于一般傳統(tǒng)領(lǐng)域，需要在信息攻防對(duì)抗實(shí)踐過(guò)程中逐步確立、發(fā)展和完善。一個(gè)靜態(tài)的模型不足以支持對(duì)發(fā)展變化的網(wǎng)絡(luò)威脅進(jìn)行持續(xù)跟蹤，因此建立的評(píng)估模型需要具備動(dòng)態(tài)自適應(yīng)的特性。實(shí)踐中采用HMM模型描述系統(tǒng)安全狀態(tài)與觀測(cè)值的映射關(guān)系，通過(guò)機(jī)器學(xué)習(xí)對(duì)模型中的參數(shù)進(jìn)行訓(xùn)練不斷迭代更新參數(shù)，使得評(píng)估模型逐步完善，并能夠適應(yīng)外部環(huán)境的不斷變化。

假定一個(gè)HMM 模型為λ={A,B,Π}，在安全評(píng)估前先要通過(guò)參數(shù)確定來(lái)完成模型的建立。

2.1 隱藏狀態(tài)變量取值范圍的設(shè)置

首先從系統(tǒng)安全性的角度建立系統(tǒng)的狀態(tài)取值范圍。這些狀態(tài)值的設(shè)定應(yīng)該都能夠反映當(dāng)前系統(tǒng)安全的內(nèi)在狀態(tài)。由于信息系統(tǒng)是由各個(gè)組件以及組件之間的不同聯(lián)結(jié)方式共同組成，因此信息系統(tǒng)存在的安全風(fēng)險(xiǎn)不僅與組件有關(guān)，還受組件之間聯(lián)結(jié)的影響，同時(shí)各狀態(tài)之間能夠進(jìn)行相互轉(zhuǎn)化。這里從系統(tǒng)本身的安全屬性來(lái)定義狀態(tài)的取值范圍。選擇的狀態(tài)取值范圍應(yīng)是表示系統(tǒng)的主要安全狀態(tài)，而過(guò)多的狀態(tài)設(shè)定會(huì)造成評(píng)估的計(jì)算量過(guò)大。因此，可設(shè)置隱藏狀態(tài)變量取值范圍S={s1,s2,s3,…,sN}，定義的狀態(tài)值說(shuō)明如表1 所示。

表1 隱藏狀態(tài)變量取值范圍狀態(tài)值說(shuō)明

2.2 觀測(cè)值取值范圍的設(shè)置

觀測(cè)值是能夠在系統(tǒng)中直接讀取的、確定的信息。在安全評(píng)估中，可以采用系統(tǒng)中部署的安全防護(hù)裝備的告警信息、日志以及信息系統(tǒng)自身的管理運(yùn)維日志等進(jìn)行表示。具體的采集信息由系統(tǒng)建設(shè)中安全防護(hù)系統(tǒng)的部署與安全策略的配置情況決定。常用觀測(cè)值讀取的類型主要包括防火墻類設(shè)備、入侵檢測(cè)類設(shè)備、防病毒軟件、主機(jī)監(jiān)控軟件、服務(wù)器的系統(tǒng)日志、核心業(yè)務(wù)軟件工作日志以及云平臺(tái)的運(yùn)行日志等。在安全防護(hù)的評(píng)估中，任意一種單一設(shè)備的信息是無(wú)法完整反映整個(gè)系統(tǒng)的安全性，需要通過(guò)對(duì)多個(gè)設(shè)備信息的采集反映安全狀態(tài)的變化。每個(gè)設(shè)備產(chǎn)生的信息都是各自獨(dú)立的，形成多個(gè)隨機(jī)序列，因此通過(guò)將每個(gè)設(shè)備的觀測(cè)值作為一組觀測(cè)序列形成多個(gè)評(píng)估模型，逐一采樣計(jì)算后對(duì)結(jié)果進(jìn)行綜合再得到最后的安全性評(píng)估結(jié)果。假定有v個(gè)設(shè)備作為觀測(cè)序列采集對(duì)象，每個(gè)采集對(duì)象的觀測(cè)值有M個(gè)不同的觀測(cè)值，記為：

2.3 評(píng)估模型參數(shù)的確定

不同系統(tǒng)面臨的環(huán)境不同，各狀態(tài)之間的轉(zhuǎn)移概率是沒(méi)有固定的經(jīng)驗(yàn)值確定的，而隱藏狀態(tài)與觀測(cè)值之間的發(fā)射概率也不完全相同。因此，狀態(tài)轉(zhuǎn)移矩陣和觀測(cè)概率矩陣需要每個(gè)系統(tǒng)單獨(dú)動(dòng)態(tài)構(gòu)建，并通過(guò)機(jī)器學(xué)習(xí)的方式對(duì)其進(jìn)行持續(xù)修正，以達(dá)到最佳效果。

如果得到多組足夠長(zhǎng)的隱藏狀態(tài)、觀測(cè)值序列{(x1,y1),(x2,y2),…,(xD,yD)}，就可以使用最大似然來(lái)求解模型參數(shù)。但是，實(shí)際上狀態(tài)信息X是隱藏狀態(tài)變量，不能夠直接得到狀態(tài)序列，往往只能夠得到觀測(cè)序列Y。因此，需要從多組可觀測(cè)序列中求出合適的狀態(tài)序列分布。通常采用期望最大化算法（Expectation-Maximum，EM）通過(guò)觀測(cè)序列得出HMM 模型的模型參數(shù)。

EM 算法使用啟發(fā)式迭代方法，首先猜想或隨機(jī)化模型中的參數(shù)（EM 算法的E 步），即隨機(jī)初始化當(dāng)前模型參數(shù)為λ*，其中λ={A,B,Π}。隨后基于觀測(cè)數(shù)據(jù)和隱藏?cái)?shù)據(jù)一起進(jìn)行極大化對(duì)數(shù)似然，求解模型參數(shù)（EM 算法的M 步），得到更新的模型參數(shù)λ。

聯(lián)合分布P(Y,X|λ)基于條件概率P(X|Y,λ*)的期望表達(dá)式為：

極大化式（6），然后得到更新后的模型參數(shù)如下：

然后進(jìn)行多輪的E 步和M 步的迭代，直到模型λ的參數(shù)值收斂為止。通過(guò)多次迭代學(xué)習(xí)，確認(rèn)了模型λ的參數(shù)，即表明建立了內(nèi)部安全狀態(tài)與外部觀測(cè)值的關(guān)系，從而能夠通過(guò)觀測(cè)值序列得出系統(tǒng)安全狀態(tài)的最大可能性。

EM 算法的求解涉及到迭代，還需要前向算法和后向算法兩個(gè)基礎(chǔ)的算法，用來(lái)求HMM 觀測(cè)序列的概率。前向算法本質(zhì)上屬于動(dòng)態(tài)規(guī)劃的算法，即通過(guò)找到局部狀態(tài)遞推的公式，一步步從子問(wèn)題的最優(yōu)解拓展到整個(gè)問(wèn)題的最優(yōu)解。

（1）前向概率

在前向算法中，需要通過(guò)定義“前向概率”來(lái)定義動(dòng)態(tài)規(guī)劃的這個(gè)局部狀態(tài)。前向概率是指設(shè)定某時(shí)刻t隱藏狀態(tài)為si，觀測(cè)狀態(tài)序列為o1,o2,o3,…,ot的概率，記為at(i)：

從而：

（2）后向概率

假定當(dāng)時(shí)刻t隱藏狀態(tài)為si，時(shí)刻t+1 隱藏狀態(tài)為sj時(shí)，出現(xiàn)觀測(cè)狀態(tài)的序列為ot+2,ot+3,…,oT的概率為βt+1(j)。那么，在時(shí)刻t+1 隱藏狀態(tài)為sj，觀測(cè)狀態(tài)的序列為ot+2,ot+3,…,oT的概率為aijβt+1(j)隨后可得到時(shí)刻t隱藏狀態(tài)為si時(shí)刻t+1 隱藏狀態(tài)為sj時(shí)，出現(xiàn)觀測(cè)狀態(tài)的序列為ot+1,ot+2,…,oT的概率為aijbj(ot+1)βt+1(j)。把所有對(duì)應(yīng)的概率加起來(lái)，可以得到觀測(cè)狀態(tài)的序列為ot+1,ot+2,…,oT。t時(shí)刻隱藏狀態(tài)為si的后向概率記為βt(i)：

（3）已知模型參數(shù)下，根據(jù)觀測(cè)序列預(yù)測(cè)某時(shí)刻下特定狀態(tài)的概率

對(duì)于確定的模型λ和觀測(cè)序列O，在時(shí)刻t時(shí)處于狀態(tài)si的概率γt(i)記為：

利用前向概率和后向概率的定義，可知：

（4）已知模型參數(shù)下，根據(jù)觀測(cè)值和上一時(shí)刻預(yù)測(cè)下一時(shí)刻特定狀態(tài)的概率

在時(shí)刻t處于狀態(tài)si且時(shí)刻t+1 處于狀態(tài)sj的概率記為：

在模型建立參數(shù)求解過(guò)程中，如果有D組長(zhǎng)度為T的觀測(cè)序列，即{Y1,Y2,…,YD}是已知的，根據(jù)EM 算法迭代計(jì)算每組訓(xùn)練數(shù)據(jù)產(chǎn)生的參數(shù)如下：

通過(guò)式（15）、式（16）和式（17）確定了模型的參數(shù)，就能夠根據(jù)在安全防護(hù)設(shè)備或信息系統(tǒng)上獲取的信息生成觀測(cè)序列，通過(guò)這些觀測(cè)序列計(jì)算出系統(tǒng)的狀態(tài)序列。

3 安全狀態(tài)的評(píng)估

在系統(tǒng)內(nèi)部安全狀態(tài)的評(píng)估中，通過(guò)機(jī)器學(xué)習(xí)確定模型參數(shù)，并且在獲取觀測(cè)值后，能對(duì)系統(tǒng)內(nèi)部的安全狀態(tài)進(jìn)行評(píng)估。當(dāng)已知模型λ={A,B,Π}和觀測(cè)序列O={o1,o2,…,oT}，求給定觀測(cè)序列O條件下最可能出現(xiàn)的對(duì)應(yīng)狀態(tài)序列，要最大化即P(S*|O,λ)最大。

在HMM模型中一般采用維特比算法求解預(yù)測(cè)值。由于維特比算法是動(dòng)態(tài)規(guī)劃算法，因此需要找到合適的局部狀態(tài)和局部狀態(tài)的遞推公式。在HMM 中，維特比算法定義了兩個(gè)局部狀態(tài)用于遞推。

第一個(gè)局部狀態(tài)是在時(shí)刻t隱藏狀態(tài)為s所有可能的狀態(tài)轉(zhuǎn)移路徑s1,s2,…,st中的概率最大值，記為δt(i)：

第二個(gè)局部狀態(tài)定義在時(shí)刻t隱藏狀態(tài)為s的所有單個(gè)狀態(tài)轉(zhuǎn)移路徑中概率最大的轉(zhuǎn)移路徑中第t-1 個(gè)節(jié)點(diǎn)的隱藏狀態(tài)為Ψt(i)其遞推表達(dá)式可以表示為：

有了這兩個(gè)局部狀態(tài)，可以從時(shí)刻0 一直遞推到時(shí)刻T，直到找到最優(yōu)的隱藏狀態(tài)序列。計(jì)算時(shí)刻T最大的δt(i)即為最可能隱藏狀態(tài)序列出現(xiàn)的概率。計(jì)算時(shí)刻T最大的Ψt(i)，即為時(shí)刻T最可能的隱藏狀態(tài)。

利用局部狀態(tài)Ψ(i) 開(kāi)始回溯。對(duì)于t=T-1,T-2,…,1:st=最終得到最有可能的隱藏狀態(tài)序列。

針對(duì)每一種相關(guān)設(shè)備的觀測(cè)值可以通過(guò)式（21）和式（22）得出隱藏的安全狀態(tài)序列出現(xiàn)概率。但是，在一個(gè)系統(tǒng)中往往有多個(gè)安全防護(hù)設(shè)備協(xié)作，任一設(shè)備上報(bào)的告警和日志信息都不能完全覆蓋整個(gè)系統(tǒng)的安全狀態(tài)，因此需要將多個(gè)安全防護(hù)設(shè)備或者信息設(shè)備的運(yùn)行日志作為不同的觀測(cè)序列進(jìn)行綜合來(lái)判定系統(tǒng)實(shí)際的安全性。通過(guò)對(duì)每個(gè)觀測(cè)序列引發(fā)的狀態(tài)序列概率進(jìn)行記錄，得到最大可能概率的安全狀態(tài)序列，最終形成綜合的安全評(píng)估。

其中，K為各獨(dú)立觀測(cè)序列的數(shù)量。

4 結(jié)語(yǔ)

本文通過(guò)引入隱馬爾科夫模型，建立了一種通用的信息系統(tǒng)安全的評(píng)估方法。該方法將信息系統(tǒng)的安全狀態(tài)作為隱藏狀態(tài)變量，將各安全防護(hù)設(shè)備或者信息系統(tǒng)的運(yùn)行狀態(tài)、日志等作為可觀測(cè)序列，通過(guò)多次迭代學(xué)習(xí)建立了隱藏狀態(tài)變量和觀測(cè)值的映射關(guān)系，實(shí)現(xiàn)通過(guò)觀測(cè)值來(lái)評(píng)估系統(tǒng)的狀態(tài)。由于觀測(cè)值不止一個(gè)序列，因此最終的評(píng)估結(jié)果是將多個(gè)觀測(cè)值對(duì)應(yīng)的狀態(tài)序列進(jìn)行綜合實(shí)現(xiàn)。本文重點(diǎn)是介紹隱馬爾科夫模型在信息安全中的評(píng)估方法應(yīng)用和計(jì)算方法，對(duì)隱馬爾科夫模型的數(shù)學(xué)原理未作詳細(xì)描述，需要了解詳細(xì)推導(dǎo)過(guò)程可詳見(jiàn)參考文獻(xiàn)的相關(guān)內(nèi)容。