基于模糊-隐马尔可夫模型的复合式攻击预测方法研究

摘要

随着人类进入信息时代，对网络中信息的安全传输、信息的安全存储以及信息的安全处理，提出的要求越来越高。网络安全不仅关系到国家的安危、经济的发展和科技的进步，还关乎到每个人的切身利益。网络就像一把双刃剑，不仅使社会信息化速度加快，而且为信息安全保障问题提出巨大挑战。近些年来，网络安全犯罪率呈逐年上升的趋势。特别是，随着网上银行、手机银行、电子商务等网上业务的兴起，各种专用网络的建设，由之而来的网络安全问题，也逐渐成为人们关注的热点问题。
　　现阶段，传统的被动防御已经不能适应动态变化的网络安全需求。将军事领域的纵深防御思想应用于网络安全防护，主动防御应运而生。通过对现有的复合式攻击预测方法的研究，本文将改进的Apriori算法和模糊评判法引入隐马尔可夫模型，提出了基于模糊—隐马尔可夫模型的复合式攻击预测方法。
　　基于模糊—隐马尔可夫模型的复合式攻击预测方法，首先通过对原始报警信息特征事件的语义分析以及对攻击类型具有的特征的分析，制定规则，将原始报警信息融合为超级报警信息。由于攻击者的真实意图隐藏于系统中，无法由观测者直接观测到，而可直接观测到的信息为原始报警信息，鉴于此，将隐马尔可夫模型应用于复合式攻击预测模型中，将报警信息作为隐马尔可夫模型的观察值，出现在观察层。攻击者真正的攻击意图隐藏于系统中，出现在隐含层。进而根据隐马尔可夫模型的Forward算法识别报警信息隶属的攻击场景，Viterbi算法识别和预测攻击意图序列。然后通过Baum-Welch算法对新生成的隐马尔可夫模型进行训练，得到新的模糊—隐马尔可夫模型，并依次使用Forward算法识别报警信息隶属的攻击场景，Viterbi算法识别和预测攻击意图序列。
　　本文的理论意义为:提出的基于模糊—隐马尔可夫模型的复合式网络攻击预测方法，可实现在动态、复杂、不确定的网络攻击环境下，对网络攻击意图的预测。较好的解决了复合式网络攻击预测方法中存在的攻击行为难预测、网络攻击匹配度难确定等问题，并为网络安全态势评估、防御资源优化配置、主动防御等问题的研究提供了理论依据。本文的实践意义为:论文的成果之一:复合式网络攻击行为识别&预测方法，重点实现复合式攻击行为的判断、报警信息隶属的攻击场景的识别和攻击意图序列的预测三项功能，将成为主动防御的重要组成部分，并应用于主动防御实践中。
　　通过仿真实验可以看出:经过训练的隐马尔可夫模型比未经过训练的隐马尔可夫模型在对复合式攻击行为的识别和预测效果更佳，而且在当前四类主流的复合式攻击预测方法中，本文提出的基于模糊—隐马尔科夫模型的复合式攻击预测方法在报警信息预处理、报警信息关联等方面的综合性能最优。

目录

声明

摘要

1 绪论

1．1 研究背景

1．2 国内外研究现状

1．3 研究内容

1．4 研究意义

1．4．1 理论意义

1．4．2 实践意义

1．5 论文创新点

1．6 论文结构

2 主动防御技术与复合式攻击安全预警技术

2．1 复合式攻击的相关术语

2．1．1 实例分析

2．2 主动防御及其演变过程

2．2．1 基于PDRR模型的主动防御系统

2．2．2 基于防火墙机制的主动防御系统

2．2．3 基于入侵检测系统的主动防御系统

2．2．4 基于入侵防御系统的主动防御系统

2．3 复合式攻击预测方法

2．3．1 基于前驱后继关系的复合式攻击预测方法

2．3．2 基于CTPN网的复合式攻击预测方法

2．3．3 基于Bayes博弈理论的复合式攻击预测方法

2．3．4 基于意图的复合式攻击预测方法

2．4 本章小结

3 模糊—隐马尔可夫模型的设计

3．1 隐马尔可夫模型理论

3．1．1 实例分析

3．2 HMM模型的3个算法

3．2．1 Forward算法

3．2．2 Baum-Welch算法

3．2．3 Viterbi算法

3．3 复合式攻击的FHMM模型的建立

3．3．1 基于FHMM的复合式攻击行为的识别过程

3．3．2 基于FHMM模型的攻击意图的识别和预测过程

3．4 本章小结

4 FHMM模型的相关技术实现

4．1 原始报警信息的处理

4．2 状态转移概率分布矩阵

4．2．1 Apriori算法简介

4．2．2 状态转移概率分布矩阵的确定

4．2．3 实例分析

4．3 观测概率分布矩阵

4．3．1 观测概率分布矩阵的确定

4．3．2 实例分析

4．4 本章小结

5 仿真实验与分析

5．1 DARPA数据集简介

5．2 未经过训练的复合式攻击的FHMM模型

5．3 经过训练的复合式攻击的FHMM模型

5．4 本章小结

结论

参考文献

致谢

攻读学位期间取得的科研成果清单