4.4　本章小结

本章我们用隐半马尔可夫模型来模拟网络系统的实际运行,以网络防御系统捕获的报警数据作为研究数据源,用HSMM建模实现对网络安全态势的评估。因为实际收集到的观测数据可能在同一个状态上发生无规律的驻留,这也是HMM模型无法精确描述的。HSMM修改了HMM模型关于系统在某个状态的驻留时间服从指数分布的假定,更适合于描述网络系统运行的实际情况。我们针对系统驻留时间的不同概率分布情况,分别选取了对数分布、负二项分布、几何分布和泊松分布进行了实验测试。其中系统状态驻留时间呈泊松分布时的安全态势评估结果它反映了网络攻击的真实情况,黑客发起攻击前先进行探测,经过一段时间的休战,再进行攻击尝试,在黑客的持续攻击下,系统被攻破,实验结果与实际观测结果相吻合。

同时,结合HSMM的前向-后向算法,给出了部分观测条件下的HSMM系统状态预测算法,将其应用于Honeynet网络安全态势评估中,得到了较好的评估效果。实验结果表明,由于HSMM可以对系统状态的驻留时间进行建模,非常适合于攻击情况复杂多变的网络系统的安全评估。

【注释】

[1]Huang X D.Phoneme Classification Using Semicontinuous Hidden Markov Models[J].IEEE　Trans.SP,1992,40(5):1062-1067.

[2]Huang X D,Jack M A.Unified Modeling of Vector Quantization and Hidden Markov Model　Using Semi-Continuous Hideden Morkov models[C].Proceedings of the ICASSP 1989,1989:639-642.

[3]姚天任.数字信号处理[M].武汉:华中理工大学出版社,1991:316-346.

[4]Shun-Zheng Yu.Hidden Semi-Markov Models[J].Artificial Intelligence,2010(174):215-243.

[5]S.E.Levinson.Continuously Variable Duration Hidden Markov Models for Automatic Speech Recognition[J].Computer Speech and Language,1986(1):29-45.

[6]Keiichiro Oura,Heiga Zen,Yoshihiko Nankaku,Akinobu Lee,Keiichi Tokuda.Hidden　Semi-Markov Models Based Speech Recognition System Using Weighted Finite-State Transducer[C].Proceedings of the ICASSP 2006,2006(1):33-36.

[7]Kevin P.Murphy.Hidden Semi-Markov Models(HSMM)[DB/OL].www.ai.mit.edu/～murphyk.2002.

[8]M.T.Johnson,Capacity and Complexity of HMM Duration Modeling Techniques[J].IEEE Signal Processing Letters,2005,12:407-410.