CN109241989B - 一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统 - Google Patents

一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统 Download PDF

Info

Publication number
CN109241989B
CN109241989B CN201810785588.4A CN201810785588A CN109241989B CN 109241989 B CN109241989 B CN 109241989B CN 201810785588 A CN201810785588 A CN 201810785588A CN 109241989 B CN109241989 B CN 109241989B
Authority
CN
China
Prior art keywords
alarm
attack
devices
similarity
matrix
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810785588.4A
Other languages
English (en)
Other versions
CN109241989A (zh
Inventor
杨军
周亮
应欢
韩丽芳
周纯杰
朱朝阳
缪思薇
王海翔
李梦涛
余文豪
邱意民
庞铖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huazhong University of Science and Technology
State Grid Corp of China SGCC
State Grid Zhejiang Electric Power Co Ltd
China Electric Power Research Institute Co Ltd CEPRI
Original Assignee
Huazhong University of Science and Technology
State Grid Corp of China SGCC
State Grid Zhejiang Electric Power Co Ltd
China Electric Power Research Institute Co Ltd CEPRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huazhong University of Science and Technology, State Grid Corp of China SGCC, State Grid Zhejiang Electric Power Co Ltd, China Electric Power Research Institute Co Ltd CEPRI filed Critical Huazhong University of Science and Technology
Priority to CN201810785588.4A priority Critical patent/CN109241989B/zh
Publication of CN109241989A publication Critical patent/CN109241989A/zh
Application granted granted Critical
Publication of CN109241989B publication Critical patent/CN109241989B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/06Energy or water supply
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Human Resources & Organizations (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Economics (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Evolutionary Computation (AREA)
  • General Business, Economics & Management (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Engineering & Computer Science (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Tourism & Hospitality (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Game Theory and Decision Science (AREA)
  • Educational Administration (AREA)
  • Development Economics (AREA)
  • Public Health (AREA)
  • Water Supply & Treatment (AREA)
  • General Health & Medical Sciences (AREA)
  • Primary Health Care (AREA)
  • Alarm Systems (AREA)

Abstract

本发明公开了一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统,方法包括:获取智能变电站的各告警设备的告警信息;对告警信息进行分类;确定告警设备之间的告警关联关系,建立告警设备之间的告警相似度矩阵;建立告警设备之间的因果关系矩阵;计算任意两个告警设备之间的攻击传播概率,确定告警设备之间的最终的攻击传播路径;根据预先建立的已知的攻击类型的攻击特征库,获取已知的攻击类型的攻击特征;将告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与已知的攻击类型的攻击特征进行攻击支持度分析;将攻击场景中各个节点的告警设备出现最多的攻击类型确定为当前攻击场景的攻击类型。

Description

一种基于时空相似度匹配的智能变电站入侵场景还原的方法 及系统
技术领域
本发明涉及智能变电站入侵攻击还原技术领域,更具体地,涉及一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统。
背景技术
智能变电站是智能电网建设的重要环节,随着信息与通信技术在智能变电站中的广泛应用,信息网络中的各种漏洞也给智能变电站带来了更严重的网络攻击威胁。针对这些安全威胁,国内外专家学者在智能变电站的信息安全领域开展了大量的研究,现有技术研究的主要内容包括攻击检测技术和攻击防护技术两部分。但是由于现在一些高级的网络攻击(例如APT攻击等)往往采用入侵逃逸技术来躲避安全设备等的检测,因此仅仅依靠攻击检测和攻击防御已经不足以对所有的攻击进行隔离。
在电力系统信息安全领域一个新兴研究方向是入侵场景还原技术,其通过收集电力系统遭受到攻击后系统各节点设备的报警日志作为攻击证据,然后从中提取攻击事件信息并利用攻击事件关联分析生成攻击场景图,进而还原出整个攻击过程。通过场景还原可以更完整、可靠地刻画所遭受的攻击,并更清晰地展现出攻击者意图,同时也可以发现电力系统潜在的安全漏洞,进而研究相应的攻击防御手段、指导电力系统的安全管理。
目前入侵场景还原技术的研究主要是针对网络攻击进行,这方面产生了很多研究成果,现有技术提出了一种基于多元报警日志的网络攻击场景生成方法,其通过收集多种网络安全防护设备的报警日志来进行攻击事件信息提取和关联分析,从而实现网络攻击场景的还原。现有技术还提出了一种网络攻击场景的因果知识挖掘方法、装置及服务器,通过对网络安全设备的告警信息进行因果知识挖掘来还原攻击场景。从目前的研究成果来看:入侵场景还原均基于网络安全防护设备的告警日志信息来实现,但是在智能变电站中,原始采样报文等数据的传输由于实时性要求往往没有设置网络安全防护,因此目前这些方法很难适用于变电站攻击场景的还原;并且电力系统中信息网和电力网紧密耦合,攻击的最终目标一般是要破坏电力网运行,而现有的场景还原技术往往没有考虑对电力网数据进行告警信息提取与分析。针对目前现状,在智能变电站的入侵场景还原技术研究上存在迫切的需求。
因此,需要一种技术,以实现对基于时空相似度匹配的智能变电站入侵场景的还原。
发明内容
本发明技术方案提供了一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统,以解决如何基于时空相似度匹配的智能变电站入侵场景还原的问题。
为了解决上述问题,本发明提供了一种基于时空相似度匹配的智能变电站入侵场景还原的方法,所述方法包括:
获取智能变电站的各告警设备的告警信息;
对所述告警信息进行分类;
基于同一分类的所述告警信息,从时间维度和空间维度分析所述告警设备之间的告警信息相似度,确定所述告警设备之间的告警关联关系,建立所述告警设备之间的告警相似度矩阵;
分析所述告警设备之间的告警关联关系,建立所述告警设备之间的因果关系矩阵;
基于所述告警相似度矩阵和所述告警设备之间的因果关系矩阵,计算任意两个所述告警设备之间的攻击传播概率,确定所述告警设备之间的最终的攻击传播路径;
根据预先建立的已知的攻击类型的攻击特征库,获取已知的攻击类型的攻击特征;将所述告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与所述已知的攻击类型的攻击特征进行攻击支持度分析,确定各个节点告警设备的攻击类型;将攻击场景中各个节点的告警设备出现最多的攻击类型确定为当前攻击场景的攻击类型。
优选地,所述对所述告警信息进行分类,包括:将所述告警信息分为:事故告警、异常告警、变位告警、越限告警和告知告警。
优选地,所述对同一分类的所述告警信息从时间维度和空间维度分析所述告警设备之间的告警相似度,确定所述告警设备之间的告警关联关系,建立所述告警设备之间的告警相似度矩阵,包括:
根据所述告警信息的分类结果,将相同类型的所述告警信息从匹配数量和告警时间两个方面计算所述告警设备之间的告警信息相似度,确定所述告警设备之间的告警关联关系,建立所述告警设备之间的告警相似度矩阵;设变电站中任意两个设备i、j,定义i和j之间的告警相似度关系为:
Figure BDA0001733655360000031
其中:pij表示设备i、j之间的告警相似度大小;mij表示i、j设备中匹配的同类告警对数;Nij表示i、j设备总告警数量;
Figure BDA0001733655360000032
表示设备i、j中相匹配的同类告警信息的告警时间;α、β是调节因子,α用来调节式中告警类型相似度和告警时间相似度的所占比重,β用于调整时间相似度中归一化的方法;
假设系统存在n个告警设备,利用告警相似度公式来计算各设备两两之间的告警相似度,并组成告警相似度矩阵P:
Figure BDA0001733655360000033
优选地,所述分析所述告警设备之间的告警关联关系,建立所述告警设备之间的因果关系矩阵,包括:
根据所述智能变电站二次系统的系统结构以及信息传递逻辑,分析各层级告警设备之间的关联关系,并建立设备间的因果关系矩阵:
Figure BDA0001733655360000034
其中:C表示因果关联矩阵;n表示告警设备总数;cij表示其中第i个设备和第j个设备之间是否存在攻击因果关系,如果攻击可以从第i个设备直接渗透到第j个设备,则cij=1,否则cij=0。
优选地,所述基于所述告警相似度矩阵和所述告警设备之间的因果关系矩阵,计算任意两个所述告警设备之间的攻击传播概率,确定所述告警设备之间的最终的攻击传播路径,包括:
所述基于所述告警相似度矩阵P和所述告警设备之间的因果关系矩阵C,计算任意两个所述告警设备之间的攻击传播概率,pij表示设备i和j的告警信息的相似度大小,而cij表示设备i和j是否存在攻击可达性的关联关系,pij和cij的乘积就可以表示设备i和j为攻击路径中节点的概率;定义攻击路径中各节点概率所组成矩阵G为:
Figure BDA0001733655360000041
G的计算公式为:
Figure BDA0001733655360000042
矩阵G描述了智能变电站中告警设备两两之间的攻击传播概率;定义路径选取阈值δ,选取矩阵G中概率大于阈值δ的所有元素组成集合
Figure BDA0001733655360000043
集合/>
Figure BDA0001733655360000044
中的任一元素的下标均代表了攻击路径中的相邻的两个告警设备,将所有元素的下标进行首尾相连即可得到最终的攻击传播路径。
优选地,所述根据预先建立的已知的攻击类型的攻击特征库,获取已知的攻击类型的攻击特征;将所述告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与所述已知的攻击类型的攻击特征进行攻击支持度分析,确定各个节点告警设备的攻击类型,包括:
假设已知的攻击类型的集合为K={k1,k2,...,km},所述已知攻击类型的攻击特征库的集合为
Figure BDA0001733655360000045
其中攻击类型ki对应的攻击特征库为/>
Figure BDA0001733655360000046
Wi表示ki的攻击特征个数;
对最终还原得到的攻击场景中的每一个告警设备,将所述告警设备的告警信息与集合K中各类型攻击进行攻击支持度分析,设告警设备为A,其告警信息集合为
Figure BDA0001733655360000047
则所述告警设备的告警信息对攻击类型ki的支持度为:
Figure BDA0001733655360000048
其中,
Figure BDA0001733655360000049
表示设备A的所有告警信息中符合攻击类型ki的攻击特征库/>
Figure BDA00017336553600000410
中特征的告警信息的数量,NA表示设备A的告警信息数量的总和;由此公式可以求得设备A对K中已知攻击类型的支持度为μA={μA(k1),μA(k2),...,μA(kn)}。
基于本发明的另一方面,提供一种基于时空相似度匹配的智能变电站入侵场景还原的系统,所述系统包括:
获取单元,用于获取智能变电站的各告警设备的告警信息;
分类单元,用于对所述告警信息进行分类;
第一建立单元,用于基于同一分类的所述告警信息,从时间维度和空间维度分析所述告警设备之间的告警信息相似度,确定所述告警设备之间的告警关联关系,建立所述告警设备之间的告警相似度矩阵;
第二建立单元,用于分析所述告警设备之间的告警关联关系,建立所述告警设备之间的因果关系矩阵;
第一确定单元,用于基于所述告警相似度矩阵和所述告警设备之间的因果关系矩阵,计算任意两个所述告警设备之间的攻击传播概率,确定所述告警设备之间的最终的攻击传播路径;
第二确定单元,用于根据预先建立的已知的攻击类型的攻击特征库,获取已知的攻击类型的攻击特征;将所述告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与所述已知的攻击类型的攻击特征进行攻击支持度分析,确定各个节点告警设备的攻击类型;将攻击场景中各个节点的告警设备出现最多的攻击类型确定为当前攻击场景的攻击类型。
优选地,所述分类单元用于对所述告警信息进行分类,包括:将所述告警信息分为:事故告警、异常告警、变位告警、越限告警和告知告警。
优选地,所述第一建立单元用于对同一分类的所述告警信息从时间维度和空间维度分析所述告警设备之间的告警相似度,确定所述告警设备之间的告警关联关系,建立所述告警设备之间的告警相似度矩阵,包括:
根据所述告警信息的分类结果,将相同类型的所述告警信息从匹配数量和告警时间两个方面计算所述告警设备之间的告警信息相似度,确定所述告警设备之间的告警关联关系,建立所述告警设备之间的告警相似度矩阵;设变电站中任意两个设备i、j,定义i和j之间的告警相似度关系为:
Figure BDA0001733655360000051
其中:pij表示设备i、j之间的告警相似度大小;mij表示i、j设备中匹配的同类告警对数;Nij表示i、j设备总告警数量;
Figure BDA0001733655360000052
表示设备i、j中相匹配的同类告警信息的告警时间;α、β是调节因子,α用来调节式中告警类型相似度和告警时间相似度的所占比重,β用于调整时间相似度中归一化的方法;
假设系统存在n个告警设备,利用告警相似度公式来计算各设备两两之间的告警相似度,并组成告警相似度矩阵P:
Figure BDA0001733655360000061
优选地,所述第二建立单元用于分析所述告警设备之间的告警关联关系,建立所述告警设备之间的因果关系矩阵,包括:
根据所述智能变电站二次系统的系统结构以及信息传递逻辑,分析各层级告警设备之间的关联关系,并建立设备间的因果关系矩阵:
Figure BDA0001733655360000062
其中:C表示因果关联矩阵;n表示告警设备总数;cij表示其中第i个设备和第j个设备之间是否存在攻击因果关系,如果攻击可以从第i个设备直接渗透到第j个设备,则cij=1,否则cij=0。
优选地,所述第一确定单元用于基于所述告警相似度矩阵和所述告警设备之间的因果关系矩阵,计算任意两个所述告警设备之间的攻击传播概率,确定所述告警设备之间的最终的攻击传播路径,包括:
所述基于所述告警相似度矩阵P和所述告警设备之间的因果关系矩阵C,计算任意两个所述告警设备之间的攻击传播概率,pij表示设备i和j的告警信息的相似度大小,而cij表示设备i和j是否存在攻击可达性的关联关系,pij和cij的乘积就可以表示设备i和j为攻击路径中节点的概率;定义攻击路径中各节点概率所组成矩阵G为:
Figure BDA0001733655360000063
G的计算公式为:
Figure BDA0001733655360000064
矩阵G描述了智能变电站中告警设备两两之间的攻击传播概率;定义路径选取阈值δ,选取矩阵G中概率大于阈值δ的所有元素组成集合
Figure BDA0001733655360000071
集合/>
Figure BDA0001733655360000072
中的任一元素的下标均代表了攻击路径中的相邻的两个告警设备,将所有元素的下标进行首尾相连即可得到最终的攻击传播路径。
优选地,所述第二确定单元用于根据预先建立的已知的攻击类型的攻击特征库,获取已知的攻击类型的攻击特征;将所述告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与所述已知的攻击类型的攻击特征进行攻击支持度分析,确定各个节点告警设备的攻击类型,包括:
假设已知的攻击类型的集合为K={k1,k2,...,km},所述已知攻击类型的攻击特征库的集合为
Figure BDA0001733655360000073
其中攻击类型ki对应的攻击特征库为/>
Figure BDA0001733655360000074
Wi表示ki的攻击特征个数;
对最终还原得到的攻击场景中的每一个告警设备,将所述告警设备的告警信息与集合K中各类型攻击进行攻击支持度分析,设告警设备为A,其告警信息集合为
Figure BDA0001733655360000075
则所述告警设备的告警信息对攻击类型ki的支持度为:
Figure BDA0001733655360000076
其中,
Figure BDA0001733655360000077
表示设备A的所有告警信息中符合攻击类型ki的攻击特征库/>
Figure BDA0001733655360000078
中特征的告警信息的数量,NA表示设备A的告警信息数量的总和;由此公式可以求得设备A对K中已知攻击类型的支持度为μA={μA(k1),μA(k2),...,μA(kn)}。
本发明技术方案提供了一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统,本发明技术方案首先从智能变电站二次系统各层级设备中获取覆盖信息网和电力网两个方面的告警信息,并依据专家知识对告警信息进行分类处理;然后从时间维度和空间维度综合分析各告警设备之间的告警相似度以及告警关联关系等;进而根据各设备间时空告警相似度大小求取可能的攻击路径,并通过攻击支持度分析推测可能的攻击类型,最终实现对入侵攻击场景的还原。
本发明的有效增益包括:
1.本申请考虑信息网和电力网两个维度的异常状态,分别从站控层、间隔层、过程层各节点设备提取相应的告警信息,然后依据专家知识库对告警信息分类,并以概率论的方法对各设备间告警信息进行相似度匹配,实现了信息网和电力网多源异构告警信息的统一描述。
2.本申请综合告警类别和告警时间两个方面对智能变电站各设备间的告警信息进行相似度匹配,然后建立变电站各层级设备间的因果关系模型,通过结合各设备告警信息的相似度与设备间的因果关系还原出攻击路径。
3.本申请在攻击路径还原的基础上,通过建立已知攻击类型的攻击特征库,然后将攻击路径中所有节点设备告警信息与已知攻击类型的攻击特征进行攻击支持度分析确定各节点设备的攻击类型,最后对攻击路径中各节点设备的攻击类型进行统计分析还原出当前攻击场景的攻击类型。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明优选实施方式的一种基于时空相似度匹配的智能变电站入侵场景还原的方法流程图;
图2为根据本发明优选实施方式的智能变电站主要节点设备的组成结构示意图;以及
图3为根据本发明优选实施方式的基于时空相似度匹配的智能变电站入侵场景还原的系统结构图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为根据本发明优选实施方式的一种基于时空相似度匹配的智能变电站入侵场景还原的方法流程图。本申请提供一种基于时空相似度匹配的智能变电站入侵场景还原技术,首先从智能变电站二次系统各层级设备中获取覆盖信息网和电力网两个方面的告警信息,并依据专家知识对告警信息进行分类处理;然后从时间维度和空间维度综合分析各告警设备之间的告警相似度以及告警关联关系等;进而根据各告警设备间时空告警相似度大小求取可能的攻击路径,并通过攻击支持度分析推测可能的攻击类型,最终实现对入侵攻击场景的还原。本发明实施方式提供一种基于时空相似度匹配的智能变电站入侵场景还原的方法,方法包括:
优选地,在步骤101:获取智能变电站的各告警设备的告警信息。本申请中对攻击进行取证:提取智能变电站站控层、间隔层、过程层中各设备的告警信息,包括变电站信息网和电力网两个维度的数据、日志等。
优选地,在步骤102:对告警信息进行分类。优选地,对告警信息进行分类,包括:将告警信息分为:事故告警、异常告警、变位告警、越限告警和告知告警。本申请中,对告警信息进行处理,首先根据攻击可能造成的变电站异常状态,定义h种告警类型;然后结合告警信息语义与专家知识将提取的告警信息进行分类。
优选地,在步骤103:基于同一分类的告警信息,从时间维度和空间维度分析告警设备之间的告警信息相似度,确定告警设备之间的告警关联关系,建立告警设备之间的告警相似度矩阵。
本申请对场景进行重构,通过告警相似度匹配、因果关联、攻击场景构建三步来还原攻击在变电站中各设备间的传播过程。
优选地,对同一分类的告警信息从时间维度和空间维度分析告警设备之间的告警相似度,确定告警设备之间的告警关联关系,建立告警设备之间的告警相似度矩阵,包括:
根据告警信息的分类结果,将相同类型的告警信息从匹配数量和告警时间两个方面计算告警设备之间的告警信息相似度,确定告警设备之间的告警关联关系,建立告警设备之间的告警相似度矩阵;设变电站中任意两个设备i、j,定义i和j之间的告警相似度关系为:
Figure BDA0001733655360000091
其中:pij表示设备i、j之间的告警相似度大小;mij表示i、j设备中匹配的同类告警对数;Nij表示i、j设备总告警数量;
Figure BDA0001733655360000092
表示设备i、j中相匹配的同类告警信息的告警时间;α、β是调节因子,α用来调节式中告警类型相似度和告警时间相似度的所占比重,β用于调整时间相似度中归一化的方法;
假设系统存在n个告警设备,利用告警相似度公式来计算各设备两两之间的告警相似度,并组成告警相似度矩阵P:
Figure BDA0001733655360000101
优选地,在步骤104:分析告警设备之间的告警关联关系,建立告警设备之间的因果关系矩阵。本申请根据智能变电站二次系统的系统结构以及信息传递逻辑,分析各层级设备之间的关联关系,并建立设备间的因果关系矩阵。
优选地,分析告警设备之间的告警关联关系,建立告警设备之间的因果关系矩阵,包括:
根据智能变电站二次系统的系统结构以及信息传递逻辑,分析各层级告警设备之间的关联关系,并建立设备间的因果关系矩阵:
Figure BDA0001733655360000102
其中:C表示因果关联矩阵;n表示告警设备总数;cij表示其中第i个设备和第j个设备之间是否存在攻击因果关系,如果攻击可以从第i个设备直接渗透到第j个设备,则cij=1,否则cij=0。
优选地,在步骤105:基于告警相似度矩阵和告警设备之间的因果关系矩阵,计算任意两个告警设备之间的攻击传播概率,确定告警设备之间的最终的攻击传播路径。
优选地,基于告警相似度矩阵和告警设备之间的因果关系矩阵,计算任意两个告警设备之间的攻击传播概率,确定告警设备之间的最终的攻击传播路径,包括:
所述基于所述告警相似度矩阵P和所述告警设备之间的因果关系矩阵C,计算任意两个所述告警设备之间的攻击传播概率,pij表示设备i和j的告警信息的相似度大小,而cij表示设备i和j是否存在攻击可达性的关联关系,pij和cij的乘积就可以表示设备i和j为攻击路径中节点的概率;定义攻击路径中各节点概率所组成矩阵G为:
Figure BDA0001733655360000103
G的计算公式为:
Figure BDA0001733655360000111
矩阵G描述了智能变电站中告警设备两两之间的攻击传播概率;定义路径选取阈值δ,选取矩阵G中概率大于阈值δ的所有元素组成集合
Figure BDA0001733655360000112
集合/>
Figure BDA0001733655360000113
中的任一元素的下标均代表了攻击路径中的相邻的两个告警设备,将所有元素的下标进行首尾相连即可得到最终的攻击传播路径。
优选地,在步骤106:根据预先建立的已知的攻击类型的攻击特征库,获取已知的攻击类型的攻击特征;将告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与已知的攻击类型的攻击特征进行攻击支持度分析,确定各个节点告警设备的攻击类型;将攻击场景中各个节点的告警设备出现最多的攻击类型确定为当前攻击场景的攻击类型。
优选地,根据预先建立的已知的攻击类型的攻击特征库,获取已知的攻击类型的攻击特征;将告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与已知的攻击类型的攻击特征进行攻击支持度分析,确定各个节点告警设备的攻击类型,包括:
假设已知的攻击类型的集合为K={k1,k2,...,km},所述已知攻击类型的攻击特征库的集合为
Figure BDA0001733655360000114
其中攻击类型ki对应的攻击特征库为/>
Figure BDA0001733655360000115
Wi表示ki的攻击特征个数;
对最终还原得到的攻击场景中的每一个告警设备,将所述告警设备的告警信息与集合K中各类型攻击进行攻击支持度分析,设告警设备为A,其告警信息集合为
Figure BDA0001733655360000116
则所述告警设备的告警信息对攻击类型ki的支持度为:
Figure BDA0001733655360000117
其中,
Figure BDA0001733655360000118
表示设备A的所有告警信息中符合攻击类型ki的攻击特征库/>
Figure BDA0001733655360000119
中特征的告警信息的数量,NA表示设备A的告警信息数量的总和;由此公式可以求得设备A对K中已知攻击类型的支持度为μA={μA(k1),μA(k2),...,μA(kn)}。
本申请中对攻击进行识别,首先建立已知攻击类型的攻击特征库;然后将最终还原得到的攻击场景中每个节点设备的告警信息分别与所有已知攻击类型的攻击特征进行攻击支持度分析,确定各节点设备的攻击类型;最后统计攻击场景中节点设备出现最多的攻击类型,则该攻击类型即为当前攻击场景的攻击类型。
本申请中,假设最终还原得到的攻击场景为a-b-c-d,a、b、c、d为该攻击场景中的设备节点,上一步求得了每个节点设备的攻击类型,这里统计该场景a、b、c、d设备中出现最多的攻击类型,则该攻击类型为当前攻击场景的攻击类型。
本申请提供的一种基于时空相似度匹配的智能变电站入侵场景还原的方法,基于时空相似度匹配的智能变电站入侵场景还原技术,包括攻击取证、告警处理、场景重构、攻击识别步骤。
图2为根据本发明优选实施方式的智能变电站主要节点设备的组成结构示意图。本申请结合图2所示的变电站主要节点设备来阐述本发明的具体技术实施过程。
1)攻击取证过程。攻击取证即是对图2中的节点设备进行告警信息提取,其中告警信息由告警时间和告警描述组成。以主变保护装置为例,提取的告警信息如下表所示:
表1主变保护装置告警信息
序号 告警时间 告警描述 告警类型
1 2018-01-16 17:40:19.504 主变第一套保护过负荷告警 事故告警
2 2018-01-16 17:40:19.706 冷却器全停告警 事故告警
3 2018-01-16 17:41:30.102 主变第一套保护GOOSE链路中断 异常告警
4 2018-01-16 17:41:30.653 主变第一套保护GOOSE总报警 异常告警
5 2018-01-16 17:41:45.159 主变第一套保护差流异常告警 异常告警
6 2018-01-16 17:42:52.170 主变温度高跳闸 变位告警
7 2018-01-16 17:43:06.471 主变本体压力突变告警 越限告警
8 2018-01-16 17:43:10.356 主变第一套保护检修状态投入 告知告警
··· ··· ··· ···
2)告警处理。告警处理用来对前面提取的变电站各设备的告警信息进行分类:
根据变电站一体化监控系统技术功能规范的要求,变电站的告警信息可以分为事故告警、异常告警、变位告警、越限告警和告知告警5种告警类型。本申请根据专家知识将前面提取的变电站各设备的告警信息按这5类进行分类,以主变保护装置为例,每个告警信息的所分类别如表1所示。在对变电站的各节点设备进行告警分类后,统计各节点设备的每种告警类型的告警个数,如表2所示。
表2变电站各节点设备告警分类统计
Figure BDA0001733655360000131
3)场景重构。场景重构用来还原攻击在变电站中各设备间的传播过程,其实现过程包括告警相似度匹配、因果关联、攻击场景构建三步:
告警相似度匹配。告警相似度匹配用来从告警类别和告警时间两个方面对变电站各节点设备之间的告警信息进行相似度匹配,并生成相似度矩阵。
以监控主机(1号设备)和测控装置(2号设备)为例,它们之间的告警相似度关系可由公式(1)得到:
Figure BDA0001733655360000132
从表2中可以得到它们的5类告警中的同类告警数量分别为:74、291、0、31、17,因此m12=413,而N12=962;α这里设为0.7;另外在对两个设备的同类告警信息进行数据获取和分析后得到:
Figure BDA0001733655360000133
最小值为282(ms),其中/>
Figure BDA0001733655360000134
Figure BDA0001733655360000135
β设置为经验值0.001,最后求出两个设备之间的告警相似度p12=0.73。
依照上面求解p12的方法计算变电站各节点设备两两之间的告警相似度的值,然后将所求的告警相似度的值组成相似度矩阵P:
Figure BDA0001733655360000141
因果关联是利用智能变电站二次系统的系统结构以及信息传递逻辑,分析各层级设备之间的关联关系,然后建立设备间的因果关系矩阵(见公式3)。这里从图2所示的变电站主要节点设备的组成结构以及节点设备间的信息传递逻辑来确定各设备间的攻击因果关系,以监控主机(1号设备)和测控装置(2号设备)为例,从图2中可以看出从监控主机和测控装置之间的信息传递方向为双向,因此攻击可以在两者之间相互传播,所以c12=c21=1;而测控装置和线路保护装置同属间隔层,由变电站的系统结构可知二者之间没有信息交互,因此二者之间无法实现直接的攻击渗透,故c23=c32=0。按此方法最后可得到各设备间的因果关系矩阵C为:
Figure BDA0001733655360000142
4)攻击场景构建。攻击场景构建用来实现变电站中攻击路径的还原,
首先利用前面求得的矩阵P、C可以计算出攻击路径中各节点概率所组成的矩阵G:
Figure BDA0001733655360000143
矩阵G描述了变电站中设备两两之间的攻击传播概率,根据矩阵G可以实现攻击路径的还原。这里设置路径选取阈值δ为0.7,则矩阵G中概率大于δ的所有元素为g12、g21、g26、g62,即可得最终的攻击路径为1-2-6。
首先建立已知攻击类型的攻击特征库,这里仅对DoS攻击和虚假数据注入攻击两种已知攻击建立攻击特征库。其中根据专家知识建立的攻击特征库如下表所示:
表3DoS攻击和虚假数据注入攻击的攻击特征库
Figure BDA0001733655360000151
然后对最终还原得到的攻击路径中的每一个节点设备,将其告警信息和这两种攻击类型进行攻击支持度分析,然后求出对应节点设备的攻击类型:以主变保护装置为例,其告警信息如表1所示,将其所有告警信息和DoS攻击、虚假数据注入攻击的特征库分别进行匹配,其中匹配是通过将每条告警信息与攻击特征库中的特征依次进行比较来判断告警信息是否和攻击特征相符合(比如表1中“主变第一套保护GOOSE链路中断”告警和DoS攻击特征库中的“GOOSE链路中断”特征是相符合的),最后依据公式(6)计算出主变保护装置的告警信息对DoS攻击和虚假数据注入攻击的攻击支持度分别为37.4%,65.7%。由于65.7%>37.4%,因此主变保护装置的攻击类型为虚假数据注入攻击。
最后确定所还原的攻击场景的攻击类型。前面还原得到的攻击路径为1-2-6(1为监控主机、2为测控装置、6为合智一体装置),按上一步的方法求得的设备1、2、6分别对应的攻击类型为虚假数据注入攻击、DoS攻击、虚假数据注入攻击。统计可得,该攻击场景出现2次虚假数据注入攻击、1次DoS攻击,因此判断当前攻击场景的攻击类型为虚假数据注入攻击。
图3为根据本发明优选实施方式的基于时空相似度匹配的智能变电站入侵场景还原的系统结构图。如图3所示,一种基于时空相似度匹配的智能变电站入侵场景还原的系统,系统包括:
获取单元301,用于获取智能变电站的各告警设备的告警信息。
分类单元302,用于对告警信息进行分类。优选地,分类单元用于对告警信息进行分类,包括:将告警信息分为:事故告警、异常告警、变位告警、越限告警和告知告警。
第一建立单元303,用于基于同一分类的告警信息,从时间维度和空间维度分析告警设备之间的告警信息相似度,确定告警设备之间的告警关联关系,建立告警设备之间的告警相似度矩阵。优选地,第一建立单元用于对同一分类的告警信息从时间维度和空间维度分析告警设备之间的告警相似度,确定告警设备之间的告警关联关系,建立告警设备之间的告警相似度矩阵,包括:
根据告警信息的分类结果,将相同类型的告警信息从匹配数量和告警时间两个方面计算告警设备之间的告警信息相似度,确定告警设备之间的告警关联关系,建立告警设备之间的告警相似度矩阵;设变电站中任意两个设备i、j,定义i和j之间的告警相似度关系为:
Figure BDA0001733655360000161
其中:pij表示设备i、j之间的告警相似度大小;mij表示i、j设备中匹配的同类告警对数;Nij表示i、j设备总告警数量;
Figure BDA0001733655360000162
表示设备i、j中相匹配的同类告警信息的告警时间;α、β是调节因子,α用来调节式中告警类型相似度和告警时间相似度的所占比重,β用于调整时间相似度中归一化的方法;
假设系统存在n个告警设备,利用告警相似度公式来计算各设备两两之间的告警相似度,并组成告警相似度矩阵P:
Figure BDA0001733655360000163
第二建立单元304,用于分析告警设备之间的告警关联关系,建立告警设备之间的因果关系矩阵。优选地,第二建立单元用于分析告警设备之间的告警关联关系,建立告警设备之间的因果关系矩阵,包括:
根据智能变电站二次系统的系统结构以及信息传递逻辑,分析各层级告警设备之间的关联关系,并建立设备间的因果关系矩阵:
Figure BDA0001733655360000164
其中:C表示因果关联矩阵;n表示告警设备总数;cij表示其中第i个设备和第j个设备之间是否存在攻击因果关系,如果攻击可以从第i个设备直接渗透到第j个设备,则cij=1,否则cij=0。
第一确定单元305,用于基于告警相似度矩阵和告警设备之间的因果关系矩阵,计算任意两个告警设备之间的攻击传播概率,确定告警设备之间的最终的攻击传播路径。优选地,第一确定单元用于基于告警相似度矩阵和告警设备之间的因果关系矩阵,计算任意两个告警设备之间的攻击传播概率,确定告警设备之间的最终的攻击传播路径,包括:
基于所述告警相似度矩阵P和所述告警设备之间的因果关系矩阵C,计算任意两个所述告警设备之间的攻击传播概率,pij表示设备i和j的告警信息的相似度大小,而cij表示设备i和j是否存在攻击可达性的关联关系,pij和cij的乘积就可以表示设备i和j为攻击路径中节点的概率;定义攻击路径中各节点概率所组成矩阵G为:
Figure BDA0001733655360000171
G的计算公式为:
Figure BDA0001733655360000172
矩阵G描述了智能变电站中告警设备两两之间的攻击传播概率;定义路径选取阈值δ,选取矩阵G中概率大于阈值δ的所有元素组成集合
Figure BDA0001733655360000173
集合/>
Figure BDA0001733655360000174
中的任一元素的下标均代表了攻击路径中的相邻的两个告警设备,将所有元素的下标进行首尾相连即可得到最终的攻击传播路径。
第二确定单元306,用于根据预先建立的已知的攻击类型的攻击特征库,获取已知的攻击类型的攻击特征;将告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与已知的攻击类型的攻击特征进行攻击支持度分析,确定各个节点告警设备的攻击类型;将攻击场景中各个节点的告警设备出现最多的攻击类型确定为当前攻击场景的攻击类型。
优选地,第二确定单元用于根据预先建立的已知的攻击类型的攻击特征库,获取已知的攻击类型的攻击特征;将告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与已知的攻击类型的攻击特征进行攻击支持度分析,确定各个节点告警设备的攻击类型,包括:
假设已知的攻击类型的集合为K={k1,k2,...,km},所述已知攻击类型的攻击特征库的集合为
Figure BDA0001733655360000175
其中攻击类型ki对应的攻击特征库为/>
Figure BDA0001733655360000176
Wi表示ki的攻击特征个数;
对最终还原得到的攻击场景中的每一个告警设备,将所述告警设备的告警信息与集合K中各类型攻击进行攻击支持度分析,设告警设备为A,其告警信息集合为
Figure BDA0001733655360000177
则所述告警设备的告警信息对攻击类型ki的支持度为:
Figure BDA0001733655360000181
其中,
Figure BDA0001733655360000182
表示设备A的所有告警信息中符合攻击类型ki的攻击特征库/>
Figure BDA0001733655360000183
中特征的告警信息的数量,NA表示设备A的告警信息数量的总和;由此公式可以求得设备A对K中已知攻击类型的支持度为μA={μA(k1),μA(k2),...,μA(kn)}。
本发明实施方式的基于时空相似度匹配的智能变电站入侵场景还原的系统300与本发明另一实施方式的基于时空相似度匹配的智能变电站入侵场景还原的方法100相对应,在此不再进行赘述。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。

Claims (12)

1.一种基于时空相似度匹配的智能变电站入侵场景还原的方法,所述方法包括:
获取智能变电站的各告警设备的告警信息;
对所述告警信息进行分类;
基于同一分类的所述告警信息,从时间维度和空间维度分析所述告警设备之间的告警信息相似度,确定所述告警设备之间的告警关联关系,建立所述告警设备之间的告警相似度矩阵;
分析所述告警设备之间的告警关联关系,建立所述告警设备之间的因果关系矩阵;
基于所述告警相似度矩阵和所述告警设备之间的因果关系矩阵,计算任意两个所述告警设备之间的攻击传播概率,确定所述告警设备之间的最终的攻击传播路径;
根据预先建立的已知的攻击类型的攻击特征库,获取已知的攻击类型的攻击特征;将所述告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与所述已知的攻击类型的攻击特征进行攻击支持度分析,确定各个节点告警设备的攻击类型;将攻击场景中各个节点的告警设备出现最多的攻击类型确定为当前攻击场景的攻击类型。
2.根据权利要求1所述的方法,所述对所述告警信息进行分类,包括:将所述告警信息分为:事故告警、异常告警、变位告警、越限告警和告知告警。
3.根据权利要求1所述的方法,所述对同一分类的所述告警信息从时间维度和空间维度分析所述告警设备之间的告警相似度,确定所述告警设备之间的告警关联关系,建立所述告警设备之间的告警相似度矩阵,包括:
根据所述告警信息的分类结果,将相同类型的所述告警信息从匹配数量和告警时间两个方面计算所述告警设备之间的告警信息相似度,确定所述告警设备之间的告警关联关系,建立所述告警设备之间的告警相似度矩阵;设变电站中任意两个设备j、j,定义i和j之间的告警相似度关系为:
Figure QLYQS_1
其中:pij表示设备i、j之间的告警相似度大小;mij表示i、j设备中匹配的同类告警对数;Nij表示i、j设备总告警数量;
Figure QLYQS_2
表示设备i、j中相匹配的同类告警信息的告警时间;α、β是调节因子,α用来调节式中告警类型相似度和告警时间相似度的所占比重,β用于调整时间相似度中归一化的方法;
假设系统存在n个告警设备,利用告警相似度公式来计算各设备两两之间的告警相似度,并组成告警相似度矩阵P:
Figure QLYQS_3
4.根据权利要求1所述的方法,所述分析所述告警设备之间的告警关联关系,建立所述告警设备之间的因果关系矩阵,包括:
根据所述智能变电站二次系统的系统结构以及信息传递逻辑,分析各层级告警设备之间的关联关系,并建立设备间的因果关系矩阵:
Figure QLYQS_4
其中:C表示因果关联矩阵;n表示告警设备总数;cij表示其中第i个设备和第j个设备之间是否存在攻击因果关系,如果攻击可以从第i个设备直接渗透到第j个设备,则cij=1,否则cij=0。
5.根据权利要求1所述的方法,所述基于所述告警相似度矩阵和所述告警设备之间的因果关系矩阵,计算任意两个所述告警设备之间的攻击传播概率,确定所述告警设备之间的最终的攻击传播路径,包括:
所述基于所述告警相似度矩阵P和所述告警设备之间的因果关系矩阵C,计算任意两个所述告警设备之间的攻击传播概率,pij表示设备i和j的告警信息的相似度大小,而cij表示设备i和j是否存在攻击可达性的关联关系,pij和cij的乘积就可以表示设备i和j为攻击路径中节点的概率;定义攻击路径中各节点概率所组成矩阵G为:
Figure QLYQS_5
G的计算公式为:
Figure QLYQS_6
矩阵G描述了智能变电站中告警设备两两之间的攻击传播概率;定义路径选取阈值δ,选取矩阵G中概率大于阈值δ的所有元素组成集合
Figure QLYQS_7
集合/>
Figure QLYQS_8
中的任一元素的下标均代表了攻击路径中的相邻的两个告警设备,将所有元素的下标进行首尾相连即可得到最终的攻击传播路径。
6.根据权利要求1所述的方法,所述根据预先建立的已知的攻击类型的攻击特征库,获取已知的攻击类型的攻击特征;将所述告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与所述已知的攻击类型的攻击特征进行攻击支持度分析,确定各个节点告警设备的攻击类型,包括:
假设已知的攻击类型的集合为K={k1,k2,...,km},所述已知攻击类型的攻击特征库的集合为
Figure QLYQS_9
其中攻击类型ki对应的攻击特征库为/>
Figure QLYQS_10
Wi表示ki的攻击特征个数;
对最终还原得到的攻击场景中的每一个告警设备,将所述告警设备的告警信息与集合K中各类型攻击进行攻击支持度分析,设告警设备为A,其告警信息集合为
Figure QLYQS_11
则所述告警设备的告警信息对攻击类型ki的支持度为:
Figure QLYQS_12
其中,
Figure QLYQS_13
表示设备A的所有告警信息中符合攻击类型ki的攻击特征库/>
Figure QLYQS_14
中特征的告警信息的数量,NA表示设备A的告警信息数量的总和;由此公式可以求得设备A对K中已知攻击类型的支持度为μA={μA(k1),μA(k2),...,μA(kn)}。
7.一种基于时空相似度匹配的智能变电站入侵场景还原的系统,所述系统包括:
获取单元,用于获取智能变电站的各告警设备的告警信息;
分类单元,用于对所述告警信息进行分类;
第一建立单元,用于基于同一分类的所述告警信息,从时间维度和空间维度分析所述告警设备之间的告警信息相似度,确定所述告警设备之间的告警关联关系,建立所述告警设备之间的告警相似度矩阵;
第二建立单元,用于分析所述告警设备之间的告警关联关系,建立所述告警设备之间的因果关系矩阵;
第一确定单元,用于基于所述告警相似度矩阵和所述告警设备之间的因果关系矩阵,计算任意两个所述告警设备之间的攻击传播概率,确定所述告警设备之间的最终的攻击传播路径;
第二确定单元,用于根据预先建立的已知的攻击类型的攻击特征库,获取已知的攻击类型的攻击特征;将所述告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与所述已知的攻击类型的攻击特征进行攻击支持度分析,确定各个节点告警设备的攻击类型;将攻击场景中各个节点的告警设备出现最多的攻击类型确定为当前攻击场景的攻击类型。
8.根据权利要求7所述的系统,所述分类单元用于对所述告警信息进行分类,包括:将所述告警信息分为:事故告警、异常告警、变位告警、越限告警和告知告警。
9.根据权利要求7所述的系统,所述第一建立单元用于对同一分类的所述告警信息从时间维度和空间维度分析所述告警设备之间的告警相似度,确定所述告警设备之间的告警关联关系,建立所述告警设备之间的告警相似度矩阵,包括:
根据所述告警信息的分类结果,将相同类型的所述告警信息从匹配数量和告警时间两个方面计算所述告警设备之间的告警信息相似度,确定所述告警设备之间的告警关联关系,建立所述告警设备之间的告警相似度矩阵;设变电站中任意两个设备i、j,定义i和j之间的告警相似度关系为:
Figure QLYQS_15
其中:pij表示设备i、j之间的告警相似度大小;mij表示i、j设备中匹配的同类告警对数;Nij表示i、j设备总告警数量;
Figure QLYQS_16
表示设备i、j中相匹配的同类告警信息的告警时间;α、β是调节因子,α用来调节式中告警类型相似度和告警时间相似度的所占比重,β用于调整时间相似度中归一化的方法;
假设系统存在n个告警设备,利用告警相似度公式来计算各设备两两之间的告警相似度,并组成告警相似度矩阵P:
Figure QLYQS_17
10.根据权利要求7所述的系统,所述第二建立单元用于分析所述告警设备之间的告警关联关系,建立所述告警设备之间的因果关系矩阵,包括:
根据所述智能变电站二次系统的系统结构以及信息传递逻辑,分析各层级告警设备之间的关联关系,并建立设备间的因果关系矩阵:
Figure QLYQS_18
其中:C表示因果关联矩阵;n表示告警设备总数;cij表示其中第i个设备和第j个设备之间是否存在攻击因果关系,如果攻击可以从第i个设备直接渗透到第j个设备,则cij=1,否则cij=0。
11.根据权利要求7所述的系统,所述第一确定单元用于基于所述告警相似度矩阵和所述告警设备之间的因果关系矩阵,计算任意两个所述告警设备之间的攻击传播概率,确定所述告警设备之间的最终的攻击传播路径,包括:
所述基于所述告警相似度矩阵P和所述告警设备之间的因果关系矩阵C,计算任意两个所述告警设备之间的攻击传播概率,pij表示设备i和j的告警信息的相似度大小,而cij表示设备i和j是否存在攻击可达性的关联关系,pij和cij的乘积就可以表示设备i和j为攻击路径中节点的概率;定义攻击路径中各节点概率所组成矩阵G为:
Figure QLYQS_19
G的计算公式为:
Figure QLYQS_20
矩阵G描述了智能变电站中告警设备两两之间的攻击传播概率;定义路径选取阈值δ,选取矩阵G中概率大于阈值δ的所有元素组成集合
Figure QLYQS_21
集合/>
Figure QLYQS_22
中的任一元素的下标均代表了攻击路径中的相邻的两个告警设备,将所有元素的下标进行首尾相连即可得到最终的攻击传播路径。
12.根据权利要求7所述的系统,所述第二确定单元用于根据预先建立的已知的攻击类型的攻击特征库,获取已知的攻击类型的攻击特征;将所述告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与所述已知的攻击类型的攻击特征进行攻击支持度分析,确定各个节点告警设备的攻击类型,包括:
假设已知的攻击类型的集合为K={k1,k2,...,km},所述已知攻击类型的攻击特征库的集合为
Figure QLYQS_23
其中攻击类型ki对应的攻击特征库为/>
Figure QLYQS_24
Wi表示ki的攻击特征个数;
对最终还原得到的攻击场景中的每一个告警设备,将所述告警设备的告警信息与集合K中各类型攻击进行攻击支持度分析,设告警设备为A,其告警信息集合为
Figure QLYQS_25
则所述告警设备的告警信息对攻击类型ki的支持度为:
Figure QLYQS_26
其中,
Figure QLYQS_27
表示设备A的所有告警信息中符合攻击类型ki的攻击特征库/>
Figure QLYQS_28
中特征的告警信息的数量,NA表示设备A的告警信息数量的总和;由此公式可以求得设备A对K中已知攻击类型的支持度为μA={μA(k1),μA(k2),...,μA(kn)}。
CN201810785588.4A 2018-07-17 2018-07-17 一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统 Active CN109241989B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810785588.4A CN109241989B (zh) 2018-07-17 2018-07-17 一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810785588.4A CN109241989B (zh) 2018-07-17 2018-07-17 一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统

Publications (2)

Publication Number Publication Date
CN109241989A CN109241989A (zh) 2019-01-18
CN109241989B true CN109241989B (zh) 2023-06-20

Family

ID=65071959

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810785588.4A Active CN109241989B (zh) 2018-07-17 2018-07-17 一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统

Country Status (1)

Country Link
CN (1) CN109241989B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109992964B (zh) * 2019-04-12 2021-06-29 南方电网电力科技股份有限公司 一种基于工业互联网的数据防护方法、装置及存储介质
CN110138773B (zh) * 2019-05-14 2022-01-11 北京天地和兴科技有限公司 一种针对goose攻击的防护方法
CN111224941B (zh) * 2019-11-19 2020-12-04 北京邮电大学 一种威胁类型识别方法及装置
CN111274285A (zh) * 2020-01-15 2020-06-12 上海观安信息技术股份有限公司 一种基于信息论的告警关联方法
CN111414744B (zh) * 2020-03-25 2023-04-07 上海擎创信息技术有限公司 一种基于社区检测的运维告警场景生成方法
CN112613576B (zh) * 2020-12-30 2024-03-19 绿盟科技集团股份有限公司 确定告警的方法、装置、电子设备和存储介质
CN114842248B (zh) * 2022-04-22 2024-02-02 中国人民解放军国防科技大学 基于因果关联挖掘模型的场景图生成方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102075516A (zh) * 2010-11-26 2011-05-25 哈尔滨工程大学 一种网络多步攻击识别和预测方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102075516A (zh) * 2010-11-26 2011-05-25 哈尔滨工程大学 一种网络多步攻击识别和预测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
利用模糊聚类实现入侵检测告警关联图的重构;马琳茹;杨林;王建新;唐鑫;;通信学报(第09期);全文 *
电力信息物理融合系统入侵攻击场景还原技术;熊杰;周纯杰;杨军;;中国仪器仪表(第04期);全文 *

Also Published As

Publication number Publication date
CN109241989A (zh) 2019-01-18

Similar Documents

Publication Publication Date Title
CN109241989B (zh) 一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统
Maglaras et al. Combining ensemble methods and social network metrics for improving accuracy of OCSVM on intrusion detection in SCADA systems
CN107241352B (zh) 一种网络安全事件分类与预测方法及系统
US10452845B2 (en) Generic framework to detect cyber threats in electric power grid
Jabez et al. Intrusion Detection System (IDS): Anomaly detection using outlier detection approach
KR101538709B1 (ko) 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법
Shirazi et al. Evaluation of anomaly detection techniques for scada communication resilience
CN108574691A (zh) 用于保护电力网控制系统的系统、方法以及计算机可读介质
CN111541661A (zh) 基于因果知识的电力信息网络攻击场景重构方法及系统
CN105471882A (zh) 一种基于行为特征的网络攻击检测方法及装置
CN106453417A (zh) 一种基于近邻相似性的网络攻击目标预测方法
CN105009132A (zh) 基于置信因子的事件关联
CN116781430B (zh) 用于燃气管网的网络信息安全系统及其方法
CN109902297A (zh) 一种威胁情报生成方法及装置
Ruan et al. Deep learning for cybersecurity in smart grids: Review and perspectives
CN108255996A (zh) 基于Apriori算法的安全日志分析方法
Hodo et al. Anomaly detection for simulated iec-60870-5-104 trafiic
CN105100122A (zh) 一种基于大数据分析的威胁检测和预警的方法及系统
KR20210115991A (ko) 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치
Wang et al. Efficient detection of DDoS attacks with important attributes
Kuznetsov et al. Variance analysis of networks traffic for intrusion detection in smart grids
Ahmed et al. Spatio-temporal deep graph network for event detection, localization and classification in cyber-physical electric distribution system
CN113538171A (zh) 一种电站安全监测系统
Werner et al. Near real-time intrusion alert aggregation using concept-based learning
Pan et al. Anomaly behavior analysis for building automation systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant