蘇鵬濤，吳 貺，陳孟婕，張雪芹

（1.上海欣能信息科技發(fā)展有限公司，上海 200025；2.上海摯達(dá)科技發(fā)展有限公司，上海 200433；3.華東理工大學(xué) 信息科學(xué)與工程學(xué)院，上海 200237）

電力信息系統(tǒng)與其他計(jì)算機(jī)信息系統(tǒng)一樣，面臨著各種各樣的安全威脅。傳統(tǒng)的信息系統(tǒng)威脅評(píng)估通常采用CORAS 方法、層次分析法、貝葉斯網(wǎng)絡(luò)法、以及ISSREM 方法等。但是，隨著網(wǎng)絡(luò)攻擊的多元化、復(fù)雜化，這些方法不能有效地實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)威脅進(jìn)行實(shí)時(shí)動(dòng)態(tài)定量評(píng)估。對(duì)此，李欣等[1]提出了一種基于改進(jìn)隱馬爾可夫模型的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法，該方法通過結(jié)合人群搜索算法（seeker optimization algorithm，SOA）以解決Baum-Welch 參數(shù)優(yōu)化算法易陷入局部最優(yōu)解的問題，實(shí)驗(yàn)表明，使用優(yōu)化后的參數(shù)進(jìn)行量化分析有效地提高了模型的準(zhǔn)確率。梁智強(qiáng)等[2]設(shè)計(jì)了一種新型的信息安全風(fēng)險(xiǎn)評(píng)估模型，該模型通過在風(fēng)險(xiǎn)評(píng)估與定量分析中引入層次分析法，并在風(fēng)險(xiǎn)計(jì)算過程中融合模糊數(shù)學(xué)知識(shí)，有效地在降低評(píng)估成本的基礎(chǔ)上提高了評(píng)估效率。馬剛等[3]針對(duì)大規(guī)模分布式復(fù)雜信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，提出了一種基于威脅傳播樹(threat propagation trees，TPT)的系統(tǒng)風(fēng)險(xiǎn)評(píng)估定量分析方法，該方法利用采樣資產(chǎn)節(jié)點(diǎn)的轉(zhuǎn)移狀態(tài)和發(fā)出的威脅傳播邊來生成TPT，通過計(jì)算TPT 的概率和TPT 中資產(chǎn)的期望損失定量評(píng)估系統(tǒng)的風(fēng)險(xiǎn)。Ciapessoni 等[4]提出了基于改進(jìn)的概率風(fēng)險(xiǎn)動(dòng)態(tài)安全評(píng)估方法，將概率風(fēng)險(xiǎn)與時(shí)間域模擬評(píng)估應(yīng)急影響相結(jié)合，提供不穩(wěn)定風(fēng)險(xiǎn)指標(biāo)。該方法可應(yīng)用于當(dāng)前的電力系統(tǒng)以及預(yù)測(cè)電力系統(tǒng)狀態(tài)，為操作和運(yùn)營規(guī)劃環(huán)境提供了有價(jià)值的支撐。Xiong 等[5]提出了基于動(dòng)態(tài)攻防博弈的信息網(wǎng)絡(luò)漏洞威脅評(píng)估模型，根據(jù)信息系統(tǒng)實(shí)際控制調(diào)度，兼顧可用資源的數(shù)量、資源的配置合理性、成本效益和攻擊節(jié)點(diǎn)的數(shù)量等制約條件，建立了信息網(wǎng)絡(luò)漏洞威脅評(píng)估模型，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)物理系統(tǒng)漏洞威脅的定量評(píng)估。周未等[6]提出了一種層次化的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估框架，通過計(jì)算單個(gè)脆弱點(diǎn)的置信度，并綜合分析攻擊危害指數(shù)以及危害指數(shù)，推算節(jié)點(diǎn)攻擊安全風(fēng)險(xiǎn)值，繼而依據(jù)各節(jié)點(diǎn)的權(quán)重值來量化全網(wǎng)的安全風(fēng)險(xiǎn)。張至元等[7]提出基于廣義隨機(jī)佩式網(wǎng)和網(wǎng)絡(luò)安全拓?fù)浯_定的狀態(tài)轉(zhuǎn)移圖Cybernet，利用電力監(jiān)控系統(tǒng)的歷史流量數(shù)據(jù)對(duì)初始入侵概率分量進(jìn)行建模，根據(jù)系統(tǒng)運(yùn)行結(jié)果和馬爾可夫鏈穩(wěn)態(tài)概率量化電力系統(tǒng)信息安全和工程安全的相關(guān)關(guān)系，通過仿真驗(yàn)證了該模型的準(zhǔn)確性和適用性。楊英杰等[8]提出一種基于屬性攻擊圖的動(dòng)態(tài)威脅風(fēng)險(xiǎn)分析模型，該方法結(jié)合通用漏洞評(píng)分標(biāo)準(zhǔn)和貝葉斯概率轉(zhuǎn)移方法，設(shè)計(jì)了單步及綜合威脅轉(zhuǎn)移概率度量策略，并且使用動(dòng)態(tài)威脅屬性攻擊圖生成算法，實(shí)現(xiàn)了消解攻擊圖中威脅傳遞環(huán)路干擾的目的。王輝等[9]提出了一種基于新型貝葉斯模型的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估方法，該模型通過采用刪除節(jié)點(diǎn)次序算法以確定消元順序，并在計(jì)算節(jié)點(diǎn)的后驗(yàn)風(fēng)險(xiǎn)概率時(shí)，采用團(tuán)樹傳播算法進(jìn)行動(dòng)態(tài)計(jì)算，有效降低了后驗(yàn)概率計(jì)算時(shí)間。張雪芹等[10]提出基于屬性攻擊圖和貝葉斯網(wǎng)絡(luò)的社會(huì)工程學(xué)威脅評(píng)估方法，通過定義社會(huì)工程學(xué)的可利用的脆弱性語義和攻擊節(jié)點(diǎn)語義，提出相應(yīng)的脆弱性可利用概率計(jì)算方法，根據(jù)屬性攻擊圖構(gòu)建社會(huì)工程學(xué)攻擊圖，采用貝葉斯網(wǎng)絡(luò)模型對(duì)其進(jìn)行量化評(píng)估。

可見，采用隱馬爾可夫模型、攻擊圖、貝葉斯網(wǎng)絡(luò)等方法可以有效實(shí)現(xiàn)對(duì)信息系統(tǒng)威脅的動(dòng)態(tài)量化評(píng)估，但是這些方法都沒有充分利用信息系統(tǒng)中部署的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（network intrusion detection syetem，NIDS）的報(bào)警信息，而NIDS 的報(bào)警信息具有威脅檢測(cè)實(shí)時(shí)性強(qiáng)的特點(diǎn)，能夠很好地反映當(dāng)前系統(tǒng)所面臨的威脅變化。對(duì)此，本文提出一種基于NIDS 報(bào)警信息和改進(jìn)的隱馬爾可夫模型的網(wǎng)絡(luò)威脅動(dòng)態(tài)分析方法HMM-NIDS。該方法提出綜合優(yōu)先級(jí)、嚴(yán)重度、資產(chǎn)值和可信度4 個(gè)方面對(duì)NIDS 報(bào)警信息進(jìn)行分析，基于貝葉斯網(wǎng)絡(luò)分析NIDS 報(bào)警信息的可信度，基于改進(jìn)的隱馬爾可夫模型動(dòng)態(tài)計(jì)算系統(tǒng)風(fēng)險(xiǎn)值，實(shí)現(xiàn)電力信息系統(tǒng)威脅的動(dòng)態(tài)定量評(píng)估。

1 相關(guān)理論

1.1 HMM 隱馬爾可夫模型

1.1.1 馬爾可夫鏈

馬爾可夫鏈通常用于描述一組互相轉(zhuǎn)化關(guān)系之間具有無后效性關(guān)系的狀態(tài)[x]。設(shè)在任一時(shí)刻t，隨機(jī)序列Ot可以處于的狀態(tài)為s1,s2,···,sN，假設(shè)它在m+k時(shí)刻處于某一個(gè)狀態(tài)qk+m的概率只與它在m時(shí)刻的狀態(tài)qm有關(guān)，而與m時(shí)刻以前的狀態(tài)無關(guān)，即P(Om+k=qm+k|Om=qm,Om-1=qm-1,···,O1=q1)=P(Om+k=qm+k|Om=qm),q1,q2,···,qm,qm+k(s1,s2,···,sN)，則稱Ot為Markov 鏈，并且稱Pij(m,m+k)=，為k步轉(zhuǎn)移概率。

1.1.2 隱馬爾可夫模型

隱馬爾可夫模型 (hidden Markov model，HMM)，是由Baum 和Welch 提出的一種統(tǒng)計(jì)分析模型，被廣泛應(yīng)用在語音識(shí)別、圖像處理、故障診斷等領(lǐng)域[8-9]。隱馬爾可夫模型通常用于描述一個(gè)存在隱含參數(shù)的馬爾可夫過程，是一個(gè)雙重隨機(jī)過程。一個(gè) HMM模型包括如下元素：

a.s，HMM 中隱藏 Markov 鏈。設(shè)有N個(gè)狀態(tài)s1,s2,···,sN，在t時(shí)刻所處的狀態(tài)為qt，則qt∈s1,s2,···,sN。

b.V，觀測(cè)狀態(tài)集合。設(shè)有M個(gè)觀測(cè)狀態(tài)，V={v1,v2,···,vM}。觀測(cè)序列O={o1,o2,···,oT}，其中ot∈V，T表示觀測(cè)序列的長度。

c.π，初始狀態(tài)概率分布。πi=P(q1=vi)，其中 1≤i≤N。向量表示 π=(r1,···,rN)。

d.T，狀態(tài)轉(zhuǎn)移矩陣。

上式表示在t時(shí)刻狀態(tài)為si，則t+1時(shí)刻狀態(tài)為sj的概率。

e.O，觀測(cè)矩陣。

式中：1≤n≤N，1≤m≤M。Onm表示在時(shí)刻t、主機(jī)處于sn狀態(tài)下觀察到vm的概率。

隱馬爾可夫模型通常由兩個(gè)部分構(gòu)成，如圖1所示：第一部分采用 π，P狀態(tài)轉(zhuǎn)移概率描述馬爾可夫鏈；第二部分采用Q描述隨機(jī)過程。第一部分的輸出結(jié)果為狀態(tài)向量，第二部分的輸出結(jié)果為觀察值向量。

圖1 隱馬爾可夫模型過程Fig.1 Process of HMM

1.2 貝葉斯網(wǎng)絡(luò)

貝葉斯網(wǎng)絡(luò)是一種概率圖模型，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是一個(gè)有向無環(huán)圖（directed acyclic graph，DAG），即圖中所有邊都是有方向的，并且沒有循環(huán)，用來刻畫隨機(jī)變量之間的依賴關(guān)系。貝葉斯網(wǎng)絡(luò)為了能夠表示隨機(jī)變量之間的因果關(guān)系或非條件獨(dú)立，把某個(gè)研究系統(tǒng)中所關(guān)聯(lián)到的所有隨機(jī)變量，依據(jù)變量之間是否滿足條件獨(dú)立將其繪制在一個(gè)有向圖中。圖2 展示了一個(gè)貝葉斯網(wǎng)絡(luò)，邊集是E={(A,C),(B,C)}，由于A,B相互獨(dú)立，因此P(A|C,B)=P(A|C)。這意味著，對(duì)于這個(gè)貝葉斯網(wǎng)絡(luò)，A的概率只取決于C，而B值與這個(gè)局部概率無關(guān)。對(duì)圖2，可推出P(A,B,C)=P(A|C)*P(C)*P(B|C)成立。

圖2 貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)Fig.2 Bayesian network structure

一般來說，在給定DAG 中的節(jié)點(diǎn)X={X1,X2,···,Xn}的條件下，任何貝葉斯網(wǎng)絡(luò)的聯(lián)合概率函數(shù)都是P(X)=，其中Xi-1為Xi的父結(jié)點(diǎn)。

2 基于NIDS 報(bào)警信息和HMM 的電力信息系統(tǒng)威脅定量評(píng)估

電力信息系統(tǒng)是一類特定的信息系統(tǒng)。一個(gè)典型的電力信息系統(tǒng)通常包括生產(chǎn)控制區(qū)和信息管理區(qū)。控制區(qū)通常包括分散控制系統(tǒng)DCS、電能計(jì)量系統(tǒng)、調(diào)度系統(tǒng)和保護(hù)管理系等。信息管理區(qū)通常有辦公自動(dòng)化系統(tǒng)、生產(chǎn)管理信息系統(tǒng)等，信息管理區(qū)的關(guān)鍵硬件資產(chǎn)包括交換機(jī)、網(wǎng)關(guān)、操作員站、工程師站等。

為了實(shí)現(xiàn)對(duì)電力信息系統(tǒng)遭受威脅的動(dòng)態(tài)定量評(píng)估，通常可以先計(jì)算出系統(tǒng)中每個(gè)資產(chǎn)（主機(jī)、路由器、系統(tǒng)等）的風(fēng)險(xiǎn)值，繼而得到整個(gè)系統(tǒng)的風(fēng)險(xiǎn)值。但是，由于威脅的動(dòng)態(tài)變化，要定量分析系統(tǒng)中每個(gè)資產(chǎn)的安全動(dòng)態(tài)通常是一個(gè)難點(diǎn)問題。通過文獻(xiàn)分析可以看到，基于隱馬爾可夫模型能夠?qū)π畔⑾到y(tǒng)的安全態(tài)勢(shì)進(jìn)行有效量化評(píng)估。同時(shí)，電力信息系統(tǒng)中通常在防火墻后部署有網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)NIDS，用于實(shí)時(shí)檢測(cè)和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊。為此本文提出基于HMM 和NIDS 報(bào)警信息分析和資產(chǎn)相關(guān)的網(wǎng)絡(luò)安全事件，通過綜合評(píng)估感知資產(chǎn)的威脅狀態(tài)，最終實(shí)現(xiàn)對(duì)系統(tǒng)面臨威脅的定量評(píng)估。

2.1 基于HMM 的電力信息系統(tǒng)威脅定量評(píng)估

設(shè)在電力信息系統(tǒng)中，每個(gè)資產(chǎn)的安全狀態(tài)變化構(gòu)成一個(gè)馬爾可夫鏈，信息系統(tǒng)中NIDS 的報(bào)警序列是一個(gè)隨機(jī)過程，每發(fā)生一個(gè)報(bào)警，就會(huì)對(duì)資產(chǎn)安全狀態(tài)的轉(zhuǎn)移帶來影響（不同類型和不同威脅度的報(bào)警帶來的影響不同）。因此，NIDS 的報(bào)警序列和資產(chǎn)的安全狀態(tài)之間就形成了一個(gè)隱馬爾可夫模型，可根據(jù)觀察一段時(shí)間的報(bào)警序列，計(jì)算出該資產(chǎn)的安全狀態(tài)以及風(fēng)險(xiǎn)值。

2.1.1 主機(jī)的安全狀態(tài)

定義系統(tǒng)中的資產(chǎn)有4 個(gè)安全狀態(tài)，S={G,P,A,C}，含義如表1 所示。4 個(gè)狀態(tài)的轉(zhuǎn)換關(guān)系如圖3 所示。

表1 網(wǎng)絡(luò)威脅狀態(tài)描述Tab.1 Description of network threat state

圖3 網(wǎng)絡(luò)威脅狀態(tài)轉(zhuǎn)換圖Fig.3 Network threat state transition diagram

2.1.2 主機(jī)安全狀態(tài)的分布概率

HMM包含一個(gè)三元組 λ=(T,O,π)。其中，T表示資產(chǎn)狀態(tài)轉(zhuǎn)換概率的狀態(tài)轉(zhuǎn)換矩陣；O表示當(dāng)資產(chǎn)處于某一特定狀態(tài)時(shí)，觀察到某種攻擊概率的觀察矩陣；初始狀態(tài) π則代表計(jì)算開始時(shí)資產(chǎn)處于各個(gè)狀態(tài)的概率。

資產(chǎn)狀態(tài)的初始值可依據(jù)主機(jī)的漏洞信息取得，其后資產(chǎn)處于各個(gè)狀態(tài)的概率可通過O和O計(jì)算。狀態(tài)分布在t時(shí)刻表示為rt={rt(i)}，1≤i≤N，狀態(tài)的分布概率公式表示為

Oi(ot+1)是在t+1 時(shí)刻觀察到觀測(cè)序列ot+1的概率。

2.1.3 主機(jī)和系統(tǒng)風(fēng)險(xiǎn)值的定量計(jì)算

為了能夠定量計(jì)算資產(chǎn)的風(fēng)險(xiǎn)值，引入代價(jià)向量C={c1,c2,...,cN}，該向量表示某資產(chǎn)在各個(gè)狀態(tài)下的量化風(fēng)險(xiǎn)值，通過該量化處理可以將資產(chǎn)狀態(tài)轉(zhuǎn)化為定量風(fēng)險(xiǎn)值R

式中：R為1～4 表示攻擊有一定可能被探測(cè)到；R為4～7 表示資產(chǎn)已經(jīng)遭受到攻擊；R為7～10則表示攻擊比較嚴(yán)重。

假設(shè)一個(gè)系統(tǒng)中共有L個(gè)資產(chǎn)，那么整個(gè)系統(tǒng)的風(fēng)險(xiǎn)值表示為

2.2 基于NIDS 報(bào)警信息的威脅分析

2.2.1 NIDS 報(bào)警類型分類

在電力信息系統(tǒng)中，借助入侵檢測(cè)系統(tǒng)的報(bào)警信息可以了解某資產(chǎn)處于某一特定狀態(tài)時(shí)，遭受到某種攻擊的情況。但是由于NIDS 報(bào)警類型繁多，如Snort 的基本報(bào)警類型就有幾千個(gè)[11]，由于直接將NIDS 報(bào)警和HMM 中的觀察矩陣O關(guān)聯(lián)會(huì)使得觀察矩陣的規(guī)模相當(dāng)龐大，導(dǎo)致算法運(yùn)行效率嚴(yán)重降低。因此需尋找一種合適的報(bào)警歸類方法，縮小觀察矩陣的規(guī)模，加快計(jì)算速度。

為了合理根據(jù)報(bào)警信息評(píng)估主機(jī)狀態(tài)，除了考慮攻擊報(bào)警本身之外，還應(yīng)綜合考慮被攻擊主機(jī)的信息，以及NIDS 虛警的可能性。為此，本文通過對(duì)報(bào)警嚴(yán)重程度、目標(biāo)資產(chǎn)關(guān)鍵程度、攻擊目標(biāo)的優(yōu)先等級(jí)和攻擊成功執(zhí)行的可能性進(jìn)行分析，提出采用嚴(yán)重度（severity）、資產(chǎn)值（asset）、優(yōu)先級(jí)（priority）、可信度(reliability) 4 個(gè)因素相結(jié)合的方式來綜合分析和分類報(bào)警信息，如表2 所示。

表2 報(bào)警數(shù)據(jù)處理分類Tab.2 Alert data processing classification

a.嚴(yán)重度

NIDS，如Snort，對(duì)入侵威脅類型有較為明確的分類和嚴(yán)重等級(jí)定義，如表3 所示，通過查詢?cè)摫韱慰梢缘玫较鄳?yīng)等級(jí)的嚴(yán)重度S。

表3 基于Snort 的嚴(yán)重度分級(jí)Tab.3 Severity classification of snort alert

b.資產(chǎn)值

通常在進(jìn)行威脅分析時(shí)，可以由相關(guān)管理人員給出電力信息系統(tǒng)資產(chǎn)清單，并根據(jù)信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（information technology security evaluation criteria，ITSEC）給出的資產(chǎn)CIA 三性(機(jī)密性、完整性與可用性)計(jì)算資產(chǎn)值A(chǔ)并劃分資產(chǎn)等級(jí)。設(shè)資產(chǎn)值為v，則

式中：x為資產(chǎn)的機(jī)密性；y為資產(chǎn)的完整性；z為資產(chǎn)的可用性值，通常由相關(guān)管理人員結(jié)合企業(yè)業(yè)務(wù)來確定。以某電力信息系統(tǒng)為例，表4給出了關(guān)鍵資產(chǎn)清單及其資產(chǎn)等級(jí)示例。表中資產(chǎn)等級(jí)1，2，3，4，5 分別代表資產(chǎn)等級(jí)為很低、低、中、高、很高。

表4 系統(tǒng)資產(chǎn)清單示例Tab.4 Example of system asset list

c.優(yōu)先級(jí)

優(yōu)先級(jí)用于表示攻擊類型的優(yōu)先級(jí)。Snort 中含有攻擊優(yōu)先級(jí)信息，級(jí)別從1 到3。1 代表級(jí)別最高，3 代表級(jí)別最低。表5 給出優(yōu)先級(jí)P的量化值。

表5 NIDS 報(bào)警優(yōu)先級(jí)分類Tab.5 Classification of priority

2.2.2 基于貝葉斯網(wǎng)絡(luò)的可信度分析

可信度用于衡量攻擊發(fā)生的真實(shí)性以及成功執(zhí)行的可能性。由于NIDS 報(bào)警信息中不可避免地存在著虛警或誤報(bào)情況，為了更合理地評(píng)估風(fēng)險(xiǎn)狀態(tài)，需要對(duì)報(bào)警的可信度做進(jìn)一步分析。為此，本文提出結(jié)合目標(biāo)資產(chǎn)的配置信息、運(yùn)行狀態(tài)以及成功執(zhí)行攻擊所依賴條件，基于貝葉斯網(wǎng)絡(luò)對(duì)可信度R進(jìn)行計(jì)算。

a.構(gòu)建貝葉斯網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)

貝葉斯網(wǎng)絡(luò)方法使用概率值來表示變量之間的依賴關(guān)系。影響攻擊成功執(zhí)行概率的相關(guān)因素可以通過貝葉斯網(wǎng)絡(luò)進(jìn)行推測(cè)?？紤] Microsoft公司安全小組對(duì)攻擊向量的定義，同時(shí)考慮到網(wǎng)絡(luò)環(huán)境中的威脅和攻擊同樣會(huì)對(duì)漏洞的脆弱性產(chǎn)生一定的影響，建立動(dòng)態(tài)威脅分析貝葉斯網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)如圖4 所示。

圖4 動(dòng)態(tài)威脅分析貝葉斯拓?fù)浣Y(jié)構(gòu)Fig.4 Bayesian network topology of network threat

在上述貝葉斯網(wǎng)絡(luò)拓?fù)渲械? 個(gè)節(jié)點(diǎn)分別代表漏洞、操作系統(tǒng)、服務(wù)、端口和應(yīng)用。設(shè)每個(gè)節(jié)點(diǎn)有“Yes”和“No”兩種狀態(tài)，各個(gè)節(jié)點(diǎn)處在“Yes”狀態(tài)的含義如表6 所示。

表6 貝葉斯網(wǎng)絡(luò)各節(jié)點(diǎn)信息Tab.6 Node information of Bayesian network

b.確定條件概率分布

條件概率表（conditional probability table，CPT）通?？梢酝ㄟ^專家知識(shí)和對(duì)歷史數(shù)據(jù)的學(xué)習(xí)獲得[12]，示例如表7 所示。

表7 條件概率表示例Tab.7 Parts of CPT reliability assessment

表7 中，V_ID表示漏洞信息；Ser表示正在運(yùn)行的服務(wù)；App表示應(yīng)用程序。以第一行數(shù)據(jù)為例，P(V_ID)=0.4表示V_ID 節(jié)點(diǎn)處在“Yes”狀態(tài)的先驗(yàn)概率為0.4，其后4 個(gè)概率分別表示OS，Ser，Port，App處在“Yes”狀態(tài)的先驗(yàn)概率；P(Attack|V_ID,OS,Ser,Port,App)=0.99表示5 個(gè)節(jié)點(diǎn)均處在“Yes”狀態(tài)時(shí)攻擊成功的概率為0.99；P(Jiont)=P(Attack=succeed,App=yes,V_ID=yes,OS=yes,Port=yes,Ser=yes)=0.099 8，表示全部節(jié)點(diǎn)均處在“Yes”狀態(tài)的聯(lián)合概率為0.099 8。

c.可信度計(jì)算

首先可使用Nmap 等工具獲取實(shí)際環(huán)境中的主機(jī)節(jié)點(diǎn)信息，包括操作系統(tǒng)、端口、應(yīng)用、服務(wù)等，接下來可以通過漏洞掃描工具獲取在目標(biāo)資產(chǎn)中存在的漏洞，漏洞信息可以在美國國家通用漏洞數(shù)據(jù)庫（national vulnerability database，NVD）[13]中查詢得到。

在獲取5 個(gè)節(jié)點(diǎn)的狀態(tài)后，使用貝葉斯網(wǎng)絡(luò)計(jì)算攻擊成功的概率。設(shè)節(jié)點(diǎn)狀態(tài)數(shù)據(jù)集為D，需要進(jìn)行推理的網(wǎng)絡(luò)結(jié)構(gòu)為B，P(D)和P(B)為先驗(yàn)概率，則貝葉斯網(wǎng)絡(luò)的推理目標(biāo)計(jì)算后驗(yàn)概率P(B|D)的公式為

在現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中，若一個(gè)攻擊所針對(duì)的漏洞信息、操作系統(tǒng)和應(yīng)用程序都與目標(biāo)主機(jī)運(yùn)行狀態(tài)相匹配，而其他3 個(gè)節(jié)點(diǎn)的狀態(tài)均是未知的，則狀態(tài)D表示為

D=(V_ID=yes,OS=yes,App=yes)

根據(jù)表7 的前5 行，可信度R可由下式計(jì)算：

d.報(bào)警信息分類

根據(jù)上述分析可以得到攻擊嚴(yán)重度、資產(chǎn)價(jià)值、優(yōu)先級(jí)和可信度的評(píng)分指標(biāo)，為了實(shí)現(xiàn)對(duì)報(bào)警信息的分類，首先將各因素做歸一化處理，之后采用加權(quán)融合，得到威脅的綜合嚴(yán)重程度分析步驟如下。

第一步：歸一化處理。定義攻擊嚴(yán)重度為VS，資產(chǎn)值為VA，優(yōu)先級(jí)為VP，以及可信度為VR。歸一化處理的公式為

第二步：給定各個(gè)因素的權(quán)重因子 δ，一個(gè)攻擊的綜合威脅程度T′的計(jì)算式為

T′=δ1P+δ2S+δ3R+δ4A

這里，δ可以由專家確定或者根據(jù)歷史數(shù)據(jù)采用層次分析法等方法確定[14]。

第三步：參考CVSS 對(duì)于漏洞評(píng)級(jí)的分類，將報(bào)警分為四類[15]，威脅程度和報(bào)警分類的對(duì)應(yīng)關(guān)系如表8 所示。

表8 報(bào)警分類標(biāo)準(zhǔn)Tab.8 Snort alert classification standard

2.3 HMM-NIDS 算法

將本文所提的基于NIDS 報(bào)警信息和改進(jìn)HMM的威脅定量分析方法命名為HMM-NIDS 算法，該算法描述如下：

步驟1：根據(jù)電力信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)，定義資產(chǎn)當(dāng)前安全狀態(tài)，并確定各安全狀態(tài)概率密度。

步驟2：優(yōu)化HMM 中的T和O的矩陣參數(shù)。

a.獲取Snort 報(bào)警數(shù)據(jù)信息。

b.根據(jù)報(bào)警信息對(duì)優(yōu)先級(jí)、資產(chǎn)值和嚴(yán)重度進(jìn)行量化分析。

c.對(duì)動(dòng)態(tài)威脅建立貝葉斯拓?fù)浣Y(jié)構(gòu)，并建立條件概率表，確定條件概率分布；利用工具獲取節(jié)點(diǎn)的狀態(tài)信息；通過貝葉斯網(wǎng)絡(luò)分析計(jì)算得到攻擊成功的概率，量化可信度評(píng)價(jià)指標(biāo)。

d.將上述四類因素進(jìn)行融合，確定威脅值和報(bào)警類別。

e.根據(jù)報(bào)警類別對(duì)HMM 中原始Trans 和Obs矩陣的參數(shù)進(jìn)行優(yōu)化，并設(shè)置初始概率和代價(jià)向量。

步驟3：利用HMM 對(duì)系統(tǒng)動(dòng)態(tài)威脅量化分析，計(jì)算主機(jī)當(dāng)前的風(fēng)險(xiǎn)值。

步驟4：計(jì)算當(dāng)前系統(tǒng)風(fēng)險(xiǎn)值。

3 實(shí)驗(yàn)及結(jié)果

為了驗(yàn)證本文所提方法的有效性，實(shí)驗(yàn)?zāi)M某電力信息系統(tǒng)遭受到DDoS 網(wǎng)絡(luò)攻擊，采用本文所提方法對(duì)其進(jìn)行動(dòng)態(tài)威脅定量風(fēng)險(xiǎn)分析。

3.1 實(shí)驗(yàn)場(chǎng)景描述

實(shí)驗(yàn)采用Darpa2000 LLDOS1.0 攻擊數(shù)據(jù)集[16]模擬DDoS 攻擊。Darpa2000 LLDOS1.0 的實(shí)驗(yàn)環(huán)境包含4 個(gè)C 類子網(wǎng)。整個(gè)數(shù)據(jù)集包含了由兩臺(tái)Snort 采集得到的190 min 的NIDS 報(bào)警數(shù)據(jù)。一條Snort 報(bào)警包含的信息包括：時(shí)間戳、報(bào)警類型編號(hào)、報(bào)警名稱、攻擊類型、優(yōu)先級(jí)、協(xié)議、源地址和端口、目標(biāo)地址和端口等。通常情況下，一個(gè)攻擊可觸發(fā)多條 NIDS 報(bào)警，一條報(bào)警表示攻擊在該時(shí)間節(jié)點(diǎn)上的攻擊特征。

圖5 給出了該次 DDoS 攻擊的步驟，描述如下：

圖5 DARPA 實(shí)驗(yàn)場(chǎng)景攻擊步驟Fig.5 Scenario steps of DARPA experiment

第一階段：IP 掃描。攻擊入侵者發(fā)送ICMP請(qǐng)求監(jiān)聽ICMP 應(yīng)答，進(jìn)行IP 掃描是為了尋找網(wǎng)絡(luò)中的活躍主機(jī)。

第二階段：Sadmind Ping。通過探查發(fā)現(xiàn)的活躍主機(jī)，確定正在執(zhí)行遠(yuǎn)端管理工具的主機(jī)，以此鎖定了Pascal，Mill 和Locke3 臺(tái)主機(jī)。

第三階段：攻擊Pascal，Mill 和Locke3 臺(tái)主機(jī)。3 臺(tái)主機(jī)被攻擊者使用Sadmind 漏洞攻擊鎖定。由于是一個(gè)遠(yuǎn)程緩沖區(qū)溢出攻擊，攻擊者需不斷嘗試入侵，直至成功。

第四階段：3 臺(tái)主機(jī)Pascal，Mill 和Locke遭受了入侵攻擊，成為傀儡機(jī)。攻擊者在 Pascal，Mill 和Locke 上安裝DDoS 工具，經(jīng)由RSH 服務(wù)登錄，并裝配攻擊代理。

第五階段：開始DDoS 攻擊?？軝C(jī)上所有的服務(wù)均被攻擊者使用攻擊代理控制，攻擊者通過偽造IP 地址對(duì)遠(yuǎn)程服務(wù)器發(fā)起DDoS 攻擊。

3.2 實(shí)驗(yàn)及結(jié)果

3.2.1 報(bào)警分類

對(duì)實(shí)驗(yàn)中每條Snort 報(bào)警信息分析后可得到嚴(yán)重度、資產(chǎn)值、優(yōu)先級(jí)和可信度量化值，根據(jù)經(jīng)驗(yàn)設(shè)優(yōu)先級(jí)、嚴(yán)重度、可信度和資產(chǎn)值的權(quán)重分別為δ1=0.30，δ2=0.33，δ3=0.21，δ4=0.16，融合得到該條Snort 報(bào)警信息的威脅值以及類別。受篇幅限制，表9 僅列出部分Snort 報(bào)警信息的威脅類別。

表9 Snort DARPA 實(shí)驗(yàn)報(bào)警分類Tab.9 Snort DARPA alert classification

3.2.2 觀測(cè)矩陣優(yōu)化

根據(jù)上述實(shí)驗(yàn)場(chǎng)景，在設(shè)置HMM 參數(shù)時(shí)要綜合考慮到以下幾點(diǎn)因素：a.轉(zhuǎn)移矩陣T中，下一時(shí)刻，主機(jī)和網(wǎng)絡(luò)維持原狀態(tài)的可能性最大；b.觀測(cè)矩陣O中，當(dāng)網(wǎng)絡(luò)和主機(jī)處在危險(xiǎn)狀態(tài)時(shí)，更有可能觀測(cè)到威脅度高的報(bào)警；c.一旦主機(jī)進(jìn)入“攻破（C）”狀態(tài)，處于該狀態(tài)的時(shí)長將比其他狀態(tài)的更久；d.為了便于實(shí)驗(yàn)比較，假設(shè)所有主機(jī)的參數(shù)相同。

設(shè)置初始概率為：π=(πG,πP,πA,πC)=(0.8,0.1,0.05,0.05)，代價(jià)向量設(shè)置為:C=(CG,CP,CA,CC)=(0.1,0.4,0.7,1)，假設(shè)最初有100 種NIDS 報(bào)警分類，則原始的轉(zhuǎn)移矩陣為4×100 的矩陣，觀測(cè)矩陣為4×4 的矩陣，受篇幅限制不在此列出。

采用本文改進(jìn)的報(bào)警分類，由于優(yōu)化了報(bào)警類型數(shù)量和一定程度上克服虛警干擾，計(jì)算出的風(fēng)險(xiǎn)值以及對(duì)應(yīng)的安全狀態(tài)概率也隨之改變，轉(zhuǎn)移矩陣T和觀測(cè)矩陣O為

式中：pGP表示由Good 狀態(tài)轉(zhuǎn)換為Probed 狀態(tài)的概率；qG(1)，qG(2)，qG(3)，qG(4)分別表示在Good 狀態(tài)下觀察到報(bào)警類別為優(yōu)先級(jí)、嚴(yán)重度、可信度和資產(chǎn)值的概率，以此類推。這里，各概率值根據(jù)式（1）和式（2）計(jì)算得到。

可見，若NIDS 報(bào)警類型很多，則原始矩陣O規(guī)模很大，運(yùn)算量大，本方法通過對(duì)NIDS 報(bào)警信息歸類，有效地縮小了矩陣O的規(guī)模，減少了算法的復(fù)雜度。

3.2.3 實(shí)時(shí)風(fēng)險(xiǎn)分析

為了進(jìn)一步驗(yàn)證所提方法能夠有效描述系統(tǒng)所受的威脅狀態(tài)，對(duì)這段攻擊場(chǎng)景，根據(jù)式（4）和式（5）計(jì)算系統(tǒng)風(fēng)險(xiǎn)值，對(duì)傳統(tǒng)報(bào)警分類和改進(jìn)分類方法分別計(jì)算其實(shí)時(shí)風(fēng)險(xiǎn)值，使用Sigmaplot 進(jìn)行作圖，計(jì)算結(jié)果如圖6 所示，圖中以min 為單位并選取130 min 的實(shí)驗(yàn)數(shù)據(jù)作為展示。

從圖6(a)和圖6(b)可以看到，采用HMM 和HMM-NIDS 方法可以還原出攻擊場(chǎng)景。

第一階（0～20 min）：IP 掃描。這段時(shí)間的威脅值并不高，圖6(a)和圖6(b)均顯示存在4 分以下威脅。

圖6 威脅實(shí)時(shí)分析圖Fig.6 Real-time threat analysis diagram

第二階段（約35～48 min）：嘗試入侵。可以發(fā)現(xiàn)在這一階段，兩種方法表征的風(fēng)險(xiǎn)值都有了明顯的提升。

第三階段（約48～68 min）：漏洞攻擊。圖6(a)和圖6(b)都在約58 min 左右出現(xiàn)較高風(fēng)險(xiǎn)值，HMM-NIDS 計(jì)算得到的最高風(fēng)險(xiǎn)值達(dá)到了7.865 8。

第四階段（約68～118 min）：安裝 DDoS 程序。該段時(shí)間Snort 檢測(cè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)值大多趨于零，這是因?yàn)镾nort 只能檢測(cè)到網(wǎng)絡(luò)攻擊行為。

第五階段（118～120 min）：DDoS 攻擊。此時(shí)攻擊者發(fā)起DDoS 攻擊，圖6(a)顯示威脅值達(dá)到7.962，圖6(b)顯示威脅值達(dá)到8.216。

可見，采用HMM 和HMM-NIDS 分析得到的威脅值與網(wǎng)絡(luò)安全態(tài)勢(shì)變化狀況均與實(shí)際情況相符合，說明采用HMM 模型能夠?qū)崿F(xiàn)電力信息系統(tǒng)動(dòng)態(tài)威脅定量風(fēng)險(xiǎn)分析。從圖中可以看到，HMM-NIDS 對(duì)1，2，3 階段的刻畫更顯著和清晰。在第一階段，大約3 min 左右，圖6(a)中出現(xiàn)虛警；在第二階段，48 min 左右，圖6(b)更清晰地刻畫出了查探結(jié)束和發(fā)起攻擊前的間歇；在第三階段，在圖6(b)對(duì)攻擊趨勢(shì)（弱-強(qiáng)-弱）刻畫與實(shí)際更加一致，更好地反映了連續(xù)性的攻擊狀態(tài)，而圖6(a)在62 min 左右出現(xiàn)了風(fēng)險(xiǎn)為0 的情況。

4 結(jié)論

針對(duì)典型電力信息系統(tǒng)的網(wǎng)絡(luò)威脅定量評(píng)估問題，提出了基于NIDS 報(bào)警信息和 HMM 的網(wǎng)絡(luò)威脅動(dòng)態(tài)分析方法HMM-NIDS。該方法充分利用系統(tǒng)中部署的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)NIDS 的報(bào)警信息，提出從優(yōu)先級(jí)、嚴(yán)重度、資產(chǎn)值和可信度4 個(gè)方面對(duì)當(dāng)前威脅進(jìn)行分類，簡(jiǎn)化隱馬爾可夫模型中的觀測(cè)矩陣，并給出了優(yōu)先級(jí)、嚴(yán)重度、資產(chǎn)值和可信度的定量描述方法，特別是提出基于貝葉斯網(wǎng)絡(luò)分析NIDS 報(bào)警信息的可信度，防止了誤報(bào)和虛警信息的干擾。最后，基于優(yōu)化的HMM模型，融合計(jì)算得到系統(tǒng)的動(dòng)態(tài)威脅量化值?；贒arpa2000 數(shù)據(jù)集，模擬系統(tǒng)發(fā)生DDoS 攻擊時(shí)的狀態(tài)，實(shí)驗(yàn)驗(yàn)證了本文方法的有效性和優(yōu)越性。未來，可進(jìn)一步結(jié)合脆弱性等其他因素，對(duì)電力信息系統(tǒng)做更全面的風(fēng)險(xiǎn)評(píng)估。