基于隱馬爾可夫模型的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法

文志誠，陳志剛

?

基于隱馬爾可夫模型的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法

文志誠1,2，陳志剛1

(1. 中南大學(xué)信息科學(xué)與工程學(xué)院，湖南長沙，410083；2. 湖南工業(yè)大學(xué)計(jì)算機(jī)與通信學(xué)院，湖南株洲，412007)

為了給網(wǎng)絡(luò)管理員制定決策和防御措施提供可靠的依據(jù)，通過考察網(wǎng)絡(luò)安全態(tài)勢變化特點(diǎn)，提出構(gòu)建隱馬爾可夫預(yù)測模型。利用時(shí)間序列分析方法刻畫不同時(shí)刻安全態(tài)勢的前后依賴關(guān)系，當(dāng)安全態(tài)勢處于亞狀態(tài)或偏離正常狀態(tài)時(shí)，采用安全態(tài)勢預(yù)測機(jī)制，分析其變化規(guī)律，預(yù)測系統(tǒng)的安全態(tài)勢變化趨勢。最后利用仿真數(shù)據(jù)，對所提出的網(wǎng)絡(luò)安全態(tài)勢預(yù)測算法進(jìn)行驗(yàn)證。訪真結(jié)果驗(yàn)證了該方法的正確性。

網(wǎng)絡(luò)安全態(tài)勢；隱馬爾可夫；態(tài)勢預(yù)測；參數(shù)學(xué)習(xí)；預(yù)測模型

Bass等[1?3]于2000年提出網(wǎng)絡(luò)態(tài)勢感知(CSA)的概念，詳細(xì)介紹了網(wǎng)絡(luò)態(tài)勢感知的起源、概念、目標(biāo)和特點(diǎn)等。然而，網(wǎng)絡(luò)安全態(tài)勢是網(wǎng)絡(luò)態(tài)勢的一種，一般通過感知技術(shù)來獲取，是指對關(guān)聯(lián)網(wǎng)絡(luò)安全的各要素進(jìn)行獲取、理解、顯示以及預(yù)測未來發(fā)展趨勢，綜合各方面的安全因素，從整體動態(tài)上反映網(wǎng)絡(luò)當(dāng)前安全狀況，并對未來發(fā)展趨勢及發(fā)展方向進(jìn)行預(yù)測預(yù)警，為策略制定提供可靠的參照依據(jù)。網(wǎng)絡(luò)安全態(tài)勢主要強(qiáng)調(diào)環(huán)境、動態(tài)性以及實(shí)體之間的相互關(guān)聯(lián)性，是一種狀態(tài)、一種趨勢、一個整體和宏觀全局的概念，任何單一狀況不能稱為態(tài)勢。在現(xiàn)實(shí)中，雖然傳統(tǒng)的安全設(shè)備和異常檢測設(shè)備得到了廣泛應(yīng)用[4?5]，但主要從不同視角描述網(wǎng)絡(luò)安全狀態(tài)，基本上沒有從宏觀的角度為網(wǎng)管人員提供一個清晰整體的網(wǎng)絡(luò)安全狀況。目前大多數(shù)學(xué)者用一個適當(dāng)?shù)臄?shù)值來表示當(dāng)前安全態(tài)勢，也有一些用五等化“高、中高、中、中低、低”或“1，2，3，4和5”描述安全態(tài)勢。近年來，網(wǎng)絡(luò)態(tài)勢感知技術(shù)已逐漸地應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)中，有望解決網(wǎng)絡(luò)安全與管理問題。研究者提出了一些感知方法[6?8]，但還沒有成熟的模型、方法和評價(jià)標(biāo)準(zhǔn)。張海霞等[9]提出了基于攻擊能力增長的網(wǎng)絡(luò)安全分析模型，對網(wǎng)絡(luò)安全性能方面進(jìn)行了分析；謝麗霞等[10]針對網(wǎng)絡(luò)安全態(tài)勢感知問題，提出了一種基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢感知方法；唐成華等[11]針對安全態(tài)勢評估正確性和合理性等問題，提出了基于D-S融合知識的網(wǎng)絡(luò)安全態(tài)勢評估方法；席榮榮等[12]給出了基于神經(jīng)網(wǎng)絡(luò)和隱馬爾可夫的網(wǎng)絡(luò)安全態(tài)勢感知方法。有必要對安全態(tài)勢未來發(fā)展趨勢進(jìn)行預(yù)測，為增強(qiáng)網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)。目前，對態(tài)勢發(fā)展趨勢及預(yù)測準(zhǔn)確度還不夠。唐成華等[13]提出了一種基于似然BP的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法，但該方法參數(shù)訓(xùn)練過程比較復(fù)雜，收斂速度也較慢。黃同慶等[14]從理論與實(shí)際相結(jié)合的角度提出一種基于隱Markov模型的實(shí)時(shí)網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型HMM-NSSP，并給出了實(shí)時(shí)預(yù)測網(wǎng)絡(luò)安全態(tài)勢的方法。鄔書躍等[15]將隱馬爾可夫模型運(yùn)用到異常用戶行為的識別當(dāng)中，算法從用戶的Shell命令序列中提取特征。劉玉嶺等[16]提出了基于時(shí)空維度分析的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法，從攻擊方、防護(hù)方和網(wǎng)絡(luò)環(huán)境3方面提取評估要素，在空間維度上分析各安全態(tài)勢要素集及其相互影響關(guān)系對網(wǎng)絡(luò)安全態(tài)勢的影響，從而得出網(wǎng)絡(luò)的安全態(tài)勢。為了可靠地給網(wǎng)絡(luò)管理員制定決策和防御措施提供依據(jù)，本文作者采用隱馬爾可夫模型(hidden Markov model, HMM)的時(shí)間序列方法，刻畫不同時(shí)刻安全態(tài)勢的前后依賴關(guān)系，分析其變化規(guī)律，預(yù)測變化趨勢及發(fā)展方向。其基本思路是：建立相應(yīng)的隱馬爾可夫預(yù)測模型，收集外部可觀測狀態(tài)數(shù)據(jù)及內(nèi)部狀態(tài)總數(shù)訓(xùn)練隱馬爾可夫模型，當(dāng)安全態(tài)勢異常時(shí)，通過監(jiān)測器采集樣本數(shù)據(jù)，利用已訓(xùn)練好HMM對運(yùn)行時(shí)的安全態(tài)勢進(jìn)行預(yù)測。

1 隱馬爾可夫模型

隱馬爾可夫模型(HMM)是一個雙重隨機(jī)過程，具有一定狀態(tài)數(shù)的隱馬爾可夫鏈和顯示隨機(jī)函數(shù)集，適合描述有隱含未知參數(shù)的馬爾可夫過程。自20世紀(jì)80年代以來，HMM已被應(yīng)用于語音識別，取得重大成功。到了20世紀(jì)90年代中期，HMM還被應(yīng)用于計(jì)算機(jī)文字識別與移動通信核心技術(shù)“多用戶的檢測”。此外，HMM在生物信息科學(xué)和故障診斷等領(lǐng)域也開始得到應(yīng)用。設(shè)模型的觀察序列為=(1，2，…，T)，則隱馬爾可夫模型可由一個五元組=(,, π,,)對系統(tǒng)進(jìn)行描述。在此五元組中，HMM模型中具有個隱狀態(tài)，可記為=(1，2，…，S)；每個隱狀態(tài)S對應(yīng)的有個可觀測的狀態(tài)V，記為=(1，2，…，v)。其中：π為1×階初始概率分布矩陣，表示可觀測序列在某時(shí)刻=1時(shí)，隱狀態(tài)1時(shí)所在各個隱狀態(tài)的初始所處于狀態(tài)的概率分布情況。設(shè)初始狀態(tài)矩陣π=(1，2，…，N)，則有：

2)=(a)×，為馬爾可夫鏈的狀態(tài)概率轉(zhuǎn)移矩陣，對一階HMM，有

1≤≤；1≤≤；

3)=(b)×為符號概率觀測矩陣，有

由上可知：模型中的轉(zhuǎn)移矩陣的每行分別相加之和為1，即從一個狀態(tài)轉(zhuǎn)移到其他所有隱狀態(tài)的概率之和為1，矩陣稱為隨機(jī)矩陣。隨機(jī)矩陣與矩陣的情況類似。

2 預(yù)測模型

2.1 網(wǎng)絡(luò)安全態(tài)勢

在網(wǎng)絡(luò)態(tài)勢方面，國內(nèi)外相關(guān)研究多見于軍事戰(zhàn)場的態(tài)勢獲取，網(wǎng)絡(luò)安全領(lǐng)域的態(tài)勢獲取研究尚處于起步階段，還未有普遍認(rèn)可的解決方法。張海霞等[9]提出了一種計(jì)算綜合威脅值的網(wǎng)絡(luò)安全分級量化方法。該方法生成的態(tài)勢值滿足越危險(xiǎn)的網(wǎng)絡(luò)實(shí)體，威脅值越高。本文定義網(wǎng)絡(luò)安全態(tài)勢由網(wǎng)絡(luò)基礎(chǔ)運(yùn)行性(runnability)、網(wǎng)絡(luò)脆弱性(vulnerability)和網(wǎng)絡(luò)威脅性(threat)三維組成，從3個不同的維度(或稱作分量)以直觀的形式向用戶展示整個網(wǎng)絡(luò)當(dāng)前安全態(tài)勢A=( runnability, vulnerability, threat)。每個維度可通過網(wǎng)絡(luò)安全態(tài)勢感知，從網(wǎng)絡(luò)上各運(yùn)行組件經(jīng)信息融合而得到量化分級。為了方便計(jì)算實(shí)驗(yàn)與降低復(fù)雜度，本文中，安全態(tài)勢每個維度取“高、中、差”或“1，2，3”共3個等級取值。本文主要進(jìn)行網(wǎng)絡(luò)安全態(tài)勢預(yù)測。

2.2 構(gòu)建預(yù)測模型

隱馬爾可夫模型易解決一類對于給定的觀測符號序列，預(yù)測新的觀測符號序列出現(xiàn)概率的基本問題。隱馬爾可夫模型是一個關(guān)于可觀測變量與隱藏變量之間關(guān)系的隨機(jī)過程，與安全態(tài)勢系統(tǒng)的內(nèi)部狀態(tài)(隱狀態(tài))及外部狀態(tài)(可觀測狀態(tài))相比，具有很大的相似性，因此，利用隱馬爾可夫模型能很好地分析網(wǎng)絡(luò)安全態(tài)勢問題。本文利用隱馬爾可夫的時(shí)間序列分析方法刻畫不同時(shí)刻安全態(tài)勢的前后依賴關(guān)系。

已知時(shí)刻網(wǎng)絡(luò)安全態(tài)勢，預(yù)測+1，+2，…，+時(shí)刻可能的網(wǎng)絡(luò)安全態(tài)勢。以網(wǎng)絡(luò)安全態(tài)勢的網(wǎng)絡(luò)基礎(chǔ)運(yùn)行性(runnability)、網(wǎng)絡(luò)脆弱性(vulnerability)和網(wǎng)絡(luò)威脅性(threat)三維組成隱馬爾可夫模型的外在表現(xiàn)特征，即可觀測狀態(tài)或外部狀態(tài)，它們分別具有“高、中、差” 或“1，2，3”取值，則安全態(tài)勢共有33=27種外部組合狀態(tài)。模型的內(nèi)部狀態(tài)(隱狀態(tài))為安全態(tài)勢A的“高、中高、中、中差、差”取值。注意：在本文中外部特征的3個維度，每個維度三等取值，而內(nèi)部狀態(tài)A為五等取值。模型示例如圖1所示。

圖1 網(wǎng)絡(luò)安全態(tài)勢HMM模型示意圖

網(wǎng)絡(luò)安全態(tài)勢A一般以某個概率a在“高、中高、中、中差、差”這5個狀態(tài)之間相互轉(zhuǎn)換，從一個狀態(tài)向另一個狀態(tài)遷移，這些狀態(tài)稱為內(nèi)部狀態(tài)或隱狀態(tài)，外界無法監(jiān)測到。然而，可以通過監(jiān)測工具監(jiān)測到安全態(tài)勢外在的表現(xiàn)特征，如網(wǎng)絡(luò)基礎(chǔ)運(yùn)行性(runnability)、網(wǎng)絡(luò)脆弱性(vulnerability)和網(wǎng)絡(luò)威脅性(threat)三維。監(jiān)測到的這些參數(shù)值組合一個整體可以認(rèn)為是一個可觀測狀態(tài)(外部狀態(tài)，此觀測狀態(tài)由個分量構(gòu)成，是1個向量)。圖1中，設(shè)狀態(tài)1為安全態(tài)勢“高”狀態(tài)，狀態(tài)5為安全態(tài)勢“差”狀態(tài)。在實(shí)際應(yīng)用中，根據(jù)具體情況可自行設(shè)定，本文取安全態(tài)勢每維外在表現(xiàn)特征=3，則有27種安全態(tài)勢可觀測外部狀態(tài)，而其內(nèi)部狀態(tài)(隱狀態(tài))共為5種。

定義1：設(shè)網(wǎng)絡(luò)安全態(tài)勢A內(nèi)部隱狀態(tài)可表示為1，2，…，5，則網(wǎng)絡(luò)安全態(tài)勢將在這5個隱狀態(tài)之間以某個概率a自由轉(zhuǎn)移，其中0≤a≤1。

定義2：網(wǎng)絡(luò)安全態(tài)勢A外在表現(xiàn)特征可用個隨機(jī)變量x(1≤≤, 本處=3)表示，令=(1，2，…，x)構(gòu)成1個維隨機(jī)變量；在時(shí)刻，1次具體觀測o的觀測值表示為v，則經(jīng)過個時(shí)刻對觀測得到1個安全態(tài)勢狀態(tài)觀測序列={1，2，…，o}。

本文基本思路是：建立相應(yīng)的隱馬爾可夫模型，收集內(nèi)、外部狀態(tài)總數(shù)訓(xùn)練隱馬爾可夫模型；當(dāng)網(wǎng)絡(luò)安全態(tài)勢異常時(shí)，通過監(jiān)測器收集網(wǎng)絡(luò)外在表現(xiàn)特征數(shù)據(jù)，利用已訓(xùn)練好HMM的模型對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行預(yù)測，為管理員提供決策服務(wù)。

2.3 參數(shù)學(xué)習(xí)

前面建立了如何建立安全態(tài)勢預(yù)測的隱馬爾可夫模型=(，，)(其中，，和為未知參數(shù))。隱馬爾可夫預(yù)測模型能真正地起預(yù)測作用。參數(shù)學(xué)習(xí)的基本思路是：通過計(jì)算個最大化安全態(tài)勢觀測訓(xùn)練序列樣本得出似然HMM模型，即找出使最大化的模型，使用Baum-Welch算法(向前向后算法)。從給定的觀測序列組成安全態(tài)勢的樣本訓(xùn)練集，通過訓(xùn)練學(xué)習(xí)得到產(chǎn)生訓(xùn)練集的概率最大化即最有可能解釋這個樣本的HMM模型。

為了能使參數(shù)學(xué)習(xí)正常進(jìn)行，之前要對HMM模型的3個參數(shù)賦予先驗(yàn)值即先驗(yàn)概率PPT，可根據(jù)高斯分布(也稱正態(tài)分布)來指導(dǎo)賦予先驗(yàn)概率，而不是憑空臆想，具有客觀性。

引理1 設(shè)隨機(jī)變量~(，2)，則密度函數(shù)為。每個維度看成1個隨機(jī)變量，具有獨(dú)立同分布性質(zhì)。

根據(jù)概率論知識，可將隨機(jī)變量觀測值劃分為5個互不相交的區(qū)間Si：(?∞,?3)(+3, +∞)，(?3,?2.5)(+2.5,+3)，(?2.5,?2)(+2,+2.5)，(?2,)(+,+2和[μ?σ,+]。經(jīng)計(jì)算，這5個區(qū)間Si(=0~4)對應(yīng)的概率Si分別為0.26%，0.98%，3.32%，27.18%和68.26%。事實(shí)上，網(wǎng)絡(luò)安全態(tài)勢在絕大多數(shù)情況下處于“高”或“中高” 2種狀態(tài)，其他3種狀態(tài)較少。這5個層次取值基本上符合實(shí)際網(wǎng)絡(luò)安全態(tài)勢的運(yùn)行情況，等級“差”的情況一般會落在3倍根方差3區(qū)域之外。其中，和都是常量，可通過大樣本無偏估計(jì)得到。因此，按這5個區(qū)間的劃分可以對應(yīng)于安全態(tài)勢“差、中差、中、中高、高”5個等級所占用的概率，作為它們的先驗(yàn)值。具體操作如下。

1) 給定這安全態(tài)勢5個隱狀態(tài)的初始先驗(yàn)概率π時(shí)，5個區(qū)間Si(=0~4)對應(yīng)5個安全態(tài)勢等級“差、中差、中、中高、高”，其5個區(qū)間概率Si分別為0.26%，0.98%，3.32%，27.18%和68.26%。從物理意義上看，每個隱狀態(tài)的初始狀態(tài)處于等級“高”要比處于“低”的概率大，符合實(shí)際情況。

2) 對于給定隨機(jī)矩陣的先驗(yàn)概率，在安全態(tài)勢“高”狀態(tài)時(shí)，安全態(tài)勢“高”狀態(tài)轉(zhuǎn)移到另一個安全態(tài)勢“高”狀態(tài)概率(11)應(yīng)該也落在區(qū)域內(nèi)，11為68.26%左右，而其他為31.74%左右，可根據(jù)實(shí)際情況給1i賦值。一般地，相鄰等級狀態(tài)的轉(zhuǎn)移概率高。其他隱狀態(tài)的轉(zhuǎn)移概率可類似求出。

3) 賦予隨機(jī)矩陣的先驗(yàn)概率時(shí)，在安全態(tài)勢“高”狀態(tài)下，其可觀測的狀態(tài)有≤327種可能，在此時(shí)最大可能應(yīng)該是安全態(tài)勢“高”狀態(tài)可觀測狀態(tài)(即個特征都取安全態(tài)勢“高”那個組合狀態(tài))。假設(shè)可觀測狀態(tài)1為安全態(tài)勢“高”狀態(tài)可觀測狀態(tài)，則其概率11為68.26%左右，而其他可觀測的安全態(tài)勢“高”狀態(tài)2, ...,v概率為31.74%左右，可按分級賦予。

在本文中，使用隱馬爾可夫模型Baum-Welch學(xué)習(xí)算法，從訓(xùn)練樣本中逐漸學(xué)習(xí)得到模型的3個參數(shù)，它是一種EM迭代方法。在每次迭代過程中，首先初始化，再進(jìn)行E-步，在給定的(，，)時(shí)計(jì)算和；最后進(jìn)行M-步，在給定公式和的情況下再計(jì)算模型λ。這2步交替迭代，進(jìn)行直到完全收斂為止。

2) E-步：在給定的和觀測的條件下計(jì)算和。

其中：

根據(jù)EM算法，通過樣本學(xué)習(xí)，可以得到本網(wǎng)絡(luò)安全態(tài)勢HMM模型中的3個未知參數(shù)，和B。引理1在給3個參數(shù)的先驗(yàn)概率PPT時(shí)有嚴(yán)格的理論基礎(chǔ)。

3 預(yù)測算法

在局域網(wǎng)中，當(dāng)網(wǎng)絡(luò)運(yùn)行不正?；?qū)ζ渚W(wǎng)絡(luò)運(yùn)行性能產(chǎn)生懷疑時(shí)，通過對網(wǎng)絡(luò)安全態(tài)勢個外在表現(xiàn)特征監(jiān)測，得到個時(shí)刻的可觀測狀態(tài)(三維組合狀態(tài))，根據(jù)已建立的隱馬爾可夫模型預(yù)測網(wǎng)絡(luò)安全態(tài)勢未來發(fā)展?fàn)顩r，及時(shí)調(diào)整安全策略，為高層決策服務(wù)提供可靠依據(jù)。

預(yù)測算法的基本思路是：給定1個已訓(xùn)練好的HMM及1個觀測序列(1，…，O)，希望找出隱狀態(tài)序列=(1，2，…，q)，其具有產(chǎn)生安全態(tài)勢可觀測序列的最大概率的可能。即要找到使(|,)最大化的*，則在最大化安全態(tài)勢隱狀態(tài)序列*=(1，…，q)的個隱狀態(tài)中，下一個非常可能出現(xiàn)的隱狀態(tài)q+1即為需要預(yù)測的狀態(tài)，它是可觀測狀態(tài)q向下一個狀態(tài)轉(zhuǎn)移過程中轉(zhuǎn)移概率a中最大的隱狀態(tài)q+1，即1時(shí)刻的網(wǎng)絡(luò)安全態(tài)勢。算法 如下。

1) 令觀測在時(shí)刻的數(shù)據(jù)隱狀態(tài)q為S，可得到沿著隱狀態(tài)狀態(tài)路徑=(1，2，…，q)(其中：q?1=S，q=S)，產(chǎn)生安全態(tài)勢可觀測序列=(1，…，t)，的最大輸出概率為δ(,)，有(2≤≤；1≤≤)。其中：φ()為記錄最大概率狀態(tài)路徑上當(dāng)前安全態(tài)勢的隱狀態(tài)q的前一個狀態(tài)，(2≤≤；1≤≤)。arg max表示尋求最大參數(shù)值，使得表達(dá)式結(jié)果為 最優(yōu)。

4)根據(jù)隱狀態(tài)T*對應(yīng)的輸出序列和可觀測概率隨機(jī)矩陣，計(jì)算此狀態(tài)的最大輸出概率，再計(jì)算1時(shí)刻的輸出，得到+1時(shí)刻狀態(tài)：。

算法中計(jì)算δ()時(shí)必須考慮從?1時(shí)刻所有個狀態(tài)轉(zhuǎn)移到狀態(tài)的S概率，時(shí)間復(fù)雜度為()，對應(yīng)每個時(shí)刻，要計(jì)算個中間變量δ()，…，δ()，時(shí)間復(fù)雜度為(2)，因?yàn)?，…，，因此，整個算法時(shí)間復(fù)雜度為(2)。

4 仿真實(shí)驗(yàn)

為了檢驗(yàn)本文所提出的網(wǎng)絡(luò)安全態(tài)勢預(yù)測理論的正確性，進(jìn)行仿真實(shí)驗(yàn)。在實(shí)驗(yàn)過程中，2類數(shù)據(jù)來源如下：一類通過開發(fā)安裝在各個網(wǎng)絡(luò)組件上的軟件監(jiān)測得到的實(shí)時(shí)數(shù)據(jù)；一類來源于Snort入侵檢測系統(tǒng)中的觀測數(shù)據(jù)?；静襟E如下：首先，按引理1賦給隱馬爾可夫模型=(，，)這3個參數(shù)的先驗(yàn)值；其次，按照一定規(guī)則隨機(jī)采集樣本訓(xùn)練HMM模型直至收斂，獲得3個參數(shù)的近似值；最后，由一組網(wǎng)絡(luò)安全態(tài)勢樣本觀測序列預(yù)測下一階段態(tài)勢。

4.1 網(wǎng)絡(luò)模型

根據(jù)本文所提出的網(wǎng)絡(luò)安全態(tài)勢預(yù)測理論搭建網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境，如圖2所示。圖2中正常用戶User和攻擊者Attacker都可通過因特網(wǎng)訪問網(wǎng)絡(luò)主機(jī)，主機(jī)有數(shù)據(jù)庫服務(wù)器、FTP服務(wù)器和入侵檢測系統(tǒng)等。本文模擬攻擊者Attacker 在不同時(shí)刻對網(wǎng)絡(luò)上不同類型的主機(jī)發(fā)起掃描、緩沖區(qū)溢出攻擊和TCP-SYN Flood 攻擊等，通過獲取入侵檢測系統(tǒng)IDS報(bào)警日志信息對節(jié)點(diǎn)單位時(shí)間內(nèi)受到的攻擊進(jìn)行統(tǒng)計(jì)，根據(jù)網(wǎng)絡(luò)安全態(tài)勢感知方法可獲取整個網(wǎng)絡(luò)安全態(tài)勢A，再根據(jù)文中HMM模型預(yù)測下一階段的網(wǎng)絡(luò)安全態(tài)勢。

圖2 實(shí)驗(yàn)環(huán)境網(wǎng)絡(luò)拓?fù)鋱D

4.2 數(shù)據(jù)預(yù)處理

網(wǎng)絡(luò)基礎(chǔ)運(yùn)行性(runnability)、網(wǎng)絡(luò)脆弱性(vulnerability)和網(wǎng)絡(luò)威脅性(threat)取三等值“高、中、差”或“1，2，3”，則總共可觀測組合狀態(tài)=27個。當(dāng)這3個特征取定值時(shí)，則1個可觀測組合狀態(tài)可表示為=(runnability, vulnerability, threat)。對這27個狀態(tài)編號為：1=(1,1,1)，2=(1,1,2)，3=(1,1,3)，4=(1,2,1)等。按引理1給定=(,,)先驗(yàn)值如表1~3所示。從表3可見：當(dāng)安全態(tài)勢的隱狀態(tài)為“高”時(shí)(1行)，觀測到正常可觀測安全狀態(tài)1的概率為68.26%，其他情況按概率就近轉(zhuǎn)移為大的原則，小概率平均狀態(tài)數(shù)，3個參數(shù)的先驗(yàn)概率值近似給定。

表1 參數(shù)π的先驗(yàn)值PPT

表2 狀態(tài)轉(zhuǎn)移隨機(jī)矩陣A的先驗(yàn)值aij

表3 觀測隨機(jī)矩陣B的先驗(yàn)值bjm

4.3 訓(xùn)練隱馬爾可夫模型

從圖2可獲取網(wǎng)絡(luò)的安全態(tài)勢A，則外在觀測=(runnability, vulnerability, threat)取定相應(yīng)值。若在時(shí)間觀測到的值就是O，則取個樣本序列來訓(xùn)練隱馬爾可夫模型直致收斂，得到其似然模型，即可確定3個參數(shù)。按照上述網(wǎng)絡(luò)安全態(tài)勢所提出的理論，由于本文取安全態(tài)勢分量數(shù)為3，則對于每個觀測樣本取其長度為=3，即有形如觀測樣本。假設(shè)網(wǎng)絡(luò)安全態(tài)勢正常情況下的概率為95%左右，其他情況共為5%左右。仿真樣本的獲取通過隨機(jī)程序產(chǎn)生，共采取2次觀測樣本量為2 000和3 000個，其收斂效果如圖3所示。圖3中，橫坐標(biāo)代表迭代所需次數(shù)，縱坐標(biāo)表示經(jīng)過每次迭代后3個參數(shù)值與前次迭代結(jié)束時(shí)3個參數(shù)值的距離即方差。為了便于繪圖，將所有的概率放大100倍。通過樣本訓(xùn)練，可以得到模型λ的3個隱馬爾可夫模型參數(shù)的估計(jì)值。圖3所示為本文賦予先驗(yàn)概率收斂算法及未賦予先難概率收斂算法對比效果。

樣本量/個：1—2 000，賦予先驗(yàn)概率； 2—2 000，未賦予先驗(yàn)概率；3—3 000，賦予先驗(yàn)概率； 4—3 000，未賦予先驗(yàn)概率

對上述實(shí)驗(yàn)結(jié)果進(jìn)行分析可得：1) 利用隱馬爾可夫預(yù)測模型，通過獲取外在預(yù)測數(shù)據(jù)，以此來訓(xùn)練HMM，具有高效的收斂算法，數(shù)據(jù)量達(dá)到3 000個以上，基本上收斂在某個點(diǎn)上，說明預(yù)測模型可行。隱馬爾可夫預(yù)測模型在參數(shù)學(xué)習(xí)時(shí)，給定先驗(yàn)概率，收斂速度優(yōu)于傳統(tǒng)的HMM參數(shù)學(xué)習(xí)方法。2) 利用訓(xùn)練好的隱馬爾可夫預(yù)測模型，根據(jù)臨時(shí)監(jiān)測的網(wǎng)絡(luò)安全態(tài)勢，基于預(yù)測算法，可方便地預(yù)測下一時(shí)刻網(wǎng)絡(luò)的安全態(tài)勢(如圖4所示)，因此，本算法是有效的。

4.4 安全態(tài)勢預(yù)測

在網(wǎng)絡(luò)運(yùn)行時(shí)，若懷疑網(wǎng)絡(luò)安全態(tài)勢異常，則通過監(jiān)測一定數(shù)量的安全態(tài)勢觀測序列，經(jīng)過尋找隱馬爾可夫模型最有可能解釋產(chǎn)生本次安全態(tài)勢觀測的一系列隱狀態(tài)。基于隱狀態(tài)q，則它的下一個最大可能轉(zhuǎn)移概率a的相應(yīng)隱狀態(tài)在+1時(shí)刻的安全態(tài)勢A為q+1。

本實(shí)驗(yàn)采集一組10個觀測樣本數(shù)據(jù)為：<高、高、高>，<高、高、高>，<高、中、高>，<高、中、中>，<中、中、中>，<中、中、中>，<中、中、高>，<中、高、高>，<高、高、高>和<高、高、高>。輸入到隱馬爾可夫模型中，經(jīng)解碼為安全態(tài)勢隱狀態(tài)：“高、高、中高、中高、中、中、中高、中高、高、高”。最后1個隱狀態(tài)q=“高”。由于11=0.682 6，在所有的隱狀態(tài)轉(zhuǎn)移概率中為最高，所以，在+1時(shí)刻的安全態(tài)勢A為q1=“高”。網(wǎng)絡(luò)安全態(tài)勢預(yù)測對比圖如圖4所示，其中，縱軸表示安全態(tài)勢等級，“5”表示“高”，“0”表示“低”；橫軸表示時(shí)間，在采樣序號10時(shí)，安全態(tài)勢為高，經(jīng)預(yù)測下一個時(shí)刻11時(shí)，安全態(tài)勢應(yīng)該為高，可信度達(dá)68.26%。通過本實(shí)驗(yàn)，依據(jù)訓(xùn)練好的隱馬爾可夫預(yù)測模式可方便地預(yù)測下一時(shí)刻的網(wǎng)絡(luò)安全態(tài)勢發(fā)展趨勢。從圖4可明顯看出本文的HMM方法可信度比貝葉斯預(yù)測方法的高。

曲線中，數(shù)據(jù)個位數(shù)表示安全態(tài)勢的等級，小數(shù)表示所處此等級的概率

5 結(jié)論

1) 為了可靠地給網(wǎng)絡(luò)管理員制定決策和防御措施提供依據(jù)，建立預(yù)測安全態(tài)勢的隱馬爾可夫模型，參數(shù)訓(xùn)練其隱馬爾可夫模型。當(dāng)安全態(tài)勢出現(xiàn)異常時(shí)，采用預(yù)測機(jī)制，通過收集網(wǎng)絡(luò)外在可觀測狀態(tài)，利用已訓(xùn)練好HMM的模型對運(yùn)行時(shí)安全態(tài)勢進(jìn)行實(shí)時(shí)預(yù)測。

2) 以正態(tài)分布為基礎(chǔ)建立模型，對連續(xù)型隨機(jī)變量經(jīng)過離散化，操作方便且符合實(shí)際情況，有利于隱馬爾可夫模型的參數(shù)學(xué)習(xí)。尤其對模型中的先驗(yàn)概率值確定有嚴(yán)格理論依據(jù)。仿真實(shí)驗(yàn)結(jié)果驗(yàn)證了本文方法的正確性。

[1] Bass T. Intrusion detection systems and multisensor data fusion[J]. Communications of the ACM, 2000, 43(4): 99?105.

[2] 龔正虎, 卓瑩. 網(wǎng)絡(luò)態(tài)勢感知研究[J]. 軟件學(xué)報(bào), 2010, 21(7): 1605?1619. GONG Zhenghu, ZHUO Ying. Research on cyberspace situational awareness[J]. Journal of Software, 2010, 21(7): 1605?1619.

[3] Jeffrey M, Bradshaw, Carvalho M, et al. Sol: An agent-based framework for cyber situation awareness[J]. Künstliche Intelligenz: Springer, 2012, 26(2): 127?140.

[4] G?rnitz N, Kloft M, Rieck K, et al. Toward supervised anomaly detection[J]. Journal of Artificial Intelligence Research, 2013, 46(2): 235?262.

[5] Sample C, Schaffer K. An overview of anomaly detection[J]. IT Professional, 2013, 15(1): 8?11.

[6] Giusj D, Chiara F, Gabriele O, et al. Aware online interdependency modeling via evidence theory[J]. International Journal of Critical Infrastructures, 2013, 9(1): 74?92.

[7] Jan Bazan G, Bazan-Socha S, Buregwa-Czuma S, et al. Classifiers based on data sets and domain knowledge: A rough set approach[J]. Intelligent Systems Reference Library, 2013, 43(1): 93?136.

[8] 方研, 殷肖川, 孫益博. 基于隱馬爾可夫模型的網(wǎng)絡(luò)安全態(tài)勢評估[J]. 計(jì)算機(jī)應(yīng)用與軟件, 2013, 30(12): 64?68. FANG Yan, YIN Xiaochuan, SUN Yibo. Network security situation assessment based on hidden Markov model[J]. Computer Applications and Software, 2013, 30(12): 64?68.

[9] 張海霞, 蘇璞睿, 馮登國. 基于攻擊能力增長的網(wǎng)絡(luò)安全分析模型[J]. 計(jì)算機(jī)研究與發(fā)展, 2007, 44(12): 2012?2019. ZHANG Haixia, SU Purui, FENG Dengguo. A network security analysis model based on the increase in attack ability[J]. Journal of Computer Research and Development, 2007, 44(12): 2012?2019.

[10] 謝麗霞, 王亞超, 于巾博. 基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢感知[J]. 清華大學(xué)學(xué)報(bào)(自然科學(xué)版), 2013, 53(12): 1750?1760. XIE Lixia, WANG Yachao, YU Jinbo. Network security situation awareness based on neural networks[J]. Journal of Tsinghua University (Science & Technology), 2013, 53(12): 1750?1760.

[11] 唐成華, 湯申生, 強(qiáng)保華. D-S融合知識的網(wǎng)絡(luò)安全態(tài)勢評估及驗(yàn)證[J]. 計(jì)算機(jī)科學(xué), 2014, 41(4): 107?110, 125. TANG Chenghua, TANG Shensheng, QIANG Baohua. Assessment ang validation of network security situation based on D?S and knowledge fusion[J]. Computer Science, 2014, 41(4): 107?110, 125.

[12] 席榮榮, 云曉春, 張永錚, 等. 一種改進(jìn)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法[J]. 計(jì)算機(jī)學(xué)報(bào), 2015, 38(4): 749?758. XI Rongrong, YUN Xiaochun, ZHANG Yongzheng, et al. An improved quantitative evaluation method for network security[J]. Chinese Journal of Computers, 2015, 38(4): 749?758.

[13] 唐成華, 余順爭. 一種基于似然BP的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J]. 計(jì)算機(jī)科學(xué), 2009, 36(19): 97?100, 168. TANG Chenghua, YU Shunzheng. Method of network security situation prediction based on likelihood BP[J]. Computer Science, 2009, 36(19): 97?100, 168.

[14] 黃同慶, 莊毅. 一種實(shí)時(shí)網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J]. 小型微型計(jì)算機(jī)系統(tǒng), 2014, 35(2): 303?306. HUANG Tongqing, ZHUANG Yi. An approach to real-time network security situation prediction[J]. Journal of Chinese Computer Systems, 2014, 35(2): 303?306.

[15] 鄔書躍, 田新廣. 基于隱馬爾可夫模型的用戶行為異常檢測新方法[J]. 通信學(xué)報(bào), 2007, 28(4): 38?43. WU Shuyue, TIAN Xinguang. Method for anomaly detection of user behaviors based on hidden Markov models[J]. Journal on Communications, 2007, 28(4): 38?43.

[16] 劉玉嶺, 馮登國, 連一峰, 等. 基于時(shí)空維度分析的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J]. 計(jì)算機(jī)研究與發(fā)展, 2014, 51(8): 1681?1694. LIU Yuling, FENG Dengguo, LIAN Yifeng, et al. Network situation prediction method based on spatial-time dimension analysis[J]. Journal of Computer Research and Development, 2014, 51(8): 1681?1694.

Network security situation prediction method based on hidden Markov model

WEN Zhicheng1, 2, CHEN Zhigang1

(1. School of Information Science and Engineering, Central South University, Changsha 410083, China; 2. School of Computer and Communication, Hunan University of Technology, Zhuzhou 412007, China)

In order to help network administrators make correct decisions and take effective defense measures, a hidden Markov prediction model was put forward. The characteristics of network security situation changes were investigated, the time series analysis method was used to describe the dependent relationship between the former and the latter’s security situations in different time. When the security situation was deviated from its normal state, the change law was analyzed, and system change trend and development direction of security situation in the future were predicted by the prediction model. Finally, the network security situation prediction algorithm was verified using the simulation data. The simulation results verify the correctness of the method.

network security situation; hidden Markov model; situation prediction; parameter learning; prediction model

10.11817/j.issn.1672-7207.2015.10.019

TP311

A

1672?7207(2015)10?3689?07

2015?03?05；

2015?05?10

國家自然科學(xué)基金資助項(xiàng)目(61073186,61073104,60903058)；中南大學(xué)博士后基金資助項(xiàng)目(2012年)(Projects (61073186, 61073104, 60903058) supported by the National Natural Science Foundation of China; Project (2012) supported by the Post Doctoral Fund of Central South University)

陳志剛，博士，教授，博士生導(dǎo)師，從事網(wǎng)絡(luò)計(jì)算與分布式處理研究；E-mail：czg@csu.edu.cn

(編輯 陳燦華)