基于改進(jìn)HMM的云網(wǎng)絡(luò)安全研究

郭義

摘 要：隱馬爾可夫模型（HMM）是網(wǎng)絡(luò)安全態(tài)勢評(píng)估模型中應(yīng)用最廣泛的評(píng)估模型，其參數(shù)的確定直接影響了評(píng)估結(jié)果的客觀性。針對這一問題，在粒子群算法（PSO）的基礎(chǔ)上，提出自適應(yīng)聚群粒子群算法（ASPSO）。首先通過人工魚群在全局搜索方面的優(yōu)勢對PSO進(jìn)行改進(jìn)，然后對PSO算法中的慣性權(quán)值和學(xué)習(xí)因子進(jìn)行改進(jìn)，以提高HMM參數(shù)尋優(yōu)準(zhǔn)確率。最后以DARPA2000數(shù)據(jù)集中的LLDoS1.0的DDoS攻擊場景進(jìn)行模擬攻擊，結(jié)果表明，改進(jìn)算法在迭代次數(shù)方面要明顯優(yōu)于傳統(tǒng)的PSO-HMM算法，且可真實(shí)模擬DDoS攻擊場景，與云網(wǎng)絡(luò)實(shí)際受到攻擊時(shí)一致。

關(guān)鍵詞：云網(wǎng)絡(luò);安全態(tài)勢評(píng)估;HMM模型;ASPSO算法

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A ? ? 文章編號(hào)：1001-5922（2021）10-0179-05

Research on Cloud Network Security Based on Improved HMM

Guo Yi

（Fuyang Industrial Economics School， Fuyang 236502， China）

Abstract：The Hidden Markov Model （HMM） is the most widely used evaluation model in the network security situation evaluation model， and the determination of its parameters directly affects the objectivity of the evaluation results. For this problem， the adaptive cluster particle group algorithm （ASPSO） is proposed based on the particle group algorithm （PSO）. The PSO is first improved through the advantages of artificial fish groups in global search， and then the inertia weights and learning factors in the PSO algorithm are improved to improve the optimization accuracy of HMM parameters. Finally， the DDoS attack is the DDoS attack scene of LLDoS1.0 in the DARPA2000 dataset， which shows that the improved algorithm is significantly better than the traditional PSO-HMM algorithm in terms of iterations， and can truly simulate the DDoS attack scene， consistent with when the cloud network is actually attacked.

Key words：cloud network; security situation assessment; HMM model; ASPSO algorithm

在云計(jì)算和大數(shù)據(jù)高速發(fā)展的今天，信息安全、云平臺(tái)防護(hù)等面臨巨大威脅，如病毒入侵、分布式拒絕服務(wù)（DDoS）攻擊、黑客攻擊等。從當(dāng)前網(wǎng)絡(luò)面臨的威脅來看，傳統(tǒng)的入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）等被動(dòng)防御已不能滿足網(wǎng)絡(luò)安全防護(hù)需求。同時(shí)，網(wǎng)絡(luò)安全態(tài)勢感知（Network Security Situation Awareness，NSSA）作為網(wǎng)絡(luò)運(yùn)行狀態(tài)的反映，不僅可體現(xiàn)當(dāng)前的運(yùn)行狀況，還可根據(jù)態(tài)勢評(píng)估值評(píng)估未來運(yùn)行趨勢。在網(wǎng)絡(luò)安全態(tài)勢感知中，主要數(shù)據(jù)來源于日志文件、網(wǎng)絡(luò)設(shè)備等。通過對這些數(shù)據(jù)的整合、關(guān)聯(lián)分析，并結(jié)合態(tài)勢評(píng)估算法，實(shí)現(xiàn)態(tài)勢預(yù)測評(píng)估目的，以爭取在網(wǎng)絡(luò)攻擊前規(guī)避或者是遏制部分威脅，達(dá)到保護(hù)和降低攻擊的目的。而當(dāng)前基于網(wǎng)絡(luò)安全態(tài)勢的評(píng)估中，比較常見的態(tài)勢評(píng)估方法包括Dempster/Shafer（D-S）證據(jù)理論、樸素貝葉斯分類、攻擊圖、BP（Back Propagation）神經(jīng)網(wǎng)絡(luò)等[1-6]。李欣等[8]將隱馬爾可夫模型應(yīng)用到云網(wǎng)絡(luò)環(huán)境中，認(rèn)為隱馬爾可夫模型（Hidden Markov Model， HMM） 在實(shí)時(shí)評(píng)估網(wǎng)絡(luò)狀態(tài)方面具有無可比擬的優(yōu)勢，但是存在模型參數(shù)匹配較難，以及評(píng)估準(zhǔn)確率不高的問題。鑒于此，本研究則在以上研究理論和實(shí)踐的基礎(chǔ)上，提出自適應(yīng)聚群粒子群算法的HMM參數(shù)優(yōu)化方法，并對云網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評(píng)估。

1 基于HMM的網(wǎng)絡(luò)安全態(tài)勢評(píng)估

基于HMM的網(wǎng)絡(luò)安全態(tài)勢評(píng)估認(rèn)為，網(wǎng)絡(luò)的安全狀態(tài)與實(shí)際觀察的安全事件并非一一對應(yīng)，而是通過概率分布進(jìn)行聯(lián)系，即網(wǎng)絡(luò)安全的序列可展示網(wǎng)絡(luò)狀態(tài)的變化。在云網(wǎng)絡(luò)中，將云網(wǎng)絡(luò)看成是由若干個(gè)節(jié)點(diǎn)過程，網(wǎng)絡(luò)攻擊者通過網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)起攻擊。因此，對云網(wǎng)絡(luò)安全進(jìn)行評(píng)估，可看成是對節(jié)點(diǎn)的安全態(tài)勢評(píng)估。其中通過設(shè)備可搜集到節(jié)點(diǎn)的漏洞、病毒和攻擊信息，是觀測序列。這些節(jié)點(diǎn)的安全狀態(tài)很難直接觀察到，因此又稱為隱藏狀態(tài)。對此，為度量節(jié)點(diǎn)的安全狀態(tài)，認(rèn)為節(jié)點(diǎn)的安全狀態(tài)與攻擊者間是概率關(guān)系，可通過HMM來進(jìn)行描述。因此，通過HMM模型在對網(wǎng)絡(luò)中的節(jié)點(diǎn)進(jìn)行態(tài)勢分量建模后，則通過出現(xiàn)最高概率的隱藏狀態(tài)序列來進(jìn)行安全態(tài)勢的評(píng)估與判斷。

基于HMM的網(wǎng)絡(luò)安全態(tài)勢評(píng)估由五元組λ={S，M，π，A，B}構(gòu)成，具體為：①狀態(tài)空間為S={S1，S2，…，SN}，依據(jù)安全事件的等級(jí)，網(wǎng)絡(luò)狀態(tài)空間S={G，L，M，H， S}，其中G、L、M、H、S分別表示網(wǎng)絡(luò)狀態(tài)良好、低危、中危、高危、嚴(yán)重。②M為每一個(gè)安全狀態(tài)對應(yīng)的觀測集合，用M={M1，M2，…，MN}，O={O1，O2，…，Ot，…，OT}。為提高建立的模型計(jì)算速度，增加數(shù)據(jù)源的完備性，本文參考韓愛平等的研究成果，將IDS告警因素按照影響等級(jí)設(shè)定為10，且觀測符號(hào)個(gè)數(shù)也設(shè)定為10，N={1，2，…，10}。③π為初始狀態(tài)矩陣，則應(yīng)用π={πi}可計(jì)算各個(gè)狀態(tài)下的初始概率，其中。④A為狀態(tài)轉(zhuǎn)移矩陣，t 時(shí)刻網(wǎng)絡(luò)安全狀態(tài)為i，t+1時(shí)刻網(wǎng)絡(luò)安全狀態(tài)為 j，t到t+1時(shí)刻網(wǎng)絡(luò)安全狀態(tài)的概率為aij，則A={aij}，，其中，，。⑤預(yù)測符號(hào)矩陣為B，t 時(shí)刻網(wǎng)絡(luò)安全狀態(tài)為Si，觀測符號(hào)bj在Si條件下的概率分布為bj（k），則，。其中bij≥0，，bj（k）不隨時(shí)間的變化而發(fā)生改變。

其中，π和A為馬爾科夫鏈參數(shù)，B表示一般隨機(jī)過程的參數(shù)。前者產(chǎn)生狀態(tài)序列，后者產(chǎn)生觀測序列。

在確定以上的HMM參數(shù)后，根據(jù)周期內(nèi)檢測到的觀測狀態(tài)序列，O={O1，O2，…，Ot，…，OT}，可計(jì)算出各節(jié)點(diǎn)在? t? 時(shí)刻的概率rt（i），具體表示為

式（1）中，。根據(jù)公式可求得各個(gè)節(jié)點(diǎn)不同時(shí)間段的分布，進(jìn)而判斷各個(gè)節(jié)點(diǎn)出現(xiàn)威脅的概率。

為更好的度量節(jié)點(diǎn)安全態(tài)勢，引入節(jié)點(diǎn)權(quán)重對態(tài)勢進(jìn)行評(píng)估，具體計(jì)算公式為

式（2）中，Z表示網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)目;SA表示網(wǎng)絡(luò)安全態(tài)勢值;WHiRi表示各個(gè)節(jié)點(diǎn)的權(quán)重。其中，應(yīng)用Pagerank算法對節(jié)點(diǎn)進(jìn)行權(quán)重分配，具體分配方法可用式（3）表示為

式（3）中，α=0.85;W（hi）表示節(jié)點(diǎn)權(quán)重值;N表示網(wǎng)絡(luò)中節(jié)點(diǎn)數(shù)目;Out（hj）表示hj的出鏈數(shù)目;Mpi表示hj的出鏈集合。

2 HMM參數(shù)優(yōu)化改進(jìn)

在實(shí)際應(yīng)用場景中，HMM模型參數(shù)設(shè)置暴露出人工設(shè)置的不準(zhǔn)確性。因此，有必要對HMM參數(shù)進(jìn)行優(yōu)化，減少傳統(tǒng)認(rèn)為設(shè)置的主觀性。針對該問題，李欣等（2019）提出通過Baum-Welch（BW） 參數(shù)優(yōu)化算法與人群搜索算法結(jié)合對HMM進(jìn)行優(yōu)化。結(jié)果表明：該方法可提高準(zhǔn)確率[8]。本研究在以往研究的基礎(chǔ)上，參考韓愛平的研究成果[9]，提出采用自適應(yīng)聚群粒子群算法的HMM參數(shù)優(yōu)化方法。

2.1 基于ASPSO的HMM參數(shù)優(yōu)化

傳統(tǒng)的粒子群優(yōu)化算法（PSO）雖然尋優(yōu)速度快，可應(yīng)用于HMM模型參數(shù)進(jìn)行確定，但由于其構(gòu)造簡單，在搜索過程中容易陷入局部最優(yōu)解，且收斂速度普遍較慢，因此需要對PSO算法進(jìn)行改進(jìn)。在該改進(jìn)中，引入人工魚群的擁擠度因子，進(jìn)而避免傳統(tǒng)PSO算法在HMM參數(shù)優(yōu)化中容易陷入局部極值，從而達(dá)到全局最優(yōu)的目的。

在引入人工魚群算法的同時(shí)，對PSO算法也進(jìn)行改進(jìn)，具體是對慣性權(quán)值ω和學(xué)習(xí)因子c1、c2的改進(jìn)。本文首先確定PSO算法的慣性權(quán)值ω在0.4～0.9。在搜索迭代初期，通常取較大慣性權(quán)值，從而讓粒子擺脫劇組最優(yōu)，提高全局最優(yōu);在后期，則取較小的慣性權(quán)值。因此，基于以上的分析，本文中將算法的迭代代數(shù) gen 自適應(yīng)的慣性權(quán)值公式變?yōu)?/p>

式（4）中，gen表示迭代代數(shù);genmax表示最大迭數(shù);ωgen表示迭代代數(shù)gen的自適應(yīng)慣性權(quán)值;ωmax=0.9，ωmin=0.4。

同時(shí)，PSO算法中初次迭代時(shí)，c1和c2會(huì)影響算法的全局尋優(yōu)能力和收斂速度。為保證PSO就有較強(qiáng)的全局尋優(yōu)和收斂速度，本文應(yīng)用迭代代數(shù)gen與學(xué)習(xí)因子的關(guān)系，確定了c1、c2的更新公式為

式（5）、（6）中，gen表示迭代代數(shù);genmax表示最大迭代代數(shù);cmin表示學(xué)習(xí)因子c1的初始值;cmax表示學(xué)習(xí)因子c1的最終值，且滿足0>cmin>cmax≤4。

2.2 基于ASPSO的HMM網(wǎng)絡(luò)安全態(tài)勢評(píng)估

結(jié)合以上的HMM參數(shù)尋優(yōu)改進(jìn)，將云網(wǎng)絡(luò)的安全態(tài)勢評(píng)估步驟分為以下幾步：

①確定HMM模型初始結(jié)構(gòu)參數(shù)，包括狀態(tài)轉(zhuǎn)移矩陣和符號(hào)矩陣參數(shù)的確定;②初始化種群，設(shè)定初始粒子群數(shù)目為50，最大迭代數(shù)為100，確定種群中粒子的初始位置和初始速度，應(yīng)用慣性權(quán)值計(jì)算式（4）和學(xué)習(xí)因子計(jì)算式（5）、（6）確定ω和c1、c2的值;③確定人工魚群算法參數(shù)，設(shè)人工魚總數(shù)為50，移動(dòng)步長為0.5，最大試探數(shù)為4，擁擠度因子為0.2;④計(jì)算粒子的適應(yīng)度函數(shù)并更新其最優(yōu)值;⑤若迭代代數(shù)達(dá)到設(shè)定的最大迭代代數(shù)，停止算法，輸出最優(yōu)粒子個(gè)體;若迭代數(shù)沒有達(dá)到最大迭代數(shù)，重復(fù)步驟④、⑤，直至得到最優(yōu)參數(shù);⑥根據(jù)式（2）計(jì)算網(wǎng)絡(luò)安全態(tài)勢結(jié)果，并輸出結(jié)果?；?ASPSO的HMM云網(wǎng)絡(luò)安全態(tài)勢評(píng)估流程如圖1所示。

3 仿真實(shí)驗(yàn)

3.1 實(shí)驗(yàn)數(shù)據(jù)來源

為研究基于 ASPSO的HMM模型對云網(wǎng)絡(luò)安全的評(píng)估結(jié)果，本實(shí)驗(yàn)應(yīng)用DARPA2000數(shù)據(jù)集，在該數(shù)據(jù)集中包含LLDoS 1. 0的DDoS攻擊場景作為云網(wǎng)絡(luò)安全態(tài)勢的評(píng)估。DDoS 攻擊網(wǎng)絡(luò)流量主要分為5個(gè)階段：

第1階段：掃描活躍主機(jī)。

IP為202. 77. 162. 213的攻擊者對172. 16. 112. 0/24、172. 16. 113. 0/24、172. 16. 114. 0/24和 172. 16. 115. 0/24這4個(gè)IP進(jìn)行掃描，查詢其中活躍的主機(jī)。

第2階段：Sadmind查詢。

查詢活躍主機(jī)是否運(yùn)行sadmind，若主機(jī)正在運(yùn)行sadmind，可進(jìn)行第3階段。

第3階段：獲取主機(jī)root權(quán)限。

根據(jù)Sadmind Buffer Overflow漏洞獲得172. 16. 112. 20、172. 16. 112. 10、172. 16. 115. 50主機(jī)root權(quán)限。

第4階段：安裝DDoS攻擊工具。

在172. 16. 112. 20、172. 16. 112. 10、172. 16. 115. 50這3臺(tái)主機(jī)中安裝DDoS攻擊工具。

第5階段：發(fā)起攻擊。

利用DDoS攻擊工具發(fā)起攻擊，遠(yuǎn)程控制172. 16. 112. 20、172. 16. 112. 10、172. 16. 115. 50這3臺(tái)主機(jī)。

3.2 模型參數(shù)確定

為確保仿真實(shí)驗(yàn)的準(zhǔn)確性，本實(shí)驗(yàn)在Windows7操作系統(tǒng)、Matlab2014b、硬件處理系統(tǒng)為500 Hz、內(nèi)存為512 M以上的環(huán)境下進(jìn)行實(shí)驗(yàn)。

設(shè)置 A/B 的參數(shù)。π =（1，0，0，0，0）。應(yīng)用Matlab2017b軟件多次對模型參數(shù)進(jìn)行實(shí)驗(yàn)，最終確定模型的關(guān)鍵參數(shù)：慣性權(quán)值ωmax= 0.9，ωmin= 0.4;學(xué)習(xí)因子c1最大4，最小1;人工魚群數(shù)最少50;人工魚移動(dòng)步長為0.5，最大試探數(shù)為4，感知距離為6，擁擠度因子為0.2。

3.3 仿真結(jié)果

（1）迭代次數(shù)優(yōu)化。通過以上設(shè)置，分別得到只采用PSO算法和應(yīng)用ASPSO算法對HMM參數(shù)進(jìn)行優(yōu)化的結(jié)果。其結(jié)果分別如圖2、圖3所示。

由圖2可知，PSO 算法對HMM模型參數(shù)的優(yōu)化需要進(jìn)行430次迭代才能得到最優(yōu)解;由圖3可知，ASPSO算法對HMM模型參數(shù)的優(yōu)化僅在第160代迭代數(shù)就可得到最優(yōu)解?？梢?，ASPSO算法的優(yōu)化結(jié)果比PSO算法的優(yōu)化結(jié)果顯著。

（2）參數(shù)優(yōu)化結(jié)果。應(yīng)用ASPSO算法對模型的狀態(tài)轉(zhuǎn)移矩陣參數(shù)和觀測符號(hào)矩陣參數(shù)進(jìn)行優(yōu)化，可得到如表1所示的狀態(tài)轉(zhuǎn)移矩陣參數(shù)和表2所示的觀測符號(hào)矩陣參數(shù)值。

（3）安全態(tài)勢評(píng)估。結(jié)合以上的參數(shù)，采用DDoS攻擊場景1對云網(wǎng)絡(luò)進(jìn)行攻擊模擬，對云網(wǎng)絡(luò)中的主機(jī)發(fā)起攻擊。攻擊5個(gè)階段發(fā)生的大致時(shí)間為：第1階段18～30 min;第2階段36～50 min;第3階段62～63 min;第4階段80 min后;第5階段118 min后。根據(jù)上述的模擬攻擊，如得到圖4的安全態(tài)勢評(píng)估結(jié)果。

由圖4可知，主機(jī)在被攻擊者與實(shí)際攻擊場合吻合，共經(jīng)歷5個(gè)階段。當(dāng)攻擊者攻擊進(jìn)行到第3階段時(shí)，由于主機(jī)安裝有DDoS程序，因此后兩個(gè)攻擊階段的態(tài)勢曲線并沒有通過曲線圖反映出來。

整體網(wǎng)絡(luò)安全態(tài)勢評(píng)估曲線如圖5所示。

由5可知，在攻擊者攻擊主機(jī)的第1階段掃描過程中，云網(wǎng)絡(luò)的態(tài)勢值不高，為0.921;第2階段Sadmind掃描，網(wǎng)絡(luò)的態(tài)勢值開始增大，為1.866;第3階段入侵成功，網(wǎng)絡(luò)態(tài)勢值達(dá)到3.935;第4階段攻擊過程中，網(wǎng)絡(luò)的態(tài)勢值不斷減小直至趨于0;第5階段控制主機(jī)，此時(shí)的網(wǎng)絡(luò)態(tài)勢值達(dá)到4.247。

4 結(jié)語

綜上所述，本實(shí)驗(yàn)對HMM模型參數(shù)優(yōu)化，可極大減少迭代次數(shù)，并得到最優(yōu)的HMM參數(shù);同時(shí)，通過對HMM參數(shù)的改進(jìn)，可得到不同攻擊節(jié)點(diǎn)網(wǎng)絡(luò)的安全態(tài)勢，且這種態(tài)勢與實(shí)際的攻擊一致，說明本實(shí)驗(yàn)的改進(jìn)有效，取得良好的評(píng)估效果。

參考文獻(xiàn)

[1]湯永利，李偉杰，于金霞，等. 基于改進(jìn)D-S證據(jù)理論的網(wǎng)絡(luò)安全態(tài)勢評(píng)估方法[J]. 南京理工大學(xué)學(xué)報(bào)，2015，39（04）：405-411.

[2]文志誠，曹春麗，周 浩. 基于樸素貝葉斯分類器的網(wǎng)絡(luò)安全態(tài)勢評(píng)估方法[J]. 計(jì)算機(jī)應(yīng)用，2015，35（08）：2 164-2 168.

[3]王 坤，邱 輝，楊豪璞. 基于攻擊模式識(shí)別的網(wǎng)絡(luò)安全態(tài)勢評(píng)估方法[J]. 計(jì)算機(jī)應(yīng)用，2016，36（01）：194-198+226.

[4]謝麗霞，王志華. 基于布谷鳥搜索優(yōu)化BP神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評(píng)估方法[J]. 計(jì)算機(jī)應(yīng)用，2017，37（07）：1 926-1 930.

[5]韓曉露，劉 云，張振江，等. 網(wǎng)絡(luò)安全態(tài)勢感知理論與技術(shù)綜述及難點(diǎn)問題研究[J]. 信息安全與通信保密，2019（07）：61-71.

[6]王巖雪，孫大躍. 基于蟻群算法優(yōu)化BP神經(jīng)網(wǎng)絡(luò)的政務(wù)云網(wǎng)絡(luò)態(tài)勢預(yù)測研究[J/OL]. 現(xiàn)代電子技術(shù)，2020（07）：1-6.

[7]丁華東，許華虎，段 然，等. 基于貝葉斯方法的安全態(tài)勢感知模型[J/OL]. 計(jì)算機(jī)工程，2020（07）：1-12.

[8]李 欣，段詠程. 基于改進(jìn)隱馬爾可夫模型的網(wǎng)絡(luò)安全態(tài)勢評(píng)估方法[J/OL].計(jì)算機(jī)科學(xué)，2020（05）：1-5.

[9]韓愛平. 面向政務(wù)云的網(wǎng)絡(luò)安全態(tài)勢評(píng)估與預(yù)測技術(shù)研究[D].西安：長安大學(xué)，2019.