第3章　基于隐马尔可夫模型的网络安全态势评估

隐马尔可夫模型(Hidden Markov Model,简记HMM)由数学家Baum和Welch在20世纪60年代提出^[1],在现代工程和科学领域有很广泛的运用,典型应用领域有天气预测、语音识别和图像处理等。

隐马尔可夫模型在网络安全中也有着广泛的应用。在入侵检测领域,张响亮等人提出基于HMM的程序行为异常检测^[2],以正常执行的程序所产生的系统调用序列为研究对象,建立HMM,计算系统当前调用序列出现的概率,判断系统是否存在入侵,该方法提高了入侵检测的误报率和漏报率,但是该方法的前提是要准确建立正常程序的系统调用的HMM。谭小彬等人提出了计算机系统入侵检测的HMM^[3],建立计算机系统运行情况的HMM,采用滑动窗口机制对当前系统的观测序列进行处理,计算观测序列在正常情况下出现的概率,从而判断系统是否存在入侵,该方法将系统状态简化为正常和异常两种,提高了效率和准确度,是对异常检测技术的一种改进。

在基于HMM的网络安全性评估方面,Haslum等人提出使用连续时间HMM进行实时风险评估^[4],采用连续时间HMM描述主机安全状态,但在建立HMM时,对HMM的观测矩阵的确定上,有很大的主观性。李伟明等人提出的基于HMM的风险量化方法中,对观测矩阵和传输矩阵采用了基于遗传算法的训练方法^[5],一定程度上克服了主观性带来的影响,解决了HMM难配置的问题,但是需要事先确定大量的风险描述规则库,训练结果的好坏,很大程度上依赖于规则库的指定。

网络安全态势评估的主要目的是评估实时网络安全事件对目标资产安全状况的影响,从而根据网络安全事件来感知网络安全态势。其关键问题是找到合适的模型来刻画安全事件与安全态势之间的动态关系。基于隐马尔科夫模型(HMM)的网络安全态势评估方法具有简单、准确、易于量化、可配置程度高的特点,是本章的主要研究对象。

本章对该方法进行介绍:3.1节介绍HMM相关基础理论,3.2节介绍基于HMM的安全态势评估模型,3.3节进行实验测试与结果讨论。