CN114866325A - 电力系统网络攻击的预测方法 - Google Patents

电力系统网络攻击的预测方法 Download PDF

Info

Publication number
CN114866325A
CN114866325A CN202210507922.6A CN202210507922A CN114866325A CN 114866325 A CN114866325 A CN 114866325A CN 202210507922 A CN202210507922 A CN 202210507922A CN 114866325 A CN114866325 A CN 114866325A
Authority
CN
China
Prior art keywords
attack
service
alarm
vulnerability
probability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210507922.6A
Other languages
English (en)
Other versions
CN114866325B (zh
Inventor
朱宏宇
张博
刘力
田建伟
林海
田峥
陈乾
孙毅臻
罗伟强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Hunan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Hunan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Hunan Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202210507922.6A priority Critical patent/CN114866325B/zh
Publication of CN114866325A publication Critical patent/CN114866325A/zh
Application granted granted Critical
Publication of CN114866325B publication Critical patent/CN114866325B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种电力系统网络攻击的预测方法,包括获取待预测的电力系统的网络告警日志并进行预处理和聚类得到告警事件集;计算得到信息节点漏洞威胁度、信息节点业务重要度和信息节点潮流重要度;计算信息节点重要度;构建改进型隐马尔科夫攻击概率模型并优化得到修正型隐马尔科夫攻击概率模型;根据信息节点重要度和修正型隐马尔科夫攻击概率模型对电力系统的网络攻击进行预测。本发明方法避免了因评价指标单一导致信息节点重要度评估不合理的问题,有效提升了隐马尔科夫模型攻击预测的准确率,提高了攻击预测效率;因此本发明方法的可靠性高、准确性好且效率较高。

Description

电力系统网络攻击的预测方法
技术领域
本发明属于电力系统网络安全技术领域,具体涉及一种电力系统网络攻击的预测方法。
背景技术
随着经济技术的发展和人们生活水平的提高,电能已经成为了人们生产和生活中必不可少的二次能源,给人们的生产和生活带来了无尽的便利。因此,保障电能的稳定可靠供应,就成为了电力系统最重要的任务之一。但是,近年来全球电力系统网络攻击事件频发,严重影响了电力系统的安全稳定运行。因此,对于电力系统网络攻击的预测,就显得尤为重要。
目前,针对电力系统网络攻击的预测方法,存在信息节点重要度评价指标单一,告警数据挖掘不充分的问题,这使得现在的电力系统网络攻击的预测方法的正确率不高,可靠性较差,从而给电力系统的安全稳定运行带来了严重的影响。
发明内容
本发明的目的在于提供一种可靠性高、准确性好且效率较高的电力系统网络攻击的预测方法。
本发明提供的这种电力系统网络攻击的预测方法,包括如下步骤:
S1.获取待预测的电力系统的网络告警日志;
S2.对步骤S1获取的网络告警日志进行预处理和聚类,从而得到告警事件集;
S3.根据CVSS系统评分法,计算得到信息节点漏洞威胁度;
S4.根据三标度AHP法,计算得到信息节点业务重要度;
S5.根据直流潮流法,计算得到信息节点潮流重要度;
S6.根据得到的信息节点漏洞威胁度、信息节点业务重要度和信息节点潮流重要度,计算得到信息节点重要度;
S7.根据步骤S2得到的告警事件集和隐马尔科夫模型,构建改进型隐马尔科夫攻击概率模型;
S8.对步骤S7构建的改进型隐马尔科夫攻击概率模型进行优化,从而得到修正型隐马尔科夫攻击概率模型;
S9.根据得到的信息节点重要度和修正型隐马尔科夫攻击概率模型,对电力系统的网络攻击进行预测。
步骤S2所述的对步骤S1获取的网络告警日志进行预处理和聚类,从而得到告警事件集,具体包括如下步骤:
将获取的网络告警日志中的错误告警日志和异常告警日志删除,然后设定时间窗并清除时间窗内的重复告警日志,得到告警日志预处理集Op
将告警日志预处理集Op中的告警日志进行格式统一处理,得到格式相同的告警日志统一集Ou
采用K-means聚类算法,对告警日志统一集Ou进行聚类,得到告警日志聚类集Oc;聚利时,采用如下算式计算告警日志之间的属性相似度S(X,Y):
Figure BDA0003636804510000021
式中S(X,Y)为告警日志X和Y之间的属性相似度;X和Y为告警日志统一集Ou中的两条不同的告警日志;n为每条告警日志的属性种类总数;i为告警日志的第i个字段编号;wi为第i个属性的权值;s(Xi,Yi)为告警日志X和Y之间第i个属性的相似度;Xi为告警日志X的第i个属性,Yi为告警日志Y的第i个属性;
按照故障类型将聚类后的各簇告警日志进行分类,得到告警日志分类集合Or
在告警日志分类集合Or中,将每类中相似度高于设定值的告警日志划分为同一类,得到告警日志再分类集合
Figure BDA0003636804510000031
将告警日志再分类集合
Figure BDA0003636804510000032
中每一类告警,按照区间并集法,以设定时长为时间窗长度,将时间窗内所有告警合并成一个告警事件,得到最终的告警事件集O。
步骤S3所述的根据CVSS系统评分法,计算得到信息节点漏洞威胁度,具体包括如下步骤:
A.获取待预测的电力系统的漏洞可用性因子分数ISC、漏洞影响因子分数ESC、漏洞代码成熟度ECM、漏洞修复水平RL和漏洞报告可信度RC;
B.根据获取的漏洞可用性因子分数ISC和漏洞影响因子分数ESC,采用如下规则计算漏洞基础评分BS:
若ISC≤0或ISC>1,则BS=0;
若0<ISC≤1且漏铜仅影响含有该漏洞的组件,则BS=min[(ESC+6.42*ISC),10];
若0<ISC≤1且漏洞能够影响含有该漏洞组件权限外的资源,则BS=min[1.08(ESC+6.42*ISC),10];
C.根据获取的漏洞代码成熟度ECM、漏洞修复水平RL、漏洞报告可信度RC和漏洞基础评分BS,计算得到漏洞时效性评分TS为TS=BS*ECM*RL*RC;
D.根据漏洞时效性评分TS和漏洞实际运行环境特征,采用如下规则计算得到漏洞环境评分ES:
若ISCM≤0或ISCM>1,则ES=0;
若0<ISCM≤1且漏洞仅影响含有该漏洞的组件,则
ES=Roundup(min[(ESCM+6.42ISCM),10])*ECM*RL*RC
若0<ISCM≤1且漏洞能够影响含有该漏洞组件权限外的资源,则
ES=Roundup(min[1.08*(ESCM+6.42ISCM),10])*ECM*RL*RC
式中ISCM为更改后的漏洞可用性因子分数,ESCM为更改后的漏洞影响因子分数;Roundup()为向上取整函数;
E.根据得到的漏洞基础评分BS、漏洞时效性评分TS和漏洞环境评分ES,计算信息节点的漏铜威胁度Iv为Iv=BS+TS+ES。
步骤S4所述的根据三标度AHP法,计算得到信息节点业务重要度,具体包括如下步骤:
a.根据信息节点承载业务的服务质量和安全性,构建业务评价指标体系;
其中业务评价指标体系包括服务质量指标和安全性指标;服务质量指标包括安全分区指标、时延要求指标、误码率指标、实时性指标和可靠性指标;安全性指标包括隔离方式指标和认证方式指标;
信息节点承载业务包括生产一区业务、生产二区业务、管理三区业务和管理四区业务;生产一区业务包括继电保护系统业务、安稳系统业务和调度自动化系统业务;生产二区业务包括广域相量测量系统业务、电能计量系统业务、故障录波与测距系统业务、配电网运行监控系统业务、通信网管系统业务和电力市场运营系统业务;管理三区业务包括监视管理系统业务、变电站视频监视系统业务、输电线路监视系统业务、光缆检测系统业务和电能检测系统业务;管理四区业务包括视频会议系统业务、办公信息系统业务、财务管理系统业务、营销管理系统业务、工程管理系统业务、生产管理信息系统业务、人力资源管理系统业务、物资管理系统业务和综合管理信息系统业务;
b.根据国家标准和电力行业标准对信息节点不同业务的要求,构建业务评价指标量化表;
业务评价指标量化表如下:
评分:1分;安全分区:管理四区;时延:大于15min;误码率:小于等于10-3;实时性:低;可靠性:低;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:2分;安全分区:管理四区;时延:小于等于15min;误码率:小于等于10-3;实时性:高;可靠性:高;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:3分;安全分区:管理三区;时延:小于等于1s;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:应用型防火墙;认证方式:IP认证;
评分:4分;安全分区:管理三区;时延:小于等于250ms;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:5分;安全分区:管理三区;时延:小于等于150ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:6分;安全分区:生产二区;时延:小于等于100ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:7分;安全分区:生产二区;时延:小于等于30ms;误码率:小于等于10-7;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:8分;安全分区:生产一区;时延:小于等于10ms;误码率:小于等于10-9;实时性:极高;可靠性:极高;隔离方式:正向/反向隔离;认证方式:专线加密;
c.根据业务评价指标量化表,计算得到每种业务的业务评分s为
Figure BDA0003636804510000061
式中i为业务评价指标;n为业务评价指标的总数;ξi为第i种业务评价指标的评分;
d.采用三标度AHP法对同一节点的不同业务赋权值,得到第j种业务的业务权重值ωj,然后结合每种业务的业务评分s,计算得到信息节点业务重要度Ib
Figure BDA0003636804510000062
式中sj为第j中业务的业务评分。
步骤S5所述的根据直流潮流法,计算得到信息节点潮流重要度,具体包括如下步骤:
根据待预测的电力系统的系统拓扑结构和节点信息,计算各支路上的有功功率Pl
Figure BDA0003636804510000063
式中Pl为支路l上的有功功率;i和j为支路l的两个端点的节点编号;xl为支路l的阻抗;θi为节点i的电压相角;θj为节点j的电压相角;
根据各个支路的有功功率Pl,计算各个支路的权系数wl
Figure BDA0003636804510000071
式中Pr为第r条支路的有功功率;r为支路的编号;n为支路的总数;
将单个信息节点所控制范围内的所有支路断开,形成新的网络拓扑结构,并重新计算新的网络拓扑结构下的每条支路的有功功率P’l
根据信息节点所控制支路全部断开后对网络潮流的影响程度,采用如下算式计算得到信息节点潮流重要度If
Figure BDA0003636804510000072
式中L为新的网络拓扑结构中的支路总数;
Figure BDA0003636804510000075
为支路l的最大传输容量。
步骤S6所述的根据得到的信息节点漏洞威胁度、信息节点业务重要度和信息节点潮流重要度,计算得到信息节点重要度,具体包括如下步骤:
采用归一化方法,对获取的信息节点漏洞威胁度Iv、信息节点业务重要度Ib和信息节点潮流重要度If进行归一化处理;
根据均值法,采用如下算式求解节点的漏洞威胁度权值、业务重要度权值和潮流重要度权值:
Figure BDA0003636804510000073
Figure BDA0003636804510000074
Figure BDA0003636804510000081
式中
Figure BDA0003636804510000082
为全系统的所有信息节点的漏洞威胁度均值;
Figure BDA0003636804510000083
为全系统的所有信息节点的业务重要度均值;
Figure BDA0003636804510000084
为全系统的所有信息节点的潮流重要度均值;
计算得到信息节点x的重要度Ix
Figure BDA0003636804510000085
步骤S7所述的根据步骤S2得到的告警事件集和隐马尔科夫模型,构建改进型隐马尔科夫攻击概率模型,具体包括如下步骤:
以告警事件集O为输入,利用最大似然估计,采用如下算式求解改进型隐马尔科夫攻击概率模型λ中各矩阵元素值:
Figure BDA0003636804510000086
Figure BDA0003636804510000087
Figure BDA0003636804510000088
Figure BDA0003636804510000089
式中πi为初始攻击概率分布矩阵π中第i个元素,用于表示攻击步骤i为起始攻击步的概率;τi为攻击步骤i为起始攻击步的频数;Aij为攻击转移概率矩阵A中第i行第j列元素,用于表示攻击过程中由攻击步骤i转移到攻击步骤j的概率;ωij为由攻击步骤i转向攻击步骤j的频数;Bi(ok)为告警发生概率矩阵B中第i行与告警事件ok对应的元素,用于表示攻击达到攻击步骤i时产生告警事件ok的概率;γik为攻击步骤i产生告警事件ok的频数;M为攻击步骤i对应告警事件种类数;Ckq为告警转移概率矩阵C中第k行第q列元素,用于表示由告警事件k转移到告警事件q的概率;
Figure BDA0003636804510000091
为告警事件k发生后出现告警事件q的频数;N为在告警事件k出现后出现的所有告警事件种类数;
最终,得到改进型隐马尔科夫攻击概率模型λ为λ=(π,A,B,C)。
步骤S8所述的对步骤S7构建的改进型隐马尔科夫攻击概率模型进行优化,从而得到修正型隐马尔科夫攻击概率模型,具体包括如下步骤:
采用如下算式对攻击转移概率矩阵A和告警发生概率矩阵B进行优化:
Figure BDA0003636804510000092
Figure BDA0003636804510000093
式中A’ij为优化攻击转移概率矩阵A’中第i行第j列元素,用于表示攻击步骤i转移到攻击步骤j的概率;t为告警事件发生时刻;T为告警事件集O中最大时刻;δt(i,j)为t时刻为攻击步骤i且t+1时刻为攻击步骤j的概率;δt(i)为t时刻攻击步骤为第i步的概率;B’i(of)为优化告警发生概率矩阵B’中第i行与告警事件of对应的元素,用于表示攻击步骤i产生告警事件of的概率;of为第f种告警事件;分母表示周期时间内攻击步骤i发生概率之和,分子表示周期时间内攻击步骤i发生且产生告警事件of的概率之和;
最终,得到修正型隐马尔科夫攻击概率模型λ’为λ’=(π,A’,B’,C)。
步骤S9所述的根据得到的信息节点重要度和修正型隐马尔科夫攻击概率模型,对电力系统的网络攻击进行预测,具体包括如下步骤:
(1)采用修正型隐马尔科夫攻击概率模型λ’中初始攻击概率分布矩阵π和优化告警发生概率矩阵B’的元素,采用如下算式计算得到初始化概率δ1,i为δ1,i=πiB’i(o1);其中,δ1,i用于表示起始攻击步为攻击步骤i并且产生告警为o1的概率;
(2)根据递推关系,采用如下算式求解各攻击路径概率:
δt+1,j=max[δt,i*A’ij*B’j(ot+1)*Ct,t+1*It+1]
式中δt+1,j为t+1时刻到达攻击步骤j的概率;Ct,t+1为由告警ot转向告警ot+1的概率;It+1为t+1时刻被攻击节点的节点重要度;
然后计算得到T时刻第K条攻击路径对应的攻击概率
Figure BDA0003636804510000101
T为t的最大值;K为攻击路径编号;
(3)采用如下算式计算得到最大攻击路径概率Pmax
Figure BDA0003636804510000102
式中N为攻击路径总数;
(4)采用如下算式计算得到下一步最大可能攻击点被攻击概率Pn
Pn=max(Pmax*A’ij*ZT+1)
式中ZT+1为T+1时刻可能被攻击节的点节点重要度集合。
本发明提供的这种电力系统网络攻击的预测方法,通过对信息节点系统漏洞、承载业务和潮流影响三方面因素的综合考虑,避免了因评价指标单一导致信息节点重要度评估不合理的问题;通过考虑告警日志之间的内在联系,在隐马尔科夫模型的基础上增加了告警信息概率转移矩阵,有效提升了隐马尔科夫模型攻击预测的准确率;针对原始告警日志信息量大且格式不统一的问题,通过预处理和聚类的方式得到格式统一的低维度的告警事件集,提高了攻击预测效率;因此本发明方法的可靠性高、准确性好且效率较高。
附图说明
图1为本发明的方法流程示意图。
图2为本发明的业务指标体系示意图。
图3为本发明的信息节点承载业务种类示意图。
具体实施方式
如图1所示为本发明的方法流程示意图:本发明提供的这种电力系统网络攻击的预测方法,包括如下步骤:
S1.获取待预测的电力系统的网络告警日志;
S2.对步骤S1获取的网络告警日志进行预处理和聚类,从而得到告警事件集;具体包括如下步骤:
将获取的网络告警日志中的错误告警日志和异常告警日志删除,然后设定时间窗并清除时间窗内的重复告警日志,得到告警日志预处理集Op
将告警日志预处理集Op中的告警日志进行格式统一处理,得到格式相同的告警日志统一集Ou
具体实施时,格式如下表1所示:
表1告警日志统一格式示意表
字段编号 属性 字段编号 属性
1 日志编号 6 协议类型
2 记录时间 7 设备编号
3 源端口/IP 8 告警等级
4 目的端口/IP 9 告警分类
5 规则编号 10 特征字符串
采用K-means聚类算法,对告警日志统一集Ou进行聚类,得到告警日志聚类集Oc;聚利时,采用如下算式计算告警日志之间的属性相似度S(X,Y):
Figure BDA0003636804510000121
式中S(X,Y)为告警日志X和Y之间的属性相似度;X和Y为告警日志统一集Ou中的两条不同的告警日志;n为每条告警日志的属性种类总数;i为告警日志的第i个字段编号;wi为第i个属性的权值;s(Xi,Yi)为告警日志X和Y之间第i个属性的相似度;Xi为告警日志X的第i个属性,Yi为告警日志Y的第i个属性;
按照故障类型将聚类后的各簇告警日志进行分类,得到告警日志分类集合Or
在告警日志分类集合Or中,将每类中相似度高于设定值(优选为0.395)的告警日志划分为同一类,得到告警日志再分类集合
Figure BDA0003636804510000122
将告警日志再分类集合
Figure BDA0003636804510000123
中每一类告警,按照区间并集法,以设定时长为时间窗长度(优选为6s),将时间窗内所有告警合并成一个告警事件,得到最终的告警事件集O;
目前电力系统中各种网络安全设备产生的告警日志数量庞大且格式尚未统一,直接利用原始告警日志进行攻击预测,将导致预测结果准确率低和预测计算速率慢的后果;因此本步骤利用预处理和k-means聚类法,将海量原始告警日志进行去噪声、去冗余、降维和格式统一处理,建立了低维度的告警事件集O;
S3.根据CVSS系统评分法,计算得到信息节点漏洞威胁度;具体包括如下步骤:
A.获取待预测的电力系统的漏洞可用性因子分数ISC、漏洞影响因子分数ESC、漏洞代码成熟度ECM、漏洞修复水平RL和漏洞报告可信度RC;
具体实施时,漏洞可用性因子分数ISC、漏洞影响因子分数ESC、漏洞代码成熟度ECM、漏洞修复水平RL和漏洞报告可信度RC的计算均,可以参考论文《基于CVSS的网络安全关联评估与漏洞库设计研究》;
B.根据获取的漏洞可用性因子分数ISC和漏洞影响因子分数ESC,采用如下规则计算漏洞基础评分BS:
若ISC≤0或ISC>1,则BS=0;
若0<ISC≤1且漏铜仅影响含有该漏洞的组件,则BS=min[(ESC+6.42*ISC),10];
若0<ISC≤1且漏洞能够影响含有该漏洞组件权限外的资源,则BS=min[1.08(ESC+6.42*ISC),10];
C.根据获取的漏洞代码成熟度ECM、漏洞修复水平RL、漏洞报告可信度RC和漏洞基础评分BS,计算得到漏洞时效性评分TS为TS=BS*ECM*RL*RC;
D.根据漏洞时效性评分TS和漏洞实际运行环境特征,采用如下规则计算得到漏洞环境评分ES:
若ISCM≤0或ISCM>1,则ES=0;
若0<ISCM≤1且漏洞仅影响含有该漏洞的组件,则
ES=Roundup(min[(ESCM+6.42ISCM),10])*ECM*RL*RC
若0<ISCM≤1且漏洞能够影响含有该漏洞组件权限外的资源,则
ES=Roundup(min[1.08*(ESCM+6.42ISCM),10])*ECM*RL*RC
式中ISCM为更改后的漏洞可用性因子分数,ESCM为更改后的漏洞影响因子分数;Roundup()为向上取整函数;
具体实施时,更改后的漏洞可用性因子分数ISCM和更改后的漏洞影响因子分数ESCM,也可以参考论文《基于CVSS的网络安全关联评估与漏洞库设计研究》;
E.根据得到的漏洞基础评分BS、漏洞时效性评分TS和漏洞环境评分ES,计算信息节点的漏铜威胁度Iv为Iv=BS+TS+ES;
S4.根据三标度AHP法,计算得到信息节点业务重要度;具体包括如下步骤:
a.根据信息节点承载业务的服务质量和安全性,构建业务评价指标体系;
其中业务评价指标体系包括服务质量指标和安全性指标;服务质量指标包括安全分区指标、时延要求指标、误码率指标、实时性指标和可靠性指标;安全性指标包括隔离方式指标和认证方式指标;具体如图2所示;
信息节点承载业务包括生产一区业务、生产二区业务、管理三区业务和管理四区业务;生产一区业务包括继电保护系统业务、安稳系统业务和调度自动化系统业务;生产二区业务包括广域相量测量系统业务、电能计量系统业务、故障录波与测距系统业务、配电网运行监控系统业务、通信网管系统业务和电力市场运营系统业务;管理三区业务包括监视管理系统业务、变电站视频监视系统业务、输电线路监视系统业务、光缆检测系统业务和电能检测系统业务;管理四区业务包括视频会议系统业务、办公信息系统业务、财务管理系统业务、营销管理系统业务、工程管理系统业务、生产管理信息系统业务、人力资源管理系统业务、物资管理系统业务和综合管理信息系统业务;具体如图3所示;
b.根据国家标准和电力行业标准对信息节点不同业务的要求,构建业务评价指标量化表;
业务评价指标量化表如下:
评分:1分;安全分区:管理四区;时延:大于15min;误码率:小于等于10-3;实时性:低;可靠性:低;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:2分;安全分区:管理四区;时延:小于等于15min;误码率:小于等于10-3;实时性:高;可靠性:高;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:3分;安全分区:管理三区;时延:小于等于1s;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:应用型防火墙;认证方式:IP认证;
评分:4分;安全分区:管理三区;时延:小于等于250ms;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:5分;安全分区:管理三区;时延:小于等于150ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:6分;安全分区:生产二区;时延:小于等于100ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:7分;安全分区:生产二区;时延:小于等于30ms;误码率:小于等于10-7;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:8分;安全分区:生产一区;时延:小于等于10ms;误码率:小于等于10-9;实时性:极高;可靠性:极高;隔离方式:正向/反向隔离;认证方式:专线加密;
具体可以参见表2;
表2业务评价指标量化示意表
Figure BDA0003636804510000171
c.根据业务评价指标量化表,计算得到每种业务的业务评分s为
Figure BDA0003636804510000172
式中i为业务评价指标;n为业务评价指标的总数;ξi为第i种业务评价指标的评分;
d.采用三标度AHP法对同一节点的不同业务赋权值,得到第j种业务的业务权重值ωj,然后结合每种业务的业务评分s,计算得到信息节点业务重要度Ib
Figure BDA0003636804510000173
式中sj为第j中业务的业务评分;
本步骤首先通过业务评分表得到信息节点所承载各项业务的客观评分,然后利用三标度AHP法得到每种业务的权系数,最后根据业务的客观评分和权系数计算信息节点业务重要度;本发明方法通过指标量化的方式进行信息节点重要度求解,可避免对专家知识的依赖;
S5.根据直流潮流法,计算得到信息节点潮流重要度;具体包括如下步骤:
根据待预测的电力系统的系统拓扑结构和节点信息,计算各支路上的有功功率
Figure BDA0003636804510000181
式中Pl为支路l上的有功功率;i和j为支路l的两个端点的节点编号;xl为支路l的阻抗;θi为节点i的电压相角;θj为节点j的电压相角;
根据各个支路的有功功率Pl,计算各个支路的权系数wl
Figure BDA0003636804510000182
式中Pr为第r条支路的有功功率;r为支路的编号;n为支路的总数;
将单个信息节点所控制范围内的所有支路断开,形成新的网络拓扑结构,并重新计算新的网络拓扑结构下的每条支路的有功功率P’l
根据信息节点所控制支路全部断开后对网络潮流的影响程度,采用如下算式计算得到信息节点潮流重要度If
Figure BDA0003636804510000183
式中L为新的网络拓扑结构中的支路总数;
Figure BDA0003636804510000184
为支路l的最大传输容量;
S6.根据得到的信息节点漏洞威胁度、信息节点业务重要度和信息节点潮流重要度,计算得到信息节点重要度;具体包括如下步骤:
采用归一化方法,对获取的信息节点漏洞威胁度Iv、信息节点业务重要度Ib和信息节点潮流重要度If进行归一化处理;
根据均值法,采用如下算式求解节点的漏洞威胁度权值、业务重要度权值和潮流重要度权值:
Figure BDA0003636804510000191
Figure BDA0003636804510000192
Figure BDA0003636804510000193
式中
Figure BDA0003636804510000194
为全系统的所有信息节点的漏洞威胁度均值;
Figure BDA0003636804510000195
为全系统的所有信息节点的业务重要度均值;
Figure BDA0003636804510000196
为全系统的所有信息节点的潮流重要度均值;
计算得到信息节点x的重要度Ix
Figure BDA0003636804510000197
传统信息节点重要度主要参考信息节点所承载的业务种类和数量进行求解,未能充分考虑信息节点与物理节点之间的耦合关系,也未考虑系统漏洞对电力信息物理系统整体运行的影响,进而容易出现信息节点重要度求解不精准的现象;本发明方法所建立的基于多因素影响的信息节点重要度计算方法,有效避免了仅从业务角度确定信息节点重要度的片面性;
S7.根据步骤S2得到的告警事件集和隐马尔科夫模型,构建改进型隐马尔科夫攻击概率模型;具体包括如下步骤:
以告警事件集O为输入,利用最大似然估计,采用如下算式求解改进型隐马尔科夫攻击概率模型λ中各矩阵元素值:
Figure BDA0003636804510000198
Figure BDA0003636804510000201
Figure BDA0003636804510000202
Figure BDA0003636804510000203
式中πi为初始攻击概率分布矩阵π中第i个元素,用于表示攻击步骤i为起始攻击步的概率;τi为攻击步骤i为起始攻击步的频数;Aij为攻击转移概率矩阵A中第i行第j列元素,用于表示攻击过程中由攻击步骤i转移到攻击步骤j的概率;ωij为由攻击步骤i转向攻击步骤j的频数;Bi(ok)为告警发生概率矩阵B中第i行与告警事件ok对应的元素,用于表示攻击达到攻击步骤i时产生告警事件ok的概率;γik为攻击步骤i产生告警事件ok的频数;M为攻击步骤i对应告警事件种类数;Ckq为告警转移概率矩阵C中第k行第q列元素,用于表示由告警事件k转移到告警事件q的概率;
Figure BDA0003636804510000204
为告警事件k发生后出现告警事件q的频数;N为在告警事件k出现后出现的所有告警事件种类数;
最终,得到改进型隐马尔科夫攻击概率模型λ为λ=(π,A,B,C);
传统隐马尔科夫模型仅考虑攻击步骤与告警信息之间的外部关系,忽略了告警信息之间的内在联系,进而导致部分攻击情况下隐马尔科夫模型预测准确率低的现象;本发明将告警信息转移概率融入隐马尔科夫模型中,提高了隐马尔科夫模型对电力网络攻击预测的准确率;
S8.对步骤S7构建的改进型隐马尔科夫攻击概率模型进行优化,从而得到修正型隐马尔科夫攻击概率模型;具体包括如下步骤:
采用如下算式对攻击转移概率矩阵A和告警发生概率矩阵B进行优化:
Figure BDA0003636804510000211
Figure BDA0003636804510000212
式中A’ij为优化攻击转移概率矩阵A’中第i行第j列元素,用于表示攻击步骤i转移到攻击步骤j的概率;t为告警事件发生时刻;T为告警事件集O中最大时刻;δt(i,j)为t时刻为攻击步骤i且t+1时刻为攻击步骤j的概率;δt(i)为t时刻攻击步骤为第i步的概率;B’i(of)为优化告警发生概率矩阵B’中第i行与告警事件of对应的元素,用于表示攻击步骤i产生告警事件of的概率;of为第f种告警事件;分母表示周期时间内攻击步骤i发生概率之和,分子表示周期时间内攻击步骤i发生且产生告警事件of的概率之和;
最终,得到修正型隐马尔科夫攻击概率模型λ’为λ’=(π,A’,B’,C);
隐马尔科夫模型λ中各矩阵元素由历史告警事件求得,该模型仅能反应历史攻击过程中告警事件与攻击步骤之间的关系,对当前攻击预测缺乏针对性;本发明方法调整λ中部分矩阵参数,使得修正隐马尔科夫模型λ’能更精确的反应当前告警事件集与攻击步骤之间的关系,提高攻击预测准确度;
S9.根据得到的信息节点重要度和修正型隐马尔科夫攻击概率模型,对电力系统的网络攻击进行预测;具体包括如下步骤:
(1)采用修正型隐马尔科夫攻击概率模型λ’中初始攻击概率分布矩阵π和优化告警发生概率矩阵B’的元素,采用如下算式计算得到初始化概率δ1,i为δ1,i=πiB’i(o1);其中,δ1,i用于表示起始攻击步为攻击步骤i并且产生告警为o1的概率;
(2)根据递推关系,采用如下算式求解各攻击路径概率:
δt+1,j=max[δt,i*A’ij*B’j(ot+1)*Ct,t+1*It+1]
式中δt+1,j为t+1时刻到达攻击步骤j的概率;Ct,t+1为由告警ot转向告警ot+1的概率;It+1为t+1时刻被攻击节点的节点重要度;
然后计算得到T时刻第K条攻击路径对应的攻击概率
Figure BDA0003636804510000221
T为t的最大值;K为攻击路径编号;
(3)采用如下算式计算得到最大攻击路径概率Pmax
Figure BDA0003636804510000222
式中N为攻击路径总数;
(4)采用如下算式计算得到下一步最大可能攻击点被攻击概率Pn
Pn=max(Pmax*A’ij*ZT+1)
式中ZT+1为T+1时刻可能被攻击节的点节点重要度集合。

Claims (9)

1.一种电力系统网络攻击的预测方法,包括如下步骤:
S1.获取待预测的电力系统的网络告警日志;
S2.对步骤S1获取的网络告警日志进行预处理和聚类,从而得到告警事件集;
S3.根据CVSS系统评分法,计算得到信息节点漏洞威胁度;
S4.根据三标度AHP法,计算得到信息节点业务重要度;
S5.根据直流潮流法,计算得到信息节点潮流重要度;
S6.根据得到的信息节点漏洞威胁度、信息节点业务重要度和信息节点潮流重要度,计算得到信息节点重要度;
S7.根据步骤S2得到的告警事件集和隐马尔科夫模型,构建改进型隐马尔科夫攻击概率模型;
S8.对步骤S7构建的改进型隐马尔科夫攻击概率模型进行优化,从而得到修正型隐马尔科夫攻击概率模型;
S9.根据得到的信息节点重要度和修正型隐马尔科夫攻击概率模型,对电力系统的网络攻击进行预测。
2.根据权利要求1所述的电力系统网络攻击的预测方法,其特征在于步骤S2所述的对步骤S1获取的网络告警日志进行预处理和聚类,从而得到告警事件集,具体包括如下步骤:
将获取的网络告警日志中的错误告警日志和异常告警日志删除,然后设定时间窗并清除时间窗内的重复告警日志,得到告警日志预处理集Op
将告警日志预处理集Op中的告警日志进行格式统一处理,得到格式相同的告警日志统一集Ou
采用K-means聚类算法,对告警日志统一集Ou进行聚类,得到告警日志聚类集Oc;聚利时,采用如下算式计算告警日志之间的属性相似度S(X,Y):
Figure FDA0003636804500000021
式中S(X,Y)为告警日志X和Y之间的属性相似度;X和Y为告警日志统一集Ou中的两条不同的告警日志;n为每条告警日志的属性种类总数;i为告警日志的第i个字段编号;wi为第i个属性的权值;s(Xi,Yi)为告警日志X和Y之间第i个属性的相似度;Xi为告警日志X的第i个属性,Yi为告警日志Y的第i个属性;
按照故障类型将聚类后的各簇告警日志进行分类,得到告警日志分类集合Or
在告警日志分类集合Or中,将每类中相似度高于设定值的告警日志划分为同一类,得到告警日志再分类集合
Figure FDA0003636804500000022
将告警日志再分类集合
Figure FDA0003636804500000023
中每一类告警,按照区间并集法,以设定时长为时间窗长度,将时间窗内所有告警合并成一个告警事件,得到最终的告警事件集O。
3.根据权利要求2所述的电力系统网络攻击的预测方法,其特征在于步骤S3所述的根据CVSS系统评分法,计算得到信息节点漏洞威胁度,具体包括如下步骤:
A.获取待预测的电力系统的漏洞可用性因子分数ISC、漏洞影响因子分数ESC、漏洞代码成熟度ECM、漏洞修复水平RL和漏洞报告可信度RC;
B.根据获取的漏洞可用性因子分数ISC和漏洞影响因子分数ESC,采用如下规则计算漏洞基础评分BS:
若ISC≤0或ISC>1,则BS=0;
若0<ISC≤1且漏铜仅影响含有该漏洞的组件,则BS=min[(ESC+6.42*ISC),10];
若0<ISC≤1且漏洞能够影响含有该漏洞组件权限外的资源,则BS=min[1.08(ESC+6.42*ISC),10];
C.根据获取的漏洞代码成熟度ECM、漏洞修复水平RL、漏洞报告可信度RC和漏洞基础评分BS,计算得到漏洞时效性评分TS为TS=BS*ECM*RL*RC;
D.根据漏洞时效性评分TS和漏洞实际运行环境特征,采用如下规则计算得到漏洞环境评分ES:
若ISCM≤0或ISCM>1,则ES=0;
若0<ISCM≤1且漏洞仅影响含有该漏洞的组件,则
ES=Roundup(min[(ESCM+6.42ISCM),10])*ECM*RL*RC
若0<ISCM≤1且漏洞能够影响含有该漏洞组件权限外的资源,则
ES=Roundup(min[1.08*(ESCM+6.42ISCM),10])*ECM*RL*RC
式中ISCM为更改后的漏洞可用性因子分数,ESCM为更改后的漏洞影响因子分数;Roundup()为向上取整函数;
E.根据得到的漏洞基础评分BS、漏洞时效性评分TS和漏洞环境评分ES,计算信息节点的漏铜威胁度Iv为Iv=BS+TS+ES。
4.根据权利要求3所述的电力系统网络攻击的预测方法,其特征在于步骤S4所述的根据三标度AHP法,计算得到信息节点业务重要度,具体包括如下步骤:
a.根据信息节点承载业务的服务质量和安全性,构建业务评价指标体系;
其中业务评价指标体系包括服务质量指标和安全性指标;服务质量指标包括安全分区指标、时延要求指标、误码率指标、实时性指标和可靠性指标;安全性指标包括隔离方式指标和认证方式指标;
信息节点承载业务包括生产一区业务、生产二区业务、管理三区业务和管理四区业务;生产一区业务包括继电保护系统业务、安稳系统业务和调度自动化系统业务;生产二区业务包括广域相量测量系统业务、电能计量系统业务、故障录波与测距系统业务、配电网运行监控系统业务、通信网管系统业务和电力市场运营系统业务;管理三区业务包括监视管理系统业务、变电站视频监视系统业务、输电线路监视系统业务、光缆检测系统业务和电能检测系统业务;管理四区业务包括视频会议系统业务、办公信息系统业务、财务管理系统业务、营销管理系统业务、工程管理系统业务、生产管理信息系统业务、人力资源管理系统业务、物资管理系统业务和综合管理信息系统业务;
b.根据国家标准和电力行业标准对信息节点不同业务的要求,构建业务评价指标量化表;
业务评价指标量化表如下:
评分:1分;安全分区:管理四区;时延:大于15min;误码率:小于等于10-3;实时性:低;可靠性:低;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:2分;安全分区:管理四区;时延:小于等于15min;误码率:小于等于10-3;实时性:高;可靠性:高;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:3分;安全分区:管理三区;时延:小于等于1s;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:应用型防火墙;认证方式:IP认证;
评分:4分;安全分区:管理三区;时延:小于等于250ms;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:5分;安全分区:管理三区;时延:小于等于150ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:6分;安全分区:生产二区;时延:小于等于100ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:7分;安全分区:生产二区;时延:小于等于30ms;误码率:小于等于10-7;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:8分;安全分区:生产一区;时延:小于等于10ms;误码率:小于等于10-9;实时性:极高;可靠性:极高;隔离方式:正向/反向隔离;认证方式:专线加密;
c.根据业务评价指标量化表,计算得到每种业务的业务评分s为
Figure FDA0003636804500000051
式中i为业务评价指标;n为业务评价指标的总数;ξi为第i种业务评价指标的评分;
d.采用三标度AHP法对同一节点的不同业务赋权值,得到第j种业务的业务权重值ωj,然后结合每种业务的业务评分s,计算得到信息节点业务重要度Ib
Figure FDA0003636804500000061
式中sj为第j中业务的业务评分。
5.根据权利要求4所述的电力系统网络攻击的预测方法,其特征在于步骤S5所述的根据直流潮流法,计算得到信息节点潮流重要度,具体包括如下步骤:
根据待预测的电力系统的系统拓扑结构和节点信息,计算各支路上的有功功率Pl
Figure FDA0003636804500000062
式中Pl为支路l上的有功功率;i和j为支路l的两个端点的节点编号;xl为支路l的阻抗;θi为节点i的电压相角;θj为节点j的电压相角;
根据各个支路的有功功率Pl,计算各个支路的权系数wl
Figure FDA0003636804500000063
式中Pr为第r条支路的有功功率;r为支路的编号;n为支路的总数;
将单个信息节点所控制范围内的所有支路断开,形成新的网络拓扑结构,并重新计算新的网络拓扑结构下的每条支路的有功功率Pl';
根据信息节点所控制支路全部断开后对网络潮流的影响程度,采用如下算式计算得到信息节点潮流重要度If
Figure FDA0003636804500000064
式中L为新的网络拓扑结构中的支路总数;
Figure FDA0003636804500000065
为支路l的最大传输容量。
6.根据权利要求5所述的电力系统网络攻击的预测方法,其特征在于步骤S6所述的根据得到的信息节点漏洞威胁度、信息节点业务重要度和信息节点潮流重要度,计算得到信息节点重要度,具体包括如下步骤:
采用归一化方法,对获取的信息节点漏洞威胁度Iv、信息节点业务重要度Ib和信息节点潮流重要度If进行归一化处理;
根据均值法,采用如下算式求解节点的漏洞威胁度权值、业务重要度权值和潮流重要度权值:
Figure FDA0003636804500000071
Figure FDA0003636804500000072
Figure FDA0003636804500000073
式中
Figure FDA0003636804500000074
为全系统的所有信息节点的漏洞威胁度均值;
Figure FDA0003636804500000075
为全系统的所有信息节点的业务重要度均值;
Figure FDA0003636804500000076
为全系统的所有信息节点的潮流重要度均值;
计算得到信息节点x的重要度Ix
Figure FDA0003636804500000077
7.根据权利要求6所述的电力系统网络攻击的预测方法,其特征在于步骤S7所述的根据步骤S2得到的告警事件集和隐马尔科夫模型,构建改进型隐马尔科夫攻击概率模型,具体包括如下步骤:
以告警事件集O为输入,利用最大似然估计,采用如下算式求解改进型隐马尔科夫攻击概率模型λ中各矩阵元素值:
Figure FDA0003636804500000078
Figure FDA0003636804500000079
Figure FDA0003636804500000081
Figure FDA0003636804500000082
式中πi为初始攻击概率分布矩阵π中第i个元素,用于表示攻击步骤i为起始攻击步的概率;τi为攻击步骤i为起始攻击步的频数;Aij为攻击转移概率矩阵A中第i行第j列元素,用于表示攻击过程中由攻击步骤i转移到攻击步骤j的概率;ωij为由攻击步骤i转向攻击步骤j的频数;Bi(ok)为告警发生概率矩阵B中第i行与告警事件ok对应的元素,用于表示攻击达到攻击步骤i时产生告警事件ok的概率;γik为攻击步骤i产生告警事件ok的频数;M为攻击步骤i对应告警事件种类数;Ckq为告警转移概率矩阵C中第k行第q列元素,用于表示由告警事件k转移到告警事件q的概率;
Figure FDA0003636804500000083
为告警事件k发生后出现告警事件q的频数;N为在告警事件k出现后出现的所有告警事件种类数;
最终,得到改进型隐马尔科夫攻击概率模型λ为λ=(π,A,B,C)。
8.根据权利要求7所述的电力系统网络攻击的预测方法,其特征在于步骤S8所述的对步骤S7构建的改进型隐马尔科夫攻击概率模型进行优化,从而得到修正型隐马尔科夫攻击概率模型,具体包括如下步骤:
采用如下算式对攻击转移概率矩阵A和告警发生概率矩阵B进行优化:
Figure FDA0003636804500000084
Figure FDA0003636804500000091
式中Ai'j为优化攻击转移概率矩阵A'中第i行第j列元素,用于表示攻击步骤i转移到攻击步骤j的概率;t为告警事件发生时刻;T为告警事件集O中最大时刻;δt(i,j)为t时刻为攻击步骤i且t+1时刻为攻击步骤j的概率;δt(i)为t时刻攻击步骤为第i步的概率;Bi'(of)为优化告警发生概率矩阵B'中第i行与告警事件of对应的元素,用于表示攻击步骤i产生告警事件of的概率;of为第f种告警事件;分母表示周期时间内攻击步骤i发生概率之和,分子表示周期时间内攻击步骤i发生且产生告警事件of的概率之和;
最终,得到修正型隐马尔科夫攻击概率模型λ'为λ'=(π,A',B',C)。
9.根据权利要求8所述的电力系统网络攻击的预测方法,其特征在于步骤S9所述的根据得到的信息节点重要度和修正型隐马尔科夫攻击概率模型,对电力系统的网络攻击进行预测,具体包括如下步骤:
(1)采用修正型隐马尔科夫攻击概率模型λ'中初始攻击概率分布矩阵π和优化告警发生概率矩阵B'的元素,采用如下算式计算得到初始化概率δ1,i为δ1,i=πiB’i(o1);其中,δ1,i用于表示起始攻击步为攻击步骤i并且产生告警为o1的概率;
(2)根据递推关系,采用如下算式求解各攻击路径概率:
δt+1,j=max[δt,i*A’ij*B'j(ot+1)*Ct,t+1*It+1]
式中δt+1,j为t+1时刻到达攻击步骤j的概率;Ct,t+1为由告警ot转向告警ot+1的概率;It+1为t+1时刻被攻击节点的节点重要度;
然后计算得到T时刻第K条攻击路径对应的攻击概率
Figure FDA0003636804500000101
Figure FDA0003636804500000102
T为t的最大值;K为攻击路径编号;
(3)采用如下算式计算得到最大攻击路径概率Pmax
Figure FDA0003636804500000103
式中N为攻击路径总数;
(4)采用如下算式计算得到下一步最大可能攻击点被攻击概率Pn
Pn=max(Pmax*A’ij*ZT+1)
式中ZT+1为T+1时刻可能被攻击节的点节点重要度集合。
CN202210507922.6A 2022-05-10 2022-05-10 电力系统网络攻击的预测方法 Active CN114866325B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210507922.6A CN114866325B (zh) 2022-05-10 2022-05-10 电力系统网络攻击的预测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210507922.6A CN114866325B (zh) 2022-05-10 2022-05-10 电力系统网络攻击的预测方法

Publications (2)

Publication Number Publication Date
CN114866325A true CN114866325A (zh) 2022-08-05
CN114866325B CN114866325B (zh) 2023-09-12

Family

ID=82638023

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210507922.6A Active CN114866325B (zh) 2022-05-10 2022-05-10 电力系统网络攻击的预测方法

Country Status (1)

Country Link
CN (1) CN114866325B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170046519A1 (en) * 2015-08-12 2017-02-16 U.S Army Research Laboratory ATTN: RDRL-LOC-I Methods and systems for defending cyber attack in real-time
CN107070852A (zh) * 2016-12-07 2017-08-18 东软集团股份有限公司 网络攻击检测方法和装置
CN110350524A (zh) * 2019-07-11 2019-10-18 南京理工大学 一种基于节点重要度的直流潮流优化方法
CN112235283A (zh) * 2020-10-10 2021-01-15 南方电网科学研究院有限责任公司 一种基于脆弱性描述攻击图的电力工控系统网络攻击评估方法
CN112804208A (zh) * 2020-12-30 2021-05-14 北京理工大学 一种基于攻击者特性指标的网络攻击路径预测方法
CN112819336A (zh) * 2021-02-03 2021-05-18 国家电网有限公司 一种基于电力监控系统网络威胁的量化方法及系统
CN114065209A (zh) * 2021-10-27 2022-02-18 中国软件评测中心(工业和信息化部软件与集成电路促进中心) 车联网漏洞危害程度预测方法、装置、介质及电子设备
CN114065287A (zh) * 2021-11-18 2022-02-18 南京航空航天大学 一种抗预测攻击的轨迹差分隐私保护方法和系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170046519A1 (en) * 2015-08-12 2017-02-16 U.S Army Research Laboratory ATTN: RDRL-LOC-I Methods and systems for defending cyber attack in real-time
CN107070852A (zh) * 2016-12-07 2017-08-18 东软集团股份有限公司 网络攻击检测方法和装置
CN110350524A (zh) * 2019-07-11 2019-10-18 南京理工大学 一种基于节点重要度的直流潮流优化方法
CN112235283A (zh) * 2020-10-10 2021-01-15 南方电网科学研究院有限责任公司 一种基于脆弱性描述攻击图的电力工控系统网络攻击评估方法
CN112804208A (zh) * 2020-12-30 2021-05-14 北京理工大学 一种基于攻击者特性指标的网络攻击路径预测方法
CN112819336A (zh) * 2021-02-03 2021-05-18 国家电网有限公司 一种基于电力监控系统网络威胁的量化方法及系统
CN114065209A (zh) * 2021-10-27 2022-02-18 中国软件评测中心(工业和信息化部软件与集成电路促进中心) 车联网漏洞危害程度预测方法、装置、介质及电子设备
CN114065287A (zh) * 2021-11-18 2022-02-18 南京航空航天大学 一种抗预测攻击的轨迹差分隐私保护方法和系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王国欢;李敏;陶振文;: "基于大数据的配电网络复合攻击预测方法研究", 电网与清洁能源, no. 10 *

Also Published As

Publication number Publication date
CN114866325B (zh) 2023-09-12

Similar Documents

Publication Publication Date Title
CN110969347B (zh) 一种输电网结构形态评估方法
CN112149967B (zh) 基于复杂系统理论的电力通信网脆弱性评估方法和系统
CN106485089B (zh) 谐波用户典型工况的区间参数获取方法
CN110443037B (zh) 一种基于改进ahp方法的电力监控网络安全态势感知方法
Min et al. Evaluation of cross-layer network vulnerability of power communication network based on multi-dimensional and multi-layer node importance analysis
Wang et al. Dealing with alarms in optical networks using an intelligent system
CN112990776B (zh) 一种配网设备健康度评价方法
CN111900720B (zh) 一种基于双层网页排序算法的输电网脆弱线路辨识方法
Zhou et al. Evaluation of the node importance in power grid communication network and analysis of node risk
CN114866325A (zh) 电力系统网络攻击的预测方法
Lin et al. Voltage sag severity analysis based on improved FP-Growth algorithm and AHP algorithm
CN111815137A (zh) 一种电力系统脆弱性综合评估方法
CN114567562B (zh) 一种电网与通信网耦合网络关键节点识别的方法
Liu et al. Node Importance Evaluation of Cyber-Physical System under Cyber-Attacks Spreading
CN116151799A (zh) 一种基于bp神经网络的配电线路多工况故障率快速评估方法
Lin et al. A comprehensive assessment method of distribution network vulnerability considering topological structure and operation status
CN114205247B (zh) 配电物联网的接入方法、装置、计算机设备及存储介质
CN113569961B (zh) 一种电网节点分类方法及计算机可读介质
CN116055384A (zh) 一种兼顾网络结构和传输性能的边重要性识别方法
CN112241812B (zh) 基于单边优化与遗传算法协作的低压配电网拓扑识别方法
Liu et al. Research on node importance of power communication network based on multi-attribute analysis
Xue et al. Typical transmission section searching method considering geographical attributes for large power grids
CN113271226A (zh) 电力通信网关键链路识别方法及其保护方法
Wu et al. The medium-voltage distribution detwork fault fiagnosis based on data association analysis
CN112070315A (zh) 一种基于中心性测量的恐怖袭击网络分析与事件预测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant