CN110210229A - 电网信息物理系统的脆弱性的评估方法、系统及存储介质 - Google Patents
电网信息物理系统的脆弱性的评估方法、系统及存储介质 Download PDFInfo
- Publication number
- CN110210229A CN110210229A CN201910357592.5A CN201910357592A CN110210229A CN 110210229 A CN110210229 A CN 110210229A CN 201910357592 A CN201910357592 A CN 201910357592A CN 110210229 A CN110210229 A CN 110210229A
- Authority
- CN
- China
- Prior art keywords
- business
- network information
- electric network
- physical system
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000003860 storage Methods 0.000 title claims abstract description 13
- 230000005540 biological transmission Effects 0.000 claims abstract description 41
- 238000004891 communication Methods 0.000 claims abstract description 33
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 13
- 238000011156 evaluation Methods 0.000 claims abstract description 6
- 239000011159 matrix material Substances 0.000 claims description 39
- 238000005259 measurement Methods 0.000 claims description 9
- 230000015572 biosynthetic process Effects 0.000 claims description 8
- 238000003786 synthesis reaction Methods 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 7
- 238000009826 distribution Methods 0.000 claims description 6
- 238000002513 implantation Methods 0.000 claims description 4
- 208000015181 infectious disease Diseases 0.000 claims description 4
- 230000008595 infiltration Effects 0.000 claims description 4
- 238000001764 infiltration Methods 0.000 claims description 4
- 238000010606 normalization Methods 0.000 claims description 4
- 230000005611 electricity Effects 0.000 claims description 3
- 239000000284 extract Substances 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 3
- 230000016571 aggressive behavior Effects 0.000 claims description 2
- 238000004590 computer program Methods 0.000 claims description 2
- 230000009466 transformation Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 10
- 230000007123 defense Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000002146 bilateral effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 238000011960 computer-aided design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000001965 increasing effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000006641 stabilisation Effects 0.000 description 1
- 238000011105 stabilization Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Economics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Water Supply & Treatment (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Primary Health Care (AREA)
- Marketing (AREA)
- Human Resources & Organizations (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Public Health (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种电网信息物理系统的脆弱性的评估方法、系统及存储介质。该方法包括:对电网信息物理系统遭受分布式拒绝服务攻击的过程进行仿真,得到所述分布式拒绝服务攻击对通信数据的传输延时结果;获取所述电网信息物理系统的业务的相对重要度;根据所述传输延时结果,按照最短路径dijkstra寻优算法,建立所述电网信息物理系统的业务拓扑图;根据所述业务的相对重要度和所述电网信息物理系统的业务拓扑图,评估所述电网信息物理系统的脆弱性。本发明对电力通信网络在遭受分布式拒绝服务攻击时的风险与脆弱性进行安全评估,为电网可靠运行与安全防范网络攻击提供指导。
Description
技术领域
本发明涉及电力系统网络安全技术领域,尤其涉及一种电网信息物理系统的脆弱性的评估方法、系统及存储介质。
背景技术
随着智能电网的发展,电力通信一体化的趋势日趋明显,传统物理电网逐渐发展成电网信息物理系统(cyber physical system,CPS)。电力通信业务的重要性与多样性与日俱增,电力通信业务直接影响到电力系统的稳定和安全生产。分布式测量控制装置的接入丰富了电力通信业务的作用范围与实现方式,然而,高速广泛连接的终端与网络给电力业务带来便利的同时,也为分布式拒绝服务攻击创造了极为有利的条件。与传统因特网攻击不同的是,电力通信网络与物理电网的控制运行之间存在紧密的耦合联系,其一旦被入侵,错误的判断与控制指令会对电力一次设备进行错误反馈与操作。由于电力潮流的时空传递性,网络攻击甚至引起电网连锁破坏,造成严重的安全与经济损失。因此需要基于攻击在电网信息物理空间的产生、传播与破坏机制,研究相应的电网信息物理系统协同检测、保护与恢复策略,为电网信息物理系统的安全稳定运行提供保障。
发明内容
本发明实施例提供一种电网信息物理系统的脆弱性的评估方法、系统及存储介质,以解决现有技术的电网信息物理系统易遭受分布式拒绝服务攻击而无法安全稳定运行的问题。
第一方面,提供一种电网信息物理系统的脆弱性的评估方法,包括:
对电网信息物理系统遭受分布式拒绝服务攻击的过程进行仿真,得到所述分布式拒绝服务攻击对通信数据的传输延时结果;
获取所述电网信息物理系统的业务的相对重要度;
根据所述传输延时结果,按照最短路径dijkstra寻优算法,建立所述电网信息物理系统的业务拓扑图;
根据所述业务的相对重要度和所述电网信息物理系统的业务拓扑图,评估所述电网信息物理系统的脆弱性。
第二方面,提供一种电网信息物理系统的脆弱性的评估系统,包括:
仿真模块,用于对电网信息物理系统遭受分布式拒绝服务攻击的过程进行仿真,得到所述分布式拒绝服务攻击对通信数据的传输延时结果;
获取模块,用于获取所述电网信息物理系统的业务的相对重要度;
建立模块,用于根据所述传输延时结果,按照最短路径dijkstra寻优算法,建立所述电网信息物理系统的业务拓扑图;
评估模块,用于根据所述业务的相对重要度和所述电网信息物理系统的业务拓扑图,评估所述电网信息物理系统的脆弱性。
第三方面,一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前所述的电网信息物理系统的脆弱性的评估方法的步骤。
本发明实施例,对电力通信网络进行了建模与攻击复现,基于业务重要度构建了业务属性与传输矩阵,通过路径传输风险与图论方法计算出了攻击后的系统脆弱性,从而对电力通信网络在遭受分布式拒绝服务攻击时的风险与脆弱性进行安全评估,为电网可靠运行与安全防范网络攻击提供指导。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的电网信息物理系统的脆弱性的评估方法的流程图;
图2是本发明一优选实施例的电网信息物理系统的结构示意图;
图3是本发明一优选实施例的分布式拒绝服务攻击的流程及原理图;
图4是本发明一优选实施例的线路的脆弱度的示意图;
图5是本发明一优选实施例的节点的性能脆弱度的示意图;
图6是本发明一优选实施例的节点的拓扑重要度的示意图;
图7是本发明一优选实施例的节点的业务重要度的示意图;
图8是本发明一优选实施例的节点的脆弱度的示意图;
图9是本发明实施例的电网信息物理系统的脆弱性的评估系统的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获取的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种电网信息物理系统的脆弱性的评估方法。该评估方法是针对分布式拒绝服务攻击对电网信息物理系统进行攻击的评估方法。如图1所示,本发明实施例的评估方法包括如下的步骤:
步骤S101:对电网信息物理系统遭受分布式拒绝服务攻击的过程进行仿真,得到分布式拒绝服务攻击对通信数据的传输延时结果。
在本发明一优选的实施例中,电网信息物理系统为IEEE14节点电力系统及其通信网络。如图2所示,IEEE14节点电力系统包括:电力层的发电机、负荷等节点,以及通信层的控制子站与主站。
该步骤在通信仿真软件OPNET中建立电力通信网络模型,采用Cyber Effects模块,利用TCP(Transmission Control Protocol)协议的漏洞,构建针对主站服务器的分布式拒绝服务(Distributed Denial of Service,DDoS)攻击,对该过程进行仿真,以验证分布式拒绝服务攻击对通信数据的传输延时的影响。
步骤S102:获取电网信息物理系统的业务的相对重要度。
典型的电网信息物理系统的广域业务包括了安稳控制、数据采集与监视控制(Supervisory Control And Data Acquisition,SCADA)、继电保护和故障信息传输系统、调度生产管理信息系统、电能量计量系统、雷电定位系统和自动发电控制等。其中最典型的业务主要包括安稳控制、数据采集与监视控制、故障信息和电能计量。
因此,本发明实施例选取的业务的种类包括:安稳控制、数据采集与监视控制、故障信息和电能计量。
通过该步骤,选取电网信息物理系统中的典型业务,根据多可靠性指标进行层次性分析,对业务的相对重要度进行综合评估。
步骤S103:根据传输延时结果,按照最短路径dijkstra寻优算法,建立电网信息物理系统的业务拓扑图。
其中,dijkstra寻优算法为一种公知的算法,具体可参见Dijkstra E W.A Noteon Two Problems in Connection with Graphs[J].Numerische Mathematics, 1959,1(1):269—271,在此不再赘述。
在本发明一优选的实施例中,网络的通信线路长度按照PSCAD(Power SystemsComputer Aided Design)官网的IEEE14节点标准进行设置。各类业务产生的数据流量按《基于权重与预丢弃策略的变电站信息综合传输》(熊慕文,涂光瑜,罗毅,et al.,电力系统自动化,2006,30(8):52-56.)中的参数配置,均以电网发生故障时的情况考虑。其中,安稳控制的数据流量为 200kbit/s、数据采集与监视控制的数据流量为500kbit/s、故障信息和电能计量的数据流量均为800kbit/s。其中,前两种业务是主站到变电站的下发业务,后两种业务属于变电站到主站的上传业务。每个变电站承载的业务量,按其负荷与发电量的比值进行分配。在本发明一优选的实施例中,具体分配数据量如表1所示。
表1每个变电站承载的业务量
在攻击之后,根据变电站与主站的通信延时发生变化的结果,统计网络中每条线路的延时、流量、线路利用率等参数信息,由于是双边线路,所以每个参数均有正向和反向两种值,如表2所示,其中M是控制主站,S1-S14 是控制子站。
表2遭受分布式拒绝服务攻击后每条线路的参数信息
根据这些参数信息,按照最短路径dijkstra寻优算法,建立电网信息物理系统业务拓扑图。
步骤S104:根据业务的相对重要度和电网信息物理系统的业务拓扑图,评估电网信息物理系统的脆弱性。
该步骤依据图论与业务重要度对系统的线路、节点以及整体脆弱性进行评估。
通过上述的步骤,采用OPNET对电力通信网络进行了建模与攻击复现,接着基于业务重要度构建了业务属性与传输矩阵,最终通过路径传输风险与图论方法计算出了攻击后的系统脆弱性,从而对电力通信网络在遭受分布式拒绝服务攻击时的风险与脆弱性进行安全评估,为电网可靠运行与安全防范网络攻击提供指导。
优选的,步骤S101通过获取主控端控制权限,获取代理端控制权限,以及,向主站施加流量泛洪来实现,该过程如图3所示,具体包括如下的过程:
(1)基于攻击者自身主机,对网络进行IP与端口渗透扫描,提取网络终端节点的IP与端口的特征。
IP与端口的特征包括流量、内容、长度等特征数据。
(2)基于提取的IP与端口的特征,对终端主机进行木马植入,以对网络终端节点进行渗透,并将网络终端节点作为发送控制指令的主控端。
具体的,可基于上述的流量、内容、长度等特征数据。通过该过程,以便隐藏攻击者自身位置。
(3)通过主控端对网络终端节点进行随机扫描与感染渗透,使被感染的网络终端节点成为代理端。
具体的,主控端采用类似的木马植入方法进行随机扫描与感染渗透。被感染的网络终端节点会给攻击者发送确认,成为代理端。
(4)对目标服务器的IP分布特征进行扫描,确定目标服务器的IP地址。
具体的,基于单位时间内的会话数量、数据包流量、地址分布特征等特征,确定目标服务器的IP地址。
(5)通过代理端对目标服务器进行SYN(Synchronize Sequence Numbers)泛洪攻击,得到传输延时结果。
具体的,通过在报文中加入虚假源地址,对目标服务器发送大量半连接请求,使得目标服务器和发起攻击的终端节点之间不能完成TCP协议的“三次握手”,网络流量异常增大,从而消耗目标服务器的资源,导致网络中通信延时急剧增加。
通过上述具体的过程,可以对分布式拒绝服务的攻击行为进行仿真。
优选的,步骤S102具体包括如下的过程:
(1)确定电网信息物理系统的业务的种类。
如前所述,本发明实施例采用典型的业务。业务的种类包括:安稳控制、数据采集与监视控制、故障信息和电能计量。
(2)确定业务的特征指标。
其中,特征指标包括:业务数据传输的端到端延时、误码率、紧急性、安全性和完整性。
(3)获取每一业务相对另一业务的每一特征指标的重要度矩阵。
每一业务相对另一业务的每一特征指标的重要度矩阵可以用Minj表示,即业务i对业务j的特征指标n的重要度矩阵。
具体的,该步骤包括:
A、若业务关于一特征指标的重要度比另一业务的关于同一特征指标的重要度高,则获取该业务相对另一业务的一特征指标的重要度矩阵为1。
其中,业务关于特征指标的重要度可根据经验预设,具体如表3所示。
表3业务关于特征指标的重要度
通过表3,可以比较两种业务关于同一特征指标的重要度的高低。
例如,业务i为安稳控制,业务j为电能计量,特征指标为紧急性,则参考表3,业务i对业务j的特征指标n的重要度矩阵
B、若业务关于一特征指标的重要度与另一业务的关于同一特征指标的重要度相同,则获取该业务相对另一业务的一特征指标的重要度矩阵为0.5。
例如,业务i为安稳控制,业务j为SCADA,特征指标为安全性,则参考表3,业务i对业务j的特征指标n的重要度矩阵
C、若业务关于一特征指标的重要度比另一业务的关于同一特征指标的重要度低,则获取该业务相对另一业务的一特征指标的重要度矩阵为0。
例如,业务i为安稳控制,业务j为故障信息,特征指标为延时,则参考表3,业务i对业务j的特征指标n的重要度矩阵
(4)获取每一业务相对另一业务的所有特征指标的重要度矩阵的和,得到每一业务相对另一业务的综合相对重要度矩阵。
例如,以MCij表示每一业务相对另一业务的综合相对重要度矩阵,业务 i为安稳控制,业务j为SCADA,则依据表3,MCij=0+0+0+0.5+0.5=1。
(5)将每一业务相对所有另一业务的综合相对重要度矩阵求和,得到业务的相对重要度矩阵。
例如,以MCi表示业务的相对重要度矩阵,业务i为安稳控制,则依据表3,当业务j为SCADA,MCij=1;当业务j为故障信息,MCij=1.5;当业务j为电能计量,MCij=1;MCi=1+1.5+1=3.5。
(6)将每一业务的相对重要度矩阵归一化处理,得到每一业务的相对重要度。
以重要度最高的业务为1,归一化处理后的每一业务的相对重要度归一在[0,1]范围之间。
在本发明一优选的实施例中,每一业务的相对重要度如表4所示。
表4每一业务的相对重要度
| 业务 | 相对重要度 |
| 安稳控制系统 | 1 |
| SCADA | 0.92 |
| 故障信息系统 | 0.62 |
| 电能计量系统 | 0.42 |
通过上述具体的过程,利用业务的相对重要度矩阵对业务的相对重要度做出评价。
优选的,步骤S103具体包括如下的过程:
(1)根据传输延时结果,按照最短路径dijkstra寻优算法,得到主站与变电站的传输路径。
在本发明一优选的实施例中,主站到每个变电站的传输路径,如表5所示。
表5主站到每个变电站的传输路径
| 业务节点 | 最优路径 |
| M->S1 | [R2,R1,S1] |
| M->S2 | [R2,R1,S1,S2] |
| M->S3 | [R2,S3] |
| M->S4 | [R2,S3,S4] |
| M->S5 | [R2,R1,S1,S6,S5] |
| M->S6 | [R2,R1,S1,S6] |
| M->S7 | [R2,S3,S4,S7] |
| M->S8 | [R2,S3,S4,S7,S8] |
| M->S9 | [R2,S3,S4,S7,S9] |
| M->S10 | [R2,R1,S1,S6,S11,S10] |
| M->S11 | [R2,R1,S1,S6,S11] |
| M->S12 | [R2,R1,S1,S6,S12] |
| M->S13 | [R2,R1,S1,S6,S12,S13] |
| M->S14 | [R2,S3,S4,S7,S9,S14] |
(2)根据主站与变电站的传输路径,建立电网信息物理系统的业务拓扑图。
通过上述的具体过程,可以建立业务拓扑图,
优选的,步骤S104具体包括如下的过程:
(1)根据电网信息物理系统的线路承载的每一业务的重要度,以及,线路的性能脆弱度,评估线路的脆弱度。
应当理解的是,该步骤所述的业务为前述的四种业务。
具体的,该步骤包括如下的过程:
A、计算线路承载的每一业务的通信延时、线路承载的每一业务的数据量和线路承载的每一业务的相对重要度的乘积,得到线路承载的每一业务的重要度。
Dealyn表示线路n承载的每一业务的通信延时,Datai表示线路n承载的业务i的数据量,a(i)表示线路n承载的业务i的相对重要度,则线路n 承载的业务i的重要度Cni=Dealyn×Datai×a(i)。
B、计算线路承载的所有业务的重要度的和,得到线路的重要度。
线路n的重要度Cn=∑i∈[1,4]Cni。应当理解的是,一条线路不一定承载四种业务,可能只承载其中的部分。
C、计算线路的重要度和线路的利用率的乘积,得到线路的脆弱度。
Un表示线路的利用率,则线路脆弱度Tn=Cn×Un。
应当理解的是,通信延时、数据量、利用率等参数均通过OPNET通信网络攻击模型仿真得到。例如,线路中的业务数据量通过仿真,按最优传输路径方法与节点中的业务总量综合得出。
在本发明一优选的实施例中,17条通信线路的脆弱度如图4所示,其中线路7与14的脆弱度最高。
(2)根据电网信息物理系统的节点连接的线路的脆弱度,节点的拓扑结构,以及,节点的业务重要度,评估节点的脆弱度。
具体的,该步骤包括如下的过程:
A、将节点连接的每一线路的脆弱度求和,计算得到节点的性能脆弱度。
线路的脆弱度采用上述的步骤得到。节点f的性能脆弱度用Pn表示。节点的性能脆弱度表征以节点作为中心的局部通信网络传输性能的脆弱性。
在本发明一优选的实施例中,节点的性能脆弱度如图5所示。
B、根据节点的拓扑结构,统计节点连接的其他节点的数量,得到节点的拓扑重要度。
该步骤引用复杂网络理论中节点度数的概念得到节点的拓扑重要度,该指标可衡量节点的中心性。
在本发明一优选的实施例中,节点的拓扑重要度如图6所示。
C、获取节点承载的所有业务的通信数据量,得到节点的业务重要度。
在本发明一优选的实施例中,节点的业务重要度如图7所示。
D、将归一化处理后的节点的拓扑重要度和节点的业务重要度的和,与归一化处理后的节点的性能脆弱度相乘,计算得到节点的脆弱度。
通过归一化处理,将三个指标值归一在[0,1]范围之间。节点的拓扑重要度用An表示,节点的业务重要度用Bn表示,则节点的脆弱度 Nn=(An+Bn)×Pn。
在本发明一优选的实施例中,节点的脆弱度如图8所示。从图8中可以看出,节点1与6的脆弱度最高,遭受分布式拒绝服务攻击后的风险最大。
综上,本发明实施例的电网信息物理系统的脆弱性的评估方法,基于通信网络仿真技术,针对电力通信网络,分析了分布式拒绝服务攻击对电力广域控制业务的影响;在此基础上,利用重要度矩阵,分析各类业务的相对重要性,从而利用图论知识对电力通信网络中的节点与线路脆弱性进行评估,为其风险评估与安全防御提供了指导,可应对智能电网工控系统以及控制中心内高级应用中面临的严峻信息安全威胁,保障智能电网的安全稳定运行,从而可在此基础上形成有足够抵抗恶意攻击能力的电网信息物理系统,防止智能设备被恶意控制,关键业务被恶意操纵,信息系统数据被恶意窃取或篡改等等;同时,以便根据评估结果制定相应的主动防御策略,在入侵行为对信息系统发生影响之前,能够及时精准预警,实时构建弹性防御体系,避免、转移、降低信息系统面临的风险,从而保障电网信息物理系统的安全稳定运行。
本发明实施例还公开了一种电网信息物理系统的脆弱性的评估系统。如图9所示,该系统包括如下的模块:
仿真模块901,用于对电网信息物理系统遭受分布式拒绝服务攻击的过程进行仿真,得到分布式拒绝服务攻击对通信数据的传输延时结果。
获取模块902,用于获取电网信息物理系统的业务的相对重要度。
建立模块903,用于根据传输延时结果,按照最短路径dijkstra寻优算法,建立电网信息物理系统的业务拓扑图。
评估模块904,用于根据业务的相对重要度和电网信息物理系统的业务拓扑图,评估电网信息物理系统的脆弱性。
优选的,仿真模块901包括:
提取子模块,用于基于攻击者自身主机,对网络进行IP与端口渗透扫描,提取网络终端节点的IP与端口的特征。
植入子模块,用于基于提取的IP与端口的特征,对终端主机进行木马植入,以对网络终端节点进行渗透,并将网络终端节点作为发送控制指令的主控端。
渗透子模块,用于通过主控端对网络终端节点进行随机扫描与感染渗透,使被感染的网络终端节点成为代理端。
扫描子模块,用于对目标服务器的IP分布特征进行扫描,确定目标服务器的IP地址。
攻击子模块,用于通过代理端对目标服务器进行SYN泛洪攻击,得到传输延时结果。
优选的,获取模块902包括:
第一确定子模块,用于确定电网信息物理系统的业务的种类。
其中,业务的种类包括:安稳控制、数据采集与监视控制、故障信息和电能计量。
第二确定子模块,用于确定业务的特征指标。
其中,特征指标包括:业务数据传输的端到端延时、误码率、紧急性、安全性和完整性。
第一获取子模块,用于获取每一业务相对另一业务的每一特征指标的重要度矩阵。
第二获取子模块,用于获取每一业务相对另一业务的所有特征指标的重要度矩阵的和,得到每一业务相对另一业务的综合相对重要度矩阵。
求和子模块,用于将每一业务相对所有另一业务的综合相对重要度矩阵求和,得到业务的相对重要度矩阵。
归一化子模块,用于将每一业务的相对重要度矩阵归一化处理,得到每一业务的相对重要度。
优选的,第一获取子模块包括:
第一获取单元,用于若业务关于一特征指标的重要度比另一业务的关于同一特征指标的重要度高,则获取该业务相对另一业务的一特征指标的重要度矩阵为1。
第二获取单元,用于若业务关于一特征指标的重要度与另一业务的关于同一特征指标的重要度相同,则获取该业务相对另一业务的一特征指标的重要度矩阵为0.5。
第三获取单元,用于若业务关于一特征指标的重要度比另一业务的关于同一特征指标的重要度低,则获取该业务相对另一业务的一特征指标的重要度矩阵为0。
优选的,建立模块903包括:
寻优子模块,用于根据传输延时结果,按照最短路径dijkstra寻优算法,得到主站与变电站的传输路径。
建立子模块,用于根据主站与变电站的传输路径,建立电网信息物理系统的业务拓扑图。
优选的,评估模块904包括:
第一评估子模块,用于根据电网信息物理系统的线路承载的每一业务的相对重要度,以及,线路的性能脆弱度,评估线路的脆弱度。
第二评估子模块,用于根据电网信息物理系统的节点连接的线路的脆弱度,节点的拓扑结构,以及,节点的业务重要度,评估节点的脆弱度。
优选的,第一评估子模块包括:
第一计算单元,用于计算线路承载的每一业务的通信延时、线路承载的每一业务的数据量和线路承载的每一业务的相对重要度的乘积,得到线路承载的每一业务的重要度。
第二计算单元,用于计算线路承载的所有业务的重要度的和,得到线路的重要度。
第三计算单元,用于计算线路的重要度和线路的利用率的乘积,得到线路的脆弱度。
优选的,第二评估子模块包括:
第四计算单元,用于将节点连接的每一线路的脆弱度求和,计算得到节点的性能脆弱度。
统计单元,用于根据节点的拓扑结构,统计节点连接的其他节点的数量,得到节点的拓扑重要度。
第四获取单元,用于获取节点承载的所有业务的通信数据量,得到节点的业务重要度。
第五计算单元,用于将归一化处理后的节点的拓扑重要度和节点的业务重要度的和,与归一化处理后的节点的性能脆弱度相乘,计算得到节点的脆弱度。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
综上,本发明实施例的电网信息物理系统的脆弱性的评估系统,基于通信网络仿真技术,针对电力通信网络,分析了分布式拒绝服务攻击对电力广域控制业务的影响;在此基础上,利用重要度矩阵,分析各类业务的相对重要性,从而利用图论知识对电力通信网络中的节点与线路脆弱性进行评估,为其风险评估与安全防御提供了指导,可应对智能电网工控系统以及控制中心内高级应用中面临的严峻信息安全威胁,保障智能电网的安全稳定运行,从而可在此基础上形成有足够抵抗恶意攻击能力的电网信息物理系统,防止智能设备被恶意控制,关键业务被恶意操纵,信息系统数据被恶意窃取或篡改等等;同时,以便根据评估结果制定相应的主动防御策略,在入侵行为对信息系统发生影响之前,能够及时精准预警,实时构建弹性防御体系,避免、转移、降低信息系统面临的风险,从而保障电网信息物理系统的安全稳定运行。
本发明实施例还公开一种计算机可读存储介质,计算机可读存储介质上存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例中的电网信息物理系统的脆弱性的评估方法。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(FlashMemory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种电网信息物理系统的脆弱性的评估方法,其特征在于,包括:
对电网信息物理系统遭受分布式拒绝服务攻击的过程进行仿真,得到所述分布式拒绝服务攻击对通信数据的传输延时结果;
获取所述电网信息物理系统的业务的相对重要度;
根据所述传输延时结果,按照最短路径dijkstra寻优算法,建立所述电网信息物理系统的业务拓扑图;
根据所述业务的相对重要度和所述电网信息物理系统的业务拓扑图,评估所述电网信息物理系统的脆弱性。
2.根据权利要求1所述的方法,其特征在于,所述得到所述分布式拒绝服务攻击对通信数据的传输延时结果的步骤,包括:
基于攻击者自身主机,对网络进行IP与端口渗透扫描,提取网络终端节点的IP与端口的特征;
基于提取的所述IP与端口的特征,对终端主机进行木马植入,以对所述网络终端节点进行渗透,并将所述网络终端节点作为发送控制指令的主控端;
通过所述主控端对所述网络终端节点进行随机扫描与感染渗透,使被感染的所述网络终端节点成为代理端;
对目标服务器的IP分布特征进行扫描,确定目标服务器的IP地址;
通过所述代理端对所述目标服务器进行SYN泛洪攻击,得到所述传输延时结果。
3.根据权利要求1所述的方法,其特征在于,所述获取所述电网信息物理系统的业务的相对重要度的步骤,包括:
确定所述电网信息物理系统的所述业务的种类,其中,所述业务的种类包括:安稳控制、数据采集与监视控制、故障信息和电能计量;
确定所述业务的特征指标,其中,所述特征指标包括:业务数据传输的端到端延时、误码率、紧急性、安全性和完整性;
获取每一所述业务相对另一业务的每一所述特征指标的重要度矩阵;
获取每一所述业务相对所述另一业务的所有所述特征指标的重要度矩阵的和,得到每一所述业务相对所述另一业务的综合相对重要度矩阵;
将每一所述业务相对所有所述另一业务的综合相对重要度矩阵求和,得到所述业务的相对重要度矩阵;
将每一所述业务的相对重要度矩阵归一化处理,得到每一所述业务的相对重要度。
4.根据权利要求3所述的方法,其特征在于,所述获取每一所述业务相对另一业务的每一所述特征指标的重要度矩阵的步骤,包括:
若所述业务关于一所述特征指标的重要度比所述另一业务的关于同一所述特征指标的重要度高,则获取所述业务相对所述另一业务的一所述特征指标的重要度矩阵为1;
若所述业务关于一所述特征指标的重要度与所述另一业务的关于同一所述特征指标的重要度相同,则获取所述业务相对所述另一业务的一所述特征指标的重要度矩阵为0.5;
若所述业务关于一特征指标的重要度比所述另一业务的关于同一所述特征指标的重要度低,则获取所述业务相对所述另一业务的一所述特征指标的重要度矩阵为0。
5.根据权利要求1所述的方法,其特征在于,所述建立所述电网信息物理系统的业务拓扑图的步骤,包括:
根据所述传输延时结果,按照最短路径dijkstra寻优算法,得到所述主站与所述变电站的传输路径;
根据所述主站与所述变电站的传输路径,建立所述电网信息物理系统的业务拓扑图。
6.根据权利要求1所述的方法,其特征在于,所述评估所述电网信息物理系统的脆弱性的步骤,包括:
根据所述电网信息物理系统的线路承载的每一所述业务的相对重要度,以及,所述线路的性能脆弱度,评估所述线路的脆弱度;
根据所述电网信息物理系统的节点连接的所述线路的脆弱度,所述节点的拓扑结构,以及,所述节点的业务重要度,评估所述节点的脆弱度。
7.根据权利要求6所述的方法,其特征在于,所述评估所述线路的脆弱度的步骤,包括:
计算所述线路承载的每一业务的通信延时、所述线路承载的每一业务的数据量和所述线路承载的每一业务的相对重要度的乘积,得到所述线路承载的每一业务的重要度;
计算所述线路承载的所有业务的重要度的和,得到所述线路的重要度;
计算所述线路的重要度和所述线路的利用率的乘积,得到所述线路的脆弱度。
8.根据权利要求6所述的方法,其特征在于,所述评估所述节点的脆弱度的步骤,包括:
将所述节点连接的每一所述线路的脆弱度求和,计算得到所述节点的性能脆弱度;
根据所述节点的拓扑结构,统计所述节点连接的其他节点的数量,得到所述节点的拓扑重要度;
获取所述节点承载的所有业务的通信数据量,得到所述节点的业务重要度;
将归一化处理后的所述节点的拓扑重要度和所述节点的业务重要度的和,与归一化处理后的所述节点的性能脆弱度相乘,计算得到所述节点的脆弱度。
9.一种电网信息物理系统的脆弱性的评估系统,其特征在于,包括:
仿真模块,用于对电网信息物理系统遭受分布式拒绝服务攻击的过程进行仿真,得到所述分布式拒绝服务攻击对通信数据的传输延时结果;
获取模块,用于获取所述电网信息物理系统的业务的相对重要度;
建立模块,用于根据所述传输延时结果,按照最短路径dijkstra寻优算法,建立所述电网信息物理系统的业务拓扑图;
评估模块,用于根据所述业务的相对重要度和所述电网信息物理系统的业务拓扑图,评估所述电网信息物理系统的脆弱性。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1~8中任一项所述的电网信息物理系统的脆弱性的评估方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910357592.5A CN110210229B (zh) | 2019-04-29 | 2019-04-29 | 电网信息物理系统的脆弱性的评估方法、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910357592.5A CN110210229B (zh) | 2019-04-29 | 2019-04-29 | 电网信息物理系统的脆弱性的评估方法、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110210229A true CN110210229A (zh) | 2019-09-06 |
| CN110210229B CN110210229B (zh) | 2021-08-13 |
Family
ID=67786612
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910357592.5A Active CN110210229B (zh) | 2019-04-29 | 2019-04-29 | 电网信息物理系统的脆弱性的评估方法、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110210229B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110740143A (zh) * | 2019-11-22 | 2020-01-31 | 南京邮电大学 | 一种基于攻击溯源的网络攻击紧急应对方法 |
| CN112637006A (zh) * | 2020-12-15 | 2021-04-09 | 深圳供电局有限公司 | 一种电力通信网关键节点及影响域分析方法 |
| CN113301010A (zh) * | 2021-03-11 | 2021-08-24 | 上海大学 | 拒绝服务攻击下电力信息网络数据传输通道重要程度的判定方法 |
| CN113516357A (zh) * | 2021-05-10 | 2021-10-19 | 湖南大学 | 考虑网络攻击风险的电力系统脆弱线路评估方法及系统 |
| CN114338075A (zh) * | 2021-11-10 | 2022-04-12 | 国网浙江省电力有限公司金华供电公司 | 基于广泛嗅探的攻击对象防御方法 |
| CN114374533A (zh) * | 2021-12-08 | 2022-04-19 | 国网辽宁省电力有限公司经济技术研究院 | 一种dos攻击下配电信息物理系统故障处理方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105429133A (zh) * | 2015-12-07 | 2016-03-23 | 国网智能电网研究院 | 一种面向信息网络攻击的电网脆弱性节点评估方法 |
| CN106100877A (zh) * | 2016-06-02 | 2016-11-09 | 东南大学 | 一种电力系统应对网络攻击脆弱性评估方法 |
| CN106789190A (zh) * | 2016-12-05 | 2017-05-31 | 国网河南省电力公司信息通信公司 | 一种电力通信网脆弱性评估及路由优化方法 |
-
2019
- 2019-04-29 CN CN201910357592.5A patent/CN110210229B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105429133A (zh) * | 2015-12-07 | 2016-03-23 | 国网智能电网研究院 | 一种面向信息网络攻击的电网脆弱性节点评估方法 |
| CN106100877A (zh) * | 2016-06-02 | 2016-11-09 | 东南大学 | 一种电力系统应对网络攻击脆弱性评估方法 |
| CN106789190A (zh) * | 2016-12-05 | 2017-05-31 | 国网河南省电力公司信息通信公司 | 一种电力通信网脆弱性评估及路由优化方法 |
Non-Patent Citations (3)
| Title |
|---|
| 孙静月 等: "基于业务的电力通信网络脆弱性分析评价方法", 《电力系统保护与控制》 * |
| 樊冰 等: "电力通信网脆弱性分析", 《中国电机工程学报》 * |
| 王秀利: "《网络拥塞控制及拒绝服务攻击防范》", 30 June 2009, 北京邮电大学出版社 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110740143A (zh) * | 2019-11-22 | 2020-01-31 | 南京邮电大学 | 一种基于攻击溯源的网络攻击紧急应对方法 |
| CN110740143B (zh) * | 2019-11-22 | 2020-11-17 | 南京邮电大学 | 一种基于攻击溯源的网络攻击紧急应对方法 |
| CN112637006A (zh) * | 2020-12-15 | 2021-04-09 | 深圳供电局有限公司 | 一种电力通信网关键节点及影响域分析方法 |
| CN113301010A (zh) * | 2021-03-11 | 2021-08-24 | 上海大学 | 拒绝服务攻击下电力信息网络数据传输通道重要程度的判定方法 |
| CN113301010B (zh) * | 2021-03-11 | 2022-08-05 | 上海大学 | 拒绝服务攻击下电力信息网络数据传输通道重要程度的判定方法 |
| CN113516357A (zh) * | 2021-05-10 | 2021-10-19 | 湖南大学 | 考虑网络攻击风险的电力系统脆弱线路评估方法及系统 |
| CN113516357B (zh) * | 2021-05-10 | 2024-04-19 | 湖南大学 | 考虑网络攻击风险的电力系统脆弱线路评估方法及系统 |
| CN114338075A (zh) * | 2021-11-10 | 2022-04-12 | 国网浙江省电力有限公司金华供电公司 | 基于广泛嗅探的攻击对象防御方法 |
| CN114338075B (zh) * | 2021-11-10 | 2024-03-12 | 国网浙江省电力有限公司金华供电公司 | 基于广泛嗅探的攻击对象防御方法 |
| CN114374533A (zh) * | 2021-12-08 | 2022-04-19 | 国网辽宁省电力有限公司经济技术研究院 | 一种dos攻击下配电信息物理系统故障处理方法 |
| CN114374533B (zh) * | 2021-12-08 | 2023-10-13 | 国网辽宁省电力有限公司经济技术研究院 | 一种dos攻击下配电信息物理系统故障处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110210229B (zh) | 2021-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110210229A (zh) | 电网信息物理系统的脆弱性的评估方法、系统及存储介质 | |
| Kholidy | Autonomous mitigation of cyber risks in the Cyber–Physical Systems | |
| Asri et al. | Impact of distributed denial-of-service attack on advanced metering infrastructure | |
| Sahu et al. | Design and evaluation of a cyber‐physical testbed for improving attack resilience of power systems | |
| Pan et al. | Combined data integrity and availability attacks on state estimation in cyber-physical power grids | |
| Ma et al. | Randomized security patrolling for link flooding attack detection | |
| Darwish et al. | Vulnerability Assessment and Experimentation of Smart Grid DNP3. | |
| Bellini et al. | Cyber Resilience in IoT network: Methodology and example of assessment through epidemic spreading approach | |
| Yan et al. | Criticality analysis of internet infrastructure | |
| Zhang et al. | Modeling and defending advanced metering infrastructure subjected to distributed denial-of-service attacks | |
| Panigrahi et al. | Structural vulnerability analysis in small‐world power grid networks based on weighted topological model | |
| Bowen et al. | Next generation SCADA security: best practices and client puzzles | |
| CN108510162B (zh) | 一种有源配电网安全效能评估方法 | |
| Sahu et al. | Design of next-generation cyber-physical energy management systems: Monitoring to mitigation | |
| Sadi et al. | Co-simulation platform for characterizing cyber attacks in cyber physical systems | |
| Acarali et al. | Modelling DoS attacks & interoperability in the smart grid | |
| Sahu et al. | Detection of rogue nodes in AMI networks | |
| Samir et al. | PYGRID: A software development and assessment framework for grid‐aware software defined networking | |
| Singh et al. | Mathematical model of cyber intrusion in smart grid | |
| Bala et al. | Modelling and simulation of DDOS Attack using SimEvents | |
| Farzan et al. | Cyber-related risk assessment and critical asset identification in power grids | |
| Tochner et al. | How to Pick Your Friends A Game Theoretic Approach to P2P Overlay Construction | |
| Ansilla et al. | Data security in Smart Grid with hardware implementation against DoS attacks | |
| Lekidis | Cyber-security measures for protecting EPES systems in the 5G area | |
| Wlazlo | Recreating wide area industrial control systems network within an emulated environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |