CN113037776A

CN113037776A - 一种电力系统信息资产安全监控方法

Info

Publication number: CN113037776A
Application number: CN202110356612.4A
Authority: CN
Inventors: 侯波涛; 卢宁; 刘欣; 郭禹伶; 郗波; 王颖
Original assignee: State Grid Corp of China SGCC; Electric Power Research Institute of State Grid Hebei Electric Power Co Ltd
Current assignee: State Grid Corp of China SGCC; Electric Power Research Institute of State Grid Hebei Electric Power Co Ltd
Priority date: 2021-04-01
Filing date: 2021-04-01
Publication date: 2021-06-25

Abstract

本发明公开了一种电力系统信息资产安全监控方法，包括最大攻击概率路径预测、基于攻击图的网络攻击意图识别和基于遗传算法的防御方案生成的步骤。利用因果知识网络预测最大攻击概率路径；基于攻击图的网络攻击意图识别中，首先分析攻击路径图中起始节点到攻击目标节点的最小顶点割集，然后采用措施消除最小顶点割集的这些节点，阻止该攻击意图的实现，从而达到增强网络安全的目的。本发明能够实现电力系统信息资产的安全监控，增强了电力系统中信息资产的安全性，有效应对网路系统中存在漏洞，降低安全风险，保护企业的核心资产。

Description

一种电力系统信息资产安全监控方法

技术领域

本发明属于信息资产安全技术领域，具体涉及一种电力系统信息资产安全监控方法。

背景技术

信息资产是能够转化为企业利润的商品化信息，其作为企业的一种特殊资产，在企业的生产经营中扮演着越来越重要的角色。尤其是涉及到国计民生和社会稳定的关键系统，其所涉及的信息资产更加重要。《国家信息化领导小组关于加强信息安全保障工作的意见》中明确指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要系统”。

攻击路径是从攻击发起点到攻击目标的一条攻击链路，是攻击者达成攻击目的的一个攻击序列。针对攻击路径的分析和研究，有助于分析攻击者的真实意图、分析当前网络存在的漏洞以及漏洞间的利用关系等。由于攻击图能够反映攻击的发生和发展，故对攻击路径的分析，通常依托于攻击图。现有技术中并没有实现对电力系统信息资产安全进行有效监控的方法。

发明内容

本发明针对上述现有技术中的不足，提供一种电力系统信息资产安全监控方法。

本发明提供了一种电力系统信息资产安全监控方法，包括最大攻击概率路径预测、基于攻击图的网络攻击意图识别和基于遗传算法的防御方案生成的步骤；

S1：最大攻击概率路径预测

利用因果知识网络预测最大攻击概率路径，将因果知识网络(CKN，causalknowledge net)定义为：CKN＝(N,E,Δ)，CKN为有向无环图；

其中，N＝{S∪A∪AS∪AE}为节点集合，S＝{s_i|i＝1,...,n}为状态节点集合，节点s_i的变量取值为true或false，表示攻击者是否占有资源；A＝{a_i|i＝1,...,m}为攻击行为节点集合，节点a_i的变量取值为true或false，表示当前攻击行为是否已经发生；AS＝{as_i|i＝1，…，n}为状态型告警节点集合；定义映射f_AS→S:as_i→s_i(i＝1,...,n)，表示一个状态型告警as_i能且仅能证明一个状态节点s_i的变量取值为true；AE＝{ae_i|i＝1,…,m}为事件型告警节点集合；定义映射f_AE→A:ae_i→a_i(i＝1,...,m)，表示一个事件型告警ae_i能且仅能反映一个攻击节点a_i发生的概率；

E为有向边集合，E＝{E₁∪E₂∪E₃∪E₄}；其中，

表示只有攻击者占有某些资源，攻击行为才能发生；

表示攻击行为能够使攻击者占有某些资源；

表示状态型告警能够证明某个状态为true；

表示事件型告警能够推断某个攻击行为已经发生；

Δ为概率知识分布，Δ＝(Δ₁,Δ₂,Δ₃,Δ₄)；其中，Δ₁是依附于有向边E₁上的概率知识，Δ₁(ij)表示在状态s_i下可能发生后续攻击a_j的概率；Δ₂是依附于有向边E₂上的概率知识，Δ₂(ij)表示在攻击行为a_i发生后达到下一状态s_j的概率；Δ₃是依附于有向边E₃上的概率知识，Δ₃(i)表示状态型告警as_i出现时能证明状态s_i为true的概率；Δ₄是依附于有向边E₄上的概率知识，Δ₄(i)表示事件型告警ae_i出现时能证明攻击行为a_i发生的概率；

告警迹Alarm＝(AS,AE)，其中，AS为状态型告警集合，AE为事件型告警集合；攻击迹Attack_T＝(S_T,A′,A″)，用来刻画T时刻已发生的攻击行为；其中，S_T表示T时刻因果知识网络中状态为true的状态节点集合；A′为已经发生但失败的攻击行为节点集合，设置ε为判定攻击行为发生的阈值，即当攻击行为a_i的发生概率Δ₁(a_i)>ε时，判定a_i发生，反之认为a_i没有发生；A″为发生且成功的攻击行为节点集合；

通过分析已发生的攻击行为，借助因果知识网络，利用概率知识进行攻击路径预测；通过告警映射识别已发生的攻击行为，即实时攻击迹，然后根据攻击迹动态推断攻击者能力等级，进而自适应地调整概率知识分布，最后利用概率推理确定最有可能的后续攻击路径；

告警迹是通过融合多源IDS的告警并进行漏报误报处理后的告警集合；攻击迹反映了攻击者已完成的攻击行为，作为推断攻击者能力等级的依据，是预测攻击者后续攻击路径的基础；实时攻击迹获取是在CKN的基础上建立由实时告警迹Alarm_T到实时攻击迹Attack_T的映射；由同一攻击行为结果推断出的攻击者能力等级的概率分布正比于攻击者实施此攻击成功或失败的概率分布；

定义概率邻接矩阵G，设CKN有n个状态型节点，则G是一个n×n的矩阵，gij表示从状态型节点i到状态型节点j的攻击行为，Post(i)为状态型节点i关联的攻击行为集合，Pre(j)为状态型节点j关联的攻击行为集合，如果

即表示没有攻击行为节点使状态由i转移到j，则gij＝0；如果Post(i)∩Pre(j)＝aij，即存在攻击行为aij能使状态由i转移到j，则gij＝Δ12(aij)；

S2：基于攻击图的网络攻击意图识别

首先分析攻击路径图中起始节点到攻击目标节点的最小顶点割集，然后采用措施消除最小顶点割集的这些节点，阻止该攻击意图的实现，从而达到增强网络安全的目的；

S2.1：构造最大两两顶点不相交路径；

S2.1.1将正在进行攻击的路径图作为一个流网络，把该流网络每条边的容量设为1；

S2.1.2在当前使用的残留网络中找到所有的增广路径；

S2.1.3在原来的流网络中添加增广路径，从而构造出新的流网络；

S2.1.4重复步骤S2.1.2和S2.1.3，直到找出所有的增广路径；

S2.1.5删除无流的边，余下的u-v路径就是网络图的最大两两边不相交路径；

S2.2：最小顶点割

设PATH^*为PATH的补集，PATH是Graph最大两两顶点不相交u-v的路径集合，其共有b条路径，则b为其最小顶点割的势，其中第i条路径共有d_i个内顶点；MinCut是有向Graph(VERTEX,EDGE)的一个最小顶点割，则对于vertex∈MinCut，必然有路径path经过顶点vertex，且path∈PATH；则从有向图最大两两顶点不相交的u-v路径得到u-v的最小顶点割的算法如下：

S2.2.1在各路径path_i∈PATH中，1≤i≤b，通过选取各节点依次形成具有b个元素的顶点集合共m个，记VERTEX₁，…，VERTEX_m，其中

S2.2.2取PATH^*中的路径path，然后检查全部的VERTEX_j集合，如果path不从集合VERTEX_j中的任意顶点经过，则舍去VERTEX_j；

S2.2.3对PATH^*中所有的路径path执行S2.2.2后，余下的顶点集合就是所求的最小顶点割；

S2.3：基于最小割的攻击意图阻止；

记m个最小顶点割分别为VERTEX₁，…，VERTEX_m，各个最小顶点割集均有b个顶点元素；由于有向图能够取主机级、安全域级和脆弱性级的攻击路径图，所以vertex可分为代表主机、安全和脆弱性的域节点；设最小割集VERTEX_i中的第j个顶点元素为vertex_ij，去掉节点vertex_ij的金钱成本、时间成本、人力成本以及关闭服务、主机和安全域造成的损失成本总和是f(vertex_ij)；最优的防护措施就是移除成本最低的最小顶点割集，具体如下式所示：

S3：基于遗传算法的防御方案生成

通过分析资产间的漏洞关系，构造攻击图，并基于遗传算法给出最优防御方案，防御方案生成方法为：

S3.1初始化攻击图，包括：进行风险计算的概率和资产价值，防御任务对应的防御成本和覆盖属性；

S3.2设i为迭代次数，若i＝0，随机初始化防御任务集种群P_i，种群数为N；若i>0，对种群P_i进行选择、交叉和变异，生成新种群Q_i，种群数为N；

S3.3合并种群P_i和Q_i得到种群R_i，R_i种群的数量为2N；

S3.4对R_i进行非劣排序；

S3.5对排序之后的R_i按照拥挤距离从大到小进行排序，选取排序之后的前N个个体形成新种群P_i+1；

S3.6判断i是否等于终止进化代数，若等于，则终止进化；否则跳转到S3.2。

进一步地，攻击路径预测算法中，输入为概率邻接矩阵G，特殊攻击行为节点列表L，攻击目标S[y]以及T时刻的攻击迹AttackT；输出为最大可能攻击路径Path及攻击成功的概率MaxProb。

进一步地，在步骤S3.4中，非劣排序和拥挤距离计算使用NAGA-II算法。

与现有技术相比，本发明能够实现电力系统信息资产的安全监控，增强了电力系统中信息资产的安全性，有效应对网路系统中存在漏洞，降低安全风险，保护企业的核心资产。

具体实施方式

下面结合实施例对本发明作进一步说明。

实施例一：

一种电力系统信息资产安全监控方法，包括最大攻击概率路径预测、基于攻击图的网络攻击意图识别和基于遗传算法的防御方案生成的步骤；

步骤一：最大攻击概率路径预测

基于因果知识网络的最大攻击概率路径预测方法，将因果知识网络(CNK，causalknowledge net)定义为：CKN＝(N,E,Δ)，CKN为有向无环图；

其中，N＝{S∪A∪AS∪AE}为节点集合，S＝{s_i|i＝1,...,n}为状态节点集合，节点s_i的变量取值为true或false，表示大年攻击者是否占有该资源。A＝{a_i|i＝1,...,m}为攻击行为节点集合，节点a_i的变量取值为true或false，表示当前攻击行为是否已经发生。AS＝{as_i|i＝1，…，n}为状态型告警节点集合。定义映射f_AS→S:as_i→s_i(i＝1,...,n)，表示一个状态型告警as_i能且仅能证明一个状态节点s_i的变量取值为true。AE＝{ae_i|i＝1,…,m}为事件型告警节点集合。定义映射f_AE→A:ae_i→a_i(i＝1,...,m)，表示一个事件型告警ae_i能且仅能反映一个攻击节点a_i发生的概率；

E为有向边集合，E＝{E₁∪E₂∪E₃∪E₄}。其中，

表示只有攻击者占有某些资源，攻击行为才能发生；

表示攻击行为能够使攻击者占有某些资源；

表示状态型告警能够证明某个状态为true；

表示事件型告警能够推断某个攻击行为已经发生；

Δ为概率知识分布，Δ＝(Δ₁,Δ₂,Δ₃,Δ₄)。其中，Δ₁是依附于有向边E₁上的概率知识，Δ₁(ij)表示在状态s_i下可能发生后续攻击a_j的概率。Δ₂是依附于有向边E₂上的概率知识，Δ₂(ij)表示在攻击行为a_i发生后达到下一状态s_j的概率。Δ₃是依附于有向边E₃上的概率知识，Δ₃(i)表示状态型告警as_i出现时能证明状态s_i为true的概率。Δ₄是依附于有向边E₄上的概率知识，Δ₄(i)表示事件型告警ae_i出现时能证明攻击行为a_i发生的概率；

告警迹Alarm＝(AS,AE)，其中，AS为状态型告警集合，AE为事件型告警集合；

攻击迹Attack_T＝(S_T,A’,A”)，用来刻画T时刻已发生的攻击行为。其中，S_T表示T时刻因果知识网络中状态为true的状态节点集合；A′为已经发生但失败的攻击行为节点集合，本文设置ε为判定攻击行为发生的阈值，即当攻击行为a_i的发生概率Δ₁(a_i)>ε时，判定a_i发生，反之认为a_i没有发生；A″为发生且成功的攻击行为节点集合；

通过分析已发生的攻击行为，借助因果知识网络，利用概率知识进行攻击路径预测；

通过告警映射识别已发生的攻击行为，即实时攻击迹，然后根据攻击迹动态推断攻击者能力等级，进而自适应地调整概率知识分布，最后利用概率推理确定最有可能的后续攻击路径；

告警迹是通过融合多源IDS的告警并进行漏报误报处理后的告警集合；

攻击迹反映了攻击者已完成的攻击行为，作为推断攻击者能力等级的依据，是预测攻击者后续攻击路径的基础；

实时攻击迹获取是在CKN的基础上建立由实时告警迹Alarm_T到实时攻击迹Attack_T的映射；

由同一攻击行为结果推断出的攻击者能力等级的概率分布正比于攻击者实施此攻击成功或失败的概率分布。

定义概率邻接矩阵G，设CKN有n个状态型节点，则G是一个n×n的矩阵，gij表示从状态型节点i到状态型节点j的攻击行为，如果

步骤二：基于攻击图的网络攻击意图识别技术

采取一定措施，降低发生概率高、危害程度大的攻击意图的实现概率是提高网络安全的重要途径。为使采取的补救措施最少，首先分析攻击路径图中起始节点到攻击目标节点的最小顶点割集，然后采用一定措施消除最小顶点割集的这些节点，就可以阻止该攻击意图的实现，从而达到增强网络安全的目的。

1)构造最大两两顶点不相交路径

(1)将正在进行攻击的路径图作为一个流网络，把该流网络每条边的容量设为1；

(2)在当前使用的残留网络中找到所有的增广路径；

(3)在原来的流网络中添加增广路径，从而构造出新的流网络；

(4)重复步骤(2)，(3)，直到找出所有的增广路径；

(5)删除无流的边，余下的u-v路径就是网络图的最大两两边不相交路径。

2)最小顶点割

设PATH^*为PATH的补集，PATH是Graph最大两两顶点不相交u-v的路径集合，其共有b条路径，则b为其最小顶点割的势，其中第i条路径共有d _i 个内顶点。MinCut是有向Graph(VERTEX,EDGE)的一个最小顶点割，则对于vertex∈MinCut，必然有路径path经过顶点vertex，且path∈PATH。根据上述假设，则从有向图最大两两顶点不相交的u-v路径得到u-v的最小顶点割的算法如下：

(1)在各路径path_i∈PATH中，1≤i≤b，通过选取各节点依次形成具有b个元素的顶点集合共m个，记VERTEX₁，…，VERTEX_m，其中

(2)取PATH^*中的路径path，然后检查全部的VERTEX_j集合，如果path不从集合VERTEX_j中的任意顶点经过，则舍去VERTEX_j；

(3)对PATH^*中所有的路径path执行步骤2后，余下的顶点集合就是所求的最小顶点割。

3)基于最小割的攻击意图阻止

为阻止攻击者的入侵，可在攻击路径图中，通过切断通往意图的全部路径来实现网络安全防护的目标，而最经济有效的方法就是移除攻击路径图中的所有最小顶点割集。

记m个最小顶点割分别为VERTEX₁，…，VERTEX_m，各个最小顶点割集均有b个顶点元素。由于有向图能够取主机级、安全域级和脆弱性级的攻击路径图，所以vertex可分为代表主机、安全和脆弱性的域节点。设最小割集VERTEX_i中的第j个顶点元素为vertex_ij，去掉节点vertex_ij的金钱成本、时间成本、人力成本以及关闭服务、主机和安全域造成的损失成本总和是f(vertex_ij)。最优的防护措施就是移除成本最低的最小顶点割集，具体如下式所示：

步骤三：基于遗传算法的防御方案生成方法

通过分析资产间的漏洞关系，构造攻击图，并基于遗传算法给出最优防御方案。下面将从模型和算法两个角度给出防御方案生成方法。

1)模型定义

攻击图为有向无环图，用ε_MPAG表示，ε_MPAG＝(S,E,R,P)，其中S是攻击图的属性节点，E是攻击图利用动作节点，R表示属性节点和利用动作节点间关系，P表示攻击图中属性节点和动作节点间转换的概率。

攻击图节点间存在两种关系，属性节点之间的与关系R_con和利用节点之间的或关系R_dis。属性节点间与关系表示一条利用规则；利用节点或关系表示多条利用规则。当攻击图中某节点的父节点间是与关系时，通过下式计算该节点的条件概率分布。

当某节点的父节点间是或关系时，通过下式计算该节点的条件概率分布。

pa(N_j)表示N_j父节点集，e_i表示节点之间的转换概率P_ex或P_suc。

2)攻击规则及其形式化描述

从三个维度对漏洞分类：基于源主机和目的主机之间的关系(利用范围)，将漏洞分为本地漏洞和远程漏洞；参考CVE漏洞库，基于利用行为产生的效果，将漏洞分为信息泄露、权限提升和拒绝服务三类。

通过总结已知漏洞利用规则共性，提取漏洞利用规则的通用前件和后件，给出漏洞利用规则的形式化描述。远程漏洞利用规则R_rule形式化描述如下：

S_rpre即远程漏洞利用规则的前件，包括主机服务s_hs，主机连接s_hc，主机权限s_hp，主机漏洞s_hv，扩展特性s_ex以及远程漏洞利用动作E_r；S_rpost为规则后件，包括主机权限s_hp，主机文件状态s_hf，主机服务状态s_s以及扩展效果s_ex。远程漏洞利用动作E_r包括：远程提权e_krpe，远程DDoS e_krddos，远程信息泄露e_krfile和远程扩展利用动作e_krex。

3)攻击图生成算法

4)防御方案生成算法

下面先给出防御任务优选算法的思路和伪代码。算法思路如下：

a)初始化攻击图，包括：进行风险计算的概率和资产价值，防御任务对应的防御成本和覆盖属性；

b)设i为迭代次数，若i＝0，随机初始化防御任务集种群P_i，种群数为N；若i>0，对种群P_i进行选择、交叉和变异，生成新种群Q_i，种群数为N；

c)合并种群P_i和Q_i得到种群R_i，R_i种群的数量为2N；

d)对R_i进行非劣排序，非劣排序的具体方法可参考NAGA-II算法；

e)对排序之后的R_i按照拥挤距离从大到小进行排序，计算拥挤距离的具体方法可参考NSGA-II算法，选取排序之后的前N个个体形成新种群P_i+1；

f)判断i是否等于终止进化代数，若等于，则终止进化；否则跳转到b)。

算法的伪代码如下：

以上所述仅为本发明的较佳实施例而已，并不以本发明为限制，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

1.一种电力系统信息资产安全监控方法，其特征在于，包括最大攻击概率路径预测、基于攻击图的网络攻击意图识别和基于遗传算法的防御方案生成的步骤，具体为：

步骤S1：最大攻击概率路径预测,所述最大攻击概率路径预测为利用因果知识网络预测最大攻击概率路径；

步骤S2：基于攻击图的网络攻击意图识别，首先分析攻击路径图中起始节点到攻击目标节点的最小顶点割集，然后采用措施消除最小顶点割集的这些节点，阻止该攻击意图的实现，从而达到增强网络安全的目的；

步骤S3：基于遗传算法的防御方案生成，通过分析资产间的漏洞关系，构造攻击图，并基于遗传算法给出最优防御方案。

2.根据权利要求1所述的电力系统信息资产安全监控方法，其特征在于，所述最大攻击概率路径预测具体为：

利用因果知识网络预测最大攻击概率路径，将因果知识网络(CKN，causal knowledgenet)定义为：CKN＝(N,E,Δ)，CKN为有向无环图；

其中，N＝{S∪A∪AS∪AE}为节点集合，S＝{s_i|i＝1,...,n}为状态节点集合，节点s_i的变量取值为true或false，表示攻击者是否占有所述资源；A＝{a_i|i＝1,...,m}为攻击行为节点集合，节点a_i的变量取值为true或false，表示当前攻击行为是否已经发生；AS＝{as_i|i＝1，…，n}为状态型告警节点集合；定义映射f_AS→S:as_i→s_i(i＝1,...,n)，表示一个状态型告警as_i能且仅能证明一个状态节点s_i的变量取值为true；AE＝{ae_i|i＝1,…,m}为事件型告警节点集合；定义映射f_AE→A:ae_i→a_i(i＝1,...,m)，表示一个事件型告警ae_i能且仅能反映一个攻击节点a_i发生的概率；

E为有向边集合，E＝{E₁∪E₂∪E₃∪E₄}；其中，

表示只有攻击者占有某些资源，攻击行为才能发生；

表示攻击行为能够使攻击者占有某些资源；

表示状态型告警能够证明某个状态为true；

表示事件型告警能够推断某个攻击行为已经发生；

即表示没有攻击行为节点使状态由i转移到j，则gij＝0；如果Post(i)∩Pre(j)＝aij，即存在攻击行为aij能使状态由i转移到j，则gij＝Δ12(aij)。

3.根据权利要求1所述的电力系统信息资产安全监控方法，其特征在于，所述基于攻击图的网络攻击意图识别具体为：

首先分析攻击路径图中起始节点到攻击目标节点的最小顶点割集，然后采用措施消除最小顶点割集的这些节点，阻止该攻击意图的实现，从而达到增强网络安全的目的，包括如下步骤：

S2.1：构造最大两两顶点不相交路径；

S2.2：求最小顶点割；

S2.3：基于最小割的攻击意图阻止。

4.根据权利要求3所述的电力系统信息资产安全监控方法，其特征在于，所述步骤S2.1具体为：

S2.1.2在当前使用的残留网络中找到所有的增广路径；

S2.1.4重复步骤S2.1.2和S2.1.3，直到找出所有的增广路径；

S2.1.5删除无流的边，余下的u-v路径就是网络图的最大两两边不相交路径。

5.根据权利要求3所述的电力系统信息资产安全监控方法，其特征在于，所述步骤S2.2具体为：

设PATH^*为PATH的补集，PATH是Graph最大两两顶点不相交u-v的路径集合，其共有b条路径，则b为其最小顶点割的势，其中第i条路径共有d _i 个内顶点；MinCut是有向Graph(VERTEX,EDGE)的一个最小顶点割，则对于vertex∈MinCut，必然有路径path经过顶点vertex，且path∈PATH；则从有向图最大两两顶点不相交的u-v路径得到u-v的最小顶点割的算法如下：

S2.2.3对PATH^*中所有的路径path执行S2.2.2后，余下的顶点集合就是所求的最小顶点割。

6.根据权利要求3所述的电力系统信息资产安全监控方法，其特征在于，所述步骤S2.3具体为：

7.根据权利要求1所述的电力系统信息资产安全监控方法，其特征在于，所述基于遗传算法的防御方案生成，通过分析资产间的漏洞关系，构造攻击图，并基于遗传算法给出最优防御方案，具体为：防御方案生成方法如下：

S3.3合并种群P_i和Q_i得到种群R_i，R_i种群的数量为2N；

S3.4对R_i进行非劣排序；

8.根据权利要求7所述的电力系统信息资产安全监控方法，其特征在于，所述初始化攻击图具体为：进行风险计算的概率和资产价值，防御任务对应的防御成本和覆盖属性。

9.根据权利要求7所述的电力系统信息资产安全监控方法，其特征在于，在步骤S3.4中，非劣排序和拥挤距离计算使用NAGA-II算法。

10.根据权利要求1所述的电力系统信息资产安全监控方法，其特征在于，所述最大攻击概率路径预测中，输入为概率邻接矩阵G，特殊攻击行为节点列表L，攻击目标S[y]以及T时刻的攻击迹Attack_T；输出为最大可能攻击路径Path及攻击成功的概率MaxProb。