郭义

摘 要：隐马尔可夫模型（HMM）是网络安全态势评估模型中应用最广泛的评估模型，其参数的确定直接影响了评估结果的客观性。针对这一问题，在粒子群算法（PSO）的基础上，提出自适应聚群粒子群算法（ASPSO）。首先通过人工鱼群在全局搜索方面的优势对PSO进行改进，然后对PSO算法中的惯性权值和学习因子进行改进，以提高HMM参数寻优准确率。最后以DARPA2000数据集中的LLDoS1.0的DDoS攻击场景进行模拟攻击，结果表明，改进算法在迭代次数方面要明显优于传统的PSO-HMM算法，且可真实模拟DDoS攻击场景，与云网络实际受到攻击时一致。

关键词：云网络;安全态势评估;HMM模型;ASPSO算法

中图分类号：TP393.08 文献标识码：A     文章编号：1001-5922（2021）10-0179-05

Research on Cloud Network Security Based on Improved HMM

Guo Yi

（Fuyang Industrial Economics School， Fuyang 236502， China）

Abstract：The Hidden Markov Model （HMM） is the most widely used evaluation model in the network security situation evaluation model， and the determination of its parameters directly affects the objectivity of the evaluation results. For this problem， the adaptive cluster particle group algorithm （ASPSO） is proposed based on the particle group algorithm （PSO）. The PSO is first improved through the advantages of artificial fish groups in global search， and then the inertia weights and learning factors in the PSO algorithm are improved to improve the optimization accuracy of HMM parameters. Finally， the DDoS attack is the DDoS attack scene of LLDoS1.0 in the DARPA2000 dataset， which shows that the improved algorithm is significantly better than the traditional PSO-HMM algorithm in terms of iterations， and can truly simulate the DDoS attack scene， consistent with when the cloud network is actually attacked.

Key words：cloud network; security situation assessment; HMM model; ASPSO algorithm

在云计算和大数据高速发展的今天，信息安全、云平台防护等面临巨大威胁，如病毒入侵、分布式拒绝服务（DDoS）攻击、黑客攻击等。从当前网络面临的威胁来看，传统的入侵检测系统（IDS）、入侵防御系统（IPS）等被动防御已不能满足网络安全防护需求。同时，网络安全态势感知（Network Security Situation Awareness，NSSA）作为网络运行状态的反映，不仅可体现当前的运行状况，还可根据态势评估值评估未来运行趋势。在网络安全态势感知中，主要数据来源于日志文件、网络设备等。通过对这些数据的整合、关联分析，并结合态势评估算法，实现态势预测评估目的，以争取在网络攻击前规避或者是遏制部分威胁，达到保护和降低攻击的目的。而当前基于网络安全态势的评估中，比较常见的态势评估方法包括Dempster/Shafer（D-S）证据理论、朴素贝叶斯分类、攻击图、BP（Back Propagation）神经网络等[1-6]。李欣等[8]将隐马尔可夫模型应用到云网络环境中，认为隐马尔可夫模型（Hidden Markov Model， HMM） 在实时评估网络状态方面具有无可比拟的优势，但是存在模型参数匹配较难，以及评估准确率不高的问题。鉴于此，本研究則在以上研究理论和实践的基础上，提出自适应聚群粒子群算法的HMM参数优化方法，并对云网络安全态势进行评估。

1 基于HMM的网络安全态势评估

基于HMM的网络安全态势评估认为，网络的安全状态与实际观察的安全事件并非一一对应，而是通过概率分布进行联系，即网络安全的序列可展示网络状态的变化。在云网络中，将云网络看成是由若干个节点过程，网络攻击者通过网络节点发起攻击。因此，对云网络安全进行评估，可看成是对节点的安全态势评估。其中通过设备可搜集到节点的漏洞、病毒和攻击信息，是观测序列。这些节点的安全状态很难直接观察到，因此又称为隐藏状态。对此，为度量节点的安全状态，认为节点的安全状态与攻击者间是概率关系，可通过HMM来进行描述。因此，通过HMM模型在对网络中的节点进行态势分量建模后，则通过出现最高概率的隐藏状态序列来进行安全态势的评估与判断。

基于HMM的网络安全态势评估由五元组λ={S，M，π，A，B}构成，具体为：①状态空间为S={S1，S2，…，SN}，依据安全事件的等级，网络状态空间S={G，L，M，H， S}，其中G、L、M、H、S分别表示网络状态良好、低危、中危、高危、严重。②M为每一个安全状态对应的观测集合，用M={M1，M2，…，MN}，O={O1，O2，…，Ot，…，OT}。为提高建立的模型计算速度，增加数据源的完备性，本文参考韩爱平等的研究成果，将IDS告警因素按照影响等级设定为10，且观测符号个数也设定为10，N={1，2，…，10}。③π为初始状态矩阵，则应用π={πi}可计算各个状态下的初始概率，其中。④A为状态转移矩阵，t 时刻网络安全状态为i，t+1时刻网络安全状态为 j，t到t+1时刻网络安全状态的概率为aij，则A={aij}，，其中，，。⑤预测符号矩阵为B，t 时刻网络安全状态为Si，观测符号bj在Si条件下的概率分布为bj（k），则，。其中bij≥0，，bj（k）不随时间的变化而发生改变。

其中，π和A为马尔科夫链参数，B表示一般随机过程的参数。前者产生状态序列，后者产生观测序列。

在确定以上的HMM参数后，根据周期内检测到的观测状态序列，O={O1，O2，…，Ot，…，OT}，可计算出各节点在  t  时刻的概率rt（i），具体表示为

式（1）中，。根据公式可求得各个节点不同时间段的分布，进而判断各个节点出现威胁的概率。

为更好的度量节点安全态势，引入节点权重对态势进行评估，具体计算公式为

式（2）中，Z表示网络节点数目;SA表示网络安全态势值;WHiRi表示各个节点的权重。其中，应用Pagerank算法对节点进行权重分配，具体分配方法可用式（3）表示为

式（3）中，α=0.85;W（hi）表示节点权重值;N表示网络中节点数目;Out（hj）表示hj的出链数目;Mpi表示hj的出链集合。

2 HMM参数优化改进

在实际应用场景中，HMM模型参数设置暴露出人工设置的不准确性。因此，有必要对HMM参数进行优化，减少传统认为设置的主观性。针对该问题，李欣等（2019）提出通过Baum-Welch（BW） 参数优化算法与人群搜索算法结合对HMM进行优化。结果表明：该方法可提高准确率[8]。本研究在以往研究的基础上，参考韩爱平的研究成果[9]，提出采用自适应聚群粒子群算法的HMM参数优化方法。

2.1 基于ASPSO的HMM参数优化

传统的粒子群优化算法（PSO）虽然寻优速度快，可应用于HMM模型参数进行确定，但由于其构造简单，在搜索过程中容易陷入局部最优解，且收敛速度普遍较慢，因此需要对PSO算法进行改进。在该改进中，引入人工鱼群的拥挤度因子，进而避免传统PSO算法在HMM参数优化中容易陷入局部极值，从而达到全局最优的目的。

在引入人工鱼群算法的同时，对PSO算法也进行改进，具体是对惯性权值ω和学习因子c1、c2的改进。本文首先确定PSO算法的惯性权值ω在0.4～0.9。在搜索迭代初期，通常取较大惯性权值，从而让粒子摆脱剧组最优，提高全局最优;在后期，则取较小的惯性权值。因此，基于以上的分析，本文中将算法的迭代代数 gen 自适应的惯性权值公式变为

式（4）中，gen表示迭代代数;genmax表示最大迭数;ωgen表示迭代代数gen的自适应惯性权值;ωmax=0.9，ωmin=0.4。

同时，PSO算法中初次迭代时，c1和c2会影响算法的全局寻优能力和收敛速度。为保证PSO就有较强的全局寻优和收敛速度，本文应用迭代代数gen与学习因子的关系，确定了c1、c2的更新公式为

式（5）、（6）中，gen表示迭代代数;genmax表示最大迭代代数;cmin表示学习因子c1的初始值;cmax表示学习因子c1的最终值，且满足0>cmin>cmax≤4。

2.2 基于ASPSO的HMM网络安全态势评估

结合以上的HMM参数寻优改进，将云网络的安全态势评估步骤分为以下几步：

①确定HMM模型初始结构参数，包括状态转移矩阵和符号矩阵参数的确定;②初始化种群，设定初始粒子群数目为50，最大迭代数为100，确定种群中粒子的初始位置和初始速度，应用惯性权值计算式（4）和学习因子计算式（5）、（6）确定ω和c1、c2的值;③确定人工鱼群算法参数，设人工鱼总数为50，移动步长为0.5，最大试探数为4，拥挤度因子为0.2;④计算粒子的适应度函数并更新其最优值;⑤若迭代代数达到设定的最大迭代代数，停止算法，输出最优粒子个体;若迭代数没有达到最大迭代数，重复步骤④、⑤，直至得到最优参数;⑥根据式（2）计算网络安全态势结果，并输出结果。基于 ASPSO的HMM云网络安全态势评估流程如图1所示。

3 仿真实验

3.1 实验数据来源

为研究基于 ASPSO的HMM模型对云网络安全的评估结果，本实验应用DARPA2000数据集，在该数据集中包含LLDoS 1. 0的DDoS攻击场景作为云网络安全态势的评估。DDoS 攻击网络流量主要分为5个阶段：

第1阶段：扫描活跃主机。

IP为202. 77. 162. 213的攻击者对172. 16. 112. 0/24、172. 16. 113. 0/24、172. 16. 114. 0/24和 172. 16. 115. 0/24這4个IP进行扫描，查询其中活跃的主机。

第2阶段：Sadmind查询。

查询活跃主机是否运行sadmind，若主机正在运行sadmind，可进行第3阶段。

第3阶段：获取主机root权限。

根据Sadmind Buffer Overflow漏洞获得172. 16. 112. 20、172. 16. 112. 10、172. 16. 115. 50主机root权限。

第4阶段：安装DDoS攻击工具。

在172. 16. 112. 20、172. 16. 112. 10、172. 16. 115. 50这3台主机中安装DDoS攻击工具。

第5阶段：发起攻击。

利用DDoS攻击工具发起攻击，远程控制172. 16. 112. 20、172. 16. 112. 10、172. 16. 115. 50这3台主机。

3.2 模型参数确定

为确保仿真实验的准确性，本实验在Windows7操作系统、Matlab2014b、硬件处理系统为500 Hz、内存为512 M以上的环境下进行实验。

设置 A/B 的参数。π =（1，0，0，0，0）。应用Matlab2017b软件多次对模型参数进行实验，最终确定模型的关键参数：惯性权值ωmax= 0.9，ωmin= 0.4;学习因子c1最大4，最小1;人工鱼群数最少50;人工鱼移动步长为0.5，最大试探数为4，感知距离为6，拥挤度因子为0.2。

3.3 仿真结果

（1）迭代次数优化。通过以上设置，分别得到只采用PSO算法和应用ASPSO算法对HMM参数进行优化的结果。其结果分别如图2、图3所示。

由图2可知，PSO 算法對HMM模型参数的优化需要进行430次迭代才能得到最优解;由图3可知，ASPSO算法对HMM模型参数的优化仅在第160代迭代数就可得到最优解。可见，ASPSO算法的优化结果比PSO算法的优化结果显著。

（2）参数优化结果。应用ASPSO算法对模型的状态转移矩阵参数和观测符号矩阵参数进行优化，可得到如表1所示的状态转移矩阵参数和表2所示的观测符号矩阵参数值。

（3）安全态势评估。结合以上的参数，采用DDoS攻击场景1对云网络进行攻击模拟，对云网络中的主机发起攻击。攻击5个阶段发生的大致时间为：第1阶段18～30 min;第2阶段36～50 min;第3阶段62～63 min;第4阶段80 min后;第5阶段118 min后。根据上述的模拟攻击，如得到图4的安全态势评估结果。

由图4可知，主机在被攻击者与实际攻击场合吻合，共经历5个阶段。当攻击者攻击进行到第3阶段时，由于主机安装有DDoS程序，因此后两个攻击阶段的态势曲线并没有通过曲线图反映出来。

整体网络安全态势评估曲线如图5所示。

由5可知，在攻击者攻击主机的第1阶段扫描过程中，云网络的态势值不高，为0.921;第2阶段Sadmind扫描，网络的态势值开始增大，为1.866;第3阶段入侵成功，网络态势值达到3.935;第4阶段攻击过程中，网络的态势值不断减小直至趋于0;第5阶段控制主机，此时的网络态势值达到4.247。

4 结语

综上所述，本实验对HMM模型参数优化，可极大减少迭代次数，并得到最优的HMM参数;同时，通过对HMM参数的改进，可得到不同攻击节点网络的安全态势，且这种态势与实际的攻击一致，说明本实验的改进有效，取得良好的评估效果。

参考文献

[1]汤永利，李伟杰，于金霞，等. 基于改进D-S证据理论的网络安全态势评估方法[J]. 南京理工大学学报，2015，39（04）：405-411.

[2]文志诚，曹春丽，周 浩. 基于朴素贝叶斯分类器的网络安全态势评估方法[J]. 计算机应用，2015，35（08）：2 164-2 168.

[3]王 坤，邱 辉，杨豪璞. 基于攻击模式识别的网络安全态势评估方法[J]. 计算机应用，2016，36（01）：194-198+226.

[4]谢丽霞，王志华. 基于布谷鸟搜索优化BP神经网络的网络安全态势评估方法[J]. 计算机应用，2017，37（07）：1 926-1 930.

[5]韩晓露，刘 云，张振江，等. 网络安全态势感知理论与技术综述及难点问题研究[J]. 信息安全与通信保密，2019（07）：61-71.

[6]王岩雪，孙大跃. 基于蚁群算法优化BP神经网络的政务云网络态势预测研究[J/OL]. 现代电子技术，2020（07）：1-6.

[7]丁华东，许华虎，段 然，等. 基于贝叶斯方法的安全态势感知模型[J/OL]. 计算机工程，2020（07）：1-12.

[8]李 欣，段詠程. 基于改进隐马尔可夫模型的网络安全态势评估方法[J/OL].计算机科学，2020（05）：1-5.

[9]韩爱平. 面向政务云的网络安全态势评估与预测技术研究[D].西安：长安大学，2019.