基于隱馬爾可夫模型的電力信息系統(tǒng)動態(tài)威脅定量分析

蘇鵬濤，吳 貺，陳孟婕，張雪芹

（1.上海欣能信息科技發(fā)展有限公司，上海 200025；2.上海摯達科技發(fā)展有限公司，上海 200433；3.華東理工大學 信息科學與工程學院，上海 200237）

電力信息系統(tǒng)與其他計算機信息系統(tǒng)一樣，面臨著各種各樣的安全威脅。傳統(tǒng)的信息系統(tǒng)威脅評估通常采用CORAS 方法、層次分析法、貝葉斯網(wǎng)絡法、以及ISSREM 方法等。但是，隨著網(wǎng)絡攻擊的多元化、復雜化，這些方法不能有效地實現(xiàn)對網(wǎng)絡威脅進行實時動態(tài)定量評估。對此，李欣等[1]提出了一種基于改進隱馬爾可夫模型的網(wǎng)絡安全態(tài)勢評估方法，該方法通過結合人群搜索算法（seeker optimization algorithm，SOA）以解決Baum-Welch 參數(shù)優(yōu)化算法易陷入局部最優(yōu)解的問題，實驗表明，使用優(yōu)化后的參數(shù)進行量化分析有效地提高了模型的準確率。梁智強等[2]設計了一種新型的信息安全風險評估模型，該模型通過在風險評估與定量分析中引入層次分析法，并在風險計算過程中融合模糊數(shù)學知識，有效地在降低評估成本的基礎上提高了評估效率。馬剛等[3]針對大規(guī)模分布式復雜信息系統(tǒng)的風險評估，提出了一種基于威脅傳播樹(threat propagation trees，TPT)的系統(tǒng)風險評估定量分析方法，該方法利用采樣資產(chǎn)節(jié)點的轉移狀態(tài)和發(fā)出的威脅傳播邊來生成TPT，通過計算TPT 的概率和TPT 中資產(chǎn)的期望損失定量評估系統(tǒng)的風險。Ciapessoni 等[4]提出了基于改進的概率風險動態(tài)安全評估方法，將概率風險與時間域模擬評估應急影響相結合，提供不穩(wěn)定風險指標。該方法可應用于當前的電力系統(tǒng)以及預測電力系統(tǒng)狀態(tài)，為操作和運營規(guī)劃環(huán)境提供了有價值的支撐。Xiong 等[5]提出了基于動態(tài)攻防博弈的信息網(wǎng)絡漏洞威脅評估模型，根據(jù)信息系統(tǒng)實際控制調(diào)度，兼顧可用資源的數(shù)量、資源的配置合理性、成本效益和攻擊節(jié)點的數(shù)量等制約條件，建立了信息網(wǎng)絡漏洞威脅評估模型，實現(xiàn)了對網(wǎng)絡物理系統(tǒng)漏洞威脅的定量評估。周未等[6]提出了一種層次化的網(wǎng)絡安全風險評估框架，通過計算單個脆弱點的置信度，并綜合分析攻擊危害指數(shù)以及危害指數(shù)，推算節(jié)點攻擊安全風險值，繼而依據(jù)各節(jié)點的權重值來量化全網(wǎng)的安全風險。張至元等[7]提出基于廣義隨機佩式網(wǎng)和網(wǎng)絡安全拓撲確定的狀態(tài)轉移圖Cybernet，利用電力監(jiān)控系統(tǒng)的歷史流量數(shù)據(jù)對初始入侵概率分量進行建模，根據(jù)系統(tǒng)運行結果和馬爾可夫鏈穩(wěn)態(tài)概率量化電力系統(tǒng)信息安全和工程安全的相關關系，通過仿真驗證了該模型的準確性和適用性。楊英杰等[8]提出一種基于屬性攻擊圖的動態(tài)威脅風險分析模型，該方法結合通用漏洞評分標準和貝葉斯概率轉移方法，設計了單步及綜合威脅轉移概率度量策略，并且使用動態(tài)威脅屬性攻擊圖生成算法，實現(xiàn)了消解攻擊圖中威脅傳遞環(huán)路干擾的目的。王輝等[9]提出了一種基于新型貝葉斯模型的網(wǎng)絡風險評估方法，該模型通過采用刪除節(jié)點次序算法以確定消元順序，并在計算節(jié)點的后驗風險概率時，采用團樹傳播算法進行動態(tài)計算，有效降低了后驗概率計算時間。張雪芹等[10]提出基于屬性攻擊圖和貝葉斯網(wǎng)絡的社會工程學威脅評估方法，通過定義社會工程學的可利用的脆弱性語義和攻擊節(jié)點語義，提出相應的脆弱性可利用概率計算方法，根據(jù)屬性攻擊圖構建社會工程學攻擊圖，采用貝葉斯網(wǎng)絡模型對其進行量化評估。

可見，采用隱馬爾可夫模型、攻擊圖、貝葉斯網(wǎng)絡等方法可以有效實現(xiàn)對信息系統(tǒng)威脅的動態(tài)量化評估，但是這些方法都沒有充分利用信息系統(tǒng)中部署的網(wǎng)絡入侵檢測系統(tǒng)（network intrusion detection syetem，NIDS）的報警信息，而NIDS 的報警信息具有威脅檢測實時性強的特點，能夠很好地反映當前系統(tǒng)所面臨的威脅變化。對此，本文提出一種基于NIDS 報警信息和改進的隱馬爾可夫模型的網(wǎng)絡威脅動態(tài)分析方法HMM-NIDS。該方法提出綜合優(yōu)先級、嚴重度、資產(chǎn)值和可信度4 個方面對NIDS 報警信息進行分析，基于貝葉斯網(wǎng)絡分析NIDS 報警信息的可信度，基于改進的隱馬爾可夫模型動態(tài)計算系統(tǒng)風險值，實現(xiàn)電力信息系統(tǒng)威脅的動態(tài)定量評估。

1 相關理論

1.1 HMM 隱馬爾可夫模型

1.1.1 馬爾可夫鏈

馬爾可夫鏈通常用于描述一組互相轉化關系之間具有無后效性關系的狀態(tài)[x]。設在任一時刻t，隨機序列Ot可以處于的狀態(tài)為s1,s2,···,sN，假設它在m+k時刻處于某一個狀態(tài)qk+m的概率只與它在m時刻的狀態(tài)qm有關，而與m時刻以前的狀態(tài)無關，即P(Om+k=qm+k|Om=qm,Om-1=qm-1,···,O1=q1)=P(Om+k=qm+k|Om=qm),q1,q2,···,qm,qm+k(s1,s2,···,sN)，則稱Ot為Markov 鏈，并且稱Pij(m,m+k)=，為k步轉移概率。

1.1.2 隱馬爾可夫模型

隱馬爾可夫模型 (hidden Markov model，HMM)，是由Baum 和Welch 提出的一種統(tǒng)計分析模型，被廣泛應用在語音識別、圖像處理、故障診斷等領域[8-9]。隱馬爾可夫模型通常用于描述一個存在隱含參數(shù)的馬爾可夫過程，是一個雙重隨機過程。一個 HMM模型包括如下元素：

a.s，HMM 中隱藏 Markov 鏈。設有N個狀態(tài)s1,s2,···,sN，在t時刻所處的狀態(tài)為qt，則qt∈s1,s2,···,sN。

b.V，觀測狀態(tài)集合。設有M個觀測狀態(tài)，V={v1,v2,···,vM}。觀測序列O={o1,o2,···,oT}，其中ot∈V，T表示觀測序列的長度。

c.π，初始狀態(tài)概率分布。πi=P(q1=vi)，其中 1≤i≤N。向量表示 π=(r1,···,rN)。

d.T，狀態(tài)轉移矩陣。

上式表示在t時刻狀態(tài)為si，則t+1時刻狀態(tài)為sj的概率。

e.O，觀測矩陣。

式中：1≤n≤N，1≤m≤M。Onm表示在時刻t、主機處于sn狀態(tài)下觀察到vm的概率。

隱馬爾可夫模型通常由兩個部分構成，如圖1所示：第一部分采用 π，P狀態(tài)轉移概率描述馬爾可夫鏈；第二部分采用Q描述隨機過程。第一部分的輸出結果為狀態(tài)向量，第二部分的輸出結果為觀察值向量。

圖1 隱馬爾可夫模型過程Fig.1 Process of HMM

1.2 貝葉斯網(wǎng)絡

貝葉斯網(wǎng)絡是一種概率圖模型，其網(wǎng)絡拓撲結構是一個有向無環(huán)圖（directed acyclic graph，DAG），即圖中所有邊都是有方向的，并且沒有循環(huán)，用來刻畫隨機變量之間的依賴關系。貝葉斯網(wǎng)絡為了能夠表示隨機變量之間的因果關系或非條件獨立，把某個研究系統(tǒng)中所關聯(lián)到的所有隨機變量，依據(jù)變量之間是否滿足條件獨立將其繪制在一個有向圖中。圖2 展示了一個貝葉斯網(wǎng)絡，邊集是E={(A,C),(B,C)}，由于A,B相互獨立，因此P(A|C,B)=P(A|C)。這意味著，對于這個貝葉斯網(wǎng)絡，A的概率只取決于C，而B值與這個局部概率無關。對圖2，可推出P(A,B,C)=P(A|C)*P(C)*P(B|C)成立。

圖2 貝葉斯網(wǎng)絡結構Fig.2 Bayesian network structure

一般來說，在給定DAG 中的節(jié)點X={X1,X2,···,Xn}的條件下，任何貝葉斯網(wǎng)絡的聯(lián)合概率函數(shù)都是P(X)=，其中Xi-1為Xi的父結點。

2 基于NIDS 報警信息和HMM 的電力信息系統(tǒng)威脅定量評估

電力信息系統(tǒng)是一類特定的信息系統(tǒng)。一個典型的電力信息系統(tǒng)通常包括生產(chǎn)控制區(qū)和信息管理區(qū)?？刂茀^(qū)通常包括分散控制系統(tǒng)DCS、電能計量系統(tǒng)、調(diào)度系統(tǒng)和保護管理系等。信息管理區(qū)通常有辦公自動化系統(tǒng)、生產(chǎn)管理信息系統(tǒng)等，信息管理區(qū)的關鍵硬件資產(chǎn)包括交換機、網(wǎng)關、操作員站、工程師站等。

為了實現(xiàn)對電力信息系統(tǒng)遭受威脅的動態(tài)定量評估，通?？梢韵扔嬎愠鱿到y(tǒng)中每個資產(chǎn)（主機、路由器、系統(tǒng)等）的風險值，繼而得到整個系統(tǒng)的風險值。但是，由于威脅的動態(tài)變化，要定量分析系統(tǒng)中每個資產(chǎn)的安全動態(tài)通常是一個難點問題。通過文獻分析可以看到，基于隱馬爾可夫模型能夠對信息系統(tǒng)的安全態(tài)勢進行有效量化評估。同時，電力信息系統(tǒng)中通常在防火墻后部署有網(wǎng)絡入侵檢測系統(tǒng)NIDS，用于實時檢測和發(fā)現(xiàn)網(wǎng)絡攻擊。為此本文提出基于HMM 和NIDS 報警信息分析和資產(chǎn)相關的網(wǎng)絡安全事件，通過綜合評估感知資產(chǎn)的威脅狀態(tài)，最終實現(xiàn)對系統(tǒng)面臨威脅的定量評估。

2.1 基于HMM 的電力信息系統(tǒng)威脅定量評估

設在電力信息系統(tǒng)中，每個資產(chǎn)的安全狀態(tài)變化構成一個馬爾可夫鏈，信息系統(tǒng)中NIDS 的報警序列是一個隨機過程，每發(fā)生一個報警，就會對資產(chǎn)安全狀態(tài)的轉移帶來影響（不同類型和不同威脅度的報警帶來的影響不同）。因此，NIDS 的報警序列和資產(chǎn)的安全狀態(tài)之間就形成了一個隱馬爾可夫模型，可根據(jù)觀察一段時間的報警序列，計算出該資產(chǎn)的安全狀態(tài)以及風險值。

2.1.1 主機的安全狀態(tài)

定義系統(tǒng)中的資產(chǎn)有4 個安全狀態(tài)，S={G,P,A,C}，含義如表1 所示。4 個狀態(tài)的轉換關系如圖3 所示。

表1 網(wǎng)絡威脅狀態(tài)描述Tab.1 Description of network threat state

圖3 網(wǎng)絡威脅狀態(tài)轉換圖Fig.3 Network threat state transition diagram

2.1.2 主機安全狀態(tài)的分布概率

HMM包含一個三元組 λ=(T,O,π)。其中，T表示資產(chǎn)狀態(tài)轉換概率的狀態(tài)轉換矩陣；O表示當資產(chǎn)處于某一特定狀態(tài)時，觀察到某種攻擊概率的觀察矩陣；初始狀態(tài) π則代表計算開始時資產(chǎn)處于各個狀態(tài)的概率。

資產(chǎn)狀態(tài)的初始值可依據(jù)主機的漏洞信息取得，其后資產(chǎn)處于各個狀態(tài)的概率可通過O和O計算。狀態(tài)分布在t時刻表示為rt={rt(i)}，1≤i≤N，狀態(tài)的分布概率公式表示為

Oi(ot+1)是在t+1 時刻觀察到觀測序列ot+1的概率。

2.1.3 主機和系統(tǒng)風險值的定量計算

為了能夠定量計算資產(chǎn)的風險值，引入代價向量C={c1,c2,...,cN}，該向量表示某資產(chǎn)在各個狀態(tài)下的量化風險值，通過該量化處理可以將資產(chǎn)狀態(tài)轉化為定量風險值R

式中：R為1～4 表示攻擊有一定可能被探測到；R為4～7 表示資產(chǎn)已經(jīng)遭受到攻擊；R為7～10則表示攻擊比較嚴重。

假設一個系統(tǒng)中共有L個資產(chǎn)，那么整個系統(tǒng)的風險值表示為

2.2 基于NIDS 報警信息的威脅分析

2.2.1 NIDS 報警類型分類

在電力信息系統(tǒng)中，借助入侵檢測系統(tǒng)的報警信息可以了解某資產(chǎn)處于某一特定狀態(tài)時，遭受到某種攻擊的情況。但是由于NIDS 報警類型繁多，如Snort 的基本報警類型就有幾千個[11]，由于直接將NIDS 報警和HMM 中的觀察矩陣O關聯(lián)會使得觀察矩陣的規(guī)模相當龐大，導致算法運行效率嚴重降低。因此需尋找一種合適的報警歸類方法，縮小觀察矩陣的規(guī)模，加快計算速度。

為了合理根據(jù)報警信息評估主機狀態(tài)，除了考慮攻擊報警本身之外，還應綜合考慮被攻擊主機的信息，以及NIDS 虛警的可能性。為此，本文通過對報警嚴重程度、目標資產(chǎn)關鍵程度、攻擊目標的優(yōu)先等級和攻擊成功執(zhí)行的可能性進行分析，提出采用嚴重度（severity）、資產(chǎn)值（asset）、優(yōu)先級（priority）、可信度(reliability) 4 個因素相結合的方式來綜合分析和分類報警信息，如表2 所示。

表2 報警數(shù)據(jù)處理分類Tab.2 Alert data processing classification

a.嚴重度

NIDS，如Snort，對入侵威脅類型有較為明確的分類和嚴重等級定義，如表3 所示，通過查詢該表單可以得到相應等級的嚴重度S。

表3 基于Snort 的嚴重度分級Tab.3 Severity classification of snort alert

b.資產(chǎn)值

通常在進行威脅分析時，可以由相關管理人員給出電力信息系統(tǒng)資產(chǎn)清單，并根據(jù)信息技術安全評估標準（information technology security evaluation criteria，ITSEC）給出的資產(chǎn)CIA 三性(機密性、完整性與可用性)計算資產(chǎn)值A并劃分資產(chǎn)等級。設資產(chǎn)值為v，則

式中：x為資產(chǎn)的機密性；y為資產(chǎn)的完整性；z為資產(chǎn)的可用性值，通常由相關管理人員結合企業(yè)業(yè)務來確定。以某電力信息系統(tǒng)為例，表4給出了關鍵資產(chǎn)清單及其資產(chǎn)等級示例。表中資產(chǎn)等級1，2，3，4，5 分別代表資產(chǎn)等級為很低、低、中、高、很高。

表4 系統(tǒng)資產(chǎn)清單示例Tab.4 Example of system asset list

c.優(yōu)先級

優(yōu)先級用于表示攻擊類型的優(yōu)先級。Snort 中含有攻擊優(yōu)先級信息，級別從1 到3。1 代表級別最高，3 代表級別最低。表5 給出優(yōu)先級P的量化值。

表5 NIDS 報警優(yōu)先級分類Tab.5 Classification of priority

2.2.2 基于貝葉斯網(wǎng)絡的可信度分析

可信度用于衡量攻擊發(fā)生的真實性以及成功執(zhí)行的可能性。由于NIDS 報警信息中不可避免地存在著虛警或誤報情況，為了更合理地評估風險狀態(tài)，需要對報警的可信度做進一步分析。為此，本文提出結合目標資產(chǎn)的配置信息、運行狀態(tài)以及成功執(zhí)行攻擊所依賴條件，基于貝葉斯網(wǎng)絡對可信度R進行計算。

a.構建貝葉斯網(wǎng)絡的拓撲結構

貝葉斯網(wǎng)絡方法使用概率值來表示變量之間的依賴關系。影響攻擊成功執(zhí)行概率的相關因素可以通過貝葉斯網(wǎng)絡進行推測?？紤] Microsoft公司安全小組對攻擊向量的定義，同時考慮到網(wǎng)絡環(huán)境中的威脅和攻擊同樣會對漏洞的脆弱性產(chǎn)生一定的影響，建立動態(tài)威脅分析貝葉斯網(wǎng)絡的拓撲結構如圖4 所示。

圖4 動態(tài)威脅分析貝葉斯拓撲結構Fig.4 Bayesian network topology of network threat

在上述貝葉斯網(wǎng)絡拓撲中的5 個節(jié)點分別代表漏洞、操作系統(tǒng)、服務、端口和應用。設每個節(jié)點有“Yes”和“No”兩種狀態(tài)，各個節(jié)點處在“Yes”狀態(tài)的含義如表6 所示。

表6 貝葉斯網(wǎng)絡各節(jié)點信息Tab.6 Node information of Bayesian network

b.確定條件概率分布

條件概率表（conditional probability table，CPT）通?？梢酝ㄟ^專家知識和對歷史數(shù)據(jù)的學習獲得[12]，示例如表7 所示。

表7 條件概率表示例Tab.7 Parts of CPT reliability assessment

表7 中，V_ID表示漏洞信息；Ser表示正在運行的服務；App表示應用程序。以第一行數(shù)據(jù)為例，P(V_ID)=0.4表示V_ID 節(jié)點處在“Yes”狀態(tài)的先驗概率為0.4，其后4 個概率分別表示OS，Ser，Port，App處在“Yes”狀態(tài)的先驗概率；P(Attack|V_ID,OS,Ser,Port,App)=0.99表示5 個節(jié)點均處在“Yes”狀態(tài)時攻擊成功的概率為0.99；P(Jiont)=P(Attack=succeed,App=yes,V_ID=yes,OS=yes,Port=yes,Ser=yes)=0.099 8，表示全部節(jié)點均處在“Yes”狀態(tài)的聯(lián)合概率為0.099 8。

c.可信度計算

首先可使用Nmap 等工具獲取實際環(huán)境中的主機節(jié)點信息，包括操作系統(tǒng)、端口、應用、服務等，接下來可以通過漏洞掃描工具獲取在目標資產(chǎn)中存在的漏洞，漏洞信息可以在美國國家通用漏洞數(shù)據(jù)庫（national vulnerability database，NVD）[13]中查詢得到。

在獲取5 個節(jié)點的狀態(tài)后，使用貝葉斯網(wǎng)絡計算攻擊成功的概率。設節(jié)點狀態(tài)數(shù)據(jù)集為D，需要進行推理的網(wǎng)絡結構為B，P(D)和P(B)為先驗概率，則貝葉斯網(wǎng)絡的推理目標計算后驗概率P(B|D)的公式為

在現(xiàn)實網(wǎng)絡環(huán)境中，若一個攻擊所針對的漏洞信息、操作系統(tǒng)和應用程序都與目標主機運行狀態(tài)相匹配，而其他3 個節(jié)點的狀態(tài)均是未知的，則狀態(tài)D表示為

D=(V_ID=yes,OS=yes,App=yes)

根據(jù)表7 的前5 行，可信度R可由下式計算：

d.報警信息分類

根據(jù)上述分析可以得到攻擊嚴重度、資產(chǎn)價值、優(yōu)先級和可信度的評分指標，為了實現(xiàn)對報警信息的分類，首先將各因素做歸一化處理，之后采用加權融合，得到威脅的綜合嚴重程度分析步驟如下。

第一步：歸一化處理。定義攻擊嚴重度為VS，資產(chǎn)值為VA，優(yōu)先級為VP，以及可信度為VR。歸一化處理的公式為

第二步：給定各個因素的權重因子 δ，一個攻擊的綜合威脅程度T′的計算式為

T′=δ1P+δ2S+δ3R+δ4A

這里，δ可以由專家確定或者根據(jù)歷史數(shù)據(jù)采用層次分析法等方法確定[14]。

第三步：參考CVSS 對于漏洞評級的分類，將報警分為四類[15]，威脅程度和報警分類的對應關系如表8 所示。

表8 報警分類標準Tab.8 Snort alert classification standard

2.3 HMM-NIDS 算法

將本文所提的基于NIDS 報警信息和改進HMM的威脅定量分析方法命名為HMM-NIDS 算法，該算法描述如下：

步驟1：根據(jù)電力信息系統(tǒng)拓撲結構，定義資產(chǎn)當前安全狀態(tài)，并確定各安全狀態(tài)概率密度。

步驟2：優(yōu)化HMM 中的T和O的矩陣參數(shù)。

a.獲取Snort 報警數(shù)據(jù)信息。

b.根據(jù)報警信息對優(yōu)先級、資產(chǎn)值和嚴重度進行量化分析。

c.對動態(tài)威脅建立貝葉斯拓撲結構，并建立條件概率表，確定條件概率分布；利用工具獲取節(jié)點的狀態(tài)信息；通過貝葉斯網(wǎng)絡分析計算得到攻擊成功的概率，量化可信度評價指標。

d.將上述四類因素進行融合，確定威脅值和報警類別。

e.根據(jù)報警類別對HMM 中原始Trans 和Obs矩陣的參數(shù)進行優(yōu)化，并設置初始概率和代價向量。

步驟3：利用HMM 對系統(tǒng)動態(tài)威脅量化分析，計算主機當前的風險值。

步驟4：計算當前系統(tǒng)風險值。

3 實驗及結果

為了驗證本文所提方法的有效性，實驗模擬某電力信息系統(tǒng)遭受到DDoS 網(wǎng)絡攻擊，采用本文所提方法對其進行動態(tài)威脅定量風險分析。

3.1 實驗場景描述

實驗采用Darpa2000 LLDOS1.0 攻擊數(shù)據(jù)集[16]模擬DDoS 攻擊。Darpa2000 LLDOS1.0 的實驗環(huán)境包含4 個C 類子網(wǎng)。整個數(shù)據(jù)集包含了由兩臺Snort 采集得到的190 min 的NIDS 報警數(shù)據(jù)。一條Snort 報警包含的信息包括：時間戳、報警類型編號、報警名稱、攻擊類型、優(yōu)先級、協(xié)議、源地址和端口、目標地址和端口等。通常情況下，一個攻擊可觸發(fā)多條 NIDS 報警，一條報警表示攻擊在該時間節(jié)點上的攻擊特征。

圖5 給出了該次 DDoS 攻擊的步驟，描述如下：

圖5 DARPA 實驗場景攻擊步驟Fig.5 Scenario steps of DARPA experiment

第一階段：IP 掃描。攻擊入侵者發(fā)送ICMP請求監(jiān)聽ICMP 應答，進行IP 掃描是為了尋找網(wǎng)絡中的活躍主機。

第二階段：Sadmind Ping。通過探查發(fā)現(xiàn)的活躍主機，確定正在執(zhí)行遠端管理工具的主機，以此鎖定了Pascal，Mill 和Locke3 臺主機。

第三階段：攻擊Pascal，Mill 和Locke3 臺主機。3 臺主機被攻擊者使用Sadmind 漏洞攻擊鎖定。由于是一個遠程緩沖區(qū)溢出攻擊，攻擊者需不斷嘗試入侵，直至成功。

第四階段：3 臺主機Pascal，Mill 和Locke遭受了入侵攻擊，成為傀儡機。攻擊者在 Pascal，Mill 和Locke 上安裝DDoS 工具，經(jīng)由RSH 服務登錄，并裝配攻擊代理。

第五階段：開始DDoS 攻擊?？軝C上所有的服務均被攻擊者使用攻擊代理控制，攻擊者通過偽造IP 地址對遠程服務器發(fā)起DDoS 攻擊。

3.2 實驗及結果

3.2.1 報警分類

對實驗中每條Snort 報警信息分析后可得到嚴重度、資產(chǎn)值、優(yōu)先級和可信度量化值，根據(jù)經(jīng)驗設優(yōu)先級、嚴重度、可信度和資產(chǎn)值的權重分別為δ1=0.30，δ2=0.33，δ3=0.21，δ4=0.16，融合得到該條Snort 報警信息的威脅值以及類別。受篇幅限制，表9 僅列出部分Snort 報警信息的威脅類別。

表9 Snort DARPA 實驗報警分類Tab.9 Snort DARPA alert classification

3.2.2 觀測矩陣優(yōu)化

根據(jù)上述實驗場景，在設置HMM 參數(shù)時要綜合考慮到以下幾點因素：a.轉移矩陣T中，下一時刻，主機和網(wǎng)絡維持原狀態(tài)的可能性最大；b.觀測矩陣O中，當網(wǎng)絡和主機處在危險狀態(tài)時，更有可能觀測到威脅度高的報警；c.一旦主機進入“攻破（C）”狀態(tài)，處于該狀態(tài)的時長將比其他狀態(tài)的更久；d.為了便于實驗比較，假設所有主機的參數(shù)相同。

設置初始概率為：π=(πG,πP,πA,πC)=(0.8,0.1,0.05,0.05)，代價向量設置為:C=(CG,CP,CA,CC)=(0.1,0.4,0.7,1)，假設最初有100 種NIDS 報警分類，則原始的轉移矩陣為4×100 的矩陣，觀測矩陣為4×4 的矩陣，受篇幅限制不在此列出。

采用本文改進的報警分類，由于優(yōu)化了報警類型數(shù)量和一定程度上克服虛警干擾，計算出的風險值以及對應的安全狀態(tài)概率也隨之改變，轉移矩陣T和觀測矩陣O為

式中：pGP表示由Good 狀態(tài)轉換為Probed 狀態(tài)的概率；qG(1)，qG(2)，qG(3)，qG(4)分別表示在Good 狀態(tài)下觀察到報警類別為優(yōu)先級、嚴重度、可信度和資產(chǎn)值的概率，以此類推。這里，各概率值根據(jù)式（1）和式（2）計算得到。

可見，若NIDS 報警類型很多，則原始矩陣O規(guī)模很大，運算量大，本方法通過對NIDS 報警信息歸類，有效地縮小了矩陣O的規(guī)模，減少了算法的復雜度。

3.2.3 實時風險分析

為了進一步驗證所提方法能夠有效描述系統(tǒng)所受的威脅狀態(tài)，對這段攻擊場景，根據(jù)式（4）和式（5）計算系統(tǒng)風險值，對傳統(tǒng)報警分類和改進分類方法分別計算其實時風險值，使用Sigmaplot 進行作圖，計算結果如圖6 所示，圖中以min 為單位并選取130 min 的實驗數(shù)據(jù)作為展示。

從圖6(a)和圖6(b)可以看到，采用HMM 和HMM-NIDS 方法可以還原出攻擊場景。

第一階（0～20 min）：IP 掃描。這段時間的威脅值并不高，圖6(a)和圖6(b)均顯示存在4 分以下威脅。

圖6 威脅實時分析圖Fig.6 Real-time threat analysis diagram

第二階段（約35～48 min）：嘗試入侵。可以發(fā)現(xiàn)在這一階段，兩種方法表征的風險值都有了明顯的提升。

第三階段（約48～68 min）：漏洞攻擊。圖6(a)和圖6(b)都在約58 min 左右出現(xiàn)較高風險值，HMM-NIDS 計算得到的最高風險值達到了7.865 8。

第四階段（約68～118 min）：安裝 DDoS 程序。該段時間Snort 檢測的網(wǎng)絡風險值大多趨于零，這是因為Snort 只能檢測到網(wǎng)絡攻擊行為。

第五階段（118～120 min）：DDoS 攻擊。此時攻擊者發(fā)起DDoS 攻擊，圖6(a)顯示威脅值達到7.962，圖6(b)顯示威脅值達到8.216。

可見，采用HMM 和HMM-NIDS 分析得到的威脅值與網(wǎng)絡安全態(tài)勢變化狀況均與實際情況相符合，說明采用HMM 模型能夠實現(xiàn)電力信息系統(tǒng)動態(tài)威脅定量風險分析。從圖中可以看到，HMM-NIDS 對1，2，3 階段的刻畫更顯著和清晰。在第一階段，大約3 min 左右，圖6(a)中出現(xiàn)虛警；在第二階段，48 min 左右，圖6(b)更清晰地刻畫出了查探結束和發(fā)起攻擊前的間歇；在第三階段，在圖6(b)對攻擊趨勢（弱-強-弱）刻畫與實際更加一致，更好地反映了連續(xù)性的攻擊狀態(tài)，而圖6(a)在62 min 左右出現(xiàn)了風險為0 的情況。

4 結論

針對典型電力信息系統(tǒng)的網(wǎng)絡威脅定量評估問題，提出了基于NIDS 報警信息和 HMM 的網(wǎng)絡威脅動態(tài)分析方法HMM-NIDS。該方法充分利用系統(tǒng)中部署的網(wǎng)絡入侵檢測系統(tǒng)NIDS 的報警信息，提出從優(yōu)先級、嚴重度、資產(chǎn)值和可信度4 個方面對當前威脅進行分類，簡化隱馬爾可夫模型中的觀測矩陣，并給出了優(yōu)先級、嚴重度、資產(chǎn)值和可信度的定量描述方法，特別是提出基于貝葉斯網(wǎng)絡分析NIDS 報警信息的可信度，防止了誤報和虛警信息的干擾。最后，基于優(yōu)化的HMM模型，融合計算得到系統(tǒng)的動態(tài)威脅量化值?；贒arpa2000 數(shù)據(jù)集，模擬系統(tǒng)發(fā)生DDoS 攻擊時的狀態(tài)，實驗驗證了本文方法的有效性和優(yōu)越性。未來，可進一步結合脆弱性等其他因素，對電力信息系統(tǒng)做更全面的風險評估。