CN111756687B - 一种应对网络攻击的防御措施配置方法及系统 - Google Patents

一种应对网络攻击的防御措施配置方法及系统 Download PDF

Info

Publication number
CN111756687B
CN111756687B CN202010417566.XA CN202010417566A CN111756687B CN 111756687 B CN111756687 B CN 111756687B CN 202010417566 A CN202010417566 A CN 202010417566A CN 111756687 B CN111756687 B CN 111756687B
Authority
CN
China
Prior art keywords
service
representing
attack
information system
grid information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010417566.XA
Other languages
English (en)
Other versions
CN111756687A (zh
Inventor
倪明
童和钦
李满礼
赵丽莉
张迎星
吴英俊
徐昊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
NARI Group Corp
Nari Technology Co Ltd
Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
NARI Group Corp
Nari Technology Co Ltd
Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, NARI Group Corp, Nari Technology Co Ltd, Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202010417566.XA priority Critical patent/CN111756687B/zh
Publication of CN111756687A publication Critical patent/CN111756687A/zh
Application granted granted Critical
Publication of CN111756687B publication Critical patent/CN111756687B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出了一种应对网络攻击的防御措施配置方法及系统,包括以下步骤:通过仿真模拟电网信息系统被网络攻击入侵的后果,采集状态数据;针对典型的电网信息系统状态数据变化,采用相应的电网信息系统生存性评价指标形成评价指标体系;基于电网信息系统状态数据,进行电网信息系统生存性评价指标量化计算;分析在电网信息系统上配置防御资源的约束条件;搭建针对网络攻击的电网信息系统防御资源配置模型,提出针对网络攻击的电网信息系统生存性防御措施配置方法。

Description

一种应对网络攻击的防御措施配置方法及系统
技术领域
本发明涉及电力信息系统防御网络攻击的技术领域,具体涉及一种应对网络攻击的防御措施配置方法及系统。
背景技术
随着现代先进的通信和信息技术的大量应用,电力系统已经逐渐发展为电网信息物理系统。现代先进的通信和信息技术提升了电力系统运行的安全性和效率。与此同时,电力系统的业务越来越依托于通信与信息系统,使得其愈加容易遭受网络攻击。网络攻击通过削弱甚至破坏通信与信息系统的正常功能,可迫使依赖于通信与信息系统的电力系统业务出现问题甚至瘫痪,严重威胁电力系统的安全稳定运行。
近年针对网络攻击防御策略和方法,出现了大量研究成果。大量学者对网络攻击的特性展开了研究,对网络攻击的行为、目的、传播链进行分析,提出了大量阻断网络攻击传播的方法和防御方法。但由于电力系统和通信与信息系统自身内在原因,通信与信息系统依然存在安全隐患,仍存在网络攻击无法防御、或者可防御但代价太高的可能性。应对网络攻击无法防御、或者可防御但代价太高情形的最好方式是从内部增强电力系统和通信与信息系统抵抗网络攻击的配置,然而,电网信息系统的建设是为了服务电力系统的安全稳定运行,与传统的信息系统有所差别,由于电网信息系统的特殊性,目前仍然缺乏提高电网信息系统生存性的方法。
发明内容
针对性现有技术的不足,本发明的目的在于提供一种应对网络攻击的防御措施配置方法及系统,以解决现有技术中存在的电网信息系统生存性较低的问题。
为解决上述技术问题,本发明采用的技术方案为:
一种应对网络攻击的防御措施配置方法,所述方法包括以下步骤:
选择不同的防御措施对电网信息系统遭受网络攻击进行仿真模拟;
采集电网信息系统仿真模拟时的生存性评价指标数据;
根据所述生存性评价指标数据对防御资源配置模型进行求解,选择满足防御资源配置模型要求的防御措施。
进一步的,所述防御措施包括入侵检测措施、蜜罐措施、防火墙措施、权限控制措施、部署伪装组件、创建备用冗余组件、数据备份与恢复措施。
进一步的,所述防御资源配置模型包括电网信息系统生存性能力最大化目标函数和约束条件。
进一步的,所述电网信息系统生存性能力最大化目标函数为:
maxF(L)=h([RIS,TIS,APS,RRS,1-ADS,1-RTS]),
其中,maxF(L)表示电网信息系统生存性能力最大化目标函数,h()表示指标的融合计算,L是原子服务防御措施分配矩阵,RIS表示电网信息系统的攻击识别率指标,TIS表示电网信息系统的攻击识别时间指标,APS表示电网信息系统的攻击阻抗率指标,RRS表示电网信息系统的恢复率指标,ADS表示电网信息系统的攻击危害度指标,RTS表示电网信息系统的恢复时间指标。
进一步的,所述电网信息系统的攻击识别率指标的计算公式如下:
Figure GDA0003623924530000031
Figure GDA0003623924530000032
Figure GDA0003623924530000033
Figure GDA0003623924530000034
其中,RIAmj表示原子服务的攻击识别率指标;RImji表示第i种网络攻击入侵第m个业务中第j个原子服务被识别的识别率;PDmji表示第i种攻击发生的相对概率;RISm表示关键业务的攻击识别率指标;WAmj表示第m个业务中第j个原子服务的相对权重;RIS表示电网信息系统的攻击识别率指标;WSm为第m个业务的相对权重;
所述电网信息系统的攻击识别时间指标的计算公式如下:
Figure GDA0003623924530000035
Figure GDA0003623924530000036
Figure GDA0003623924530000037
Figure GDA0003623924530000041
其中,TImji表示原子服务遭受不同网络攻击的攻击识别时间指标;Tmji表示第m个关键业务中第j个原子服务在第i种网络攻击入侵后识别攻击的时间;TIAmj表示原子服务的攻击识别时间指标;TISm表示关键业务的攻击识别时间指标;TIS表示电网信息系统的攻击识别时间指标;
所述电网信息系统的攻击阻抗率指标的计算公式如下:
Figure GDA0003623924530000042
Figure GDA0003623924530000043
Figure GDA0003623924530000044
APS=1-ASS
其中,ASAmj表示原子服务被网络攻击入侵成功的概率;ASmji表示第i种网络攻击对第m个业务中第j个原子服务入侵成功的概率;ASSm表示关键业务被网络攻击入侵成功的概率;ASS表示电网信息系统被网络攻击入侵成功的概率;APS表示电网信息系统的攻击阻抗率指标;
所述电网信息系统的恢复率指标的计算公式如下:
Figure GDA0003623924530000045
Figure GDA0003623924530000046
其中,QRi表示关键业务在遭受第i种攻击并恢复过程结束后参与工作的原子服务数量;Q0表示关键业务遭受攻击之前参与工作的原子服务数量;RRSm表示关键业务的恢复率指标;RRS表示电网信息系统的恢复率指标;
所述电网信息系统的攻击危害度指标的计算公式如下:
Figure GDA0003623924530000051
Figure GDA0003623924530000052
Figure GDA0003623924530000053
Figure GDA0003623924530000054
其中,ADAmj表示原子服务的攻击危害度指标;ADmji表示第m个关键业务中第j个原子服务在第i种网络攻击下的攻击危害度指标;ADSm表示关键业务的攻击危害度指标;ADS表示电网信息系统的攻击危害度指标;
所述电网信息系统的恢复时间指标的计算公式如下:
Figure GDA0003623924530000055
Figure GDA0003623924530000056
Figure GDA0003623924530000057
Figure GDA0003623924530000061
其中,T0mji表示系统对原子服务的需求恢复时间;TRmji表示原子服务在被网络攻击入侵后的实际恢复时间;RTmji表示原子服务在某一类型网络攻击入侵时的恢复时间指标;RTAmj表示原子服务的恢复时间指标;RTSm表示关键业务的恢复时间指标;RTS表示电网信息系统的恢复时间指标。
进一步的,所述约束条件如下:
Figure GDA0003623924530000062
Figure GDA0003623924530000063
其中,C0表示防御资源总成本;Cide0表示原子服务上可识别性防御资源成本上限;Cres0表示原子服务上可抵抗性防御资源成本上限;Crec0表示原子服务上可恢复性防御资源成本上限;Cidemj、Cresmj、Crecmj分别表示第m个业务中第j个原子服务上可识别性防御资源成本、可抵抗性防御资源成本和可恢复性防御资源成本。
进一步的,所述原子服务上可识别性防御资源成本的计算公式如下:
Cide1*nide1mj+Cide2*nide2mj=Cidemj
所述原子服务上可抵抗性防御资源成本的计算公式如下:
Cres1*nres1mj+Cres2*nres2mj+Cres3*nres3mj=Cresmj
所述原子服务上可恢复性防御资源成本的计算公式如下:
Crec1*nrec1mj+Crec2*nrec2mj=Crecmj
其中,Cide1表示在原子服务上增加一份入侵检测软件的成本;nide1mj表示第m个业务中第j个原子服务上增加入侵检测软件的数量;Cide2表示在原子服务上增加一份蜜罐组件的成本;nide2mj表示第m个业务中第j个原子服务上增加蜜罐组件的数量;Cres1表示在原子服务上增加一份防火墙的成本;nres1mj表示第m个业务中第j个原子服务上增加防火墙的数量;Cres2表示在原子服务上增加一份权限控制软件的成本;nres2mj表示第m个业务中第j个原子服务上增加权限控制软件的数量;Cres3表示在原子服务上增加一份伪装组件的成本;nres3mj表示第m个业务中第j个原子服务上增加伪装组件的数量;Crec1表示在原子服务上增加一份备用冗余组件的成本;nrec1mj表示第m个业务中第j个原子服务上增加备用冗余组件的数量;Crec2表示在原子服务上增加一份数据备份与恢复组件的成本;nrec2mj表示第m个业务中第j个原子服务上增加数据备份与恢复组件的数量。
一种应对网络攻击的防御措施配置系统,所述系统包括:
仿真模拟模块:用于选择不同的防御措施对电网信息系统遭受网络攻击进行仿真模拟;
采集模块:用于采集电网信息系统仿真模拟时的生存性评价指标数据;
选择模块:用于根据所述生存性评价指标数据对防御资源配置模型进行求解,选择满足防御资源配置模型要求的防御措施;
配置模块:将满足防御资源配置模型要求的防御措施配置在电网信息系统中。
一种应对网络攻击的防御措施配置系统,所述系统包括处理器和存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行上述所述方法的步骤。
计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现上述所述方法的步骤。
与现有技术相比,本发明所达到的有益效果是:
本发明选择不同的防御措施对电网信息系统遭受网络攻击进行仿真模拟,采集仿真模拟时不同的防御措施对应的生存性评价指标数据,形成了有效的生存性防御能力评估指标体系,充分考虑了网络攻击的影响传播过程,实现了对生存性防御结果的有效评估;针对生存性指标所描述的生存性能力,对常见的防御措施进行分类;在资源配置模型中,以生存性指标最大化为目标,因此,在模型求解过程中,通过对防御资源进行合理配置,提升了生存性防御能力。
附图说明
图1为本发明的针对网络攻击的电网信息系统生存性防御措施配置方法流程图;
图2为本发明的电网信息系统生存性评价指标示意图;
图3为本发明的通过仿真模拟采集原子服务被网络攻击入侵后状态的流程图;
图4为本发明的电网信息系统生存性评价指标框架。
具体实施方式
下面结合附图对本发明的技术方案作进一步说明。应当了解,以下提供的实施例仅是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的技术构思,本发明还可以用许多不同的形式来实施,并且不局限于此处描述的实施例。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。
一种应对网络攻击的防御措施配置方法,所述方法包括以下步骤:
选择不同的防御措施对电网信息系统遭受网络攻击进行仿真模拟;
采集电网信息系统仿真模拟时的生存性评价指标数据;
根据所述生存性评价指标数据对防御资源配置模型进行求解,选择满足防御资源配置模型要求的防御措施;
将满足防御资源配置模型要求的防御措施配置在电网信息系统中。
防御措施包括入侵检测措施、蜜罐措施、防火墙措施、权限控制措施、部署伪装组件、创建备用冗余组件、数据备份与恢复措施。
参照图1,一种针对网络攻击的电网信息系统生存性防御措施配置方法,包括以下步骤:
步骤1:获取电网信息系统数据,包括电网信息系统的网络结构、电网信息系统执行的关键业务类型、关键业务执行涉及的原子服务、为原子服务提供服务的元件、原子服务的系统网络结构,获取网络攻击数据,包括网络攻击的攻击方式、攻击目标。原子服务是指将业务分解为不可再分的服务功能,分别由单个或若干元件完成,原子服务之间的运行方式相互独立,系统中所有原子服务协同工作,共同实现系统的业务执行。
根据中华人民共和国经济贸易委员会和电力监管委员会发出的规定,将电力通信业务分为I、II、III、IV四大安全区域,I区业务包含安全稳定系统(Safety and stabilitysystem,SSS)、继电保护(Relay protection,RP)和电力调度(Power dispatch,PD),II区业务包含保护管理信息系统(Protection management information system,PMIS)、电力市场(Electricity market,EM)等,III区业务包含水文信息系统(Hydrologicalinformation system,HIS)、闪电定位系统(Lightning positioning system,LPS)、综合网络管理系统(Integrated network management system,INMS)、电缆监控系统(Cablemonitoring system,CMS)等,IV区业务包含共享资源管理(Shared resource management,SRM)、官方文件审批业务(Official document approval business,ODAB)、视频会议(Video conference,VC)等。其中,I区业务最为重要,直接关系到电网的安全稳定运行,以这部分业务作为关键业务,包括:安稳系统、继电保护和电力调度。
步骤2:通过仿真模拟电网信息系统遭受网络攻击的情况,采集原子服务被不同类型的网络攻击入侵时的状态数据。考虑到防御效果数据被用于计算生存性评价指标,因此,基于生存性评价指标体系,对以下状态数据进行采集:原子服务在网络攻击入侵后是否能正常工作;原子服务被破坏的次数与网络攻击总次数的比率;原子服务被网络攻击入侵后的识别情况;原子服务在被网络攻击入侵后识别网络攻击的用时;原子服务在攻击介绍后的实际恢复时间;恢复过程结束后恢复正常运行的原子服务的数量。
通过仿真采集计算指标所需的状态数据流程如附图2所示,步骤如下:
(1)根据关键业务运行的运行过程,将关键业务分解为原子服务,根据网络攻击对不同原子服务的威胁程度,选择不同类型的网络攻击组成网络攻击库,包含了不同攻击选择不同类型的原子服务作为目标的概率。
(2)随机选择网络攻击库中未选择过的网络攻击。
(3)根据选择的网络攻击,多次模拟网络攻击对系统的影响。并且收集用于计算评估指标的基本数据。
(4)判断是否已选择网络攻击库中的所有网络攻击,若是,请执行步骤(5);否则,执行步骤(2)。
(5)计算用于计算评估指标的收集数据的期望值。
步骤3:基于电网信息系统正常执行业务对自身运行状态的需求,结合防御网络攻击的全过程,选取电网信息系统生存性评价指标形成电网信息系统生存性评价指标体系。从网络攻击入侵后的整个防御过程的角度进行评价,提出以下生存性能力评价指标:可识别性,描述攻击侵入时对攻击的识别能力,在防御前期系统刚刚遭到网络攻击入侵时识别出入侵的网络攻击的能力;可抵抗性,描述攻击入侵后的抵抗能力,在防御后期网络攻击停止或被清除后系统回复正常运行的能力;可恢复性,攻击结束后系统的恢复能力,在防御后期网络攻击停止或被清除后系统回复正常运行的能力,如附图3所示。三个指标分别对应于网络攻击侵入时、侵入后的防御、侵入结束后三个过程。为了对系统的生存性状态进行更准确的描述,对指标进行细分,建立完整的生存性能力评价指标体系,如附图4所示,指标内容如下:
(1)可识别性
反映系统在遭受攻击后对攻击的识别能力,主要通过对整个系统的状态进行监控和识别来实现,可从攻击的识别率指标以及攻击识别时间指标两方面来量化评估:
A.攻击的识别率指标:进行攻击测试时,网络信息系统可以准确完整的识别出的攻击数量占攻击库中攻击数量的比例。
B.攻击的识别时间指标:指的是从攻击发生到网络信息系统识别出该攻击所花费的时间。
(2)可抵抗性
反映系统面对各种事件时对其提供的业务的保护防御能力,代表系统在遭受网络攻击时的抵抗能力,引入攻击的危害度指标以及系统对攻击的阻抗率指标两方面来量化评估:
A.攻击的危害度指标:攻击成功以后对信息系统关键服务的影响程度,称为攻击危害度指标。
B.攻击的阻抗率指标:在模拟测试的若干个攻击中,信息系统可以成功阻击的概率,称为攻击的阻抗率指标,也就是攻击没有成功入侵系统的概率。
(3)可恢复性
反映系统在遭受攻击后的恢复能力,系统在遭受攻击后将暂时性地向低状态转变,通过系统的重新配置或冗余备份等措施,又使得系统在经过一段时间后恢复到原有状态或转移到一个中间状态。可从恢复时间指标和恢复率指标两方面来量化评估:
A.恢复时间指标:遭受攻击后,系统能否及时恢复正常运行状态的度量指标。
B.恢复率指标:系统的恢复过程结束后,不一定可以完全恢复,对系统的恢复程度进行度量。
步骤4:基于电网信息系统状态数据,进行生存性评价指标量化计算,实现电网信息系统生存性状态的量化评估。在前面的步骤中提出在电网信息系统中选取关键业务,是指在电网信息系统中执行的电力业务中,不同业务发生故障对系统的影响是不同的,其中一些业务,发生故障时会直接导致电网无法安全稳定运行,称这些业务为关键业务。将关键业务分解为原子服务,可以通过提升原子服务生存性防御能力提升电网信息系统的生存性防御能力,如附图4所示。结合步骤3中采集的原子服务状态数据,提出通过原子服务的生存性状态数据计算系统生存性评价指标的量化计算方法。设定场景为电网信息系统包含的所有业务中有M种关键业务,第m个关键业务可以分解成Jm个原子服务,攻击库包含I种网络攻击,并多次模拟攻击库中每一类网络攻击对系统进行攻击的场景。
(1)攻击识别率指标:网络信息系统可以准确完整的识别出的攻击数量占总的攻击数量的比例。具体计算公式如下:
Figure GDA0003623924530000141
Figure GDA0003623924530000142
Figure GDA0003623924530000143
Figure GDA0003623924530000144
其中,RIAmj表示原子服务的攻击识别率指标;RImji表示第i种网络攻击入侵第m个业务中第j个原子服务被识别的情况,通过采集得到;PDmji表示第i种攻击发生的相对概率,所有攻击发生的相对概率之和为1;RISm表示关键业务的攻击识别率指标;WAmj表示第m个业务中第j个原子服务的相对权重,所有原子服务相对权重之和为1,大小取决于原子服务失效对业务的影响;RIS表示系统的攻击识别率指标;WSm为第m个业务的相对权重,所有业务相对权重之和为1,大小取决于关键业务失效对系统安全稳定性的影响。
(2)攻击识别时间指标:指的是从攻击发生到网络信息系统识别出该攻击所花费的时间。具体计算公式如下:
Figure GDA0003623924530000145
Figure GDA0003623924530000151
Figure GDA0003623924530000152
Figure GDA0003623924530000153
其中,TImji表示原子服务遭受不同网络攻击的攻击识别时间指标;Tmji表示第m个关键业务中第j个原子服务在第i种网络攻击入侵后识别攻击的时间,通过采集得到;TIAmj表示原子服务的攻击识别时间指标;TISm表示关键业务的攻击识别时间指标;TIS表示电网信息系统的攻击识别时间指标。
(3)攻击危害度指标:攻击成功以后对信息系统关键服务的影响程度。具体计算公式如下:
Figure GDA0003623924530000154
Figure GDA0003623924530000155
Figure GDA0003623924530000156
Figure GDA0003623924530000157
其中,ADAmj表示原子服务的攻击危害度指标;ADmji表示第m个关键业务中第j个原子服务在第i种网络攻击下的防御结果,通过采集得到;ADSm表示关键业务的攻击危害度指标;ADS表示电网信息系统的攻击危害度指标。
(4)攻击阻抗率指标:电网信息系统可以成功阻击网络攻击的概率,也就是攻击没有成功入侵系统的概率。具体计算公式如下:
Figure GDA0003623924530000161
Figure GDA0003623924530000162
Figure GDA0003623924530000163
APS=1-ASS
其中,ASAmj表示原子服务被网络攻击入侵成功的概率;ASmji表示第i种网络攻击对第m个业务中第j个原子服务入侵成功的概率;ASSm表示关键业务被网络攻击入侵成功的概率;ASS表示电网信息系统被网络攻击入侵成功的概率;APS表示电网信息系统的攻击阻抗率指标。
(5)恢复时间指标:遭受攻击后,系统能否及时恢复正常运行状态的度量指标。具体计算公式如下:
Figure GDA0003623924530000164
Figure GDA0003623924530000165
Figure GDA0003623924530000171
Figure GDA0003623924530000172
其中,T0mji表示系统对原子服务的需求恢复时间为,即原子服务需要在T0mji时间内恢复正常工作才可以满足系统需求;TRmji表示原子服务在被网络攻击入侵后的实际恢复时间;RTmji表示原子服务在某一类型网络攻击入侵时的恢复时间指标;RTAmj表示原子服务的恢复时间指标;RTSm表示关键业务的恢复时间指标;RTS表示电网信息系统的恢复时间指标。
(6)恢复率指标:系统的恢复过程结束后,不一定可以完全恢复,对系统的恢复程度进行度量。具体计算公式如下
每个原子服务对应完成一种基础服务,一部分原子服务恢复工作就可以组成部分业务功能,定义关键业务的恢复率指标为:
Figure GDA0003623924530000173
Figure GDA0003623924530000174
其中,QRi表示关键业务在遭受第i种攻击并恢复过程结束后参与工作的原子服务数量;Q0表示关键业务遭受攻击之前参与工作的原子服务数量;RRSm表示关键业务的恢复率指标;RRS表示电网信息系统的恢复率指标。
步骤5:基于防御措施的固有特性和电网信息系统对防御措施的需求,分析在电网信息系统配置防御措施的约束条件。将防御措施配置在为原子服务提供服务的元件上,实现原子服务的生存性防御能力的提升。
为了保护信息系统不被黑客攻击,减少网络攻击的危害,多种防御措施被开发出来,并可用于生存性防御的全过程,目前常用的防御措施有:入侵检测技术、蜜罐技术、防火墙技术、权限控制技术、部署伪装组件、创建备用冗余组件、创建备用冗余组件、数据备份与恢复技术。入侵检测技术、蜜罐技术常用于增强信息系统的可识别性能力,防火墙技术、权限控制技术、部署伪装组件常用于增强信息系统的可抵抗性能力,创建备用冗余组件、数据备份与恢复技术常用于增强信息系统的可恢复性能力。
不同的防御措施有不同的使用成本和效果,考虑到同一类型的防御措施叠加使用效果会逐渐衰减且叠加的数量受到当前技术水平的限制,同时为了节约成本并达到最好的防御效果,通常使用多种类型的防御资源进行组合,进行防御。因此,考虑到成本因素和技术限制,得到约束条件如下:
Figure GDA0003623924530000181
Figure GDA0003623924530000182
其中,C0表示防御资源总成本;Cide0表示原子服务上可识别性防御资源成本上限;Cres0表示原子服务上可抵抗性防御资源成本上限;Crec0表示原子服务上可恢复性防御资源成本上限;Cidemj、Cresmj、Crecmj分别表示第m个业务中第j个原子服务上可识别性防御资源成本、可抵抗性防御资源成本和可恢复性防御资源成本,计算公式如下:
Cide1*nide1mj+Cide2*nide2mj=Cidemj
Cres1*nres1mj+Cres2*nres2mj+Cres3*nres3mj=Cresmj
Crec1*nrec1mj+Crec2*nrec2mj=Crecmj
其中,Cide1表示在原子服务上增加一份入侵检测软件的成本;nide1mj表示第m个业务中第j个原子服务上增加入侵检测软件的数量;Cide2表示在原子服务上增加一份蜜罐组件的成本;nide2mj表示第m个业务中第j个原子服务上增加蜜罐组件的数量;Cres1表示在原子服务上增加一份防火墙的成本;nres1mj表示第m个业务中第j个原子服务上增加防火墙的数量;Cres2表示在原子服务上增加一份权限控制软件的成本;nres2mj表示第m个业务中第j个原子服务上增加权限控制软件的数量;Cres3表示在原子服务上增加一份伪装组件的成本;nres3mj表示第m个业务中第j个原子服务上增加伪装组件的数量;Crec1表示在原子服务上增加一份备用冗余组件的成本;nrec1mj表示第m个业务中第j个原子服务上增加备用冗余组件的数量;Crec2表示在原子服务上增加一份数据备份与恢复组件的成本;nrec2mj表示第m个业务中第j个原子服务上增加数据备份与恢复组件的数量。
步骤6:基于针对网络攻击的电网信息系统生存性评价指标的量化计算方法,以生存性指标最大化为目标,结合配置防御措施的约束条件,搭建针对网络攻击的电网信息系统防御资源配置模型,提出针对网络攻击的电网信息系统生存性防御措施配置方法。
考虑到生存性评价指标体系对系统多方面的生存性能力进行了评价,在所有指标中,攻击危害度指标和恢复时间指标越小则系统生存性越好,攻击的阻抗率指标、攻击的识别率指标、攻击的识别时间指标和恢复率指标越大则系统生存性越好。因此,可以通过指标的变化反应电网信息系统生存性防御能力的变化,以电网信息系统生存性能力最大化为目标提出以下目标函数:
maxF(L)=h([RIS,TIS,APS,RRS,1-ADS,1-RTS])
式中,L是原子服务防御措施分配矩阵,列数表示不同的原子服务,行数表示不同的防御措施,矩阵中的元素表示在一个原子服务上配置某种防御方法的数量;h()表示指标的融合计算,具体计算公式如下:
R=[APS,RIS,TIS,RRS,1-ADS,1-RTS]
Figure GDA0003623924530000201
式中,E表示数组R中包含的元素数量;a和b为常数系数,此处取a=b=0.5;‖R‖1和‖R‖分别为向量R的1范数和∞范数。
Figure GDA0003623924530000202
||R||=max|Re|
结合步骤S5中提出的约束条件,得到电网信息系统生存性防御资源配置模型如下:
maxF(L)=h([RIS,TIS,APS,RRS,1-ADS,1-RTS])
Figure GDA0003623924530000203
Figure GDA0003623924530000211
最后,通过对模型进行求解,得到电网信息系统生存性防御资源配置规划方案,形成电网信息系统生存性防御资源配置方法。
一种应对网络攻击的防御措施配置系统,所述系统包括:
仿真模拟模块:用于选择不同的防御措施对电网信息系统遭受网络攻击进行仿真模拟;
采集模块:用于采集电网信息系统仿真模拟时的生存性评价指标数据;
选择模块:用于根据所述生存性评价指标数据对防御资源配置模型进行求解,选择满足防御资源配置模型要求的防御措施;
配置模块:将满足防御资源配置模型要求的防御措施配置在电网信息系统中。
一种应对网络攻击的防御措施配置系统,所述系统包括处理器和存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行上述所述方法的步骤。
计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现上述所述方法的步骤。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均包含在申请待批的本发明的权利要求范围之内。

Claims (5)

1.一种应对网络攻击的防御措施配置方法,其特征在于,所述方法包括以下步骤:
选择不同的防御措施对电网信息系统遭受网络攻击进行仿真模拟;
采集仿真模拟时不同的防御措施对应的生存性评价指标数据;
根据所述生存性评价指标数据对防御资源配置模型进行求解,选择满足防御资源配置模型要求的防御措施;
将满足防御资源配置模型要求的防御措施配置在电网信息系统中;
所述防御资源配置模型包括电网信息系统生存性能力最大化目标函数和约束条件;
所述电网信息系统生存性能力最大化目标函数为:
maxF(L)=h([RIS,TIS,APS,RRS,1-ADS,1-RTS]),
其中,maxF(L)表示电网信息系统生存性能力最大化目标函数,h()表示指标的融合计算,L是原子服务防御措施分配矩阵,RIS表示电网信息系统的攻击识别率指标,TIS表示电网信息系统的攻击识别时间指标,APS表示电网信息系统的攻击阻抗率指标,RRS表示电网信息系统的恢复率指标,ADS表示电网信息系统的攻击危害度指标,RTS表示电网信息系统的恢复时间指标;
所述电网信息系统的攻击识别率指标的计算公式如下:
Figure FDA0003623924520000011
Figure FDA0003623924520000012
Figure FDA0003623924520000021
Figure FDA0003623924520000022
其中,RIAmj表示原子服务的攻击识别率指标;RImji表示第i种网络攻击入侵第m个业务中第j个原子服务被识别的识别率;PDmji表示第i种攻击发生的相对概率;RISm表示关键业务的攻击识别率指标;WAmj表示第m个业务中第j个原子服务的相对权重;RIS表示电网信息系统的攻击识别率指标;WSm为第m个业务的相对权重;
所述电网信息系统的攻击识别时间指标的计算公式如下:
Figure FDA0003623924520000023
Figure FDA0003623924520000024
Figure FDA0003623924520000025
Figure FDA0003623924520000026
其中,TImji表示原子服务遭受不同网络攻击的攻击识别时间指标;Tmji表示第m个关键业务中第j个原子服务在第i种网络攻击入侵后识别攻击的时间;TIAmj表示原子服务的攻击识别时间指标;TISm表示关键业务的攻击识别时间指标;TIS表示电网信息系统的攻击识别时间指标;
所述电网信息系统的攻击阻抗率指标的计算公式如下:
Figure FDA0003623924520000031
Figure FDA0003623924520000032
Figure FDA0003623924520000033
APS=1-ASS
其中,ASAmj表示原子服务被网络攻击入侵成功的概率;ASmji表示第i种网络攻击对第m个业务中第j个原子服务入侵成功的概率;ASSm表示关键业务被网络攻击入侵成功的概率;ASS表示电网信息系统被网络攻击入侵成功的概率;APS表示电网信息系统的攻击阻抗率指标;
所述电网信息系统的恢复率指标的计算公式如下:
Figure FDA0003623924520000034
Figure FDA0003623924520000035
其中,QRi表示关键业务在遭受第i种攻击并恢复过程结束后参与工作的原子服务数量;Q0表示关键业务遭受攻击之前参与工作的原子服务数量;RRSm表示关键业务的恢复率指标;RRS表示电网信息系统的恢复率指标;
所述电网信息系统的攻击危害度指标的计算公式如下:
Figure FDA0003623924520000036
Figure FDA0003623924520000037
Figure FDA0003623924520000041
Figure FDA0003623924520000042
其中,ADAmj表示原子服务的攻击危害度指标;ADmji表示第m个关键业务中第j个原子服务在第i种网络攻击下的攻击危害度指标;ADSm表示关键业务的攻击危害度指标;ADS表示电网信息系统的攻击危害度指标;
所述电网信息系统的恢复时间指标的计算公式如下:
Figure FDA0003623924520000043
Figure FDA0003623924520000044
Figure FDA0003623924520000045
Figure FDA0003623924520000046
其中,T0mji表示系统对原子服务的需求恢复时间;TRmji表示原子服务在被网络攻击入侵后的实际恢复时间;RTmji表示原子服务在某一类型网络攻击入侵时的恢复时间指标;RTAmj表示原子服务的恢复时间指标;RTSm表示关键业务的恢复时间指标;RTS表示电网信息系统的恢复时间指标;
所述约束条件如下:
Figure FDA0003623924520000051
Figure FDA0003623924520000052
其中,C0表示防御资源总成本;Cide0表示原子服务上可识别性防御资源成本上限;Cres0表示原子服务上可抵抗性防御资源成本上限;Crec0表示原子服务上可恢复性防御资源成本上限;Cidemj、Cresmj、Crecmj分别表示第m个业务中第j个原子服务上可识别性防御资源成本、可抵抗性防御资源成本和可恢复性防御资源成本。
2.根据权利要求1所述的一种应对网络攻击的防御措施配置方法,其特征在于,所述防御措施包括入侵检测措施、蜜罐措施、防火墙措施、权限控制措施、部署伪装组件、创建备用冗余组件、数据备份与恢复措施。
3.根据权利要求1所述的一种应对网络攻击的防御措施配置方法,其特征在于,所述原子服务上可识别性防御资源成本的计算公式如下:
Cide1*nide1mj+Cide2*nide2mj=Cidemj
所述原子服务上可抵抗性防御资源成本的计算公式如下:
Cres1*nres1mj+Cres2*nres2mj+Cres3*nres3mj=Cresmj
所述原子服务上可恢复性防御资源成本的计算公式如下:
Crec1*nrec1mj+Crec2*nrec2mj=Crecmj
其中,Cide1表示在原子服务上增加一份入侵检测软件的成本;nide1mj表示第m个业务中第j个原子服务上增加入侵检测软件的数量;Cide2表示在原子服务上增加一份蜜罐组件的成本;nide2mj表示第m个业务中第j个原子服务上增加蜜罐组件的数量;Cres1表示在原子服务上增加一份防火墙的成本;nres1mj表示第m个业务中第j个原子服务上增加防火墙的数量;Cres2表示在原子服务上增加一份权限控制软件的成本;nres2mj表示第m个业务中第j个原子服务上增加权限控制软件的数量;Cres3表示在原子服务上增加一份伪装组件的成本;nres3mj表示第m个业务中第j个原子服务上增加伪装组件的数量;Crec1表示在原子服务上增加一份备用冗余组件的成本;nrec1mj表示第m个业务中第j个原子服务上增加备用冗余组件的数量;Crec2表示在原子服务上增加一份数据备份与恢复组件的成本;nrec2mj表示第m个业务中第j个原子服务上增加数据备份与恢复组件的数量。
4.一种应对网络攻击的防御措施配置系统,其特征在于,所述系统包括处理器和存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据权利要求1-3任一项所述方法的步骤。
5.计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-3任一项所述方法的步骤。
CN202010417566.XA 2020-05-15 2020-05-15 一种应对网络攻击的防御措施配置方法及系统 Active CN111756687B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010417566.XA CN111756687B (zh) 2020-05-15 2020-05-15 一种应对网络攻击的防御措施配置方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010417566.XA CN111756687B (zh) 2020-05-15 2020-05-15 一种应对网络攻击的防御措施配置方法及系统

Publications (2)

Publication Number Publication Date
CN111756687A CN111756687A (zh) 2020-10-09
CN111756687B true CN111756687B (zh) 2022-09-20

Family

ID=72673717

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010417566.XA Active CN111756687B (zh) 2020-05-15 2020-05-15 一种应对网络攻击的防御措施配置方法及系统

Country Status (1)

Country Link
CN (1) CN111756687B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113746830B (zh) * 2021-09-02 2023-04-07 江苏昌巨电力工程有限公司 光伏电站网络安全防御资源配置方法、装置及计算机存储介质
CN114401137B (zh) * 2022-01-14 2023-09-08 中国人民解放军国防科技大学 基于对偶算法的备份网络最短路阻断方法和装置
CN115412369B (zh) * 2022-10-31 2022-12-27 中国人民解放军军事科学院系统工程研究院 一种面向网络控制的韧性原子服务框架构建方法与系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102739652A (zh) * 2012-06-07 2012-10-17 中国电子科技集团公司第三十研究所 网络抗攻击性能评估指标体系构建方法及装置
CN110971565A (zh) * 2018-09-29 2020-04-07 全球能源互联网研究院有限公司 基于恶意攻击建模的源网荷系统脆弱性评价方法及系统
CN111105145A (zh) * 2019-11-26 2020-05-05 广西电网有限责任公司 一种考虑间歇性能源的电网生存性评估方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9484747B1 (en) * 2012-01-25 2016-11-01 Siemens Aktiengesellschaft Holistic optimization of distribution automation using survivability modeling
CN103501512B (zh) * 2013-10-22 2016-10-05 中国人民解放军理工大学 基于簇的wsn可生存路由方法及生存性评估模型
CN104868465B (zh) * 2014-02-26 2017-12-29 云南电力调度控制中心 基于模糊机会约束的电力系统网架重构优化方法
CN107204871B (zh) * 2017-04-19 2020-06-05 天津大学 基于演化博弈模型的无线传感器网络可生存性评估方法
CN109167349B (zh) * 2018-08-29 2021-04-27 东北电力大学 一种计及负荷优化重配的电力cps可生存性量化评估方法
CN110602047B (zh) * 2019-08-14 2021-08-03 中国人民解放军战略支援部队信息工程大学 面向网络攻防的多步攻击动态防御决策选取方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102739652A (zh) * 2012-06-07 2012-10-17 中国电子科技集团公司第三十研究所 网络抗攻击性能评估指标体系构建方法及装置
CN110971565A (zh) * 2018-09-29 2020-04-07 全球能源互联网研究院有限公司 基于恶意攻击建模的源网荷系统脆弱性评价方法及系统
CN111105145A (zh) * 2019-11-26 2020-05-05 广西电网有限责任公司 一种考虑间歇性能源的电网生存性评估方法

Also Published As

Publication number Publication date
CN111756687A (zh) 2020-10-09

Similar Documents

Publication Publication Date Title
CN111756687B (zh) 一种应对网络攻击的防御措施配置方法及系统
CN105868629B (zh) 一种适用于电力信息物理系统的安全威胁态势评估方法
CN112153047B (zh) 一种基于区块链的网络安全运维及防御方法及系统
CN111818102B (zh) 一种应用于网络靶场的防御效能评估方法
CN110417772A (zh) 攻击行为的分析方法及装置、存储介质、电子装置
CN112633649A (zh) 电网多属性重要节点评估与规划方法
CN112819336A (zh) 一种基于电力监控系统网络威胁的量化方法及系统
CN105681274B (zh) 一种原始告警信息处理的方法及装置
CN112749097B (zh) 一种模糊测试工具性能测评方法、装置
CN107612927B (zh) 电力调度自动化系统的安全检测方法
CN116112283A (zh) 一种基于cnn-lstm的电力系统网络安全态势预测方法及系统
CN116112211A (zh) 一种基于知识图谱的网络攻击链还原方法
CN112637108B (zh) 一种基于异常检测和情感分析的内部威胁分析方法及系统
Ghali Feature selection for effective anomaly-based intrusion detection
CN114553596A (zh) 适用于网络安全的多维度安全情况实时展现方法及系统
Kanoun et al. Advanced reaction using risk assessment in intrusion detection systems
CN115640581A (zh) 一种数据安全风险评估方法、装置、介质及电子设备
CN115034694A (zh) 一种电网脆弱性评估方法、装置、电子设备及存储介质
Sabri et al. Hybrid of rough set theory and artificial immune recognition system as a solution to decrease false alarm rate in intrusion detection system
CN113922347A (zh) 一种基于失配度评价指标的接地保护定值优化方法、系统及存储介质
Tian et al. A cybersecurity risk assessment method and its application for instrumentation and control systems in nuclear power plants
CN114021395B (zh) 一种电力信息物理系统线路脆弱相关性分析方法及装置
RU2742179C1 (ru) Способ построения системы обнаружения инцидентов информационной безопасности в автоматизированных системах управления
Farajollahi et al. Bad data injection as a threat for power system security
US20230162116A1 (en) Integration of Physical Security Modeling and Simulation with Dynamic Probabilistic Risk Assessment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant