5.3.2　HoneyNet数据集中的随机博弈安全态势元素

5.3.2　HoneyNet数据集中的随机博弈安全态势元素

下面以HoneyNet数据集中的网络服务为例,对网络安全态势中各元素进行描述。

(1)系统的安全状态。设网络中运行着三类网络服务,网络设备在t时刻的状态集可以表示为St＝{Sftp,Srpc,Swww,Sattacker},对于X∈{ftp,www,rpc},有Sx＝{normal,probed,attacked,compromised}表示每一个网络服务的状态值。为统一起见,将攻击方的状态也包含进来,记为:Sattacker＝{detect,undetected}。

(2)攻防双方的行动集合。攻击方的行动集针对不同的网络服务可能多种多样,为简化起见,我们统一表示为:A1＝{attack ithservice,∅},i表示网络中的第i类服务,即指ftp、www和rpc。∅表示暂时不进行攻击。

防御方的行动方案有:重启服务、杀病毒、安全补丁安装、可疑账号删除等,当然攻防双方的行动集数量较多,为简化起见,我们仅将其简化为阻止攻击和不采取任何措施两种行动,记为:A2＝{Defend,∅}。

(3)安全状态转移概率。可以依据专家的意见或网络安全管理员的经验确定,如:可以将网络中的RPC服务从被攻击到被攻破的概率定义为0.5,记:Pr(RPC＿attacked｜RPC＿compromised)＝0.5。为减少人为因素对实验结果的影响,我们可以通过训练HMM模型,从而得到的状态转移概率分布矩阵。例如RPC服务的安全状态转移概率分布如表5.4所示。

表5.4　RPC服务的安全状态转移概率分布

实验中其他参数设置如表5.5所示。

表5.5　HoneyNet实验参数