CN109117641A

CN109117641A - 一种基于i-hmm的网络安全风险评估方法

Info

Publication number: CN109117641A
Application number: CN201810930641.5A
Authority: CN
Inventors: 胡昌振; 胡晶晶; 刘辰; 王策; 闫怀志; 赵小林; 单纯; 薛静锋
Original assignee: Beijing Institute of Technology BIT
Current assignee: Beijing Institute of Technology BIT
Priority date: 2018-08-15
Filing date: 2018-08-15
Publication date: 2019-01-01

Abstract

本发明公开了一种基于I‑HMM的网络安全风险评估方法，以主机的安全状态为状态空间，以警报信息为观测向量，使用隐马尔科夫模型HMM对网络系统中主机的安全风险状态进行建模；利用历史警报信息对HMM模型进行训练；针对每个主机，将该主机当前周期的警报信息代入训练好的HMM模型，获得当前主机处于各安全状态的概率值，进而得到主机的直接风险；对网络系统中各个主机的关联关系进行量化，得到间接风险；综合主机的直接风险和间接风险，得到主机的风险值；最后利用网络中所有主机的风险值和主机相对重要性，获得整个网络系统的安全风险值。本发明能够在所需数据量不大的情况下，能够实现对网络安全风险状况的评估。

Description

一种基于I-HMM的网络安全风险评估方法

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于改进的隐形马尔可夫模型(I-HMM)的网络安全风险评估方法。

背景技术

网络安全风险评估作为针对网络安全问题主动防护的一种安全手段，随着计算机网络的发展，网络信息系统存在的安全漏洞和隐患层出不穷，面临的攻击种类和数量也成倍增长。在此背景下研究网络安全风险的量化评估具有重要的意义。

近年来，网络安全风险评估的方法逐渐从定性、局部的分析向综合、整体的分析方向发展。目前大多数的网络安全风险评估方法多是包含了定性评估，主要通过一些定性的数据，比如依据评估人员的专业知识、行业经验，系统的历史信息等资料。获取了非量化的信息后采取专家判断，理论推导等分析方法，得出评估的结论。定性评估方法通常依赖专家的既有知识和经验等非量化因素，具有简单直观，操作方便的优点，但也存在着过分依赖评估者的主观性、评估结果不直观、评估周期较长等不足。

而对已有的定量评估研究方案，能得到一个量化的结果，获得风险的数值表示。将风险发生的概率、风险造成危害等量化成数值。定量评估方法运用数量指标对网络系统的安全性进行评估，利用直观的数据表示评估结果，相较定性评估方法而言更加客观准确。但由于评估过程中不确定信息存在，可能使一些信息简单化、模糊化。

闫峰在基于攻击图的网络安全风险评估技术研究中(吉林大学,2014)，将攻击图技术引入到网络安全风险评估中，通过使用攻击图技术，可以描述攻击者在入侵目标网络时的攻击场景，在攻击图基础上进行网络的安全风险评估并寻找最小代价防御加固措施。其提出基于贝叶斯网络的准确概率计算方法，解决攻击图中各节点间互相依赖，准确的计算了各节点的发生概率。但是该方法依赖先验概率的获取，并且不适合在大规模网络环境中使用。

谢丽霞在基于神经网络的网络安全态势感知中(清华大学学报(自然科学版),2013(12):1750-1760)提出了一种基于神经网络的网络安全态势感知方法，但是由于神经网络算法本身的一些特性，需要巨大的样本数据进行训练，而且该方案只对本机进行了络安全风险状况的描述，而对网络的安全风险状况的可解释性较差。

发明内容

有鉴于此，本发明提供了一种基于I-HMM的网络安全风险评估方法，在所需数据量不大的情况下，能够实现对网络安全风险状况的评估。

为了解决上述技术问题，本发明是这样实现的：

一种基于改进的隐形马尔可夫模型(I-HMM)的网络安全风险评估方法，包括：

步骤一、以主机的安全状态为状态空间，以警报信息为观测向量，使用隐马尔科夫模型HMM对网络系统中主机的安全风险状态进行建模；以警报信息为观测向量为：针对主机h，以每个采集周期中警报质量最高的警报信息作为观测向量vh；

步骤二、利用历史警报信息对HMM模型进行训练；针对网络中每个主机，将该主机当前周期的警报信息代入训练好的HMM模型，获得当前主机处于各安全状态的概率值，进而得到主机的直接风险；

步骤三、对网络系统中各个主机的关联关系进行量化，得到主机受其他节点影响的间接风险；

步骤四、综合主机的直接风险和间接风险，得到主机的风险值；

步骤五、利用网络中所有主机的风险值和主机相对重要性，获得整个网络系统的安全风险值。

其中，采用HMM模型进行建模为：

HMM模型由五元组λ构成，λ＝{S,V,T,O,π}，其中：

S为主机的安全状态集合空间；所述安全状态包括四种，分别是安全、探测、入侵、攻陷；

V是观测向量集合空间；

T是状态转移矩阵，描述主机从一个安全状态转移到另一个状态的转移的概率；

O为观测向量的概率分布矩阵，表示在某时刻，主机处于某一安全状态为Si并且此时观测到的警报信息为vk的概率；

π为初始状态概率分布矩阵，表示在最开始的时刻，主机处在安全状态Si的概率。

优选地，所述警报质量由警报信息的出现频次、关键程度和严重程度决定；

所述出现频次AF为当前报警信息在当前周期中出现的频次；

所述关键程度AC反映安全状态发生转变可能性的大小；

所述严重程度AS为表示报警的攻击事件对系统安全状态的影响程度。

优选地，确定警报质量的方式为：

确定出现频次AF＝与当前警报信息属于同类型的警报信息在当前周期内出现的数量除以当前周期内全部警报信息的数量；

确定关键程度AC为：根据警报信息的出现节点，分为三种情况，分别为在当前采集周期中出现过、在之前的z个采集周期内出现过、在之前的z个采集周期内都没有出现过，这三类情况分别对应一个AC值，且逐渐递增；z为大于或等于2的整数；

确定严重程度AS为：根据攻击对主机资产的关键程度Asset和Snort软件检测到的事件优先级属性priority确定；

对AF、AC和AS进行加权，获得警报信息的警报质量。

优选地，所述对AF、AC和AS进行加权，获得警报信息的质量为：以AF、AC和AS为层次分析模型的方案层，以警报质量为目标层，采用层次分析法，计算出三者的权重；

将AF、AC和AS统一到相同的值域后，进行加权计算，并将计算结果映射到设定的多个质量等级。

优选地，通过层级分析法计算出的AF、AC和AS的权重分别为0.1365，0.2385，0.625。

优选地，步骤二中，由HMM模型获得主机h处于各安全状态的概率值ρ_i之后，结合给定的各个安全状态的风险权重w_i，加权获得主机h的直接风险DR_h：

其中，N为安全状态的数量。

优选地，步骤三中，主机的间接风险值的获取方式为：

步骤31、确定与主机h有网络节点关联性NCC关系的关联节点；

步骤32、确定主机h与每个关联节点的NNC关系类型及其所对应的量化值σ，该量化值σ反映了节点对主机h风险的影响程度；

步骤33、针对每个关联节点h_k，利用该关联节点的直接风险值，与该关联节点对应的量化值σ相乘，得到该关联节点h_k对主机h风险值的影响的大小

步骤34、将所有关联节点的的最大者作为衡量所有关联节点对主机h风险值的影响的指标，即主机h的间接风险值IR_h。

优选地，所述步骤四中，对主机的直接风险和间接风险进行综合获得主机风险值的方式为：

选取权重函数f(x)为：f(x)＝4(x-0.5)³+0.5,x∈[0,1]

则主机h的风险值R_h为：[1-f(σ_max)]DR_h+f(σ_max)IR_h

其中，DR_h和IR_h分别为主机h的直接风险和间接风险；σ_max为与主机h关联且对其影响最大的那个关联关系对应的量化值σ。

优选地，所述步骤五中，所述主机相对重要性采用由主机的资产价值以及主机节点自身的脆弱性共同决定。

有益效果：

在评估网络安全风险时，仅考虑主机自身的风险是不全面的，这是因为网络中的主机之间存在着关联性，在物理和逻辑上主机之间都存在相互影响的关系，网络的风险可以看作是主机的风险以及主机之间的关联性带来的相互影响的风险组成。因此本方法在传统的HMM评估主机安全风险的基础上进行改进，在进行网络安全风险评估时，在网络层上，考虑节点之间的关联性，增加评估的准确性。具体包括的优势包括：

(1)本发明采用数据量较少的警报信息作为输入，且训练HMM模型所需样本易获取，因此可以在大规模网络环境中使用。

(2)由于引入了节点的关联性，在评估单个节点的安全风险时，可以更显著的发现其安全风险变化，能更及时的提醒针对该节点的安全状况采取补救措施。

(3)在计算网络的整体风险时，反应了网络中重要节点对网络安全风险明显的影响，能够对网络的整体风险值及时、直观定的给出其变化趋势。

总之，对比已有技术，本发明能够得到实时的网络安全风险值，区分出不同重要性节点对网络安全风险的影响，并且能考虑节点之间的关联性得到准确的系统整体的网络安全风险值，适用于针对网络的安全风险状况评估。

附图说明

图1为本发明流程图。

图2为警报质量层级结构图。

图3为本发明实施例的网络架构图。

图4为本发明实施例的中Web服务器的安全风险变化情况。

图5为本发明实施例的中整体网络的安全风险变化情况。

具体实施方式

在实际的网络环境中，网络的安全状态不能直接获取到，但是网络环境中随时产生的警报信息是可见的，并且警报信息与网络的安全状态之间存在着关联，而且这种关联符合一定的概率函数，因此产生的警报序列能够揭露安全状态间的变化情况，在这点上同隐马尔可夫模型的核心思想是一致的。因此本文采用了隐马尔科夫模型来描述网络安全状态的变化情况。该方法首先定义了每台网络中的主机有具有N个状态，通过IDS(入侵检测系统)告警信息，作为观测序列，来计算主机处于各个状态的概率，定量的分析主机的风险。

进一步地，通过HMM模型获得主机风险仅仅是指主机直接风险，与主机关联的其他节点的风险对主机也存在影响，因此，本发明还考虑了主机受其他节点影响的间接风险，基于直接风险和间接风险，计算主机风险。然后再对网络中所有主机风险进行整合，得到网络的安全风险评估值。本发明将这种新方案称为基于改进的隐形马尔可夫模型(I-HMM)的网络安全风险评估方法。所述的改进是指：在利用警报信息作为观测向量建立HMM并进行直接风险计算的基础上，还加入了间接风险的表达，从而获得了能够表达网格关系的风险数据。

下面先介绍本发明中所使用的HMM模型应用于安全评估时的建模。

在进行网络安全风险评估时，一个HMM由五元组构成λ＝{S,V,T,O,π}，其中：

(1)S为主机的安全状态集合空间，S＝{S₁,S₂,…,S_N}，其中S_i(i＝1～N)表示一个单独的安全状态，N表示安全状态的数目。系统会因不同的安全事件而进入到不同的安全状态。本实施例中，主机的安全状态依据安全事件的归类及划分，可以看作为四个状态，分别是安全状态G、探测状态R、入侵状态B、攻陷状态C，所以主机的安全状态可表示为S＝{G,R,B,C}。

安全状态G(Good)：表示此时主机中没有任何的安全事件发生；

探测状态R(Reconnaissance)：表示此时主机中发生了扫描类的安全事件或者行为。

入侵状态(Break-in)：表示此时主机中发生了破坏系统权限的安全事件或者行为。

攻陷状态(Compromised)：表示此时网络已经被攻陷，系统的权限已经被攻击者获取。

(2)V是观测向量集合空间，V＝{v₁,v₂,…,v_M}，其中v_i(i＝1～M)表示观测向量，M表示观测向量值的数目。因为可以收集到的警报信息数目庞大，直接将海量的警报信息当作观测向量，会导致矩阵规模过大，影响运算的效率。因此需要对告警信息进行一些处理。下文会具体描述如何从一个周期的告警信息中抽取值得注意的部分。

(3)T是状态转移矩阵，描述主机从一个安全状态转移到另一个状态的转移的概率，T＝{p_ij}，其中p_ij＝P(x_t+1＝S_j∣∣x_t＝S_i)，1≤i,j≤N，表示在t时刻主机处于S_i状态，到t+1时刻时主机处于S_j状态的概率。该矩阵中的概率是通过Baum-Welch算法进行参数估计获得的。

(4)O为观测向量的概率分布矩阵，O＝{q_i(v_k)}，其中q_i(v_k)＝P(y＝v_k∣x_t＝S_i)，1≤i≤N,1≤k≤M，表示在t时刻，主机的安全状态为S_i并且此时观测到的警报信息为v_k的概率。该矩阵中的概率是通过Baum-Welch算法进行参数估计获得的。

(5)π为初始状态概率分布矩阵，π＝{Init_i}，其中Init_i＝P(x₁＝S_i)，表示在最开始的时刻，主机处在安全状态S_i的概率。

基于上述HMM建模结果，参见图1，本发明基于HMM的网络安全风险评估方法的具体步骤包括：

步骤一、从警报信息中筛选观测向量。

警报质量QoA(Quality of Alert)，指警报反应的对系统安全状况的威胁程度，警报的质量越高，其代表的安全事件对系统的安全状况影响越大，表征网络安全风险的特性就越有效。本发明中警报质量由警报信息的出现频次(Alert Frequency)，关键程度(AlertCriticality)、严重程度(Alert Severity)三个警报的统计特性共同决定。

出现频次AF：该指标表示的是在单位时间内，某个类型警报出现的相对次数。一般在面对某一攻击行为时，会有大量同类型的警报信息在短时间内出现，也就是说当前网络中的攻击行为可以通过出现频次高的警报信息来刻画。因此可以将警报的出现频次作为警报质量的一个指标值，定义第i条警报的质量如公式2：

关键程度AC：该指标反映安全状态发生转变可能性的大小。警报的关键程度越高，安全状态转变发生的可能性越大。因为如果在监测过程中出现了新的警报，这说明有新的攻击行为出现在了网络系统中，新的攻击会增加安全状态转变的可能性。因此可以采用警报的出现时间节点用来表示警报关键程度。根据警报出现的时间节点不同，可以将其分为3类：在当前采集周期中已经出现过；在之前的z个采集周期内出现过；以及在之前的z个采集周期内都没有出现过。其这三种情况对应的关键程度AC值依次递增，本实施例中将其分别设为1，2，3。其中确定间隔周期个数z，不仅要考虑周期间隔，而且还需要考虑周期的持续时间。根据本文的采集周期的大小，以及攻击事件持续时间的阈值，这里将间隔周期z设置为3。

严重程度AS：该指标表示警报的攻击事件对系统安全状态的影响程度。其值越高，对系统的安全状态的影响越大，使系统安全状态发生改变的可能就越大。该值是一个综合值，考虑攻击针对的资产的关键程度Asset，以及软件Snort检测到的事件优先级属性priority，由这两个值综合计算而来。由公式2计算。

AS＝Asset×priority (2)

针对一条报警，获得上述三个参数之后，将它们统一到相同的值域后，进行加权计算，获得报警质量。为了便于后续的HMM模型计算，将报警质量映射到设定的多个质量等级，获得规整化的报警质量值。

其中，国标GB/T 20984-2007中指出了资产评估的方法，可以参考其中的资产赋值方法，对网络系统的主机资产价值进行量化。资产价值的量化中，需要考虑资产的保密性、完整性、可用性(CIA)三个性质。可以对这三个性质进行赋值，然后采用公式3来计算:

Asset＝log₂[(a×2^C+b×2^I+c×2^A)/3] (3)

该公式采用加权对数平均的方法，其中a，b，c是三个0到3之间的常数，且a+b+c＝3。

对CIA三个性质进行赋值时，直接赋值容易产生较大的误差，且较难判断。因此考虑对每个属性的值拆分为两个方面，从这两个角度来考虑更为便利，一个是关联程度X，表示该特性被破坏时与造成后果的关联性；另一个是关键程度Y，表示违反了该性质的结果的关键程度。通过这样可以削减一部分人为判断的误差。CIA值的计算方法如下：

保密性价值C＝f(X_C，Y_C)，X_C和Y_C代表拆分后的参量。

完整性价值I＝f(X_I，Y_I)，X_I和Y_I代表拆分后的参量。

可用性价值A＝f(X_A，Y_A)，X_A和Y_A代表拆分后的参量。

函数f采用矩阵法如表1。

表1矩阵法求值

①保密性赋值

保密性关联程度(X_C)：是指资产在被暴露时与将发生的最严重后果之间的关系。

X_C可分为直接造成损失、容易造成损失、可能造成损失和难以造成损失四种程度，分别对应数值4，3，2，1。

保密性关键程度(Y_C)：是指该性质被破坏后对组织战略的最严重损害程度。它也可以分为极其严重、严重、中等和轻微四种，分别对应4，3，3，1四个值。它主要与资产所传输或者承载的数据的保密性要求相关。

②完整性赋值

完整性关联程度(X_I)：是指资产不处于准确、完整或可依赖的状态时与将发生的最严重后果之间的关系。X_I可分为直接造成损失、容易造成损失、可能造成损失和难以造成损失四种程度，分别对应数值4，3，2，1。

完整性关键程度(Y_I)：是指该性质被破坏后对组织的最严重损害程度。它也可以分为极其严重、严重、中等和轻微四种，分别对应4，3，3，1四个值。它主要与资产所传输或者承载的数据的重要性相关。

③可用性赋值

可用性关联程度(X_A)：是指资产在不可用时对某个业务造成的影响。X_A可分为直接造成损失、容易造成损失、可能造成损失和难以造成损失四种程度，分别对应数值4，3，2，1。可用性关键程度(Y_A)：是指该性质被破坏后对组织的最严重损害程度。它也可以分为极其严重、严重、中等和轻微四种，分别对应4，3，3，1四个值。该值等同于该资产所属或者所承载服务的关键性程度。

在具体的资产评估过程中，评估过程示意如图1所示，首先对整个网络系统的所有资产进行识别，找出所有的待评估的资产，然后分别按照上文中的保密性、完整性、可用性的赋值方法对其进行赋值，然后通过公式3计算出资产的价值。

下面对三个因素的权值确定、统一值域、加权和映射进行详细描述。

1、权值确定：本发明使用层次分析法来确定三个因素的权重。首先建立层次分析模型。如图2所示。接着按照层次分析法构造判断矩阵A。由于警报质量指数受三个因素的影响，通过两两比较这些因素，得到判断矩阵：

然后进行层次排序及一致性检验。通过方根法计算得出权重向量W为：

W＝(0.1365，0.2385，0.625)。

并且，矩阵A的最大特征根λ_max＝3.054，计算得一致性指标CI为0.00945，查找对应3阶的平均随机一致性指标RI为0.58，可得一致性比例CR为0.047，可知满足CR≤0.1，因此可认为判断矩阵A通过一致性检验，W可作为权重向量。

2、值域映射：在进行加权运算之前，还需要将取值范围不同的AF、AC、AS标准化为具有相同值域的值来均衡各属性的影响。本发明基于上述方案中数据的选择，将三个因素归一化到AC的值域[1,4]。具体来说：

采用公式5的离差标准化的反函数将AF标准化为AF^*。

AF^*＝AF(AF_max-AF_min)+AF_min＝2AF+1 (5)

AF的标准化值AF^*∈[1,4]。

使用阀值无量纲的方法，如式5，对AS进行处理：

其中，k和q分别为归一化系数，这里取3和1，然后AS标准化后AS^*∈[1,4]。

经过标准化处理以后，AF，AC，AS具有了相同的取值范围。

3、加权：警报质量QoA的计算公式如式7。

QoA＝[AF,AC,AS]·W^T (7)

在每个采集周期中，选取质量最高的警报，作为HMM的观测向量。

4、映射：通过警报质量的值，将观测向量采用公式8映射成多个等级。本实施例中，观测向量映射为4个等级，依次为1，2，3，4。

这里的Vt表示为将QoA映射到给定警报等级后的警报级别。

步骤二、利用历史警报信息对HMM模型进行训练。

为了避免HMM模型的参数人工设置对专家经验的依赖，也就是需要解决基于HMM的网络安全风险评估模型的学习问题，本文使用了经典的学习算法Baum-Welch算法来进行状态转移矩阵T和概率分布矩阵O的参数估计。

在实际应用中，该参数估计算法对标记样本数据的依赖很小，属于非监督的学习算法，通过不断迭代找到期望概率最大化模型，但结果可能是局部而非全局最优。在用于本文提出网络安全风险评估方法中，具有一定的实用性。

步骤三、在实际进行估计时，针对网络中每个主机，将该主机当前周期的警报信息代入训练好的HMM模型，获得当前主机处于各安全状态的概率值，进而得到主机的直接风险。

本步骤中，首先将观测得到的警报序列经过计算得出警报的QoS，以QoS为模型测输入量，输入到训练好的HMM模型中，计算得到每个周期内，主机处于各安全风险状态的概率ρ_i，即主机处于前文已经定以好的主机的安全状态集合空间S中四种状态的概率。

然后采用公式9计算主机的直接风险：

其中，ρ_i为当前周期中主机处于第i个安全状态的概率；w_i是第i个安全状态的风险权重，根据前人研究案例(席荣荣,云晓春,张永铮,等.一种改进的网络安全态势量化评估方法[J].计算机学报,2015,38(4):749-758.)，本方法采用风险权重向量w_i为：

w＝|w_G w_R w_B w_C|＝|0 25 50 100|，N为安全状态的数量，本实施例中N＝4。

步骤四、对网络系统中各个主机的关联关系进行量化，得到主机受其他节点影响的间接风险。

由于实际网络节点间存在特殊的访问关系，即网络节点关联性。在计算网络中的主机h时，除了从主机层维度，主机自身的直接风险值(Direct Risk)以外，其风险值必然会受到与其有关联的节点的影响，即在网络层维度，还会有风险影响，将该部分的风险称为主机的间接风险IR(Indirect Risk)。

对间接风险IR，下面给出其具体计算方法。

步骤41.确定与主机h有网络节点关联性(Network Node Correlation,NNC)关系的关联节点。

获取主机h所有关联节点，将其数量记为NC。对应的N个节点记为h₁,h₂,…h_NC。(若NC＝0，则无需计算IR。)

步骤42.确定每个NNC关系的分类及量化值。

确定主机h与每个关联节点h_k(1≤k≤NC)的NNC关系类型以及对应的量化值该量化值σ反映了关联节点h_k对主机h风险的影响程度。

其中每一个NNC关系的类型及其量化值都是7种类型之一，也即

且

为方便仿真实验。本文中采用前人文献(张永铮,方滨兴,迟悦,等.网络风险评估中网络节点关联性的研究[J].计算机学报,2007,30(2):234-240)给出的量化值。具体的NNC的分类及量化说明如表2所示。

表2 NNC关系描述及量化

步骤43.主机h风险值受NNC关系影响的计算。

对发现的所有与主机h有NNC关系的NC个节点h₁,h₂,…h_NC，其中针对关联节点h_k，其在某一周期的直接风险值DR作为该周期该节点的风险值，此处记为1≤k≤NC；将这NC个NNC关系中任意一个对主机h风险值的影响的大小记作1≤k≤NC，则的计算方法如公式10。

上式表明在计算风险时，主机h与相关联节点h_k之间的NNC关系，使得h受到了来自h_k节点的风险的影响，该NNC关系的量化参数反映了节点h_k对主机h风险的影响程度，量化了实际网络中相关联节点之间的影响关系。

步骤44.计算主机h的间接风险值IR_h的值。

通过第43步中计算得出了与主机h有关联的每个节点分别对其风险值产生的影响，大小为这里将中的最大值(记为)作为衡量所有关联节点对主机h风险值的影响的指标，本发明取作为衡量所有关联节点对主机h风险值的影响的指标，即主机h的间接风险值IRh。用公式表达就是：

步骤五、综合主机的直接风险和间接风险，得到主机的整体风险值。

主机h的风险值需要综合考虑直接风险值以及间接风险值两个部分的风险值。通过选取恰当的函数f(x)对这两部分的风险值进行加权求和，得到最终的整体网络安全风险值。NNC关系可以看作是一种特殊的带有权限的逻辑访问关系，从其定义上可以知道，两个节点的NNC关系越紧密，两者之间的访问关系就更密切，可以将0.5看作阈值，当NNC值大于阈值时，表示NNC关系中取得主机的权限较大，因此会对主机的风险造成更严重的影响，此时主机的风险主要由间接风险构成；而当NNC值小于阈值时，说明该关联节点对主机没有太大的关联，不会对主机风险造成严重的影响，主机的风险主要由自身的直接风险构成。所以认为选取的权重函数f(x)有以下的一些性质：

(1)f(x)与NNC关系有关；

(2)f(x)在[0,1]上单调递增；

(3)0≤x≤1时，0≤f(x)≤1；

(4)f(0)＝0，f(0.5)＝0.5，f(1)＝1；

考虑f(x)的以上几个性质，选取f(x)如公式12:

f(x)＝4(x-0.5)³+0.5,x∈[0,1] (12)

因此，主机h的风险值计算公式为公式13:

R_h＝[1-f(x)]DR_h+f(x)IR_h

＝[1-f(σ_max)]DR_h+f(σ_max)IR_h (13)

其中，σ_max表示的是与主机h关联且对其影响最大的那个关联关系(即)的量化值。

步骤六、利用网络中所有主机的风险值和定义的主机相对重要性，获得整个网络系统的安全风险值

整个网络的安全风险计算采用公式如公式14：

其中c_h是主机h的相对重要性，H为网络中节点的数量。

其中，主机相对重要性由该主机的资产价值以及主机自身的脆弱性共同决定，由公式15计算。

c_h＝Value_h*e^{vulnerability} (15)

其中Value_h是主机h的资产价值，该值通过判断节点的价值人工给出；vulnerability是主机h的脆弱性指数，该值由主机h的漏洞结合CVSS评分得到。

自此，就完成了本发明的网络安全风险评估过程。

实施例

这里搭建了一个普遍代表性的局域网络来验证提出的方法。该实验网络环境的拓扑图如下：

在该网络中，如图3所示，包含三个子网络：内部用户区域、内部管理区域、对外服务区域，该三个区域在三个不同的子网中，用防火墙进行分隔。其中，对外服务区域包括了一个Web服务器和一个电子邮件服务器，分别提供Web服务和Email服务。内部管理区域包括了FTP文件服务器、SQL Server数据库服务器、MySQL数据库服务器以及两台主机，其中文件服务器主要为Web服务器提供相关的文件存储和管理服务，SQL Server数据库服务器给Web服务器提供数据库服务，MySQL数据库服务器给电子邮件服务器提供数据库服务，两台主机可以通过SSH来连接和操作文件服务器。内部用户区域中不提供服务，主要使用别的区域中的服务。

通过模拟攻击，形成一种网络系统被攻击的场景。使用了如下的一些攻击类型，其类型、描述以及在snort中的优先级如表1所示。

表1攻击类型表

首先发送了优先级为low的事件，然后发送优先级为medium的，其次是优先级为high的，最后又再发送优先级为low和medium混杂的事件。四个阶段中攻击的严重程度不同，攻击的频率保持不变。

使用Nessus扫描系统中的漏洞结果如表2，并对其进行量化。

表2漏洞情况表

人工对节点进行资产赋值，然后计算其相对重要性结果如表3。

表3节点重要性量化表

节点	资产价值	相对重要性
			Web服务器	4.1	9.98
电子邮件服务器	3.3	8.04
			文件服务器	3.9	8.59
数据库服务器	4.3	11.01

使用Snort收集告警信息，对Web服务器来说，其网络节点关联性情况如表4。

表4Web服务器节点关联性量化

节点	类型	量化值
			电子邮件服务器	W<sub>4</sub>	0.3
MySQL	W<sub>4</sub>	0.3
			SQL Server	W<sub>4</sub>	0.3
文件服务器	W<sub>4</sub>	0.3
			主机1	W<sub>5</sub>	0.5

然后再通过计算警报质量得到其对应的观测序列，具体的观测序列为：{1,2,1,3,2,1,2,2,3,3,2,4,4,2,2,2,1,2,2,1,4,4,4,3}。

设置HMM评估方法中各个安全状态的风险权重向量w_i为：

w＝|w_G w_R w_B w_C|＝|0 25 50 100|

转移矩阵T的取值为表5。

表5转移矩阵T取值

观测矩阵O的取值如表6。

表6观测矩阵O取值

初始状态概率分布π取值如表7。

表7初始状态概率分布π取值

最后得到Web服务器的安全风险情况如图4，整体网络安全风险值如图5。

从上述结果可以看出，在采用基于HMM的方法来评估网络安全风险值时，能够较为准确的评估网络的安全风险状态变化的趋势。由于引入了节点的关联性，在评估单个节点的安全风险时，可以更显著的发现其安全风险变化，能更及时的提醒针对该节点的安全状况采取补救措施；在计算网络的整体风险时，反应了网络中重要节点对网络安全风险明显的影响，能够对网络的整体风险值及时、直观定的给出其变化趋势。

综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于改进的隐形马尔可夫模型I-HMM的网络安全风险评估方法，其特征在于，包括：

步骤一、以主机的安全状态为状态空间，以警报信息为观测向量，使用隐马尔科夫模型HMM对网络系统中主机的安全风险状态进行建模；以警报信息为观测向量为：针对主机h，以每个采集周期中警报质量最高的警报信息作为观测向量v_h；

2.如权利要求1所述的方法，其特征在于，采用HMM模型进行建模为：

HMM模型由五元组λ构成，λ＝{S,V,T,O,π}，其中：

V是观测向量集合空间；

O为观测向量的概率分布矩阵，表示在某时刻，主机处于某一安全状态为S_i并且此时观测到的警报信息为v_k的概率；

π为初始状态概率分布矩阵，表示在最开始的时刻，主机处在安全状态S_i的概率。

3.如权利要求1所述的方法，其特征在于，所述警报质量由警报信息的出现频次、关键程度和严重程度决定；

所述出现频次AF为当前报警信息在当前周期中出现的频次；

所述关键程度AC反映安全状态发生转变可能性的大小；

4.如权利要求3所述的方法，其特征在于，确定警报质量的方式为：

对AF、AC和AS进行加权，获得警报信息的警报质量。

5.如权利要求4所述的方法，其特征在于，所述对AF、AC和AS进行加权，获得警报信息的质量为：以AF、AC和AS为层次分析模型的方案层，以警报质量为目标层，采用层次分析法，计算出三者的权重；

6.如权利要求5所述的方法，其特征在于，通过层级分析法计算出的AF、AC和AS的权重分别为0.1365，0.2385，0.625。

7.如权利要求1所述的方法，其特征在于，步骤二中，由HMM模型获得主机h处于各安全状态的概率值ρ_i之后，结合给定的各个安全状态的风险权重w_i，加权获得主机h的直接风险DR_h：

其中，N为安全状态的数量。

8.如权利要求1所述的方法，其特征在于，步骤三中，主机的间接风险值的获取方式为：

步骤31、确定与主机h有网络节点关联性NCC关系的关联节点；

9.如权利要求8所述的方法，其特征在于，所述步骤四中，对主机的直接风险和间接风险进行综合获得主机风险值的方式为：

选取权重函数f(x)为：f(x)＝4(x-0.5)³+0.5,x∈[0,1]

则主机h的风险值R_h为：[1-f(σ_max)]DR_h+f(σ_max)IR_h

10.如权利要求1所述的方法，其特征在于，所述步骤五中，所述主机相对重要性采用由主机的资产价值以及主机节点自身的脆弱性共同决定。