CN110740143B

CN110740143B - 一种基于攻击溯源的网络攻击紧急应对方法

Info

Publication number: CN110740143B
Application number: CN201911153333.7A
Authority: CN
Inventors: 岳东; 窦春霞; 张智俊; 薛禹胜
Original assignee: Nanjing University of Posts and Telecommunications
Current assignee: Nanjing University of Posts and Telecommunications; State Grid Electric Power Research Institute
Priority date: 2019-11-22
Filing date: 2019-11-22
Publication date: 2020-11-17
Anticipated expiration: 2039-11-22
Also published as: CN110740143A

Abstract

本发明公开了一种基于攻击溯源的网络攻击紧急应对方法，包括以下步骤：步骤1：构建面向网络攻击的能够反映信物融合系统的全景协同信物安全性风险评估量化指标体系；步骤2：结合安全性风险评估量化指标体系中的评估指标，从多个角度对网络攻击进行溯源；步骤3：针对溯源攻击所导致的重要云数据和云业务无法传输、不完整性或不可用性、及其所引发的物理电网安全性问题，设计时空多维协同紧急应对方案。解决了智能电网网络攻击的难防、难控、单侧网络孤立难以应对的问题。

Description

一种基于攻击溯源的网络攻击紧急应对方法

技术领域

本发明涉及智能电网安全防御技术领域，具体涉及一种基于攻击溯源的网络攻击紧急应对方法。

背景技术

伴随智能电网信物融合(信息物理融合系统Cyber-physical system,CPS)的不断深化，网络攻击的安全性影响更加复杂，其在信息物理双网之间相互转换、交互传播，将使传统被动式防御难以应对。而导致传统被动式防御效果不佳的主要原因在于两点：(1)防御滞后于攻击，即缺乏主动性；(2)防御规则事先设计，即缺乏自适应性。为此，突破传统被动式防御模式，发展具有前摄性和弹性的主动防御策略，则是提升防御效果的根本途径。

发明内容

本发明所要解决的技术问题是：解决智能电网网络攻击的难防、难控、单侧网络孤立难以应对的问题。

为解决上述技术问题，本发明提供一种基于攻击溯源的网络攻击紧急应对方法，其特征在于，包括以下步骤：

步骤1：构建安全性风险评估量化指标体系，考虑各典型网络攻击对信物安全性的影响，构建面向网络攻击的能够反映信物融合系统的全景协同信物安全性风险评估量化指标体系；

步骤2：多属性网络攻击溯源，结合安全性风险评估量化指标体系中的评估指标，从多个角度对网络攻击进行溯源；

步骤3：溯源攻击弹性紧急应对，针对溯源攻击所导致的重要云数据和云业务无法传输、不完整性或不可用性、及其所引发的物理电网安全性问题，设计时空多维协同紧急应对方案。

本发明所达到的有益效果：

(1)在信物融合的智能电网容易遭受网络攻击的情况下，从安全性风险评估量化指标体系构建，多属性网络攻击溯源以及溯源攻击弹性紧急应对三个方面进行时空多维协同弹性紧急应对方法的设计；

(2)构建了面向网络攻击的多项评估指标体系，综合反映了信物融合系统的时空多维安全性风险，并基于评估指标体系建立了各典型网络攻击的量化表征；

(3)对网络攻击进行匹配分析，并从多个角度对多属性的网络攻击进行溯源；

(4)针对溯源攻击可能引发的云数据、云业务以及物理电网的安全性问题，分别设计了与之相对应的弹性紧急应对方案。

本发明的一种基于攻击溯源的时空多维协同弹性紧急应对方法，利用神经网络预测等方法挖掘网络攻击的态势特征，建立物理电网、网络空间和传输路径三个方面的安全性风险评估量化指标体系，进一步，采用反向匹配攻击图进行多属性网络攻击溯源，发掘网络攻击的脆弱点，并针对脆弱点的溯源攻击设计弹性紧急应对策略，从而解决智能电网网络攻击的难防、难控、单侧网络孤立难以应对的问题，通过以上三个步骤的实施，能够为智能电网的信息网络安全提供一套理论与技术支撑体系，对实际工程应用具有重要的指导意义。

附图说明

图1是本发明的一种基于攻击溯源的时空多维协同弹性紧急应对方法的结构框图；

图2是本发明的一种基于攻击溯源的时空多维协同弹性紧急应对方法步骤 1-1中所述的面向网络攻击的信物安全性风险评估指标体系示意图；

图3是本发明提供的一种基于攻击溯源的时空多维协同弹性紧急应对方法步骤3-1所述的一种基于分布式云存储的架构示意图。

具体实施方式

以下通过具体实施例对本发明做进一步解释说明。

本发明提供一种基于攻击溯源的网络攻击紧急应对方法，其特征在于，包括以下步骤：

本发明中，所述步骤1是通过以下方式实现的：

步骤1-1：建立全景协同信物安全性风险评估量化指标体系，全景协同信物安全性风险评估量化指标体系包括传输路径安全、云端安全、物理电网安全三个方面；

步骤1-2：对智能电网各节点的网络安全数据进行预处理，获得潜在网络攻击的态势特征；利用归一化方法，根据全景协同信物安全性风险评估体系的评估指标，对获得的潜在网络攻击的态势特征进行量化表征，获得时空多维风险评估量化指标z_r′；评估指标包括信道中断、错位、数据篡改、延时、丢包和错位等；

其中，z_r为第r个评估指标的态势预测值，z_1r与z_2r分别代表第r个评估指标的安全域下限与安全域上限，可以通过神经网络预测得到评估指标的态势预测值，

其安全风险等级根据下式计算：

在所述步骤2中，依据步骤1-2中所述的时空多维风险评估量化指标，分析信物融合系统的脆弱节点，利用反向匹配攻击图对多属性的网络攻击进行溯源，具体步骤如下：

步骤2-1：首先模式化网络攻击中所有可能的原子攻击，即遍历网络所有的脆弱性节点，对全部原子攻击a进行实例化操作，前提节点a_pre和后果节点a_post赋值，并加入全部攻击实例集合T中；将所有攻击目标节点存入攻击目标集合A_L中；

步骤2-2：从攻击目标集合A_L中取出一个攻击目标节点g；

步骤2-3：从全部攻击实例集合T中查找所有后果节点是攻击目标节点g的攻击实例集合T_s，将攻击目标节点g加入已攻击完成集合N_c中，将当前跳数h加 1；为了避免环路情况，将攻击实例集合T_s和

取交集，将交集内的每一个攻击实例的前提节点作为新的攻击目标节点g，进行算法迭代，

为已攻击完成集合 N_c的补集；

步骤2-4：重复执行步骤2-3中的操作，当攻击者初始状态集合N_a包含攻击目标节点g时，找到一条完整的攻击路径，将完整路径加入攻击图；当前条数h 大于最大跳数h_max时，或者已经遍历完所有攻击实例集合T_s时，本次迭代结束；

步骤2-5：重复执行步骤2-2至步骤2-4中的操作，直到攻击目标集合A_L中所有攻击目标节点被取完，整个流程结束。

本发明中，步骤1与步骤2实现了对多属性网络攻击的溯源，在此基础上，步骤3面向事实网络攻击设计时空多维协同弹性紧急应对方法。具体实现步骤如下：

步骤3-1：建立基于区块链的分布式云存储，每个分布式云存储由区域内的所有智物传感节点共同维护，区域内的智物传感组成一个区块链，每一个智物传感节点均有完整数据的备份，多个分布式云之间凭借通信网络完成交互；

步骤3-2：依据步骤1-1中所述的传输路径安全的评估指标确定传输路径的安全测度矩阵N，评估指标分别为：信道中断和错位、传输延时、丢包和错位：

N＝[n₁ n₂ … n_k′]，

其中，k′为传输路径的数量，n_i代表第i个传输路径的安全测度，计算公式为：

其中，n_ij代表第i个传输路径的第j个评估指标的量化值,L为评估指标总数；

步骤3-3：针对智物传感节点重要云数据从其智物传感无法上传至对应的分布式云端的问题，设计云数据紧急调度方法：从基于区块链分布式存储的其他智物传感中将云数据调出，依据传输路径的安全测度矩阵N选择安全测度最高的传输路径，将云数据上传至对应的分布式云端；

针对重要云业务从其分布式云端无法下发至对应的物理电网执行单元中的问题，设计云业务紧急调度方法：从基于区块链技术分布式存储的其他云中将云业务调出，依据传输路径的安全测度矩阵N选择安全测度最高的传输路径，将云业务下发至对应的物理电网执行单元中；

步骤3-4：针对智物传感节点重要云数据不完整或不可用性问题，在智物传感节点重要云数据对应的分布式云端，基于其历史数据的时间系列，采用极限学习机结合粒子群优化算法，对不完整或不可用的重要云数据进行精准快速预测，具体步骤如下：

1)初始化输入权重ω，偏差b以及输出权重β；

2)确定单隐含层神经网络的损失函数E：

E＝[Hβ-T]²

其中，H＝g(ωx+b)，x为历史数据的时间序列，g(.)为sigmoid函数，T为预期目标值；

3)基于损失函数E，利用粒子群算法优化权重ω和偏差b；

4)更新输出权重β：

β＝H*×T

其中，H*＝(H^TH)^-1H^T为隐含层输出矩阵H的Moore-Penrose广义逆矩阵,上标 T表示转置；

5)输出预测数据：

Z＝Hβ

其中，Z为输出数据矩阵。

步骤3-5：针对重要云业务不完整或不可用性问题，在其对应的物理电网执行单元的智能终端，根据云业务的知识模型，结合基于实时运行状态的专家推理，对不完整或不可用性的重要云业务进行智能预估，具体包括如下步骤：

1)由知识库中的规则，通过规则快速匹配(Rete)算法，建立Rete网络，并设定推理目标为1；

2)输入云业务的实时运行状态，并将基本评估项即云业务实时运行状态加入Rete网络；

3)得到规则匹配集合，若规则匹配集合为空，推理失败结束，否则，转至步骤4)；

4)在元知识指导下对规则进行冲突消解；元知识是以数据库为基础的知识库中的知识；

5)判断推理目标是否为1，若推理结果为1，则匹配成功，若推理结果不为 1，则异常，转至步骤3)。

步骤3-6：针对智物传感节点重要云数据传输丢包和延时问题，在分布式云计算中，充分考虑云数据延时、丢包等对各云业务的影响，设计对云数据延时和丢包具有强鲁棒性的各云业务，具体包括如下步骤：

，1)利用灵敏度分析得到云数据对云业务延时灵敏度矩阵M和和丢包灵敏度矩阵O：

其中，m_kp为第个k云数据对第个p云业务的延时影响灵敏度，o_kp为第k个云数据对第p个云业务的丢包影响灵敏度；K为云数据数量，P为云业务数量；

2)得到云数据延时和丢包对云业务的综合影响灵敏度矩阵Q：

其中，q_kp＝m_kp+o_kp，为第k个云数据对第p个云业务的综合影响灵敏度；

3)依据综合影响灵敏度矩阵Q中元素的大小，选择受云数据延时和丢包影响较小的云业务。

步骤3-7：针对重要云业务传输丢包和延时问题，在其对应的物理电网执行单元的智能终端中，评估控制指令延时和丢包对不同时间尺度要求的控制性能的影响，设计对应的局部分布式协同紧急应对方法，其目的是通过局部具有电气关联的执行单元的相互支援，削弱控制命令延时或丢包对控制性能的影响，具体包括如下步骤：

1)利用灵敏度分析得到控制指令延时和丢包对控制性能的影响灵敏度矩阵X 和Y：

其中，x_ab为第a个控制指令延时对第b个控制性能的影响灵敏度，y_ab为第a个控制指令丢包对第b个控制性能的影响灵敏度；

2)得到控制指令丢包和延时对控制性能的综合影响灵敏度矩阵R：

其中，r_ab＝x_ab+y_ab，为第a个控制指令延时和丢包对第b个控制性能的综合影响灵敏度；

，3)依据综合影响灵敏度矩阵R中元素的大小，选择受控制指令延时和丢包影响较小的控制策略。

步骤3-8：针对物理电网的安全性问题，基于步骤1中建立的安全评估体系中的电压和频率安全性评估指标是否超出其安全范围作为事件触发条件，基于混杂Petri-net设计不安全事件触发的“系统层级协调—区域群智协同—局域分散自治”的切换控制方法，以确保电压和频率安全性能指标恢复至安全范围，具体包括如下步骤：

1)由混杂Petri-net的离散库所和微分库所代表将物理单元的各个运行模态，不同模态之间的切换由离散变迁与微分变迁完成；

2)通过判断电压和频率安全性能指标是否处于超出其安全范围，设计变迁的触发条件：

其中，z'₉和z'₁₀分别代表物理电网的电压和频率安全性能指标，“1”和“0”分别代表触发逻辑“1”和触发逻辑“0”，f(z'₉,z'₁₀)为“1”则触发变迁，f(z'₉,z'₁₀) 为“0”则不触发变迁。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

Claims

1.一种基于攻击溯源的网络攻击紧急应对方法，其特征在于，包括以下步骤：

步骤1：构建面向网络攻击的能够反映信物融合系统的全景协同信物安全性风险评估量化指标体系；

步骤2：结合安全性风险评估量化指标体系中的评估指标，从多个角度对网络攻击进行溯源；

步骤3：针对溯源攻击所导致的重要云数据和云业务无法传输、不完整性或不可用性、及其所引发的物理电网安全性问题，设计时空多维协同紧急应对方案；

所述步骤1通过以下具体步骤实现：

步骤1-2：对智能电网各节点的网络安全数据进行预处理，获得潜在网络攻击的态势特征；利用归一化方法，根据全景协同信物安全性风险评估量化指标体系的评估指标，对获得的潜在网络攻击的态势特征进行量化表征，获得时空多维风险评估量化指标z_r′；

其中，z_r为第r个评估指标的态势预测值，z_1r与z_2r分别代表第r个评估指标的安全域下限与安全域上限，L为评估指标总数，可以通过神经网络预测得到评估指标的态势预测值，

其安全风险等级根据下式计算：

2.根据权利要求1所述的基于攻击溯源的网络攻击紧急应对方法，其特征在于：在所述步骤2中，依据步骤1-2中所述的时空多维风险评估量化指标，分析信物融合系统的脆弱节点，利用反向匹配攻击图对多属性的网络攻击进行溯源，具体步骤如下：

步骤2-2：从攻击目标集合A_L中取出一个攻击目标节点g；

步骤2-3：从全部攻击实例集合T中查找所有后果节点是攻击目标节点g的攻击实例集合T_s，将攻击目标节点g加入已攻击完成集合N_c中，将当前跳数h加1；为了避免环路情况，将攻击实例集合T_s和

为已攻击完成集合N_c的补集；

步骤2-4：重复执行步骤2-3中的操作，当攻击者初始状态集合N_a包含攻击目标节点g时，找到一条完整的攻击路径，将完整路径加入攻击图；当前条数h大于最大跳数h_max时，或者已经遍历完所有攻击实例集合T_s时，本次迭代结束；

3.根据权利要求1所述的基于攻击溯源的网络攻击紧急应对方法，其特征在于：步骤3的具体实现步骤如下：

步骤3-1：建立基于区块链的分布式云存储，每个分布式云存储由区域内的所有智物传感节点共同维护，区域内的智物传感节点组成一个区块链，每一个智物传感节点均有完整数据的备份，多个分布式云之间凭借通信网络完成交互；

N＝[n₁ n₂ … n_k′]，

其中，k'为传输路径的数量，n_i代表第i个传输路径的安全测度，计算公式为：

其中，n_ij代表第i个传输路径的第j个评估指标的量化值，L为评估指标总数；

步骤3-3：从基于区块链的分布式云存储的其他智物传感节点中将云数据调出，依据传输路径的安全测度矩阵N选择安全测度最高的传输路径，将云数据上传至对应的分布式云端；

从基于区块链的分布式存储的其他云中将云业务调出，依据传输路径的安全测度矩阵N选择安全测度最高的传输路径，将云业务下发至对应的物理电网执行单元中。

4.根据权利要求3所述的基于攻击溯源的网络攻击紧急应对方法，其特征在于，还包括：

步骤3-4：对不完整或不可用的重要云数据进行精准快速预测，具体步骤如下：

1)初始化输入权重ω，偏差b以及输出权重β；

2)确定单隐含层神经网络的损失函数E：

E＝[Hβ-T]²

3)基于损失函数E，利用粒子群算法优化权重ω和偏差b；

4)更新输出权重β：

β＝H*×T

其中，H*＝(H^TH)^-1H^T为隐含层输出矩阵H的Moore-Penrose广义逆矩阵，上标T表示转置；

5)输出预测数据：

Z＝Hβ

其中，Z为输出数据矩阵。

5.根据权利要求3所述的基于攻击溯源的网络攻击紧急应对方法，其特征在于，还包括：

步骤3-5：对不完整或不可用性的重要云业务进行智能预估，具体包括如下步骤：

1)由知识库中的规则，通过规则快速匹配算法，建立Rete网络，并设定推理目标为1；

5)判断推理目标是否为1，若推理结果为1，则匹配成功，若推理结果不为1，则异常，转至步骤3)。

6.根据权利要求3所述的基于攻击溯源的网络攻击紧急应对方法，其特征在于，还包括：

步骤3-6：针对智物传感节点重要云数据传输丢包和延时问题，设计对云数据延时和丢包具有强鲁棒性的各云业务，具体包括如下步骤：

1)利用灵敏度分析得到云数据对云业务延时灵敏度矩阵M和丢包灵敏度矩阵O：

其中，m_kp为第个k云数据对第个p云业务的延时影响灵敏度，o_kp为第k个云数据对第p个云业务的丢包影响灵敏度；k＝1,2,…,K，p＝1,2,…,P；K为云数据数量，P为云业务数量；

2)得到云数据延时和丢包对云业务的综合影响灵敏度矩阵Q：

7.根据权利要求3所述的基于攻击溯源的网络攻击紧急应对方法，其特征在于，还包括：

1)利用灵敏度分析得到控制指令延时和丢包对控制性能的影响灵敏度矩阵X和Y：

其中，x_ab为第a个控制指令延时对第b个控制性能的影响灵敏度，y_ab为第a个控制指令丢包对第b个控制性能的影响灵敏度，a＝1,2,…,A，b＝1,2,…,B；

3)依据综合影响灵敏度矩阵R中元素的大小，选择受控制指令延时和丢包影响较小的控制策略。

8.根据权利要求3所述的基于攻击溯源的网络攻击紧急应对方法，其特征在于，还包括：

1)由混杂Petri-net的离散库所和微分库所代表物理单元的各个运行模态，不同模态之间的切换由离散变迁与微分变迁完成；

2)通过判断电压和频率安全性能指标是否超出其安全范围，设计变迁的触发条件：

其中，z'₉和z'₁₀分别代表物理电网的电压和频率安全性能指标，“1”和“0”分别代表触发逻辑“1”和触发逻辑“0”，f(z'₉,z'₁₀)为“1”则触发变迁，f(z'₉,z'₁₀)为“0”则不触发变迁。