发明内容
因此,本发明要解决的技术问题在于,现有的电力网络安全检测系统存在众多的虚假警报和漏报,且无法实现针对电力网络攻击的攻击路径预测。
为此,本发明实施例提供了一种电力网络预测攻击路径的获取方法,包括:根据攻击路径影响因素获取其初始权重值,所述攻击路径影响因素至少为两个;根据所述攻击路径影响因素及其初始权重值获取预测攻击路径;根据所获取的预测攻击路径和记录的实际攻击路径,调整所述初始权重值;根据所述攻击路径影响因素和调整后的所述初始权重值,修正预测攻击路径。
可选的,所述根据攻击路径影响因素获取其初始权重值,包括:
构造两两比较判断矩阵A,其中
并且其中,N是所述攻击路径影响因素的数量,Aij是第i个攻击路径影响因素与第j个攻击路径影响因素的重要性比较结果,且
获取所述矩阵A的每一列的和值
构造新矩阵B,其中
获取所述矩阵B的每一行的和值
构造特征向量T,其中T为
获取第i个攻击路径影响因素的初始权重值wi,其中
获取N个攻击路径影响因素的初始权重值向量W,其中W=<w1,w2,...,wN>T。
可选的,所述根据所述攻击路径影响因素及其初始权重值获取预测攻击路径,包括:根据每个所述攻击影响因素及其权重值,获取针对单个漏洞独立发生攻击的概率;根据所述单个漏洞独立发生攻击的概率获取所述单个漏洞发生攻击的累积概率;按照所述发生攻击的累积概率从大到小排列所述单个漏洞以获得预测攻击路径。
可选的,在所述根据攻击路径影响因素获取其初始权重值之前,还包括:标准化处理所述攻击路径影响因素。
可选的,所述根据所获取的预测攻击路径和记录的实际攻击路径,调整所述初始权重值,包括:
获取m次攻击发生时实际观测到的被攻击漏洞的攻击概率值pm,其中
并且其中,
P(t1)=w1F1(t1)+w2F2(t1)+...+wN FN(t1)+et1
P(t2)=w1F1(t2)+w2F2(t2)+...+wN FN(t2)+et2
…
P(tm)=w1F1(tm)+w2F2(tm)+...+wN FN(tm)+etm
并且其中,F1、F2…FN分别是第1、2…N个攻击路径影响因素,w1、w2…wN分别是所述N个攻击路径影响因素相应的权重值,et1、et2、…、etm分别是第1、2…m次攻击实际观测到的被攻击目标的攻击概率值与计算的该被攻击目标独立发生攻击的概率值之间的差值,
令
则所述可改写为:pm=Hmw+e;
根据递推的最小二乘法获取权重值w,其中w=(Hm THm)-1Hm Tpm;
获取更新后的权重值w’,其中w'=w+Xmhm+1 T[1+hm+1Xmhm+1 T]-1[pm+1-hm+1w],并且其中,Xm=Hm THm,hm+1=[F1(tm+1)F2(tm+1)...FN(tm+1)],
本发明实施例的电力网络预测攻击路径的获取方法,实现了针对电力网络的攻击路径的预测,并通过根据实际攻击路径对攻击路径影响因素的权重值进行动态调整,使得预测攻击路径更加准确,从而减少了虚假警报和漏报。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种电力网络预测攻击路径的获取方法,包括:
S1.根据攻击路径影响因素获取其初始权重值,所述攻击路径影响因素至少为两个;具体地,该攻击路径影响因素可以包括但不限于:漏洞被利用的难易程度、攻击者知识程度、攻击者攻击熟练度、攻击者攻击意愿和攻击证据置信度;下文均以漏洞被利用的难易程度、攻击者知识程度、攻击者攻击熟练度、攻击者攻击意愿和攻击证据置信度等五个攻击路径影响因素为例对本发明进行说明。
S2.根据所述攻击路径影响因素及其初始权重值获取预测攻击路径。
S3.根据所获取的预测攻击路径和记录的实际攻击路径,调整所述初始权重值。
S4.根据所述攻击路径影响因素和调整后的所述初始权重值,修正预测攻击路径。
本发明实施例的电力网络预测攻击路径的获取方法,实现了针对电力网络的攻击路径的预测,并通过根据实际攻击路径对攻击路径影响因素的权重值进行动态调整,使得预测攻击路径更加准确,从而减少了虚假警报和漏报。
以下针对上述漏洞被利用的难易程度、攻击者知识程度、攻击者攻击熟练度、攻击者攻击意愿和攻击证据置信度等攻击路径影响因素进行具体的说明。
1.漏洞被利用的难易程度VT:首先依据CVSS通用漏洞评分系统中基础(base)分组的访问途径AV、访问复杂度AC和认证次数Au这三个因子得到攻击者利用某个漏洞进行攻击成功的概率BE,其中BE=20×AV×AC×Au,BE取值范围为[0,10]。具体地,AV分为三个等级:requires local access(本地访问)定义为0.395,adjacent network accessible(邻近网络访问)定义为0.646,network accessible(远程网络访问)定义为1.0;AC分为三个等级:high为0.35;medium为0.61;low为0.71;Au分为三个等级:requires multiple instancesof authentication为0.45(多次认证);requires single instance of authentication(单次认证)为0.56;requires no authentication(不需要认证)为0.704;
其次,由于随着漏洞暴露时间的变化,漏洞被利用程度的难易程度也随之变化,因此需要考虑时间因素。根据CVSS通用漏洞评分系统的时间temporal分组中的可利用性TE(未提供定义为0.85、验证方法定义为0.9、功能性代码定义为0.95、完整代码定义为1)、补丁水平RL(官网补丁定义为0.87、临时补丁定义为0.90、临时解决方案定义为0.95、无补丁定义为1)、报告可信度RC(传言定义为0.9、未经确认定义为0.95、已确认定义为1)、机密性CI(不受影响定义为0、部分影响定义为0.7、完全影响定义为1)、完整性II(不受影响定义为0、部分影响定义为0.7、完全影响定义为1)和可用性AI(不受影响定义为0、部分影响定义为0.7、完全影响定义为1)等因素,获得漏洞被利用难易程度的时效性量化值VT,其中VT=VB×TE×RL×RC,并且其中,
VB=(0.6×M+0.4×BE-1.5)×f(M),
M=10.41*(1-(1-CI)*(1-II)*(1-AI)),
2.攻击者知识程度K:攻击者知识程度主要是由攻击工具的实现程度和攻击者对目标系统的权限掌握程度来决定。攻击者实现攻击工具的方式越简单,对目标系统掌握的知识越多,就越能以最小代价完成攻击,攻击成功概率越高。具体地,攻击工具实现程度用M表示,取值规则为,攻击者已有现成可用的攻击工具和详细的攻击步骤定义为0.9,攻击者可定制可用的攻击工具和详细的攻击步骤定义为0.8,无现成攻击工具但有较为详细的攻击步骤定义为0.6,公开报告且粗略描述攻击方法定义为0.5,公开报告并提及可能的攻击方法定义为0.2,公开报告但未给出攻击方法定义为0.1,公开报告但攻击仅在理论上可能定义为0.05。攻击者对目标系统权限掌握程度用N表示,取值规则为,管理员权限定义为1、普通用户权限定义为0.7、基本的访问权限定义为0.5。则攻击者知识程度K可表示为,K=M×N。
3.攻击者攻击熟练度PR:攻击者攻击熟练度PR,基于攻击者经验随着攻击次数的逐步积累而增长这种认识,引入增强因子ρ,令PR=1-ρtimes,其中0<ρ<1,times表示信息攻击对于漏洞i的攻击次数(攻击检测是根据攻击事件获得的,通过分析数据源如日志、流量等)。
4.攻击者攻击意愿In:攻击者攻击意愿通过衡量攻击本身价值与攻击收益之间的利害关系而获得,当攻击意愿为0时,表示攻击成本大于攻击收益,攻击者不会进行此原子攻击。具体地,用攻击者基于某种攻击策略进行一次攻击时所投入的成本作为攻击成本AP,其中AP=(δ1,δ2,δ3,δ4,δ5)(IC,DP,ED,OC,ET)T,并且其中,IC是攻击前期开发投入成本(input costs),DP是开发平台普遍性(development platform),ED是针对的漏洞利用难度(exploit difficulty),OC是攻击执行的操作代价(operating cost),ET是攻击执行所需的时间(execution time),δ是相应的权重,采用专家评分系统实现对攻击成本的量化评分;攻击收益AF,即最终获得的信息权限,可分为信息泄露、远程登录、认证绕过、受限访问、root访问等五个级别,取值范围为(0,1);攻击意愿In用攻击成本和攻击收益比来衡量,具体地,
5.攻击证据置信度CL:攻击证据置信度根据警报信息与电力网络系统的环境属性相关度衡量,相关度越强,则警报安全事件发生的可能性越高。具体地,所述攻击证据置信度CL为:
CL=(λ1,λ2,λ3,λ4)(ROS,Rservice,Rvulnerability,Rconfiguration)T,
其中,ROS是安全事件与目标主机操作系统的匹配度(根据安全事件的IP地址与当前主机的IP地址是否匹配、当前主机是否处于激活状态、安全事件描述的操作系统与当前主机操作系统是否匹配,若三者都匹配则值定义为1;若前两项匹配,最后一项不确定,则定义为0.5;若前两项匹配,最后一项不匹配,则定义为0),Rservice是安全事件与目标主机应用服务匹配度(根据安全事件与目标主机应用服务的IP地址、系统状态、开放端口以及端口状态是否匹配,若全部匹配则定义为1,若前三项匹配,最后一项不确定,则定义为0.8,若前两项匹配,最后一项不确定,则定义为0.6,若前两项匹配,第三项不确定,则定义为0.3,若前两项匹配,第三项不确定,则定义为0),Rvulnerability是安全事件与目标主机漏洞信息之间的匹配度(根据安全事件与目标主机漏洞IP地址、漏洞cve-id及补丁状态是否匹配,如两项都匹配,则定义为1,若漏洞不确定,则定义为0.5,若两项都不匹配,则定义为0),是安全事件与网络安全配置的相关度(匹配项是安全事件是否在网络安全配置的过滤列表中,若不匹配,则定义为1;若不完全匹配,则定义为0.5;不完全不匹配,则定义为0),λ是相应的权重,可采用层次分析法确认。
可选的,在步骤S1之前,可包括:对所有攻击路径影响因素进行标准化处理,以将所有的影响因素都标准化处理到(0,1)的范围。具体地,标准化处理可采用Z-score标准化方法,转换函数为:其中表示所有样本数据的均值,σ表示所有样本数据的标准差。
可选的,上述步骤S1可包括,采用层次分析法确定各攻击路径影响因素的权重值,具体包括:
(1)构造两两比较判断矩阵A,其中
并且其中,N是攻击路径影响因素的数量,Aij是第i个攻击路径影响因素与第j个攻击路径影响因素的重要性比较结果,
(2)获取所述矩阵A的每一列的和值
(3)构造新矩阵B,其中
(4)获取所述矩阵B的每一行的和值
即得特征向量T为
(5)获取第i个攻击路径影响因素的初始权重值wi,其中
(6)获取N个攻击路径影响因素的初始权重值向量W,其中W=<w1,w2,...,wN>T。
可选的,还可以包括对该矩阵的一致性检验步骤,具体包括:
(7)计算矩阵A的最大特征根其中(AW)i表示向量AW的第i个元素。
(8)计算矩阵A的一致性指标:CI越大表示判断矩阵偏离完全一致性的程度越大,当判断矩阵具有完全一致性时,CI=0
(8)计算随机一致性比率:RI表示平均随机一致性指标,是个常量,根据阶数可以在量表里查询,本例中RI取值为1.12。若CI<0,即保持显著水平,对比矩阵保持一致性;若CI>0.1,则表示未保持显著水平,需要对对比矩阵A进行调整,直至达到满意的一致性为止。
可选的,如图2所示,上述步骤S2可具体包括:
S21.根据每个所述攻击影响因素及其权重值,获取针对单个漏洞独立发生攻击的概率。例如,各攻击影响因素形成向量X为各攻击影响因素的权重形成的权重向量W为<w1,w2,...,wN>T,则该漏洞独立发生攻击的概率值为
S22.根据所述单个漏洞(节点)独立发生攻击的概率获取所述单个漏洞(节点)发生攻击的累积概率。累积概率表示攻击者成功达到或执行该节点的概率,不仅取决于该独立节点使漏洞成功利用概率,还取决于该节点所有前提节点概率。例如,对于节点Sj,设Si为Sj的一组父节点集合,表示为Si∈Pa(Sj),则Sj的局部条件概率分布函数表示为:
当dj=AND时(表示攻击到达该节点的条件是其父节点全部为真,即其父节点全部被攻击的情况下,攻击才到达该节点的情况),
其中,Pa(Sj)表示其父亲节点发生的概率,P(Sj|Pa(Sj))表示当前属性节点与其父亲节点集合之间的依赖关系;
当dj=OR时(表示攻击到达该节点的条件是其某个父节点被攻击),
则该攻击节点Sj的累积概率表示为
S23.按照所述发生攻击的累积概率从大到小排列所述单个漏洞(节点)以获得预测攻击路径,可以理解,发生攻击的累积概率最高的漏洞最可能被攻击。
可选的,步骤S3可使用递推的最小二乘法来实现,根据实际反馈的攻击目标p,与计算得到的攻击目标节点的独立攻击概率p′相比较,对权重参数值进行动态调整,具体包括:
(1)每一次攻击发生能实际观测到一个攻击目标,则m次攻击发生时实际观测到的被攻击目标(即节点或漏洞)的攻击概率值Pm表示为:
并且其中,
P(t1)=w1VTi(t1)+w2Ki(t1)+w3PRi(t1)+w4Ini(t1)+w5CLi(t1)+et1
P(t2)=w1VTi(t2)+w2Ki(t2)+w3PRi(t2)+w4Ini(t2)+w5CLi(t2)+et2
…
P(tm)=w1VTi(tm)+w2Ki(tm)+w3PRi(tm)+w4Ini(tm)+w5CLi(tm)+etm
并且其中,VT、K、PR、In和CL只是举例,实际采用的攻击路径影响因素不限于此,比如实际采用的攻击路径影响因素可以为N个;w1、w2…wN分别是所述N个攻击路径影响因素相应的权重值;et1、et2、…、etm分别表示第1、2…m次攻击实际观测到的被攻击目标的攻击概率值与计算的该被攻击目标独立发生攻击的概率值之间的差值;
(2)令
则有pm=Hmw+e,推导可得权重值向量w=(Hm THm)-1Hm Tp;
(3)令中间向量Hm,则权重值动态更新向量w'=w+Xmhm+1 T[1+hm+1Xmhm+1 T]-1[pm+1-hm+1w],其中,Pm+1表示第m+1次攻击发生时实际观测到目标节点的概率值。
通过采用最小二乘法实现各权重值的动态调整,可以更加准确地预测攻击路径。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。