基于HMM的網(wǎng)絡(luò)安全態(tài)勢評估方法

樊子華

(解放軍信息工程大學， 鄭州 450004)

基于HMM的網(wǎng)絡(luò)安全態(tài)勢評估方法

樊子華

(解放軍信息工程大學， 鄭州 450004)

為了準確高效地評估網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)，提出了一種基于隱Markov模型(HMM)的態(tài)勢量化方法。首先結(jié)合網(wǎng)絡(luò)威脅類型及服務(wù)漏洞信息對其安全態(tài)勢進行量化，然后按照層次化策略擴展到整個網(wǎng)絡(luò)?；贙DD CUP99數(shù)據(jù)集的仿真實驗分析表明，該方法能夠完成對網(wǎng)絡(luò)安全態(tài)勢的感知與評估。

網(wǎng)絡(luò)安全；HMM；態(tài)勢感知；態(tài)勢量化

隨著Internet網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)在社會的各個方面發(fā)揮著越來越重要的作用。但網(wǎng)絡(luò)攻擊技術(shù)的不斷發(fā)展又使得網(wǎng)絡(luò)所受到的安全威脅越來越大，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)已經(jīng)不能滿足當今網(wǎng)絡(luò)安全的需要。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的出現(xiàn)使得網(wǎng)絡(luò)防御呈現(xiàn)出主動性特點。通過感知網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，可動態(tài)調(diào)整安全策略，降低網(wǎng)絡(luò)系統(tǒng)的安全威脅。

“態(tài)勢感知”(Situation Awareness，SA)起源于航天飛行的人因研究[1]。1999年Tim B將態(tài)勢感知引入網(wǎng)絡(luò)安全領(lǐng)域，提出了網(wǎng)絡(luò)態(tài)勢感知的概念[2]，并建立了網(wǎng)絡(luò)態(tài)勢感知功能框架[3]。許多學者在網(wǎng)絡(luò)態(tài)勢感知領(lǐng)域開展研究工作，取得了一定的成果。文獻[4]和文獻[5]根據(jù)層次化策略對網(wǎng)絡(luò)安全態(tài)勢進行評估，提出了層次化安全態(tài)勢評估模型；文獻[6]和文獻[7]提出了基于神經(jīng)網(wǎng)絡(luò)的安全態(tài)勢感知算法；文獻[8]結(jié)合粒子群算法和支持向量機提出了網(wǎng)絡(luò)安全態(tài)勢感知模型；文獻[9]通過分析威脅、管理員和普通用戶之間的博弈關(guān)系，提出了基于Markov 博弈模型的網(wǎng)絡(luò)安全態(tài)勢感知方法，但該模型側(cè)重于對局部威脅的評估，缺少對整體網(wǎng)絡(luò)安全態(tài)勢的考慮；文獻[10]基于HMM提出了一種網(wǎng)絡(luò)安全態(tài)勢評估模型，但該模型僅僅將網(wǎng)絡(luò)威脅強度作為HMM的觀察序列，并不能合理地反映網(wǎng)絡(luò)所處的安全狀態(tài)。

鑒于以上研究現(xiàn)狀，本文對HMM模型進行擴展，將網(wǎng)絡(luò)威脅類型和服務(wù)漏洞信息綜合起來作為觀察序列；在評估量化中，計算每次網(wǎng)絡(luò)威脅的服務(wù)威脅指數(shù)，根據(jù)層次化策略完成對整體網(wǎng)絡(luò)態(tài)勢的感知與量化評估。因此，該評估方法具有很強的實時性。

1 基于HMM模型的態(tài)勢感知

1.1 HMM模型的建立

隱Markov模型是在Markov鏈基礎(chǔ)上發(fā)展起來的具有雙重隨機過程的一種模型，具有有限隱蔽狀態(tài)的Markov鏈所產(chǎn)生的輸出為不可觀測的狀態(tài)序列，還具有產(chǎn)生可觀察序列的隨機過程。隨機過程與Markov鏈每一狀態(tài)通過一組概率分布相關(guān)聯(lián)。由于狀態(tài)不可見，只能通過觀察序列來感知狀態(tài)的存在及其性質(zhì)，因此稱之為隱Markov模型。HMM可用來估計隱藏在表面事件背后狀態(tài)的概率。HMM的組成如圖1所示。

圖1 HMM組成示意圖

由于網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性及網(wǎng)絡(luò)內(nèi)部的差異性，如果對網(wǎng)絡(luò)整體建立HMM模型而進行態(tài)勢評估，不僅會加大評估的復(fù)雜性，而且一個模型無法適應(yīng)不同網(wǎng)絡(luò)的需求，因此本文為資產(chǎn)上的每個服務(wù)分別建立一個HMM模型，根據(jù)威脅類型和漏洞信息得出觀察序列，評估服務(wù)的安全態(tài)勢。HMM模型可用一個五元組λ表示：λ={S,V,Π,A,B}。

狀態(tài)空間S：HMM中隱藏的Markov鏈。S={S1,S2,…,SN}，表示服務(wù)所處狀態(tài)的集合。本模型設(shè)定了4個狀態(tài)，分別為Safe、Ignorable、Danger、Disastrous。不同狀態(tài)網(wǎng)絡(luò)威脅成功概率也不相同。各個狀態(tài)之間的轉(zhuǎn)移構(gòu)成一個Markov鏈，每個狀態(tài)都可以直接轉(zhuǎn)移到另一個狀態(tài)。在t時刻，服務(wù)所處狀態(tài)為qt，qt∈(Safe,Ignorable,Attacked,Danger)。

Safe：表示處于安全狀態(tài)，網(wǎng)絡(luò)威脅成功概率較低。

Ignorable：表示安全性有所降低，網(wǎng)絡(luò)威脅成功概率有較小提升。

Danger：表示處于危險狀態(tài)，網(wǎng)絡(luò)威脅成功概率大大增加。

Disastrous：表示已被入侵，網(wǎng)絡(luò)威脅成功概率接近于1，機密性、完整性和可用性遭到破壞，處于災(zāi)難性的狀態(tài)。

狀態(tài)轉(zhuǎn)移概率矩陣A：A=[aij]4×4。aij表示節(jié)點從狀態(tài)si轉(zhuǎn)移到狀態(tài)sj的概率，aij=P(qt+1=sj|qt=si)，1≤i≤4,1≤j≤4。

觀察空間M：M={V1,V2,V3,…,V10}。根據(jù)服務(wù)自身屬性記錄漏洞信息，受到威脅時，若需要的漏洞信息不存在，則將本次觀測值記為V1；如果漏洞存在，則可根據(jù)威脅嚴重程度分為9類，對應(yīng)V2，V3，…，V10。記t時刻的觀察值為Ot，Ot∈{V1，V2，V3，…，V10}。

觀察概率矩陣B：B=(bjk)4×10，bjk=P(Ot=Vk|qt=sj),1≤j≤4,1≤k≤10。它表示當處于狀態(tài)j時，觀察到服務(wù)安全威脅值為k的概率。

初始狀態(tài)矢量Π：Π={π1,π2,π3,π4}，其中πi=P(q1=si)，1≤i≤4。它表示初始狀態(tài)為si的概率。

1.2 態(tài)勢感知

定義前向變量αt(j)=P(O1O2…Ot,qt=Si|λ)。它表示在模型λ下，t時刻資產(chǎn)狀態(tài)為Si且t時刻之前的觀察序列為O1O2…Ot的概率。αt(j)可由遞歸過程得到：

初始化：α1(i)=πibi(O1),1≤i≤4;

定義變量Γt(i)=P(qt=Si|O,λ)。它表示在給定觀察序列O和模型λ的情況下，t時刻資產(chǎn)處于狀態(tài)i的概率。Γt(i)可由下式得到：

t時刻服務(wù)所處狀態(tài)就是t時刻概率最大的狀態(tài)。

2 模型結(jié)構(gòu)

在評估模型方面，文獻[5]提出了層次化評估模型，采用自下而上、先局部后整體的方法，量化評估網(wǎng)絡(luò)安全威脅態(tài)勢。但該方法僅考慮主機一種資產(chǎn)，只根據(jù)報警日志計算威脅指數(shù)，并且該威脅指數(shù)反映的只是一段時間內(nèi)的安全態(tài)勢，實時性不強。本文對該層次化結(jié)構(gòu)模型進行改進，提出了如圖2所示的層次化網(wǎng)絡(luò)系統(tǒng)安全威脅態(tài)勢量化評估模型。

圖2 層次化網(wǎng)絡(luò)系統(tǒng)安全威脅態(tài)勢評估模型

網(wǎng)絡(luò)系統(tǒng)按層次可以分為網(wǎng)絡(luò)、資產(chǎn)、服務(wù)3個層次。資產(chǎn)就是系統(tǒng)中有價值的資源，包括主機、服務(wù)器、路由器、網(wǎng)關(guān)和防火墻等。資產(chǎn)的類型、性能和網(wǎng)絡(luò)位置等因素確定了資產(chǎn)權(quán)重，表示資產(chǎn)在網(wǎng)絡(luò)中的重要程度。對于資產(chǎn)上的每個服務(wù)，可根據(jù)資產(chǎn)的重要性分為3個等級，即value={1,2,3}，并可根據(jù)所處等級得出服務(wù)在資產(chǎn)中的權(quán)重。

定義1 服務(wù)威脅指數(shù)ST：服務(wù)受到網(wǎng)絡(luò)威脅時自身的損失。根據(jù)每個服務(wù)的配置，記錄該服務(wù)的漏洞信息。當服務(wù)受到網(wǎng)絡(luò)威脅時，與漏洞信息進行匹配。若該威脅需要的漏洞存在，則該威脅有可能成功；若需要的漏洞不存在，則該威脅不可能成功?？紤]到服務(wù)在該時刻所處的安全狀態(tài)，能夠得出該威脅的成功概率P。結(jié)合服務(wù)重要性等級和成功概率，可計算該記錄的服務(wù)威脅指數(shù):

T=value·P

3.切實發(fā)揮好四個作用。黨員領(lǐng)導(dǎo)干部在市場開拓中要發(fā)揮好“管理協(xié)調(diào)”作用，在經(jīng)營創(chuàng)收中要發(fā)揮好“引領(lǐng)激勵”作用，在安全穩(wěn)定中要發(fā)揮好“控制防范”作用，在精細管理中要發(fā)揮好“執(zhí)行表率”作用。切實引導(dǎo)全體干部員工把思想?yún)R聚到打造一流上、智慧集聚到打造一流上、力量凝聚到打造一流上，切實為公司發(fā)展挑重擔、負責任，為員工當先鋒、作表率。

與文獻中的服務(wù)威脅指數(shù)相比，該指數(shù)綜合反映了威脅與漏洞信息，每次威脅的發(fā)生都會令指數(shù)產(chǎn)生變化。因此，它實時性較強。

定義3 網(wǎng)絡(luò)系統(tǒng)威脅指數(shù)LT：某時刻整體網(wǎng)絡(luò)安全損失的總和。由各資產(chǎn)威脅指數(shù)加權(quán)可得：

3 仿真實驗

為了驗證模型的合理性，本文基于KDD CUP99數(shù)據(jù)集演示了模型的具體實現(xiàn)過程。實驗環(huán)境為局域網(wǎng)，該局域網(wǎng)共有8種不同的資產(chǎn)，包括主機、路由器、防火墻，等等。其網(wǎng)絡(luò)結(jié)構(gòu)如圖3所示。

圖3 網(wǎng)絡(luò)結(jié)構(gòu)拓撲示意圖

每個資產(chǎn)根據(jù)類型、位置以及配置的不同，在網(wǎng)絡(luò)中所占權(quán)重也不同。每個資產(chǎn)中的服務(wù)有不同的權(quán)重。系統(tǒng)內(nèi)資產(chǎn)、資產(chǎn)權(quán)重以及資產(chǎn)中包含的服務(wù)及其權(quán)重如表1所示。

通過數(shù)據(jù)集中訓(xùn)練集的訓(xùn)練，可以將λ中Π、A、B初始化為：Π=(0.5,0.2,0.2,0.1)，

表1 系統(tǒng)中的資產(chǎn)、服務(wù)及其權(quán)重

資產(chǎn)資產(chǎn)權(quán)重(wt)資產(chǎn)所包含的服務(wù)(Server)服務(wù)重要性等級(value)服務(wù)權(quán)重(ws)10.152http,domain_u,pop3,private(3,1,2,3)(0.4,0.1,0.2,0.3)20.116http,domain_u,smtp(3,3,3)(0.4,0.2,0.4)30.116domain_u,ftp,private,telnet(1,3,3,3)(0.1,0.35,0.25,0.3)40.134ftp,pop3,private,eco_i(3,2,3,1)(0.4,0.2,0.3,0.1)50.083http,telnet,pop3(3,3,2)(0.4,0.4,0.2)60.138http,ftp,smtp(3,1,3)(0.3,0.4,0.3)70.126ftp,pop3,domain_u,private(3,2,1,3)(0.4,0.2,0.1,0.3)80.135domain_u,ftp(1,3)(0.25,0.75)

4 結(jié)果與討論

圖4是根據(jù)某段時間內(nèi)資產(chǎn)2上http服務(wù)40次的威脅記錄計算出來的服務(wù)威脅指數(shù)值。http權(quán)重為3，威脅指數(shù)越大，該服務(wù)就越危險。可選取不增加時間向量的層次化評估方法與本文方法進行實驗對比。

在圖4中，前4次為正常記錄，此時服務(wù)處于Safe狀態(tài)，威脅指數(shù)為0；第7次威脅使服務(wù)狀態(tài)變?yōu)镮gnorable；第18次威脅使服務(wù)狀態(tài)變?yōu)镈anger；第22次攻擊使服務(wù)狀態(tài)變?yōu)镈isastrous。隨著狀態(tài)的變化，成功概率增加，威脅指數(shù)增加速率變快。網(wǎng)絡(luò)管理員在第28次威脅時調(diào)整安全策略，消除了服務(wù)存在的漏洞。此時，雖然攻擊仍在持續(xù)但不能成功，成功概率變?yōu)榱恪?/p>

圖4 某段時間內(nèi)的服務(wù)威脅指數(shù)值

圖5為資產(chǎn)2的威脅態(tài)勢。在110 min左右，資產(chǎn)遭受http和smtp兩種攻擊，經(jīng)過本文方法計算的威脅指數(shù)明顯高于層次化方法，更好地反映了資產(chǎn)的安全態(tài)勢信息。

圖5 資產(chǎn)2的威脅指數(shù)示意圖

圖6為整個網(wǎng)絡(luò)系統(tǒng)的威脅態(tài)勢。通過圖6網(wǎng)絡(luò)管理員能夠直觀地了解網(wǎng)絡(luò)安全態(tài)勢，及時調(diào)整安全策略。

圖6 整體網(wǎng)絡(luò)的威脅指數(shù)示意圖

由于層次化方法沒有使用時間向量，上一時刻安全態(tài)勢值不對后續(xù)值產(chǎn)生影響，層次化方法的威脅指數(shù)低于本文方法。因此本文方法相比于層次化方法對威脅更加敏感，能夠為網(wǎng)絡(luò)管理員提供更準確的網(wǎng)絡(luò)安全態(tài)勢信息。

5 結(jié) 語

當前網(wǎng)絡(luò)安全態(tài)勢評估方法還不夠成熟。本文綜合考慮網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)自身屬性，運用HMM對安全態(tài)勢進行定量計算，為網(wǎng)絡(luò)安全態(tài)勢的評估提供了一種新的思路。后續(xù)工作是優(yōu)化模型中轉(zhuǎn)移矩陣的訓(xùn)練方法，同時對網(wǎng)絡(luò)態(tài)勢預(yù)測進行研究。

[1] Endsley M R. Design and Evaluation for Situation Awareness Enhancement[C]//Proceedings of the Human Factors Society 32nd Annual Meeting. Santa Monica:Human Factors & Ergonomics Society,1988,32:97-101.

[2] Bass T． Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems[C]//1999 IRIS National Symposium Draft. [s.l.]:[s.n.],1999：24-27.

[3] Tim B． Intrusion Detection Systems and Multi sensor Data Fusion: Creating Cyberspace Situational Awareness[J]． Communications of the ACM，2000， 43(4)：99-105.

[4] 陳鋒，劉德輝，張怡，等． 基于威脅傳播模型的層次化網(wǎng)絡(luò)安全評估方法[J]． 計算機研究與發(fā)展，2011， 48(6): 945-954．

[5] 陳秀真, 鄭慶華, 管曉宏, 等. 網(wǎng)絡(luò)化系統(tǒng)安全態(tài)勢評估的研究[J].西安交通大學學報, 2004, 38(4): 404-408.

[6] 黃仁全, 李為民, 張慶波, 等. 基于 ADMPDE-WNN 的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J]. 電光與控制, 2013, 20(5): 10-14.

[7] He F, He D, Xu A, et al. Hybrid Model of Molten Steel Temperature Prediction Based on Ladle Heat Status and Artificial Neural Network[J].Journal of Iron and Steel Research, International, 2014, 21(2): 181-190.

[8] 陳善學，楊政，朱江，等. 一種基于累加PSO-SVM 的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型[J]．計算機應(yīng)用研究，2015, 32(6):64-68.

[9] 張勇，譚小彬，催孝林，等． 基于Markov 博弈模型的網(wǎng)絡(luò)安全態(tài)勢感知方法[J]． 軟件學報，2011， 22(3) : 495-508．

[10] 方研，殷肖川，孫益博，等.基于隱馬爾可夫模型的網(wǎng)絡(luò)安全態(tài)勢評估[J]．計算機應(yīng)用與軟件，2013， 30(12):64-68.

(責任編輯：王長通)

Network Security Situation Assessment Method Based on the HMM

FAN Zi-hua

(PLA Information Engineering University, Zhengzhou 450004, China)

In order to accurate efficient assessment of network security system, this paper puts forward a quantitative method based on hidden Markov model (HMM). First of all, it combines network attack type and weight of the service in assets to quantify the security situation of the service, then extends to the entire network according to the hierarchical strategy. The experiment based on the KDD CUP99 dataset shows that this method can complete network security situation awareness and evaluation.

network security; HMM;situation awareness; situation assessment

2015-05-28

樊子華(1993-)，男，河南開封人，碩士生，主要研究方向為信息安全。

1671-6906(2015)06-0070-05

TP393.08

A

10.3969/j.issn.1671-6906.2015.06.016