CN115333829A - 一种攻击行为轨迹发现方法、装置、设备及存储介质 - Google Patents

一种攻击行为轨迹发现方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN115333829A
CN115333829A CN202210964531.7A CN202210964531A CN115333829A CN 115333829 A CN115333829 A CN 115333829A CN 202210964531 A CN202210964531 A CN 202210964531A CN 115333829 A CN115333829 A CN 115333829A
Authority
CN
China
Prior art keywords
vulnerability
access path
node
link
attack behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210964531.7A
Other languages
English (en)
Inventor
张道娟
钱珂翔
王玉曼
张錋
王治华
汪明
金明辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Smart Grid Research Institute Co ltd
State Grid Corp of China SGCC
State Grid Shanghai Electric Power Co Ltd
Original Assignee
State Grid Smart Grid Research Institute Co ltd
State Grid Corp of China SGCC
State Grid Shanghai Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Smart Grid Research Institute Co ltd, State Grid Corp of China SGCC, State Grid Shanghai Electric Power Co Ltd filed Critical State Grid Smart Grid Research Institute Co ltd
Priority to CN202210964531.7A priority Critical patent/CN115333829A/zh
Publication of CN115333829A publication Critical patent/CN115333829A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开一种攻击行为轨迹发现方法、装置、设备及存储介质,该方法通过获取电力监控系统网络中任意两个设备节点之间的访问路径,然后评估所述访问路径中每台设备节点的节点脆弱性和所述访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性,从而根据所述节点脆弱性和所述链路脆弱性评估所述访问路径的综合脆弱性,并根据所述综合脆弱性判断所述访问路径是否为攻击行为轨迹,结合节点脆弱性和链路脆弱性综合判断访问路径是否为攻击行为轨迹,攻击行为轨迹发现方式全面,避免遗漏攻击行为轨迹,安全性较高。

Description

一种攻击行为轨迹发现方法、装置、设备及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种攻击行为轨迹发现方法、装置、设备及存储介质。
背景技术
随着计算机网络的广泛应用,电力系统网络也逐渐与计算机网络和互联网相结合,由此带来的安全问题也随之越来越受到人们的关注,从电力行业来看,信息技术对电力信息网络的安全性产生了严重影响,网络规模的不断增大、网络速度飞速提高、网络节点关系日益复杂,这些都给电力监控系统网络安全的带来巨大挑战。通常来说,网络空间攻击行为特征是指网络中的任何能够被用来作为攻击前提的特性。网络通常是由主机、子网、协议集合及应用软件等组成的综合系统,网络空间攻击行为轨迹的发现必然是来自于这些组件安全缺陷和不正确配置,各种针对网络的攻击行为之所以能对网络安全产生巨大的威胁,主要原因就是网络中不可避免的存在可攻击的脆弱环节,电力监控系统网络空间中也不可避免的会存在这些问题。因此,深入分析和研究电力监控系统网络空间攻击行为轨迹对于保障电力监控系统安全具有重要的意义。
目前的电力监控系统网络空间的攻击行为轨迹发现方法主要通过评估关键节点的脆弱性来发现网络空间的攻击行为轨迹,忽略了网络边缘或非重要节点对网络空间的攻击行为轨迹发现的影响,并且没有考虑设备之间的连接链路对网络空间的攻击行为轨迹发现的影响,攻击行为轨迹发现方式不够全面,容易遗漏可能存在的攻击行为轨迹,安全性较低。
发明内容
有鉴于此,本发明实施例提供了一种攻击行为轨迹发现方法、装置、设备及存储介质,解决现有的攻击行为轨迹发现方法安全性低的问题。
本发明提出的技术方案如下:
本发明实施例第一方面提供一种攻击行为轨迹发现方法,包括:获取电力监控系统网络中任意两个设备节点之间的访问路径;评估所述访问路径中每台设备节点的节点脆弱性,以及所述访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性;根据所述节点脆弱性和所述链路脆弱性评估所述访问路径的综合脆弱性;根据所述综合脆弱性判断所述访问路径是否为攻击行为轨迹。
可选地,评估所述访问路径中每台设备节点的节点脆弱性,包括:根据设备节点操作权限、重要程度、开放的高危端口数量、存在的漏洞数量以及被攻破时的攻击次数中的一种或多种的组合评估所述访问路径中每台设备节点的节点脆弱性。
可选地,评估所述访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性,包括:根据任意两台设备节点之间的连接链路是否存在漏洞、是否有认证、传输数据是否加密和是否能被窃听中的一种或多种的组合评估所述访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性。
可选地,所述访问路径的综合脆弱性通过以下公式计算:
Figure BDA0003791856050000021
其中,Vvul表示访问路径的综合脆弱性,n表示访问路径的设备节点数,α1和α2分别表示节点脆弱性和链路脆弱性的权重,且α12=1,Dvul(i)表示访问路径中设备节点i的节点脆弱性,
Figure BDA0003791856050000022
表示访问路径中所有设备节点的节点脆弱性的平均值,Rvul(j)访问路径中连接链路j的链路脆弱性,
Figure BDA0003791856050000023
表示访问路径上所有连接链路的链路脆弱性的平均值。
可选地,根据所述综合脆弱性判断所述访问路径是否为攻击行为轨迹,包括:根据所述综合脆弱性计算目标访问路径受攻击的概率;将受攻击的概率大于概率阈值的目标访问路径判断为攻击行为轨迹。
可选地,根据所述综合脆弱性计算目标访问路径受攻击的概率,包括:计算任意两个设备节点之间的全部访问路径的综合脆弱性之和;将所述目标访问路径的综合脆弱性除以所述综合脆弱性之和,得到所述目标访问路径受攻击的概率。
可选地,获取电力监控系统网络中任意两个设备节点之间的访问路径,包括:根据电力监控系统网络的拓扑结构生成有向图;利用深度优先遍历方法对所述有向图进行遍历,保存遍历过程中发现的任意两个节点设备之间的访问路径。
本发明实施例第二方面提供一种攻击行为轨迹发现装置,包括:获取模块,用于获取电力监控系统网络中任意两个设备节点之间的访问路径;第一评估模块,用于评估所述访问路径中每台设备节点的节点脆弱性;第二评估模块,用于评估所述访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性;第三评估模块,用于根据所述节点脆弱性和所述链路脆弱性评估所述访问路径的综合脆弱性;判断模块,用于根据所述综合脆弱性判断所述访问路径是否为攻击行为轨迹。
可选地,所述第一评估模块包括第一计算模块,所述第一计算模块用于根据设备节点操作权限、重要程度、开放的高危端口数量、存在的漏洞数量以及被攻破时的攻击次数中的一种或多种的组合评估所述访问路径中每台设备节点的节点脆弱性。
可选地,所述第二评估模块包括第二计算模块,所述第二计算模块用于根据任意两台设备节点之间的连接链路是否存在漏洞、是否有认证、传输数据是否加密和是否能被窃听中的一种或多种的组合评估所述访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性。
可选地,所述第三评估模块包括第三计算模块,所述第三计算模块用于通过以下公式计算访问路径的综合脆弱性:
Figure BDA0003791856050000041
其中,Vvul表示访问路径的综合脆弱性,n表示访问路径的设备节点数,α1和α2分别表示节点脆弱性和链路脆弱性的权重,且α12=1,Dvul(i)表示访问路径中设备节点i的节点脆弱性,
Figure BDA0003791856050000042
表示访问路径中所有设备节点的节点脆弱性的平均值,Rvul(j)访问路径中连接链路j的链路脆弱性,
Figure BDA0003791856050000043
表示访问路径上所有连接链路的链路脆弱性的平均值。
可选地,所述判断模块包括第四计算模块和比较模块,所述第四计算模块用于根据所述综合脆弱性计算目标访问路径受攻击的概率,所述比较模块用于将受攻击的概率大于概率阈值的目标访问路径判断为攻击行为轨迹。
可选地,所述第四计算模块包括加法单元和除法单元,所述加法单元用于计算任意两个设备节点之间的全部访问路径的综合脆弱性之和,所述除法单元用于将所述目标访问路径的综合脆弱性除以所述综合脆弱性之和,得到所述目标访问路径受攻击的概率。
可选地,所述获取模块包括生成模块和遍历模块,所述生成模块用于根据电力监控系统网络的拓扑结构生成有向图,所述遍历模块用于利用深度优先遍历方法对所述有向图进行遍历,保存遍历过程中发现的任意两个节点设备之间的访问路径。
本发明实施例第三方面提供一种电子设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如本发明实施例第一方面所述的攻击行为轨迹发现方法。
本发明实施例第四方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如本发明实施例第一方面所述的攻击行为轨迹发现方法。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例提供的一种攻击行为轨迹发现方法、装置、设备及存储介质,通过获取电力监控系统网络中任意两个设备节点之间的访问路径,然后评估所述访问路径中每台设备节点的节点脆弱性和所述访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性,从而根据所述节点脆弱性和所述链路脆弱性评估所述访问路径的综合脆弱性,并根据所述综合脆弱性判断所述访问路径是否为攻击行为轨迹,结合节点脆弱性和链路脆弱性综合判断访问路径是否为攻击行为轨迹,攻击行为轨迹发现方式全面,避免遗漏攻击行为轨迹,安全性较高。
附图说明
为了更清楚地表达说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中攻击行为轨迹发现方法的流程图;
图2为本发明实施例中判断访问路径是否为攻击行为轨迹的流程图;
图3为本发明实施例中攻击行为轨迹发现装置的模块框图;
图4为本发明实施例中电子设备的结构示意图;
图5为本发明实施例中计算机可读存储介质的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种攻击行为轨迹发现方法,如图1所示,包括:
步骤S100,获取电力监控系统网络中任意两个设备节点之间的访问路径。具体地,电力监控系统网络包括多个设备节点,设备节点包括但不限于用户终端、服务器、路由设备等。访问路径中至少包括两个设备节点。
步骤S200,评估访问路径中每台设备节点的节点脆弱性,以及访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性。具体地,节点脆弱性表示为设备节点的自身安全指数,可以通过设备节点存在的操作权限、设备节点重要程度、设备节点开放的高危端口数量、设备节点存在的漏洞数量、设备节点被攻破时的攻击次数等指标进行评估。示例性地,可以通过单个指标评估设备节点的节点脆弱性,也可以结合多个指标综合评估设备节点的节点脆弱性。例如,设备节点开放的高危端口数量越多,则该设备节点的节点脆弱性越大,设备节点存在的漏洞数量越多,则该设备节点的节点脆弱性越大等。访问路径中包括至少两个设备节点,当访问路径只有开始和结束两个设备节点时,连接链路只有一条,即开始和结束两个设备节点间的连接链路,当访问路径包括四个设备节点时,则对应的连接链路为三条,例如访问路径为A-B-C-D,则连接链路包括A-B、B-C、C-D。链路脆弱性表示为连接链路的安全指数,可以通过接链路的传输协议是否存在漏洞、连接链路是否有认证、传输数据是否加密、连接链路是否能被窃听等进行评估。示例性的,若传输协议存在漏洞,则链路脆弱性评估节点相对较高。
步骤S300,根据节点脆弱性和链路脆弱性评估访问路径的综合脆弱性。综合脆弱性是访问路径中全部节点的节点脆弱性和全部连接链路的链路脆弱性的综合体现,需要将上述步骤中计算得到的每一个设备节点的节点脆弱性和链路脆弱性进行综合评估,例如,节点脆弱性的总和以及链路脆弱性的总和越大,则访问路径的综合脆弱性越大。
步骤S400,根据综合脆弱性判断访问路径是否为攻击行为轨迹。例如,预先设置一个判定阈值,当综合脆弱性大于判定阈值时,则将访问路径判定为攻击行为轨迹。
本发明实施例提供的攻击行为轨迹发现方法,通过获取电力监控系统网络中任意两个设备节点之间的访问路径,然后评估访问路径中每台设备节点的节点脆弱性和访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性,从而根据节点脆弱性和链路脆弱性评估访问路径的综合脆弱性,并根据综合脆弱性判断访问路径是否为攻击行为轨迹,结合节点脆弱性和链路脆弱性综合判断访问路径是否为攻击行为轨迹,攻击行为轨迹发现方式全面,避免遗漏攻击行为轨迹,安全性较高,为电力监控系统网络空间攻击行为轨迹发现提供一种有效的方法。
在一实施例中,获取电力监控系统网络中任意两个设备节点之间的访问路径,包括:根据电力监控系统网络的拓扑结构生成有向图;利用深度优先遍历方法对有向图进行遍历,保存遍历过程中发现的任意两个节点设备之间的访问路径。具体地,电力监控系统网络包括多个设备节点,根据各个设备节点的连接关系构建电力监控系统网络的拓扑结构,并将拓扑结构映射为有向图的形式,建立有向图的邻接矩阵和邻接表,通过邻接矩阵的形式展示设备节点之间的连接状态,用0表示两个设备节点之间没有连接,用1表示两个设备节点之间有连接。利用邻接表,结合图的深度优先遍历的方式,搜索并保存任意两个设备节点之间所有访问路径,同时保存访问路径中经过的各设备节点信息。
具体地,图的深度优先遍历过程为:构建设备节点是否被访问的标志数组,数组中0代表节点未访问,1代表节点已访问,通过一个栈记录下访问过程中经过的设备节点,栈中的设备节点不重复。标志数组是为了标识图中节点访问状态,避免在遍历过程中出现死循环。首先输入开始的设备节点和终止的设备节点,从开始的设备节点开始访问,将表示当前设备节点访问状态的标志数组的值设置为1,并将当前设备节点入栈,判断当前入栈设备节点是否为终止的设备节点,若是则代表找到一条路径,将该路径记录下来,为了栈中剩余设备节点在遍历过程中可以继续访问此设备节点,对应在栈中弹出栈顶设备节点,并将其设备节点访问状态的标志数组的值置为0,否则判断其邻接的设备节点是否未被访问,若是,则将其入栈,并将当前设备节点标志数组的值设置为1,继续进行递归遍历,若当前设备节点没有其他邻接节点未被访问,则弹出栈顶设备节点,并将其访问状态的标志数组置为0,当栈中无设备节点时,结束遍历,之后更换开始的设备节点和终止的设备节点,重新采用上述方式进行遍历,进而可以记录下各节点设备间的所有访问路径。
在一实施例中,评估访问路径中每台设备节点的节点脆弱性,包括:根据设备节点操作权限、重要程度、开放的高危端口数量、存在的漏洞数量以及被攻破时的攻击次数中的一种或多种的组合评估访问路径中每台设备节点的节点脆弱性。例如,根据设备节点操作权限、重要程度、开放的高危端口数量、存在的漏洞数量以及被攻破时的攻击次数共同评估访问路径中每台设备节点的节点脆弱性。具体地,设备节点变量D可表示为D:{pwr,imp,port,le,num},其中pwr表示设备节点操作权限,imp表示设备节点重要程度,port表示设备节点开放的高危端口数量,le表示设备节点存在的漏洞数量,num表示设备节点被攻破时的攻击次数,则访问路径的设备节点脆弱性评估由公式(1)计算:
Dvul=ω1Dpwr2Dimp3Dport4Dle5Dnum (1)
其中,ω1、ω2、ω3、ω4、ω5分别表示设备节点变量各属性的权重,且满足ω12345=1,Dvul表示访问路径的设备节点脆弱性,Dpwr表示设备节点操作权限的脆弱因子,Dimp表示设备节点重要程度的脆弱因子,Dport表示设备节点开放的高危端口数量的脆弱因子,Dle表示设备节点存在的漏洞数量的脆弱因子,Dnum表示设备节点被攻破时的攻击次数的脆弱因子,其定义分别为:
Figure BDA0003791856050000091
Figure BDA0003791856050000092
Figure BDA0003791856050000093
Figure BDA0003791856050000094
Figure BDA0003791856050000095
通过设备节点操作权限、重要程度、开放的高危端口数量、存在的漏洞数量以及被攻破时的攻击次数共同评估访问路径中每台设备节点的节点脆弱性,考虑了不同类型的设备节点拥有不同的操作权限和重要程度,能够适用电力监控系统网络空间的异构性,合理评估多种类型的设备节点的节点脆弱性。
在一实施例中,评估访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性,包括:根据任意两台设备节点之间的连接链路是否存在漏洞、是否有认证、传输数据是否加密和是否能被窃听中的一种或多种的组合评估访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性。具体地,访问路径上设备节点间的连接链路脆弱性应反映传输协议是否存在漏洞、连接链路是否有认证、传输数据是否加密、连接链路是否能被窃听,访问路径上设备节点间的连接链路变量R表示为R:{le,a,p,v},其中le表示传输协议是否存在漏洞,a表示连接链路是否有认证,p表示传输数据是否加密,v表示连接链路是否能被窃听,则访问路径上设备节点间的连接链路脆弱性评估由公式(7)计算:
Rvul=(Rle+Ra+Rp+Rv)/4 (7)
其中,Rvul表示访问路径上设备节点间的连接链路脆弱性,Rle表示传输协议是否存在漏洞的脆弱因子,Ra表示连接链路是否有认证的脆弱因子,Rp表示传输数据是否加密的脆弱因子,Rv表示连接链路是否能被窃听的脆弱因子,其定义分别为:
Figure BDA0003791856050000101
Figure BDA0003791856050000102
Figure BDA0003791856050000103
Figure BDA0003791856050000104
通过综合连接链路是否存在漏洞、是否有认证、传输数据是否加密和是否能被窃听四种指标共同评估链路脆弱性,评估较为全面,得到合理准确的链路脆弱性。
在一实施例中,访问路径的综合脆弱性通过以下公式计算:
Figure BDA0003791856050000105
其中,Vvul表示访问路径的综合脆弱性,n表示访问路径的设备节点数,α1和α2分别表示节点脆弱性和链路脆弱性的权重,且α12=1,Dvul(i)表示访问路径中设备节点i的节点脆弱性,
Figure BDA0003791856050000111
表示访问路径中所有设备节点的节点脆弱性的平均值,Rvul(j)访问路径中连接链路j的链路脆弱性,
Figure BDA0003791856050000112
表示访问路径上所有连接链路的链路脆弱性的平均值。结合节点脆弱性和链路脆弱性综合计算访问路径的综合脆弱性,考虑全面,得到的数据准确合理。
在一实施例中,根据综合脆弱性判断访问路径是否为攻击行为轨迹,如图2所示,包括:
步骤S401,根据综合脆弱性计算目标访问路径受攻击的概率。计算方式为:计算任意两个设备节点之间的全部访问路径的综合脆弱性之和;将目标访问路径的综合脆弱性除以综合脆弱性之和,得到目标访问路径受攻击的概率。
记目标访问路径为r,则目标访问路径受攻击的概率的具体计算公式为:
Figure BDA0003791856050000113
其中,
Figure BDA0003791856050000114
表示由开始的设备节点x到终止的设备节点y第r条访问路径的综合脆弱性,
Figure BDA0003791856050000115
表示由开始的设备节点x到终止的设备节点y第i条访问路径的综合脆弱性,Px(r|y)表示在已知终止的设备节点y的条件下,由开始的设备节点x到终止的设备节点y的第r条访问路径受攻击的概率,概率越大表示选择此条访问路径受攻击的可能性相较于其他的访问路径更大,也就是该访问路径越脆弱。
步骤S402,将受攻击的概率大于概率阈值的目标访问路径判断为攻击行为轨迹。具体的判断公式为:
Figure BDA0003791856050000116
L是判断目标访问路径是否可作为攻击行为轨迹的参数,b为一个0-1之间的概率阈值,b越大表示对攻击行为轨迹发现的敏感性越低,反之,b越小表示敏感性越高,当选择概率Px(r|y)大于等于概率阈值b时,L置为1,表示该访问路径为一条电力监控系统网络空间攻击行为轨迹。否则,L置为0表示该访问路径不足以作为一条可行的攻击行为轨迹。
本发明实施例还提供一种攻击行为轨迹发现装置,如图3所示,包括:
获取模块301,用于获取电力监控系统网络中任意两个设备节点之间的访问路径。具体内容参见上述方法实施例对应部分,在此不再赘述。
第一评估模块302,用于评估访问路径中每台设备节点的节点脆弱性。具体内容参见上述方法实施例对应部分,在此不再赘述。
第二评估模块303,用于评估访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性。具体内容参见上述方法实施例对应部分,在此不再赘述。
第三评估模块304,用于根据节点脆弱性和链路脆弱性评估访问路径的综合脆弱性。具体内容参见上述方法实施例对应部分,在此不再赘述。
判断模块305,用于根据综合脆弱性判断访问路径是否为攻击行为轨迹。具体内容参见上述方法实施例对应部分,在此不再赘述。
本发明实施例提供的攻击行为轨迹发现装置,通过获取电力监控系统网络中任意两个设备节点之间的访问路径,然后评估访问路径中每台设备节点的节点脆弱性和访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性,从而根据节点脆弱性和链路脆弱性评估访问路径的综合脆弱性,并根据综合脆弱性判断访问路径是否为攻击行为轨迹,结合节点脆弱性和链路脆弱性综合判断访问路径是否为攻击行为轨迹,攻击行为轨迹发现方式全面,避免遗漏攻击行为轨迹,安全性较高,为电力监控系统网络空间攻击行为轨迹发现提供一种有效的方法。
在一实施例中,第一评估模块302包括第一计算模块,第一计算模块用于根据设备节点操作权限、重要程度、开放的高危端口数量、存在的漏洞数量以及被攻破时的攻击次数中的一种或多种的组合评估访问路径中每台设备节点的节点脆弱性。
在一实施例中,第二评估模块303包括第二计算模块,第二计算模块用于根据任意两台设备节点之间的连接链路是否存在漏洞、是否有认证、传输数据是否加密和是否能被窃听中的一种或多种的组合评估访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性。
在一实施例中,第三评估模块304包括第三计算模块,第三计算模块用于通过以下公式计算访问路径的综合脆弱性:
Figure BDA0003791856050000131
其中,Vvul表示访问路径的综合脆弱性,n表示访问路径的设备节点数,α1和α2分别表示节点脆弱性和链路脆弱性的权重,且α12=1,Dvul(i)表示访问路径中设备节点i的节点脆弱性,
Figure BDA0003791856050000132
表示访问路径中所有设备节点的节点脆弱性的平均值,Rvul(j)访问路径中连接链路j的链路脆弱性,
Figure BDA0003791856050000133
表示访问路径上所有连接链路的链路脆弱性的平均值。
在一实施例中,判断模块305包括第四计算模块和比较模块,第四计算模块用于根据综合脆弱性计算目标访问路径受攻击的概率,比较模块用于将受攻击的概率大于概率阈值的目标访问路径判断为攻击行为轨迹。
在一实施例中,第四计算模块包括加法单元和除法单元,加法单元用于计算任意两个设备节点之间的全部访问路径的综合脆弱性之和,除法单元用于将目标访问路径的综合脆弱性除以综合脆弱性之和,得到目标访问路径受攻击的概率。
在一实施例中,获取模块301包括生成模块和遍历模块,生成模块用于根据电力监控系统网络的拓扑结构生成有向图,遍历模块用于利用深度优先遍历方法对有向图进行遍历,保存遍历过程中发现的任意两个节点设备之间的访问路径。
本发明实施例还提供了一种电子设备,如图4所示,包括:存储器12和处理器11,存储器12和处理器11之间互相通信连接,存储器12存储有计算机指令,处理器11通过执行计算机指令,从而执行如本发明上述实施例中的攻击行为轨迹发现方法。处理器11可以为中央处理器(Central Processing Unit,CPU)。处理器11还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。存储器12作为一种非暂态计算机存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的对应的程序指令/模块。处理器11通过运行存储在存储器12中的非暂态软件程序、指令以及模块,从而执行处理器11的各种功能应用以及数据处理,即实现上述方法实施例中的攻击行为轨迹发现方法。存储器12可以包括存储程序区和存储数据区,其中,存储程序区可存储操作装置、至少一个功能所需要的应用程序;存储数据区可存储处理器11所创建的数据等。此外,存储器12可以包括高速随机存取存储器12,还可以包括非暂态存储器12,例如至少一个磁盘存储器12件、闪存器件、或其他非暂态固态存储器12件。在一些实施例中,存储器12可选包括相对于处理器11远程设置的存储器12,这些远程存储器12可以通过网络连接至处理器11。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。一个或者多个模块存储在存储器12中,当被处理器11执行时,执行如上述方法实施例中的攻击行为轨迹发现方法。上述电子设备具体细节可以对应上述方法实施例中对应的相关描述和效果进行理解,此处不再赘述。
本发明实施例还提供一种计算机可读存储介质,如图5所示,其上存储有计算机程序13,该指令被处理器执行时实现上述实施例中攻击行为轨迹发现方法的步骤。该存储介质上还存储有音视频流数据,特征帧数据、交互请求信令、加密数据以及预设数据大小等。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;存储介质还可以包括上述种类的存储器的组合。本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,计算机程序13可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
以上,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (16)

1.一种攻击行为轨迹发现方法,其特征在于,包括:
获取电力监控系统网络中任意两个设备节点之间的访问路径;
评估所述访问路径中每台设备节点的节点脆弱性,以及所述访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性;
根据所述节点脆弱性和所述链路脆弱性评估所述访问路径的综合脆弱性;
根据所述综合脆弱性判断所述访问路径是否为攻击行为轨迹。
2.根据权利要求1所述的攻击行为轨迹发现方法,其特征在于,评估所述访问路径中每台设备节点的节点脆弱性,包括:
根据设备节点操作权限、重要程度、开放的高危端口数量、存在的漏洞数量以及被攻破时的攻击次数中的一种或多种的组合评估所述访问路径中每台设备节点的节点脆弱性。
3.根据权利要求1所述的攻击行为轨迹发现方法,其特征在于,评估所述访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性,包括:
根据任意两台设备节点之间的连接链路是否存在漏洞、是否有认证、传输数据是否加密和是否能被窃听中的一种或多种的组合评估所述访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性。
4.根据权利要求1所述的攻击行为轨迹发现方法,其特征在于,所述访问路径的综合脆弱性通过以下公式计算:
Figure FDA0003791856040000011
其中,Vvul表示访问路径的综合脆弱性,n表示访问路径的设备节点数,α1和α2分别表示节点脆弱性和链路脆弱性的权重,且α12=1,Dvul(i)表示访问路径中设备节点i的节点脆弱性,
Figure FDA0003791856040000012
表示访问路径中所有设备节点的节点脆弱性的平均值,Rvul(j)访问路径中连接链路j的链路脆弱性,
Figure FDA0003791856040000021
表示访问路径上所有连接链路的链路脆弱性的平均值。
5.根据权利要求1所述的攻击行为轨迹发现方法,其特征在于,根据所述综合脆弱性判断所述访问路径是否为攻击行为轨迹,包括:
根据所述综合脆弱性计算目标访问路径受攻击的概率;
将受攻击的概率大于概率阈值的目标访问路径判断为攻击行为轨迹。
6.根据权利要求5所述的攻击行为轨迹发现方法,其特征在于,根据所述综合脆弱性计算目标访问路径受攻击的概率,包括:
计算任意两个设备节点之间的全部访问路径的综合脆弱性之和;
将所述目标访问路径的综合脆弱性除以所述综合脆弱性之和,得到所述目标访问路径受攻击的概率。
7.根据权利要求1所述的攻击行为轨迹发现方法,其特征在于,获取电力监控系统网络中任意两个设备节点之间的访问路径,包括:
根据电力监控系统网络的拓扑结构生成有向图;
利用深度优先遍历方法对所述有向图进行遍历,保存遍历过程中发现的任意两个节点设备之间的访问路径。
8.一种攻击行为轨迹发现装置,其特征在于,包括:
获取模块,用于获取电力监控系统网络中任意两个设备节点之间的访问路径;
第一评估模块,用于评估所述访问路径中每台设备节点的节点脆弱性;
第二评估模块,用于评估所述访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性;
第三评估模块,用于根据所述节点脆弱性和所述链路脆弱性评估所述访问路径的综合脆弱性;
判断模块,用于根据所述综合脆弱性判断所述访问路径是否为攻击行为轨迹。
9.根据权利要求8所述的攻击行为轨迹发现装置,其特征在于,所述第一评估模块包括第一计算模块,所述第一计算模块用于根据设备节点操作权限、重要程度、开放的高危端口数量、存在的漏洞数量以及被攻破时的攻击次数中的一种或多种的组合评估所述访问路径中每台设备节点的节点脆弱性。
10.根据权利要求8所述的攻击行为轨迹发现装置,其特征在于,所述第二评估模块包括第二计算模块,所述第二计算模块用于根据任意两台设备节点之间的连接链路是否存在漏洞、是否有认证、传输数据是否加密和是否能被窃听中的一种或多种的组合评估所述访问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性。
11.根据权利要求8所述的攻击行为轨迹发现装置,其特征在于,所述第三评估模块包括第三计算模块,所述第三计算模块用于通过以下公式计算访问路径的综合脆弱性:
Figure FDA0003791856040000031
其中,Vvul表示访问路径的综合脆弱性,n表示访问路径的设备节点数,α1和α2分别表示节点脆弱性和链路脆弱性的权重,且α12=1,Dvul(i)表示访问路径中设备节点i的节点脆弱性,
Figure FDA0003791856040000032
表示访问路径中所有设备节点的节点脆弱性的平均值,Rvul(j)访问路径中连接链路j的链路脆弱性,
Figure FDA0003791856040000033
表示访问路径上所有连接链路的链路脆弱性的平均值。
12.根据权利要求8所述的攻击行为轨迹发现装置,其特征在于,所述判断模块包括第四计算模块和比较模块,所述第四计算模块用于根据所述综合脆弱性计算目标访问路径受攻击的概率,所述比较模块用于将受攻击的概率大于概率阈值的目标访问路径判断为攻击行为轨迹。
13.根据权利要求12所述的攻击行为轨迹发现装置,其特征在于,所述第四计算模块包括加法单元和除法单元,所述加法单元用于计算任意两个设备节点之间的全部访问路径的综合脆弱性之和,所述除法单元用于将所述目标访问路径的综合脆弱性除以所述综合脆弱性之和,得到所述目标访问路径受攻击的概率。
14.根据权利要求8所述的攻击行为轨迹发现装置,其特征在于,所述获取模块包括生成模块和遍历模块,所述生成模块用于根据电力监控系统网络的拓扑结构生成有向图,所述遍历模块用于利用深度优先遍历方法对所述有向图进行遍历,保存遍历过程中发现的任意两个节点设备之间的访问路径。
15.一种电子设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如权利要求1至7任一项所述的攻击行为轨迹发现方法。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如权利要求1至7任一项所述的攻击行为轨迹发现方法。
CN202210964531.7A 2022-08-10 2022-08-10 一种攻击行为轨迹发现方法、装置、设备及存储介质 Pending CN115333829A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210964531.7A CN115333829A (zh) 2022-08-10 2022-08-10 一种攻击行为轨迹发现方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210964531.7A CN115333829A (zh) 2022-08-10 2022-08-10 一种攻击行为轨迹发现方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN115333829A true CN115333829A (zh) 2022-11-11

Family

ID=83923631

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210964531.7A Pending CN115333829A (zh) 2022-08-10 2022-08-10 一种攻击行为轨迹发现方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN115333829A (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105991521A (zh) * 2015-01-30 2016-10-05 阿里巴巴集团控股有限公司 网络风险评估方法和装置
CN106789190A (zh) * 2016-12-05 2017-05-31 国网河南省电力公司信息通信公司 一种电力通信网脆弱性评估及路由优化方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105991521A (zh) * 2015-01-30 2016-10-05 阿里巴巴集团控股有限公司 网络风险评估方法和装置
CN106789190A (zh) * 2016-12-05 2017-05-31 国网河南省电力公司信息通信公司 一种电力通信网脆弱性评估及路由优化方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
高晗星: "电力通信网脆弱性分析及攻击策略研究", 《中国》, vol. 2020, no. 1, 15 January 2020 (2020-01-15), pages 15 - 22 *

Similar Documents

Publication Publication Date Title
Banerjee et al. A blockchain future for internet of things security: a position paper
Kumar et al. A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing
Ullah et al. A two-level hybrid model for anomalous activity detection in IoT networks
AU2017200969B2 (en) Path scanning for the detection of anomalous subgraphs and use of dns requests and host agents for anomaly/change detection and network situational awareness
El Sayed et al. A flow-based anomaly detection approach with feature selection method against ddos attacks in sdns
Sebbar et al. MitM detection and defense mechanism CBNA-RF based on machine learning for large-scale SDN context
US20150278729A1 (en) Cognitive scoring of asset risk based on predictive propagation of security-related events
CN108337219B (zh) 一种物联网防入侵的方法和存储介质
Guerber et al. Machine Learning and Software Defined Network to secure communications in a swarm of drones
Bhatt et al. HADS: Hybrid anomaly detection system for IoT environments
CN111031003A (zh) 一种跨网隔离安全系统的智能评估系统
CN110880983A (zh) 基于场景的渗透测试方法及装置、存储介质、电子装置
US20230388278A1 (en) Detecting and mitigating forged authentication object attacks in multi - cloud environments with attestation
Ajayi et al. Detecting insider attacks in blockchain networks
CN110768947B (zh) 渗透测试的口令发送方法及装置、存储介质、电子装置
Li et al. BCTrustFrame: enhancing trust management via blockchain and IPFS in 6G era
Anastasakis et al. Enhancing cyber security in IoT systems using FL-based IDS with differential privacy
Liu et al. N-victims: An approach to determine n-victims for apt investigations
CN115333829A (zh) 一种攻击行为轨迹发现方法、装置、设备及存储介质
Alhamami et al. DDOS attack detection using machine learning algorithm in SDN network
Heenan et al. A survey of Intrusion Detection System technologies
Alashjaee et al. A efficient method to detect DDos attack in cloud computing
Singh et al. A review on intrusion detection system
Everson et al. A Survey on Network Attack Surface Mapping
Ramos et al. A Machine Learning Based Approach to Detect Stealthy Cobalt Strike C &C Activities from Encrypted Network Traffic

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination