3.3.2　HMM参数的设置

我们主要使用美国麻省理工学院林肯实验室所提供的DARPA 2000数据作为实验材料。因为在LLDOS Version 2.0中的攻击是以比较隐蔽的方式进行的,所以有些攻击步骤在我们采用Snort进行实验测试中捕获不到(如在第一个攻击步骤中攻击方是使用合法的DNS QUERY),因此我们以LLDOS Version 2.0另外加上LLDOS Version 1.0中一组成功攻击案例当成训练集,对HMM进行训练,最后求得的隐马尔可夫模型的相关参数分别如表3.6至表3.8所示。

表3.6　初始安全状态概率分布PiPar＝{πN,πP,πA,πC}

表3.7　对象状态转移概率分布矩阵TranPar

表3.8　观测矩阵ObsPar概率分布矩阵

风险量化初值为C＝{CN,CP,CA,CC}＝{10,15,30,45}。为了便于画图,对风险值进行了归一化处理,以便于比较。

然后对实验进行了编程测试,典型的HMM实例编程计算示例如图3.8所示。