基于隱馬爾可夫模型的網絡安全態勢預測方法

詹雄，郭昊，張錋，毛澍

（全球能源互聯網研究院，北京 102209）

1 引言

隨著各種通信技術尤其短距離通信技術（如Wi-Fi、藍牙等）的快速發展，使得人們對網絡的接入更加廣泛、更加便捷，因此也對人們的生活產生了巨大的影響。網絡生活已經成為人們生活的重要組成部分，因此也帶來了諸如隱私信息泄露、謠言誤導、網絡欺詐、網絡釣魚等各種安全問題。同時，高級持續威脅（APT）攻擊等成為當今網絡主流的攻擊方式，并呈現愈演愈烈的趨勢。云端惡意代碼樣本已從2005年的40萬種增長至目前的60億種，全球惡意代碼樣本數目正以每天可獲取300萬個樣本的速度增長，繼“震網”和“棱鏡門”事件之后，各種網絡漏洞和網絡攻擊層出不窮，例如，“心臟出血”漏洞、Bash漏洞嚴重威脅成千上萬的網絡服務器和網絡基礎設施，軍事、工業、金融等重要領域的信息系統安全面臨嚴峻挑戰[1]。攻擊方式多樣、隱蔽，常常通過各種偽裝、隱藏服務等方式植入客戶端，在用戶不知覺的狀態下實現對網絡服務器、計算機終端、便攜式移動設備等智能設備的資源獲取和控制，進而通過各種非法手段獲取用戶信息、銀行賬戶等，簡單地通過傳統手段（如防火墻、入侵檢測、殺毒軟件等方式）進行網絡保護已經不能滿足用戶的安全需求。

如何開展新的網絡態勢下的安全預防，開展網絡安全態勢預測，實現主動智能的安全防護成為目前的研究熱點，并被廣泛關注。國家計算機網絡應急技術處理協調中心2015年4月30日發布的 《2014年我國互聯網網絡安全態勢報告》數據顯示，中國互聯網安全情況依然嚴峻。以2014年為例，CNCERT通報的漏洞安全相關事件達9 068起，與2013年相比增長3倍[2]。漏洞、惡意程序、仿冒站點等情況如圖1所示。

因此，開展網絡安全態勢預測具有重要意義，網絡安全態勢預測主要是對網絡信息安全相關內容（包括網絡安全行為等）進行網絡狀態分析和評估，智能評判信息安全性和趨向性，給出安全形勢預判。目前，基于免疫理論、神經網絡理論、病毒傳播動力學等理論和技術的網絡態勢預測研究已經取得了一定的成果，包括采用線性回歸的方法、基于神經網絡的態勢預測方法、基于蟻群計算的預測方法等，但這些方法由于建模時間較長，實時效果不明顯，不能實時反映網絡的安全態勢。

本文深入分析網絡安全趨勢預測的特性及運行機理，結合隱馬爾可夫模型（hidden Markov model，HMM）和預測算法[3,4]，研究并設計了網絡安全態勢預測系統，實現了實時預測網絡安全態勢的方法。基于Markov模式的預測系統利用網絡安全態勢評估信息建立網絡安全態勢預測模型，在監測時通過實時數據不斷地對網絡安全影響參數進行動態修正，從而實現網絡安全態勢實時監控與預測。

2 網絡安全態勢預測系統

2.1 系統框架結構設計

圖1 2014年網絡安全事件類型比例

網絡安全態勢預測主要包括兩個方面：態勢和預測。其中，網絡安全態勢是指網絡中各個要素的運行預期狀況，即當前網絡設備狀況、網站內容信息、用戶網上行為等要素，以此態勢為前提，研究其未來發展的狀況。預測主要是基于歷史狀態，總結發展規律，推算未來發展情況。由此可見，態勢預測可以看成屬于人工智能范疇。態勢預測是一個目標逐漸明晰的過程。首先，通過總結態勢規律，建立態勢感知模型；其次，根據態勢基本特性和需求，定義并獲取態勢相關要素；最后，采集要素數據信息，進行數據梳理和清洗后，通過數據方法分析進行態勢理解，進而對某個時間段內的態勢發展進行預測。網絡安全態勢感知預測的主要目標是實現對網絡安全趨勢的短期預測。由于網絡的互動性和隨機性，這個系統是一個動態、實時的智能系統，通常包括數據采集、安全態勢分析、安全態勢感知、安全態勢預測和判定等幾個部分，如圖2所示。

圖2 網絡安全態勢預測系統框架

基于隱馬爾可夫模型的網絡安全態勢系統主要由四大模塊組成。

·歷史安全信息資產庫。為了積累安全資料、加快查詢速度，建立該資產庫用于對已知安全信息特征碼及安全行為特征的存儲和查詢，并進一步學習添加新的規則。

·安全信息采集模塊。該模塊為信息入口，通過建立專用的采集方法，對安全信息進行挖掘，針對可能的內容和行為進行捕捉。

·分析感知模塊。分析模塊主要針對采集模塊信息進行歷史判定，若為歷史發生過的態勢，則直接進入感知模塊；如果在資產庫里面不存在，移交安全態勢感知模塊對該信息進行抽象加工判定，加入資產庫。

·判定預測模塊。該模塊進一步對信息進行判斷，依據相關規則，如果為非安全事件，依據挖掘及分類技術算法進行判定，按正常信息事件處理；否則，通過隱馬爾可夫模型進行態勢預測，依據判定結果進行相關處理。

2.2 態勢感知模型

態勢感知模型是基于層次的感知模型，主要依據美國國防部聯合指揮實驗室 （joint directors of laboratories，JDL）給出的數據融合模型結合實際應用建立的。態勢感知是以態勢分析為基礎，依據態勢分析結果，對已經發生過的和潛在要發生的安全事件進行感知。對于歷史上已經發生過的安全事件，一方面有安全信息存留，因此產生安全態勢；另一方面，該安全事件處于萎縮狀態，發展速度和關切影響已經逐步衰落，其態勢呈現衰減回落狀態。該種態勢判斷只需記錄即可。圖3為典型的安全態勢感知模型[5]。

圖3 典型安全態勢感知模型

在該感知模型中，充分體現了人機交互狀態。整個態勢感知模型被分為了5個級別（階段）[4,5]。

·數據預處理：該級別為可選級別，主要用于前置應用，對非規范化數據進行處理。在本文的模型中，對一些特殊非結構化數據需要進行數據預處理。

· 事件提取：要素信息采集后規范化和有序化，提取事件級別特性，抽象事件。

·態勢評估：是模型的重要組成部分，主要是對數據和事件進行態勢分析并形成分析報告，進而形成網絡綜合態勢圖，包括態勢分析和態勢感知。

·影響評估：是對未來結果的考量，通過將當前態勢映射到未來，對行為的影響進行預測評估，實現具體的預測結果。

·資源管理、過程控制與優化：根據要素標準，對數據和事件進行規則化，對整個態勢發展過程進行實時監控與評價。

2.3 安全態勢預測模型與算法

網絡安全態勢具有隨機性和爆發性，常常與網絡熱點、網絡操作、網絡服務等相互綁定，通過欺詐、偽造、誘導等方式開展攻擊，以取得對未授權的計算機或網絡等資源的控制或竊取。

2.3.1 隱馬爾可夫模型

隱馬爾可夫模型是經典的分析統計模型，用來描述一個含有隱含未知參數的馬爾可夫過程。隱馬爾可夫模型不能直接對對象進行觀察，但是能通過觀測向量序列確定隱含參數。通過隱馬爾可夫模型，可以觀察到每個觀測向量的概率密度分布表現，經過這個測量可以全面了解各個向量狀態。針對網絡安全態勢，參照馬爾可夫經典模型，依據態勢特性，可以建立如下隱馬爾可夫模型[5,6]。

設H為隱馬爾可夫模型下的網絡安全態勢，則有：

其中，S為隱含狀態，可定義為馬爾可夫模型中實際所隱含的狀態。即此狀態為不可直接觀測狀態；O為可直接觀測狀態，通常要與模型中的隱含狀態建立關聯。Γ為初始時刻t=1的概率矩陣；A為模型的隱含狀態轉移概率矩陣，Aij=P(Sj|Si)，（1≤i,j≤N），表示在時間維度t時刻、網絡的安全態勢為Si的條件下，在時間維度t+1時刻網絡安全態勢狀態是Sj的概率。其中，B為可觀測狀態轉移概率矩陣，A、B兩種狀態相互關聯，建立聯系。Bij=P(Oj|Sj)，（1≤i≤M,1≤j≤N），N代表隱含狀態數目，M代表可觀測狀態數目，表示在時間維度為t的時刻、隱含網絡安全態勢狀態是Sj的條件下，觀察狀態為Oi的概率。

2.3.2 安全態勢算法

本文預測算法對隱馬爾可夫模型前向算法進行改進，同時結合最大熵模型[7,8]，將信息安全內容設為可見觀察序列，假定安全級別是不能夠直接被觀察的參數，進行網絡安全態勢預測。

假設隱馬爾可夫模型的狀態空間為：S={Normal，Noise，Attack，Danger}。

可見觀察序列符號集：O={high，normal，low}。

在時間維度為t+1時刻觀察到態勢值為Ot+1。則有：

為了增加隱馬爾可夫模型估算精度，針對在有限知識范圍對未知狀態預測的情況，可采用最大熵模型和原理。選取符合已知假設條件但熵值最大的概率分布，即在已經獲取的資產庫和采集的網絡信息當前態勢的知識庫基礎上，推斷滿足條件的合理分布，建立符合已知知識特性的不確定推斷。結合最大熵理論，定義網絡態勢特性方式表達為二值特征fi(x,y)，其中，x為獲取信息值，y為期望值，E表述為最大熵算法；若fi對模型有用，則構建一個能生成訓練樣本(x,y)的約束模型。

從而最大熵算法提出一致性最大熵值。通過信息采集分析網絡信息安全態勢特性；通過系統態勢分析監護進程對網絡內容和進程進行監控，抽取特征數據和特征進程動作；通過信息采集進行挖掘和聚類分析；通過關聯算法進行識別及動作規則化。安全判定與預測過程如圖4所示。

根據式（1），設ai∈A,bi∈B,Oi∈O,τ∈Γ，I為所有長度為T的狀態序列，I=（i1，i2，…，iT）。 則預測算法如下。

圖4 網絡安全態勢判定與預測

（1）初始值t=1，觀測為a1(i)=τibi(O1),其中i=1,2,…,N。由初始狀態概率矩陣，得出到達每個狀態的概率Pi，然后再由Pi乘以P(O1|Ii),得到由各個狀態產生觀測O1的概率。將計算出的結果放在一個N×T的二維數組M中，a1(i)為第一列的元素。

2.4 算法分析

利用隱馬爾可夫模型，對安全態勢的概率進行計算分析，依據時間調用序列，在具體內容上結合最大熵的算法模型提取最優值，進行安全態勢的規則化和歸一化量化處理。為了增加判定準確度和判斷速度，在信息采集階段進行特征提取，建立規則化數據，在安全態勢發生的初期對網絡攻擊進行捕捉，并獲得其特征，對應調用態勢分析模塊和對比資產庫，并通過網絡數據行為特征和時間特征序列，開展特征性評判。隨著系統的不斷運行，系統通過態勢分析和感知，不斷提取新的安全態勢特征，逐步完善資產庫，提高模型自相似性、高概率、智能化。但是，由于資產庫規模及網絡規模的雙重影響，同時根據判不準定理[7]，基于網絡的交互性及安全態勢不斷動態變化，基于隱馬爾可夫模型的判定概率會逐步提高，在初始時間，概率分析的條件不夠充足，需要不斷學習和訓練。為了提高準確性，可以通過最大熵算法等，對內容的一致性進行判定，并不斷優化判定方法和預測方法，達到準確性比較高的監測預警。

基于隱馬爾可夫模型的網絡安全態勢預測算法具有較好的性能，以獲取的網絡安全態勢樣本為基礎，進行實驗運行測試表明，該預測算法可以有效判定和預測網絡安全態勢。尤其針對網絡相關內容規則化后，可以大大提高檢測的速度和準確度。

3 結束語

本文根據網絡安全態勢特性，依據隱馬爾可夫模型，建立面向網絡內容和網絡行為的實時、智能的網絡安全態勢預測模型。同時優化判定和預測算法，建立資產庫。該模型在獲取當前網絡安全態勢信息基礎上，開展基于隱馬爾可夫模型的網絡安全態勢評估，根據概率統計原理，分析不同時間維度下不同攻擊下系統的威脅值。根據t時刻的網絡安全態勢計算出t+1時刻的態勢，同時結合最大熵算法，對態勢進行一致性判定，提高了預測準確率，對網絡安全態勢進行精準預測。通過實驗樣本的測試運行，進一步表明該方法具有自主學習及主動防御特征，有效地平衡了速度和準確度要求，能夠高效、實時地進行網絡安全態勢預測。

[1]中國互聯網協會,國家互聯網應急中心.中國互聯網站發展狀況及其安全報告 （2015年）[EB/OL].[2015-03-20].http://www.cac.gov.cn/2015-03/20/c_1114714197.htm.

Internet Society of China,CNCERT/CC.The development status of Chinese website and safety report(2015) [EB/OL].[2015-03-20].http://www.cac.gov.cn/2015-03/20/c_1114714197.htm.

[2]國家計算機網絡應急技術處理協調中心.2014年我國互聯網網絡安全態勢報告[EB/OL].[2015-05-12].http://www.cert.org.cn/publish/main/upload/File/2014%20secirity%20situation%20 report.pdf.

The National Computer Network Emergency Response Technical Team/Coordination CenterofChina.2014 China internet network security situation report[EB/OL].[2015-05-12].http://www.cert.org.cn/publish/main/upload/File/2014%20secirity%20 situation%20report.pdf.

[3]黃同慶,莊毅.一種實時網絡安全態勢預測方法[J].小型微型計算機系統,2014,35(2):303-306.

HUANG T Q,ZHUANG Y.An approach to real-time network security situation prediction[J].Journal of Chinese Computer Systems,2014,35(2):303-306.

[4]ARNES A,VALEUR F,VIGNA G,et al.Using hidden Markov modelstoevaluatetherisk ofintrusions [C]//The9th InternationalSymposium on RecentAdvancesin Intrusion Detection,September 20-22,2006,Hamburg,Germany.[S.l:s.n.],2006:145-164.

[5]葉蓬.網絡安全態勢感知在安全管理平臺中的應用研究[J].信息網絡安全,2010(4):51-54.

YE P.Network security situation awareness in the role of security operations center[J].Network Information Security.2010(4):51-54.

[6]SNIDARO L,VISENTINI I,BRYAN K.Fusinguncertain knowledge and evidence for maritime situational awareness via Markov logicnetworks [J].Information Fusion,2015(21):159-172.

[7]何鴻君,羅莉,董黎明,等.廣義病毒的形式化定義及識別算法[J].計算機學報,2010,33(3):562-568.

HE H J,LUO L,DONG L M,et al.Formal definition of generalized virus and its identifying algorithm [J].Chinese Journal of Computers,2010,33(3):562-568.