The invention discloses a network security risk assessment method based on I HMM, which takes the host's security state as state space, the alarm information as observation vector, uses hidden Markov model HMM to model the host's security risk state in the network system, uses historical alarm information to train the HMM model, and uses the alarm information of the host's current cycle for each host. By substituting the trained HMM model, we can get the probability value of the current host in each security state, and then get the direct risk of the host; quantify the relationship between the hosts in the network system, and get the indirect risk; synthesize the direct risk and indirect risk of the host, and get the risk value of the host; finally, make use of the risk value of all the hosts in the network and the relative importance of the host. Get the security risk value of the whole network system. The invention can realize the evaluation of the network security risk condition when the amount of data required is small.
【技术实现步骤摘要】
一种基于I-HMM的网络安全风险评估方法
本专利技术涉及信息安全
,尤其涉及一种基于改进的隐形马尔可夫模型(I-HMM)的网络安全风险评估方法。
技术介绍
网络安全风险评估作为针对网络安全问题主动防护的一种安全手段,随着计算机网络的发展,网络信息系统存在的安全漏洞和隐患层出不穷,面临的攻击种类和数量也成倍增长。在此背景下研究网络安全风险的量化评估具有重要的意义。近年来,网络安全风险评估的方法逐渐从定性、局部的分析向综合、整体的分析方向发展。目前大多数的网络安全风险评估方法多是包含了定性评估,主要通过一些定性的数据,比如依据评估人员的专业知识、行业经验,系统的历史信息等资料。获取了非量化的信息后采取专家判断,理论推导等分析方法,得出评估的结论。定性评估方法通常依赖专家的既有知识和经验等非量化因素,具有简单直观,操作方便的优点,但也存在着过分依赖评估者的主观性、评估结果不直观、评估周期较长等不足。而对已有的定量评估研究方案,能得到一个量化的结果,获得风险的数值表示。将风险发生的概率、风险造成危害等量化成数值。定量评估方法运用数量指标对网络系统的安全性进行评估,利...
【技术保护点】
1.一种基于改进的隐形马尔可夫模型I‑HMM的网络安全风险评估方法,其特征在于,包括:步骤一、以主机的安全状态为状态空间,以警报信息为观测向量,使用隐马尔科夫模型HMM对网络系统中主机的安全风险状态进行建模;以警报信息为观测向量为:针对主机h,以每个采集周期中警报质量最高的警报信息作为观测向量vh;步骤二、利用历史警报信息对HMM模型进行训练;针对网络中每个主机,将该主机当前周期的警报信息代入训练好的HMM模型,获得当前主机处于各安全状态的概率值,进而得到主机的直接风险;步骤三、对网络系统中各个主机的关联关系进行量化,得到主机受其他节点影响的间接风险;步骤四、综合主机的直接...
【技术特征摘要】
1.一种基于改进的隐形马尔可夫模型I-HMM的网络安全风险评估方法,其特征在于,包括:步骤一、以主机的安全状态为状态空间,以警报信息为观测向量,使用隐马尔科夫模型HMM对网络系统中主机的安全风险状态进行建模;以警报信息为观测向量为:针对主机h,以每个采集周期中警报质量最高的警报信息作为观测向量vh;步骤二、利用历史警报信息对HMM模型进行训练;针对网络中每个主机,将该主机当前周期的警报信息代入训练好的HMM模型,获得当前主机处于各安全状态的概率值,进而得到主机的直接风险;步骤三、对网络系统中各个主机的关联关系进行量化,得到主机受其他节点影响的间接风险;步骤四、综合主机的直接风险和间接风险,得到主机的风险值;步骤五、利用网络中所有主机的风险值和主机相对重要性,获得整个网络系统的安全风险值。2.如权利要求1所述的方法,其特征在于,采用HMM模型进行建模为:HMM模型由五元组λ构成,λ={S,V,T,O,π},其中:S为主机的安全状态集合空间;所述安全状态包括四种,分别是安全、探测、入侵、攻陷;V是观测向量集合空间;T是状态转移矩阵,描述主机从一个安全状态转移到另一个状态的转移的概率;O为观测向量的概率分布矩阵,表示在某时刻,主机处于某一安全状态为Si并且此时观测到的警报信息为vk的概率;π为初始状态概率分布矩阵,表示在最开始的时刻,主机处在安全状态Si的概率。3.如权利要求1所述的方法,其特征在于,所述警报质量由警报信息的出现频次、关键程度和严重程度决定;所述出现频次AF为当前报警信息在当前周期中出现的频次;所述关键程度AC反映安全状态发生转变可能性的大小;所述严重程度AS为表示报警的攻击事件对系统安全状态的影响程度。4.如权利要求3所述的方法,其特征在于,确定警报质量的方式为:确定出现频次AF=与当前警报信息属于同类型的警报信息在当前周期内出现的数量除以当前周期内全部警报信息的数量;确定关键程度AC为:根据警报信息的出现节点,分为三种情况,分别为在当前采集周期中出现过、在之前的z个采集周期内出现过、在之前的z个采集周期内都没有出现过,这三类情况分别对应一个AC值,且逐渐递增;z为大...
【专利技术属性】
技术研发人员:胡昌振,胡晶晶,刘辰,王策,闫怀志,赵小林,单纯,薛静锋,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。