CN116108202A - 基于关系图谱的用采系统数据攻击行为建模方法 - Google Patents

基于关系图谱的用采系统数据攻击行为建模方法 Download PDF

Info

Publication number
CN116108202A
CN116108202A CN202310077508.0A CN202310077508A CN116108202A CN 116108202 A CN116108202 A CN 116108202A CN 202310077508 A CN202310077508 A CN 202310077508A CN 116108202 A CN116108202 A CN 116108202A
Authority
CN
China
Prior art keywords
attack
data
mining system
graph
map
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310077508.0A
Other languages
English (en)
Inventor
吴裔
王勇
王真
温蜜
吴欢欢
刘畅
郭乃网
王彬彬
沈泉江
张蕾
田英杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Electric Power University
State Grid Shanghai Electric Power Co Ltd
Original Assignee
Shanghai Electric Power University
State Grid Shanghai Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Electric Power University, State Grid Shanghai Electric Power Co Ltd filed Critical Shanghai Electric Power University
Priority to CN202310077508.0A priority Critical patent/CN116108202A/zh
Publication of CN116108202A publication Critical patent/CN116108202A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • G06F16/215Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Animal Behavior & Ethology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computational Linguistics (AREA)
  • Quality & Reliability (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明提供一种基于关系图谱的用采系统数据攻击行为建模方法,其包含:S1、获取用采系统的第一相关数据并进行标准化处理;S2、对智能电表进行攻击模拟,接收所述智能电表对应的用采系统的异常数据,解析后得到攻击特征数据集;S3、构建面向所述用采系统攻击的知识表达模型;S4、利用匹配工具将所述第一相关数据与所述异常数据进行匹配;S5、对步骤S4中匹配后的数据进行处理,形成所述用采系统的关系图谱特征数据库;S6、按照用采系统的关系图谱特征数据库构建关系图谱;S7、利用关系图谱,结合基于贝叶斯攻击图的攻击图,分析所述用采系统的被攻击路径。本发明提高了用采系统数据攻击检测的效率和安全防御能力等优势。

Description

基于关系图谱的用采系统数据攻击行为建模方法
技术领域
本发明属于电力信息安全领域,尤其涉及一种基于关系图谱的用采系统数据攻击行为建模方法。
背景技术
目前,以公网侧智能电表作为跳板发起的数据攻击主要分为物理攻击和网络攻击。前者主要通过电磁攻击等手段干扰电流互感器、电压互感器等量测器件的正常工作,后者主要通过DDoS(分布式拒绝服务攻击)、中间人攻击等手段干扰通信网络的正常工作。一些数据攻击检测方法以机理模型为切入点,分析采集的电流、电压、有功、无功、功率因数是否位于合理范围,从而判断智能电表是否遭受数据攻击。此类方法在窃电稽查等业务场景中广泛应用,辅助现场作业人员稽查“断流、失压、移相、改线”等窃电问题。
近年来,针对用采系统(终端)的电磁攻击、中间人攻击频发。该类攻击能够在不造成物理破坏的前提下,在合理范围内篡改量测数据,致使基于机理模型的数据攻击检测方法失效。有鉴于此,一些工作融合机器学习、深度学习、强化学习、知识图谱/关系图谱等技术,提出基于人工智能的数据攻击检测方法。在现有的数据攻击检测方法中,所用到的知识图谱技术主要侧重于构建静态的知识网络,对于发现数据关联性具有重要作用,但其构建过程需要海量的数据攻击知识库,并且执行复杂度和成本较高。
近年来,关系图谱取代知识图谱,在数据攻击检测方面取得了广泛应用。例如,采用图的傅里叶变换和信号处理来表征数据攻击过程中数据向量的关系,通过建立关系图谱来分析数据攻击行为和路径。与知识图谱相比,关系图谱主要描述给定对象的有限状态集合中,特征向量之间的变化关系以及特征向量内部各变量之间的变化关系。具体地,将对象状态表征为由多个变量构成的特征向量,则对象在t时刻的状态表征为对应特征向量在t时刻的取值,对象的状态迁移表征为对应特征向量的时序变化。也就是说,关系图谱侧重于描述对象的状态变化关系,在知识的表征与推理过程中能够凸出重点。电力系统是规模最大的人造信息物理系统,将关系图谱引入用采系统数据攻击检测,能够简化知识表征,强化知识推理。
发明内容
本发明的目的是为了克服现有技术存在的缺陷而提供一种针对用采系统的数据攻击问题,基于关系图谱的用采系统数据攻击建模方法,建立客观反映用采系统的数据模型,构建准确描述用采系统数据攻击的特征图谱。
为实现上述目的,本发明提供一种基于关系图谱的用采系统数据攻击行为建模方法,其包括如下步骤:S1、获取用采系统的第一相关数据并进行标准化处理;S2、对智能电表进行攻击模拟,接收所述智能电表对应的用采系统的异常数据,解析后得到攻击特征数据集;S3、构建面向所述用采系统攻击的知识表达模型;S4、利用匹配工具按照步骤S3中构建的知识表达模型将所述第一相关数据与所述异常数据进行匹配;S5、对步骤S4中匹配后的数据进行清洗、修正、合并,形成所述用采系统的关系图谱特征数据库;S6、按照步骤S5中形成的用采系统的关系图谱特征数据库构建关系图谱;S7、利用步骤S6构建的关系图谱,结合基于贝叶斯攻击图的共攻击图,分析所述用采系统的被攻击路径。
优选的,步骤S1中所述的获取用采系统的第一相关数据并进行标准化处理包括如下步骤:S101、构建用采系统的网络拓扑图,根据所述用采系统的网络拓扑结构图,对网络拓扑结构图中的物理设备和相关接口进行分类;S102、收集用采系统的设备信息、设备日志、使用的各类接口和协议信息,形成所述第一相关数据;S103、对收集到的第一相关数据进行处理,去除异常和不完整的部分,按照相关标准对所述第一相关数据进行校正。
优选的,步骤S2包括如下步骤:S201、对用采系统的通信过程使用不同攻击行为;S202、对攻击行为进行实时监测,利用探针抓取用采系统的正常报文数据和异常报文数据,解析报文内容,根据报文内容确定报文类型,并根据报文类型确定对应的攻击类型,对报文数据进行标注;S203、收集完各类攻击类型的报文数据后,从攻击的角度对用采系统中各物理设备和相关接口脆弱性的关系进行分析,得到攻击特征数据集。
优选的,步骤S3所述的构建面向所述用采系统攻击的知识表达模型包括如下步骤:S301、对步骤S1标准化处理过的用采系统第一相关数据进行语义标注;S302、根据关系图谱的构建特征,在第一相关数据和攻击特征数据集中抽取相关的实体关系,构建由实体-关系-实体组成的三元组,形成用采系统攻击的知识表达模型。
优选的,步骤S4中按照所述知识表达模型匹配数据包括如下步骤:S401、针对不同数据类型的第一相关数据和攻击特征数据集,根据其结构化程度的差异,利用对应的工具进行数据抽取;S402、按照构建的三元组对获取的数据进行匹配保存。
优选的,步骤S5所述的对步骤S4中匹配后的数据进行清洗、修正、合并包括如下步骤:S501、按照相关规则筛选出冗余的数据并剔除;S502、合并数据流向和路径一致的数据;S503、合并相同设备的数据。
优选的,步骤S6所述的构建关系图谱包括如下步骤:S601、对处理后的用采系统的关系图谱特征数据库中的各类三元组进行整合和连接,构成结构化的语义网络图谱;S602、将所述语义网络图谱数据存储到数据库中。
优选的,所述步骤S7中分析所述用采系统的被攻击路径包括如下步骤:S701、利用入侵检测系统对用采系统进行攻击行为告警分析,获取攻击相关数据;S702、根据入侵检测系统检测到的遭受攻击的相关设备节点的状态信息,构造贝叶斯攻击图的攻击节点;S703、根据贝叶斯攻击图计算最大概率的攻击路径,并对该最大概率的攻击路径进行可视化。
优选的,步骤S703中所述的根据贝叶斯攻击图计算最大概率的攻击路径包括如下步骤:S731、建立贝叶斯攻击图节点的范围;S732、输入步骤S701获取的攻击相关数据;S733、根据条件概率表计算联合概率;S734、建立基于联合树算法的推理引擎;S735、利用从入侵检测系统中获取到的攻击行为进行推理,得到攻击路径。
优选的,所述贝叶斯攻击图中节点的可达概率可作为攻击路径的查找依据,所述可达概率的计算公式为:
Figure BDA0004066585560000031
其中,P1(Sj)表示贝叶斯攻击图中节点Sj的可达概率,是当前节点和其祖先节点的联合概率,P(Sj|Par(Sj))表示节点Sj的条件概率,Par(Sj)表示节点Sj父节点的集合。
综上所述,与现有技术相比,本发明提供的一种基于关系图谱的用采系统数据攻击行为建模方法,具有如下有益效果:
1)通过关系图谱描述用采系统中各类数据之间的关联性,建立数据攻击行为的检测模型,将用采系统的数据攻击检测描述为动态的行为网络,相比静态的知识网络更能有效地应对攻击行为的复杂性和多变性;
2)通过收集攻击行为中的相关数据,构建信息通信模型,从攻击视角剖析数据攻击生命周期内的关键特征,以此作为攻击模型图谱的特征数据库,为用采系统的数据攻击检测中攻击路径的预测提供了丰富的数据基础;
3)在构建完善的关系图谱的基础上,利用贝叶斯攻击图推理算法作为攻击路径预测的手段,贝叶斯攻击图具有强大的表达和推理能力,大大提高了用采系统数据攻击检测的效率,同时结合关系图谱对攻击路径进行可视化,丰富了用采系统数据攻击检测的展示手段。
附图说明
图1为本发明的基于关系图谱的用采系统数据攻击行为建模方法的流程图;
图2为本发明的基于关系图谱的用采系统数据攻击行为建模方法中的用采系统的网络拓扑图的连接框图。
具体实施方式
以下将结合本发明实施例中的附图1~附图2,对本发明实施例中的技术方案、构造特征、所达成目的及功效予以详细说明。
需要说明的是,在本发明中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括明确列出的要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
本发明提供了一种基于关系图谱的用采系统数据攻击行为建模方法,如图1所示,该用采系统数据攻击行为建模方法包括:S1、获取用采系统的第一相关数据并进行标准化处理;S2、对智能电表进行攻击模拟,接收所述智能电表对应的用采系统的异常数据,解析后得到攻击特征数据集;S3、构建面向所述用采系统攻击的知识表达模型;S4、利用匹配工具按照步骤S3中构建的知识表达模型将所述第一相关数据与所述异常数据进行匹配;S5、对步骤S4中匹配后的数据进行清洗、修正、合并,形成所述用采系统的关系图谱特征数据库;S6、按照步骤S5中形成的用采系统的关系图谱特征数据库构建关系图谱;S7、利用步骤S6构建的关系图谱,结合基于贝叶斯攻击图的共攻击图,分析所述用采系统的被攻击路径。
其中,步骤S1中所述的获取用采系统的第一相关数据并进行标准化处理包括如下步骤:S101、构建用采系统的网络拓扑图,根据所述用采系统的网络拓扑结构图,对网络拓扑结构图中的物理设备和相关接口进行分类;S102、收集用采系统的设备信息、设备日志、使用的各类接口和协议信息,形成所述第一相关数据;S103、对收集到的第一相关数据进行处理,去除异常和不完整的部分,按照相关标准对所述第一相关数据进行校正。
进一步,如图2所示,步骤S101中构建的用采系统的网络拓扑图包括:主站1、第一通信信道2、现场终端3、第二通信信道4和电力用户5;所述现场终端3包括两个接口,分别为第一接口和第二接口;所述主站1通过第一通信信道2与所述现场终端3的第一接口连接,所述现场终端3的第二接口通过第二通信信道4与电力用户5连接。在具体实施例中,所述第一接口和所述第二接口可以采用tcp接口(Transmission Control Protocol,传输控制协议)作为通信信道的接口;所述现场终端3为与电力用户5通信连接的智能电表。
其中,步骤S103中所述的按照相关标准对所述第一相关数据进行校正的相关标准包括设备日志的标准格式、第一通信信道或第二通信信道采用的通信协议的通用标准。分别根据所述设备日志的标准格式和通信协议的通用标准将采集到的第一相关数据中的异常和不完整的部分进行删除。
其中,步骤S2包括如下具体步骤:S201、对用采系统的通信过程使用不同攻击行为;所述攻击行为的类型包括电磁攻击、协议攻击、篡改攻击以及假数据注入攻击,以实现对智能电表的模拟攻击;S202、对攻击行为进行实时监测,利用探针抓取用采系统的正常报文数据和异常报文数据,解析报文内容,根据报文内容确定报文类型,并根据报文类型确定对应的攻击类型,对报文数据进行标注;S203、收集完各类攻击类型的报文数据后,从攻击的角度对用采系统中各物理设备和相关接口脆弱性的关系进行分析,得到攻击特征数据集。
其中,步骤S3所述的构建面向所述用采系统攻击的知识表达模型具体包括:S301、对步骤S1标准化处理过的用采系统第一相关数据进行语义标注;S302、根据关系图谱的构建特征,在第一相关数据和攻击特征数据集中抽取相关的实体关系,构建由实体-关系-实体组成的三元组,形成用采系统攻击的知识表达模型。
其中,步骤S4中按照所述知识表达模型匹配数据具体包括:S401、针对不同数据类型的第一相关数据和攻击特征数据集,根据其结构化程度的差异,利用对应的工具进行数据抽取;S402、按照构建的三元组对获取的数据进行匹配保存。具体的,针对数据类型为结构化数据,使用D2R工具匹配抽取;针对数据类型为半结构化数据,使用基于规则的方法进行匹配抽取;针对数据类型为非结构化数据,使用基于规则的方法匹配抽取实体和关系。
其中,步骤S5所述的对步骤S4中匹配后的数据进行清洗、修正、合并包括:S501、按照相关规则筛选出冗余的数据并剔除,在本实施例中所述相关规则包括STIX2.0(结构化威胁信息表达式),其主要面向步骤2中的攻击特征数据集的实体关系;S502、合并数据流向和路径一致的数据;S503、合并相同设备的数据。通过步骤S501~步骤S503的数据处理,形成用采系统的三元组关系图谱特征数据库。
进一步,基于步骤S5形成的用采系统的关系图谱特征数据库,步骤S6所述的构建关系图谱包括如下步骤:S601、对处理后的用采系统的关系图谱特征数据库中的各类三元组进行整合和连接,构成结构化的语义网络图谱;所述语义网络图谱包括设备资产图谱和攻击模型图谱;S602、将所述语义网络图谱数据存储到数据库中。再进一步,所述设备资产图谱和攻击模型图谱需要进行可视化处理,所述可视化处理方式包括形成用采系统的各个典型场景的拓扑图、设备软件树和攻击链,通过可视化处理,不仅提高用采系统的设备状态可读性,还有利于提高工作效率。
在所述步骤S7中,分析所述用采系统的被攻击路径包括如下步骤:S701、利用入侵检测系统对用采系统进行攻击行为告警分析,获取攻击相关数据;S702、根据入侵检测系统检测到的遭受攻击的相关设备节点的状态信息,构造贝叶斯攻击图的攻击节点;S703、根据贝叶斯攻击图计算最大概率的攻击路径,并对该最大概率的攻击路径进行可视化。
其中,所述贝叶斯攻击图根据步骤S601构建的攻击模型图谱进行构造,所述贝叶斯攻击图是一个有向无环图,其表示为BAG=(S,A,E,R,P);其中S表示节点的集合,A表示原子攻击的集合,E表示攻击图中的有向边集合,R表示攻击图中父子节点之间的关系,P表示攻击图中节点的可达概率。
进一步,步骤S703中所述的根据贝叶斯攻击图计算最大概率的攻击路径包括如下步骤:S731、建立贝叶斯攻击图节点的范围;S732、输入步骤S701获取的攻击相关数据;S733、根据条件概率表计算联合概率,即通过贝叶斯公式P(A|B)=P(B|A)*P(A)/P(B)计算联合概率;S734、建立基于联合树算法的推理引擎;S735、利用从入侵检测系统中获取到的攻击行为进行推理,得到攻击路径。其中,步骤S734建立基于联合树算法的推理引擎为现有技术,即先将有向图转为无向图,之后将无向图三角化,再将三角化的图转化为树,最后寻找树的根和最大生成树,即得到最终的联合树。
进一步地,贝叶斯攻击图中节点的可达概率可作为攻击路径的查找依据,所述可达概率的计算公式为:
Figure BDA0004066585560000071
其中,P1(Sj)表示贝叶斯攻击图中节点Sj的可达概率,是当前节点和其祖先节点的联合概率,P(Sj|Par(Sj))表示节点Sj的条件概率,Par(Sj)表示节点Sj父节点的集合。
进一步,以HPLC智能电表为例,步骤S703中所述的最大概率的攻击路径可视化的具体过程包括:
S731:调研HPLC智能电表,收集该HPLC智能电表对应的用采系统攻击特征数据集;
S732:根据收集的用采系统攻击特征数据集,对用采系统的表结构进行分析,其包括以下子步骤:
S7321:统计带时间序列的数据,提取用作关系图谱研究对象的数据(即关系图谱研究对象收束),以实现单一智能电表采集数据的简化,也就是说,通过步骤S7321获得的关系图谱研究对象的数据只包含带有时间序列的数据;
S7322:构建同一区域下的多个智能电表间的用采系统的网络拓扑图,以实现多个智能电表的关联关系在关系图谱中的体现;其中,所述同一区域是指相似用电场景的区域,比如家庭、学校或公司等区域分类;
S733:根据用采系统的表结构的分析结果,将攻击特征数据集与用采系统的网络拓扑图中的设备关联,获得各个用采系统的网络拓扑图中的设备的攻击特征数据集变化情况;根据网络拓扑图中的设备对应的攻击特征数据集变化情况,将攻击特征数据集进行分类,在可视化界面时使用不同颜色或其他表现方式进行区分;
S734:攻击特征数据集进行分类处理后连接可视化工具对其进行展示,设置可调节和选择的功能和界面,使用采系统攻击行为更直观地展现和管理。
综上所述,与现有技术相比,本发明所提供的基于关系图谱的用采系统数据攻击行为建模方法,使用采系统更能有效地应对攻击行为的复杂性和多变性、提高了用采系统数据攻击检测的效率以及丰富了用采系统数据攻击检测的展示手段等优势。
尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。

Claims (10)

1.一种基于关系图谱的用采系统数据攻击行为建模方法,其特征在于,包括如下步骤:
S1、获取用采系统的第一相关数据并进行标准化处理;
S2、对智能电表进行攻击模拟,接收所述智能电表对应的用采系统的异常数据,解析后得到攻击特征数据集;
S3、构建面向所述用采系统攻击的知识表达模型;
S4、利用匹配工具按照步骤S3中构建的知识表达模型将所述第一相关数据与所述异常数据进行匹配;
S5、对步骤S4中匹配后的数据进行清洗、修正、合并,形成所述用采系统的关系图谱特征数据库;
S6、按照步骤S5中形成的用采系统的关系图谱特征数据库构建关系图谱;
S7、利用步骤S6构建的关系图谱,结合基于贝叶斯攻击图的共攻击图,分析所述用采系统的被攻击路径。
2.如权利要求1所述的基于关系图谱的用采系统数据攻击行为建模方法,其特征在于,步骤S1中所述的获取用采系统的第一相关数据并进行标准化处理包括如下步骤:
S101、构建用采系统的网络拓扑图,根据所述用采系统的网络拓扑结构图,对网络拓扑结构图中的物理设备和相关接口进行分类;
S102、收集用采系统的设备信息、设备日志、使用的各类接口和协议信息,形成所述第一相关数据;
S103、对收集到的第一相关数据进行处理,去除异常和不完整的部分,按照相关标准对所述第一相关数据进行校正。
3.如权利要求1所述的基于关系图谱的用采系统数据攻击行为建模方法,其特征在于,步骤S2包括如下步骤:
S201、对用采系统的通信过程使用不同攻击行为;
S202、对攻击行为进行实时监测,利用探针抓取用采系统的正常报文数据和异常报文数据,解析报文内容,根据报文内容确定报文类型,并根据报文类型确定对应的攻击类型,对报文数据进行标注;
S203、收集完各类攻击类型的报文数据后,从攻击的角度对用采系统中各物理设备和相关接口脆弱性的关系进行分析,得到攻击特征数据集。
4.如权利要求1所述的基于关系图谱的用采系统数据攻击行为建模方法,其特征在于,步骤S3所述的构建面向所述用采系统攻击的知识表达模型包括如下步骤:
S301、对步骤S1标准化处理过的用采系统第一相关数据进行语义标注;
S302、根据关系图谱的构建特征,在第一相关数据和攻击特征数据集中抽取相关的实体关系,构建由实体-关系-实体组成的三元组,形成用采系统攻击的知识表达模型。
5.如权利要求4所述的基于关系图谱的用采系统数据攻击行为建模方法,其特征在于,步骤S4中按照所述知识表达模型匹配数据包括如下步骤:
S401、针对不同数据类型的第一相关数据和攻击特征数据集,根据其结构化程度的差异,利用对应的工具进行数据抽取;
S402、按照构建的三元组对获取的数据进行匹配保存。
6.如权利要求1所述的基于关系图谱的用采系统数据攻击行为建模方法,其特征在于,步骤S5所述的对步骤S4中匹配后的数据进行清洗、修正、合并包括如下步骤:S501、按照相关规则筛选出冗余的数据并剔除;S502、合并数据流向和路径一致的数据;S503、合并相同设备的数据。
7.如权利要求5所述的基于关系图谱的用采系统数据攻击行为建模方法,其特征在于,步骤S6所述的构建关系图谱包括如下步骤:
S601、对处理后的用采系统的关系图谱特征数据库中的各类三元组进行整合和连接,构成结构化的语义网络图谱;
S602、将所述语义网络图谱数据存储到数据库中。
8.如权利要求1所述的基于关系图谱的用采系统数据攻击行为建模方法,其特征在于,所述步骤S7中分析所述用采系统的被攻击路径包括如下步骤:
S701、利用入侵检测系统对用采系统进行攻击行为告警分析,获取攻击相关数据;
S702、根据入侵检测系统检测到的遭受攻击的相关设备节点的状态信息,构造贝叶斯攻击图的攻击节点;
S703、根据贝叶斯攻击图计算最大概率的攻击路径,并对该最大概率的攻击路径进行可视化。
9.如权利要求8所述的基于关系图谱的用采系统数据攻击行为建模方法,其特征在于,步骤S703中所述的根据贝叶斯攻击图计算最大概率的攻击路径包括如下步骤:
S731、建立贝叶斯攻击图节点的范围;
S732、输入步骤S701获取的攻击相关数据;
S733、根据条件概率表计算联合概率;
S734、建立基于联合树算法的推理引擎;
S735、利用从入侵检测系统中获取到的攻击行为进行推理,得到攻击路径。
10.如权利要求9所述的基于关系图谱的用采系统数据攻击行为建模方法,其特征在于,所述贝叶斯攻击图中节点的可达概率可作为攻击路径的查找依据,所述可达概率的计算公式为:
Figure FDA0004066585550000031
其中,P1(Sj)表示贝叶斯攻击图中节点Sj的可达概率,是当前节点和其祖先节点的联合概率,P(Sj|Par(Sj))表示节点Sj的条件概率,Par(Sj)表示节点Sj父节点的集合。
CN202310077508.0A 2023-01-16 2023-01-16 基于关系图谱的用采系统数据攻击行为建模方法 Pending CN116108202A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310077508.0A CN116108202A (zh) 2023-01-16 2023-01-16 基于关系图谱的用采系统数据攻击行为建模方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310077508.0A CN116108202A (zh) 2023-01-16 2023-01-16 基于关系图谱的用采系统数据攻击行为建模方法

Publications (1)

Publication Number Publication Date
CN116108202A true CN116108202A (zh) 2023-05-12

Family

ID=86263418

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310077508.0A Pending CN116108202A (zh) 2023-01-16 2023-01-16 基于关系图谱的用采系统数据攻击行为建模方法

Country Status (1)

Country Link
CN (1) CN116108202A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117114102A (zh) * 2023-10-13 2023-11-24 江苏前景瑞信科技发展有限公司 一种基于贝叶斯网络和故障树的变压器故障诊断方法
CN117938554A (zh) * 2024-03-25 2024-04-26 环球数科集团有限公司 一种基于网络安全入侵的预测系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117114102A (zh) * 2023-10-13 2023-11-24 江苏前景瑞信科技发展有限公司 一种基于贝叶斯网络和故障树的变压器故障诊断方法
CN117938554A (zh) * 2024-03-25 2024-04-26 环球数科集团有限公司 一种基于网络安全入侵的预测系统

Similar Documents

Publication Publication Date Title
CN110909811B (zh) 一种基于ocsvm的电网异常行为检测、分析方法与系统
CN116108202A (zh) 基于关系图谱的用采系统数据攻击行为建模方法
CN115578015B (zh) 基于物联网的污水处理全过程监管方法、系统及存储介质
Taghavinejad et al. Intrusion detection in IoT-based smart grid using hybrid decision tree
CN105376193B (zh) 安全事件的智能关联分析方法与装置
CN108199891B (zh) 一种基于人工神经网络多角度综合决策的cps网络攻击辨识方法
CN112528519A (zh) 发动机质量预警服务的方法、系统、可读介质和电子设备
CN110430224B (zh) 一种基于随机块模型的通信网络异常行为检测方法
CN113706100B (zh) 配电网物联终端设备实时探测识别方法与系统
Fu et al. Online temporal-spatial analysis for detection of critical events in cyber-physical systems
CN106126385A (zh) 一种基于同步数据流压缩的设备异常实时检测方法
CN114153980A (zh) 知识图谱构建方法和装置、检查方法、存储介质
CN115396324A (zh) 一种网络安全态势感知预警处理系统
CN117411703A (zh) 一种面向Modbus协议的工业控制网络异常流量检测方法
CN106919650A (zh) 一种增量并行式动态图的结构异常检测方法
CN107579944A (zh) 基于人工智能和MapReduce安全攻击预测方法
CN117240522A (zh) 基于攻击事件模型的漏洞智能挖掘方法
CN117221087A (zh) 告警根因定位方法、装置及介质
CN113098989B (zh) 字典生成方法、域名检测方法、装置、设备及介质
CN116074092B (zh) 一种基于异构图注意力网络的攻击场景重构系统
CN115065539B (zh) 数据安全监测方法、装置、设备及存储介质
CN107025293A (zh) 一种电力二次设备缺陷数据挖掘方法及系统
CN116668105A (zh) 一种结合工控安全知识图谱的攻击路径推理系统
CN116208416A (zh) 一种工业互联网的攻击链路挖掘方法及系统
Sedaghat et al. A Heuristic ETL Process to Dynamically Separate and Compress AIS Data

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination