蘇鵬濤，吳 貺，陳孟婕，張雪芹

（1.上海欣能信息科技發(fā)展有限公司，上海 200025；2.上海摯達(dá)科技發(fā)展有限公司，上海 200433；3.華東理工大學(xué) 信息科學(xué)與工程學(xué)院，上海 200237）

電力信息系統(tǒng)與其他計算機(jī)信息系統(tǒng)一樣，面臨著各種各樣的安全威脅。傳統(tǒng)的信息系統(tǒng)威脅評估通常采用CORAS 方法、層次分析法、貝葉斯網(wǎng)絡(luò)法、以及ISSREM 方法等。但是，隨著網(wǎng)絡(luò)攻擊的多元化、復(fù)雜化，這些方法不能有效地實現(xiàn)對網(wǎng)絡(luò)威脅進(jìn)行實時動態(tài)定量評估。對此，李欣等[1]提出了一種基于改進(jìn)隱馬爾可夫模型的網(wǎng)絡(luò)安全態(tài)勢評估方法，該方法通過結(jié)合人群搜索算法（seeker optimization algorithm，SOA）以解決Baum-Welch 參數(shù)優(yōu)化算法易陷入局部最優(yōu)解的問題，實驗表明，使用優(yōu)化后的參數(shù)進(jìn)行量化分析有效地提高了模型的準(zhǔn)確率。梁智強(qiáng)等[2]設(shè)計了一種新型的信息安全風(fēng)險評估模型，該模型通過在風(fēng)險評估與定量分析中引入層次分析法，并在風(fēng)險計算過程中融合模糊數(shù)學(xué)知識，有效地在降低評估成本的基礎(chǔ)上提高了評估效率。馬剛等[3]針對大規(guī)模分布式復(fù)雜信息系統(tǒng)的風(fēng)險評估，提出了一種基于威脅傳播樹(threat propagation trees，TPT)的系統(tǒng)風(fēng)險評估定量分析方法，該方法利用采樣資產(chǎn)節(jié)點的轉(zhuǎn)移狀態(tài)和發(fā)出的威脅傳播邊來生成TPT，通過計算TPT 的概率和TPT 中資產(chǎn)的期望損失定量評估系統(tǒng)的風(fēng)險。Ciapessoni 等[4]提出了基于改進(jìn)的概率風(fēng)險動態(tài)安全評估方法，將概率風(fēng)險與時間域模擬評估應(yīng)急影響相結(jié)合，提供不穩(wěn)定風(fēng)險指標(biāo)。該方法可應(yīng)用于當(dāng)前的電力系統(tǒng)以及預(yù)測電力系統(tǒng)狀態(tài)，為操作和運(yùn)營規(guī)劃環(huán)境提供了有價值的支撐。Xiong 等[5]提出了基于動態(tài)攻防博弈的信息網(wǎng)絡(luò)漏洞威脅評估模型，根據(jù)信息系統(tǒng)實際控制調(diào)度，兼顧可用資源的數(shù)量、資源的配置合理性、成本效益和攻擊節(jié)點的數(shù)量等制約條件，建立了信息網(wǎng)絡(luò)漏洞威脅評估模型，實現(xiàn)了對網(wǎng)絡(luò)物理系統(tǒng)漏洞威脅的定量評估。周未等[6]提出了一種層次化的網(wǎng)絡(luò)安全風(fēng)險評估框架，通過計算單個脆弱點的置信度，并綜合分析攻擊危害指數(shù)以及危害指數(shù)，推算節(jié)點攻擊安全風(fēng)險值，繼而依據(jù)各節(jié)點的權(quán)重值來量化全網(wǎng)的安全風(fēng)險。張至元等[7]提出基于廣義隨機(jī)佩式網(wǎng)和網(wǎng)絡(luò)安全拓?fù)浯_定的狀態(tài)轉(zhuǎn)移圖Cybernet，利用電力監(jiān)控系統(tǒng)的歷史流量數(shù)據(jù)對初始入侵概率分量進(jìn)行建模，根據(jù)系統(tǒng)運(yùn)行結(jié)果和馬爾可夫鏈穩(wěn)態(tài)概率量化電力系統(tǒng)信息安全和工程安全的相關(guān)關(guān)系，通過仿真驗證了該模型的準(zhǔn)確性和適用性。楊英杰等[8]提出一種基于屬性攻擊圖的動態(tài)威脅風(fēng)險分析模型，該方法結(jié)合通用漏洞評分標(biāo)準(zhǔn)和貝葉斯概率轉(zhuǎn)移方法，設(shè)計了單步及綜合威脅轉(zhuǎn)移概率度量策略，并且使用動態(tài)威脅屬性攻擊圖生成算法，實現(xiàn)了消解攻擊圖中威脅傳遞環(huán)路干擾的目的。王輝等[9]提出了一種基于新型貝葉斯模型的網(wǎng)絡(luò)風(fēng)險評估方法，該模型通過采用刪除節(jié)點次序算法以確定消元順序，并在計算節(jié)點的后驗風(fēng)險概率時，采用團(tuán)樹傳播算法進(jìn)行動態(tài)計算，有效降低了后驗概率計算時間。張雪芹等[10]提出基于屬性攻擊圖和貝葉斯網(wǎng)絡(luò)的社會工程學(xué)威脅評估方法，通過定義社會工程學(xué)的可利用的脆弱性語義和攻擊節(jié)點語義，提出相應(yīng)的脆弱性可利用概率計算方法，根據(jù)屬性攻擊圖構(gòu)建社會工程學(xué)攻擊圖，采用貝葉斯網(wǎng)絡(luò)模型對其進(jìn)行量化評估。

可見，采用隱馬爾可夫模型、攻擊圖、貝葉斯網(wǎng)絡(luò)等方法可以有效實現(xiàn)對信息系統(tǒng)威脅的動態(tài)量化評估，但是這些方法都沒有充分利用信息系統(tǒng)中部署的網(wǎng)絡(luò)入侵檢測系統(tǒng)（network intrusion detection syetem，NIDS）的報警信息，而NIDS 的報警信息具有威脅檢測實時性強(qiáng)的特點，能夠很好地反映當(dāng)前系統(tǒng)所面臨的威脅變化。對此，本文提出一種基于NIDS 報警信息和改進(jìn)的隱馬爾可夫模型的網(wǎng)絡(luò)威脅動態(tài)分析方法HMM-NIDS。該方法提出綜合優(yōu)先級、嚴(yán)重度、資產(chǎn)值和可信度4 個方面對NIDS 報警信息進(jìn)行分析，基于貝葉斯網(wǎng)絡(luò)分析NIDS 報警信息的可信度，基于改進(jìn)的隱馬爾可夫模型動態(tài)計算系統(tǒng)風(fēng)險值，實現(xiàn)電力信息系統(tǒng)威脅的動態(tài)定量評估。

1 相關(guān)理論

1.1 HMM 隱馬爾可夫模型

1.1.1 馬爾可夫鏈

馬爾可夫鏈通常用于描述一組互相轉(zhuǎn)化關(guān)系之間具有無后效性關(guān)系的狀態(tài)[x]。設(shè)在任一時刻t，隨機(jī)序列Ot可以處于的狀態(tài)為s1,s2,···,sN，假設(shè)它在m+k時刻處于某一個狀態(tài)qk+m的概率只與它在m時刻的狀態(tài)qm有關(guān)，而與m時刻以前的狀態(tài)無關(guān)，即P(Om+k=qm+k|Om=qm,Om-1=qm-1,···,O1=q1)=P(Om+k=qm+k|Om=qm),q1,q2,···,qm,qm+k(s1,s2,···,sN)，則稱Ot為Markov 鏈，并且稱Pij(m,m+k)=，為k步轉(zhuǎn)移概率。

1.1.2 隱馬爾可夫模型

隱馬爾可夫模型 (hidden Markov model，HMM)，是由Baum 和Welch 提出的一種統(tǒng)計分析模型，被廣泛應(yīng)用在語音識別、圖像處理、故障診斷等領(lǐng)域[8-9]。隱馬爾可夫模型通常用于描述一個存在隱含參數(shù)的馬爾可夫過程，是一個雙重隨機(jī)過程。一個 HMM模型包括如下元素：

a.s，HMM 中隱藏 Markov 鏈。設(shè)有N個狀態(tài)s1,s2,···,sN，在t時刻所處的狀態(tài)為qt，則qt∈s1,s2,···,sN。

b.V，觀測狀態(tài)集合。設(shè)有M個觀測狀態(tài)，V={v1,v2,···,vM}。觀測序列O={o1,o2,···,oT}，其中ot∈V，T表示觀測序列的長度。

c.π，初始狀態(tài)概率分布。πi=P(q1=vi)，其中 1≤i≤N。向量表示 π=(r1,···,rN)。

d.T，狀態(tài)轉(zhuǎn)移矩陣。

上式表示在t時刻狀態(tài)為si，則t+1時刻狀態(tài)為sj的概率。

e.O，觀測矩陣。

式中：1≤n≤N，1≤m≤M。Onm表示在時刻t、主機(jī)處于sn狀態(tài)下觀察到vm的概率。

隱馬爾可夫模型通常由兩個部分構(gòu)成，如圖1所示：第一部分采用 π，P狀態(tài)轉(zhuǎn)移概率描述馬爾可夫鏈；第二部分采用Q描述隨機(jī)過程。第一部分的輸出結(jié)果為狀態(tài)向量，第二部分的輸出結(jié)果為觀察值向量。

圖1 隱馬爾可夫模型過程Fig.1 Process of HMM

1.2 貝葉斯網(wǎng)絡(luò)

貝葉斯網(wǎng)絡(luò)是一種概率圖模型，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是一個有向無環(huán)圖（directed acyclic graph，DAG），即圖中所有邊都是有方向的，并且沒有循環(huán)，用來刻畫隨機(jī)變量之間的依賴關(guān)系。貝葉斯網(wǎng)絡(luò)為了能夠表示隨機(jī)變量之間的因果關(guān)系或非條件獨立，把某個研究系統(tǒng)中所關(guān)聯(lián)到的所有隨機(jī)變量，依據(jù)變量之間是否滿足條件獨立將其繪制在一個有向圖中。圖2 展示了一個貝葉斯網(wǎng)絡(luò)，邊集是E={(A,C),(B,C)}，由于A,B相互獨立，因此P(A|C,B)=P(A|C)。這意味著，對于這個貝葉斯網(wǎng)絡(luò)，A的概率只取決于C，而B值與這個局部概率無關(guān)。對圖2，可推出P(A,B,C)=P(A|C)*P(C)*P(B|C)成立。

圖2 貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)Fig.2 Bayesian network structure

一般來說，在給定DAG 中的節(jié)點X={X1,X2,···,Xn}的條件下，任何貝葉斯網(wǎng)絡(luò)的聯(lián)合概率函數(shù)都是P(X)=，其中Xi-1為Xi的父結(jié)點。

2 基于NIDS 報警信息和HMM 的電力信息系統(tǒng)威脅定量評估

電力信息系統(tǒng)是一類特定的信息系統(tǒng)。一個典型的電力信息系統(tǒng)通常包括生產(chǎn)控制區(qū)和信息管理區(qū)?？刂茀^(qū)通常包括分散控制系統(tǒng)DCS、電能計量系統(tǒng)、調(diào)度系統(tǒng)和保護(hù)管理系等。信息管理區(qū)通常有辦公自動化系統(tǒng)、生產(chǎn)管理信息系統(tǒng)等，信息管理區(qū)的關(guān)鍵硬件資產(chǎn)包括交換機(jī)、網(wǎng)關(guān)、操作員站、工程師站等。

為了實現(xiàn)對電力信息系統(tǒng)遭受威脅的動態(tài)定量評估，通?？梢韵扔嬎愠鱿到y(tǒng)中每個資產(chǎn)（主機(jī)、路由器、系統(tǒng)等）的風(fēng)險值，繼而得到整個系統(tǒng)的風(fēng)險值。但是，由于威脅的動態(tài)變化，要定量分析系統(tǒng)中每個資產(chǎn)的安全動態(tài)通常是一個難點問題。通過文獻(xiàn)分析可以看到，基于隱馬爾可夫模型能夠?qū)π畔⑾到y(tǒng)的安全態(tài)勢進(jìn)行有效量化評估。同時，電力信息系統(tǒng)中通常在防火墻后部署有網(wǎng)絡(luò)入侵檢測系統(tǒng)NIDS，用于實時檢測和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊。為此本文提出基于HMM 和NIDS 報警信息分析和資產(chǎn)相關(guān)的網(wǎng)絡(luò)安全事件，通過綜合評估感知資產(chǎn)的威脅狀態(tài)，最終實現(xiàn)對系統(tǒng)面臨威脅的定量評估。

2.1 基于HMM 的電力信息系統(tǒng)威脅定量評估

設(shè)在電力信息系統(tǒng)中，每個資產(chǎn)的安全狀態(tài)變化構(gòu)成一個馬爾可夫鏈，信息系統(tǒng)中NIDS 的報警序列是一個隨機(jī)過程，每發(fā)生一個報警，就會對資產(chǎn)安全狀態(tài)的轉(zhuǎn)移帶來影響（不同類型和不同威脅度的報警帶來的影響不同）。因此，NIDS 的報警序列和資產(chǎn)的安全狀態(tài)之間就形成了一個隱馬爾可夫模型，可根據(jù)觀察一段時間的報警序列，計算出該資產(chǎn)的安全狀態(tài)以及風(fēng)險值。

2.1.1 主機(jī)的安全狀態(tài)

定義系統(tǒng)中的資產(chǎn)有4 個安全狀態(tài)，S={G,P,A,C}，含義如表1 所示。4 個狀態(tài)的轉(zhuǎn)換關(guān)系如圖3 所示。

表1 網(wǎng)絡(luò)威脅狀態(tài)描述Tab.1 Description of network threat state

圖3 網(wǎng)絡(luò)威脅狀態(tài)轉(zhuǎn)換圖Fig.3 Network threat state transition diagram

2.1.2 主機(jī)安全狀態(tài)的分布概率

HMM包含一個三元組 λ=(T,O,π)。其中，T表示資產(chǎn)狀態(tài)轉(zhuǎn)換概率的狀態(tài)轉(zhuǎn)換矩陣；O表示當(dāng)資產(chǎn)處于某一特定狀態(tài)時，觀察到某種攻擊概率的觀察矩陣；初始狀態(tài) π則代表計算開始時資產(chǎn)處于各個狀態(tài)的概率。

資產(chǎn)狀態(tài)的初始值可依據(jù)主機(jī)的漏洞信息取得，其后資產(chǎn)處于各個狀態(tài)的概率可通過O和O計算。狀態(tài)分布在t時刻表示為rt={rt(i)}，1≤i≤N，狀態(tài)的分布概率公式表示為

Oi(ot+1)是在t+1 時刻觀察到觀測序列ot+1的概率。

2.1.3 主機(jī)和系統(tǒng)風(fēng)險值的定量計算

為了能夠定量計算資產(chǎn)的風(fēng)險值，引入代價向量C={c1,c2,...,cN}，該向量表示某資產(chǎn)在各個狀態(tài)下的量化風(fēng)險值，通過該量化處理可以將資產(chǎn)狀態(tài)轉(zhuǎn)化為定量風(fēng)險值R

式中：R為1～4 表示攻擊有一定可能被探測到；R為4～7 表示資產(chǎn)已經(jīng)遭受到攻擊；R為7～10則表示攻擊比較嚴(yán)重。

假設(shè)一個系統(tǒng)中共有L個資產(chǎn)，那么整個系統(tǒng)的風(fēng)險值表示為

2.2 基于NIDS 報警信息的威脅分析

2.2.1 NIDS 報警類型分類

在電力信息系統(tǒng)中，借助入侵檢測系統(tǒng)的報警信息可以了解某資產(chǎn)處于某一特定狀態(tài)時，遭受到某種攻擊的情況。但是由于NIDS 報警類型繁多，如Snort 的基本報警類型就有幾千個[11]，由于直接將NIDS 報警和HMM 中的觀察矩陣O關(guān)聯(lián)會使得觀察矩陣的規(guī)模相當(dāng)龐大，導(dǎo)致算法運(yùn)行效率嚴(yán)重降低。因此需尋找一種合適的報警歸類方法，縮小觀察矩陣的規(guī)模，加快計算速度。

為了合理根據(jù)報警信息評估主機(jī)狀態(tài)，除了考慮攻擊報警本身之外，還應(yīng)綜合考慮被攻擊主機(jī)的信息，以及NIDS 虛警的可能性。為此，本文通過對報警嚴(yán)重程度、目標(biāo)資產(chǎn)關(guān)鍵程度、攻擊目標(biāo)的優(yōu)先等級和攻擊成功執(zhí)行的可能性進(jìn)行分析，提出采用嚴(yán)重度（severity）、資產(chǎn)值（asset）、優(yōu)先級（priority）、可信度(reliability) 4 個因素相結(jié)合的方式來綜合分析和分類報警信息，如表2 所示。

表2 報警數(shù)據(jù)處理分類Tab.2 Alert data processing classification

a.嚴(yán)重度

NIDS，如Snort，對入侵威脅類型有較為明確的分類和嚴(yán)重等級定義，如表3 所示，通過查詢該表單可以得到相應(yīng)等級的嚴(yán)重度S。

表3 基于Snort 的嚴(yán)重度分級Tab.3 Severity classification of snort alert

b.資產(chǎn)值

通常在進(jìn)行威脅分析時，可以由相關(guān)管理人員給出電力信息系統(tǒng)資產(chǎn)清單，并根據(jù)信息技術(shù)安全評估標(biāo)準(zhǔn)（information technology security evaluation criteria，ITSEC）給出的資產(chǎn)CIA 三性(機(jī)密性、完整性與可用性)計算資產(chǎn)值A(chǔ)并劃分資產(chǎn)等級。設(shè)資產(chǎn)值為v，則

式中：x為資產(chǎn)的機(jī)密性；y為資產(chǎn)的完整性；z為資產(chǎn)的可用性值，通常由相關(guān)管理人員結(jié)合企業(yè)業(yè)務(wù)來確定。以某電力信息系統(tǒng)為例，表4給出了關(guān)鍵資產(chǎn)清單及其資產(chǎn)等級示例。表中資產(chǎn)等級1，2，3，4，5 分別代表資產(chǎn)等級為很低、低、中、高、很高。

表4 系統(tǒng)資產(chǎn)清單示例Tab.4 Example of system asset list

c.優(yōu)先級

優(yōu)先級用于表示攻擊類型的優(yōu)先級。Snort 中含有攻擊優(yōu)先級信息，級別從1 到3。1 代表級別最高，3 代表級別最低。表5 給出優(yōu)先級P的量化值。

表5 NIDS 報警優(yōu)先級分類Tab.5 Classification of priority

2.2.2 基于貝葉斯網(wǎng)絡(luò)的可信度分析

可信度用于衡量攻擊發(fā)生的真實性以及成功執(zhí)行的可能性。由于NIDS 報警信息中不可避免地存在著虛警或誤報情況，為了更合理地評估風(fēng)險狀態(tài)，需要對報警的可信度做進(jìn)一步分析。為此，本文提出結(jié)合目標(biāo)資產(chǎn)的配置信息、運(yùn)行狀態(tài)以及成功執(zhí)行攻擊所依賴條件，基于貝葉斯網(wǎng)絡(luò)對可信度R進(jìn)行計算。

a.構(gòu)建貝葉斯網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)

貝葉斯網(wǎng)絡(luò)方法使用概率值來表示變量之間的依賴關(guān)系。影響攻擊成功執(zhí)行概率的相關(guān)因素可以通過貝葉斯網(wǎng)絡(luò)進(jìn)行推測?？紤] Microsoft公司安全小組對攻擊向量的定義，同時考慮到網(wǎng)絡(luò)環(huán)境中的威脅和攻擊同樣會對漏洞的脆弱性產(chǎn)生一定的影響，建立動態(tài)威脅分析貝葉斯網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)如圖4 所示。

圖4 動態(tài)威脅分析貝葉斯拓?fù)浣Y(jié)構(gòu)Fig.4 Bayesian network topology of network threat

在上述貝葉斯網(wǎng)絡(luò)拓?fù)渲械? 個節(jié)點分別代表漏洞、操作系統(tǒng)、服務(wù)、端口和應(yīng)用。設(shè)每個節(jié)點有“Yes”和“No”兩種狀態(tài)，各個節(jié)點處在“Yes”狀態(tài)的含義如表6 所示。

表6 貝葉斯網(wǎng)絡(luò)各節(jié)點信息Tab.6 Node information of Bayesian network

b.確定條件概率分布

條件概率表（conditional probability table，CPT）通?？梢酝ㄟ^專家知識和對歷史數(shù)據(jù)的學(xué)習(xí)獲得[12]，示例如表7 所示。

表7 條件概率表示例Tab.7 Parts of CPT reliability assessment

表7 中，V_ID表示漏洞信息；Ser表示正在運(yùn)行的服務(wù)；App表示應(yīng)用程序。以第一行數(shù)據(jù)為例，P(V_ID)=0.4表示V_ID 節(jié)點處在“Yes”狀態(tài)的先驗概率為0.4，其后4 個概率分別表示OS，Ser，Port，App處在“Yes”狀態(tài)的先驗概率；P(Attack|V_ID,OS,Ser,Port,App)=0.99表示5 個節(jié)點均處在“Yes”狀態(tài)時攻擊成功的概率為0.99；P(Jiont)=P(Attack=succeed,App=yes,V_ID=yes,OS=yes,Port=yes,Ser=yes)=0.099 8，表示全部節(jié)點均處在“Yes”狀態(tài)的聯(lián)合概率為0.099 8。

c.可信度計算

首先可使用Nmap 等工具獲取實際環(huán)境中的主機(jī)節(jié)點信息，包括操作系統(tǒng)、端口、應(yīng)用、服務(wù)等，接下來可以通過漏洞掃描工具獲取在目標(biāo)資產(chǎn)中存在的漏洞，漏洞信息可以在美國國家通用漏洞數(shù)據(jù)庫（national vulnerability database，NVD）[13]中查詢得到。

在獲取5 個節(jié)點的狀態(tài)后，使用貝葉斯網(wǎng)絡(luò)計算攻擊成功的概率。設(shè)節(jié)點狀態(tài)數(shù)據(jù)集為D，需要進(jìn)行推理的網(wǎng)絡(luò)結(jié)構(gòu)為B，P(D)和P(B)為先驗概率，則貝葉斯網(wǎng)絡(luò)的推理目標(biāo)計算后驗概率P(B|D)的公式為

在現(xiàn)實網(wǎng)絡(luò)環(huán)境中，若一個攻擊所針對的漏洞信息、操作系統(tǒng)和應(yīng)用程序都與目標(biāo)主機(jī)運(yùn)行狀態(tài)相匹配，而其他3 個節(jié)點的狀態(tài)均是未知的，則狀態(tài)D表示為

D=(V_ID=yes,OS=yes,App=yes)

根據(jù)表7 的前5 行，可信度R可由下式計算：

d.報警信息分類

根據(jù)上述分析可以得到攻擊嚴(yán)重度、資產(chǎn)價值、優(yōu)先級和可信度的評分指標(biāo)，為了實現(xiàn)對報警信息的分類，首先將各因素做歸一化處理，之后采用加權(quán)融合，得到威脅的綜合嚴(yán)重程度分析步驟如下。

第一步：歸一化處理。定義攻擊嚴(yán)重度為VS，資產(chǎn)值為VA，優(yōu)先級為VP，以及可信度為VR。歸一化處理的公式為

第二步：給定各個因素的權(quán)重因子 δ，一個攻擊的綜合威脅程度T′的計算式為

T′=δ1P+δ2S+δ3R+δ4A

這里，δ可以由專家確定或者根據(jù)歷史數(shù)據(jù)采用層次分析法等方法確定[14]。

第三步：參考CVSS 對于漏洞評級的分類，將報警分為四類[15]，威脅程度和報警分類的對應(yīng)關(guān)系如表8 所示。

表8 報警分類標(biāo)準(zhǔn)Tab.8 Snort alert classification standard

2.3 HMM-NIDS 算法

將本文所提的基于NIDS 報警信息和改進(jìn)HMM的威脅定量分析方法命名為HMM-NIDS 算法，該算法描述如下：

步驟1：根據(jù)電力信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)，定義資產(chǎn)當(dāng)前安全狀態(tài)，并確定各安全狀態(tài)概率密度。

步驟2：優(yōu)化HMM 中的T和O的矩陣參數(shù)。

a.獲取Snort 報警數(shù)據(jù)信息。

b.根據(jù)報警信息對優(yōu)先級、資產(chǎn)值和嚴(yán)重度進(jìn)行量化分析。

c.對動態(tài)威脅建立貝葉斯拓?fù)浣Y(jié)構(gòu)，并建立條件概率表，確定條件概率分布；利用工具獲取節(jié)點的狀態(tài)信息；通過貝葉斯網(wǎng)絡(luò)分析計算得到攻擊成功的概率，量化可信度評價指標(biāo)。

d.將上述四類因素進(jìn)行融合，確定威脅值和報警類別。

e.根據(jù)報警類別對HMM 中原始Trans 和Obs矩陣的參數(shù)進(jìn)行優(yōu)化，并設(shè)置初始概率和代價向量。

步驟3：利用HMM 對系統(tǒng)動態(tài)威脅量化分析，計算主機(jī)當(dāng)前的風(fēng)險值。

步驟4：計算當(dāng)前系統(tǒng)風(fēng)險值。

3 實驗及結(jié)果

為了驗證本文所提方法的有效性，實驗?zāi)M某電力信息系統(tǒng)遭受到DDoS 網(wǎng)絡(luò)攻擊，采用本文所提方法對其進(jìn)行動態(tài)威脅定量風(fēng)險分析。

3.1 實驗場景描述

實驗采用Darpa2000 LLDOS1.0 攻擊數(shù)據(jù)集[16]模擬DDoS 攻擊。Darpa2000 LLDOS1.0 的實驗環(huán)境包含4 個C 類子網(wǎng)。整個數(shù)據(jù)集包含了由兩臺Snort 采集得到的190 min 的NIDS 報警數(shù)據(jù)。一條Snort 報警包含的信息包括：時間戳、報警類型編號、報警名稱、攻擊類型、優(yōu)先級、協(xié)議、源地址和端口、目標(biāo)地址和端口等。通常情況下，一個攻擊可觸發(fā)多條 NIDS 報警，一條報警表示攻擊在該時間節(jié)點上的攻擊特征。

圖5 給出了該次 DDoS 攻擊的步驟，描述如下：

圖5 DARPA 實驗場景攻擊步驟Fig.5 Scenario steps of DARPA experiment

第一階段：IP 掃描。攻擊入侵者發(fā)送ICMP請求監(jiān)聽ICMP 應(yīng)答，進(jìn)行IP 掃描是為了尋找網(wǎng)絡(luò)中的活躍主機(jī)。

第二階段：Sadmind Ping。通過探查發(fā)現(xiàn)的活躍主機(jī)，確定正在執(zhí)行遠(yuǎn)端管理工具的主機(jī)，以此鎖定了Pascal，Mill 和Locke3 臺主機(jī)。

第三階段：攻擊Pascal，Mill 和Locke3 臺主機(jī)。3 臺主機(jī)被攻擊者使用Sadmind 漏洞攻擊鎖定。由于是一個遠(yuǎn)程緩沖區(qū)溢出攻擊，攻擊者需不斷嘗試入侵，直至成功。

第四階段：3 臺主機(jī)Pascal，Mill 和Locke遭受了入侵攻擊，成為傀儡機(jī)。攻擊者在 Pascal，Mill 和Locke 上安裝DDoS 工具，經(jīng)由RSH 服務(wù)登錄，并裝配攻擊代理。

第五階段：開始DDoS 攻擊。傀儡機(jī)上所有的服務(wù)均被攻擊者使用攻擊代理控制，攻擊者通過偽造IP 地址對遠(yuǎn)程服務(wù)器發(fā)起DDoS 攻擊。

3.2 實驗及結(jié)果

3.2.1 報警分類

對實驗中每條Snort 報警信息分析后可得到嚴(yán)重度、資產(chǎn)值、優(yōu)先級和可信度量化值，根據(jù)經(jīng)驗設(shè)優(yōu)先級、嚴(yán)重度、可信度和資產(chǎn)值的權(quán)重分別為δ1=0.30，δ2=0.33，δ3=0.21，δ4=0.16，融合得到該條Snort 報警信息的威脅值以及類別。受篇幅限制，表9 僅列出部分Snort 報警信息的威脅類別。

表9 Snort DARPA 實驗報警分類Tab.9 Snort DARPA alert classification

3.2.2 觀測矩陣優(yōu)化

根據(jù)上述實驗場景，在設(shè)置HMM 參數(shù)時要綜合考慮到以下幾點因素：a.轉(zhuǎn)移矩陣T中，下一時刻，主機(jī)和網(wǎng)絡(luò)維持原狀態(tài)的可能性最大；b.觀測矩陣O中，當(dāng)網(wǎng)絡(luò)和主機(jī)處在危險狀態(tài)時，更有可能觀測到威脅度高的報警；c.一旦主機(jī)進(jìn)入“攻破（C）”狀態(tài)，處于該狀態(tài)的時長將比其他狀態(tài)的更久；d.為了便于實驗比較，假設(shè)所有主機(jī)的參數(shù)相同。

設(shè)置初始概率為：π=(πG,πP,πA,πC)=(0.8,0.1,0.05,0.05)，代價向量設(shè)置為:C=(CG,CP,CA,CC)=(0.1,0.4,0.7,1)，假設(shè)最初有100 種NIDS 報警分類，則原始的轉(zhuǎn)移矩陣為4×100 的矩陣，觀測矩陣為4×4 的矩陣，受篇幅限制不在此列出。

采用本文改進(jìn)的報警分類，由于優(yōu)化了報警類型數(shù)量和一定程度上克服虛警干擾，計算出的風(fēng)險值以及對應(yīng)的安全狀態(tài)概率也隨之改變，轉(zhuǎn)移矩陣T和觀測矩陣O為

式中：pGP表示由Good 狀態(tài)轉(zhuǎn)換為Probed 狀態(tài)的概率；qG(1)，qG(2)，qG(3)，qG(4)分別表示在Good 狀態(tài)下觀察到報警類別為優(yōu)先級、嚴(yán)重度、可信度和資產(chǎn)值的概率，以此類推。這里，各概率值根據(jù)式（1）和式（2）計算得到。

可見，若NIDS 報警類型很多，則原始矩陣O規(guī)模很大，運(yùn)算量大，本方法通過對NIDS 報警信息歸類，有效地縮小了矩陣O的規(guī)模，減少了算法的復(fù)雜度。

3.2.3 實時風(fēng)險分析

為了進(jìn)一步驗證所提方法能夠有效描述系統(tǒng)所受的威脅狀態(tài)，對這段攻擊場景，根據(jù)式（4）和式（5）計算系統(tǒng)風(fēng)險值，對傳統(tǒng)報警分類和改進(jìn)分類方法分別計算其實時風(fēng)險值，使用Sigmaplot 進(jìn)行作圖，計算結(jié)果如圖6 所示，圖中以min 為單位并選取130 min 的實驗數(shù)據(jù)作為展示。

從圖6(a)和圖6(b)可以看到，采用HMM 和HMM-NIDS 方法可以還原出攻擊場景。

第一階（0～20 min）：IP 掃描。這段時間的威脅值并不高，圖6(a)和圖6(b)均顯示存在4 分以下威脅。

圖6 威脅實時分析圖Fig.6 Real-time threat analysis diagram

第二階段（約35～48 min）：嘗試入侵?？梢园l(fā)現(xiàn)在這一階段，兩種方法表征的風(fēng)險值都有了明顯的提升。

第三階段（約48～68 min）：漏洞攻擊。圖6(a)和圖6(b)都在約58 min 左右出現(xiàn)較高風(fēng)險值，HMM-NIDS 計算得到的最高風(fēng)險值達(dá)到了7.865 8。

第四階段（約68～118 min）：安裝 DDoS 程序。該段時間Snort 檢測的網(wǎng)絡(luò)風(fēng)險值大多趨于零，這是因為Snort 只能檢測到網(wǎng)絡(luò)攻擊行為。

第五階段（118～120 min）：DDoS 攻擊。此時攻擊者發(fā)起DDoS 攻擊，圖6(a)顯示威脅值達(dá)到7.962，圖6(b)顯示威脅值達(dá)到8.216。

可見，采用HMM 和HMM-NIDS 分析得到的威脅值與網(wǎng)絡(luò)安全態(tài)勢變化狀況均與實際情況相符合，說明采用HMM 模型能夠?qū)崿F(xiàn)電力信息系統(tǒng)動態(tài)威脅定量風(fēng)險分析。從圖中可以看到，HMM-NIDS 對1，2，3 階段的刻畫更顯著和清晰。在第一階段，大約3 min 左右，圖6(a)中出現(xiàn)虛警；在第二階段，48 min 左右，圖6(b)更清晰地刻畫出了查探結(jié)束和發(fā)起攻擊前的間歇；在第三階段，在圖6(b)對攻擊趨勢（弱-強(qiáng)-弱）刻畫與實際更加一致，更好地反映了連續(xù)性的攻擊狀態(tài)，而圖6(a)在62 min 左右出現(xiàn)了風(fēng)險為0 的情況。

4 結(jié)論

針對典型電力信息系統(tǒng)的網(wǎng)絡(luò)威脅定量評估問題，提出了基于NIDS 報警信息和 HMM 的網(wǎng)絡(luò)威脅動態(tài)分析方法HMM-NIDS。該方法充分利用系統(tǒng)中部署的網(wǎng)絡(luò)入侵檢測系統(tǒng)NIDS 的報警信息，提出從優(yōu)先級、嚴(yán)重度、資產(chǎn)值和可信度4 個方面對當(dāng)前威脅進(jìn)行分類，簡化隱馬爾可夫模型中的觀測矩陣，并給出了優(yōu)先級、嚴(yán)重度、資產(chǎn)值和可信度的定量描述方法，特別是提出基于貝葉斯網(wǎng)絡(luò)分析NIDS 報警信息的可信度，防止了誤報和虛警信息的干擾。最后，基于優(yōu)化的HMM模型，融合計算得到系統(tǒng)的動態(tài)威脅量化值?；贒arpa2000 數(shù)據(jù)集，模擬系統(tǒng)發(fā)生DDoS 攻擊時的狀態(tài)，實驗驗證了本文方法的有效性和優(yōu)越性。未來，可進(jìn)一步結(jié)合脆弱性等其他因素，對電力信息系統(tǒng)做更全面的風(fēng)險評估。