基于条件随机场的网络安全态势量化感知方法术

基于条件随机场的网络安全态势量化感知方法术

基于条件随机场的网络安全态势量化感知方法术 李建平1’2，王慧强1，卢爱平2，郝洪亮3，冯光升1

(1．哈尔滨工程大学计算机科学与技术学院，黑龙江哈尔滨150001； 2．大庆石油学院计算机与信息技术学院。黑龙江大庆163318；

3．大庆油田有限责任公司测试技术服务分公司。黑龙江大庆163311)

摘要：

网络安全态势感知(NSSA)是目前网络安全领域研究的一个热点问题。首次提出一种基于条件随机场的(CRFs)网络安全态势量化感知方法。该方法以入侵检测系统的报警信息作为网络安全态势感知的要素，结合主机的漏洞和状态，定义网络安全威胁度来更好地体现网络的风险，并对攻击进行分类，简化CRFs模型的输入，同时选择了有效的特征属性，通过DARPA 2000数据的仿真实验生成了职确的网络安全态势图，表明提出的方法能够很好地反映网络风险，量化网络安全态势。

关键词：网络安全态势感知；量化感知；条件随机场

中图分类号：TP393．08 文献标识码：A 文章编号：1000-9787(2010)10-0083-04

Quantification awareness method of network security situation DaSen 0n C0ndlnonal rannom tielnS ·· ·‘ 1 1 1●J● l 1 一l 1 币

LI Jian—pin91一，WANG Hui—qian91，LU Ai—pin92，HAO Hong·lian93，FENG Guang—shen91

(1．College of Computer Science and Technology，Harbin Engineering University，

Harbin 150001，China；2．School of Computer and Information

Technology，Daqing Petroleum Institute，

Daqing 163318，China；3．Logging&Testing services Company of Daqing Oilfield CO．LTD．， Daqing 163311，China)

Abstract：Network security situational awareness(NSSA)has been a hot research·spot in the network security

domain．A quantification method for NSSA based on conditional random fields(CRFs)Was proposed．The data of

network attacks from intrusion detection system(IDS)．the hosts’vulnerabilities and the hosts’states were firstly

combined as the network security factors．And then the network security threat degree was defined to quantify the

risk of the whole network and classify the attacks．A diverse set of effective features were incorporated in CRFs

Model．卟e experiments on the DARPA 2000 data set generate the explicit network security situational graph．It

proves that the method introduced call represent network risk more accurate and offer a good quantification for the network security situation．

Key words：network security situational awareness(NSSA)；quantification awareness；conditional random fields

0 引言

随着网络技术的广泛应用，其规模不断扩大和开放，网络也会受到各种安全威胁的影响，如，外部攻击者入侵、木马、DDoS、蠕虫、病毒、内部攻击等，而且，新型的攻击类型也不断涌现，如，Web代码注入、僵尸网络等。人们通常采用防火墙、入侵检测系统(IDS)，病毒检测等方法来保证网络系统的安全，但这些方法都只是对攻击行为采取局部的预防措施，网络管理员不能从整体上发现网络所处的状态和潜在的危险并采取有效的措施。

1999年，Bass T首次提出了网络态势感知的概念，但只是建立了网络空间态势感知框架，并没有实现具体的原型系统；BatsellP S G_2J，ShiffletP J等人也提出了类似的模型并集成现有的网络安全系统实现了系统框架，以应对大规模的网络安全事件，但这些方法都只能对有限的攻击进行检测，无法真正实现网络安全态势感知。网络安全态势感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。

西安交通大学设计了基于IDS和防火墙的集成化网络安全监控平台，实现了网络态势评估，并在文献[6]中提出了一个基于统计分析的层次化网络安全威胁态势量化评估方法，文献[7]提出了一种基于粗糙集理论的网络安全态势感知方法；Kjetil H旧1提出使用连续隐马尔可夫模型(hid．den Markov model，HMM)定量计算网络安全威胁态势，但是存在的一个最大的缺点就是由于其输出独立性假设，导致其不能考虑上下文的特征，限制了特征的选择。条件随机场

(conditional random fields，CRFs)是一种新的概率图模型旧J，它具有表达元素长距离依赖性和交叠性特征，对所有特征进行全局归一化的优点，解决了最大熵模型(HEMM)标注偏置的问题，CRFs被广泛的应用于英文POS标注、英 文名词短语识别、中文分词等领域并取得了较好的效果。近来，Gupta K K，Li

Jianping等人将CRFs应用于入侵检测系统中，依据属性和属性间的特征建立了检测模型，提高了检测精度和效率，但是把CRFs应用于网络安全态势定量感知中，还未见报道。

本文提出一种基于CRFs网络安全态势的量化感知方法。该方法以IDS的报警信息作为网络安全态势感知的要素，结合主机的漏洞和状态，定义网络安全威胁度来更好地体现网络的风险，并对攻击进行分类，简化CRFs模型的输入，通过DARPA 2000数据的仿真实验生成了明确的网络安全态势图。

1 CRFs

CRFs最早由Lafferty J等人于2001年提出，其模型思想主要来源于最大熵马尔可夫模型。与最大熵马可科夫模型一样，CRFs是指数形式的模型，具有很

强的推理能力，并且能够使用复杂、有重叠性和非独立的特征进行训练和推理。 定义：给定一个无向图G=(y，E)，其中V是图的顶点集合，E是边集合。然后把标记Y用顶点做索引，即Y=(Yv)v∈V，每一个顶点的Y都可以取标记集中的任意一个标记。当Y的出现条件依赖于X，而且Yv根据图结构的随机变量序列具有马尔可夫性，即P(YV|X，Yw,w≠v)=p(Yx|X,Yww～v)，w～v表示2个顶点之间有连接边，则称(X，Y)为一个CRFs。

在无向图G=(Y，E)中，Y是一棵树，这个图的子图是边和顶点。于是，根据随机场模型的基础理论，给定X的标注序列Y的联合分布有如下的形式

式中x为数据序列，y为标注序列。Y|e为由边e定义的y的组件的集合。Y|v为由顶点v定义的y的组件的集合。

2网络安全威胁度

对于IDS报警来说攻击方式多种多样，snort基本报警就有8000多个，直接将IDS报警信息作为CRFs模型的输入，那么，运算规模将非常庞大，运算效率会非常低。所以，必须找到一种合适的方法，将报警信息归类，本文将网络攻击和网络环境、用户配置结合起来，引入了网络安全威胁度的概念来对攻击进行分类，作为CRFs模型的输入，解决了以上问题。

网络安全威胁度综合了漏洞、资产、环境因素等各个方面来评估一个报警信息所表示的网络安全的威胁程度。通过计算一个IDS的报警对网络造成的影响，将IDS报警进行分类。系统预设的威胁度为lO级，即所有IDS报警信息都将根据对网络造成的影响程度归入这lO个类别，其定义如表1所示。

3基于CRFs网络安全态势量化感知模型 3．1 模型建立

CRFs模型首先定义每台网络中的主机具有Ⅳ个状态，用Ωs=(S1，S2，?Sn)来表示，那么，该主机的状态序列为x={x1,x2，?，xT}，xt∈Ωs。通常认为主机可以处于4种状态：Good，Probed，Attacked，Compromised分别用G，P，A，C表示，那么Ωs={G，P，A，C}，如果能够较为准确地计算主机处于何种状态，那么就可以定量分析主机的风险。如果假设主机所能够观察到的攻击M种，用A={a1，a2，?，aM}表示，那么，攻击序列为y={y1，y2?yT}，Yt∈A，对于主机状态序列x和攻击序列y，按照攻击行为的序列化特点，假设当前状态只和前一状态有关，或者完全独立，可以定义一个线性的CRFs模型，具体形式为

式中

z为归一化因子，且

其中，每个fk(yi-1，yi，x)是观察序列戈中位置为i和i一1的输出节点的特征，每个gk(yi，x)是位置为i的输入节点和输出节点的特征，λ和μ是特征函数的权重。权重参数是对训练数据进行学习时确定的。

本文采用了Viterbi算法推导出最大概率的状态序列，即计算出当前主机处于各种状态的概率Pt=(r1，r2?rN)。