本發(fā)明公開了一種基于I?HMM的網(wǎng)絡(luò)安全風(fēng)險評估方法，以主機的安全狀態(tài)為狀態(tài)空間，以警報信息為觀測向量，使用隱馬爾科夫模型HMM對網(wǎng)絡(luò)系統(tǒng)中主機的安全風(fēng)險狀態(tài)進行建模；利用歷史警報信息對HMM模型進行訓(xùn)練；針對每個主機，將該主機當(dāng)前周期的警報信息代入訓(xùn)練好的HMM模型，獲得當(dāng)前主機處于各安全狀態(tài)的概率值，進而得到主機的直接風(fēng)險；對網(wǎng)絡(luò)系統(tǒng)中各個主機的關(guān)聯(lián)關(guān)系進行量化，得到間接風(fēng)險；綜合主機的直接風(fēng)險和間接風(fēng)險，得到主機的風(fēng)險值；最后利用網(wǎng)絡(luò)中所有主機的風(fēng)險值和主機相對重要性，獲得整個網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險值。本發(fā)明能夠在所需數(shù)據(jù)量不大的情況下，能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)安全風(fēng)險狀況的評估。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種基于改進的隱形馬爾可夫模型(I-HMM)的網(wǎng)絡(luò)安全風(fēng)險評估方法。

背景技術(shù)

網(wǎng)絡(luò)安全風(fēng)險評估作為針對網(wǎng)絡(luò)安全問題主動防護的一種安全手段，隨著計算機網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)信息系統(tǒng)存在的安全漏洞和隱患層出不窮，面臨的攻擊種類和數(shù)量也成倍增長。在此背景下研究網(wǎng)絡(luò)安全風(fēng)險的量化評估具有重要的意義。

近年來，網(wǎng)絡(luò)安全風(fēng)險評估的方法逐漸從定性、局部的分析向綜合、整體的分析方向發(fā)展。目前大多數(shù)的網(wǎng)絡(luò)安全風(fēng)險評估方法多是包含了定性評估，主要通過一些定性的數(shù)據(jù)，比如依據(jù)評估人員的專業(yè)知識、行業(yè)經(jīng)驗，系統(tǒng)的歷史信息等資料。獲取了非量化的信息后采取專家判斷，理論推導(dǎo)等分析方法，得出評估的結(jié)論。定性評估方法通常依賴專家的既有知識和經(jīng)驗等非量化因素，具有簡單直觀，操作方便的優(yōu)點，但也存在著過分依賴評估者的主觀性、評估結(jié)果不直觀、評估周期較長等不足。

而對已有的定量評估研究方案，能得到一個量化的結(jié)果，獲得風(fēng)險的數(shù)值表示。將風(fēng)險發(fā)生的概率、風(fēng)險造成危害等量化成數(shù)值。定量評估方法運用數(shù)量指標(biāo)對網(wǎng)絡(luò)系統(tǒng)的安全性進行評估，利用直觀的數(shù)據(jù)表示評估結(jié)果，相較定性評估方法而言更加客觀準確。但由于評估過程中不確定信息存在，可能使一些信息簡單化、模糊化。

閆峰在基于攻擊圖的網(wǎng)絡(luò)安全風(fēng)險評估技術(shù)研究中(吉林大學(xué),2014)，將攻擊圖技術(shù)引入到網(wǎng)絡(luò)安全風(fēng)險評估中，通過使用攻擊圖技術(shù)，可以描述攻擊者在入侵目標(biāo)網(wǎng)絡(luò)時的攻擊場景，在攻擊圖基礎(chǔ)上進行網(wǎng)絡(luò)的安全風(fēng)險評估并尋找最小代價防御加固措施。其提出基于貝葉斯網(wǎng)絡(luò)的準確概率計算方法，解決攻擊圖中各節(jié)點間互相依賴，準確的計算了各節(jié)點的發(fā)生概率。但是該方法依賴先驗概率的獲取，并且不適合在大規(guī)模網(wǎng)絡(luò)環(huán)境中使用。

謝麗霞在基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢感知中(清華大學(xué)學(xué)報(自然科學(xué)版),2013(12):1750-1760)提出了一種基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢感知方法，但是由于神經(jīng)網(wǎng)絡(luò)算法本身的一些特性，需要巨大的樣本數(shù)據(jù)進行訓(xùn)練，而且該方案只對本機進行了絡(luò)安全風(fēng)險狀況的描述，而對網(wǎng)絡(luò)的安全風(fēng)險狀況的可解釋性較差。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提供了一種基于I-HMM的網(wǎng)絡(luò)安全風(fēng)險評估方法，在所需數(shù)據(jù)量不大的情況下，能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)安全風(fēng)險狀況的評估。

為了解決上述技術(shù)問題，本發(fā)明是這樣實現(xiàn)的：

一種基于改進的隱形馬爾可夫模型(I-HMM)的網(wǎng)絡(luò)安全風(fēng)險評估方法，包括：

步驟一、以主機的安全狀態(tài)為狀態(tài)空間，以警報信息為觀測向量，使用隱馬爾科夫模型HMM對網(wǎng)絡(luò)系統(tǒng)中主機的安全風(fēng)險狀態(tài)進行建模；以警報信息為觀測向量為：針對主機h，以每個采集周期中警報質(zhì)量最高的警報信息作為觀測向量vh；

步驟二、利用歷史警報信息對HMM模型進行訓(xùn)練；針對網(wǎng)絡(luò)中每個主機，將該主機當(dāng)前周期的警報信息代入訓(xùn)練好的HMM模型，獲得當(dāng)前主機處于各安全狀態(tài)的概率值，進而得到主機的直接風(fēng)險；

步驟三、對網(wǎng)絡(luò)系統(tǒng)中各個主機的關(guān)聯(lián)關(guān)系進行量化，得到主機受其他節(jié)點影響的間接風(fēng)險；

步驟四、綜合主機的直接風(fēng)險和間接風(fēng)險，得到主機的風(fēng)險值；