CN113037776A - 一种电力系统信息资产安全监控方法 - Google Patents
一种电力系统信息资产安全监控方法 Download PDFInfo
- Publication number
- CN113037776A CN113037776A CN202110356612.4A CN202110356612A CN113037776A CN 113037776 A CN113037776 A CN 113037776A CN 202110356612 A CN202110356612 A CN 202110356612A CN 113037776 A CN113037776 A CN 113037776A
- Authority
- CN
- China
- Prior art keywords
- attack
- vertex
- path
- probability
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Artificial Intelligence (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种电力系统信息资产安全监控方法,包括最大攻击概率路径预测、基于攻击图的网络攻击意图识别和基于遗传算法的防御方案生成的步骤。利用因果知识网络预测最大攻击概率路径;基于攻击图的网络攻击意图识别中,首先分析攻击路径图中起始节点到攻击目标节点的最小顶点割集,然后采用措施消除最小顶点割集的这些节点,阻止该攻击意图的实现,从而达到增强网络安全的目的。本发明能够实现电力系统信息资产的安全监控,增强了电力系统中信息资产的安全性,有效应对网路系统中存在漏洞,降低安全风险,保护企业的核心资产。
Description
技术领域
本发明属于信息资产安全技术领域,具体涉及一种电力系统信息资产安全监控方法。
背景技术
信息资产是能够转化为企业利润的商品化信息,其作为企业的一种特殊资产,在企业的生产经营中扮演着越来越重要的角色。尤其是涉及到国计民生和社会稳定的关键系统,其所涉及的信息资产更加重要。《国家信息化领导小组关于加强信息安全保障工作的意见》中明确指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要系统”。
攻击路径是从攻击发起点到攻击目标的一条攻击链路,是攻击者达成攻击目的的一个攻击序列。针对攻击路径的分析和研究,有助于分析攻击者的真实意图、分析当前网络存在的漏洞以及漏洞间的利用关系等。由于攻击图能够反映攻击的发生和发展,故对攻击路径的分析,通常依托于攻击图。现有技术中并没有实现对电力系统信息资产安全进行有效监控的方法。
发明内容
本发明针对上述现有技术中的不足,提供一种电力系统信息资产安全监控方法。
本发明提供了一种电力系统信息资产安全监控方法,包括最大攻击概率路径预测、基于攻击图的网络攻击意图识别和基于遗传算法的防御方案生成的步骤;
S1:最大攻击概率路径预测
利用因果知识网络预测最大攻击概率路径,将因果知识网络(CKN,causalknowledge net)定义为:CKN=(N,E,Δ),CKN为有向无环图;
其中,N={S∪A∪AS∪AE}为节点集合,S={si|i=1,...,n}为状态节点集合,节点si的变量取值为true或false,表示攻击者是否占有资源;A={ai|i=1,...,m}为攻击行为节点集合,节点ai的变量取值为true或false,表示当前攻击行为是否已经发生;AS={asi|i=1,…,n}为状态型告警节点集合;定义映射fAS→S:asi→si(i=1,...,n),表示一个状态型告警asi能且仅能证明一个状态节点si的变量取值为true;AE={aei|i=1,…,m}为事件型告警节点集合;定义映射fAE→A:aei→ai(i=1,...,m),表示一个事件型告警aei能且仅能反映一个攻击节点ai发生的概率;
E为有向边集合,E={E1∪E2∪E3∪E4};其中,表示只有攻击者占有某些资源,攻击行为才能发生;表示攻击行为能够使攻击者占有某些资源;表示状态型告警能够证明某个状态为true;表示事件型告警能够推断某个攻击行为已经发生;
Δ为概率知识分布,Δ=(Δ1,Δ2,Δ3,Δ4);其中,Δ1是依附于有向边E1上的概率知识,Δ1(ij)表示在状态si下可能发生后续攻击aj的概率;Δ2是依附于有向边E2上的概率知识,Δ2(ij)表示在攻击行为ai发生后达到下一状态sj的概率;Δ3是依附于有向边E3上的概率知识,Δ3(i)表示状态型告警asi出现时能证明状态si为true的概率;Δ4是依附于有向边E4上的概率知识,Δ4(i)表示事件型告警aei出现时能证明攻击行为ai发生的概率;
告警迹Alarm=(AS,AE),其中,AS为状态型告警集合,AE为事件型告警集合;攻击迹AttackT=(ST,A′,A″),用来刻画T时刻已发生的攻击行为;其中,ST表示T时刻因果知识网络中状态为true的状态节点集合;A′为已经发生但失败的攻击行为节点集合,设置ε为判定攻击行为发生的阈值,即当攻击行为ai的发生概率Δ1(ai)>ε时,判定ai发生,反之认为ai没有发生;A″为发生且成功的攻击行为节点集合;
通过分析已发生的攻击行为,借助因果知识网络,利用概率知识进行攻击路径预测;通过告警映射识别已发生的攻击行为,即实时攻击迹,然后根据攻击迹动态推断攻击者能力等级,进而自适应地调整概率知识分布,最后利用概率推理确定最有可能的后续攻击路径;
告警迹是通过融合多源IDS的告警并进行漏报误报处理后的告警集合;攻击迹反映了攻击者已完成的攻击行为,作为推断攻击者能力等级的依据,是预测攻击者后续攻击路径的基础;实时攻击迹获取是在CKN的基础上建立由实时告警迹AlarmT到实时攻击迹AttackT的映射;由同一攻击行为结果推断出的攻击者能力等级的概率分布正比于攻击者实施此攻击成功或失败的概率分布;
定义概率邻接矩阵G,设CKN有n个状态型节点,则G是一个n×n的矩阵,gij表示从状态型节点i到状态型节点j的攻击行为,Post(i)为状态型节点i关联的攻击行为集合,Pre(j)为状态型节点j关联的攻击行为集合,如果即表示没有攻击行为节点使状态由i转移到j,则gij=0;如果Post(i)∩Pre(j)=aij,即存在攻击行为aij能使状态由i转移到j,则gij=Δ12(aij);
S2:基于攻击图的网络攻击意图识别
首先分析攻击路径图中起始节点到攻击目标节点的最小顶点割集,然后采用措施消除最小顶点割集的这些节点,阻止该攻击意图的实现,从而达到增强网络安全的目的;
S2.1:构造最大两两顶点不相交路径;
S2.1.1将正在进行攻击的路径图作为一个流网络,把该流网络每条边的容量设为1;
S2.1.2在当前使用的残留网络中找到所有的增广路径;
S2.1.3在原来的流网络中添加增广路径,从而构造出新的流网络;
S2.1.4重复步骤S2.1.2和S2.1.3,直到找出所有的增广路径;
S2.1.5删除无流的边,余下的u-v路径就是网络图的最大两两边不相交路径;
S2.2:最小顶点割
设PATH*为PATH的补集,PATH是Graph最大两两顶点不相交u-v的路径集合,其共有b条路径,则b为其最小顶点割的势,其中第i条路径共有di个内顶点;MinCut是有向Graph(VERTEX,EDGE)的一个最小顶点割,则对于vertex∈MinCut,必然有路径path经过顶点vertex,且path∈PATH;则从有向图最大两两顶点不相交的u-v路径得到u-v的最小顶点割的算法如下:
S2.2.2取PATH*中的路径path,然后检查全部的VERTEXj集合,如果path不从集合VERTEXj中的任意顶点经过,则舍去VERTEXj;
S2.2.3对PATH*中所有的路径path执行S2.2.2后,余下的顶点集合就是所求的最小顶点割;
S2.3:基于最小割的攻击意图阻止;
记m个最小顶点割分别为VERTEX1,…,VERTEXm,各个最小顶点割集均有b个顶点元素;由于有向图能够取主机级、安全域级和脆弱性级的攻击路径图,所以vertex可分为代表主机、安全和脆弱性的域节点;设最小割集VERTEXi中的第j个顶点元素为vertexij,去掉节点vertexij的金钱成本、时间成本、人力成本以及关闭服务、主机和安全域造成的损失成本总和是f(vertexij);最优的防护措施就是移除成本最低的最小顶点割集,具体如下式所示:
S3:基于遗传算法的防御方案生成
通过分析资产间的漏洞关系,构造攻击图,并基于遗传算法给出最优防御方案,防御方案生成方法为:
S3.1初始化攻击图,包括:进行风险计算的概率和资产价值,防御任务对应的防御成本和覆盖属性;
S3.2设i为迭代次数,若i=0,随机初始化防御任务集种群Pi,种群数为N;若i>0,对种群Pi进行选择、交叉和变异,生成新种群Qi,种群数为N;
S3.3合并种群Pi和Qi得到种群Ri,Ri种群的数量为2N;
S3.4对Ri进行非劣排序;
S3.5对排序之后的Ri按照拥挤距离从大到小进行排序,选取排序之后的前N个个体形成新种群Pi+1;
S3.6判断i是否等于终止进化代数,若等于,则终止进化;否则跳转到S3.2。
进一步地,攻击路径预测算法中,输入为概率邻接矩阵G,特殊攻击行为节点列表L,攻击目标S[y]以及T时刻的攻击迹AttackT;输出为最大可能攻击路径Path及攻击成功的概率MaxProb。
进一步地,在步骤S3.4中,非劣排序和拥挤距离计算使用NAGA-II算法。
与现有技术相比,本发明能够实现电力系统信息资产的安全监控,增强了电力系统中信息资产的安全性,有效应对网路系统中存在漏洞,降低安全风险,保护企业的核心资产。
具体实施方式
下面结合实施例对本发明作进一步说明。
实施例一:
一种电力系统信息资产安全监控方法,包括最大攻击概率路径预测、基于攻击图的网络攻击意图识别和基于遗传算法的防御方案生成的步骤;
步骤一:最大攻击概率路径预测
基于因果知识网络的最大攻击概率路径预测方法,将因果知识网络(CNK,causalknowledge net)定义为:CKN=(N,E,Δ),CKN为有向无环图;
其中,N={S∪A∪AS∪AE}为节点集合,S={si|i=1,...,n}为状态节点集合,节点si的变量取值为true或false,表示大年攻击者是否占有该资源。A={ai|i=1,...,m}为攻击行为节点集合,节点ai的变量取值为true或false,表示当前攻击行为是否已经发生。AS={asi|i=1,…,n}为状态型告警节点集合。定义映射fAS→S:asi→si(i=1,...,n),表示一个状态型告警asi能且仅能证明一个状态节点si的变量取值为true。AE={aei|i=1,…,m}为事件型告警节点集合。定义映射fAE→A:aei→ai(i=1,...,m),表示一个事件型告警aei能且仅能反映一个攻击节点ai发生的概率;
E为有向边集合,E={E1∪E2∪E3∪E4}。其中,表示只有攻击者占有某些资源,攻击行为才能发生;表示攻击行为能够使攻击者占有某些资源;表示状态型告警能够证明某个状态为true;表示事件型告警能够推断某个攻击行为已经发生;
Δ为概率知识分布,Δ=(Δ1,Δ2,Δ3,Δ4)。其中,Δ1是依附于有向边E1上的概率知识,Δ1(ij)表示在状态si下可能发生后续攻击aj的概率。Δ2是依附于有向边E2上的概率知识,Δ2(ij)表示在攻击行为ai发生后达到下一状态sj的概率。Δ3是依附于有向边E3上的概率知识,Δ3(i)表示状态型告警asi出现时能证明状态si为true的概率。Δ4是依附于有向边E4上的概率知识,Δ4(i)表示事件型告警aei出现时能证明攻击行为ai发生的概率;
告警迹Alarm=(AS,AE),其中,AS为状态型告警集合,AE为事件型告警集合;
攻击迹AttackT=(ST,A’,A”),用来刻画T时刻已发生的攻击行为。其中,ST表示T时刻因果知识网络中状态为true的状态节点集合;A′为已经发生但失败的攻击行为节点集合,本文设置ε为判定攻击行为发生的阈值,即当攻击行为ai的发生概率Δ1(ai)>ε时,判定ai发生,反之认为ai没有发生;A″为发生且成功的攻击行为节点集合;
通过分析已发生的攻击行为,借助因果知识网络,利用概率知识进行攻击路径预测;
通过告警映射识别已发生的攻击行为,即实时攻击迹,然后根据攻击迹动态推断攻击者能力等级,进而自适应地调整概率知识分布,最后利用概率推理确定最有可能的后续攻击路径;
告警迹是通过融合多源IDS的告警并进行漏报误报处理后的告警集合;
攻击迹反映了攻击者已完成的攻击行为,作为推断攻击者能力等级的依据,是预测攻击者后续攻击路径的基础;
实时攻击迹获取是在CKN的基础上建立由实时告警迹AlarmT到实时攻击迹AttackT的映射;
由同一攻击行为结果推断出的攻击者能力等级的概率分布正比于攻击者实施此攻击成功或失败的概率分布。
定义概率邻接矩阵G,设CKN有n个状态型节点,则G是一个n×n的矩阵,gij表示从状态型节点i到状态型节点j的攻击行为,如果即表示没有攻击行为节点使状态由i转移到j,则gij=0;如果Post(i)∩Pre(j)=aij,即存在攻击行为aij能使状态由i转移到j,则gij=Δ12(aij);
步骤二:基于攻击图的网络攻击意图识别技术
采取一定措施,降低发生概率高、危害程度大的攻击意图的实现概率是提高网络安全的重要途径。为使采取的补救措施最少,首先分析攻击路径图中起始节点到攻击目标节点的最小顶点割集,然后采用一定措施消除最小顶点割集的这些节点,就可以阻止该攻击意图的实现,从而达到增强网络安全的目的。
1)构造最大两两顶点不相交路径
(1)将正在进行攻击的路径图作为一个流网络,把该流网络每条边的容量设为1;
(2)在当前使用的残留网络中找到所有的增广路径;
(3)在原来的流网络中添加增广路径,从而构造出新的流网络;
(4)重复步骤(2),(3),直到找出所有的增广路径;
(5)删除无流的边,余下的u-v路径就是网络图的最大两两边不相交路径。
2)最小顶点割
设PATH*为PATH的补集,PATH是Graph最大两两顶点不相交u-v的路径集合,其共有b条路径,则b为其最小顶点割的势,其中第i条路径共有d i 个内顶点。MinCut是有向Graph(VERTEX,EDGE)的一个最小顶点割,则对于vertex∈MinCut,必然有路径path经过顶点vertex,且path∈PATH。根据上述假设,则从有向图最大两两顶点不相交的u-v路径得到u-v的最小顶点割的算法如下:
(2)取PATH*中的路径path,然后检查全部的VERTEXj集合,如果path不从集合VERTEXj中的任意顶点经过,则舍去VERTEXj;
(3)对PATH*中所有的路径path执行步骤2后,余下的顶点集合就是所求的最小顶点割。
3)基于最小割的攻击意图阻止
为阻止攻击者的入侵,可在攻击路径图中,通过切断通往意图的全部路径来实现网络安全防护的目标,而最经济有效的方法就是移除攻击路径图中的所有最小顶点割集。
记m个最小顶点割分别为VERTEX1,…,VERTEXm,各个最小顶点割集均有b个顶点元素。由于有向图能够取主机级、安全域级和脆弱性级的攻击路径图,所以vertex可分为代表主机、安全和脆弱性的域节点。设最小割集VERTEXi中的第j个顶点元素为vertexij,去掉节点vertexij的金钱成本、时间成本、人力成本以及关闭服务、主机和安全域造成的损失成本总和是f(vertexij)。最优的防护措施就是移除成本最低的最小顶点割集,具体如下式所示:
步骤三:基于遗传算法的防御方案生成方法
通过分析资产间的漏洞关系,构造攻击图,并基于遗传算法给出最优防御方案。下面将从模型和算法两个角度给出防御方案生成方法。
1)模型定义
攻击图为有向无环图,用εMPAG表示,εMPAG=(S,E,R,P),其中S是攻击图的属性节点,E是攻击图利用动作节点,R表示属性节点和利用动作节点间关系,P表示攻击图中属性节点和动作节点间转换的概率。
攻击图节点间存在两种关系,属性节点之间的与关系Rcon和利用节点之间的或关系Rdis。属性节点间与关系表示一条利用规则;利用节点或关系表示多条利用规则。当攻击图中某节点的父节点间是与关系时,通过下式计算该节点的条件概率分布。
当某节点的父节点间是或关系时,通过下式计算该节点的条件概率分布。
pa(Nj)表示Nj父节点集,ei表示节点之间的转换概率Pex或Psuc。
2)攻击规则及其形式化描述
从三个维度对漏洞分类:基于源主机和目的主机之间的关系(利用范围),将漏洞分为本地漏洞和远程漏洞;参考CVE漏洞库,基于利用行为产生的效果,将漏洞分为信息泄露、权限提升和拒绝服务三类。
通过总结已知漏洞利用规则共性,提取漏洞利用规则的通用前件和后件,给出漏洞利用规则的形式化描述。远程漏洞利用规则Rrule形式化描述如下:
Srpre即远程漏洞利用规则的前件,包括主机服务shs,主机连接shc,主机权限shp,主机漏洞shv,扩展特性sex以及远程漏洞利用动作Er;Srpost为规则后件,包括主机权限shp,主机文件状态shf,主机服务状态ss以及扩展效果sex。远程漏洞利用动作Er包括:远程提权ekrpe,远程DDoS ekrddos,远程信息泄露ekrfile和远程扩展利用动作ekrex。
3)攻击图生成算法
4)防御方案生成算法
下面先给出防御任务优选算法的思路和伪代码。算法思路如下:
a)初始化攻击图,包括:进行风险计算的概率和资产价值,防御任务对应的防御成本和覆盖属性;
b)设i为迭代次数,若i=0,随机初始化防御任务集种群Pi,种群数为N;若i>0,对种群Pi进行选择、交叉和变异,生成新种群Qi,种群数为N;
c)合并种群Pi和Qi得到种群Ri,Ri种群的数量为2N;
d)对Ri进行非劣排序,非劣排序的具体方法可参考NAGA-II算法;
e)对排序之后的Ri按照拥挤距离从大到小进行排序,计算拥挤距离的具体方法可参考NSGA-II算法,选取排序之后的前N个个体形成新种群Pi+1;
f)判断i是否等于终止进化代数,若等于,则终止进化;否则跳转到b)。
算法的伪代码如下:
以上所述仅为本发明的较佳实施例而已,并不以本发明为限制,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种电力系统信息资产安全监控方法,其特征在于,包括最大攻击概率路径预测、基于攻击图的网络攻击意图识别和基于遗传算法的防御方案生成的步骤,具体为:
步骤S1:最大攻击概率路径预测,所述最大攻击概率路径预测为利用因果知识网络预测最大攻击概率路径;
步骤S2:基于攻击图的网络攻击意图识别,首先分析攻击路径图中起始节点到攻击目标节点的最小顶点割集,然后采用措施消除最小顶点割集的这些节点,阻止该攻击意图的实现,从而达到增强网络安全的目的;
步骤S3:基于遗传算法的防御方案生成,通过分析资产间的漏洞关系,构造攻击图,并基于遗传算法给出最优防御方案。
2.根据权利要求1所述的电力系统信息资产安全监控方法,其特征在于,所述最大攻击概率路径预测具体为:
利用因果知识网络预测最大攻击概率路径,将因果知识网络(CKN,causal knowledgenet)定义为:CKN=(N,E,Δ),CKN为有向无环图;
其中,N={S∪A∪AS∪AE}为节点集合,S={si|i=1,...,n}为状态节点集合,节点si的变量取值为true或false,表示攻击者是否占有所述资源;A={ai|i=1,...,m}为攻击行为节点集合,节点ai的变量取值为true或false,表示当前攻击行为是否已经发生;AS={asi|i=1,…,n}为状态型告警节点集合;定义映射fAS→S:asi→si(i=1,...,n),表示一个状态型告警asi能且仅能证明一个状态节点si的变量取值为true;AE={aei|i=1,…,m}为事件型告警节点集合;定义映射fAE→A:aei→ai(i=1,...,m),表示一个事件型告警aei能且仅能反映一个攻击节点ai发生的概率;
E为有向边集合,E={E1∪E2∪E3∪E4};其中,表示只有攻击者占有某些资源,攻击行为才能发生;表示攻击行为能够使攻击者占有某些资源;表示状态型告警能够证明某个状态为true;表示事件型告警能够推断某个攻击行为已经发生;
Δ为概率知识分布,Δ=(Δ1,Δ2,Δ3,Δ4);其中,Δ1是依附于有向边E1上的概率知识,Δ1(ij)表示在状态si下可能发生后续攻击aj的概率;Δ2是依附于有向边E2上的概率知识,Δ2(ij)表示在攻击行为ai发生后达到下一状态sj的概率;Δ3是依附于有向边E3上的概率知识,Δ3(i)表示状态型告警asi出现时能证明状态si为true的概率;Δ4是依附于有向边E4上的概率知识,Δ4(i)表示事件型告警aei出现时能证明攻击行为ai发生的概率;
告警迹Alarm=(AS,AE),其中,AS为状态型告警集合,AE为事件型告警集合;攻击迹AttackT=(ST,A′,A″),用来刻画T时刻已发生的攻击行为;其中,ST表示T时刻因果知识网络中状态为true的状态节点集合;A′为已经发生但失败的攻击行为节点集合,设置ε为判定攻击行为发生的阈值,即当攻击行为ai的发生概率Δ1(ai)>ε时,判定ai发生,反之认为ai没有发生;A″为发生且成功的攻击行为节点集合;
通过分析已发生的攻击行为,借助因果知识网络,利用概率知识进行攻击路径预测;通过告警映射识别已发生的攻击行为,即实时攻击迹,然后根据攻击迹动态推断攻击者能力等级,进而自适应地调整概率知识分布,最后利用概率推理确定最有可能的后续攻击路径;
告警迹是通过融合多源IDS的告警并进行漏报误报处理后的告警集合;攻击迹反映了攻击者已完成的攻击行为,作为推断攻击者能力等级的依据,是预测攻击者后续攻击路径的基础;实时攻击迹获取是在CKN的基础上建立由实时告警迹AlarmT到实时攻击迹AttackT的映射;由同一攻击行为结果推断出的攻击者能力等级的概率分布正比于攻击者实施此攻击成功或失败的概率分布;
3.根据权利要求1所述的电力系统信息资产安全监控方法,其特征在于,所述基于攻击图的网络攻击意图识别具体为:
首先分析攻击路径图中起始节点到攻击目标节点的最小顶点割集,然后采用措施消除最小顶点割集的这些节点,阻止该攻击意图的实现,从而达到增强网络安全的目的,包括如下步骤:
S2.1:构造最大两两顶点不相交路径;
S2.2:求最小顶点割;
S2.3:基于最小割的攻击意图阻止。
4.根据权利要求3所述的电力系统信息资产安全监控方法,其特征在于,所述步骤S2.1具体为:
S2.1.1将正在进行攻击的路径图作为一个流网络,把该流网络每条边的容量设为1;
S2.1.2在当前使用的残留网络中找到所有的增广路径;
S2.1.3在原来的流网络中添加增广路径,从而构造出新的流网络;
S2.1.4重复步骤S2.1.2和S2.1.3,直到找出所有的增广路径;
S2.1.5删除无流的边,余下的u-v路径就是网络图的最大两两边不相交路径。
5.根据权利要求3所述的电力系统信息资产安全监控方法,其特征在于,所述步骤S2.2具体为:
设PATH*为PATH的补集,PATH是Graph最大两两顶点不相交u-v的路径集合,其共有b条路径,则b为其最小顶点割的势,其中第i条路径共有d i 个内顶点;MinCut是有向Graph(VERTEX,EDGE)的一个最小顶点割,则对于vertex∈MinCut,必然有路径path经过顶点vertex,且path∈PATH;则从有向图最大两两顶点不相交的u-v路径得到u-v的最小顶点割的算法如下:
S2.2.2取PATH*中的路径path,然后检查全部的VERTEXj集合,如果path不从集合VERTEXj中的任意顶点经过,则舍去VERTEXj;
S2.2.3对PATH*中所有的路径path执行S2.2.2后,余下的顶点集合就是所求的最小顶点割。
7.根据权利要求1所述的电力系统信息资产安全监控方法,其特征在于,所述基于遗传算法的防御方案生成,通过分析资产间的漏洞关系,构造攻击图,并基于遗传算法给出最优防御方案,具体为:防御方案生成方法如下:
S3.1初始化攻击图,包括:进行风险计算的概率和资产价值,防御任务对应的防御成本和覆盖属性;
S3.2设i为迭代次数,若i=0,随机初始化防御任务集种群Pi,种群数为N;若i>0,对种群Pi进行选择、交叉和变异,生成新种群Qi,种群数为N;
S3.3合并种群Pi和Qi得到种群Ri,Ri种群的数量为2N;
S3.4对Ri进行非劣排序;
S3.5对排序之后的Ri按照拥挤距离从大到小进行排序,选取排序之后的前N个个体形成新种群Pi+1;
S3.6判断i是否等于终止进化代数,若等于,则终止进化;否则跳转到S3.2。
8.根据权利要求7所述的电力系统信息资产安全监控方法,其特征在于,所述初始化攻击图具体为:进行风险计算的概率和资产价值,防御任务对应的防御成本和覆盖属性。
9.根据权利要求7所述的电力系统信息资产安全监控方法,其特征在于,在步骤S3.4中,非劣排序和拥挤距离计算使用NAGA-II算法。
10.根据权利要求1所述的电力系统信息资产安全监控方法,其特征在于,所述最大攻击概率路径预测中,输入为概率邻接矩阵G,特殊攻击行为节点列表L,攻击目标S[y]以及T时刻的攻击迹AttackT;输出为最大可能攻击路径Path及攻击成功的概率MaxProb。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110356612.4A CN113037776A (zh) | 2021-04-01 | 2021-04-01 | 一种电力系统信息资产安全监控方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110356612.4A CN113037776A (zh) | 2021-04-01 | 2021-04-01 | 一种电力系统信息资产安全监控方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113037776A true CN113037776A (zh) | 2021-06-25 |
Family
ID=76454015
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110356612.4A Pending CN113037776A (zh) | 2021-04-01 | 2021-04-01 | 一种电力系统信息资产安全监控方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113037776A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114553534A (zh) * | 2022-02-22 | 2022-05-27 | 国网河北省电力有限公司电力科学研究院 | 一种基于知识图谱的电网安全漏洞评估方法 |
CN115242614A (zh) * | 2022-09-22 | 2022-10-25 | 北京天融信网络安全技术有限公司 | 网络信息分析方法、装置、设备及介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103746961A (zh) * | 2013-12-12 | 2014-04-23 | 中国人民解放军63928部队 | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 |
CN108769051A (zh) * | 2018-06-11 | 2018-11-06 | 中国人民解放军战略支援部队信息工程大学 | 一种基于告警融合的网络入侵态势意图评估方法 |
CN112311780A (zh) * | 2020-10-23 | 2021-02-02 | 国网吉林省电力有限公司电力科学研究院 | 一种基于多维度攻击路径与攻击图的生成方法 |
-
2021
- 2021-04-01 CN CN202110356612.4A patent/CN113037776A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103746961A (zh) * | 2013-12-12 | 2014-04-23 | 中国人民解放军63928部队 | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 |
CN108769051A (zh) * | 2018-06-11 | 2018-11-06 | 中国人民解放军战略支援部队信息工程大学 | 一种基于告警融合的网络入侵态势意图评估方法 |
CN112311780A (zh) * | 2020-10-23 | 2021-02-02 | 国网吉林省电力有限公司电力科学研究院 | 一种基于多维度攻击路径与攻击图的生成方法 |
Non-Patent Citations (3)
Title |
---|
余洋等: "采用混和路径攻击图的防御方案生成方法", 《浙江大学学报(工学版)》 * |
滕翠等: "基于攻击路径图的网络攻击意图识别技术研究", 《现代电子技术》 * |
王硕等: "基于因果知识网络的攻击路径预测方法", 《通信学报》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114553534A (zh) * | 2022-02-22 | 2022-05-27 | 国网河北省电力有限公司电力科学研究院 | 一种基于知识图谱的电网安全漏洞评估方法 |
CN114553534B (zh) * | 2022-02-22 | 2024-01-23 | 国网河北省电力有限公司电力科学研究院 | 一种基于知识图谱的电网安全漏洞评估方法 |
CN115242614A (zh) * | 2022-09-22 | 2022-10-25 | 北京天融信网络安全技术有限公司 | 网络信息分析方法、装置、设备及介质 |
CN115242614B (zh) * | 2022-09-22 | 2023-01-10 | 北京天融信网络安全技术有限公司 | 网络信息分析方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220124108A1 (en) | System and method for monitoring security attack chains | |
Cui et al. | Tracking phishing attacks over time | |
Sadoddin et al. | Alert correlation survey: framework and techniques | |
CN101778112A (zh) | 一种网络攻击检测方法 | |
Njogu et al. | Using alert cluster to reduce IDS alerts | |
CN111917793B (zh) | 一种攻击链情报分析方法、系统及存储介质 | |
CN113037776A (zh) | 一种电力系统信息资产安全监控方法 | |
Wang et al. | Unified parametrizable attack tree | |
Kashyap et al. | A DDoS attack detection mechanism based on protocol specific traffic features | |
CN114357459A (zh) | 一种面向区块链系统的信息安全检测方法 | |
Maryposonia | An efficient network intrusion detection system for distributed networks using machine learning technique | |
Lagzian et al. | Frequent item set mining-based alert correlation for extracting multi-stage attack scenarios | |
CN115632884B (zh) | 基于事件分析的网络安全态势感知方法与系统 | |
CN111191683A (zh) | 基于随机森林和贝叶斯网络的网络安全态势评估方法 | |
Siraj et al. | A cognitive model for alert correlation in a distributed environment | |
Shinan et al. | BotSward: Centrality Measures for Graph-Based Bot Detection Using Machine Learning. | |
Zhuang et al. | Applying data fusion in collaborative alerts correlation | |
Zhang et al. | A qualitative and quantitative risk assessment method in software security | |
Vennila et al. | Correlated alerts and non-intrusive alerts | |
CN113139878A (zh) | 一种配电自动化主站网络安全风险辨识方法及系统 | |
KR102592868B1 (ko) | 조직에 대한 사이버 보안 위협을 분석하기 위한 방법 및 전자 장치 | |
Xu et al. | Development of computer network security management technology based on artificial intelligence under big data | |
Byers et al. | Real-time fusion and projection of network intrusion activity | |
Wang et al. | Anomaly Analysis of Blockchain-based Decentralized Applications of Transportation | |
Alrehaili et al. | An Attack Scenario Reconstruction Approach Using Alerts Correlation and a Dynamic Attack Graph |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210625 |
|
RJ01 | Rejection of invention patent application after publication |