万方数据 基于隐马尔可夫的网络实时风险评估exp咖entNe觚ork咖siti∞matrixTLⅢDong·pin91MarkovCormunication计算机工程与设计computerEngineering·信息安全技术·煜1，刘建华1，尚田东平1real—timeriskassessmentbasedhiddenmodelsMAL砌Jian．hual，xin旷，ofInfo咖ationt啪sitionnerefm，ath锄accordingm锄ag咖印t．马星2，(1．西安邮电学院信息安全研究中心，陕西西安710061；2．西安电子科技大学通信工程学院，陕西西安710071)Secu一吼Xi’锄InstituteofPost狮dEngine鲥ng，UIliVersi咄Xi’锄71，China)sec删ty0引言l隐马尔可夫实时风险评估模型田东平，博士，教授，研究方向为信息安全。Bmail：m”010l@163．c咖2009，30(11)摘要：在基于隐马尔可夫模型的网络安全实时风险评估中，状态转移概率矩阵的确定是关键一步，目前基本上都是依据经验给出，具有很大主观性，不能客观反映网络安全的风险状况．为此，引入了攻击难度系数的概念，通过对数据集的统计学习，给出了状态转移概率矩阵。此外，通过对威胁进行分类，根据各类威胁的影响，给出了相应的权重．实验结果表明，该方法使得网络安全实时风险评估更加客观，为网络安全的风险管理提供了决策支持。关键词：网络安全风险评估；网络攻击；实时风险；威胁分类；隐马尔可夫模型中图法分类号：TP393．08文献标识码：A文章编号：l000．7024(2009)11．2656-04Yul，sHANG(1．ResearchXi’锄71006l，China；d—vedsubjectiVesassessm∞tc缸notobjectiVelyne时ork．conc印ti∞ofin仃oduced．Throu曲卸alyzing锄ddataset，tlle咖惦deriVed．T叙onomywei曲tsinflu朗ce．me髂sessm印tobjectiVene铆0rkwords：ne铆orkassessmem；ne铆orkrisl【；th”att缸叩omy；llidd∞Markov随着网络与信息系统日趋复杂，对其实施风险管理愈发重要。传统的网络风险评估主要通过人工的方式对网络系统进行静态的分析，并没有给出其动态风险评估的方法。而入侵检测系统主要对安全相关的事件进行榆测、报告，不能反映网络风险的整体状况。为了准确、有效的对安全事件进行响应，需要研究具有自动化性能的网络安全实时风险评估方法。目前国内外对于网络安伞实时风险的研究还处于探索阶段。文献【1】依据人体免疫系统中抗体浓度的变化与人体生病的严重程度的对应关系，提出了基于抗体浓度的网络实时风险检测方法。该方法比较好的解决了风险量化的问题，但是对于风险的预测存在着明显的不足。文献【2】提出了一种基于主机的实时风险检测方法，该方法通过对系统请求和访问权限建立模型，能够实时控制主机的风险。该方法要对系统的每一次调用和访问进行处理，存在系统的资源开销太大的问题。Ames等人Ⅲ提出了基于入侵检测系统和网络传感器的实时风险评估方法，该方法采用了隐马尔可夫模型对网络安全实时风险进行建模，比较好的解决了传感器和入侵检测系统误警和虚警对风险评估的影响。但模犁中的状态转移概率矩阵是由经验给出，不同威胁对网络系统机密性、可用性、完整性的损害没有区分大小，评估结果不能客观的反映系统所处的风险。本文在Ames等人提出的基于隐马尔可夫的实时风险模型的基础上，通过对kddcup99数据集“1的统计学习，给出了一种计算状态转移概率矩阵的方法。通过对kddcup99中的威胁进行分类，给出了一种信息系统遭受机密性、完整性、可用性损失的量化度量方法。这使得Ames提出的方法能够有效的应用于实际网络安全实时风险的评估中。隐马尔可夫网络安全实时风险评估的理论框架已经由Ames等给出“’，具体算法如下：网络中被监控的关键资产集合记为o={o。，D2，⋯}，DI∈D表示网络中第f个部署了传感器和风险计算代理的关键资产。假设每个资产有M胂状态，状态集合为S=h』：，⋯跏}，函∈S表示系2656andDesigllonCenterTelecommunications，2．SchoolofXidialll007thefieldrisk筋sessmentMarkoVmematrixa心usuallyf如mexpenexpenence．muchtlle舱sultofthewhichreflect山eattackdimcultycoemcientisstatisticalleamingt11enindicatesthalt11