隐马尔可夫模型在入侵分析中的应用.doc

隐马尔可夫模型在入侵分析中的应用. 隐马尔可夫模型(HMM)介绍 马尔可夫链 设随机序列X={X1, …,XT},其离散状态空间S={S1, …,SN},若满足:P{Xm+k=Sl|X1, …,Xm=Sj}=P{Xm+k=Sj|Xm=Sj}任意m,kN+则X具有马尔可夫属性.我们主要讨论当k=1时,一步转移概率情况,记aij=P(Xt+1=Si|Xt=Sj).通常我们用转移概率矩阵A来描述 : （1） 还引入了初始概率矢量: 隐马尔可夫模型 隐马尔可夫模型是在马尔可夫链的基础上发展来的,是描述随机过程统计的概率模型,有内部状态和外部观察值。它是一个双重随机过程,其中一个马尔可夫链描述了内部状态的转移规律;另一个随机过程则描述了内部状态与外部观察值之间的统计对应关系。隐马尔可夫模型的参数可以描述如下: 内部状态集合: Q={q0,q1, …,qN-1} |Q| = N （2） 观察值集合: V={0,1, …,M-1} |V| = M （3） 状态的概率如(1)式.观察值概率矩阵: B={bj(k)}bj(k)=P(Ot=k|Xt=qj) （4） 观察序列: O=(O0,O1, …,OT-1) |O| = T OtV （5） 其中i=0,1…,T-1 T为时间长度 初始概率矢量: π如(2)式. 因此,隐马尔可夫模型可以用λ=(N,M,A,B, π)来描述. 隐马尔可夫模型三个基本问题 1) 估值问题 　 给定参数λ= (N,M,A,B,π) ,求观察序列O=O(O0,O1, …,Ot-1) 的产生概率.P(O|λ). 为了降低复杂度,本文采用了Baum等人提出的前向算法,其定义如下: at(i)=P(O0,O1, …,Ot, xt=qt|λ) （6） 初始化 a0(i)= πtbt(O0) i=0,1, …,N-1 （7） 递归 对于t=1,2, …,T-1,i=0,1…,N-1有 at(j)=bt(Ot) （8） 终结 P(O|λ)= （9） 2) 解码问题 即给定参数λ= (N,M,A,B,π) ,和观察序列O=(O0,O1,OT-1) 求最有可能产生 O的内部状态序列X = (X0 , X1 , …, XT-1 ) 3) 训练问题　 给定 N和 M,以及观察序列 O = (O0 , O1 , …,OT-1 ) ,如何确定参数λ= (N,M,A,B,π) ,使得 P (O|λ)最大。 本文采用 Baum-Welch算法来训练样本,令: ξt(i,j)=P(O,Xt=qi,Xt+1=qj|λ) （10） 表示在给定观察序列 O和λ= (N,M,A,B,π)时, t时刻状态 qi转移到 t + 1时刻 qj的概率。又令: Βt(i)=P(Ot+1,Ot+2, …,OT-1)|Xi=qi, λ) 1≤t≤T-1 （11） 根据前向算法可以得到: ξ(i,j)= （12） ξ(i,j)=P(O,Xt=qi|λ)= ξ(i,j)= （13） 表示t时刻状态为qi的概率.由此可以得出重估公式: （14） （15） 训练过程就是根据观察序列 O和选取的初始模型λ= (N, M, A, B,π) ,通过重估公式,计算出新的使得.然后重复这个过程,直到P(O|λ)收敛,则此时的模型为所求的模型. 基于隐马尔可夫模型的攻击预测方法 基于隐马尔可夫模型的攻击预测模型 攻击者使用不同的攻击方式来到达其攻击意图，其攻击意图是往往带有隐蔽性，攻击意图隐藏于各种复杂的攻击行为当中。现在的入侵检测系统仅能对各种攻击行