CN115883236A - 电网智能终端协同攻击监测系统 - Google Patents

Abstract

本发明涉及一种电网智能终端协同攻击监测系统，包括：监测数据采集模块，用于收集系统中多类业务数据源的数据信息并进行预处理，然后传输给协同监测策略加载模块；传输规约解析器，用于获取电网智能终端中的数据包，并进行深层次解析，然后将解析出的异常事件输入协同安全监测操作核心；协同监测策略加载模块，用于构建及更新用于识别电网智能终端中安全威胁的策略库，并加载到协同安全监测操作核心；协同安全监测操作核心，用于通过加载的策略库对异常事件进行协同判定；以及安全监测管理模块，用于对安全威胁评估进行综合审计，输出相应的安全告警并记录和管理告警日志。该系统有利于提高电网智能终端安全威胁监测识别的准确性和效率。

Description

电网智能终端协同攻击监测系统

技术领域

本发明属于信息安全监测领域，具体涉及一种电网智能终端协同攻击监测系统。

背景技术

随着能源互联网的推进，智能电表、智能配电终端、采集集中器等各类终端设备广泛应用，提供远程测控、移动作业和客户服务等业务功能，已成为电力系统的重要组成部分。电网智能终端呈智能化、网络化、互动化等特点，多部署于非受控环境，存在物理防护难以保障，实时交互控制指令被篡改、攻击监测手段不足等安全风险，给电网安全带来了巨大挑战。

电力终端现场网络复杂、攻击暴露面大、隐藏在复杂业务逻辑中的定制化攻击日益频繁，攻击精准识别和处置技术难度大。

发明内容

本发明的目的在于提供一种电网智能终端协同攻击监测系统，该系统有利于提高电网智能终端安全威胁监测识别的准确性和效率。

为实现上述目的，本发明采用的技术方案是：一种电网智能终端协同攻击监测系统，包括：

监测数据采集模块，用于收集系统中多类业务数据源的数据信息并进行预处理，然后传输给协同监测策略加载模块；

传输规约解析器，用于获取电网智能终端中的数据包，并进行深层次解析，然后将解析出的异常事件输入协同安全监测操作核心；

协同监测策略加载模块，用于构建及更新用于识别电网智能终端中安全威胁的策略库，并加载到协同安全监测操作核心；

协同安全监测操作核心，用于通过加载的策略库对异常事件进行协同判定；以及

安全监测管理模块，用于对安全威胁评估进行综合审计，输出相应的安全告警并记录和管理告警日志。

进一步地，所述监测数据采集模块分布式部署在智能电网系统中，用于收集系统中各处的数据信息，包括上下行流量、设备状态、配置信息以及服务器日志；

假设系统中总共部署了n个监测数据采集模块，记为：

Cols＝{C₁,C₂,…,C_n}

将系统网络划分为m个监测域：

Doms＝{D₁,D₂,…,D_m}

每个监测域以一个服务器为中心包含k个设备，并由至少一个监测数据采集模块负责收集数据信息；假定第i个监测数据采集模块C_i负责收集监测域D_i从时刻t_i,j到时刻t_i,j+1的数据信息，其中包括所有上下行流量Tra_i、设备状态Sta_i＝{s_i,1,s_i,2,…,s_i,k}、配置信息Con_i＝{c_i,1,c_i,2,…,c_i,k}以及服务器日志Log_i，则C_i收集到的信息元组为：

＜t_i,j,t_i,j+1,Tra_i,Sta_i,Con_i,Log_i＞

所有监测数据采集模块将收集到的数据进行预处理，得到初步整合的半结构化数据元组：

进一步地，所述监测数据采集模块进行数据信息收集和预处理的工作流程为：

1)启动系统中所有监测数据采集模块，并为各个监测数据采集模块分配监测域，完成监测数据采集模块的初始化操作；

2)各个监测数据采集模块采集监测域内的所有上下行流量、设备状态、配置信息以及服务器日志；

3)收集各个监测数据采集模块采集的数据信息，通过预处理整合为半结构化数据元组，然后发送给传输规约解析器。

进一步地，所述传输规约解析器进行数据解析的工作流程为：

1)捕获电网智能终端中的数据包；

2)如果存在以非法IP地址和端口进行通信的数据包，立即返回相应告警并过滤掉数据包；

3)对数据包进行初步的网络层协议分析，若存在协议异常则返回相应告警，若没有异常则确定协议类型，并进行协议分流；

4)对分流后的数据包进行传输层协议解析，若存在协议异常则返回相应告警，若没有则进一步分流数据包；

5)对进一步分流的数据包进行电网终端传输规约解析，若存在规约异常则返回相应告警，若没有则对数据包的有效载荷进行模式匹配；

6)根据深度协议解析结果返回相应的异常事件；异常事件用W表示如下：

W＝＜w_ID,sour_IP,dest_IP,sour_P，dest_P,feature,time＞

其中w_ID表示告警唯一标识符，sour_IP表示数据包源地址，dest_IP表示数据包目的地址，sour_P表示源端口，dest_P表示目的端口，feature表示告警特征，time表示产生的时间戳。

进一步地，所述传输规约解析器首先通过循环调用Libpcap函数库的pcap_next捕包函数进行捕包，所述pcap_next捕包函数返回指向捕获到的网络数据包的内存地址；通过设置伯克利数据包过滤器BPF加载过滤规则，并将网卡设置为洪泛模式来获取所需的数据包；BPF先捕获链路层的数据包，然后将过滤后的数据包提供给应用层；BPF主要由网络接口和数据包过滤器两个部分组成，所述网络接口主要通过网络驱动程序从网卡上获取流经网卡的所有数据包，然后把数据包分发给正在等待的系统进程；所述数据包过滤器通过用户定义的相应规则丢弃没用的数据包，缓存有效的数据包。

进一步地，所述协同监测策略加载模块包括策略库、机器学习检测单元、策略优化单元和一致性检验单元；所述策略库定义一组基本策略用于识别电网智能终端中的安全威胁；所述基本策略由规则和脚本组成，规则定义了已知攻击行为特征或入侵的模式，脚本定义了电网智能终端中包括参数设置、设备控制的特权敏感操作的序列以及操作频度，用于检测判断电网智能终端系统中的异常行为模式，识别未知的攻击行为；

所述机器学习检测单元以BP神经网络和增量式GHSOM算法为核心算法集，先加载模块中的原始策略库，同时以监测数据采集模块不断输出的数据元组作为训练数据集；BP神经网络和增量式GHSOM算法采用串行条件结构进行调用，BP神经网络作为基分类器进行快速建模，用于对已知安全威胁进行快速分类；当遇到无法准确分类的数据集时，机器学习检测单元调用增量式GHSOM算法，进一步检测未知的特种攻击；

所述策略优化单元根据机器学习检测单元的训练结果对原始策略进行修改优化；

所述一致性检验单元用于对优化后的策略进行一致性检查，只有通过一致性检验才能对策略库进行相应的修改、更新。

进一步地，所述协同监测策略加载模块的工作流程如下：

1)分析电网智能终端安全攻击特征及入侵模式，形成针对已知攻击的形式化规则描述，从电网智能终端生产交互模式中提取系统级行为特征，形成工控系统正常行为基准的脚本描述，将规则和脚本整合为原始策略库；

2)将监测数据采集模块的输出作为训练数据集训练机器学习检测单元；

3)根据机器学习检测单元的训练结果对策略进行优化；

4)结合原策略库对优化后的策略进行一致性分析，消除相互冲突和冗余的监测策略；

5)根据改进的策略库，机器学习检测单元对新输入的数据集进行训练；

6)将改进的策略库加载到协同安全监测操作核心。

进一步地，所述协同安全监测操作核心主要由聚合单元和协同判定器组成；

所述协同安全监测操作核心通过聚合单元对传输规约解析器输出的当前出现的异常事件进行聚合操作生成聚合告警；聚合告警用hW表示如下：

hW＝＜ID,num,dest_IP,precond,postcond,TM＞

其中ID表示局和告警唯一标识符，num表示告警次数统计，dest_IP直接继承自异常事件w当中，precond表示告警前提，postcond表示攻击后果，TM表示告警起始时间；对于precond和postcond，其信息根据攻击分类属性表获得，将电网智能终端中可能出现的威胁整合为一张威胁属性表，所述威胁属性表将电网终端威胁分为常规网络攻击、电网智能终端协议异常、违规业务和工控特种攻击四大类；

然后，所述协同安全操作核心启动协同判定器，将生成的四大类聚合告警作为输入，加载由协同监测策略加载模块生成的策略库对聚合告警采取进一步的协同判定；

假定对于三个不同的聚合告警hW_A，hW_B和hW_C，如果满足：

hW_A.dest_IP＝hW_B.dest_IP＝hW_C.dest_IP

hW_A.TM≤hW_B.TM≤hW_C.TM

hW_A.postcond＝hW_B.precond

hW_B.postcond＝hW_C.precond

则认为这三次聚合告警形成因果关联；如果满足：

hW_A.dest_IP＝hW_B.dest_IP＝hW_C.dest_IP

hW_A.TM-hW_B.TM＝hW_B.TM-hW_C.TM

则预示这三次聚合告警之间有着精准的时间间隔，那么认为存在针对同一目标的安全威胁；最终输出相应的威胁评估，威胁评估用Att表示如下：

Att＝＜category,dest_IP,specif,TMs,＞

其中category表示威胁分类，dest_IP直接继承自聚合告警，specif表示安全威胁的详细报告，TMs表示安全威胁的时间链；安全威胁的详细报告specif继承自聚合告警并得到进一步的汇总；时间链TMs记录实施方采取攻击手段过程中的重要时间节点；

然后加载策略库，对安全威胁评估进行修正，如果经修正发现没有潜在安全威胁则不输出任何信息，如果经修正发现存在潜在安全威胁则输出修正的安全威胁评估：

Att^*＝＜category,dest_IP,specif,TMs,＞。

进一步地，所述协同安全监测操作核心的工作流程如下：

1)聚合单元汇总过滤海量异常事件生成常规网络攻击、电网终端协议异常、违规业务以及工控特种攻击四类聚合告警；

2)协同判定器根据关联规则寻找聚合告警之间的内在联系，通过联系确定安全威胁类型建立相应的安全威胁评估；

3)协同判定器加载策略库，对安全威胁评估信息进行修正和补充；

4)经过协同判定如果发现不存在安全威胁则不输出任何信息，否则输出安全威胁评估。

进一步地，所述安全监测管理模块主要由综合审计单元、安全告警单元和日志管理单元三个部分组成；

首先根据电网终端监测域的划分，为任意监测域D_i设定一个重要度L_i，同时给四大类安全威胁分配一个基准威胁度，即{t_NCA,t_GPE,t_IS,t_ICCA}；各类安全威胁的基准威胁度代表了其中一种常见攻击方式的危险程度，并以此作为衡量其他安全威胁的基准；安全监测管理模块在接收到安全威胁评估之后，调用综合审计单元对所有安全威胁评估进行审计操作，确定该安全威胁的威胁度修正值t_Δ；威胁度修正值来源自攻击属性表，该威胁的攻击前提越少，攻击后果越多则修正值越高，反之则越低；综合审计单元给出安全威胁评估和相应的安全态势：

SR＝L_i×(t_x+t_Δ)

其中，x∈{NCA,GPE,IS,ICCA}

随后安全告警单元给出威胁告警＜Att,SR＞，日志管理单元记录此次威胁告警，最终交由系统运行和维护人员进行威胁处置；所述安全监测管理模块的工作流程如下：

1)根据监测域划分状况设定各监测域的重要度

2)为四类安全威胁设定基准威胁度{t_NCA,t_GPE,t_IS,t_ICCA}；

3)以基准威胁度为基准，为收到的安全威胁评估设定威胁度修正值t_Δ；

4)计算当前安全威胁所针对目标的安全态势SR；

5)安全告警单元输出威胁告警＜Att,SR＞；

6)日志管理单元记录威胁告警，并交由系统运行和维护人员进行威胁处置。

与现有技术相比，本发明具有以下有益效果：提供了一种电网智能终端协同攻击监测系统，该系统通过监测数据采集模块收集系统中多类业务数据源的数据信息，用于更新协同监测策略加载模块中用于识别电网智能终端中安全威胁的策略库，同时通过传输规约解析器对电网智能终端中的数据包进行深层次解析，获得不同的异常事件，然后通过协同安全监测操作核心对异常事件进行聚合操作生成聚合告警，再通过加载的策略库进行协同判定，最后通过安全监测管理模块对安全威胁评估进行综合审计，输出相应的安全告警并记录和管理告警日志，从而实现高准确率、高效率的电网智能终端安全威胁监测识别。

附图说明

图1是本发明实施例的系统架构图。

图2是本发明实施例中传输规约解析器的实现流程图。

图3是本发明实施例的系统工作流程图。

具体实施方式

下面结合附图及实施例对本发明做进一步说明。

应该指出，以下详细说明都是示例性的，旨在对本申请提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

如图1所示，本实施例提供了一种电网智能终端协同攻击监测系统，包括：监测数据采集模块、传输规约解析器、协同监测策略加载模块、协同安全监测操作核心以及安全监测管理模块。

所述监测数据采集模块用于收集系统中多类业务数据源的数据信息并进行预处理，然后传输给协同监测策略加载模块。

所述传输规约解析器用于获取电网智能终端中的数据包，并进行深层次解析，然后将解析出的异常事件输入协同安全监测操作核心。

所述协同监测策略加载模块用于构建及更新用于识别电网智能终端中安全威胁的策略库，并加载到协同安全监测操作核心。

所述协同安全监测操作核心用于通过加载的策略库对异常事件进行协同判定。

所述安全监测管理模块用于对安全威胁评估进行综合审计，输出相应的安全告警并记录和管理告警日志。

(1)监测数据采集模块

由于传输边界和接入终端范围的不断扩大，电网终端系统的安全正面临着巨大的挑战，因此，本发明将电网终端监测数据采集模块分布式部署在智能电网当中，用于收集系统中各处的数据信息，包括上下行流量、设备状态、配置信息以及服务器日志。

假设系统中总共部署了n个监测数据采集模块，记为：

Cols＝{C₁,C₂,…,C_n}

将系统网络划分为m个监测域：

Doms＝{D₁,D₂,…,D_m}

每个监测域以一个服务器为中心包含k个设备，并由至少一个监测数据采集模块负责收集数据信息；假定第i个监测数据采集模块C_i负责收集监测域D_i从时刻t_i,j到时刻t_i,j+1的数据信息，其中包括所有上下行流量Tra_i、设备状态Sta_i＝{s_i,1,s_i,2,…,s_i,k}、配置信息Con_i＝{c_i,1,c_i,2,…,c_i,k}以及服务器日志Log_i，则C_i收集到的信息元组为：

＜t_i,j,t_i,j+1,Tra_i,Sta_i,Con_i,Log_i＞

所有监测数据采集模块将收集到的数据通过深度学习技术进行预处理，得到初步整合的半结构化数据元组：

这是数据结构的划分，在信息社会，信息可以划分为两大类。

(一)信息能够用数据或统一的结构加以表示，我们称之为结构化数据，如数字、符号。

其中，可以使用关系型数据库表示和存储，可以用二维表来逻辑表达实现的数据又细分为结构化数据；不符合关系型数据库或其他数据表的形式关联起来的数据模型结构，但包含相关标记，用来分隔语义元素以及对记录和字段进行分层，数据的结构和内容混在一起，没有明显的区分的称为半结构化数据。

(三)信息无法用数字或统一的结构表示，如文本、图像、声音、网页等，我们称之为非结构化数据。结构化数据属于非结构化数据，是非结构化数据的特例；

其次，这里将监测数据采集模块将收集到的数据，这些就是非结构化数据，经过深度学习技术进行预处理，即可完成半结构化数据，此类技术已经很成熟，应该无需再详细描述。

比如：通过提取有关的元数据——>xml文档(根据约束条件)——>非结构化数据具体地，所述监测数据采集模块进行数据信息收集和预处理的工作流程为：

1)启动系统中所有监测数据采集模块，并为各个监测数据采集模块分配监测域，完成监测数据采集模块的初始化操作。

2)各个监测数据采集模块采集监测域内的所有上下行流量、设备状态、配置信息以及服务器日志。

3)收集各个监测数据采集模块采集的数据信息，通过预处理整合为半结构化数据元组，然后发送给传输规约解析器。

(2)传输规约解析器

传统工控协议解析只能做到协议端口级别，要做到对工控协议内容命令级别的识别与分析，必须对电网智能终端协议数据包格式进行深入分析。同时，数据包的快速捕获是准确解析协议的效率前提，传统网络数据包捕获需要在网卡缓冲区、内核空间、用户空间层层复制，在高速的网络环境下，大量消耗系统CPU时间，严重影响系统性能。

本发明中，传输规约解析器负责捕获流量

通过电网高层协议数据包的深度解析来确保能准确和全面的获取反映电网智能终端系统运行状态特征的数据。所述传输规约解析器首先通过循环调用Libpcap函数库的pcap_next捕包函数进行捕包，所述pcap_next捕包函数返回指向捕获到的网络数据包的内存地址。如果我们需要捕获流经网卡的所有数据包，只需要设置伯克利数据包过滤器(BerkeleyPacketFilter，BPF)加载过滤规则，并将网卡设置为洪泛模式来获取所需的数据包。BPF先捕获链路层的数据包，然后将过滤后的数据包提供给应用层。BPF主要由网络接口和数据包过滤器两个部分组成，所述网络接口主要通过网络驱动程序从网卡上获取流经网卡的所有数据包，然后把数据包分发给正在等待的系统进程。为防止无用的数据包被调进用户空间，所述数据包过滤器通过用户定义的相应规则，丢弃没用的数据包，缓存有效的数据包。BPF的应用可以大大提高数据包解析的性能。每当捕获一个数据包，我们将此数据包拷贝到内存缓冲区中保存下来，然后通过任务分发器根据数据包的二元组信息将数据包交由不同的线程进行并行处理。本模块结合了零拷贝技术，直接在网卡缓冲区和用户空间进行内存映射来处理网络数据包，减少数据拷贝和共享总线操作的次数，消除了通信数据在存储器之间不必要的中间拷贝过程。

由于在电网终端中有相当一部分IP地址或端口号是禁止接入数据或作为发送者向外界发送数据，因此在获得信息元组后首先对IP地址和端口号进行过滤，如果发现存在以非法IP地址或端口进行通信的数据包则立即报警并过滤。在协议基本结构中以太网首部、IP首部、传输层首部都有固定的数据结构，数据结构中按字节所处位置不同具有不同的含义，所以协议解析器中的每个子程序使用事先定义好的表示各层数据包格式的数据结构，从数据包中解析出协议信息，首先读取数据包格式进行网络层协议解析，若有异常则返回异常事件，若没有则根据数据包头部信息确定协议类型进行协议分流。对分流后的数据包进行传输层协议解析，检测协议是否出现异常，若有异常则返回异常事件，若没有则确定协议类型进一步分流。此时的异常事件往往预示着这些不符合协议规范的数据包来自于一些常规的网络攻击，为后续的监测提供初步的判断依据。随后根据电网智能终端传输规约检测数据包是否存在传输规约异常，若有则返回异常事件，此异常事件预示数据包不符合现有的电网终端传输规约。若没有异常则对数据包载荷进行模式匹配以提取数据包的应用层字段，识别数据包的操作类型、操作频度，同时检测载荷当中是否包含病毒等工控特种攻击。对于电网终端传输规约种类繁多的情况，在传输规约分析实现部分采用插件技术，能够方便增加规约类型，增强协议解析的可扩展性。

通过深度协议解析，若数据包出现异常则返回告警。异常事件用W表示如下：

W＝＜w_ID,sour_IP,dest_IP,sour_P，dest_P,feature,time＞

其中w_ID表示告警唯一标识符，sour_IP表示数据包源地址，dest_IP表示数据包目的地址，sour_P表示源端口，dest_P表示目的端口，feature表示告警特征，time表示产生的时间戳。

图2示出了本实施例中传输规约解析器的实现流程。具体地，所述传输规约解析器进行数据解析的工作流程为：

1)捕获电网智能终端中的数据包；

2)如果存在以非法IP地址和端口进行通信的数据包，立即返回相应告警并过滤掉数据包；

3)对数据包进行初步的网络层协议分析，若存在协议异常则返回相应告警，若没有异常则确定协议类型，并进行协议分流；

4)对分流后的数据包进行传输层协议解析，若存在协议异常则返回相应告警，若没有则进一步分流数据包；

5)对进一步分流的数据包进行电网终端传输规约解析，若存在规约异常则返回相应告警，若没有则对数据包的有效载荷进行模式匹配；

6)根据深度协议解析结果返回相应的异常事件；

(3)协同监测策略加载模块

目前电网终端安全监测缺乏相应的手段来调和监测的可用性和扩展性，即在实现对已知大部分攻击的准确识别的同时往往无法分辨出未知的特种攻击手段，从而导致监测准确率并不能令人满意，严重威胁着电网终端系统的安全。因此协同监测策略加载模块的设计意义在于保证既能识别大部分已知攻击，也能识别未知的特种攻击。在本发明中，所述协同监测策略加载模块由四个单元组成：策略库、机器学习检测单元、策略优化单元和一致性检验单元。

所述策略库定义一组基本策略用于识别电网智能终端中的安全威胁；所述基本策略由规则和脚本组成，规则定义了已知攻击行为特征或入侵的模式，脚本定义了电网智能终端中的参数设置、设备控制等特权敏感操作的序列以及操作频度，用于检测判断电网智能终端系统中的异常行为模式，识别未知的攻击行为。

所述机器学习检测单元以BP神经网络和增量式GHSOM算法为核心算法集，先加载模块中的原始策略库，同时以监测数据采集模块不断输出的数据元组作为训练数据集；BP神经网络和增量式GHSOM算法采用串行条件结构进行调用，BP神经网络作为基分类器进行快速建模，用于对已知安全威胁进行快速分类；当遇到无法准确分类的数据集时，机器学习检测单元调用增量式GHSOM算法，进一步检测未知的特种攻击。通过以上离线学习，该单元算法得到进一步改进。

所述策略优化单元根据机器学习检测单元的训练结果对原始策略进行修改优化。

所述一致性检验单元用于对优化后的策略进行一致性检查，只有通过一致性检验才能对策略库进行相应的修改、更新。

所述一致性检验单元负责对优化后的策略进行一致性检查，由于策略库的一致性是衡量策略库性能优劣的重要因素之一，为了便于不同的数据集训练结果对库中的策略进行增加、删除、修改以及添加等操作，同时为了避免导致策略的冗余、闭环以及矛盾，就必须进行规则的一致性检查。在系统创建初期，策略库的规模较小，内容较为简单，因此容易保证策略的一致性。但随着机器学习算法不断自我改进完善，策略库中的规则和脚本越来越多，在这种情况下，策略库的一致性检查显得尤其重要。在本发明中，只有通过一致性检验才能对原有策略库进行相应的修改。更新的策略库将被机器学习监测单元调用用于新一轮的威胁监测，从而使得机器学习监测算法不断完善，不断适用。

具体地，所述协同监测策略加载模块的工作流程如下：

1)分析电网智能终端安全攻击特征及入侵模式，形成针对已知攻击的形式化规则描述，从电网智能终端生产交互模式中提取系统级行为特征，形成工控系统正常行为基准的脚本描述，将规则和脚本整合为原始策略库；

2)将监测数据采集模块的输出作为训练数据集训练机器学习检测单元；

3)根据机器学习检测单元的训练结果对策略进行优化；

4)结合原策略库对优化后的策略进行一致性分析，消除相互冲突和冗余的监测策略；

5)根据改进的策略库，机器学习检测单元对新输入的数据集进行训练；

6)将改进的策略库加载到协同安全监测操作核心。

(4)协同安全监测操作核心

所述协同安全监测操作核心主要由聚合单元和协同判定器组成。

传输规约解析器输出的异常事件不仅数量庞大，而且每一条异常事件不能完全准确描述当前电网终端中的潜在威胁。因此，所述协同安全监测操作核心通过聚合单元对传输规约解析器输出的当前出现的异常事件进行聚合操作生成聚合告警；聚合告警用hW表示如下：

hW＝＜ID,num,dest_IP,precond,postcond,TM＞

其中ID表示局和告警唯一标识符，num表示告警次数统计，dest_IP直接继承自异常事件w当中，precond表示告警前提，postcond表示攻击后果，TM表示告警起始时间；对于precond和postcond，其信息根据攻击分类属性表获得，将电网智能终端中可能出现的威胁整合为一张威胁属性表，所述威胁属性表将电网终端威胁分为常规网络攻击(normalcyber attack，NCA)、电网智能终端协议异常(grid protocol exception，GPE)、违规业务(illegal service，IS)和工控特种攻击(industrial-control-concentrated attack，ICCA)四大类。

然后，所述协同安全操作核心启动协同判定器，将生成的四大类聚合告警作为输入，加载由协同监测策略加载模块生成的策略库对聚合告警采取进一步的协同判定。协同判定的好处在于通过分析不同类型或同一类型的多种聚合告警之间的联系，同时基于机器学习生成的策略库对判定结果进行修正和补充，不仅能够进一步准确监测出潜在的安全威胁，而且能够有效监测出分布式攻击、协同攻击等传统入侵监测系统无法正确识别的攻击行为。

假定对于三个不同的聚合告警hW_A，hW_B和hW_C，如果满足：

hW_A.dest_IP＝hW_B.dest_IP＝hW_C.dest_IP

hW_A.TM≤hW_B.TM≤hW_C.TM

hW_A.postcond＝hW_B.precond

hW_B.postcond＝hW_C.precond

则认为这三次聚合告警形成因果关联；如果满足：

hW_A.dest_IP＝hW_B.dest_IP＝hW_C.dest_IP

hW_A.TM-hW_B.TM＝hW_B.TM-hW_C.TM

则预示这三次聚合告警之间有着精准的时间间隔，那么认为存在针对同一目标的安全威胁；最终输出相应的威胁评估，威胁评估用Att表示如下：

Att＝＜category,dest_IP,specif,TMs,＞

其中category表示威胁分类，dest_IP直接继承自聚合告警，specif表示安全威胁的详细报告，TMs表示安全威胁的时间链；安全威胁的详细报告specif继承自聚合告警并得到进一步的汇总；时间链TMs记录实施方采取攻击手段过程中的重要时间节点。

然后加载策略库，对安全威胁评估进行修正，如果经修正发现没有潜在安全威胁则不输出任何信息，如果经修正发现存在潜在安全威胁则输出修正的安全威胁评估：

Att^*＝＜category,dest_IP,specif,TMs,＞。

具体地，所述协同安全监测操作核心的工作流程如下：

1)聚合单元汇总过滤海量异常事件生成常规网络攻击、电网终端协议异常、违规业务以及工控特种攻击四类聚合告警；

2)协同判定器根据关联规则寻找聚合告警之间的内在联系，通过联系确定安全威胁类型建立相应的安全威胁评估；

3)协同判定器加载策略库，对安全威胁评估信息进行修正和补充；

4)经过协同判定如果发现不存在安全威胁则不输出任何信息，否则输出安全威胁评估。

(5)安全监测管理模块

所述安全监测管理模块主要由综合审计单元、安全告警单元和日志管理单元三个部分组成。

首先根据电网终端监测域的划分，为任意监测域D_i设定一个重要度L_i，同时给四大类安全威胁分配一个基准威胁度，即{t_NCA,t_GPE,t_IS,t_ICCA}；各类安全威胁的基准威胁度代表了其中一种常见攻击方式的危险程度，并以此作为衡量其他安全威胁的基准；安全监测管理模块在接收到安全威胁评估之后，调用综合审计单元对所有安全威胁评估进行审计操作，确定该安全威胁的威胁度修正值t_Δ；威胁度修正值来源自攻击属性表，该威胁的攻击前提越少，攻击后果越多则修正值越高，反之则越低；综合审计单元给出安全威胁评估和相应的安全态势：

SR＝L_i×(t_x+t_Δ)

其中，x∈{NCA,GPE,IS,ICCA}

随后安全告警单元给出威胁告警＜Att,SR＞，日志管理单元记录此次威胁告警，最终交由系统运行和维护人员进行威胁处置；所述安全监测管理模块的工作流程如下：

1)根据监测域划分状况设定各监测域的重要度

2)为四类安全威胁设定基准威胁度{t_NCA,t_GPE,t_IS,t_ICCA}；

3)以基准威胁度为基准，为收到的安全威胁评估设定威胁度修正值t_Δ；

4)计算当前安全威胁所针对目标的安全态势SR；

5)安全告警单元输出威胁告警＜Att,SR＞；

6)日志管理单元记录威胁告警，并交由系统运行和维护人员进行威胁处置。

图3示出了本系统的工作流程。所述电网智能终端协同攻击监测系统的工作流程主要包含多源数据采集、在线深度规约解析、协同监测策略离线学习、协同监测评估安全威胁四大步骤：(1)多源数据采集步骤中利用分布式的电网智能终端监测数据采集模块收集来自各个监测域的多源数据，其中包括域内上下行流量、设备状态、配置信息以及服务器日志，将多源数据整合为半结构化的数据元组等待进一步的挖掘；(2)在线深度规约解析步骤中使用零拷贝技术对半结构化数据元组中的数据包进行处理，首先对数据包进行非法IP地址/端口过滤，其次从网络到传输层再到应用层逐层对数据包进行协议分析，识别不合符各层传输协议规范的数据包，此外通过载荷匹配提取数据包的应用层字段，识别电网智能终端操作类型和操作频度，同时检测载荷中是否包含病毒等电网智能终端特种攻击，进而实现命令级别的识别分析，最后返回异常事件完成工控系统网络通信特征、传输协议特征、命令级行为特征和特种攻击特征的初步提取；(3)协同监测策略离线学习步骤中将采集的半结构化数据元组作为数据集对机器学习检测算法进行训练，利用训练结果对监测策略库进行优化；(4)协同监测评估安全威胁步骤对异常事件进行聚合生成聚合告警，协同不同类型或者同一类型下多个聚合告警，根据关联规则找寻聚合告警之间的内在联系，通过联系确定相应的安全威胁评估，同时协同加载优化的检测策略库对安全威胁评估做出修正或补充，计算攻击目标的安全态势，最终输出、记录、管理相应的安全告警。

以上所述，仅是本发明的较佳实施例而已，并非是对本发明作其它形式的限制，任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型，仍属于本发明技术方案的保护范围。

Claims (10)

1.一种电网智能终端协同攻击监测系统，其特征在于，包括：

监测数据采集模块，用于收集系统中多类业务数据源的数据信息并进行预处理，然后传输给协同监测策略加载模块；

传输规约解析器，用于获取电网智能终端中的数据包，并进行深层次解析，然后将解析出的异常事件输入协同安全监测操作核心；

协同监测策略加载模块，用于构建及更新用于识别电网智能终端中安全威胁的策略库，并加载到协同安全监测操作核心；

协同安全监测操作核心，用于通过加载的策略库对异常事件进行协同判定；以及

安全监测管理模块，用于对安全威胁评估进行综合审计，输出相应的安全告警并记录和管理告警日志。

2.根据权利要求1所述的电网智能终端协同攻击监测系统，其特征在于，所述监测数据采集模块分布式部署在智能电网系统中，用于收集系统中各处的数据信息，包括上下行流量、设备状态、配置信息以及服务器日志；

假设系统中总共部署了n个监测数据采集模块，记为：

Cols＝{C₁,C₂,…,C_n}

将系统网络划分为m个监测域：

Doms＝{D₁,D₂,…,D_m}

每个监测域以一个服务器为中心包含k个设备，并由至少一个监测数据采集模块负责收集数据信息；假定第i个监测数据采集模块C_i负责收集监测域D_i从时刻t_i,j到时刻t_i,j+1的数据信息，其中包括所有上下行流量Tra_i、设备状态Sta_i＝{s_i,1,s_i,2,…,s_i,k}、配置信息Con_i＝{c_i,1,c_i,2,…,c_i,k}以及服务器日志Log_i，则C_i收集到的信息元组为：

＜t_i,j,t_i,j+1,Tra_i,Sta_i,Con_i,Log_i＞

所有监测数据采集模块将收集到的数据进行预处理，得到初步整合的半结构化数据元组：

3.根据权利要求2所述的电网智能终端协同攻击监测系统，其特征在于，所述监测数据采集模块进行数据信息收集和预处理的工作流程为：

1)启动系统中所有监测数据采集模块，并为各个监测数据采集模块分配监测域，完成监测数据采集模块的初始化操作；

2)各个监测数据采集模块采集监测域内的所有上下行流量、设备状态、配置信息以及服务器日志；

3)收集各个监测数据采集模块采集的数据信息，通过预处理整合为半结构化数据元组，然后发送给传输规约解析器。

4.根据权利要求1所述的电网智能终端协同攻击监测系统，其特征在于，所述传输规约解析器进行数据解析的工作流程为：

1)捕获电网智能终端中的数据包；

2)如果存在以非法IP地址和端口进行通信的数据包，立即返回相应告警并过滤掉数据包；

3)对数据包进行初步的网络层协议分析，若存在协议异常则返回相应告警，若没有异常则确定协议类型，并进行协议分流；

4)对分流后的数据包进行传输层协议解析，若存在协议异常则返回相应告警，若没有则进一步分流数据包；

5)对进一步分流的数据包进行电网终端传输规约解析，若存在规约异常则返回相应告警，若没有则对数据包的有效载荷进行模式匹配；

6)根据深度协议解析结果返回相应的异常事件；异常事件用W表示如下：

W＝＜w_ID,sour_IP,dest_IP,sour_P，dest_P,feature,time＞

其中w_ID表示告警唯一标识符，sour_IP表示数据包源地址，dest_IP表示数据包目的地址，sour_P表示源端口，dest_P表示目的端口，feature表示告警特征，time表示产生的时间戳。

5.根据权利要求4所述的电网智能终端协同攻击监测系统，其特征在于，所述传输规约解析器首先通过循环调用Libpcap函数库的pcap_next捕包函数进行捕包，所述pcap_next捕包函数返回指向捕获到的网络数据包的内存地址；通过设置伯克利数据包过滤器BPF加载过滤规则，并将网卡设置为洪泛模式来获取所需的数据包；BPF先捕获链路层的数据包，然后将过滤后的数据包提供给应用层；BPF主要由网络接口和数据包过滤器两个部分组成，所述网络接口主要通过网络驱动程序从网卡上获取流经网卡的所有数据包，然后把数据包分发给正在等待的系统进程；所述数据包过滤器通过用户定义的相应规则丢弃没用的数据包，缓存有效的数据包。

6.根据权利要求1所述的电网智能终端协同攻击监测系统，其特征在于，所述协同监测策略加载模块包括策略库、机器学习检测单元、策略优化单元和一致性检验单元；所述策略库定义一组基本策略用于识别电网智能终端中的安全威胁；所述基本策略由规则和脚本组成，规则定义了已知攻击行为特征或入侵的模式，脚本定义了电网智能终端中包括参数设置、设备控制的特权敏感操作的序列以及操作频度，用于检测判断电网智能终端系统中的异常行为模式，识别未知的攻击行为；

所述机器学习检测单元以BP神经网络和增量式GHSOM算法为核心算法集，先加载模块中的原始策略库，同时以监测数据采集模块不断输出的数据元组作为训练数据集；BP神经网络和增量式GHSOM算法采用串行条件结构进行调用，BP神经网络作为基分类器进行快速建模，用于对已知安全威胁进行快速分类；当遇到无法准确分类的数据集时，机器学习检测单元调用增量式GHSOM算法，进一步检测未知的特种攻击；

所述策略优化单元根据机器学习检测单元的训练结果对原始策略进行修改优化；

所述一致性检验单元用于对优化后的策略进行一致性检查，只有通过一致性检验才能对策略库进行相应的修改、更新。

7.根据权利要求6所述的电网智能终端协同攻击监测系统，其特征在于，所述协同监测策略加载模块的工作流程如下：

1)分析电网智能终端安全攻击特征及入侵模式，形成针对已知攻击的形式化规则描述，从电网智能终端生产交互模式中提取系统级行为特征，形成工控系统正常行为基准的脚本描述，将规则和脚本整合为原始策略库；

2)将监测数据采集模块的输出作为训练数据集训练机器学习检测单元；

3)根据机器学习检测单元的训练结果对策略进行优化；

4)结合原策略库对优化后的策略进行一致性分析，消除相互冲突和冗余的监测策略；

5)根据改进的策略库，机器学习检测单元对新输入的数据集进行训练；

6)将改进的策略库加载到协同安全监测操作核心。

8.根据权利要求1所述的电网智能终端协同攻击监测系统，其特征在于，所述协同安全监测操作核心主要由聚合单元和协同判定器组成；

所述协同安全监测操作核心通过聚合单元对传输规约解析器输出的当前出现的异常事件进行聚合操作生成聚合告警；聚合告警用hW表示如下：

hW＝＜ID,num,dest_IP,precond,postcond,TM＞

其中ID表示局和告警唯一标识符，num表示告警次数统计，dest_IP直接继承自异常事件w当中，precond表示告警前提，postcond表示攻击后果，TM表示告警起始时间；对于precond和postcond，其信息根据攻击分类属性表获得，将电网智能终端中可能出现的威胁整合为一张威胁属性表，所述威胁属性表将电网终端威胁分为常规网络攻击、电网智能终端协议异常、违规业务和工控特种攻击四大类；

然后，所述协同安全操作核心启动协同判定器，将生成的四大类聚合告警作为输入，加载由协同监测策略加载模块生成的策略库对聚合告警采取进一步的协同判定；

假定对于三个不同的聚合告警hW_A，hW_B和hW_C，如果满足：

hW_A.dest_IP＝hW_B.dest_IP＝hW_C.dest_IP

hW_A.TM≤hW_B.TM≤hW_C.TM

hW_A.postcond＝hW_B.precond

hW_B.postcond＝hW_C.precond

则认为这三次聚合告警形成因果关联；如果满足：

hW_A.dest_IP＝hW_B.dest_IP＝hW_C.dest_IP

hW_A.TM-hW_B.TM＝hW_B.TM-hW_C.TM

则预示这三次聚合告警之间有着精准的时间间隔，那么认为存在针对同一目标的安全威胁；最终输出相应的威胁评估，威胁评估用Att表示如下：

Att＝＜category,dest_IP,specif,TMs,＞

其中category表示威胁分类，dest_IP直接继承自聚合告警，specif表示安全威胁的详细报告，TMs表示安全威胁的时间链；安全威胁的详细报告specif继承自聚合告警并得到进一步的汇总；时间链TMs记录实施方采取攻击手段过程中的重要时间节点；

然后加载策略库，对安全威胁评估进行修正，如果经修正发现没有潜在安全威胁则不输出任何信息，如果经修正发现存在潜在安全威胁则输出修正的安全威胁评估：

Att^*＝＜category,dest_IP,specif,TMs,＞。

9.根据权利要求8所述的电网智能终端协同攻击监测系统，其特征在于，所述协同安全监测操作核心的工作流程如下：

1)聚合单元汇总过滤海量异常事件生成常规网络攻击、电网终端协议异常、违规业务以及工控特种攻击四类聚合告警；

2)协同判定器根据关联规则寻找聚合告警之间的内在联系，通过联系确定安全威胁类型建立相应的安全威胁评估；

3)协同判定器加载策略库，对安全威胁评估信息进行修正和补充；

4)经过协同判定如果发现不存在安全威胁则不输出任何信息，否则输出安全威胁评估。

10.根据权利要求1述的电网智能终端协同攻击监测系统，其特征在于，所述安全监测管理模块主要由综合审计单元、安全告警单元和日志管理单元三个部分组成；

首先根据电网终端监测域的划分，为任意监测域D_i设定一个重要度L_i，同时给四大类安全威胁分配一个基准威胁度，即{t_NCA,t_GPE,t_IS,t_ICCA}；各类安全威胁的基准威胁度代表了其中一种常见攻击方式的危险程度，并以此作为衡量其他安全威胁的基准；安全监测管理模块在接收到安全威胁评估之后，调用综合审计单元对所有安全威胁评估进行审计操作，确定该安全威胁的威胁度修正值t_Δ；威胁度修正值来源自攻击属性表，该威胁的攻击前提越少，攻击后果越多则修正值越高，反之则越低；综合审计单元给出安全威胁评估和相应的安全态势：

SR＝L_i×(t_x+t_Δ)

其中，x∈{NCA,GPE,IS,ICCA}

随后安全告警单元给出威胁告警＜Att,SR＞，日志管理单元记录此次威胁告警，最终交由系统运行和维护人员进行威胁处置；所述安全监测管理模块的工作流程如下：

1)根据监测域划分状况设定各监测域的重要度

2)为四类安全威胁设定基准威胁度{t_NCA,t_GPE,t_IS,t_ICCA}；

3)以基准威胁度为基准，为收到的安全威胁评估设定威胁度修正值t_Δ；

4)计算当前安全威胁所针对目标的安全态势SR；

5)安全告警单元输出威胁告警＜Att,SR＞；

6)日志管理单元记录威胁告警，并交由系统运行和维护人员进行威胁处置。

Images