CN114866325A - 电力系统网络攻击的预测方法 - Google Patents
电力系统网络攻击的预测方法 Download PDFInfo
- Publication number
- CN114866325A CN114866325A CN202210507922.6A CN202210507922A CN114866325A CN 114866325 A CN114866325 A CN 114866325A CN 202210507922 A CN202210507922 A CN 202210507922A CN 114866325 A CN114866325 A CN 114866325A
- Authority
- CN
- China
- Prior art keywords
- attack
- service
- alarm
- vulnerability
- probability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Probability & Statistics with Applications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种电力系统网络攻击的预测方法,包括获取待预测的电力系统的网络告警日志并进行预处理和聚类得到告警事件集;计算得到信息节点漏洞威胁度、信息节点业务重要度和信息节点潮流重要度;计算信息节点重要度;构建改进型隐马尔科夫攻击概率模型并优化得到修正型隐马尔科夫攻击概率模型;根据信息节点重要度和修正型隐马尔科夫攻击概率模型对电力系统的网络攻击进行预测。本发明方法避免了因评价指标单一导致信息节点重要度评估不合理的问题,有效提升了隐马尔科夫模型攻击预测的准确率,提高了攻击预测效率;因此本发明方法的可靠性高、准确性好且效率较高。
Description
技术领域
本发明属于电力系统网络安全技术领域,具体涉及一种电力系统网络攻击的预测方法。
背景技术
随着经济技术的发展和人们生活水平的提高,电能已经成为了人们生产和生活中必不可少的二次能源,给人们的生产和生活带来了无尽的便利。因此,保障电能的稳定可靠供应,就成为了电力系统最重要的任务之一。但是,近年来全球电力系统网络攻击事件频发,严重影响了电力系统的安全稳定运行。因此,对于电力系统网络攻击的预测,就显得尤为重要。
目前,针对电力系统网络攻击的预测方法,存在信息节点重要度评价指标单一,告警数据挖掘不充分的问题,这使得现在的电力系统网络攻击的预测方法的正确率不高,可靠性较差,从而给电力系统的安全稳定运行带来了严重的影响。
发明内容
本发明的目的在于提供一种可靠性高、准确性好且效率较高的电力系统网络攻击的预测方法。
本发明提供的这种电力系统网络攻击的预测方法,包括如下步骤:
S1.获取待预测的电力系统的网络告警日志;
S2.对步骤S1获取的网络告警日志进行预处理和聚类,从而得到告警事件集;
S3.根据CVSS系统评分法,计算得到信息节点漏洞威胁度;
S4.根据三标度AHP法,计算得到信息节点业务重要度;
S5.根据直流潮流法,计算得到信息节点潮流重要度;
S6.根据得到的信息节点漏洞威胁度、信息节点业务重要度和信息节点潮流重要度,计算得到信息节点重要度;
S7.根据步骤S2得到的告警事件集和隐马尔科夫模型,构建改进型隐马尔科夫攻击概率模型;
S8.对步骤S7构建的改进型隐马尔科夫攻击概率模型进行优化,从而得到修正型隐马尔科夫攻击概率模型;
S9.根据得到的信息节点重要度和修正型隐马尔科夫攻击概率模型,对电力系统的网络攻击进行预测。
步骤S2所述的对步骤S1获取的网络告警日志进行预处理和聚类,从而得到告警事件集,具体包括如下步骤:
将获取的网络告警日志中的错误告警日志和异常告警日志删除,然后设定时间窗并清除时间窗内的重复告警日志,得到告警日志预处理集Op;
将告警日志预处理集Op中的告警日志进行格式统一处理,得到格式相同的告警日志统一集Ou;
采用K-means聚类算法,对告警日志统一集Ou进行聚类,得到告警日志聚类集Oc;聚利时,采用如下算式计算告警日志之间的属性相似度S(X,Y):
式中S(X,Y)为告警日志X和Y之间的属性相似度;X和Y为告警日志统一集Ou中的两条不同的告警日志;n为每条告警日志的属性种类总数;i为告警日志的第i个字段编号;wi为第i个属性的权值;s(Xi,Yi)为告警日志X和Y之间第i个属性的相似度;Xi为告警日志X的第i个属性,Yi为告警日志Y的第i个属性;
按照故障类型将聚类后的各簇告警日志进行分类,得到告警日志分类集合Or;
步骤S3所述的根据CVSS系统评分法,计算得到信息节点漏洞威胁度,具体包括如下步骤:
A.获取待预测的电力系统的漏洞可用性因子分数ISC、漏洞影响因子分数ESC、漏洞代码成熟度ECM、漏洞修复水平RL和漏洞报告可信度RC;
B.根据获取的漏洞可用性因子分数ISC和漏洞影响因子分数ESC,采用如下规则计算漏洞基础评分BS:
若ISC≤0或ISC>1,则BS=0;
若0<ISC≤1且漏铜仅影响含有该漏洞的组件,则BS=min[(ESC+6.42*ISC),10];
若0<ISC≤1且漏洞能够影响含有该漏洞组件权限外的资源,则BS=min[1.08(ESC+6.42*ISC),10];
C.根据获取的漏洞代码成熟度ECM、漏洞修复水平RL、漏洞报告可信度RC和漏洞基础评分BS,计算得到漏洞时效性评分TS为TS=BS*ECM*RL*RC;
D.根据漏洞时效性评分TS和漏洞实际运行环境特征,采用如下规则计算得到漏洞环境评分ES:
若ISCM≤0或ISCM>1,则ES=0;
若0<ISCM≤1且漏洞仅影响含有该漏洞的组件,则
ES=Roundup(min[(ESCM+6.42ISCM),10])*ECM*RL*RC
若0<ISCM≤1且漏洞能够影响含有该漏洞组件权限外的资源,则
ES=Roundup(min[1.08*(ESCM+6.42ISCM),10])*ECM*RL*RC
式中ISCM为更改后的漏洞可用性因子分数,ESCM为更改后的漏洞影响因子分数;Roundup()为向上取整函数;
E.根据得到的漏洞基础评分BS、漏洞时效性评分TS和漏洞环境评分ES,计算信息节点的漏铜威胁度Iv为Iv=BS+TS+ES。
步骤S4所述的根据三标度AHP法,计算得到信息节点业务重要度,具体包括如下步骤:
a.根据信息节点承载业务的服务质量和安全性,构建业务评价指标体系;
其中业务评价指标体系包括服务质量指标和安全性指标;服务质量指标包括安全分区指标、时延要求指标、误码率指标、实时性指标和可靠性指标;安全性指标包括隔离方式指标和认证方式指标;
信息节点承载业务包括生产一区业务、生产二区业务、管理三区业务和管理四区业务;生产一区业务包括继电保护系统业务、安稳系统业务和调度自动化系统业务;生产二区业务包括广域相量测量系统业务、电能计量系统业务、故障录波与测距系统业务、配电网运行监控系统业务、通信网管系统业务和电力市场运营系统业务;管理三区业务包括监视管理系统业务、变电站视频监视系统业务、输电线路监视系统业务、光缆检测系统业务和电能检测系统业务;管理四区业务包括视频会议系统业务、办公信息系统业务、财务管理系统业务、营销管理系统业务、工程管理系统业务、生产管理信息系统业务、人力资源管理系统业务、物资管理系统业务和综合管理信息系统业务;
b.根据国家标准和电力行业标准对信息节点不同业务的要求,构建业务评价指标量化表;
业务评价指标量化表如下:
评分:1分;安全分区:管理四区;时延:大于15min;误码率:小于等于10-3;实时性:低;可靠性:低;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:2分;安全分区:管理四区;时延:小于等于15min;误码率:小于等于10-3;实时性:高;可靠性:高;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:3分;安全分区:管理三区;时延:小于等于1s;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:应用型防火墙;认证方式:IP认证;
评分:4分;安全分区:管理三区;时延:小于等于250ms;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:5分;安全分区:管理三区;时延:小于等于150ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:6分;安全分区:生产二区;时延:小于等于100ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:7分;安全分区:生产二区;时延:小于等于30ms;误码率:小于等于10-7;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:8分;安全分区:生产一区;时延:小于等于10ms;误码率:小于等于10-9;实时性:极高;可靠性:极高;隔离方式:正向/反向隔离;认证方式:专线加密;
步骤S5所述的根据直流潮流法,计算得到信息节点潮流重要度,具体包括如下步骤:
根据待预测的电力系统的系统拓扑结构和节点信息,计算各支路上的有功功率Pl为式中Pl为支路l上的有功功率;i和j为支路l的两个端点的节点编号;xl为支路l的阻抗;θi为节点i的电压相角;θj为节点j的电压相角;
将单个信息节点所控制范围内的所有支路断开,形成新的网络拓扑结构,并重新计算新的网络拓扑结构下的每条支路的有功功率P’l;
根据信息节点所控制支路全部断开后对网络潮流的影响程度,采用如下算式计算得到信息节点潮流重要度If:
步骤S6所述的根据得到的信息节点漏洞威胁度、信息节点业务重要度和信息节点潮流重要度,计算得到信息节点重要度,具体包括如下步骤:
采用归一化方法,对获取的信息节点漏洞威胁度Iv、信息节点业务重要度Ib和信息节点潮流重要度If进行归一化处理;
根据均值法,采用如下算式求解节点的漏洞威胁度权值、业务重要度权值和潮流重要度权值:
步骤S7所述的根据步骤S2得到的告警事件集和隐马尔科夫模型,构建改进型隐马尔科夫攻击概率模型,具体包括如下步骤:
以告警事件集O为输入,利用最大似然估计,采用如下算式求解改进型隐马尔科夫攻击概率模型λ中各矩阵元素值:
式中πi为初始攻击概率分布矩阵π中第i个元素,用于表示攻击步骤i为起始攻击步的概率;τi为攻击步骤i为起始攻击步的频数;Aij为攻击转移概率矩阵A中第i行第j列元素,用于表示攻击过程中由攻击步骤i转移到攻击步骤j的概率;ωij为由攻击步骤i转向攻击步骤j的频数;Bi(ok)为告警发生概率矩阵B中第i行与告警事件ok对应的元素,用于表示攻击达到攻击步骤i时产生告警事件ok的概率;γik为攻击步骤i产生告警事件ok的频数;M为攻击步骤i对应告警事件种类数;Ckq为告警转移概率矩阵C中第k行第q列元素,用于表示由告警事件k转移到告警事件q的概率;为告警事件k发生后出现告警事件q的频数;N为在告警事件k出现后出现的所有告警事件种类数;
最终,得到改进型隐马尔科夫攻击概率模型λ为λ=(π,A,B,C)。
步骤S8所述的对步骤S7构建的改进型隐马尔科夫攻击概率模型进行优化,从而得到修正型隐马尔科夫攻击概率模型,具体包括如下步骤:
采用如下算式对攻击转移概率矩阵A和告警发生概率矩阵B进行优化:
式中A’ij为优化攻击转移概率矩阵A’中第i行第j列元素,用于表示攻击步骤i转移到攻击步骤j的概率;t为告警事件发生时刻;T为告警事件集O中最大时刻;δt(i,j)为t时刻为攻击步骤i且t+1时刻为攻击步骤j的概率;δt(i)为t时刻攻击步骤为第i步的概率;B’i(of)为优化告警发生概率矩阵B’中第i行与告警事件of对应的元素,用于表示攻击步骤i产生告警事件of的概率;of为第f种告警事件;分母表示周期时间内攻击步骤i发生概率之和,分子表示周期时间内攻击步骤i发生且产生告警事件of的概率之和;
最终,得到修正型隐马尔科夫攻击概率模型λ’为λ’=(π,A’,B’,C)。
步骤S9所述的根据得到的信息节点重要度和修正型隐马尔科夫攻击概率模型,对电力系统的网络攻击进行预测,具体包括如下步骤:
(1)采用修正型隐马尔科夫攻击概率模型λ’中初始攻击概率分布矩阵π和优化告警发生概率矩阵B’的元素,采用如下算式计算得到初始化概率δ1,i为δ1,i=πiB’i(o1);其中,δ1,i用于表示起始攻击步为攻击步骤i并且产生告警为o1的概率;
(2)根据递推关系,采用如下算式求解各攻击路径概率:
δt+1,j=max[δt,i*A’ij*B’j(ot+1)*Ct,t+1*It+1]
式中δt+1,j为t+1时刻到达攻击步骤j的概率;Ct,t+1为由告警ot转向告警ot+1的概率;It+1为t+1时刻被攻击节点的节点重要度;
(3)采用如下算式计算得到最大攻击路径概率Pmax:
式中N为攻击路径总数;
(4)采用如下算式计算得到下一步最大可能攻击点被攻击概率Pn:
Pn=max(Pmax*A’ij*ZT+1)
式中ZT+1为T+1时刻可能被攻击节的点节点重要度集合。
本发明提供的这种电力系统网络攻击的预测方法,通过对信息节点系统漏洞、承载业务和潮流影响三方面因素的综合考虑,避免了因评价指标单一导致信息节点重要度评估不合理的问题;通过考虑告警日志之间的内在联系,在隐马尔科夫模型的基础上增加了告警信息概率转移矩阵,有效提升了隐马尔科夫模型攻击预测的准确率;针对原始告警日志信息量大且格式不统一的问题,通过预处理和聚类的方式得到格式统一的低维度的告警事件集,提高了攻击预测效率;因此本发明方法的可靠性高、准确性好且效率较高。
附图说明
图1为本发明的方法流程示意图。
图2为本发明的业务指标体系示意图。
图3为本发明的信息节点承载业务种类示意图。
具体实施方式
如图1所示为本发明的方法流程示意图:本发明提供的这种电力系统网络攻击的预测方法,包括如下步骤:
S1.获取待预测的电力系统的网络告警日志;
S2.对步骤S1获取的网络告警日志进行预处理和聚类,从而得到告警事件集;具体包括如下步骤:
将获取的网络告警日志中的错误告警日志和异常告警日志删除,然后设定时间窗并清除时间窗内的重复告警日志,得到告警日志预处理集Op;
将告警日志预处理集Op中的告警日志进行格式统一处理,得到格式相同的告警日志统一集Ou;
具体实施时,格式如下表1所示:
表1告警日志统一格式示意表
字段编号 | 属性 | 字段编号 | 属性 |
1 | 日志编号 | 6 | 协议类型 |
2 | 记录时间 | 7 | 设备编号 |
3 | 源端口/IP | 8 | 告警等级 |
4 | 目的端口/IP | 9 | 告警分类 |
5 | 规则编号 | 10 | 特征字符串 |
采用K-means聚类算法,对告警日志统一集Ou进行聚类,得到告警日志聚类集Oc;聚利时,采用如下算式计算告警日志之间的属性相似度S(X,Y):
式中S(X,Y)为告警日志X和Y之间的属性相似度;X和Y为告警日志统一集Ou中的两条不同的告警日志;n为每条告警日志的属性种类总数;i为告警日志的第i个字段编号;wi为第i个属性的权值;s(Xi,Yi)为告警日志X和Y之间第i个属性的相似度;Xi为告警日志X的第i个属性,Yi为告警日志Y的第i个属性;
按照故障类型将聚类后的各簇告警日志进行分类,得到告警日志分类集合Or;
目前电力系统中各种网络安全设备产生的告警日志数量庞大且格式尚未统一,直接利用原始告警日志进行攻击预测,将导致预测结果准确率低和预测计算速率慢的后果;因此本步骤利用预处理和k-means聚类法,将海量原始告警日志进行去噪声、去冗余、降维和格式统一处理,建立了低维度的告警事件集O;
S3.根据CVSS系统评分法,计算得到信息节点漏洞威胁度;具体包括如下步骤:
A.获取待预测的电力系统的漏洞可用性因子分数ISC、漏洞影响因子分数ESC、漏洞代码成熟度ECM、漏洞修复水平RL和漏洞报告可信度RC;
具体实施时,漏洞可用性因子分数ISC、漏洞影响因子分数ESC、漏洞代码成熟度ECM、漏洞修复水平RL和漏洞报告可信度RC的计算均,可以参考论文《基于CVSS的网络安全关联评估与漏洞库设计研究》;
B.根据获取的漏洞可用性因子分数ISC和漏洞影响因子分数ESC,采用如下规则计算漏洞基础评分BS:
若ISC≤0或ISC>1,则BS=0;
若0<ISC≤1且漏铜仅影响含有该漏洞的组件,则BS=min[(ESC+6.42*ISC),10];
若0<ISC≤1且漏洞能够影响含有该漏洞组件权限外的资源,则BS=min[1.08(ESC+6.42*ISC),10];
C.根据获取的漏洞代码成熟度ECM、漏洞修复水平RL、漏洞报告可信度RC和漏洞基础评分BS,计算得到漏洞时效性评分TS为TS=BS*ECM*RL*RC;
D.根据漏洞时效性评分TS和漏洞实际运行环境特征,采用如下规则计算得到漏洞环境评分ES:
若ISCM≤0或ISCM>1,则ES=0;
若0<ISCM≤1且漏洞仅影响含有该漏洞的组件,则
ES=Roundup(min[(ESCM+6.42ISCM),10])*ECM*RL*RC
若0<ISCM≤1且漏洞能够影响含有该漏洞组件权限外的资源,则
ES=Roundup(min[1.08*(ESCM+6.42ISCM),10])*ECM*RL*RC
式中ISCM为更改后的漏洞可用性因子分数,ESCM为更改后的漏洞影响因子分数;Roundup()为向上取整函数;
具体实施时,更改后的漏洞可用性因子分数ISCM和更改后的漏洞影响因子分数ESCM,也可以参考论文《基于CVSS的网络安全关联评估与漏洞库设计研究》;
E.根据得到的漏洞基础评分BS、漏洞时效性评分TS和漏洞环境评分ES,计算信息节点的漏铜威胁度Iv为Iv=BS+TS+ES;
S4.根据三标度AHP法,计算得到信息节点业务重要度;具体包括如下步骤:
a.根据信息节点承载业务的服务质量和安全性,构建业务评价指标体系;
其中业务评价指标体系包括服务质量指标和安全性指标;服务质量指标包括安全分区指标、时延要求指标、误码率指标、实时性指标和可靠性指标;安全性指标包括隔离方式指标和认证方式指标;具体如图2所示;
信息节点承载业务包括生产一区业务、生产二区业务、管理三区业务和管理四区业务;生产一区业务包括继电保护系统业务、安稳系统业务和调度自动化系统业务;生产二区业务包括广域相量测量系统业务、电能计量系统业务、故障录波与测距系统业务、配电网运行监控系统业务、通信网管系统业务和电力市场运营系统业务;管理三区业务包括监视管理系统业务、变电站视频监视系统业务、输电线路监视系统业务、光缆检测系统业务和电能检测系统业务;管理四区业务包括视频会议系统业务、办公信息系统业务、财务管理系统业务、营销管理系统业务、工程管理系统业务、生产管理信息系统业务、人力资源管理系统业务、物资管理系统业务和综合管理信息系统业务;具体如图3所示;
b.根据国家标准和电力行业标准对信息节点不同业务的要求,构建业务评价指标量化表;
业务评价指标量化表如下:
评分:1分;安全分区:管理四区;时延:大于15min;误码率:小于等于10-3;实时性:低;可靠性:低;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:2分;安全分区:管理四区;时延:小于等于15min;误码率:小于等于10-3;实时性:高;可靠性:高;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:3分;安全分区:管理三区;时延:小于等于1s;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:应用型防火墙;认证方式:IP认证;
评分:4分;安全分区:管理三区;时延:小于等于250ms;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:5分;安全分区:管理三区;时延:小于等于150ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:6分;安全分区:生产二区;时延:小于等于100ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:7分;安全分区:生产二区;时延:小于等于30ms;误码率:小于等于10-7;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:8分;安全分区:生产一区;时延:小于等于10ms;误码率:小于等于10-9;实时性:极高;可靠性:极高;隔离方式:正向/反向隔离;认证方式:专线加密;
具体可以参见表2;
表2业务评价指标量化示意表
本步骤首先通过业务评分表得到信息节点所承载各项业务的客观评分,然后利用三标度AHP法得到每种业务的权系数,最后根据业务的客观评分和权系数计算信息节点业务重要度;本发明方法通过指标量化的方式进行信息节点重要度求解,可避免对专家知识的依赖;
S5.根据直流潮流法,计算得到信息节点潮流重要度;具体包括如下步骤:
根据待预测的电力系统的系统拓扑结构和节点信息,计算各支路上的有功功率式中Pl为支路l上的有功功率;i和j为支路l的两个端点的节点编号;xl为支路l的阻抗;θi为节点i的电压相角;θj为节点j的电压相角;
将单个信息节点所控制范围内的所有支路断开,形成新的网络拓扑结构,并重新计算新的网络拓扑结构下的每条支路的有功功率P’l;
根据信息节点所控制支路全部断开后对网络潮流的影响程度,采用如下算式计算得到信息节点潮流重要度If:
S6.根据得到的信息节点漏洞威胁度、信息节点业务重要度和信息节点潮流重要度,计算得到信息节点重要度;具体包括如下步骤:
采用归一化方法,对获取的信息节点漏洞威胁度Iv、信息节点业务重要度Ib和信息节点潮流重要度If进行归一化处理;
根据均值法,采用如下算式求解节点的漏洞威胁度权值、业务重要度权值和潮流重要度权值:
传统信息节点重要度主要参考信息节点所承载的业务种类和数量进行求解,未能充分考虑信息节点与物理节点之间的耦合关系,也未考虑系统漏洞对电力信息物理系统整体运行的影响,进而容易出现信息节点重要度求解不精准的现象;本发明方法所建立的基于多因素影响的信息节点重要度计算方法,有效避免了仅从业务角度确定信息节点重要度的片面性;
S7.根据步骤S2得到的告警事件集和隐马尔科夫模型,构建改进型隐马尔科夫攻击概率模型;具体包括如下步骤:
以告警事件集O为输入,利用最大似然估计,采用如下算式求解改进型隐马尔科夫攻击概率模型λ中各矩阵元素值:
式中πi为初始攻击概率分布矩阵π中第i个元素,用于表示攻击步骤i为起始攻击步的概率;τi为攻击步骤i为起始攻击步的频数;Aij为攻击转移概率矩阵A中第i行第j列元素,用于表示攻击过程中由攻击步骤i转移到攻击步骤j的概率;ωij为由攻击步骤i转向攻击步骤j的频数;Bi(ok)为告警发生概率矩阵B中第i行与告警事件ok对应的元素,用于表示攻击达到攻击步骤i时产生告警事件ok的概率;γik为攻击步骤i产生告警事件ok的频数;M为攻击步骤i对应告警事件种类数;Ckq为告警转移概率矩阵C中第k行第q列元素,用于表示由告警事件k转移到告警事件q的概率;为告警事件k发生后出现告警事件q的频数;N为在告警事件k出现后出现的所有告警事件种类数;
最终,得到改进型隐马尔科夫攻击概率模型λ为λ=(π,A,B,C);
传统隐马尔科夫模型仅考虑攻击步骤与告警信息之间的外部关系,忽略了告警信息之间的内在联系,进而导致部分攻击情况下隐马尔科夫模型预测准确率低的现象;本发明将告警信息转移概率融入隐马尔科夫模型中,提高了隐马尔科夫模型对电力网络攻击预测的准确率;
S8.对步骤S7构建的改进型隐马尔科夫攻击概率模型进行优化,从而得到修正型隐马尔科夫攻击概率模型;具体包括如下步骤:
采用如下算式对攻击转移概率矩阵A和告警发生概率矩阵B进行优化:
式中A’ij为优化攻击转移概率矩阵A’中第i行第j列元素,用于表示攻击步骤i转移到攻击步骤j的概率;t为告警事件发生时刻;T为告警事件集O中最大时刻;δt(i,j)为t时刻为攻击步骤i且t+1时刻为攻击步骤j的概率;δt(i)为t时刻攻击步骤为第i步的概率;B’i(of)为优化告警发生概率矩阵B’中第i行与告警事件of对应的元素,用于表示攻击步骤i产生告警事件of的概率;of为第f种告警事件;分母表示周期时间内攻击步骤i发生概率之和,分子表示周期时间内攻击步骤i发生且产生告警事件of的概率之和;
最终,得到修正型隐马尔科夫攻击概率模型λ’为λ’=(π,A’,B’,C);
隐马尔科夫模型λ中各矩阵元素由历史告警事件求得,该模型仅能反应历史攻击过程中告警事件与攻击步骤之间的关系,对当前攻击预测缺乏针对性;本发明方法调整λ中部分矩阵参数,使得修正隐马尔科夫模型λ’能更精确的反应当前告警事件集与攻击步骤之间的关系,提高攻击预测准确度;
S9.根据得到的信息节点重要度和修正型隐马尔科夫攻击概率模型,对电力系统的网络攻击进行预测;具体包括如下步骤:
(1)采用修正型隐马尔科夫攻击概率模型λ’中初始攻击概率分布矩阵π和优化告警发生概率矩阵B’的元素,采用如下算式计算得到初始化概率δ1,i为δ1,i=πiB’i(o1);其中,δ1,i用于表示起始攻击步为攻击步骤i并且产生告警为o1的概率;
(2)根据递推关系,采用如下算式求解各攻击路径概率:
δt+1,j=max[δt,i*A’ij*B’j(ot+1)*Ct,t+1*It+1]
式中δt+1,j为t+1时刻到达攻击步骤j的概率;Ct,t+1为由告警ot转向告警ot+1的概率;It+1为t+1时刻被攻击节点的节点重要度;
(3)采用如下算式计算得到最大攻击路径概率Pmax:
式中N为攻击路径总数;
(4)采用如下算式计算得到下一步最大可能攻击点被攻击概率Pn:
Pn=max(Pmax*A’ij*ZT+1)
式中ZT+1为T+1时刻可能被攻击节的点节点重要度集合。
Claims (9)
1.一种电力系统网络攻击的预测方法,包括如下步骤:
S1.获取待预测的电力系统的网络告警日志;
S2.对步骤S1获取的网络告警日志进行预处理和聚类,从而得到告警事件集;
S3.根据CVSS系统评分法,计算得到信息节点漏洞威胁度;
S4.根据三标度AHP法,计算得到信息节点业务重要度;
S5.根据直流潮流法,计算得到信息节点潮流重要度;
S6.根据得到的信息节点漏洞威胁度、信息节点业务重要度和信息节点潮流重要度,计算得到信息节点重要度;
S7.根据步骤S2得到的告警事件集和隐马尔科夫模型,构建改进型隐马尔科夫攻击概率模型;
S8.对步骤S7构建的改进型隐马尔科夫攻击概率模型进行优化,从而得到修正型隐马尔科夫攻击概率模型;
S9.根据得到的信息节点重要度和修正型隐马尔科夫攻击概率模型,对电力系统的网络攻击进行预测。
2.根据权利要求1所述的电力系统网络攻击的预测方法,其特征在于步骤S2所述的对步骤S1获取的网络告警日志进行预处理和聚类,从而得到告警事件集,具体包括如下步骤:
将获取的网络告警日志中的错误告警日志和异常告警日志删除,然后设定时间窗并清除时间窗内的重复告警日志,得到告警日志预处理集Op;
将告警日志预处理集Op中的告警日志进行格式统一处理,得到格式相同的告警日志统一集Ou;
采用K-means聚类算法,对告警日志统一集Ou进行聚类,得到告警日志聚类集Oc;聚利时,采用如下算式计算告警日志之间的属性相似度S(X,Y):
式中S(X,Y)为告警日志X和Y之间的属性相似度;X和Y为告警日志统一集Ou中的两条不同的告警日志;n为每条告警日志的属性种类总数;i为告警日志的第i个字段编号;wi为第i个属性的权值;s(Xi,Yi)为告警日志X和Y之间第i个属性的相似度;Xi为告警日志X的第i个属性,Yi为告警日志Y的第i个属性;
按照故障类型将聚类后的各簇告警日志进行分类,得到告警日志分类集合Or;
3.根据权利要求2所述的电力系统网络攻击的预测方法,其特征在于步骤S3所述的根据CVSS系统评分法,计算得到信息节点漏洞威胁度,具体包括如下步骤:
A.获取待预测的电力系统的漏洞可用性因子分数ISC、漏洞影响因子分数ESC、漏洞代码成熟度ECM、漏洞修复水平RL和漏洞报告可信度RC;
B.根据获取的漏洞可用性因子分数ISC和漏洞影响因子分数ESC,采用如下规则计算漏洞基础评分BS:
若ISC≤0或ISC>1,则BS=0;
若0<ISC≤1且漏铜仅影响含有该漏洞的组件,则BS=min[(ESC+6.42*ISC),10];
若0<ISC≤1且漏洞能够影响含有该漏洞组件权限外的资源,则BS=min[1.08(ESC+6.42*ISC),10];
C.根据获取的漏洞代码成熟度ECM、漏洞修复水平RL、漏洞报告可信度RC和漏洞基础评分BS,计算得到漏洞时效性评分TS为TS=BS*ECM*RL*RC;
D.根据漏洞时效性评分TS和漏洞实际运行环境特征,采用如下规则计算得到漏洞环境评分ES:
若ISCM≤0或ISCM>1,则ES=0;
若0<ISCM≤1且漏洞仅影响含有该漏洞的组件,则
ES=Roundup(min[(ESCM+6.42ISCM),10])*ECM*RL*RC
若0<ISCM≤1且漏洞能够影响含有该漏洞组件权限外的资源,则
ES=Roundup(min[1.08*(ESCM+6.42ISCM),10])*ECM*RL*RC
式中ISCM为更改后的漏洞可用性因子分数,ESCM为更改后的漏洞影响因子分数;Roundup()为向上取整函数;
E.根据得到的漏洞基础评分BS、漏洞时效性评分TS和漏洞环境评分ES,计算信息节点的漏铜威胁度Iv为Iv=BS+TS+ES。
4.根据权利要求3所述的电力系统网络攻击的预测方法,其特征在于步骤S4所述的根据三标度AHP法,计算得到信息节点业务重要度,具体包括如下步骤:
a.根据信息节点承载业务的服务质量和安全性,构建业务评价指标体系;
其中业务评价指标体系包括服务质量指标和安全性指标;服务质量指标包括安全分区指标、时延要求指标、误码率指标、实时性指标和可靠性指标;安全性指标包括隔离方式指标和认证方式指标;
信息节点承载业务包括生产一区业务、生产二区业务、管理三区业务和管理四区业务;生产一区业务包括继电保护系统业务、安稳系统业务和调度自动化系统业务;生产二区业务包括广域相量测量系统业务、电能计量系统业务、故障录波与测距系统业务、配电网运行监控系统业务、通信网管系统业务和电力市场运营系统业务;管理三区业务包括监视管理系统业务、变电站视频监视系统业务、输电线路监视系统业务、光缆检测系统业务和电能检测系统业务;管理四区业务包括视频会议系统业务、办公信息系统业务、财务管理系统业务、营销管理系统业务、工程管理系统业务、生产管理信息系统业务、人力资源管理系统业务、物资管理系统业务和综合管理信息系统业务;
b.根据国家标准和电力行业标准对信息节点不同业务的要求,构建业务评价指标量化表;
业务评价指标量化表如下:
评分:1分;安全分区:管理四区;时延:大于15min;误码率:小于等于10-3;实时性:低;可靠性:低;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:2分;安全分区:管理四区;时延:小于等于15min;误码率:小于等于10-3;实时性:高;可靠性:高;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:3分;安全分区:管理三区;时延:小于等于1s;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:应用型防火墙;认证方式:IP认证;
评分:4分;安全分区:管理三区;时延:小于等于250ms;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:5分;安全分区:管理三区;时延:小于等于150ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:6分;安全分区:生产二区;时延:小于等于100ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:7分;安全分区:生产二区;时延:小于等于30ms;误码率:小于等于10-7;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:8分;安全分区:生产一区;时延:小于等于10ms;误码率:小于等于10-9;实时性:极高;可靠性:极高;隔离方式:正向/反向隔离;认证方式:专线加密;
5.根据权利要求4所述的电力系统网络攻击的预测方法,其特征在于步骤S5所述的根据直流潮流法,计算得到信息节点潮流重要度,具体包括如下步骤:
根据待预测的电力系统的系统拓扑结构和节点信息,计算各支路上的有功功率Pl为式中Pl为支路l上的有功功率;i和j为支路l的两个端点的节点编号;xl为支路l的阻抗;θi为节点i的电压相角;θj为节点j的电压相角;
将单个信息节点所控制范围内的所有支路断开,形成新的网络拓扑结构,并重新计算新的网络拓扑结构下的每条支路的有功功率Pl';
根据信息节点所控制支路全部断开后对网络潮流的影响程度,采用如下算式计算得到信息节点潮流重要度If:
7.根据权利要求6所述的电力系统网络攻击的预测方法,其特征在于步骤S7所述的根据步骤S2得到的告警事件集和隐马尔科夫模型,构建改进型隐马尔科夫攻击概率模型,具体包括如下步骤:
以告警事件集O为输入,利用最大似然估计,采用如下算式求解改进型隐马尔科夫攻击概率模型λ中各矩阵元素值:
式中πi为初始攻击概率分布矩阵π中第i个元素,用于表示攻击步骤i为起始攻击步的概率;τi为攻击步骤i为起始攻击步的频数;Aij为攻击转移概率矩阵A中第i行第j列元素,用于表示攻击过程中由攻击步骤i转移到攻击步骤j的概率;ωij为由攻击步骤i转向攻击步骤j的频数;Bi(ok)为告警发生概率矩阵B中第i行与告警事件ok对应的元素,用于表示攻击达到攻击步骤i时产生告警事件ok的概率;γik为攻击步骤i产生告警事件ok的频数;M为攻击步骤i对应告警事件种类数;Ckq为告警转移概率矩阵C中第k行第q列元素,用于表示由告警事件k转移到告警事件q的概率;为告警事件k发生后出现告警事件q的频数;N为在告警事件k出现后出现的所有告警事件种类数;
最终,得到改进型隐马尔科夫攻击概率模型λ为λ=(π,A,B,C)。
8.根据权利要求7所述的电力系统网络攻击的预测方法,其特征在于步骤S8所述的对步骤S7构建的改进型隐马尔科夫攻击概率模型进行优化,从而得到修正型隐马尔科夫攻击概率模型,具体包括如下步骤:
采用如下算式对攻击转移概率矩阵A和告警发生概率矩阵B进行优化:
式中Ai'j为优化攻击转移概率矩阵A'中第i行第j列元素,用于表示攻击步骤i转移到攻击步骤j的概率;t为告警事件发生时刻;T为告警事件集O中最大时刻;δt(i,j)为t时刻为攻击步骤i且t+1时刻为攻击步骤j的概率;δt(i)为t时刻攻击步骤为第i步的概率;Bi'(of)为优化告警发生概率矩阵B'中第i行与告警事件of对应的元素,用于表示攻击步骤i产生告警事件of的概率;of为第f种告警事件;分母表示周期时间内攻击步骤i发生概率之和,分子表示周期时间内攻击步骤i发生且产生告警事件of的概率之和;
最终,得到修正型隐马尔科夫攻击概率模型λ'为λ'=(π,A',B',C)。
9.根据权利要求8所述的电力系统网络攻击的预测方法,其特征在于步骤S9所述的根据得到的信息节点重要度和修正型隐马尔科夫攻击概率模型,对电力系统的网络攻击进行预测,具体包括如下步骤:
(1)采用修正型隐马尔科夫攻击概率模型λ'中初始攻击概率分布矩阵π和优化告警发生概率矩阵B'的元素,采用如下算式计算得到初始化概率δ1,i为δ1,i=πiB’i(o1);其中,δ1,i用于表示起始攻击步为攻击步骤i并且产生告警为o1的概率;
(2)根据递推关系,采用如下算式求解各攻击路径概率:
δt+1,j=max[δt,i*A’ij*B'j(ot+1)*Ct,t+1*It+1]
式中δt+1,j为t+1时刻到达攻击步骤j的概率;Ct,t+1为由告警ot转向告警ot+1的概率;It+1为t+1时刻被攻击节点的节点重要度;
(3)采用如下算式计算得到最大攻击路径概率Pmax:
式中N为攻击路径总数;
(4)采用如下算式计算得到下一步最大可能攻击点被攻击概率Pn:
Pn=max(Pmax*A’ij*ZT+1)
式中ZT+1为T+1时刻可能被攻击节的点节点重要度集合。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210507922.6A CN114866325B (zh) | 2022-05-10 | 2022-05-10 | 电力系统网络攻击的预测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210507922.6A CN114866325B (zh) | 2022-05-10 | 2022-05-10 | 电力系统网络攻击的预测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114866325A true CN114866325A (zh) | 2022-08-05 |
CN114866325B CN114866325B (zh) | 2023-09-12 |
Family
ID=82638023
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210507922.6A Active CN114866325B (zh) | 2022-05-10 | 2022-05-10 | 电力系统网络攻击的预测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114866325B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170046519A1 (en) * | 2015-08-12 | 2017-02-16 | U.S Army Research Laboratory ATTN: RDRL-LOC-I | Methods and systems for defending cyber attack in real-time |
CN107070852A (zh) * | 2016-12-07 | 2017-08-18 | 东软集团股份有限公司 | 网络攻击检测方法和装置 |
CN110350524A (zh) * | 2019-07-11 | 2019-10-18 | 南京理工大学 | 一种基于节点重要度的直流潮流优化方法 |
CN112235283A (zh) * | 2020-10-10 | 2021-01-15 | 南方电网科学研究院有限责任公司 | 一种基于脆弱性描述攻击图的电力工控系统网络攻击评估方法 |
CN112804208A (zh) * | 2020-12-30 | 2021-05-14 | 北京理工大学 | 一种基于攻击者特性指标的网络攻击路径预测方法 |
CN112819336A (zh) * | 2021-02-03 | 2021-05-18 | 国家电网有限公司 | 一种基于电力监控系统网络威胁的量化方法及系统 |
CN114065287A (zh) * | 2021-11-18 | 2022-02-18 | 南京航空航天大学 | 一种抗预测攻击的轨迹差分隐私保护方法和系统 |
CN114065209A (zh) * | 2021-10-27 | 2022-02-18 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 车联网漏洞危害程度预测方法、装置、介质及电子设备 |
-
2022
- 2022-05-10 CN CN202210507922.6A patent/CN114866325B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170046519A1 (en) * | 2015-08-12 | 2017-02-16 | U.S Army Research Laboratory ATTN: RDRL-LOC-I | Methods and systems for defending cyber attack in real-time |
CN107070852A (zh) * | 2016-12-07 | 2017-08-18 | 东软集团股份有限公司 | 网络攻击检测方法和装置 |
CN110350524A (zh) * | 2019-07-11 | 2019-10-18 | 南京理工大学 | 一种基于节点重要度的直流潮流优化方法 |
CN112235283A (zh) * | 2020-10-10 | 2021-01-15 | 南方电网科学研究院有限责任公司 | 一种基于脆弱性描述攻击图的电力工控系统网络攻击评估方法 |
CN112804208A (zh) * | 2020-12-30 | 2021-05-14 | 北京理工大学 | 一种基于攻击者特性指标的网络攻击路径预测方法 |
CN112819336A (zh) * | 2021-02-03 | 2021-05-18 | 国家电网有限公司 | 一种基于电力监控系统网络威胁的量化方法及系统 |
CN114065209A (zh) * | 2021-10-27 | 2022-02-18 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 车联网漏洞危害程度预测方法、装置、介质及电子设备 |
CN114065287A (zh) * | 2021-11-18 | 2022-02-18 | 南京航空航天大学 | 一种抗预测攻击的轨迹差分隐私保护方法和系统 |
Non-Patent Citations (1)
Title |
---|
王国欢;李敏;陶振文;: "基于大数据的配电网络复合攻击预测方法研究", 电网与清洁能源, no. 10 * |
Also Published As
Publication number | Publication date |
---|---|
CN114866325B (zh) | 2023-09-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110969347B (zh) | 一种输电网结构形态评估方法 | |
CN105976257A (zh) | 基于隶属度函数的模糊综合评价法的电网脆弱性评估方法 | |
CN112149967B (zh) | 基于复杂系统理论的电力通信网脆弱性评估方法和系统 | |
CN110443037B (zh) | 一种基于改进ahp方法的电力监控网络安全态势感知方法 | |
Wang et al. | Dealing with alarms in optical networks using an intelligent system | |
Min et al. | Evaluation of cross-layer network vulnerability of power communication network based on multi-dimensional and multi-layer node importance analysis | |
CN112990776B (zh) | 一种配网设备健康度评价方法 | |
CN114567562A (zh) | 一种电网与通信网耦合网络关键节点识别的方法 | |
CN111900720B (zh) | 一种基于双层网页排序算法的输电网脆弱线路辨识方法 | |
Sun et al. | An identification method for vulnerable lines based on combination weighting method and GraphSAGE algorithm | |
Zhou et al. | Evaluation of the node importance in power grid communication network and analysis of node risk | |
Liu et al. | Node Importance Evaluation of Cyber‐Physical System under Cyber‐Attacks Spreading | |
CN114866325A (zh) | 电力系统网络攻击的预测方法 | |
CN116055384B (zh) | 一种兼顾网络结构和传输性能的边重要性识别方法 | |
Lin et al. | Voltage sag severity analysis based on improved FP-Growth algorithm and AHP algorithm | |
CN111815137A (zh) | 一种电力系统脆弱性综合评估方法 | |
Lin et al. | A comprehensive assessment method of distribution network vulnerability considering topological structure and operation status | |
CN116827807A (zh) | 基于多因素评价指标的电力通信网节点重要性评估方法 | |
CN116151799A (zh) | 一种基于bp神经网络的配电线路多工况故障率快速评估方法 | |
CN114205247B (zh) | 配电物联网的接入方法、装置、计算机设备及存储介质 | |
CN113569961B (zh) | 一种电网节点分类方法及计算机可读介质 | |
CN112241812B (zh) | 基于单边优化与遗传算法协作的低压配电网拓扑识别方法 | |
Liu et al. | Research on node importance of power communication network based on multi-attribute analysis | |
Xue et al. | Typical transmission section searching method considering geographical attributes for large power grids | |
CN112070315A (zh) | 一种基于中心性测量的恐怖袭击网络分析与事件预测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |