基于網絡安全態勢評估方法隱馬爾可夫模型優化

羅智彬

（重慶巽諾科技有限公司 重慶市 402160）

專網安全態勢評估中定義為隱含狀態序列的專網安全狀態轉移過程，時序提取的態勢將按照要素定義為觀測序列，網絡安全狀態變化過程就被模型化為隱馬爾可夫過程，利用模型獲取網絡安全態勢，觀測序列和隱含狀態序列訓練HMM 模型。文獻[1]韓曉露等人提出了網絡安全態勢評估方法，一種大數據環境下基于直覺模糊集。采用直覺模糊綜合評估方法評估網絡安全態勢，構建可量化的指標體系。文獻[2]呂國等人提出安全態勢量化評估方法，一種無線網絡通信數據，解決存在信息單一化及局限性問題的安全態勢量化評估方法，求解得出網絡中每個單獨節點的安全態勢。文獻[3]王豐等人提出了一種基于云理論和可拓學的評估方法，構建C4ISR 網絡安全態勢的綜合評估。文獻[4]楊宏宇等人提出網絡安全威脅態勢評估方法，一種基于無監督生成推理網絡安全威脅態勢進行評估，結合威脅影響度計算威脅態勢值，使用包含異常網絡流量的測試數據集進行分組威脅測試。文獻[5]張玉臣等人提出了一種基于深度自動編碼網絡的態勢評估方法，確定網絡各層參數及權值的范圍空間，利用無標簽數據采用無監督逐層算法對網絡進行預訓練，結合專家經驗和層次化評估的方法訓練深度自編碼網絡。文獻[6]楊宏宇提出一種深度學習的網絡安全態勢評估方法，確定每種攻擊的影響得分并計算網絡安全態勢值，設計了欠過采樣加權算法；最后進行模型測試并計算攻擊概率，建立深度自編碼模型。

因此，本文針對隱馬爾科夫模型的態勢評估方法優化研究，解決傳統模型參數優化問題，使態勢評估模型更加準確，能準確量化專網安全態勢。

1 網絡安全態勢評估方法隱馬爾可夫模型優化

通過網絡攻擊指數的聚合方式，完成網絡攻擊指數的聚合。根據專網系統應用區確定HMM 參數，將其與權值向量C(i)相結合，網絡在t 時刻處于安全狀態qt的概率γt(i)，獲取的觀測向量0t能夠計算某個特定時間周期內專網系統應用區，那么任意t 時刻網絡攻擊指數狀態值Vt為：

公式（1）中n 代表網絡安全狀態數目，C(i)代表狀態qt相對應的權值，γt(i)代表t 時刻網絡處于狀態0t的概率。完成整個專網安全態勢評估，繼續通過公式（1）完成綜合指數的聚合，網絡安全指標態勢，得到網絡安全指標風險指數的狀態值，網絡攻擊指數安全風險指數的聚合，得到網絡攻擊指數狀態值，網絡安全態勢評估方法隱馬爾可夫模型優化如圖1所示。

圖1中準確性取決于模型的初始參數，網絡安全態勢評估方法隱馬爾可夫模型優化解決了模型評估的準確性不高，難以獲取模型最優參數，優化了初始參數的獲取。

2 實驗驗證與結果分析

2.1 實驗數據

通過專網數據集模擬進行驗證，前端接入區區域內實驗中攻擊場景發生在視頻專網。侵入視頻專網開始時間為18：10：39、結束時間為20：10：39。非授權人員將前端攝像頭（攝像機2）替換為自己的終端，視頻專網系統應用區實驗中攻擊場景2 發生在區域內，非授權人員成功操控終端設備，對終端設備發起攻擊，數據集網絡拓撲結構如圖2所示。

第一步，開始時間為18：10：39、結束時間為18：32：15，掃描系統應用區在線終端設備通過網絡中的IP 地址來嘗試發現。

第二步，開始時間為18：47：32、結束時間為18：58：11，發現開啟了sad mind 服務的終端設備，嗅探所有在線終端設備。

第三步，開始時間為19：13：31、結束時間為19：15：41，獲得終端設備的代碼執行權限，終端設備（PC1、PC2 和PC3）發動緩沖區溢出攻擊，利用Sad mind Buffer Overflow 漏洞對已經運行了sad mind 服務。

第四步，開始時間為19：30：21、結束時間為19：31:：54，PC1、PC2 和PC3 獲得代碼執行權限的主機上安裝木馬程序。

第五步，開始時間為20：06：25、結束時間為20：14：13，遠程操控安裝了木馬程序的主機。

2.2 實驗方法

通過網絡安全態勢綜合指數對優化模型進行分析，各級指標、權值的計算方法一致，實驗方法步驟如下。

2.2.1 構建判別矩陣

優化模型網絡安全態勢綜合指數層判別矩陣如表1所示。

2.2.2 歸一化處理后的特征

將特征向量進行歸一化，計算對應的特征向量及最大特征根。歸一化處理后的特征向量為：

最大特征根為λ1=5.0386。

2.2.3 一致性檢驗

隨機一致性比率為CR=0.0086<0.1，通過一致性檢驗。一致性指標為CI=0.0097，網絡安全態勢綜合指數下的二級指標權重值如表2所示。

表2中漏洞狀態指數與網絡攻擊指數有具體聚合方式，確定專網安全態勢指標體系中其它指標的權重。

2.3 結果分析

t=0-12 時，使用網絡安全態勢評估方法隱馬爾可夫模型優化網絡攻擊指數狀態值較低。t=12-18 時，符合專網系統應用區網絡處于刺探、攻擊狀態，網絡攻擊指數狀態值增加。t=19 時符合專網系統應用區網絡受到攻擊后被入侵的事實情況，專網系統應用區網絡狀態異常，出現波峰。模型優化網絡安全態勢綜合指數如圖3所示。

圖3中網絡安全態勢的量化更為合理，生成的網絡攻擊指數狀態值與攻擊場景的描述符合程度更高，使模型更加準確的采用優化后模型算法參數，綜合指數數值得到專網的網絡安全態勢。量化描述整個專網安全級別t=0-3 時為優，綜合指數t=4 時，相符專網前端接入區，突然升高網絡安全態勢，設備替換發生事件的場景，安全級別t=4-18 為中的整個專網，受到攻擊后被入侵的場景相符t=19 時出現小波峰專網系統應用區區域內終端設備，整個專網安全級別處于差，評估整體網絡安全態勢情況模型優化網絡安全態勢評估方法較為準確。

3 結論

網絡安全態勢評估方法方面得到整個專網安全態勢量化分析結果，將各級指標量化值與風險計算權值，結合層次分析法得到權值風險，綜合考慮專網中的所有風險，使態勢評估模型更加準確，解決了算法易陷入局部最優解的問題，將傳統模型參數優化提出隱馬爾科夫模型的態勢評估方法。準確量化專網安全態勢，優化的方法生成的網絡安全態勢綜合指數數值變化趨勢符合實驗事實情況，網絡安全態勢評估方法的有效性采用模擬專網數據集驗證。

因此，本文通過優化模型實現了網絡安全態勢要素提取與評估，構建了一套專網安全態勢指標體系。但由于指標體系構建時受主觀因素的影響，網絡安全態勢評估指標體系方面可能存在不同的人從不同的立場或角度去看有不同看法的情況。網絡安全態勢評估方面設置模型初始參數是未來繼續深入研究的工作方向，更加合理、準確地獲取觀測序列。

表1：優化模型網絡安全態勢綜合指數層判別矩陣

表2：網絡安全態勢綜合指數下的二級指標權重值