CN108881110A - 一种安全态势评估与防御策略联合决策方法及系统 - Google Patents

Abstract

本发明涉及一种安全态势评估与防御策略联合决策方法及系统，包括：对电网资产、威胁和脆弱性按照等级划分标准进行等级划分；将电网资产、威胁和脆弱性的等级划分代入工作流，进行电网攻防博弈状态评估工作流建模，形成攻防博弈图；基于构建的所述攻防博弈图，从脆弱性利用和资产安全态势评估值两个方面选取当前时刻系统的关键节点，选取安全防御策略。本发明提供的技术方案对于波动性状态具有良好的预测效果，且建模复杂度可控。

Description

一种安全态势评估与防御策略联合决策方法及系统

技术领域

本发明涉及网络安全态势评估和防御策略联合决策领域，具体涉及一种基于COBA-SemanticNet(面向对象的赛门铁克网)的安全态势评估与防御策略联合决策方法及系统。

背景技术

互联网应用的普及，网络技术的飞速发展，互联性本身的多样性、开放性以及用户规模的扩大，使得工控系统容易受到各种攻击的威胁。以入侵检测技术、防火墙为代表的传统保护方式已经难以满足大规模工控网络对安全防护的要求，一种新的解决方法——网络安全态势评估应运而生。网络安全态势是建立在态势理解与态势评估的基础上进行的，通过对网络态中资产属性、攻击危害、资产脆弱性等数据进行综合分析，建立适用于描述网络安全态势的模型，利用建立的模型和现有的设备信息来衡量或预测工控网络安全状态的变化情况。

近年来，研究人员在网络安全态势评估领域进行了许多研究。文献(郭祖华,李扬波,徐立新,等.面向云计算的网络安全风险预测模型的研究[J].计算机应用研究,2015(11):3421-3425)采用RBF神经网络进行并行化网络安全态势评估与预测，实现了多个节点快速实时预测，缺点是存在参数选取难、易陷入局部极小点以及网络收敛速度慢等。文献(王晋东,沈柳青,王坤,等.网络安全态势预测及其在智能防护中的应用[J].计算机应用,2010,30(6):1480-1482)提出了一种基于灰色理论的网络安全态势预测方法，但是该方法存在明显的误差，预测的准确性有待提高。文献(张安楠,苏旸.基于小波变换的网络安全态势复合预测方法[J].计算机仿真,2014,31(6):282-286)提出一种基于小波变换与LSSVM－ARIMA相结合的网络安全态势预测方法。但是这些算法均存在的建模过程复杂度高，数据处理耗时较久，其主要面向攻击进行建模，并未综合网络资产、脆弱性等因素对网络安全态势进行综合分析，导致建模效果具有局限性。另一方面，在网络安全防御方面，当前网络安全防御策略的制定主要基于经验和事后调整，存在过度防御和防御不及时的问题，这主要由于缺乏准确高效的网络安全态势评估技术，无法根据当前网络的安全态势值制定针对性的防御策略。

发明内容

为解决上述现有技术中的不足，本发明的目的是提供一种基于COBA-SemanticNe(面向对象的赛门铁克网)的安全态势评估与防御策略联合决策方法及系统，本发明对于波动性状态具有良好的预测效果，且建模复杂度可控。

本发明的目的是采用下述技术方案实现的：

本发明还提供一种安全态势评估与防御策略联合决策方法，其改进之处在于：

对电网资产、威胁和脆弱性按照等级划分标准进行等级划分；

将电网资产、威胁和脆弱性的等级划分代入工作流，进行电网攻防博弈状态评估工作流建模，形成攻防博弈图；

基于构建的所述攻防博弈图，从脆弱性利用和资产安全态势评估值两个方面选取当前时刻系统的关键节点，选取安全防御策略。

进一步地，所述对电网资产、威胁和脆弱性进行等级划分均包括：等级为3的高标识等级、等级为2的中标识等级和等级为1的低标识等级。

进一步地，所述将电网资产、威胁和脆弱性的等级划分代入工作流，进行电网攻防博弈状态评估工作流建模，形成攻防博弈图，包括：对工作流中的任务、过程和路由进行建模，并将把工控系统的资产、威胁、脆弱性利用关系、攻击和防御状态转移元素代入工作流；根据工作流图形元素与赛门铁克网SemanticNet图元素转换规则，将构建的工作流组合转换成赛门铁克网SemanticNet图，以形成电网的攻防博弈图。

进一步地，还包括采用安全态势评估对所述工作流建模进行验证：

1)将安全态势评估指标类型集U进行分类，包括资产分类及等级、威胁分析及等级、脆弱性分析及等级三类不同的指标集；

2)计算指标的权重向量；

3)建立安全态势指标对应的评价等级集合V＝{V₁,V₂,…,V_n}；其中，V_i表示第i个评价等级，n表示评价等级的个数；

4)对每个指标进行单指标评估，按模糊矩阵构建方式计算第i个指标集的评估矩阵R_i＝(r_ijk)_s×n(i＝1,2,…,m；j＝1,2,…,s；k＝1,2,…n)，其中，r_ijk表示第i个指标集中的第j个工控资产指标属于第k个等级的隶属度；m表示指标类型集的个数；s表示评估矩阵的行，n表示评估矩阵的列；应用Fuzzy合成运算计算出第i个指标集的模糊综合评估向量B_i＝ω_iοR_i＝(b_i1,b_i2,…,b_im'),i＝1,2,…,m'，。为模糊合成，b_im'表示第i个指标集中处于m'等级的工控资产的占比，此处m'表示第i个指标集中的指标等级数；

5)对U的m个指标均作出上述评估后得到总评估矩阵B＝(B₁,B₂,…B_m)^T，则综合评估模糊集为A＝ω⁰οB，即得到整个工控系统安全态势评估值；B₁,B₂,…B_m为总评估矩阵的矩阵元素；ω⁰为权重向量。

进一步地，所述计算指标的权重向量，包括：

①建立优先关系矩阵F，公式如下：

其中：c(i)和c(j)分别为指标f_i和f_j的相对重要程度；f_ij表示优先关系矩阵元素，m表示指标类型集的个数；i、j分别表示矩阵的指标i和j；

②将优先关系矩阵F＝(f_ij)_m×m，利用和行归一法得到模糊一致性矩阵Q＝(q_ij)_m×m其中，q_ij为模糊一致性矩阵中的元素值；qi和qj分别表示模糊一致性矩阵Q的行元素和列元素，由下式计算得到；

每行元素的和及不含对角线元素的总和：

l_i表示矩阵行i相对于上层指标的重要性，对l_i归一化得到各指标权重：

则权重向量：ω⁰＝(ω₁，ω₂，…，ω_m)^T。

进一步地，所述安全防御策略包括：选取脆弱性利用最多，安全风险值最高的节点作为关键节点，并进行防御策略的制定。

本发明还提供一种安全态势评估与防御策略联合决策系统，其改进之处在于，包括：

等级划分模块，用于对电网资产、威胁和脆弱性按照等级划分标准进行等级划分；

构建模块，用于将电网资产、威胁和脆弱性的等级划分代入工作流，进行电网攻防博弈状态评估工作流建模，形成攻防博弈图；

安全防御策略选取模块，用于基于构建的所述攻防博弈图，从脆弱性利用和资产安全态势评估值两个方面选取当前时刻系统的关键节点，选取安全防御策略。

进一步地，等级划分模块，还用于：对电网资产、威胁和脆弱性进行等级划分，包括：等级为3的高标识等级、等级为2的中标识等级和等级为1的低标识等级。

进一步地，所述构建模块，还用于：将电网资产、威胁和脆弱性的等级划分代入工作流，进行电网攻防博弈状态评估工作流建模，形成攻防博弈图，包括：对工作流中的任务、过程和路由进行建模，并将把工控系统的资产、威胁、脆弱性利用关系、攻击和防御状态转移元素代入工作流；根据工作流图形元素与赛门铁克网SemanticNet图元素转换规则，将构建的工作流组合转换成赛门铁克网SemanticNet图，以形成电网的攻防博弈图。

进一步地，还包括验证模块，用于采用安全态势评估对所述工作流建模进行验证；

优选的，所述验证模块，还用于：

1)将安全态势评估指标类型集U进行分类，包括资产分类及等级、威胁分析及等级、脆弱性分析及等级三类不同的指标集；

2)计算指标的权重向量；

3)建立安全态势指标对应的评价等级集合V＝{V₁,V₂,…,V_n}；其中，V_i表示第i个评价等级，n表示评价等级的个数；

4)对每个指标进行单指标评估，按模糊矩阵构建方式计算第i个指标集的评估矩阵R_i＝(r_ijk)_s×n(i＝1,2,…,m；j＝1,2,…,s；k＝1,2,…n)，其中，r_ijk表示第i个指标集中的第j个工控资产指标属于第k个等级的隶属度；m表示指标类型集的个数；s表示评估矩阵的行，n表示评估矩阵的列；应用Fuzzy合成运算计算出第i个指标集的模糊综合评估向量B_i＝ω_iοR_i＝(b_i1,b_i2,…,b_im'),i＝1,2,…,m'，ο为模糊合成，b_im'表示第i个指标集中处于m'等级的工控资产的占比，此处m'表示第i个指标集中的指标等级数；

5)对U的m个指标均作出上述评估后得到总评估矩阵B＝(B₁,B₂,…B_m)^T，则综合评估模糊集为A＝ω⁰οB，即得到整个工控系统安全态势评估值。

与最接近的现有技术相比，本发明提供的技术方案具有的优异效果是：

(1)在工作流建模的基础上，引入SemanticNet网，SemanticNet网可以描述网络或工控系统动态行为，精确反映当前网络中资产的攻击状态和防御状态，综合工作流和SemanticNet网的优势，对网络和工控系统的攻击和防御状态进行建模分析，提高了模型建立的准确性和精确性。

(2)引入基于模糊多层次安全(Fuzzy MLS)评估方法对各种风险进行计算。

(3)采用基于关键节点分析的防御策略联合决策方法，对网络安全防御策略进行合理、精确的计算。

(4)对于波动性攻防状态具有良好的预测和控制效果，且建模复杂度可控。

附图说明

图1是本发明提供的初始案例的转换规则示意图；

图2是本发明提供的终态的转换规则示意图；

图3是本发明提供的简单案例的转换规则示意图；

图4是本发明提供的包含分叉的结构的转换规则示意图；

图5是本发明提供的包含结合的结构的转换规则示意图。

具体实施方式

下面结合附图对本发明的具体实施方式作进一步的详细说明。

以下描述和附图充分地示出本发明的具体实施方案，以使本领域的技术人员能够实践它们。其他实施方案可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求，否则单独的组件和功能是可选的，并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本发明的实施方案的范围包括权利要求书的整个范围，以及权利要求书的所有可获得的等同物。在本文中，本发明的这些实施方案可以被单独地或总地用术语“发明”来表示，这仅仅是为了方便，并且如果事实上公开了超过一个的发明，不是要自动地限制该应用的范围为任何单个发明或发明构思。

在COBA框架中引入工作流用于网络或工控系统建模。为全面合理的利用SemanticNet网理论分析系统，加强工作流建模和SemanticNet网的整合优势，需要把相关工作流图形转换为SemanticNet图，按照工作流图形间的关联规则，把分散的SemanticNet图合并为完整的SemanticNet图。COBA框架中的建模一般采用3种工作流建模图形，即任务(Task)、过程(Process)和路由(Route)。其中,任务：泛指一般的工作单元，而非具体案例活动的一次具体执行(这一般称为活动)，为了区分这一点，引入了工作项(work item)和活动的概念(activity)。工作项是指将要被执行的实际工作块，而活动就是指工作项的执行；过程：过程指出了哪些任务需要被执行，以什么顺序执行。可以将过程理解为具体案例的蓝图。过程定义了案例的生命周期，每个生命周期都有start和end；路由：决定了那些任务被执行和以何种方式执行，包括顺序、并行、选择和循环四种形式的路由。

(1)初始案例

初始案例指明了所在区域的默认起始案例。更准确的说，它是一种指出控制应该转向哪里的语法手段。初始案例的转换规则如图1所示。

(2)终态

终态表明复合案例中的一个区域的活动己经完成，离开复合案例的完成转换可以开始了。终态的转换规则如图2所示。

(3)简单案例

简单案例是不包含嵌套案例的案例，简单案例中没有子结构。COBA框架中使用的任务都是简单案例的。简单案例的转换规则如图3所示。

(4)包含分叉的结构

分叉是具有一个源案例和两个或多个目标案例的转换。包含分叉的结构的转换规则如图4所示。

(5)包含结合的结构

结合是复杂转换中的一个伪案例，复杂转换有两个或多个源案例且有一个目标案例。包含结合的结构的转换规则如图5所示。

任务、过程和路由的转换规则，如表1所示。

表1 工作流图形元素与SemanticNet图元素转换规则

本发明准备通过对某工控系统的信息安全态势评估和防御策略精准制定来验证一种基于COBA-SemanticNet的安全态势评估建模方法的可用性以及准确性。一种基于COBA-SemanticNet的安全态势评估建模方法最主要的特点就是通过建模技术，来将当前网络的攻击状态和防御状态的关联关系进行形式化描述，进而形成网络整体安全态势评估结果，开展针对性的网络安全防御策略决策。本发明把该工控系统的业务功能做了简化，主要提供用户网络接入功能。

本发明的目的在于设计一种安全态势评估与防御策略联合决策方法，对于网络安全性状态的波动具有良好、直观的计算效果，且能够根据网络安全状态决策出精确的防御策略，包括：

(1)在工作流建模的基础上，引入SemanticNet网，SemanticNet网可以描述网络或工控系统动态行为。综合工作流和SemanticNet网的优势，对网络和工控系统进行建模分析，提高了模型建立的准确性和精确性。

(2)COBA-SemanticNet框架采用风险矩阵的计算方法，得出的结果只是对各种风险简单的划分等级。为了得出各种风险的相对值，引入基于模糊多层次安全(Fuzzy MLS)评估方法对风险进行计算。

(2)COBA-SemanticNet框架采用基于关键节点分析的计算方法，根据当前的风险值选取防御收益最大的安全防护策略。

本发明提供的一种安全态势评估与防御策略联合决策方法的步骤如下：

对电网资产、威胁和脆弱性按照等级划分标准进行等级划分；

第一步、资产分类及等级划分：

资产分类及等级划分。资产是对组织有价值的任何信息、或资源，需要进行安全保护。资产的存在形式多种多样，硬件、软件都可以是资产，甚至连企业或组织机构的形象都是无形资产。资产价值依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。本发明采用对机密性、完整性和可用性的值加权平均的评定方法来计算资产的最终赋值结果。式中，V代表资产价值；C代表资产机密性；I代表资产完整性；A代表资产可用性；得出的资产价值需要对照资产等级表，如表2所示，以得出最终资产价值。

表2 资产等级及含义描述

等级	标识	描述
			3	高	重要，其安全属性破坏后可能对组织造成比较严重的损失。
2	中	比较重要，其安全属性破坏后可能对组织造成中等程度的损失。
			1	低	不太重要，其安全属性破坏后可能对组织造成较低的损失。

第二步、威胁分析及等级划分：

威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。根据安全标准ISO/lEC13335，威胁可以分为人为的和非人为的威胁，也可以按照威胁动机，分为意外威胁和蓄意威胁。威胁可能会导致安全事件的发生，对工控系统直接或间接的攻击，在机密性、完整性或可用性等方面造成损害。表3给出了威胁基于来源的分类方式：

表3 基于来源的威胁分类

判断威胁出现的频率是威胁赋值的重要内容。评估者可以根据经验知识和历史数据来进行判断。在评估中，需要综合考虑以下三个方面:

(1)以往安全事件报告中出现过的威胁及其频率的统计；

(2)实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；

(3)近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。

以上三个方面可以在具体评估环境中，为评估者提供参考。

表4给出了威胁的一种赋值方法，这种赋值方法可以作为一种参考。在实际的评估中，判断威胁频率应依据历史统计或行业判断。

表4 威胁赋值表

第三步、脆弱性分析及等级划分：

脆弱性分析及等级划分。脆弱性是资产本身存在的，单纯的脆弱性本身不会对资产造成损害。如果有相应的威胁对其利用，则会导致安全事件的发生，对资产造成损害。如果系统足够强健，资产本身的脆弱性很少，即使严重的威胁也不会导致安全事件发生，并造成损失。资产的脆弱性在一定条件下才能显现，具有隐蔽性。在评估中，对脆弱性进行识别是最困难的一部分。

脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以从两个角度进行考虑，一个是从资产角度考虑，另一个是从系统层次角度考虑。从资产角度考虑，针对每一项资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估；从系统层次角度考虑，针对物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。

脆弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱点，其脆弱性严重程度是不同的，评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。工控系统所采用的协议、应用流程的完备与否、与其他网络的互联等也应考虑在内。脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面，前者与具体技术活动相关，后者与管理环境相关。

脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。由于很多弱点反映的是同一方面的问题，或可能造成相似的后果，赋值时应综合考虑这些弱点，以确定这一方面脆弱性的严重程度。

对某个资产，其技术脆弱性的严重程度还受到组织管理脆弱性的影响。因此，资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。脆弱性严重程度可以进行等级化处理，不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。表5提供了脆弱性严重程度的一种赋值方法。

表5 脆弱性严重程度赋值表

等级	标识	定义
			3	高	如果被威胁利用，将对资产造成重大损害。
2	中	如果被威胁利用，将对资产造成一般损害。
			1	低	如果被威胁利用，将对资产造成较小损害。

第四步、将电网资产、威胁和脆弱性的等级划分代入工作流，进行电网攻防博弈状态评估工作流建模，形成攻防博弈图；

本发明主要针对工控系统业务应用进行分析研究，工控系统对于用户来说是提供服务的，因此工控系统中主要资产是无形资产，固定资产如网络设备等作为了间接的资产，这些资产的脆弱性、威胁可以导致主要资产安全事件的发生。综上，工控系统远程监控应用的主要资产如下所示：

(1)工控设备信息；

(2)工控系统权限；

(3)服务可用性；

(4)系统效率；

大部分工控系统的远程控制功能简单，只是提供网络接入功能，所以脆弱性、威胁也相对较少。通过分析研究，可以归纳出如下几种:

脆弱性:

(l)认证机制不足：用户认证机制只需要用户名和密码，没有安全ID或者相似的机制。

系统设计弱点：平台使用的开发环境对工控设备修改没有限制，并且对于关键的更新没有警告。

不安全的WLAN：在开发环境中，平台有开放的WLAN，这样有可能被外部发现平台内部结构。

过于简单的密码设置：用户是否修改初始密码，工控系统没有控制。并且工控系统没有关于密码修改原则的说明(密码长度，是否有数字等)。

共享的网络资源：运行在软件或硬件上的服务，在其他不那么关键的服务上共享运行。这意味着如果这个服务出现问题，会影响其他服务。

低健壮性：大量的访问会造成服务器运行缓慢，响应时间延长。

外部资源故障：为工控系统提供数据的资源可能出现故障，工控系统服务的可用性同样依靠这些资源。

内部硬件或软件故障：由于内部硬件或软件的错误，使得内部网络设施出现故障。

安全更新路径不清楚：安全更新通告通过电子邮件或内部网通知的形式，工控设备有责任对其电脑进行更新。

缺少网络日志：访问和修改工控设备信息的日子不足，这样不能确定是谁修改的数据。

威胁：

(l)平台工控设备(人为，意外)：平台工控设备的错误操作可以引起安全事件或者无意中下载了恶意代码，影响了工控服务器。

(2)平台工控设备(人为，蓄意)：平台工控设备可能因为某些私人利益或报复心理，使用权限来蓄意引发安全事件。

(3)黑客攻击(人为，蓄意)：黑客可能出于有趣或是经济利益的驱使，对平台或用户发起攻击。

(4)网络设备(非人为)：硬件、软件或服务可能导致安全事件。

(5)外部资源(非人为)：与服务交换数据的资源。

(6)病毒攻击(非人为)：平台网络外部环境。

(7)工控系统用户(人为，意外)：用户的错误使用。

在该阶段的建模过程中，可以对工控系统提供报务的顺序进行建模。

针对工控系统风险，主要有以下风险处理措施，即防御策略：

(l)更新设备，使得新设备有更加好的健壮性，低故障率。

(2)安装备份系统，使得在设备故障或遭受攻击时，维持网站运行。

(3)安装防火墙，减少黑客攻击的系统脆弱性。

(4)安装入侵检测系统，可以及时发现对网站的攻击。

(5)尽量消除工控设备访问客户信息的可能性。

(6)消除不安全的WLAN。

(7)消除工控设备电脑的“remember me”功能，防止恶意人员有机可乘。

(8)在系统升级时，可以让用户参与进来，给出建议。

(9)执行全面的日志记录。

第五步、风险SemanticNet网描述：

根据工作流图形转换SemanticNet图规则，可以把工控系统资产、威胁、脆弱性利用关系和防御策略转换成SemanticNet图，最终可得整个工控系统的攻防博弈图，基于攻防博弈图可精确的描述当前工控系统中的攻击事件，攻击事件间的关联关系，以及对资产和系统造成的危害。

第六步、基于构建的所述攻防博弈图，从脆弱性利用和资产安全态势评估值两个方面选取当前时刻系统的关键节点，选取安全防御策略：

基于攻防博弈图和对应的基础安全态势评估数据，为了计算工控系统的整体安全态势值，本发明采用模糊多层次分析法处理。通过资产价值、脆弱性、威胁性三标度进行分析，使得很容易对两两因素做出谁相对重要的决策，而且由优先判断矩阵改造而成的模糊一致性矩阵满足一致性条件，无需再进行一致性检验，该方法简单，更容易掌握。另外，也可大大减少迭代次数提高收敛速度，满足计算精度的要求。

具体步骤如下。

1)将安全态势评估指标类型集U进行分类，包括资产分类及等级、威胁分析及等级、脆弱性分析及等级三类不同的指标集；

2)计算指标的权重向量；

3)建立安全态势指标对应的评价等级集合V＝{V₁,V₂,…,V_n}；其中，V_i表示第i个评价等级，n表示评价等级的个数；

4)对每个指标进行单指标评估，按模糊矩阵构建方式计算第i个指标集的评估矩阵R_i＝(r_ijk)_s×n(i＝1,2,…,m；j＝1,2,…,s；k＝1,2,…n)，其中，r_ijk表示第i个指标集中的第j个工控资产指标属于第k个等级的隶属度；m表示指标类型集的个数；s表示评估矩阵的行，n表示评估矩阵的列；应用Fuzzy合成运算计算出第i个指标集的模糊综合评估向量B_i＝ω_iοR_i＝(b_i1,b_i2,…,b_im'),i＝1,2,…,m'，ο为模糊合成，b_im'表示第i个指标集中处于m'等级的工控资产的占比，此处m'表示第i个指标集中的指标等级数；

5)对U的m个指标均作出上述评估后得到总评估矩阵B＝(B₁,B₂,…B_m)^T，则综合评估模糊集为A＝ω⁰οB，即得到整个工控系统安全态势评估值。

其中：2)计算指标的权重向量，包括：

①建立优先关系矩阵F，公式如下：

其中：c(i)和c(j)分别为指标f_i和f_j的相对重要程度；f_ij表示优先关系矩阵元素，m表示指标类型集的个数；i、j分别表示矩阵的指标i和j；

②将优先关系矩阵F＝(f_ij)_m×m转化成模糊一致性矩阵Q＝(q_ij)_m×m，对F做行求和以及行变换：

利用和行归一法得到模糊一致性矩阵Q＝(q_ij)_m×m；q_ij为模糊一致性矩阵中的元素值；qi和qj分别表示模糊一致性矩阵Q的行元素和列元素；

每行元素的和及不含对角线元素的总和：

l_i表示矩阵行i相对于上层指标的重要性，对l_i归一化得到各指标权重：

则权重向量：ω⁰＝(ω₁，ω₂，…，ω_m)^T。

第七步、基于关键节点分析的的防御策略联合决策：

基于构建的工控系统攻防博弈图，从脆弱性利用和资产安全态势评估值两个方面选取当前时刻系统的关键节点，重点加强关键节点的安全防御，选取安全防御策略。选取原则有两方面，一是选取资产脆弱性被利用次数最多的资产作为关键节点，二是选取当前安全态势评估值显示造成重大损害的资产作为关键节点。防御策略的制定以安全态势评估值作为决策依据，对不符合安全要求的指标选取对应的安全防御措施，进行安全防护。

以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员依然可以对本发明的具体实施方式进行修改或者等同替换，这些未脱离本发明精神和范围的任何修改或者等同替换，均在申请待批的本发明的权利要求保护范围之内。

Claims (10)

1.一种安全态势评估与防御策略联合决策方法，其特征在于：

对电网资产、威胁和脆弱性按照等级划分标准进行等级划分；

将电网资产、威胁和脆弱性的等级划分代入工作流，进行电网攻防博弈状态评估工作流建模，形成攻防博弈图；

基于构建的所述攻防博弈图，从脆弱性利用和资产安全态势评估值两个方面选取当前时刻系统的关键节点，选取安全防御策略。

2.如权利要求1所述的安全态势评估与防御策略联合决策方法，其特征在于，所述对电网资产、威胁和脆弱性进行等级划分均包括：等级为3的高标识等级、等级为2的中标识等级和等级为1的低标识等级。

3.如权利要求1所述的安全态势评估与防御策略联合决策方法，其特征在于，所述将电网资产、威胁和脆弱性的等级划分代入工作流，进行电网攻防博弈状态评估工作流建模，形成攻防博弈图，包括：对工作流中的任务、过程和路由进行建模，并将把工控系统的资产、威胁、脆弱性利用关系、攻击和防御状态转移元素代入工作流；根据工作流图形元素与赛门铁克网SemanticNet图元素转换规则，将构建的工作流组合转换成赛门铁克网SemanticNet图，以形成电网的攻防博弈图。

4.如权利要求1所述的安全态势评估与防御策略联合决策方法，其特征在于，还包括采用安全态势评估对所述工作流建模进行验证：

1)将安全态势评估指标类型集U进行分类，包括资产分类及等级、威胁分析及等级、脆弱性分析及等级三类不同的指标集；

2)计算指标的权重向量；

3)建立安全态势指标对应的评价等级集合V＝{V₁,V₂,…,V_n}；其中，V_i表示第i个评价等级，n表示评价等级的个数；

4)对每个指标进行单指标评估，按模糊矩阵构建方式计算第i个指标集的评估矩阵R_i＝(r_ijk)_s×n(i＝1,2,…,m；j＝1,2,…,s；k＝1,2,…n)，其中，r_ijk表示第i个指标集中的第j个工控资产指标属于第k个等级的隶属度；m表示指标类型集的个数；s表示评估矩阵的行，n表示评估矩阵的列；应用Fuzzy合成运算计算出第i个指标集的模糊综合评估向量 为模糊合成，b_im'表示第i个指标集中处于m'等级的工控资产的占比，此处m'表示第i个指标集中的指标等级数；

5)对U的m个指标均作出上述评估后得到总评估矩阵B＝(B₁,B₂,…B_m)^T，则综合评估模糊集为即得到整个工控系统安全态势评估值；B₁,B₂,…B_m为总评估矩阵的矩阵元素；ω⁰为权重向量。

5.如权利要求4所述的安全态势评估与防御策略联合决策方法，其特征在于，所述计算指标的权重向量，包括：

①建立优先关系矩阵F，公式如下：

其中：c(i)和c(j)分别为指标f_i和f_j的相对重要程度；f_ij表示优先关系矩阵元素，m表示指标类型集的个数；i、j分别表示矩阵的指标i和j；

②将优先关系矩阵F＝(f_ij)_m×m，利用和行归一法得到模糊一致性矩阵Q＝(q_ij)_m×m其中，q_ij为模糊一致性矩阵中的元素值；qi和qj分别表示模糊一致性矩阵Q的行元素和列元素，由下式计算得到；

每行元素的和及不含对角线元素的总和：

l_i表示矩阵行i相对于上层指标的重要性，对l_i归一化得到各指标权重：

则权重向量：ω⁰＝(ω₁，ω₂，…，ω_m)^T。

6.如权利要求1所述的安全态势评估与防御策略联合决策方法，其特征在于，所述安全防御策略包括：选取脆弱性利用最多，安全风险值最高的节点作为关键节点，并进行防御策略的制定。

7.一种安全态势评估与防御策略联合决策系统，其特征在于，包括：

等级划分模块，用于对电网资产、威胁和脆弱性按照等级划分标准进行等级划分；

构建模块，用于将电网资产、威胁和脆弱性的等级划分代入工作流，进行电网攻防博弈状态评估工作流建模，形成攻防博弈图；

安全防御策略选取模块，用于基于构建的所述攻防博弈图，从脆弱性利用和资产安全态势评估值两个方面选取当前时刻系统的关键节点，选取安全防御策略。

8.如权利要求7所述的安全态势评估与防御策略联合决策系统，其特征在于，等级划分模块，还用于：对电网资产、威胁和脆弱性进行等级划分，包括：等级为3的高标识等级、等级为2的中标识等级和等级为1的低标识等级。

9.如权利要求7所述的安全态势评估与防御策略联合决策系统，其特征在于，所述构建模块，还用于：将电网资产、威胁和脆弱性的等级划分代入工作流，进行电网攻防博弈状态评估工作流建模，形成攻防博弈图，包括：对工作流中的任务、过程和路由进行建模，并将把工控系统的资产、威胁、脆弱性利用关系、攻击和防御状态转移元素代入工作流；根据工作流图形元素与赛门铁克网SemanticNet图元素转换规则，将构建的工作流组合转换成赛门铁克网SemanticNet图，以形成电网的攻防博弈图。

10.如权利要求7所述的安全态势评估与防御策略联合决策系统，其特征在于，还包括验证模块，用于采用安全态势评估对所述工作流建模进行验证；

优选的，所述验证模块，还用于：

1)将安全态势评估指标类型集U进行分类，包括资产分类及等级、威胁分析及等级、脆弱性分析及等级三类不同的指标集；

2)计算指标的权重向量；

3)建立安全态势指标对应的评价等级集合V＝{V₁,V₂,…,V_n}；其中，V_i表示第i个评价等级，n表示评价等级的个数；

4)对每个指标进行单指标评估，按模糊矩阵构建方式计算第i个指标集的评估矩阵R_i＝(r_ijk)_s×n(i＝1,2,…,m；j＝1,2,…,s；k＝1,2,…n)，其中，r_ijk表示第i个指标集中的第j个工控资产指标属于第k个等级的隶属度；m表示指标类型集的个数；s表示评估矩阵的行，n表示评估矩阵的列；应用Fuzzy合成运算计算出第i个指标集的模糊综合评估向量 为模糊合成，b_im'表示第i个指标集中处于m'等级的工控资产的占比，此处m'表示第i个指标集中的指标等级数；

5)对U的m个指标均作出上述评估后得到总评估矩阵B＝(B₁,B₂,…B_m)^T，则综合评估模糊集为即得到整个工控系统安全态势评估值。