CN112422665B - 泛在电力物联网场景下攻击路径的生成方法 - Google Patents

Abstract

本发明公开了一种泛在电力物联网场景下攻击路径的生成方法，包括如下步骤：S1.构建泛在电力物联网的网络安全知识图谱；S2.获取所述网络安全知识图谱中各主机之间的关系路径，建立各主机之间的关系路径图；S3.解析所述各主机之间的关系路径图，得到各主机的攻击信息；S4.对所述各主机的攻击信息进行处理，得到任意两个主机之间的攻击路径。本发明的一种泛在电力物联网场景下攻击路径的生成方法，能够提高电力网络攻击信息的更新效率，得到更为精准的电力网络攻击路径。

Description

泛在电力物联网场景下攻击路径的生成方法

技术领域

本发明涉及电力物联网领域，具体涉及一种泛在电力物联网场景下攻击路径的生成方法。

背景技术

泛在电力物联网是能源革命和信息通信技术相互融合的产物，也是一种在电力行业的具体表现形式。泛在电力物联网能够充分发挥电网的独特优势，进而使得电网运行更安全、管理更精益。不过泛在电力物联网中多设备网络之间的基础设施标准存在异构性，这就导致信息在物联网传播的过程中，尤其是网间的传播过程中，存在着极大安全隐患。这种隐患往往会被系攻击者利用，导致机密数据的泄露、篡改等。

传统的安全网关通过设定大量的防火墙规则来保障泛在电力物联网的信息交互安全，然而随着泛在电力物联网的建设，网络安全边界快速扩大，网络构成日益多样，网络中的漏洞数量也在增加；由于防御资源的有限性，电力防御方不可能修复所有的漏洞，所以安全分析过程以及安全管控愈加复杂。

现有技术主要依据单一威胁的信息源来评估攻击成功率和攻击收益，而忽略了其他攻击信息源。一旦依据的信息源出现偏差，现有技术无法借助其他途径获取更多的信息源，也就无法得到准确可靠的攻击路径。

发明内容

有鉴于此，本发明的目的是克服现有技术中的缺陷，提供泛在电力物联网场景下攻击路径的生成方法，能够提高电力网络攻击信息的更新效率，得到更为精准的电力网络攻击路径。

本发明的泛在电力物联网场景下攻击路径的生成方法，包括如下步骤：

S1.构建泛在电力物联网的网络安全知识图谱；

S2.获取所述网络安全知识图谱中各主机之间的关系路径，建立各主机之间的关系路径图；

S3.解析所述各主机之间的关系路径图，得到各主机的攻击信息；

S4.对所述各主机的攻击信息进行处理，得到任意两个主机之间的攻击路径。

进一步，步骤S1中，根据如下步骤，构建泛在电力物联网的网络安全知识图谱：

S11.构建泛在电力物联网的网络安全本体；

S12.采用线性链条随机场从所述网络安全本体中获取实体、实体关系以及实体属性，建立基础的网络安全知识图谱；其中，所述实体包括主机、漏洞以及攻击；

S13.依据攻击条件以及攻击方式对攻击成功率进行推理，得到新的实体关系或新的实体属性；

S14.将所述新的实体关系或所述新的实体属性添加到所述基础的网络安全知识图谱，得到最新的网络安全知识图谱。

进一步，步骤S11中，构建泛在电力物联网的网络安全本体，具体包括：

S111.采集泛在电力物联网的网络安全领域信息；所述网络安全领域信息包括电网内容以及电网链接；

S112.解析所述电网内容以及所述电网链接分别得到电网内容特征向量以及电网链接特征向量；

S113.对所述电网内容特征向量以及所述电网链接特征向量进行主题分析，得到主题集；

S114.使用相关度计算公式对所述主题集进行处理，得到泛在电力物联网的网络安全本体；所述相关度计算公式为：

其中，rel表示概念c与主题的相关度；Dep(c)表示在以X为根的字数中概念c的深度；Dis(X，c)表示从X到c的路径Path(X，c)上所有边的权重之和；

所述Dis(X，c)＝∑_{a∈Path(X，c)}Weight(a)；

其中，Weight为权重函数；chiNum(a)表示以网络安全本体为树形结构中子节点a的个数；par(a)表示以网络安全本体为树形结构中父母节点的集合。

进一步，步骤S2中，根据如下步骤，建立各主机之间的关系路径图：

S21.使用三阶张量X_n×n×m表示所述网络安全知识图谱，并将第k层的张量X_k作为所述网络安全知识图谱中的实体之间的关系k；其中，n以及m分别表示实体以及实体关系的个数；

S22.基于三阶张量分解的方法得到所述网络安全知识图谱中实体之间的关系；其中，所述实体包括主机、漏洞以及攻击；所述三阶张量分解使用分解函数f(e_i，r′_k，e_j)进行分解，所述分解函数f(e_i，r′_k，e_j)为：

其中，和/>分别表示实体e_i和e_j在低维向量空间的向量；/>表示关系r_i的关系矩阵；r′_k表示实体e_i和e_j之间的关系；

S23.利用贝叶斯图模型描述攻击者组合和利用漏洞的路径，得到各主机之间的关系路径图。

进一步，步骤S21中，对所述分解函数进行修正，具体包括：

S211.构建所述分解函数的损失模型：

其中，表示整个张量在关系路径分解过程中的损失函数；表示在关系路径上矩阵张量的分解；/>表示为了避免所述损失模型过度拟合二引入的修正过程，λ为修正系数，λ≥0；P表示第i个概率p_i，所述概率p_i为：/>t表示时间，/>以及/>表示为发生事件，H表示主机；

S212.调整所述损失模型中各个参数，使得所述损失模型取得最小值，将取得最小值时设定的矩阵张量分解值作为所述分解函数的修正参数。

进一步，所述步骤S3，具体包括：

S31.访问所述关系路径图中的主机，构建主机邻接矩阵u；

S32.将主机邻接矩阵u中两个邻接攻击的直接矩阵A与B输入到运算函数F(X，Y)中，得到一个非直接攻击的矩阵R；所述运算函数F(X，Y)为：

F(X，Y)＝max(a_i0×b_0j，a_i1×b_1j，…，a_in×b_nj)

其中，X与Y为形式参数；a_in与b_nj分别为直接矩阵A与B的矩阵元素，n为矩阵元素个数，i为直接矩阵A的表项，j为直接矩阵B的表项；

S33.对运算函数F(X，Y)进行幂次迭代，得到一个稳定的矩阵U：

U＝F^m(U)

其中，m为函数的幂次迭代数，且m＞1；

S34.利用矩阵U和矩阵R，求解最大概率攻击矩阵L；所述攻击矩阵L为：L＝F(U，R)。

进一步，步骤S32中，将所述直接矩阵A输入到所述运算函数前，对所述直接矩阵A进行预处理：

S321.设置直接矩阵A为初始攻击信息矩阵；

S322.判断直接矩阵A是否包括相邻攻击矩阵，若是，则进入步骤S323，否则进入步骤S324；

S323.判断直接矩阵A中的表项i与直接矩阵B中的表项j是否相同，若是，则进入步骤S324；若否，则进入步骤S325；

S324.判断成功攻击的概率是否大于表项i的攻击成功率，若是，则进入步骤S325；若否，则不做处理；

S325.更新直接矩阵A中表项i的攻击成功率；所述攻击成功率为p：

p＝p×(p of A to B)；

S326.输出所述直接矩阵A。

进一步，所述步骤S4，具体包括：

S41.从所述最大概率攻击矩阵中查找目标主机的攻击矩阵；

S42.判断所述目标主机的下一跳主机是否为空，若是，则将与所述目标主机直接相邻的攻击路径作为所述目标主机的攻击路径；若否，返回步骤S41。

本发明的有益效果是：本发明公开的一种泛在电力物联网场景下攻击路径的生成方法，通过构建构建泛在电力物联网的网络安全知识图谱，将新信息与所述图谱中已有信息进行关联，发现原攻击图中与新信息相关的节点，并只对电力相关节点进行修改，提高了攻击信息的更新效率，能够生成更为精准的泛在电力物联网场景下电力网络的攻击路径。

附图说明

下面结合附图和实施例对本发明作进一步描述：

图1为本发明的方法流程示意图。

具体实施方式

以下结合说明书附图对本发明做出进一步的说明，如图1所示：

本发明的泛在电力物联网场景下攻击路径的生成方法，包括如下步骤：

S1.构建泛在电力物联网的网络安全知识图谱；

S2.获取所述网络安全知识图谱中各主机之间的关系路径，建立各主机之间的关系路径图；

S3.解析所述各主机之间的关系路径图，得到各主机的攻击信息；

S4.对所述各主机的攻击信息进行处理，得到任意两个主机之间的攻击路径。

本实施例中，步骤S1中，根据如下步骤，构建泛在电力物联网的网络安全知识图谱：

S11.构建泛在电力物联网的网络安全本体；

S12.采用线性链条随机场从所述网络安全本体中获取实体、实体关系以及实体属性，建立基础的网络安全知识图谱；其中，所述实体包括主机、漏洞以及攻击；以P(Y|X)构成线性链条随机场，并需满足以下马尔科夫的性质公式：

P(Y_i|X,Y₁,…,Y_i-1,Y_i+1,…,Y_n)＝P(Y_i|X,Y_i-1,Y_i+1)

其中，X为观察序列，是输入变量；Y和上述模型中的标记序列相应，是输出变量，而标注只与输入变量和相邻的两个标注有关；

S13.依据攻击条件以及攻击方式对攻击成功率进行推理，得到新的实体关系或新的实体属性；

S14.将所述新的实体关系或所述新的实体属性添加到所述基础的网络安全知识图谱，得到最新的网络安全知识图谱；其中，本发明使用三元组，即D＝(E,R,S)，D表示知识库，E表示实体集合，R表示实体关系集合，S表示知识图谱的语义。

本实施例中，步骤S11中，构建泛在电力物联网的网络安全本体，具体包括：

S111.考察对现有本体进行复用的可能性、列出本体中重要概念的集合；然后采集泛在电力物联网的网络安全领域信息；所述网络安全领域信息包括电网内容以及电网链接；其中，在互联网安全领域中已经存在很多成型的本体，他们有的是针对安全事件进行建模，有的是对恶意软件进行分类，有的本体是用于进行入侵检测；

S112.分别提取电网内容信息以及电网链接信息，形成内容特征向量和链接特征向量；

S113.对所述电网内容特征向量以及所述电网链接特征向量进行主题分析，得到主题集；所述主题分析采用现有技术，在此不再赘述；

S114.使用相关度计算公式对所述主题集进行处理，得到泛在电力物联网的网络安全本体；所述相关度计算公式为：

其中，rel表示概念c与主题的相关度；Dep(c)表示在以X为根的字数中概念c的深度；Dis(X,c)表示从X到c的路径Path(X,c)上所有边的权重之和；

所述Dis(X，c)＝∑_{a∈Path(X，c)}Weight(a)；

其中，Weight为权重函数；chiNum(a)表示以网络安全本体为树形结构中子节点a的个数；par(a)表示以网络安全本体为树形结构中父母节点的集合。

本实施例中，步骤S2中，根据如下步骤，建立各主机之间的关系路径图：

S21.使用三阶张量X_n×n×m表示所述网络安全知识图谱，并将第k层的张量X_k作为所述网络安全知识图谱中的实体之间的关系k；其中，n以及m分别表示实体以及实体关系的个数；所述第k层的张量X_k可进行如下近似处理：

X_k≈AR_kA^T，k＝1，2，…m

其中，A为n×d的矩阵；d为每个实体具有的特征维数，矩阵中的每行表示一个实体；R_k为d×d的矩阵，表示实体与实体之间的第k种关系；

当e_i和e_j存在关系k时，张量元素X_ijk＝0；其张量的分解问题转化为如下优化问题：

S22.基于三阶张量分解的方法得到所述网络安全知识图谱中实体之间的关系；其中，所述实体包括主机、漏洞以及攻击；所述三阶张量分解使用分解函数f(e_i，r′_k，e_j)进行分解，所述分解函数f(e_i，r′_k，e_j)为：

其中，和/>分别表示实体e_i和e_j在低维向量空间的向量；/>表示关系r_i的关系矩阵；r′_k表示实体e_i和e_j之间的关系；

S23.使用贝叶斯图的概念来描述攻击者组合和利用系统漏洞的路径，节点表示三元组的实体，边表示漏洞利用，叶节点表示攻击者没有能力并且没有进行过先期攻击的属性，因此将其视为网络的入口点，进而得到各主机之间的关系路径图。

本实施例中，步骤S21中，对所述分解函数进行修正，具体包括：

S211.构建所述分解函数的损失模型：

其中，表示整个张量在关系路径分解过程中的损失函数；表示在关系路径上矩阵张量的分解；/>表示为了避免所述损失模型过度拟合二引入的修正过程，λ为修正系数，λ≥0；P表示第i个概率p_i，所述概率p_i为：/>t表示时间，/>以及/>表示为发生事件，H表示主机；

S212.调整所述损失模型中各个参数，使得所述损失模型取得最小值，将取得最小值时设定的矩阵张量分解值作为所述分解函数的修正参数。

本实施例中，所述步骤S3，具体包括：

S31.多次访问所述关系路径图中的主机，进而可以构建主机邻接矩阵u；

S32.将主机邻接矩阵u中两个邻接攻击的直接矩阵A与B输入到运算函数F(X，Y)中，得到一个非直接攻击的矩阵R；所述运算函数F(X，Y)为：

F(X，Y)＝max(a_i0×b_0j，a_i1×b_1j，…，a_in×b_nj)

其中，X与Y为形式参数；a_in与b_nj分别为直接矩阵A与B的矩阵元素，n为矩阵元素个数，i为直接矩阵A的表项，j为直接矩阵B的表项；

S33.对运算函数F(X，Y)进行幂次迭代，得到一个稳定的矩阵U：

U＝F^m(U)

其中，m为函数的幂次迭代数，且m＞1；

S34.利用矩阵U和矩阵R，求解最大概率攻击矩阵L；所述矩阵L的元素表示直接或者间接的概率值，可以获得每对主机各攻击路径中最大成功率；所述攻击矩阵L为：L＝F(U，R)。

本实施例中，步骤S32中，将所述直接矩阵A输入到所述运算函数前，对所述直接矩阵A进行预处理：

S321.设置直接矩阵A为初始攻击信息矩阵；

S322.判断直接矩阵A是否包括相邻攻击矩阵，若是，则进入步骤S323，否则进入步骤S324；

S323.判断直接矩阵A中的表项i与直接矩阵B中的表项j是否相同，若是，则进入步骤S324；若否，则进入步骤S325；

S324.判断成功攻击的概率是否大于表项i的攻击成功率，若是，则进入步骤S325；若否，则不做处理；

S325.更新直接矩阵A中表项i的攻击成功率；所述攻击成功率为p：

p＝p×(p of A to B)；

也即是，将邻接路径上的所有攻击成功概率进行相乘，计算目标主机攻击路径的成功攻击概率，即攻击成功率，经过若干次的交换更新后，所有的主机最终都会知道到达目标网络中任何一个主机的成功攻击率；

S326.输出所述直接矩阵A。

本实施例中，所述步骤S4，具体包括：

S41.利用矩阵索引的方式，从所述最大概率攻击矩阵中查找目标主机的攻击矩阵；

S42.判断所述目标主机的下一跳主机是否为空，若是，则将与所述目标主机直接相邻的攻击路径作为所述目标主机的攻击路径；若否，返回步骤S41。

最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的宗旨和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (3)

1.一种泛在电力物联网场景下攻击路径的生成方法，其特征在于：包括如下步骤：

S1.构建泛在电力物联网的网络安全知识图谱；

根据如下步骤，构建泛在电力物联网的网络安全知识图谱：

S11.构建泛在电力物联网的网络安全本体；

S12.采用线性链条随机场从所述网络安全本体中获取实体、实体关系以及实体属性，建立基础的网络安全知识图谱；其中，所述实体包括主机、漏洞以及攻击；

S13.依据攻击条件以及攻击方式对攻击成功率进行推理，得到新的实体关系或新的实体属性；

S14.将所述新的实体关系或所述新的实体属性添加到所述基础的网络安全知识图谱，得到最新的网络安全知识图谱；

S2.获取所述网络安全知识图谱中各主机之间的关系路径，建立各主机之间的关系路径图；

根据如下步骤，建立各主机之间的关系路径图：

S21.使用三阶张量X_n×n×m表示所述网络安全知识图谱，并将第k层的张量X_k作为所述网络安全知识图谱中的实体之间的关系k；其中，n以及m分别表示实体以及实体关系的个数；

S22.基于三阶张量分解的方法得到所述网络安全知识图谱中实体之间的关系；其中，所述实体包括主机、漏洞以及攻击；所述三阶张量分解使用分解函数f(e_i,r_k ^′,e_j)进行分解，所述分解函数f(e_i,r_k ^′,e_j)为：

其中，和/>分别表示实体e_i和e_j在低维向量空间的向量；/>表示关系r_i的关系矩阵；r_k ^′表示实体e_i和e_j之间的关系；

S23.利用贝叶斯图模型描述攻击者组合和利用漏洞的路径，得到各主机之间的关系路径图；

S3.解析所述各主机之间的关系路径图，得到各主机的攻击信息；

所述步骤S3，具体包括：

S31.访问所述关系路径图中的主机，构建主机邻接矩阵u；

S32.将主机邻接矩阵u中两个邻接攻击的直接矩阵A与B输入到运算函数F(X，Y)中，得到一个非直接攻击的矩阵R；所述运算函数F(X，Y)为：

F(X,Y)＝max(a_i0×b_0j,a_i1×b_1j,…,a_in×b_nj)

其中，X与Y为形式参数；a_in与b_nj分别为直接矩阵A与B的矩阵元素，n为矩阵元素个数，i为直接矩阵A的表项，j为直接矩阵B的表项；

S33.对运算函数F(X,Y)进行幂次迭代，得到一个稳定的矩阵U：

U＝F^m(U)

其中，m为函数的幂次迭代数，且m>1；

S34.利用矩阵U和矩阵R，求解最大概率攻击矩阵L；所述攻击矩阵L为：L＝F(U，R)；

S4.对所述各主机的攻击信息进行处理，得到任意两个主机之间的攻击路径；

所述步骤S4，具体包括：

S41.从所述最大概率攻击矩阵中查找目标主机的攻击矩阵；

S42.判断所述目标主机的下一跳主机是否为空，若是，则将与所述目标主机直接相邻的攻击路径作为所述目标主机的攻击路径；若否，返回步骤S41。

2.根据权利要求1所述的泛在电力物联网场景下攻击路径的生成方法，其特征在于：步骤S11中，构建泛在电力物联网的网络安全本体，具体包括：

S111.采集泛在电力物联网的网络安全领域信息；所述网络安全领域信息包括电网内容以及电网链接；

S112.解析所述电网内容以及所述电网链接分别得到电网内容特征向量以及电网链接特征向量；

S113.对所述电网内容特征向量以及所述电网链接特征向量进行主题分析，得到主题集；

S114.使用相关度计算公式对所述主题集进行处理，得到泛在电力物联网的网络安全本体；所述相关度计算公式为：

其中，rel表示概念c与主题的相关度；Dep(c)表示在以X为根的字数中概念c的深度；Dis(X,c)表示从X到c的路径Path(X,c)上所有边的权重之和；

所述Dis(X,c)＝∑_{a∈Path(X,c)}Weight(a)；

其中，Weight为权重函数；chiNum(a)表示以网络安全本体为树形结构中子节点a的个数；par(a)表示以网络安全本体为树形结构中父母节点的集合。

3.根据权利要求1所述的泛在电力物联网场景下攻击路径的生成方法，其特征在于：步骤S32中，将所述直接矩阵A输入到所述运算函数前，对所述直接矩阵A进行预处理：

S321.设置直接矩阵A为初始攻击信息矩阵；

S322.判断直接矩阵A是否包括相邻攻击矩阵，若是，则进入步骤S323，否则进入步骤S324；

S323.判断直接矩阵A中的表项i与直接矩阵B中的表项j是否相同，若是，则进入步骤S324；若否，则进入步骤S325；

S324.判断成功攻击的概率是否大于表项i的攻击成功率，若是，则进入步骤S325；若否，则不做处理；

S325.更新直接矩阵A中表项i的攻击成功率：

p′＝p×(pofAtoB)；

其中，p′为直接矩阵A中表项i更新后的攻击成功率，p表示直接矩阵A中表项i更新前的攻击成功率，p of A to B表示邻接路径上的所有攻击成功概率；

S326.输出所述直接矩阵A。