亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于隱馬爾可夫模型的電力信息系統(tǒng)動(dòng)態(tài)威脅定量分析

        2022-09-21 01:04:18蘇鵬濤陳孟婕張雪芹
        關(guān)鍵詞:馬爾可夫貝葉斯威脅

        蘇鵬濤,吳 貺,陳孟婕,張雪芹

        (1.上海欣能信息科技發(fā)展有限公司,上海 200025;2.上海摯達(dá)科技發(fā)展有限公司,上海 200433;3.華東理工大學(xué) 信息科學(xué)與工程學(xué)院,上海 200237)

        電力信息系統(tǒng)與其他計(jì)算機(jī)信息系統(tǒng)一樣,面臨著各種各樣的安全威脅。傳統(tǒng)的信息系統(tǒng)威脅評(píng)估通常采用CORAS 方法、層次分析法、貝葉斯網(wǎng)絡(luò)法、以及ISSREM 方法等。但是,隨著網(wǎng)絡(luò)攻擊的多元化、復(fù)雜化,這些方法不能有效地實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)威脅進(jìn)行實(shí)時(shí)動(dòng)態(tài)定量評(píng)估。對(duì)此,李欣等[1]提出了一種基于改進(jìn)隱馬爾可夫模型的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法,該方法通過結(jié)合人群搜索算法(seeker optimization algorithm,SOA)以解決Baum-Welch 參數(shù)優(yōu)化算法易陷入局部最優(yōu)解的問題,實(shí)驗(yàn)表明,使用優(yōu)化后的參數(shù)進(jìn)行量化分析有效地提高了模型的準(zhǔn)確率。梁智強(qiáng)等[2]設(shè)計(jì)了一種新型的信息安全風(fēng)險(xiǎn)評(píng)估模型,該模型通過在風(fēng)險(xiǎn)評(píng)估與定量分析中引入層次分析法,并在風(fēng)險(xiǎn)計(jì)算過程中融合模糊數(shù)學(xué)知識(shí),有效地在降低評(píng)估成本的基礎(chǔ)上提高了評(píng)估效率。馬剛等[3]針對(duì)大規(guī)模分布式復(fù)雜信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估,提出了一種基于威脅傳播樹(threat propagation trees,TPT)的系統(tǒng)風(fēng)險(xiǎn)評(píng)估定量分析方法,該方法利用采樣資產(chǎn)節(jié)點(diǎn)的轉(zhuǎn)移狀態(tài)和發(fā)出的威脅傳播邊來生成TPT,通過計(jì)算TPT 的概率和TPT 中資產(chǎn)的期望損失定量評(píng)估系統(tǒng)的風(fēng)險(xiǎn)。Ciapessoni 等[4]提出了基于改進(jìn)的概率風(fēng)險(xiǎn)動(dòng)態(tài)安全評(píng)估方法,將概率風(fēng)險(xiǎn)與時(shí)間域模擬評(píng)估應(yīng)急影響相結(jié)合,提供不穩(wěn)定風(fēng)險(xiǎn)指標(biāo)。該方法可應(yīng)用于當(dāng)前的電力系統(tǒng)以及預(yù)測(cè)電力系統(tǒng)狀態(tài),為操作和運(yùn)營規(guī)劃環(huán)境提供了有價(jià)值的支撐。Xiong 等[5]提出了基于動(dòng)態(tài)攻防博弈的信息網(wǎng)絡(luò)漏洞威脅評(píng)估模型,根據(jù)信息系統(tǒng)實(shí)際控制調(diào)度,兼顧可用資源的數(shù)量、資源的配置合理性、成本效益和攻擊節(jié)點(diǎn)的數(shù)量等制約條件,建立了信息網(wǎng)絡(luò)漏洞威脅評(píng)估模型,實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)物理系統(tǒng)漏洞威脅的定量評(píng)估。周未等[6]提出了一種層次化的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估框架,通過計(jì)算單個(gè)脆弱點(diǎn)的置信度,并綜合分析攻擊危害指數(shù)以及危害指數(shù),推算節(jié)點(diǎn)攻擊安全風(fēng)險(xiǎn)值,繼而依據(jù)各節(jié)點(diǎn)的權(quán)重值來量化全網(wǎng)的安全風(fēng)險(xiǎn)。張至元等[7]提出基于廣義隨機(jī)佩式網(wǎng)和網(wǎng)絡(luò)安全拓?fù)浯_定的狀態(tài)轉(zhuǎn)移圖Cybernet,利用電力監(jiān)控系統(tǒng)的歷史流量數(shù)據(jù)對(duì)初始入侵概率分量進(jìn)行建模,根據(jù)系統(tǒng)運(yùn)行結(jié)果和馬爾可夫鏈穩(wěn)態(tài)概率量化電力系統(tǒng)信息安全和工程安全的相關(guān)關(guān)系,通過仿真驗(yàn)證了該模型的準(zhǔn)確性和適用性。楊英杰等[8]提出一種基于屬性攻擊圖的動(dòng)態(tài)威脅風(fēng)險(xiǎn)分析模型,該方法結(jié)合通用漏洞評(píng)分標(biāo)準(zhǔn)和貝葉斯概率轉(zhuǎn)移方法,設(shè)計(jì)了單步及綜合威脅轉(zhuǎn)移概率度量策略,并且使用動(dòng)態(tài)威脅屬性攻擊圖生成算法,實(shí)現(xiàn)了消解攻擊圖中威脅傳遞環(huán)路干擾的目的。王輝等[9]提出了一種基于新型貝葉斯模型的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估方法,該模型通過采用刪除節(jié)點(diǎn)次序算法以確定消元順序,并在計(jì)算節(jié)點(diǎn)的后驗(yàn)風(fēng)險(xiǎn)概率時(shí),采用團(tuán)樹傳播算法進(jìn)行動(dòng)態(tài)計(jì)算,有效降低了后驗(yàn)概率計(jì)算時(shí)間。張雪芹等[10]提出基于屬性攻擊圖和貝葉斯網(wǎng)絡(luò)的社會(huì)工程學(xué)威脅評(píng)估方法,通過定義社會(huì)工程學(xué)的可利用的脆弱性語義和攻擊節(jié)點(diǎn)語義,提出相應(yīng)的脆弱性可利用概率計(jì)算方法,根據(jù)屬性攻擊圖構(gòu)建社會(huì)工程學(xué)攻擊圖,采用貝葉斯網(wǎng)絡(luò)模型對(duì)其進(jìn)行量化評(píng)估。

        可見,采用隱馬爾可夫模型、攻擊圖、貝葉斯網(wǎng)絡(luò)等方法可以有效實(shí)現(xiàn)對(duì)信息系統(tǒng)威脅的動(dòng)態(tài)量化評(píng)估,但是這些方法都沒有充分利用信息系統(tǒng)中部署的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(network intrusion detection syetem,NIDS)的報(bào)警信息,而NIDS 的報(bào)警信息具有威脅檢測(cè)實(shí)時(shí)性強(qiáng)的特點(diǎn),能夠很好地反映當(dāng)前系統(tǒng)所面臨的威脅變化。對(duì)此,本文提出一種基于NIDS 報(bào)警信息和改進(jìn)的隱馬爾可夫模型的網(wǎng)絡(luò)威脅動(dòng)態(tài)分析方法HMM-NIDS。該方法提出綜合優(yōu)先級(jí)、嚴(yán)重度、資產(chǎn)值和可信度4 個(gè)方面對(duì)NIDS 報(bào)警信息進(jìn)行分析,基于貝葉斯網(wǎng)絡(luò)分析NIDS 報(bào)警信息的可信度,基于改進(jìn)的隱馬爾可夫模型動(dòng)態(tài)計(jì)算系統(tǒng)風(fēng)險(xiǎn)值,實(shí)現(xiàn)電力信息系統(tǒng)威脅的動(dòng)態(tài)定量評(píng)估。

        1 相關(guān)理論

        1.1 HMM 隱馬爾可夫模型

        1.1.1 馬爾可夫鏈

        馬爾可夫鏈通常用于描述一組互相轉(zhuǎn)化關(guān)系之間具有無后效性關(guān)系的狀態(tài)[x]。設(shè)在任一時(shí)刻t,隨機(jī)序列Ot可以處于的狀態(tài)為s1,s2,···,sN,假設(shè)它在m+k時(shí)刻處于某一個(gè)狀態(tài)qk+m的概率只與它在m時(shí)刻的狀態(tài)qm有關(guān),而與m時(shí)刻以前的狀態(tài)無關(guān),即P(Om+k=qm+k|Om=qm,Om-1=qm-1,···,O1=q1)=P(Om+k=qm+k|Om=qm),q1,q2,···,qm,qm+k(s1,s2,···,sN),則稱Ot為Markov 鏈,并且稱Pij(m,m+k)=,為k步轉(zhuǎn)移概率。

        1.1.2 隱馬爾可夫模型

        隱馬爾可夫模型 (hidden Markov model,HMM),是由Baum 和Welch 提出的一種統(tǒng)計(jì)分析模型,被廣泛應(yīng)用在語音識(shí)別、圖像處理、故障診斷等領(lǐng)域[8-9]。隱馬爾可夫模型通常用于描述一個(gè)存在隱含參數(shù)的馬爾可夫過程,是一個(gè)雙重隨機(jī)過程。一個(gè) HMM模型包括如下元素:

        a.s,HMM 中隱藏 Markov 鏈。設(shè)有N個(gè)狀態(tài)s1,s2,···,sN,在t時(shí)刻所處的狀態(tài)為qt,則qt∈s1,s2,···,sN。

        b.V,觀測(cè)狀態(tài)集合。設(shè)有M個(gè)觀測(cè)狀態(tài),V={v1,v2,···,vM}。觀測(cè)序列O={o1,o2,···,oT},其中ot∈V,T表示觀測(cè)序列的長度。

        c.π,初始狀態(tài)概率分布。πi=P(q1=vi),其中 1≤i≤N。向量表示 π=(r1,···,rN)。

        d.T,狀態(tài)轉(zhuǎn)移矩陣。

        上式表示在t時(shí)刻狀態(tài)為si,則t+1時(shí)刻狀態(tài)為sj的概率。

        e.O,觀測(cè)矩陣。

        式中:1≤n≤N,1≤m≤M。Onm表示在時(shí)刻t、主機(jī)處于sn狀態(tài)下觀察到vm的概率。

        隱馬爾可夫模型通常由兩個(gè)部分構(gòu)成,如圖1所示:第一部分采用 π,P狀態(tài)轉(zhuǎn)移概率描述馬爾可夫鏈;第二部分采用Q描述隨機(jī)過程。第一部分的輸出結(jié)果為狀態(tài)向量,第二部分的輸出結(jié)果為觀察值向量。

        圖1 隱馬爾可夫模型過程Fig.1 Process of HMM

        1.2 貝葉斯網(wǎng)絡(luò)

        貝葉斯網(wǎng)絡(luò)是一種概率圖模型,其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是一個(gè)有向無環(huán)圖(directed acyclic graph,DAG),即圖中所有邊都是有方向的,并且沒有循環(huán),用來刻畫隨機(jī)變量之間的依賴關(guān)系。貝葉斯網(wǎng)絡(luò)為了能夠表示隨機(jī)變量之間的因果關(guān)系或非條件獨(dú)立,把某個(gè)研究系統(tǒng)中所關(guān)聯(lián)到的所有隨機(jī)變量,依據(jù)變量之間是否滿足條件獨(dú)立將其繪制在一個(gè)有向圖中。圖2 展示了一個(gè)貝葉斯網(wǎng)絡(luò),邊集是E={(A,C),(B,C)},由于A,B相互獨(dú)立,因此P(A|C,B)=P(A|C)。這意味著,對(duì)于這個(gè)貝葉斯網(wǎng)絡(luò),A的概率只取決于C,而B值與這個(gè)局部概率無關(guān)。對(duì)圖2,可推出P(A,B,C)=P(A|C)*P(C)*P(B|C)成立。

        圖2 貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)Fig.2 Bayesian network structure

        一般來說,在給定DAG 中的節(jié)點(diǎn)X={X1,X2,···,Xn}的條件下,任何貝葉斯網(wǎng)絡(luò)的聯(lián)合概率函數(shù)都是P(X)=,其中Xi-1為Xi的父結(jié)點(diǎn)。

        2 基于NIDS 報(bào)警信息和HMM 的電力信息系統(tǒng)威脅定量評(píng)估

        電力信息系統(tǒng)是一類特定的信息系統(tǒng)。一個(gè)典型的電力信息系統(tǒng)通常包括生產(chǎn)控制區(qū)和信息管理區(qū)。控制區(qū)通常包括分散控制系統(tǒng)DCS、電能計(jì)量系統(tǒng)、調(diào)度系統(tǒng)和保護(hù)管理系等。信息管理區(qū)通常有辦公自動(dòng)化系統(tǒng)、生產(chǎn)管理信息系統(tǒng)等,信息管理區(qū)的關(guān)鍵硬件資產(chǎn)包括交換機(jī)、網(wǎng)關(guān)、操作員站、工程師站等。

        為了實(shí)現(xiàn)對(duì)電力信息系統(tǒng)遭受威脅的動(dòng)態(tài)定量評(píng)估,通常可以先計(jì)算出系統(tǒng)中每個(gè)資產(chǎn)(主機(jī)、路由器、系統(tǒng)等)的風(fēng)險(xiǎn)值,繼而得到整個(gè)系統(tǒng)的風(fēng)險(xiǎn)值。但是,由于威脅的動(dòng)態(tài)變化,要定量分析系統(tǒng)中每個(gè)資產(chǎn)的安全動(dòng)態(tài)通常是一個(gè)難點(diǎn)問題。通過文獻(xiàn)分析可以看到,基于隱馬爾可夫模型能夠?qū)π畔⑾到y(tǒng)的安全態(tài)勢(shì)進(jìn)行有效量化評(píng)估。同時(shí),電力信息系統(tǒng)中通常在防火墻后部署有網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)NIDS,用于實(shí)時(shí)檢測(cè)和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊。為此本文提出基于HMM 和NIDS 報(bào)警信息分析和資產(chǎn)相關(guān)的網(wǎng)絡(luò)安全事件,通過綜合評(píng)估感知資產(chǎn)的威脅狀態(tài),最終實(shí)現(xiàn)對(duì)系統(tǒng)面臨威脅的定量評(píng)估。

        2.1 基于HMM 的電力信息系統(tǒng)威脅定量評(píng)估

        設(shè)在電力信息系統(tǒng)中,每個(gè)資產(chǎn)的安全狀態(tài)變化構(gòu)成一個(gè)馬爾可夫鏈,信息系統(tǒng)中NIDS 的報(bào)警序列是一個(gè)隨機(jī)過程,每發(fā)生一個(gè)報(bào)警,就會(huì)對(duì)資產(chǎn)安全狀態(tài)的轉(zhuǎn)移帶來影響(不同類型和不同威脅度的報(bào)警帶來的影響不同)。因此,NIDS 的報(bào)警序列和資產(chǎn)的安全狀態(tài)之間就形成了一個(gè)隱馬爾可夫模型,可根據(jù)觀察一段時(shí)間的報(bào)警序列,計(jì)算出該資產(chǎn)的安全狀態(tài)以及風(fēng)險(xiǎn)值。

        2.1.1 主機(jī)的安全狀態(tài)

        定義系統(tǒng)中的資產(chǎn)有4 個(gè)安全狀態(tài),S={G,P,A,C},含義如表1 所示。4 個(gè)狀態(tài)的轉(zhuǎn)換關(guān)系如圖3 所示。

        表1 網(wǎng)絡(luò)威脅狀態(tài)描述Tab.1 Description of network threat state

        圖3 網(wǎng)絡(luò)威脅狀態(tài)轉(zhuǎn)換圖Fig.3 Network threat state transition diagram

        2.1.2 主機(jī)安全狀態(tài)的分布概率

        HMM包含一個(gè)三元組 λ=(T,O,π)。其中,T表示資產(chǎn)狀態(tài)轉(zhuǎn)換概率的狀態(tài)轉(zhuǎn)換矩陣;O表示當(dāng)資產(chǎn)處于某一特定狀態(tài)時(shí),觀察到某種攻擊概率的觀察矩陣;初始狀態(tài) π則代表計(jì)算開始時(shí)資產(chǎn)處于各個(gè)狀態(tài)的概率。

        資產(chǎn)狀態(tài)的初始值可依據(jù)主機(jī)的漏洞信息取得,其后資產(chǎn)處于各個(gè)狀態(tài)的概率可通過O和O計(jì)算。狀態(tài)分布在t時(shí)刻表示為rt={rt(i)},1≤i≤N,狀態(tài)的分布概率公式表示為

        Oi(ot+1)是在t+1 時(shí)刻觀察到觀測(cè)序列ot+1的概率。

        2.1.3 主機(jī)和系統(tǒng)風(fēng)險(xiǎn)值的定量計(jì)算

        為了能夠定量計(jì)算資產(chǎn)的風(fēng)險(xiǎn)值,引入代價(jià)向量C={c1,c2,...,cN},該向量表示某資產(chǎn)在各個(gè)狀態(tài)下的量化風(fēng)險(xiǎn)值,通過該量化處理可以將資產(chǎn)狀態(tài)轉(zhuǎn)化為定量風(fēng)險(xiǎn)值R

        式中:R為1~4 表示攻擊有一定可能被探測(cè)到;R為4~7 表示資產(chǎn)已經(jīng)遭受到攻擊;R為7~10則表示攻擊比較嚴(yán)重。

        假設(shè)一個(gè)系統(tǒng)中共有L個(gè)資產(chǎn),那么整個(gè)系統(tǒng)的風(fēng)險(xiǎn)值表示為

        2.2 基于NIDS 報(bào)警信息的威脅分析

        2.2.1 NIDS 報(bào)警類型分類

        在電力信息系統(tǒng)中,借助入侵檢測(cè)系統(tǒng)的報(bào)警信息可以了解某資產(chǎn)處于某一特定狀態(tài)時(shí),遭受到某種攻擊的情況。但是由于NIDS 報(bào)警類型繁多,如Snort 的基本報(bào)警類型就有幾千個(gè)[11],由于直接將NIDS 報(bào)警和HMM 中的觀察矩陣O關(guān)聯(lián)會(huì)使得觀察矩陣的規(guī)模相當(dāng)龐大,導(dǎo)致算法運(yùn)行效率嚴(yán)重降低。因此需尋找一種合適的報(bào)警歸類方法,縮小觀察矩陣的規(guī)模,加快計(jì)算速度。

        為了合理根據(jù)報(bào)警信息評(píng)估主機(jī)狀態(tài),除了考慮攻擊報(bào)警本身之外,還應(yīng)綜合考慮被攻擊主機(jī)的信息,以及NIDS 虛警的可能性。為此,本文通過對(duì)報(bào)警嚴(yán)重程度、目標(biāo)資產(chǎn)關(guān)鍵程度、攻擊目標(biāo)的優(yōu)先等級(jí)和攻擊成功執(zhí)行的可能性進(jìn)行分析,提出采用嚴(yán)重度(severity)、資產(chǎn)值(asset)、優(yōu)先級(jí)(priority)、可信度(reliability) 4 個(gè)因素相結(jié)合的方式來綜合分析和分類報(bào)警信息,如表2 所示。

        表2 報(bào)警數(shù)據(jù)處理分類Tab.2 Alert data processing classification

        a.嚴(yán)重度

        NIDS,如Snort,對(duì)入侵威脅類型有較為明確的分類和嚴(yán)重等級(jí)定義,如表3 所示,通過查詢?cè)摫韱慰梢缘玫较鄳?yīng)等級(jí)的嚴(yán)重度S。

        表3 基于Snort 的嚴(yán)重度分級(jí)Tab.3 Severity classification of snort alert

        b.資產(chǎn)值

        通常在進(jìn)行威脅分析時(shí),可以由相關(guān)管理人員給出電力信息系統(tǒng)資產(chǎn)清單,并根據(jù)信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)(information technology security evaluation criteria,ITSEC)給出的資產(chǎn)CIA 三性(機(jī)密性、完整性與可用性)計(jì)算資產(chǎn)值A(chǔ)并劃分資產(chǎn)等級(jí)。設(shè)資產(chǎn)值為v,則

        式中:x為資產(chǎn)的機(jī)密性;y為資產(chǎn)的完整性;z為資產(chǎn)的可用性值,通常由相關(guān)管理人員結(jié)合企業(yè)業(yè)務(wù)來確定。以某電力信息系統(tǒng)為例,表4給出了關(guān)鍵資產(chǎn)清單及其資產(chǎn)等級(jí)示例。表中資產(chǎn)等級(jí)1,2,3,4,5 分別代表資產(chǎn)等級(jí)為很低、低、中、高、很高。

        表4 系統(tǒng)資產(chǎn)清單示例Tab.4 Example of system asset list

        c.優(yōu)先級(jí)

        優(yōu)先級(jí)用于表示攻擊類型的優(yōu)先級(jí)。Snort 中含有攻擊優(yōu)先級(jí)信息,級(jí)別從1 到3。1 代表級(jí)別最高,3 代表級(jí)別最低。表5 給出優(yōu)先級(jí)P的量化值。

        表5 NIDS 報(bào)警優(yōu)先級(jí)分類Tab.5 Classification of priority

        2.2.2 基于貝葉斯網(wǎng)絡(luò)的可信度分析

        可信度用于衡量攻擊發(fā)生的真實(shí)性以及成功執(zhí)行的可能性。由于NIDS 報(bào)警信息中不可避免地存在著虛警或誤報(bào)情況,為了更合理地評(píng)估風(fēng)險(xiǎn)狀態(tài),需要對(duì)報(bào)警的可信度做進(jìn)一步分析。為此,本文提出結(jié)合目標(biāo)資產(chǎn)的配置信息、運(yùn)行狀態(tài)以及成功執(zhí)行攻擊所依賴條件,基于貝葉斯網(wǎng)絡(luò)對(duì)可信度R進(jìn)行計(jì)算。

        a.構(gòu)建貝葉斯網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)

        貝葉斯網(wǎng)絡(luò)方法使用概率值來表示變量之間的依賴關(guān)系。影響攻擊成功執(zhí)行概率的相關(guān)因素可以通過貝葉斯網(wǎng)絡(luò)進(jìn)行推測(cè)??紤] Microsoft公司安全小組對(duì)攻擊向量的定義,同時(shí)考慮到網(wǎng)絡(luò)環(huán)境中的威脅和攻擊同樣會(huì)對(duì)漏洞的脆弱性產(chǎn)生一定的影響,建立動(dòng)態(tài)威脅分析貝葉斯網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)如圖4 所示。

        圖4 動(dòng)態(tài)威脅分析貝葉斯拓?fù)浣Y(jié)構(gòu)Fig.4 Bayesian network topology of network threat

        在上述貝葉斯網(wǎng)絡(luò)拓?fù)渲械? 個(gè)節(jié)點(diǎn)分別代表漏洞、操作系統(tǒng)、服務(wù)、端口和應(yīng)用。設(shè)每個(gè)節(jié)點(diǎn)有“Yes”和“No”兩種狀態(tài),各個(gè)節(jié)點(diǎn)處在“Yes”狀態(tài)的含義如表6 所示。

        表6 貝葉斯網(wǎng)絡(luò)各節(jié)點(diǎn)信息Tab.6 Node information of Bayesian network

        b.確定條件概率分布

        條件概率表(conditional probability table,CPT)通??梢酝ㄟ^專家知識(shí)和對(duì)歷史數(shù)據(jù)的學(xué)習(xí)獲得[12],示例如表7 所示。

        表7 條件概率表示例Tab.7 Parts of CPT reliability assessment

        表7 中,V_ID表示漏洞信息;Ser表示正在運(yùn)行的服務(wù);App表示應(yīng)用程序。以第一行數(shù)據(jù)為例,P(V_ID)=0.4表示V_ID 節(jié)點(diǎn)處在“Yes”狀態(tài)的先驗(yàn)概率為0.4,其后4 個(gè)概率分別表示OS,Ser,Port,App處在“Yes”狀態(tài)的先驗(yàn)概率;P(Attack|V_ID,OS,Ser,Port,App)=0.99表示5 個(gè)節(jié)點(diǎn)均處在“Yes”狀態(tài)時(shí)攻擊成功的概率為0.99;P(Jiont)=P(Attack=succeed,App=yes,V_ID=yes,OS=yes,Port=yes,Ser=yes)=0.099 8,表示全部節(jié)點(diǎn)均處在“Yes”狀態(tài)的聯(lián)合概率為0.099 8。

        c.可信度計(jì)算

        首先可使用Nmap 等工具獲取實(shí)際環(huán)境中的主機(jī)節(jié)點(diǎn)信息,包括操作系統(tǒng)、端口、應(yīng)用、服務(wù)等,接下來可以通過漏洞掃描工具獲取在目標(biāo)資產(chǎn)中存在的漏洞,漏洞信息可以在美國國家通用漏洞數(shù)據(jù)庫(national vulnerability database,NVD)[13]中查詢得到。

        在獲取5 個(gè)節(jié)點(diǎn)的狀態(tài)后,使用貝葉斯網(wǎng)絡(luò)計(jì)算攻擊成功的概率。設(shè)節(jié)點(diǎn)狀態(tài)數(shù)據(jù)集為D,需要進(jìn)行推理的網(wǎng)絡(luò)結(jié)構(gòu)為B,P(D)和P(B)為先驗(yàn)概率,則貝葉斯網(wǎng)絡(luò)的推理目標(biāo)計(jì)算后驗(yàn)概率P(B|D)的公式為

        在現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中,若一個(gè)攻擊所針對(duì)的漏洞信息、操作系統(tǒng)和應(yīng)用程序都與目標(biāo)主機(jī)運(yùn)行狀態(tài)相匹配,而其他3 個(gè)節(jié)點(diǎn)的狀態(tài)均是未知的,則狀態(tài)D表示為

        D=(V_ID=yes,OS=yes,App=yes)

        根據(jù)表7 的前5 行,可信度R可由下式計(jì)算:

        d.報(bào)警信息分類

        根據(jù)上述分析可以得到攻擊嚴(yán)重度、資產(chǎn)價(jià)值、優(yōu)先級(jí)和可信度的評(píng)分指標(biāo),為了實(shí)現(xiàn)對(duì)報(bào)警信息的分類,首先將各因素做歸一化處理,之后采用加權(quán)融合,得到威脅的綜合嚴(yán)重程度分析步驟如下。

        第一步:歸一化處理。定義攻擊嚴(yán)重度為VS,資產(chǎn)值為VA,優(yōu)先級(jí)為VP,以及可信度為VR。歸一化處理的公式為

        第二步:給定各個(gè)因素的權(quán)重因子 δ,一個(gè)攻擊的綜合威脅程度T′的計(jì)算式為

        T′=δ1P+δ2S+δ3R+δ4A

        這里,δ可以由專家確定或者根據(jù)歷史數(shù)據(jù)采用層次分析法等方法確定[14]。

        第三步:參考CVSS 對(duì)于漏洞評(píng)級(jí)的分類,將報(bào)警分為四類[15],威脅程度和報(bào)警分類的對(duì)應(yīng)關(guān)系如表8 所示。

        表8 報(bào)警分類標(biāo)準(zhǔn)Tab.8 Snort alert classification standard

        2.3 HMM-NIDS 算法

        將本文所提的基于NIDS 報(bào)警信息和改進(jìn)HMM的威脅定量分析方法命名為HMM-NIDS 算法,該算法描述如下:

        步驟1:根據(jù)電力信息系統(tǒng)拓?fù)浣Y(jié)構(gòu),定義資產(chǎn)當(dāng)前安全狀態(tài),并確定各安全狀態(tài)概率密度。

        步驟2:優(yōu)化HMM 中的T和O的矩陣參數(shù)。

        a.獲取Snort 報(bào)警數(shù)據(jù)信息。

        b.根據(jù)報(bào)警信息對(duì)優(yōu)先級(jí)、資產(chǎn)值和嚴(yán)重度進(jìn)行量化分析。

        c.對(duì)動(dòng)態(tài)威脅建立貝葉斯拓?fù)浣Y(jié)構(gòu),并建立條件概率表,確定條件概率分布;利用工具獲取節(jié)點(diǎn)的狀態(tài)信息;通過貝葉斯網(wǎng)絡(luò)分析計(jì)算得到攻擊成功的概率,量化可信度評(píng)價(jià)指標(biāo)。

        d.將上述四類因素進(jìn)行融合,確定威脅值和報(bào)警類別。

        e.根據(jù)報(bào)警類別對(duì)HMM 中原始Trans 和Obs矩陣的參數(shù)進(jìn)行優(yōu)化,并設(shè)置初始概率和代價(jià)向量。

        步驟3:利用HMM 對(duì)系統(tǒng)動(dòng)態(tài)威脅量化分析,計(jì)算主機(jī)當(dāng)前的風(fēng)險(xiǎn)值。

        步驟4:計(jì)算當(dāng)前系統(tǒng)風(fēng)險(xiǎn)值。

        3 實(shí)驗(yàn)及結(jié)果

        為了驗(yàn)證本文所提方法的有效性,實(shí)驗(yàn)?zāi)M某電力信息系統(tǒng)遭受到DDoS 網(wǎng)絡(luò)攻擊,采用本文所提方法對(duì)其進(jìn)行動(dòng)態(tài)威脅定量風(fēng)險(xiǎn)分析。

        3.1 實(shí)驗(yàn)場(chǎng)景描述

        實(shí)驗(yàn)采用Darpa2000 LLDOS1.0 攻擊數(shù)據(jù)集[16]模擬DDoS 攻擊。Darpa2000 LLDOS1.0 的實(shí)驗(yàn)環(huán)境包含4 個(gè)C 類子網(wǎng)。整個(gè)數(shù)據(jù)集包含了由兩臺(tái)Snort 采集得到的190 min 的NIDS 報(bào)警數(shù)據(jù)。一條Snort 報(bào)警包含的信息包括:時(shí)間戳、報(bào)警類型編號(hào)、報(bào)警名稱、攻擊類型、優(yōu)先級(jí)、協(xié)議、源地址和端口、目標(biāo)地址和端口等。通常情況下,一個(gè)攻擊可觸發(fā)多條 NIDS 報(bào)警,一條報(bào)警表示攻擊在該時(shí)間節(jié)點(diǎn)上的攻擊特征。

        圖5 給出了該次 DDoS 攻擊的步驟,描述如下:

        圖5 DARPA 實(shí)驗(yàn)場(chǎng)景攻擊步驟Fig.5 Scenario steps of DARPA experiment

        第一階段:IP 掃描。攻擊入侵者發(fā)送ICMP請(qǐng)求監(jiān)聽ICMP 應(yīng)答,進(jìn)行IP 掃描是為了尋找網(wǎng)絡(luò)中的活躍主機(jī)。

        第二階段:Sadmind Ping。通過探查發(fā)現(xiàn)的活躍主機(jī),確定正在執(zhí)行遠(yuǎn)端管理工具的主機(jī),以此鎖定了Pascal,Mill 和Locke3 臺(tái)主機(jī)。

        第三階段:攻擊Pascal,Mill 和Locke3 臺(tái)主機(jī)。3 臺(tái)主機(jī)被攻擊者使用Sadmind 漏洞攻擊鎖定。由于是一個(gè)遠(yuǎn)程緩沖區(qū)溢出攻擊,攻擊者需不斷嘗試入侵,直至成功。

        第四階段:3 臺(tái)主機(jī)Pascal,Mill 和Locke遭受了入侵攻擊,成為傀儡機(jī)。攻擊者在 Pascal,Mill 和Locke 上安裝DDoS 工具,經(jīng)由RSH 服務(wù)登錄,并裝配攻擊代理。

        第五階段:開始DDoS 攻擊??軝C(jī)上所有的服務(wù)均被攻擊者使用攻擊代理控制,攻擊者通過偽造IP 地址對(duì)遠(yuǎn)程服務(wù)器發(fā)起DDoS 攻擊。

        3.2 實(shí)驗(yàn)及結(jié)果

        3.2.1 報(bào)警分類

        對(duì)實(shí)驗(yàn)中每條Snort 報(bào)警信息分析后可得到嚴(yán)重度、資產(chǎn)值、優(yōu)先級(jí)和可信度量化值,根據(jù)經(jīng)驗(yàn)設(shè)優(yōu)先級(jí)、嚴(yán)重度、可信度和資產(chǎn)值的權(quán)重分別為δ1=0.30,δ2=0.33,δ3=0.21,δ4=0.16,融合得到該條Snort 報(bào)警信息的威脅值以及類別。受篇幅限制,表9 僅列出部分Snort 報(bào)警信息的威脅類別。

        表9 Snort DARPA 實(shí)驗(yàn)報(bào)警分類Tab.9 Snort DARPA alert classification

        3.2.2 觀測(cè)矩陣優(yōu)化

        根據(jù)上述實(shí)驗(yàn)場(chǎng)景,在設(shè)置HMM 參數(shù)時(shí)要綜合考慮到以下幾點(diǎn)因素:a.轉(zhuǎn)移矩陣T中,下一時(shí)刻,主機(jī)和網(wǎng)絡(luò)維持原狀態(tài)的可能性最大;b.觀測(cè)矩陣O中,當(dāng)網(wǎng)絡(luò)和主機(jī)處在危險(xiǎn)狀態(tài)時(shí),更有可能觀測(cè)到威脅度高的報(bào)警;c.一旦主機(jī)進(jìn)入“攻破(C)”狀態(tài),處于該狀態(tài)的時(shí)長將比其他狀態(tài)的更久;d.為了便于實(shí)驗(yàn)比較,假設(shè)所有主機(jī)的參數(shù)相同。

        設(shè)置初始概率為:π=(πG,πP,πA,πC)=(0.8,0.1,0.05,0.05),代價(jià)向量設(shè)置為:C=(CG,CP,CA,CC)=(0.1,0.4,0.7,1),假設(shè)最初有100 種NIDS 報(bào)警分類,則原始的轉(zhuǎn)移矩陣為4×100 的矩陣,觀測(cè)矩陣為4×4 的矩陣,受篇幅限制不在此列出。

        采用本文改進(jìn)的報(bào)警分類,由于優(yōu)化了報(bào)警類型數(shù)量和一定程度上克服虛警干擾,計(jì)算出的風(fēng)險(xiǎn)值以及對(duì)應(yīng)的安全狀態(tài)概率也隨之改變,轉(zhuǎn)移矩陣T和觀測(cè)矩陣O為

        式中:pGP表示由Good 狀態(tài)轉(zhuǎn)換為Probed 狀態(tài)的概率;qG(1),qG(2),qG(3),qG(4)分別表示在Good 狀態(tài)下觀察到報(bào)警類別為優(yōu)先級(jí)、嚴(yán)重度、可信度和資產(chǎn)值的概率,以此類推。這里,各概率值根據(jù)式(1)和式(2)計(jì)算得到。

        可見,若NIDS 報(bào)警類型很多,則原始矩陣O規(guī)模很大,運(yùn)算量大,本方法通過對(duì)NIDS 報(bào)警信息歸類,有效地縮小了矩陣O的規(guī)模,減少了算法的復(fù)雜度。

        3.2.3 實(shí)時(shí)風(fēng)險(xiǎn)分析

        為了進(jìn)一步驗(yàn)證所提方法能夠有效描述系統(tǒng)所受的威脅狀態(tài),對(duì)這段攻擊場(chǎng)景,根據(jù)式(4)和式(5)計(jì)算系統(tǒng)風(fēng)險(xiǎn)值,對(duì)傳統(tǒng)報(bào)警分類和改進(jìn)分類方法分別計(jì)算其實(shí)時(shí)風(fēng)險(xiǎn)值,使用Sigmaplot 進(jìn)行作圖,計(jì)算結(jié)果如圖6 所示,圖中以min 為單位并選取130 min 的實(shí)驗(yàn)數(shù)據(jù)作為展示。

        從圖6(a)和圖6(b)可以看到,采用HMM 和HMM-NIDS 方法可以還原出攻擊場(chǎng)景。

        第一階(0~20 min):IP 掃描。這段時(shí)間的威脅值并不高,圖6(a)和圖6(b)均顯示存在4 分以下威脅。

        圖6 威脅實(shí)時(shí)分析圖Fig.6 Real-time threat analysis diagram

        第二階段(約35~48 min):嘗試入侵。可以發(fā)現(xiàn)在這一階段,兩種方法表征的風(fēng)險(xiǎn)值都有了明顯的提升。

        第三階段(約48~68 min):漏洞攻擊。圖6(a)和圖6(b)都在約58 min 左右出現(xiàn)較高風(fēng)險(xiǎn)值,HMM-NIDS 計(jì)算得到的最高風(fēng)險(xiǎn)值達(dá)到了7.865 8。

        第四階段(約68~118 min):安裝 DDoS 程序。該段時(shí)間Snort 檢測(cè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)值大多趨于零,這是因?yàn)镾nort 只能檢測(cè)到網(wǎng)絡(luò)攻擊行為。

        第五階段(118~120 min):DDoS 攻擊。此時(shí)攻擊者發(fā)起DDoS 攻擊,圖6(a)顯示威脅值達(dá)到7.962,圖6(b)顯示威脅值達(dá)到8.216。

        可見,采用HMM 和HMM-NIDS 分析得到的威脅值與網(wǎng)絡(luò)安全態(tài)勢(shì)變化狀況均與實(shí)際情況相符合,說明采用HMM 模型能夠?qū)崿F(xiàn)電力信息系統(tǒng)動(dòng)態(tài)威脅定量風(fēng)險(xiǎn)分析。從圖中可以看到,HMM-NIDS 對(duì)1,2,3 階段的刻畫更顯著和清晰。在第一階段,大約3 min 左右,圖6(a)中出現(xiàn)虛警;在第二階段,48 min 左右,圖6(b)更清晰地刻畫出了查探結(jié)束和發(fā)起攻擊前的間歇;在第三階段,在圖6(b)對(duì)攻擊趨勢(shì)(弱-強(qiáng)-弱)刻畫與實(shí)際更加一致,更好地反映了連續(xù)性的攻擊狀態(tài),而圖6(a)在62 min 左右出現(xiàn)了風(fēng)險(xiǎn)為0 的情況。

        4 結(jié)論

        針對(duì)典型電力信息系統(tǒng)的網(wǎng)絡(luò)威脅定量評(píng)估問題,提出了基于NIDS 報(bào)警信息和 HMM 的網(wǎng)絡(luò)威脅動(dòng)態(tài)分析方法HMM-NIDS。該方法充分利用系統(tǒng)中部署的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)NIDS 的報(bào)警信息,提出從優(yōu)先級(jí)、嚴(yán)重度、資產(chǎn)值和可信度4 個(gè)方面對(duì)當(dāng)前威脅進(jìn)行分類,簡(jiǎn)化隱馬爾可夫模型中的觀測(cè)矩陣,并給出了優(yōu)先級(jí)、嚴(yán)重度、資產(chǎn)值和可信度的定量描述方法,特別是提出基于貝葉斯網(wǎng)絡(luò)分析NIDS 報(bào)警信息的可信度,防止了誤報(bào)和虛警信息的干擾。最后,基于優(yōu)化的HMM模型,融合計(jì)算得到系統(tǒng)的動(dòng)態(tài)威脅量化值?;贒arpa2000 數(shù)據(jù)集,模擬系統(tǒng)發(fā)生DDoS 攻擊時(shí)的狀態(tài),實(shí)驗(yàn)驗(yàn)證了本文方法的有效性和優(yōu)越性。未來,可進(jìn)一步結(jié)合脆弱性等其他因素,對(duì)電力信息系統(tǒng)做更全面的風(fēng)險(xiǎn)評(píng)估。

        猜你喜歡
        馬爾可夫貝葉斯威脅
        人類的威脅
        受到威脅的生命
        面對(duì)孩子的“威脅”,我們要會(huì)說“不”
        家教世界(2017年11期)2018-01-03 01:28:49
        貝葉斯公式及其應(yīng)用
        基于貝葉斯估計(jì)的軌道占用識(shí)別方法
        保費(fèi)隨機(jī)且?guī)в屑t利支付的復(fù)合馬爾可夫二項(xiàng)模型
        Why Does Sleeping in Just Make Us More Tired?
        一種基于貝葉斯壓縮感知的說話人識(shí)別方法
        電子器件(2015年5期)2015-12-29 08:43:15
        基于SOP的核電廠操縱員監(jiān)視過程馬爾可夫模型
        應(yīng)用馬爾可夫鏈對(duì)品牌手機(jī)市場(chǎng)占有率進(jìn)行預(yù)測(cè)
        女优av一区二区在线观看| 国产啪精品视频网站丝袜| 久久99中文字幕久久| 日韩精品人妻一区二区三区蜜桃臀| 97人妻精品一区二区三区男同| 天堂8在线天堂资源bt| 波多野结衣中文字幕在线视频| 国产三级在线看完整版| 91三级在线观看免费| 成年女人粗暴毛片免费观看| 青青视频一区| 亚洲精彩视频一区二区| 精品一区中文字幕在线观看 | 久久国产精品免费专区| 麻豆md0077饥渴少妇| 猫咪免费人成网站在线观看| 亚洲国产综合专区在线电影| 日韩女优视频网站一区二区三区 | 国产h视频在线观看| 亚洲精品国产美女久久久| 亚洲愉拍自拍视频一区| 日本免费在线不卡一区二区| 99久久久无码国产精品6| 538任你爽精品视频国产| 青青草免费观看视频免费| 欧美大屁股xxxx高潮喷水| 蜜桃臀无码内射一区二区三区| 亚洲av福利天堂在线观看| 91成人黄色蘑菇视频| 女人张开腿让男桶喷水高潮| 99热最新在线观看| 日本黄色特级一区二区三区| 岳丰满多毛的大隂户| 波多野吉衣av无码| 国产成人精品一区二免费网站| 精品国产一区二区三区av麻 | 国产黄a三级三级三级av在线看| 亚洲av伊人久久综合性色| 国产日韩厂亚洲字幕中文| 999久久久无码国产精品| 最新亚洲无码网站|