基于网络安全态势评估方法隐马尔可夫模型优化

罗智彬

（重庆巽诺科技有限公司 重庆市 402160）

专网安全态势评估中定义为隐含状态序列的专网安全状态转移过程，时序提取的态势将按照要素定义为观测序列，网络安全状态变化过程就被模型化为隐马尔可夫过程，利用模型获取网络安全态势，观测序列和隐含状态序列训练HMM 模型。文献[1]韩晓露等人提出了网络安全态势评估方法，一种大数据环境下基于直觉模糊集。采用直觉模糊综合评估方法评估网络安全态势，构建可量化的指标体系。文献[2]吕国等人提出安全态势量化评估方法，一种无线网络通信数据，解决存在信息单一化及局限性问题的安全态势量化评估方法，求解得出网络中每个单独节点的安全态势。文献[3]王丰等人提出了一种基于云理论和可拓学的评估方法，构建C4ISR 网络安全态势的综合评估。文献[4]杨宏宇等人提出网络安全威胁态势评估方法，一种基于无监督生成推理网络安全威胁态势进行评估，结合威胁影响度计算威胁态势值，使用包含异常网络流量的测试数据集进行分组威胁测试。文献[5]张玉臣等人提出了一种基于深度自动编码网络的态势评估方法，确定网络各层参数及权值的范围空间，利用无标签数据采用无监督逐层算法对网络进行预训练，结合专家经验和层次化评估的方法训练深度自编码网络。文献[6]杨宏宇提出一种深度学习的网络安全态势评估方法，确定每种攻击的影响得分并计算网络安全态势值，设计了欠过采样加权算法；最后进行模型测试并计算攻击概率，建立深度自编码模型。

因此，本文针对隐马尔科夫模型的态势评估方法优化研究，解决传统模型参数优化问题，使态势评估模型更加准确，能准确量化专网安全态势。

1 网络安全态势评估方法隐马尔可夫模型优化

通过网络攻击指数的聚合方式，完成网络攻击指数的聚合。根据专网系统应用区确定HMM 参数，将其与权值向量C(i)相结合，网络在t 时刻处于安全状态qt的概率γt(i)，获取的观测向量0t能够计算某个特定时间周期内专网系统应用区，那么任意t 时刻网络攻击指数状态值Vt为：

公式（1）中n 代表网络安全状态数目，C(i)代表状态qt相对应的权值，γt(i)代表t 时刻网络处于状态0t的概率。完成整个专网安全态势评估，继续通过公式（1）完成综合指数的聚合，网络安全指标态势，得到网络安全指标风险指数的状态值，网络攻击指数安全风险指数的聚合，得到网络攻击指数状态值，网络安全态势评估方法隐马尔可夫模型优化如图1所示。

图1中准确性取决于模型的初始参数，网络安全态势评估方法隐马尔可夫模型优化解决了模型评估的准确性不高，难以获取模型最优参数，优化了初始参数的获取。

2 实验验证与结果分析

2.1 实验数据

通过专网数据集模拟进行验证，前端接入区区域内实验中攻击场景发生在视频专网。侵入视频专网开始时间为18：10：39、结束时间为20：10：39。非授权人员将前端摄像头（摄像机2）替换为自己的终端，视频专网系统应用区实验中攻击场景2 发生在区域内，非授权人员成功操控终端设备，对终端设备发起攻击，数据集网络拓扑结构如图2所示。

第一步，开始时间为18：10：39、结束时间为18：32：15，扫描系统应用区在线终端设备通过网络中的IP 地址来尝试发现。

第二步，开始时间为18：47：32、结束时间为18：58：11，发现开启了sad mind 服务的终端设备，嗅探所有在线终端设备。

第三步，开始时间为19：13：31、结束时间为19：15：41，获得终端设备的代码执行权限，终端设备（PC1、PC2 和PC3）发动缓冲区溢出攻击，利用Sad mind Buffer Overflow 漏洞对已经运行了sad mind 服务。

第四步，开始时间为19：30：21、结束时间为19：31:：54，PC1、PC2 和PC3 获得代码执行权限的主机上安装木马程序。

第五步，开始时间为20：06：25、结束时间为20：14：13，远程操控安装了木马程序的主机。

2.2 实验方法

通过网络安全态势综合指数对优化模型进行分析，各级指标、权值的计算方法一致，实验方法步骤如下。

2.2.1 构建判别矩阵

优化模型网络安全态势综合指数层判别矩阵如表1所示。

2.2.2 归一化处理后的特征

将特征向量进行归一化，计算对应的特征向量及最大特征根。归一化处理后的特征向量为：

最大特征根为λ1=5.0386。

2.2.3 一致性检验

随机一致性比率为CR=0.0086<0.1，通过一致性检验。一致性指标为CI=0.0097，网络安全态势综合指数下的二级指标权重值如表2所示。

表2中漏洞状态指数与网络攻击指数有具体聚合方式，确定专网安全态势指标体系中其它指标的权重。

2.3 结果分析

t=0-12 时，使用网络安全态势评估方法隐马尔可夫模型优化网络攻击指数状态值较低。t=12-18 时，符合专网系统应用区网络处于刺探、攻击状态，网络攻击指数状态值增加。t=19 时符合专网系统应用区网络受到攻击后被入侵的事实情况，专网系统应用区网络状态异常，出现波峰。模型优化网络安全态势综合指数如图3所示。

图3中网络安全态势的量化更为合理，生成的网络攻击指数状态值与攻击场景的描述符合程度更高，使模型更加准确的采用优化后模型算法参数，综合指数数值得到专网的网络安全态势。量化描述整个专网安全级别t=0-3 时为优，综合指数t=4 时，相符专网前端接入区，突然升高网络安全态势，设备替换发生事件的场景，安全级别t=4-18 为中的整个专网，受到攻击后被入侵的场景相符t=19 时出现小波峰专网系统应用区区域内终端设备，整个专网安全级别处于差，评估整体网络安全态势情况模型优化网络安全态势评估方法较为准确。

3 结论

网络安全态势评估方法方面得到整个专网安全态势量化分析结果，将各级指标量化值与风险计算权值，结合层次分析法得到权值风险，综合考虑专网中的所有风险，使态势评估模型更加准确，解决了算法易陷入局部最优解的问题，将传统模型参数优化提出隐马尔科夫模型的态势评估方法。准确量化专网安全态势，优化的方法生成的网络安全态势综合指数数值变化趋势符合实验事实情况，网络安全态势评估方法的有效性采用模拟专网数据集验证。

因此，本文通过优化模型实现了网络安全态势要素提取与评估，构建了一套专网安全态势指标体系。但由于指标体系构建时受主观因素的影响，网络安全态势评估指标体系方面可能存在不同的人从不同的立场或角度去看有不同看法的情况。网络安全态势评估方面设置模型初始参数是未来继续深入研究的工作方向，更加合理、准确地获取观测序列。

表1：优化模型网络安全态势综合指数层判别矩阵

表2：网络安全态势综合指数下的二级指标权重值