(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111356398.9 (22)申请日 2021.11.16 (71)申请人 国网上海市电力公司 地址 200122 上海市浦东 新区自由贸易试 验区源深路1 122号 申请人 上海欣能信息科技发展 有限公司 (72)发明人 冯秀庆　苏鹏涛　潘晔　尹帅帅　 孙晨辉　崔巍　陈佳鹏　 (74)专利代理 机构 上海科盛知识产权代理有限 公司 312 25 代理人 丁云 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/14(2022.01) G06K 9/62(2022.01) (54)发明名称 基于隐马尔可夫的电力信息系统动态威胁 定量分析方法 (57)摘要 本发明涉及一种基于隐马尔可夫的电力信 息系统动态威胁定量分析方法， 该方法包括： 获 取IDS报警信息； 构建IDS报警序列和主机的安全 状态之间的隐马尔可夫模型， 所述的隐马尔可夫 模型输出主机安全状态的分布概率； 定量评估 IDS报警信息的威胁程度， 基于威胁程度进行报 警分类确定报警类别； 根据报警类别对隐马尔可 夫模型中的状态转换矩 阵和观察矩 阵进行参数 优化， 并设置初始分布概率和代价向量； 利用隐 马尔可夫模 型对动态威胁量化分析， 计算主机当 前风险值； 基于系统中所有主机的主机当前风险 值确定当前系统风险值。 与现有技术相比， 本发 明评估准确性高， 快速高效。 权利要求书2页 说明书10页 附图3页 CN 114095232 A 2022.02.25 CN 114095232 A 1.一种基于隐马尔可夫的电力信息系统动态威胁定量分析方法， 其特征在于， 该方法 包括： 获取IDS报警信息； 构建IDS报警序列和主机的安全状态之间的隐马尔可夫模型， 所述的隐马尔可夫模型 输出主机安全状态的分布概 率； 定量评估ID S报警信息的威胁程度， 基于威胁程度进行报警分类确定报警类别； 根据报警类别对隐马尔可夫模型中的状态转换矩阵和观察矩阵进行参数优化， 并设置 初始分布概 率和代价向量； 利用隐马尔可 夫模型对动态威胁量 化分析， 计算主机当前风险值； 基于系统中所有 主机的主机当前风险值确定当前系统风险值。 2.根据权利要求1所述的一种基于隐马尔可夫的电力信息系统动态威胁定量分析方 法， 其特征在于， 所述的隐马尔 可夫模型包括一个三元组λ＝(Trans,Obs, π )， Trans为状态 转换矩阵， 表示主机各安全状态之间转换的概率， Obs为观察矩阵， 表示当主机处于某一特 定安全状态时观察到某种攻击的概率， π为初始状态矩阵， 表示计算开始时主机也处于各个 安全状态的分布概 率。 3.根据权利要求1所述的一种基于隐马尔可夫的电力信息系统动态威胁定量分析方 法， 其特征在于， 初始状态 矩阵中的初始分布概 率通过主机的漏洞 信息得到 。 4.根据权利要求1所述的一种基于隐马尔可夫的电力信息系统动态威胁定量分析方 法， 其特征在于， 所述的定量评估IDS报警信息的威胁程度， 基于威胁程度进行报警分类确 定报警类别具体为： 确定评分指标， 包括严重度、 资产值、 优先级和可信度， 所述的严重度表征报警严重程 度， 所述的资产值表征目标资产的关键程度， 所述的优先级表征攻击目标的优先等级， 所述 的可信度表征攻击成功执 行的可能性； 基于IDS报警信息分别对各个评分指标进行评分； 对各个评分指标的评分值进行归一 化处理并加权求和得到ID S报警信息的威胁程度； 按照威胁程度大小将IDS报警信息划分为不同的报警类别， 每个报警类别对应一个威 胁程度区间范围。 5.根据权利要求4所述的一种基于隐马尔可夫的电力信息系统动态威胁定量分析方 法， 其特征在于， 所述的严重度根据查表方式获取， 不同的入侵类型对应有相应的严重等 级， 每个严重等级对应一个严重度。 6.根据权利要求4所述的一种基于隐马尔可夫的电力信息系统动态威胁定量分析方 法， 其特征在于， 所述的资产值 通过下式计算得到： 其中， v表示资产值， x， y， z分别为资产的机密性， 完整性与可用性 值。 7.根据权利要求4所述的一种基于隐马尔可夫的电力信息系统动态威胁定量分析方 法， 其特征在于， 所述的优先级根据查表方式获取， 根据IDS报警信息中的攻击优先级信息 确定优先等级， 查表获取相应优先等级下的优先级量 化值。 8.根据权利要求4所述的一种基于隐马尔可夫的电力信息系统动态威胁定量分析方权　利　要　求　书 1/2 页 2 CN 114095232 A 2法， 其特征在于， 所述的可信度通过贝叶斯网络获取， 具体包括： 设置贝叶斯网络的节点， 包括操作系统、 服 务、 端口、 应用和漏洞； 建立条件概 率表， 确定条件概 率分布； 利用工具获取节点的状态信息； 运用贝叶斯网络计算 攻击成功概 率， 所述的攻击成功概 率即为所述的可信度。 9.根据权利要求1所述的一种基于隐马尔可夫的电力信息系统动态威胁定量分析方 法， 其特征在于， 所述的利用隐马尔可 夫模型对动态威胁量 化分析的过程具体为： 设代价向量C＝{c1,c2……cN}， ci表示主机在第i个 状态下的风险值， i ＝1， 2，……， N； 基于隐马尔可夫模型获取主机安全状态的分布概率r＝{r1,r2……rN}， ri表示主机处于 第i个状态的概 率； 计算主机当前风险值R： 10.根据权利要求1所述的一种基于隐马尔可夫的电力信息系统动态威胁定量分析方 法， 其特征在于， 所述的当前系统风险值 为系统中所有 主机的主机当前风险值之和。权　利　要　求　书 2/2 页 3 CN 114095232 A 3