第4章　基于隐半马尔可夫模型的网络安全态势评估

我们在第3章讨论了隐马尔可夫模型在网络安全态势评估中的应用。实验结果表明,HMM模型能够有效地对网络系统的安全状态进行定量评估。由于网络风险评估的复杂性,对于HMM参数的训练需要使用大量的数据,以提高模型的泛化能力和计算精度。另一方面,首先从网络攻击中获得的数据并不完备,特别是各个数据之间往往存在必然的联系,并不完全满足纯HMM随机假设;其次,可以收集到的观测数据可能在同一个状态上发生无规律的驻留,这也是HMM模型无法精确描述的。

本章我们考虑用隐半马尔可夫模型来模拟网络系统的实际运行,以网络防御系统捕获的报警数据作为研究数据源,用HSMM建模实现对网络安全态势的评估。HSMM是HMM的一种扩展模型,它是在已定义的HMM的结构中加入了时间组成部分。与HMM相比,HSMM具有两大优点:(1)HSMM克服了因马尔可夫链的假设造成HMM建模所具有的局限性,在解决现实问题中,HSMM展现了更强的建模能力和分析能力,因此,HSMM改进了识别能力,具有更好的识别精度;(2)HSMM可以直接进行预测。因此HSMM与HMM相比,更适合于网络安全态势评估与预测。

本章首先详细介绍了HSMM的定义和基本算法,然后给出了HSMM在实际应用中所面临的问题并提出了相应的解决方案,最后重点研究了基于HSMM的网络安全态势评估方法。