3.4 本章小结
本章将网络或者主机系统的安全状态、入侵报警事件分别与HMM的状态和观察符号相对应,给出了一种新颖的基于HMM的网络风险评估模型;该模型通过关联分析入侵检测系统产生的报警序列,计算各个主机的风险指数,进而对整个网络系统的风险状态进行定量评价。网络风险指数的计算方法简单,速度快。而且模型中处理的报警事件序列采用入侵检测交换协议的IDMEF标准格式,为模型与其他安全系统的联动奠定了基础。实验结果表明,该模型能够有效、准确地对网络系统的安全状态进行定量评估。由于网络风险评估的复杂性,本章基于对有限规模数据的分析给出了HMM的参数,具有一定的局限性,还需要使用大量的数据对HMM进行训练,以提高模型的泛化能力和计算精度。另一方面实验中没有考虑主机间的依赖关系,若能够考虑到这种关系,不但可以更加清晰地掌握网络风险,而且容易建立相关报警事件之间的影响度。
【注释】
[1]L.E.Baum,Petrie,T.Statistical Inference for Probabilistic Functions of Finite State Markov Chains[J].Ann.Math.Stat,1966(37):1554-1563.
[2]张响亮,王伟,管晓宏.基于隐马尔可夫模型的程序行为异常检测[J].西安交通大学学报,30(10):1054-1059.
[3]谭小彬,王卫平,奚宏生,殷保群.计算机系统入侵检测的隐马尔可夫模型[J].计算机研究与发展,2003,40(2):245-250.
[4]Haslum Kjetil,Arnes Andre.Multisensor Real-Time Risk Assessment Using Continuous-Time Hidden Markov Models[C].Proceedings of the International Conference on Computational Intelligence and Security,GuangZhou,China,2006:694-703.
[5]李伟明,雷杰,董静,李之棠.一种优化的实时网络安全风险量化方法[J].计算机学报,2009,32(4):793-804.
[6]谢锦辉.隐Markov模型(HMM)及其在语音处理中的应用[M].武汉:华中理工大学出版社,1995:130-143.
[7]陈秀真,郑庆华,管晓宏,林晨光.层次化网络安全威胁态势量化评估方法[J].软件学报,2006,17(4):885-897.
[8]Jonsson,E.,Olovsson,T.A Quantitative Model of the Security Intrusion Process Based on Attacker Behavior[J].IEEE Transactions on Software Engineering,1997,23(4):235-245.
[9]Mehta,V.,Bartzis,C.,Zhu,H.,Clarke,E.,et al.Ranking Attack Graphs[C]. Proceedings of the International Symposium on the Recent Advances in Intrusion Detection(RAID 2006),Springer-Verlag,2006:127-144.
[10]Holsopplea,J.,Yanga,S.J.,Suditb,M.TANDI:Threat Assessment of Network Data and Information[C].Proceedings of the SPIE 2006,2006(6242):114-129.