基于網(wǎng)絡(luò)安全態(tài)勢評估方法隱馬爾可夫模型優(yōu)化

羅智彬

（重慶巽諾科技有限公司 重慶市 402160）

專網(wǎng)安全態(tài)勢評估中定義為隱含狀態(tài)序列的專網(wǎng)安全狀態(tài)轉(zhuǎn)移過程，時序提取的態(tài)勢將按照要素定義為觀測序列，網(wǎng)絡(luò)安全狀態(tài)變化過程就被模型化為隱馬爾可夫過程，利用模型獲取網(wǎng)絡(luò)安全態(tài)勢，觀測序列和隱含狀態(tài)序列訓練HMM 模型。文獻[1]韓曉露等人提出了網(wǎng)絡(luò)安全態(tài)勢評估方法，一種大數(shù)據(jù)環(huán)境下基于直覺模糊集。采用直覺模糊綜合評估方法評估網(wǎng)絡(luò)安全態(tài)勢，構(gòu)建可量化的指標體系。文獻[2]呂國等人提出安全態(tài)勢量化評估方法，一種無線網(wǎng)絡(luò)通信數(shù)據(jù)，解決存在信息單一化及局限性問題的安全態(tài)勢量化評估方法，求解得出網(wǎng)絡(luò)中每個單獨節(jié)點的安全態(tài)勢。文獻[3]王豐等人提出了一種基于云理論和可拓學的評估方法，構(gòu)建C4ISR 網(wǎng)絡(luò)安全態(tài)勢的綜合評估。文獻[4]楊宏宇等人提出網(wǎng)絡(luò)安全威脅態(tài)勢評估方法，一種基于無監(jiān)督生成推理網(wǎng)絡(luò)安全威脅態(tài)勢進行評估，結(jié)合威脅影響度計算威脅態(tài)勢值，使用包含異常網(wǎng)絡(luò)流量的測試數(shù)據(jù)集進行分組威脅測試。文獻[5]張玉臣等人提出了一種基于深度自動編碼網(wǎng)絡(luò)的態(tài)勢評估方法，確定網(wǎng)絡(luò)各層參數(shù)及權(quán)值的范圍空間，利用無標簽數(shù)據(jù)采用無監(jiān)督逐層算法對網(wǎng)絡(luò)進行預(yù)訓練，結(jié)合專家經(jīng)驗和層次化評估的方法訓練深度自編碼網(wǎng)絡(luò)。文獻[6]楊宏宇提出一種深度學習的網(wǎng)絡(luò)安全態(tài)勢評估方法，確定每種攻擊的影響得分并計算網(wǎng)絡(luò)安全態(tài)勢值，設(shè)計了欠過采樣加權(quán)算法；最后進行模型測試并計算攻擊概率，建立深度自編碼模型。

因此，本文針對隱馬爾科夫模型的態(tài)勢評估方法優(yōu)化研究，解決傳統(tǒng)模型參數(shù)優(yōu)化問題，使態(tài)勢評估模型更加準確，能準確量化專網(wǎng)安全態(tài)勢。

1 網(wǎng)絡(luò)安全態(tài)勢評估方法隱馬爾可夫模型優(yōu)化

通過網(wǎng)絡(luò)攻擊指數(shù)的聚合方式，完成網(wǎng)絡(luò)攻擊指數(shù)的聚合。根據(jù)專網(wǎng)系統(tǒng)應(yīng)用區(qū)確定HMM 參數(shù)，將其與權(quán)值向量C(i)相結(jié)合，網(wǎng)絡(luò)在t 時刻處于安全狀態(tài)qt的概率γt(i)，獲取的觀測向量0t能夠計算某個特定時間周期內(nèi)專網(wǎng)系統(tǒng)應(yīng)用區(qū)，那么任意t 時刻網(wǎng)絡(luò)攻擊指數(shù)狀態(tài)值Vt為：

公式（1）中n 代表網(wǎng)絡(luò)安全狀態(tài)數(shù)目，C(i)代表狀態(tài)qt相對應(yīng)的權(quán)值，γt(i)代表t 時刻網(wǎng)絡(luò)處于狀態(tài)0t的概率。完成整個專網(wǎng)安全態(tài)勢評估，繼續(xù)通過公式（1）完成綜合指數(shù)的聚合，網(wǎng)絡(luò)安全指標態(tài)勢，得到網(wǎng)絡(luò)安全指標風險指數(shù)的狀態(tài)值，網(wǎng)絡(luò)攻擊指數(shù)安全風險指數(shù)的聚合，得到網(wǎng)絡(luò)攻擊指數(shù)狀態(tài)值，網(wǎng)絡(luò)安全態(tài)勢評估方法隱馬爾可夫模型優(yōu)化如圖1所示。

圖1中準確性取決于模型的初始參數(shù)，網(wǎng)絡(luò)安全態(tài)勢評估方法隱馬爾可夫模型優(yōu)化解決了模型評估的準確性不高，難以獲取模型最優(yōu)參數(shù)，優(yōu)化了初始參數(shù)的獲取。

2 實驗驗證與結(jié)果分析

2.1 實驗數(shù)據(jù)

通過專網(wǎng)數(shù)據(jù)集模擬進行驗證，前端接入?yún)^(qū)區(qū)域內(nèi)實驗中攻擊場景發(fā)生在視頻專網(wǎng)。侵入視頻專網(wǎng)開始時間為18：10：39、結(jié)束時間為20：10：39。非授權(quán)人員將前端攝像頭（攝像機2）替換為自己的終端，視頻專網(wǎng)系統(tǒng)應(yīng)用區(qū)實驗中攻擊場景2 發(fā)生在區(qū)域內(nèi)，非授權(quán)人員成功操控終端設(shè)備，對終端設(shè)備發(fā)起攻擊，數(shù)據(jù)集網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖2所示。

第一步，開始時間為18：10：39、結(jié)束時間為18：32：15，掃描系統(tǒng)應(yīng)用區(qū)在線終端設(shè)備通過網(wǎng)絡(luò)中的IP 地址來嘗試發(fā)現(xiàn)。

第二步，開始時間為18：47：32、結(jié)束時間為18：58：11，發(fā)現(xiàn)開啟了sad mind 服務(wù)的終端設(shè)備，嗅探所有在線終端設(shè)備。

第三步，開始時間為19：13：31、結(jié)束時間為19：15：41，獲得終端設(shè)備的代碼執(zhí)行權(quán)限，終端設(shè)備（PC1、PC2 和PC3）發(fā)動緩沖區(qū)溢出攻擊，利用Sad mind Buffer Overflow 漏洞對已經(jīng)運行了sad mind 服務(wù)。

第四步，開始時間為19：30：21、結(jié)束時間為19：31:：54，PC1、PC2 和PC3 獲得代碼執(zhí)行權(quán)限的主機上安裝木馬程序。

第五步，開始時間為20：06：25、結(jié)束時間為20：14：13，遠程操控安裝了木馬程序的主機。

2.2 實驗方法

通過網(wǎng)絡(luò)安全態(tài)勢綜合指數(shù)對優(yōu)化模型進行分析，各級指標、權(quán)值的計算方法一致，實驗方法步驟如下。

2.2.1 構(gòu)建判別矩陣

優(yōu)化模型網(wǎng)絡(luò)安全態(tài)勢綜合指數(shù)層判別矩陣如表1所示。

2.2.2 歸一化處理后的特征

將特征向量進行歸一化，計算對應(yīng)的特征向量及最大特征根。歸一化處理后的特征向量為：

最大特征根為λ1=5.0386。

2.2.3 一致性檢驗

隨機一致性比率為CR=0.0086<0.1，通過一致性檢驗。一致性指標為CI=0.0097，網(wǎng)絡(luò)安全態(tài)勢綜合指數(shù)下的二級指標權(quán)重值如表2所示。

表2中漏洞狀態(tài)指數(shù)與網(wǎng)絡(luò)攻擊指數(shù)有具體聚合方式，確定專網(wǎng)安全態(tài)勢指標體系中其它指標的權(quán)重。

2.3 結(jié)果分析

t=0-12 時，使用網(wǎng)絡(luò)安全態(tài)勢評估方法隱馬爾可夫模型優(yōu)化網(wǎng)絡(luò)攻擊指數(shù)狀態(tài)值較低。t=12-18 時，符合專網(wǎng)系統(tǒng)應(yīng)用區(qū)網(wǎng)絡(luò)處于刺探、攻擊狀態(tài)，網(wǎng)絡(luò)攻擊指數(shù)狀態(tài)值增加。t=19 時符合專網(wǎng)系統(tǒng)應(yīng)用區(qū)網(wǎng)絡(luò)受到攻擊后被入侵的事實情況，專網(wǎng)系統(tǒng)應(yīng)用區(qū)網(wǎng)絡(luò)狀態(tài)異常，出現(xiàn)波峰。模型優(yōu)化網(wǎng)絡(luò)安全態(tài)勢綜合指數(shù)如圖3所示。

圖3中網(wǎng)絡(luò)安全態(tài)勢的量化更為合理，生成的網(wǎng)絡(luò)攻擊指數(shù)狀態(tài)值與攻擊場景的描述符合程度更高，使模型更加準確的采用優(yōu)化后模型算法參數(shù)，綜合指數(shù)數(shù)值得到專網(wǎng)的網(wǎng)絡(luò)安全態(tài)勢。量化描述整個專網(wǎng)安全級別t=0-3 時為優(yōu)，綜合指數(shù)t=4 時，相符專網(wǎng)前端接入?yún)^(qū)，突然升高網(wǎng)絡(luò)安全態(tài)勢，設(shè)備替換發(fā)生事件的場景，安全級別t=4-18 為中的整個專網(wǎng)，受到攻擊后被入侵的場景相符t=19 時出現(xiàn)小波峰專網(wǎng)系統(tǒng)應(yīng)用區(qū)區(qū)域內(nèi)終端設(shè)備，整個專網(wǎng)安全級別處于差，評估整體網(wǎng)絡(luò)安全態(tài)勢情況模型優(yōu)化網(wǎng)絡(luò)安全態(tài)勢評估方法較為準確。

3 結(jié)論

網(wǎng)絡(luò)安全態(tài)勢評估方法方面得到整個專網(wǎng)安全態(tài)勢量化分析結(jié)果，將各級指標量化值與風險計算權(quán)值，結(jié)合層次分析法得到權(quán)值風險，綜合考慮專網(wǎng)中的所有風險，使態(tài)勢評估模型更加準確，解決了算法易陷入局部最優(yōu)解的問題，將傳統(tǒng)模型參數(shù)優(yōu)化提出隱馬爾科夫模型的態(tài)勢評估方法。準確量化專網(wǎng)安全態(tài)勢，優(yōu)化的方法生成的網(wǎng)絡(luò)安全態(tài)勢綜合指數(shù)數(shù)值變化趨勢符合實驗事實情況，網(wǎng)絡(luò)安全態(tài)勢評估方法的有效性采用模擬專網(wǎng)數(shù)據(jù)集驗證。

因此，本文通過優(yōu)化模型實現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢要素提取與評估，構(gòu)建了一套專網(wǎng)安全態(tài)勢指標體系。但由于指標體系構(gòu)建時受主觀因素的影響，網(wǎng)絡(luò)安全態(tài)勢評估指標體系方面可能存在不同的人從不同的立場或角度去看有不同看法的情況。網(wǎng)絡(luò)安全態(tài)勢評估方面設(shè)置模型初始參數(shù)是未來繼續(xù)深入研究的工作方向，更加合理、準確地獲取觀測序列。

表1：優(yōu)化模型網(wǎng)絡(luò)安全態(tài)勢綜合指數(shù)層判別矩陣

表2：網(wǎng)絡(luò)安全態(tài)勢綜合指數(shù)下的二級指標權(quán)重值