3.3.4　讨论

本章介绍了网络安全态势评估的HMM方法。首先对HMM模型的相关概念进行了介绍,然后描述了主机安全态势的HMM模型和风险量化方法。该方法主要面临两个关键问题,一是告警分类问题,二是HMM模型参数配置问题。采用DARPA 2000数据集进行了测试。

利用HMM来量化网络安全态势,具有以下三个优势:(1)易于量化。可以给主机的每个状态确定一个风险代价,再综合每个状态的概率,得到当前主机一个明确的风险值,并且由这个风险值的高低可以直观地看到安全事件的严重程度,并观察到细微的变化。(2)随着系统受到不同的攻击,可以实时反映系统的风险。而对于被边界防火墙或者IPS阻隔的攻击,不会对内部网络造成影响,所以即使内部网络存在某些漏洞也不会产生风险,这样更加准确地体现了风险的含义。(3)参数可配置。通过对不同网络采用不同的初始状态矩阵、Trans矩阵、Obs矩阵和风险代价向量会得到不同的风险评估结果,对于不同的网络环境有很好的适应性。

将HMM方法与其他现有的态势量化评估方法进行简单比较,如:层次化的风险评估方法^[7]在评估整个网络络系统的风险时具有优势,但其风险计算原理本质上还是采用风险累积算法,在该算法中风险值只增不减,所以风险值很容易达到最大值;基于免疫的风险评估方法^[8]在参数如何合理配置的问题上还有待研究,另外该方法计算量较大,在实际网络中进行风险评估的有效性还有待验证;基于攻击模型的评估方法^[9]只能根据模型特征来评估攻击的成功执行概率等因素,不能反映网络攻击与主机安全态势之间的概率关系;TANDI方法^[10]虽然在建立了准确的攻击模型的基础上,能够有效评估攻击的风险,但是其模型的构建需要大量人工干预。相比其他方法,HMM方法具有简单、准确、可配置程度高的优点。