华中科技大学 硕士学位论文 改进的HMM网络安全风险评估方法研究 姓名：董静 申请学位级别：硕士 专业：计算机系统结构 指导教师：李之棠 20080603 华中科技大学硕士学位论文 摘要 随着计算机网络技术的广泛应用，网络安全的重要性日益凸显，并已成为国家 安全的重要组成部分。准确地评估网络风险是提高网络安全性的关键。传统的网络 安全风险评估方法只能进行静态风险评估，不能反映实时的威胁和风险状况。 研究并实现了基于隐马尔可夫模型（HMM）的网络安全风险评估方法。该方法 以入侵检测系统（IDS）告警作为输入，能够量化实时的网络风险值，有效地评估网 络受到的威胁，相比传统的静态评估方法有很大优势。 解决了该方法中观测矩阵规模难以控制和模型参数值难以确定两个问题。针对 第一个问题，通过评估告警的威胁度来对告警（观测事件）进行分类，以控制观测 矩阵的规模。威胁评估过程中将告警与主机的漏洞、网络资产及网络环境信息结合 起来，考虑攻击严重度、目标资产关键度、管理员角度因素和攻击成功概率这四个 因素来评估攻击的威胁度，然后将告警按照威胁等级分成十类。针对第二个问题， 利用遗传算法自动求解HMM模型中的参数矩阵，将矩阵用二进制编码表示，定义 风险描述规则作为求解的优化目标，用参数自动生成代替手工设置，提高了参数设 置的准确性。 使用JAVA平台实现了上述方法，并采用蜜网数据和Darpa2000数据进行实验。 实验表明所提出的方法能较好地解决基于HMM的风险评估方法中的两个问题，并 且系统能够有效地反映实时的网络安全风险状况。 关键字：网络安全风险评估隐马尔可夫模型威胁度评估遗传算法 I 华中科技大学硕士学位论文 Abstract Withtheextensiveapplicationsofcomputernetworktechnology,networksecurity hasbecomeincreasinglyimportantandhasbeenanimportantpartofnationalsecurity. ThekeyofimprovingnetworksecurityisHowtoaccuratelyassesstheriskofanetwork. Thetraditionalmethodsinriskassessmenttonetworksecuritycanonlydostaticrisk assessmentandcan’treflectthereal-timethreatandriskstatus. Basedontheresearch,theHiddenMarkovModel(HMM)methodsofrisk assessmenttonetworksecurityhasbeenrealized.ThemethodtakesIntrusionDetection System(IDS)alertsasinput,andcanquantifytheriskofreal-timenetwork,andcan effectivelyassessthethreatofthenetwork,comparedwiththetraditionalstaticapproach hasgreatadvantages. twoissuesinthetraditionalHMMmethodofriskassessmenttonetworksecurity, whicharethedifficultiesofcontrollingparametersscaleanddeterminingparameters,have beensolved.Forthefirstone,alertsareclassifiedbyassessingthethreatofthem,inorder tocontrolthescaleofobservationmatrix.Intheprocessofassessingthreat,combineIDS eventswithvulnerability,networkassetsandnetworkenvironments,byassessingthe attacksonfourfactors:theseverity,Targetsassets,theadministratorpointandprobability ofsuccess,todefinethethreatofattacks.Inaccordancewiththethreat,theattackwillbe dividedintotenlevels.Forthesecondproblem,us