CN106850265B - 一种电力系统网络攻击预测方法 - Google Patents

一种电力系统网络攻击预测方法 Download PDF

Info

Publication number
CN106850265B
CN106850265B CN201611243915.0A CN201611243915A CN106850265B CN 106850265 B CN106850265 B CN 106850265B CN 201611243915 A CN201611243915 A CN 201611243915A CN 106850265 B CN106850265 B CN 106850265B
Authority
CN
China
Prior art keywords
network
key node
attack
network attack
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611243915.0A
Other languages
English (en)
Other versions
CN106850265A (zh
Inventor
苟高鹏
李镇
曹自刚
石俊峥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201611243915.0A priority Critical patent/CN106850265B/zh
Publication of CN106850265A publication Critical patent/CN106850265A/zh
Application granted granted Critical
Publication of CN106850265B publication Critical patent/CN106850265B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种电力系统网络攻击预测方法。本发明为:1)提取电力系统网络上的关键节点,并为关键节点分配权重;2)利用关键节点和关键节点所存在的漏洞训练得到网络攻击图;3)当发生网络攻击时,如果攻击者利用已知系统漏洞进行网络攻击,则利用训练好的该网络攻击图预测当前的网络攻击方向和目标;如果攻击者利用的是未知系统漏洞进行网络攻击,则将当前受攻击的节点作为新的关键节点并赋予权重,将该关键节点加入网络攻击图获取新的攻击预测方向。本发明有效降低了攻击图预测的复杂度,大大提高了电力系统抗击网络攻击的效率。

Description

一种电力系统网络攻击预测方法
技术领域
本发明涉及一种基于关键节点发现和网络攻击图的电力系统网络攻击预测方法,属于计算机网络领域。
背景技术
现有的电力系统网络攻击预测目标的研究还非常不成熟,目前电力系统的网络安全研究还局限在用户登录与控制,变电站自动化控制,数据传输协议安全,变电站入侵与防护,网络流量加密,系统冗余备份,用户权限控制等方面,没有从整体上对电力系统遭受网络攻击的情况进行预测与分析。
本发明针对电力系统网络安全的现状和面临的问题,试图解决电力系统网络攻击的预测和防御问题。由于网络攻击图是网络攻击方向预测的主流技术,但是随着网络规模的不断扩大,网络攻击图面临着攻击图规模越来越大,计算复杂度越来越高,网络攻击的目标很难准确断定并且很难在实施范围内做到攻击目标发现和预防,因此单纯的网络攻击图预测很难解决网络攻击目标的实时发现和动态防护的目标。因此,本发明将网络攻击图技术引入到电力网络系统中,实现电力系统的网络攻击方向预测,首先要解决的便是网络攻击图的快速构建问题。
由于电力系统具有网络结构稳定,由若干关键节点组成,因此,实现电力系统的网络安全主要是实现关键节点的网络安全,因此,可以根据网络关键节点来构建网络攻击图,这样既可以降低网络攻击图的计算复杂度,又可以提高网络攻击图的预测效率,因此,本发明提出了基于关键节点发现和网络攻击图的电力系统网络攻击预测方法。在电力系统中可以做到对网络攻击的准确预防,同时做到当网络攻击发生的时候准确判定网络入侵者的入侵目标和入侵攻击意图。可以极大的提高电力系统的安全性和鲁棒性。从而降低网络攻击所造成的损失。
发明内容
针对上述已有方法存在的问题,本发明的目的在于提供一种基于关键节点发现和网络攻击图的电力系统网络攻击预测方法,当发现网络的攻击目标和方向后,对关键攻击目标进行网络保护,例如网络隔离,网络重定向,系统补丁安装,系统冗余备份等网络保护策略。
本发明的关键节点发现策略是针对电力系统的特点进行了一定的调整,使系统运行在电力系统的专网之上,提高电力系统抗击网络攻击的效率。针对电力系统的特点所提出的关键节点发现策略为:
1.利用电力系统的网络拓扑图,定位网络的关键节点,电力专网结构稳定,网络拓扑更新不太频繁,因此利用电力系统的网络拓扑,可以更好的定位网络关键节点;
2.电力系统的设备系统稳定,更新不太频繁,因此根据网络漏洞库便可以动态的更新当前电力设备所面临的关键威胁,利用面临的主要威胁来确定发现网络的关键节点;
3.利用网络管理员和网络使用者的先验知识来确定关键节点,电力系统的使用者和管理者对系统的关键部位有深刻的认识,对系统的骨干核心节点的重要意义和非常明确,利用这一点,可以准确确定电力系统的关键节点,提高抵抗网络攻击的效率。
基于以上三点,本发明可以提取出电力系统专网上的关键节点,并且可以根据关键节点的重要性来给关键节点分配权重,同时,本发明还结合了网络攻击预测的关键技术,利用网络流量分析技术相辅助,发现网络中的关键节点,将这四种关键几点发现技术相结合,便提出了基于电力系统特点的基于关键节点发现和网络攻击预测的电力系统网络攻击方向预测方法。
针对现有方法攻击图预测的场景中,攻击图网络面临规模太大,难于发现可能受到攻击的目标的问题。本发明提出了四种策略来发现大规模网络中的关键节点,分别是从关键的漏洞威胁中提取网络中的关键节点,从网络拓扑图中发现关键节点,从网络流量分析中发现网络中的关键路由节点,最后利用网络管理员和网络使用者的先验知识来发现网络中关键节点,将以上四种网络中的关键节点进行融合,根据网络关键节点的重要性来分配相应的权重,发现这些网络关键节点的漏洞来构建网络攻击图,训练攻击图模型,来预测网络攻击的目标和方向。与此同时,当真实的网络攻击发生的时候,动态根据攻击发生的目标和方向,来调整训练好的网络攻击图模型的权重,来预测真实的网络攻击的目标和方向。本发明将应用在电力系统的专网上,对网络攻击的预防和对抗提供辅助和支撑。
本发明的技术方案为:
一种电力系统网络攻击预测方法,其步骤为:
1)提取电力系统网络上的关键节点,并为关键节点分配权重;
2)利用关键节点和关键节点所存在的漏洞训练得到网络攻击图;
3)当发生网络攻击时,如果攻击者利用已知系统漏洞进行网络攻击,则利用训练好的该网络攻击图预测当前的网络攻击方向和目标;如果攻击者利用的是未知系统漏洞进行网络攻击,则将当前受攻击的节点作为新的关键节点并赋予权重,将该关键节点加入网络攻击图获取新的攻击预测方向。
进一步的,提取所述关键节点并分配权重的方法为:
21)根据网络漏洞库确定电力系统网络中节点面临的漏洞威胁,根据该漏洞威胁对节点攻击的难易程度确定出关键节点及其分值;
22)利用电力系统的网络拓扑图定位出电力系统网络的关键节点及其分值;
23)基于电力系统网络的流量确定出关键节点及其分值;
24)利用先验知识来确定电力系统网络的关键节点及其分值;
25)对步骤21)~24)得到的关键节点及其分值进行融合,得到关键节点及其权重。
进一步的,采用决策层融合策略对步骤21)~24)得到的关键节点及其分值进行融合,即将同一关键节点在步骤21)~24)得到的分值进行累加,根据累加值确定该关键节点的权重。
进一步的,采用基于一阶隐马尔科夫模型对网络攻击图的节点权重进行调整,然后调整网络攻击图。
进一步的,当预测出当前的网络攻击目标后,对该网络攻击目标采取网络保护策略进行网络保护。
进一步的,所述网络保护策略包括:网络隔离、网络重定向、系统补丁安装和系统冗余备份。
本方法包括以下步骤:
1.从电力系统网络中发现系统的漏洞,利用主动扫描和被动检测的方法,发现系统中存在的网络漏洞,同时可以支持不同格式的漏洞描述文件读取,从漏洞描述文件中获取系统和网络中存在的漏洞情况。
2.电力系统网络中的关键节点发现,关键节点发现使用了四种发现策略,分别是从关键的漏洞威胁中提取网络中的关键节点,从网络拓扑图中发现关键节点,从网络流量分析中发现网络中的关键节点,最后利用网络管理员和网络使用者的先验知识来发现网络中关键节点,最后将发现的四类关键节点进行融合,对于关键节点赋予不同的权重。
3.利用关键节点和关键节点所存在的漏洞,来构建和训练网络攻击图(参考:何江湖;潘晓中;基于漏洞关联攻击代价的攻击图生成算法;计算机应用研究,ApplicationResearch of Computers,2012年05期)。
4.当真实的网络攻击发生的时候,如果攻击者利用现有的系统漏洞进行网络攻击的时候,利用训练好的网络攻击图便可以进行网络攻击方向和目标的有效预测,如果网络攻击者利用的是未知系统漏洞进行网络攻击的时候(即当系统遭受到攻击之时,攻击的方向并不是本发明所预测到的攻击方向,则可以判定为系统遭受到了未知系统漏洞攻击),将当前所遭受攻击的节点作为新的关键节点并赋予较大的权重,将新的关键节点加入网络攻击图调整攻击图节点权重,获取新的攻击预测方向,采用的策略是基于一阶隐马尔科夫模型对攻击图的节点权重进行调整,随后调整网络攻击图,进行网络攻击方向预测,采用一阶隐马尔科夫模型的原因是为了达到攻击预测的实时处理,并且根据网络中攻击发生的情况进行动态调整,预测网络攻击者最终的攻击范围,提高系统的鲁棒性。
与已公开的方法相比,本发明具有如下优点:
1.有效降低了攻击图预测的复杂度,将基于攻击图的网络攻击方向预测推广到大型网络之上。
2.提出了网络关键节点的发现策略,兼顾了网络漏洞发现,用户先验知识,网络流量关键节点和网络拓扑关键节点的情况,有效涵盖了网络的范围,并且网络关键节点发现的粒度可以进行调整,以便达到下一步网络攻击图的实时处理。
3.引入了攻击过程中的新的系统漏洞,基于隐马尔科夫模型,对网络攻击者的下一阶段的攻击目标和攻击意图做出预测。
附图说明
图1为系统发明总体结构图;
图2为网络关键节点发现方法图;
图3为网络攻击方向预测方法图。
具体实施方式
下面,结合具体的实施例对本发明进行详细说明。
1.发明总体结构图如图1所示。
首先对网络中的漏洞进行全网扫描,将网络漏洞进行关联分析,随后进行关键点提取,接着对提取的关键节点进行漏洞分析,利用关键节点的漏洞来构建网络攻击图,利用网络攻击图可以对网络攻击的目标和范围进行准确预测。
2.网络关键节点发现方法图如图2所示。
本发明提出了四种网络关键节点的发现策略,同时四种网络关键节点进行合并,提取网络关键节点漏洞,来构建网络攻击图进行攻击预测。四种网络关键节点的发现策略为:
1)对基于流量所发现的关键节点的关键程度进行打分,分值从(1-5)。
2)从关键漏洞威胁中提取网络关键节点,是从最新的网络漏洞库来发现当前节点面临的漏洞威胁,利用漏洞威胁发现当前节点遭受攻击的难易程度,容易遭受攻击的节点是关键节点;给节点的关键程度进行打分,分值从(1-5)。
3)从网络拓扑中发现关键节点,由于电力系统的稳定性,从网络拓扑中发现关键节点是具有很强的可操作性;给节点的关键程度进行打分,分值从(1-5)。
4)从网络管理员和网络使用者的先验知识来发现关键节点,由于电力系统的稳定性和封闭性,利用以上先验知识对准确发现网络节点的关键性具有很好的辅助作用;给节点的关键程度进行打分,分值从(1-5)。
融合策略有很多种,有决策层融合,特征层融合和数据层融合,本发明采用了决策层融合的策略,每个节点根据四种关键节点发现策略所获取到的关键节点分值进行累加,获得到当前节点的总关键分值,随后根据关键节点的总关键分值来分配节点的关键权重。
3.攻击目标预测方法如图3所示。
最终的网络攻击目标预测,当网络攻击者采用新的漏洞攻击时,对新的漏洞进行分析,将新的漏洞加入到之前训练的网络攻击图中,对网络攻击图进行动态调整,利用一阶隐马尔科夫模型,选择攻击者最有可能攻击的目标,做出攻击预测,如果预测错误,根据攻击者的历史攻击路径和当前攻击目标,训练一阶隐马尔科夫模型,将攻击图的目标和参数进行修正,达到网络攻击目标和方向的准确预测。
4.应用范围
本系统应用在电力系统专网之上,为电力系统网络遭受的网络攻击进行检测。

Claims (5)

1.一种电力系统网络攻击预测方法,其步骤为:
1)提取电力系统网络上的关键节点,并为关键节点分配权重;其中,提取所述关键节点并分配权重的方法为:11)根据网络漏洞库确定电力系统网络中节点面临的漏洞威胁,根据该漏洞威胁对节点攻击的难易程度确定出关键节点及其分值;12)利用电力系统的网络拓扑图定位出电力系统网络的关键节点及其分值;13)基于电力系统网络的流量确定出关键节点及其分值;14)利用先验知识来确定电力系统网络的关键节点及其分值;15)对步骤11)~14)得到的关键节点及其分值进行融合,得到关键节点及其权重;
2)利用关键节点和关键节点所存在的漏洞训练得到网络攻击图;
3)当发生网络攻击时,如果攻击者利用已知系统漏洞进行网络攻击,则利用训练好的该网络攻击图预测当前的网络攻击方向和目标;如果攻击者利用的是未知系统漏洞进行网络攻击,则将当前受攻击的节点作为新的关键节点并赋予权重,将该关键节点加入网络攻击图获取新的攻击预测方向。
2.如权利要求1所述的方法,其特征在于,采用决策层融合策略对步骤11)~14)得到的关键节点及其分值进行融合,即将同一关键节点在步骤11)~14)得到的分值进行累加,根据累加值确定该关键节点的权重。
3.如权利要求1或2所述的方法,其特征在于,采用基于一阶隐马尔科夫模型对网络攻击图的节点权重进行调整,然后调整网络攻击图。
4.如权利要求1所述的方法,其特征在于,当预测出当前的网络攻击目标后,对该网络攻击目标采取网络保护策略进行网络保护。
5.如权利要求4所述的方法,其特征在于,所述网络保护策略包括:网络隔离、网络重定向、系统补丁安装和系统冗余备份。
CN201611243915.0A 2016-12-29 2016-12-29 一种电力系统网络攻击预测方法 Active CN106850265B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611243915.0A CN106850265B (zh) 2016-12-29 2016-12-29 一种电力系统网络攻击预测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611243915.0A CN106850265B (zh) 2016-12-29 2016-12-29 一种电力系统网络攻击预测方法

Publications (2)

Publication Number Publication Date
CN106850265A CN106850265A (zh) 2017-06-13
CN106850265B true CN106850265B (zh) 2019-10-22

Family

ID=59114021

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611243915.0A Active CN106850265B (zh) 2016-12-29 2016-12-29 一种电力系统网络攻击预测方法

Country Status (1)

Country Link
CN (1) CN106850265B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109474561B (zh) * 2017-09-07 2021-01-08 中国电信股份有限公司 网络攻击程度确定方法、装置和安全防护系统
CN110138762B (zh) * 2019-05-09 2020-08-11 南京邮电大学 基于攻击图网络的脆弱点检测系统、方法及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101162993A (zh) * 2007-11-29 2008-04-16 哈尔滨工程大学 一种网络风险分析方法
CN104348652A (zh) * 2013-08-06 2015-02-11 南京理工大学常熟研究院有限公司 基于关联分析的系统安全评估方法和装置
CN104394177A (zh) * 2014-12-16 2015-03-04 云南电力调度控制中心 一种基于全局攻击图的攻击目标可达性的计算方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8566269B2 (en) * 2006-08-01 2013-10-22 George Mason Intellectual Properties, Inc. Interactive analysis of attack graphs using relational queries

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101162993A (zh) * 2007-11-29 2008-04-16 哈尔滨工程大学 一种网络风险分析方法
CN104348652A (zh) * 2013-08-06 2015-02-11 南京理工大学常熟研究院有限公司 基于关联分析的系统安全评估方法和装置
CN104394177A (zh) * 2014-12-16 2015-03-04 云南电力调度控制中心 一种基于全局攻击图的攻击目标可达性的计算方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于关联分析的漏洞检测和安全评估技术研究;王如义;《中国优秀硕士学位论文》;20130115;全文 *
基于漏洞关联攻击代价的攻击图生成算法;何江湖; 潘晓中;《计算机应用研究》;20120515;全文 *

Also Published As

Publication number Publication date
CN106850265A (zh) 2017-06-13

Similar Documents

Publication Publication Date Title
Wang et al. A two-layer game theoretical attack-defense model for a false data injection attack against power systems
Chen et al. Modeling of intrusion and defense for assessment of cyber security at power substations
Zhang et al. Inclusion of SCADA cyber vulnerability in power system reliability assessment considering optimal resources allocation
Zhang et al. False data injection attacks against smart gird state estimation: Construction, detection and defense
CN106410792B (zh) 一种电网防雷方法及系统
Li Network security evaluation and optimal active defense based on attack and defense game model
Zhang et al. Pattern analysis of topological attacks in cyber-physical power systems considering cascading outages
CN106850265B (zh) 一种电力系统网络攻击预测方法
Vance et al. Cybersecurity in the blockchain era: a survey on examining critical infrastructure protection with blockchain-based technology
Ru et al. Risk assessment of cyber attacks in ECPS based on attack tree and AHP
CN109660515A (zh) 攻击链检测方法及装置
Pan et al. Combined data integrity and availability attacks on state estimation in cyber-physical power grids
Park et al. An advanced persistent threat (apt)-style cyberattack testbed for distributed energy resources (der)
Wang et al. Deducing cascading failures caused by cyberattacks based on attack gains and cost principle in cyber-physical power systems
Meyur A Bayesian attack tree based approach to assess cyber-physical security of power system
Li et al. FIDS: Detecting DDoS through federated learning based method
CN106789322B (zh) 空间信息网络中关键节点的确定方法和装置
Zhang et al. Reliability analysis of power grids with cyber vulnerability in SCADA system
Zhang et al. SPMA: Stealthy physics-manipulated attack and countermeasures in cyber-physical smart grid
CN110290122A (zh) 入侵响应策略生成方法及装置
Al-Salah et al. Attack surface expansion using decoys to protect virtualized infrastructure
Ning et al. Defense against advanced persistent threats in smart grids: A reinforcement learning approach
Bian et al. Network security situational assessment model based on improved AHP_FCE
Li et al. The optimized attribute attack graph based on APT attack stage model
Qin et al. A hybrid cyber defense framework for reconnaissance attack in industrial control systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant