CN116743508B - 一种电力系统网络攻击链检测方法、装置、设备及介质 - Google Patents

Abstract

本申请公开了计算机技术领域内的一种电力系统网络攻击链检测方法、装置、设备及介质。本申请将实时收集的流量汇总为目标流量集，并转换为流量特征集，之后确定流量特征集中不同流量特征之间的关联关系，从而据此构建得到包括众多关联链的实时特征关联图；最后用人工智能模型检测实时特征关联图里的任意关联链，从而可检测出相应关联链是否为攻击链。该方案汇总实时流量并借助实时特征关联图发现不同流量特征之间的关联，能够挖掘出不同流量特征之间的潜在关系，可以保障检测的实时性和有效性，还能够发现更长时间段内流量的相互潜在关联，提升了攻击链检测的准确性和全面性。

Description

一种电力系统网络攻击链检测方法、装置、设备及介质

技术领域

本申请涉及计算机技术领域，特别涉及一种电力系统网络攻击链检测方法、装置、设备及介质。

背景技术

网络系统通常具有复杂的网络结构，且需要传输大量流量，一些正常但不常见的操作或流量容易被防火墙、IDS（Intrusion Detection Systems，入侵检测系统）、IPS（Intrusion Prevention System，入侵防御系统）等安防设备误判为异常，存在虚假告警，误报率较高。并且，当前针对防火墙等安防设备生成的日志/事件进行攻击链检测，难以检测出隐蔽的攻击行为，且攻击方式的复杂多样也给检测带来了难度。

因此，如何更为精准地检测网络系统中的攻击链，是本领域技术人员需要解决的问题。

发明内容

有鉴于此，本申请的目的在于提供一种电力系统网络攻击链检测方法、装置、设备及介质，以更为精准地检测网络系统中的攻击链。其具体方案如下：

第一方面，本申请提供了一种电力系统网络攻击链检测方法，包括：

将实时流量填充至目标流量集；

将所述目标流量集转换为流量特征集；

根据所述流量特征集中不同流量特征之间的关联关系构建得到实时特征关联图；

在所述实时特征关联图中确定至少一个关联链，并利用预设的人工智能检测模型检测所述至少一个关联链是否为攻击链。

可选地，所述将所述目标流量集转换为流量特征集，包括：

利用预设检测方式检测所述目标流量集中的各流量，并将得到的所有流量特征汇总为所述流量特征集；所述预设检测方式包括：规则匹配、协议分析、统计分析和/或行为识别。

可选地，所述根据所述流量特征集中不同流量特征之间的关联关系构建得到实时特征关联图，包括：

确定所述流量特征集中每一流量特征的属性信息；所述属性信息包括：源端信息、目的端信息、发生时间、持续时间、是否为指令、长度和/或是否符合协议规范；

根据不同流量特征的属性信息确定不同流量特征之间的关联关系；

以所述流量特征集中每一流量特征为节点，以不同流量特征之间的关联关系为边，构建得到所述实时特征关联图。

可选地，所述根据不同流量特征的属性信息确定不同流量特征之间的关联关系，包括：

若任意两个流量特征具有相同的属性信息，则根据所述相同的属性信息确定所述两个流量特征之间存在关联关系。

可选地，所述利用预设的人工智能检测模型检测所述至少一个关联链是否为攻击链，包括：

若所述人工智能检测模型有多个，则利用多个人工智能检测模型分别检测目标关联链，得到多个检测结果；所述目标关联链为所述至少一个关联链中的任一个；

按照不同人工智能检测模型的权重系数叠加所述多个检测结果，得到综合结果；

根据所述综合结果确定所述目标关联链是否为攻击链。

可选地，还包括：

若所述目标关联链为攻击链，则将所述目标关联链从所述实时特征关联图中删除；

若所述目标关联链不为攻击链，则将所述目标关联链保留在所述实时特征关联图中。

可选地，所述人工智能检测模型的训练过程包括：

将一段时间内的流量转换为多个流量特征；

根据所述多个流量特征之间的关联关系构建得到训练特征关联图；

在所述训练特征关联图中确定攻击链和非攻击链，得到训练数据；

利用所述训练数据训练得到目标模型，并将所述目标模型确定为所述人工智能检测模型；训练所述目标模型的算法为支持向量机、决策树、随机森林或神经网络。

可选地，还包括：

将所述实时流量转换得到的流量特征填充至所述训练特征关联图，得到更新后的训练特征关联图；

在所述更新后的训练特征关联图中确定攻击链和非攻击链，得到更新后的训练数据；

利用更新后的训练数据继续训练所述目标模型；

在继续训练所述目标模型的过程中，若当前正在训练的模型的性能优于所述人工智能检测模型的性能，则用当前正在训练的模型替换所述人工智能检测模型。

第二方面，本申请提供了一种电力系统网络攻击链检测装置，包括：

收集模块，用于将实时流量填充至目标流量集；

转换模块，用于将所述目标流量集转换为流量特征集；

构建模块，用于根据所述流量特征集中不同流量特征之间的关联关系构建得到实时特征关联图；

检测模块，用于在所述实时特征关联图中确定至少一个关联链，并利用预设的人工智能检测模型检测所述至少一个关联链是否为攻击链。

第三方面，本申请提供了一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序，以实现前述公开的电力系统网络攻击链检测方法。

第四方面，本申请提供了一种可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述公开的电力系统网络攻击链检测方法。

通过以上方案可知，本申请提供了一种电力系统网络攻击链检测方法，包括：将实时流量填充至目标流量集；将所述目标流量集转换为流量特征集；根据所述流量特征集中不同流量特征之间的关联关系构建得到实时特征关联图；在所述实时特征关联图中确定至少一个关联链，并利用预设的人工智能检测模型检测所述至少一个关联链是否为攻击链。

可见，本申请的有益效果为：本申请将实时收集的流量汇总为目标流量集，并转换为流量特征集，之后确定流量特征集中不同流量特征之间的关联关系，从而据此构建得到包括众多关联链的实时特征关联图；最后用人工智能模型检测实时特征关联图里的任意关联链，从而可检测出相应关联链是否为攻击链。该方案汇总实时流量并借助实时特征关联图发现不同流量特征之间的关联，能够挖掘出不同流量特征之间的潜在关系，为发现攻击链提供了前提基础；并且，实时流量的汇总检测不仅可以保障检测的实时性和有效性，还能够发现更长时间段内流量的相互潜在关联，一定程度上能够避免漏检，提升了攻击链检测的准确性和全面性。

相应地，本申请提供的一种电力系统网络攻击链检测装置、设备及介质，也同样具有上述技术效果。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请公开的一种电力系统网络攻击链检测方法流程图；

图2为本申请公开的一种特征关联图；

图3为本申请公开的另一种电力系统网络攻击链检测方法流程图；

图4为本申请公开的一种电力系统网络攻击链检测装置示意图；

图5为本申请公开的一种电子设备示意图；

图6为本申请提供的一种服务器结构图；

图7为本申请提供的一种终端结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

目前，针对防火墙等安防设备生成的日志/事件进行攻击链检测，存在虚假告警，误报率较高，且难以检测出隐蔽的攻击行为，攻击方式的复杂多样也给检测带来了难度。为此，本申请提供了一种电力系统网络攻击链检测方案，能够更为精准地检测网络系统中的攻击链。

参见图1所示，本申请实施例公开了一种电力系统网络攻击链检测方法，包括：

S101、将实时流量填充至目标流量集。

在本实施例中，实时流量来源于电力系统等网络，如：电力监控系统、电力控制系统等。为了对网络系统进行全流量采集，可以采用交换机镜像的方式，使实时流量流向采集接口。

S102、将目标流量集转换为流量特征集。

在一种实施方式中，将目标流量集转换为流量特征集，包括：利用预设检测方式检测目标流量集中的各流量，并将得到的所有流量特征汇总为流量特征集；预设检测方式包括：规则匹配、协议分析、统计分析和/或行为识别。其中，采用规则匹配方式时，可以将某些行为固化形成规则，然后利用此规则识别流量的操作行为，如：访问行为等。协议分析方式指：解析流量中数据包的协议类型等，以确定是否使用了危险协议。统计分析方式能够从数据统计角度描述流量的行为，如：统计一段时间内扫描行为发生的次数。行为识别方式主要检测流量中的payload信息，并进一步识别是否存在暴力破解、弱口令等危险行为。

需要说明的是，本实施例可以使用规则匹配、协议分析、统计分析和/或行为识别对目标流量集进行检测，由此既能够挖掘单一流量自身的特征（如流量所使用协议类型、操作行为），还能够发现不同流量之间的关联特征（如不同时刻的流量频繁以同一方式访问同一接口）。

S103、根据流量特征集中不同流量特征之间的关联关系构建得到实时特征关联图。

在一种实施方式中，根据流量特征集中不同流量特征之间的关联关系构建得到实时特征关联图，包括：确定流量特征集中每一流量特征的属性信息；属性信息包括：源端信息（如源IP、源端口等）、目的端信息（如目的IP、目的端口等）、发生时间、持续时间、是否为指令、长度和/或是否符合协议规范；根据不同流量特征的属性信息确定不同流量特征之间的关联关系；以流量特征集中每一流量特征为节点，以不同流量特征之间的关联关系为边，构建得到实时特征关联图。

在一种实施方式中，根据不同流量特征的属性信息确定不同流量特征之间的关联关系，包括：若任意两个流量特征具有相同的属性信息，则根据相同的属性信息确定两个流量特征之间存在关联关系。若任意两个流量特征不具有相同的属性信息，则确定这两个流量特征之间不存在关联关系。

S104、在实时特征关联图中确定至少一个关联链，并利用预设的人工智能检测模型检测至少一个关联链是否为攻击链。

本实施例以流量特征集中每一流量特征为节点，以不同流量特征之间的关联关系为边，构建得到了实时特征关联图。特征关联图可参见图2，只要两个节点有至少一个相同的属性信息，就认为这两个节点存在关联关系，因此这两个节点可以进行连接。并且，以某一节点作为起始节点，可以按照节点之间的连接边确定出相应的关联链，如图2中的：时刻1发生的特征1→时刻3发生的特征3→时刻4发生的特征4→时刻5发生的特征5，可见，一条关联链中的不同流量特征的发生时间可以按序递增。

需要说明的是，人工智能检测模型可以预设多个，不同人工智能检测模型用不同算法训练获得，如：使用支持向量机、决策树、随机森林和神经网络分别训练得到多个人工智能检测模型。在一种实施方式中，利用预设的人工智能检测模型检测至少一个关联链是否为攻击链，包括：若人工智能检测模型有多个，则利用多个人工智能检测模型分别检测目标关联链，得到多个检测结果；目标关联链为至少一个关联链中的任一个；按照不同人工智能检测模型的权重系数叠加多个检测结果，得到综合结果；根据综合结果确定目标关联链是否为攻击链。

例如：综合结果=W1×P1+W2×P2+…+WN×PN；其中，W1、W2、……、WN为人工智能检测模型1、人工智能检测模型2、……、人工智能检测模型N分别对应的权重系数；P1、P2、……、PN为人工智能检测模型1、人工智能检测模型2、……、人工智能检测模型N检测同一关联链输出的各个检测结果。其中，各人工智能检测模型对应的权重系数可以相等，也可以不等。例如：各人工智能检测模型对应的权重系数均设为1，以通过等比权重确定综合结果；或者各人工智能检测模型对应的权重系数有大有小，以通过非等比权重确定综合结果。灵活地，各人工智能检测模型对应的权重系数可以预设后固定不变，也可以跟随实际情况进行调整，例如：按照各人工智能检测模型的实际性能调整相应权重系数，某一人工智能检测模型的实际性能较好，就增大其权重系数；否则减小其权重系数。通常情况下，模型的实际性能可通过其检测精度、检测效率、检测时消耗的资源量等进行评估。

本实施例在确定某一关联链为攻击链时，将该关联链从实时特征关联图中删除，以实现关联图的精简，减少数据量；在确定某一关联链不为攻击链时，将该关联链保留在实时特征关联图中，如果后续出现的与此关联链相关的其他特征使该关联链变成攻击链，本实施例也可以及时检测出，由此可避免漏检，实现更为全面的检测。因此在一种实施方式中，若目标关联链为攻击链，则将目标关联链从实时特征关联图中删除；若目标关联链不为攻击链，则将目标关联链保留在实时特征关联图中。

在一种实施方式中，任意人工智能检测模型的训练过程包括：将一段时间内的流量转换为多个流量特征；根据多个流量特征之间的关联关系构建得到训练特征关联图；在训练特征关联图中确定攻击链和非攻击链，得到包括攻击链和非攻击链的训练数据；利用训练数据训练得到目标模型，并将目标模型确定为人工智能检测模型；训练目标模型的算法为支持向量机、决策树、随机森林或神经网络等。更为具体的训练过程可以参照当前相关技术，本实施例在此不再赘述。

在首次训练得到目标模型后，本实施例使模型继续训练，且此训练过程和模型应用过程同步进行，并进一步实现了线上模型的即时更新。在一种实施方式中，将实时流量转换得到的流量特征填充至训练特征关联图，得到更新后的训练特征关联图；在更新后的训练特征关联图中确定攻击链和非攻击链，得到更新后的训练数据；利用更新后的训练数据继续训练目标模型；在继续训练目标模型的过程中，若当前正在训练的模型的性能优于人工智能检测模型的性能，则用当前正在训练的模型替换正在线上使用的人工智能检测模型。

可见，本实施例将实时收集的流量汇总为目标流量集，并转换为流量特征集，之后确定流量特征集中不同流量特征之间的关联关系，从而据此构建得到包括众多关联链的实时特征关联图；最后用人工智能模型检测实时特征关联图里的任意关联链，从而可检测出相应关联链是否为攻击链。该方案汇总实时流量并借助实时特征关联图发现不同流量特征之间的关联，能够挖掘出不同流量特征之间的潜在关系，为发现攻击链提供了前提基础；并且，实时流量的汇总检测不仅可以保障检测的实时性和有效性，还能够发现更长时间段内流量的相互潜在关联，一定程度上能够避免漏检，提升了攻击链检测的准确性和全面性。

下面对本申请实施例提供的另一种电力系统网络攻击链检测方法进行介绍，下文描述的一种电力系统网络攻击链检测方法与本文描述的其他实施例可以相互参照。

请参见图3，本实施例提供的电力系统网络攻击链检测方法包括：流量采集、特征生成、训练数据生成及模型训练、待测关联链生成及模型应用和结果输出等步骤，这些步骤均实现在检测系统中。

数据采集时，通过旁路交换机镜像或安装网络监控器等方式对网络进行全流量采集后，直接传输至检测系统，也可以先采集流量，然后以回放方式将所采集流量传输至检测系统。

特征生成：检测系统利用规则匹配、协议分析、统计、特征识别等技术进行特征生成，特征数据可以是：源IP、目的IP、源端口、目的端口、源Mac、目的Mac、协议、发生时间、持续时间、关联业务/应用、是否为指令操作、报文长度、是否符合特定协议规范等。

下一步进行训练数据生成及模型训练。先以特定滑动窗口从所有特征数据中截取部分特征，用所截取部分特征构建第一事件关联及时间序列图（即特征关联图），据此第一事件关联及时间序列图对不同特征数据进行脉络式分析和关联分析，并结合攻击链各个阶段的行为特征进行映射，可确定出其中存在的攻击链和非攻击链。据此，每一次滑动窗口后均可确定出攻击链和非攻击链，几次滑动窗口后，将当前的所有攻击链和所有非攻击链作为训练数据。其中，滑动窗口的大小及滑动步长可灵活修改。

事件关联如：不同特征对应相同的源IP时，可认为这两个特征以此相同源IP相关联；不同特征对应相同的目的IP时，可认为这两个特征以此相同目的IP相关联。据此以此类推，可关联不同特征。由于每一特征有自己的发生时间戳，因此不同特征还可按照发生时间顺序排列。综合上述可得到事件关联及时间序列图。针对此图，从图中以不同节点出发，按照时间顺序提取出的所有可能的到其他节点的路径，则得到了一条关联链。按照攻击链各个阶段的行为特征进行映射，可确定每一条关联链包含的攻击链和非攻击链。

例如，设定攻击链需满足条件：至少4个攻击阶段和必须包含目标达成阶段。攻击链需满足的条件可根据实际检测需求更改。在链①②③④⑤⑥③④⑤⑥②③⑥④②③④⑤⑥⑥中，包含目标达成阶段⑥的有：①②③④⑤⑥③④⑤⑥②③⑥④②③④⑤⑥⑥，因此以⑥为终点往前找攻击链，可得到以下几个子链，链-A：①②③④⑤⑥；链-B：③④⑤⑥；链-C：②③⑥；链-D：④②③④⑤⑥；链-E：⑥。

前述设定攻击链需包括至少4个攻击阶段，那么链-A满足攻击链条件，形成攻击链：①②③④⑤⑥。链-B满足攻击链条件，形成攻击链：③④⑤⑥。链-C不满足攻击链条件，此时可以判断链-C中的⑥访问的设备是否包含在链-B访问的设备中，如果是且二者的访问时间处于同一时间窗口，那么将链-C与链-B合并为攻击链：③④⑤⑥②③⑥；如果不能合并，则将②③⑥作为非攻击链存起来。链-D链满足攻击链条件，按照时间顺序去除④，最终形成攻击链：②③④⑤⑥。链-E的判断与链-C的判断一致，能合并则与链-D合并，不能合并则存储为非攻击链。

在一种示例中，攻击链各个阶段的行为特征可参照表1。

表1

模型训练：将前述准备好的训练数据输入到机器学习算法进行模型训练。机器学习算法可采用支持向量机（Support Vector Machine，SVM）、决策树（Decision Tree）、随机森林（Random Forest）、神经网络（Neural Network）等多种算法，来训练多个模型，并上线应用。

待测关联链生成及模型应用：以更长的滑动窗口从前述特征数据中截取特征，用所截取部分特征构建第二事件关联及时间序列图，据此第二事件关联及时间序列图确定其中存在的关联链，将各个关联链作为模型的输入数据。具体的，将同一关联链同时输入给多个模型，以获得多个输出结果，对这些输出结果以加权投票方式进行综合计算，并基于最终确定的综合结果判断该关联链是否是攻击链。若是攻击链，则可以删除形成此链的各特征（若某一特征还属于其他不应被删的链，则该特征不删除）；若不是攻击链，则保留形成此链的各特征，以便此链关联后续的新特征。

需要说明的是，本实施例还对线上应用的模型进行自动修正调整。具体的，用实时流量不断更新训练数据，并利用更新后的训练数据继续训练模型，由此可逐步提升模型的检测性能，因此当正在训练的模型的性能优于线上模型的性能时，用当前正在训练的模型替换正在线上使用的模型。

可见，本实施例针对实时流量进行检测，可减少网络的侵入性，且能够全面识别攻击链，提高网络系统的安全性，利用多种算法构建多个模型，并结合投票机制提升了检测精度。该方案引入机器学习和人工智能技术并整合多种检测手段，改进了攻击链的检测技术。

下面对本申请实施例提供的一种电力系统网络攻击链检测装置进行介绍，下文描述的一种电力系统网络攻击链检测装置与本文描述的其他实施例可以相互参照。

参见图4所示，本申请实施例公开了一种电力系统网络攻击链检测装置，包括：

收集模块401，用于将实时流量填充至目标流量集；

转换模块402，用于将目标流量集转换为流量特征集；

构建模块403，用于根据流量特征集中不同流量特征之间的关联关系构建得到实时特征关联图；

检测模块404，用于在实时特征关联图中确定至少一个关联链，并利用预设的人工智能检测模型检测至少一个关联链是否为攻击链。

在一种实施方式中，转换模块具体用于：

利用预设检测方式检测目标流量集中的各流量，并将得到的所有流量特征汇总为流量特征集；预设检测方式包括：规则匹配、协议分析、统计分析和/或行为识别。

在一种实施方式中，构建模块具体用于：

确定流量特征集中每一流量特征的属性信息；属性信息包括：源端信息、目的端信息、发生时间、持续时间、是否为指令、长度和/或是否符合协议规范；

根据不同流量特征的属性信息确定不同流量特征之间的关联关系；

以流量特征集中每一流量特征为节点，以不同流量特征之间的关联关系为边，构建得到实时特征关联图。

在一种实施方式中，构建模块具体用于：

若任意两个流量特征具有相同的属性信息，则根据相同的属性信息确定两个流量特征之间存在关联关系。

在一种实施方式中，检测模块具体用于：

若人工智能检测模型有多个，则利用多个人工智能检测模型分别检测目标关联链，得到多个检测结果；目标关联链为至少一个关联链中的任一个；

按照不同人工智能检测模型的权重系数叠加多个检测结果，得到综合结果；

根据综合结果确定目标关联链是否为攻击链。

在一种实施方式中，还包括：

数据调整模块，用于若目标关联链为攻击链，则将目标关联链从实时特征关联图中删除；若目标关联链不为攻击链，则将目标关联链保留在实时特征关联图中。

在一种实施方式中，人工智能检测模型的训练过程包括：

将一段时间内的流量转换为多个流量特征；

根据多个流量特征之间的关联关系构建得到训练特征关联图；

在训练特征关联图中确定攻击链和非攻击链，得到训练数据；

利用训练数据训练得到目标模型，并将目标模型确定为人工智能检测模型；训练目标模型的算法为支持向量机、决策树、随机森林或神经网络。

在一种实施方式中，还包括：

模型调整模块，用于将实时流量转换得到的流量特征填充至训练特征关联图，得到更新后的训练特征关联图；在更新后的训练特征关联图中确定攻击链和非攻击链，得到更新后的训练数据；利用更新后的训练数据继续训练目标模型；在继续训练目标模型的过程中，若当前正在训练的模型的性能优于人工智能检测模型的性能，则用当前正在训练的模型替换人工智能检测模型。

其中，关于本实施例中各个模块、单元更加具体的工作过程可以参考前述实施例中公开的相应内容，在此不再进行赘述。

可见，本实施例提供了一种电力系统网络攻击链检测装置，该方案汇总实时流量并借助实时特征关联图发现不同流量特征之间的关联，能够挖掘出不同流量特征之间的潜在关系，可以保障检测的实时性和有效性，还能够发现更长时间段内流量的相互潜在关联，提升了攻击链检测的准确性和全面性。

下面对本申请实施例提供的一种电子设备进行介绍，下文描述的一种电子设备与本文描述的其他实施例可以相互参照。

参见图5所示，本申请实施例公开了一种电子设备，包括：

存储器，用于保存计算机程序；

处理器，用于执行所述计算机程序，以实现上述任意实施例公开的方法。

进一步的，本申请实施例还提供了一种电子设备。其中，上述电子设备既可以是如图6所示的服务器，也可以是如图7所示的终端。图6和图7均是根据一示例性实施例示出的电子设备结构图，图中的内容不能被认为是对本申请的使用范围的任何限制。

图6为本申请实施例提供的一种服务器的结构示意图。该服务器具体可以包括：至少一个处理器、至少一个存储器、电源、通信接口、输入输出接口和通信总线。其中，所述存储器用于存储计算机程序，所述计算机程序由所述处理器加载并执行，以实现前述任一实施例公开的电力系统网络攻击链检测中的相关步骤。

本实施例中，电源用于为服务器上的各硬件设备提供工作电压；通信接口能够为服务器创建与外界设备之间的数据传输通道，其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议，在此不对其进行具体限定；输入输出接口，用于获取外界输入数据或向外界输出数据，其具体的接口类型可以根据具体应用需要进行选取，在此不进行具体限定。

另外，存储器作为资源存储的载体，可以是只读存储器、随机存储器、磁盘或者光盘等，其上所存储的资源包括操作系统、计算机程序及数据等，存储方式可以是短暂存储或者永久存储。

其中，操作系统用于管理与控制服务器上的各硬件设备以及计算机程序，以实现处理器对存储器中数据的运算与处理，其可以是Windows Server、Netware、Unix、Linux等。计算机程序除了包括能够用于完成前述任一实施例公开的电力系统网络攻击链检测方法的计算机程序之外，还可以进一步包括能够用于完成其他特定工作的计算机程序。数据除了可以包括应用程序的更新信息等数据外，还可以包括应用程序的开发商信息等数据。

图7为本申请实施例提供的一种终端的结构示意图，该终端具体可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。

通常，本实施例中的终端包括有：处理器和存储器。

其中，处理器可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器可以采用DSP（Digital Signal Processing，数字信号处理）、FPGA（Field－Programmable Gate Array，现场可编程门阵列）、PLA（Programmable Logic Array，可编程逻辑阵列）中的至少一种硬件形式来实现。处理器也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称CPU（Central Processing Unit，中央处理器）；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器可以在集成有GPU（Graphics Processing Unit，图像处理器），GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器还可以包括AI（ArtificialIntelligence，人工智能）处理器，该AI处理器用于处理有关机器学习的计算操作。

存储器可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器至少用于存储以下计算机程序，其中，该计算机程序被处理器加载并执行之后，能够实现前述任一实施例公开的由终端侧执行的电力系统网络攻击链检测方法中的相关步骤。另外，存储器所存储的资源还可以包括操作系统和数据等，存储方式可以是短暂存储或者永久存储。其中，操作系统可以包括Windows、Unix、Linux等。数据可以包括但不限于应用程序的更新信息。

在一些实施例中，终端还可包括有显示屏、输入输出接口、通信接口、传感器、电源以及通信总线。

本领域技术人员可以理解，图7中示出的结构并不构成对终端的限定，可以包括比图示更多或更少的组件。

下面对本申请实施例提供的一种可读存储介质进行介绍，下文描述的一种可读存储介质与本文描述的其他实施例可以相互参照。

一种可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述实施例公开的电力系统网络攻击链检测方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容，在此不再进行赘述。

本申请涉及的“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法或设备固有的其它步骤或单元。

需要说明的是，在本申请中涉及“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外，各个实施例之间的技术方案可以相互结合，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在，也不在本申请要求的保护范围之内。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器（RAM）、内存、只读存储器（ROM）、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的可读存储介质中。

本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种电力系统网络攻击链检测方法，其特征在于，包括：

将实时流量填充至目标流量集；

将所述目标流量集转换为流量特征集；

根据所述流量特征集中不同流量特征之间的关联关系构建得到实时特征关联图；其中，若任意两个流量特征具有相同的属性信息，则根据相同的属性信息确定两个流量特征之间存在关联关系；若任意两个流量特征不具有相同的属性信息，则确定这两个流量特征之间不存在关联关系；属性信息包括：发生时间、持续时间、是否为指令、长度和/或是否符合协议规范；

在所述实时特征关联图中确定至少一个关联链，并利用预设的人工智能检测模型检测所述至少一个关联链是否为攻击链；其中，按照攻击链各个阶段的行为特征进行映射来确定每一条关联链包含的攻击链和非攻击链。

2.根据权利要求1所述的方法，其特征在于，所述将所述目标流量集转换为流量特征集，包括：

利用预设检测方式检测所述目标流量集中的各流量，并将得到的所有流量特征汇总为所述流量特征集；所述预设检测方式包括：规则匹配、协议分析、统计分析和/或行为识别。

3.根据权利要求1所述的方法，其特征在于，所述根据所述流量特征集中不同流量特征之间的关联关系构建得到实时特征关联图，包括：

确定所述流量特征集中每一流量特征的属性信息；

根据不同流量特征的属性信息确定不同流量特征之间的关联关系；

以所述流量特征集中每一流量特征为节点，以不同流量特征之间的关联关系为边，构建得到所述实时特征关联图。

4.根据权利要求1所述的方法，其特征在于，所述利用预设的人工智能检测模型检测所述至少一个关联链是否为攻击链，包括：

若所述人工智能检测模型有多个，则利用多个人工智能检测模型分别检测目标关联链，得到多个检测结果；所述目标关联链为所述至少一个关联链中的任一个；

按照不同人工智能检测模型的权重系数叠加所述多个检测结果，得到综合结果；

根据所述综合结果确定所述目标关联链是否为攻击链。

5.根据权利要求4所述的方法，其特征在于，还包括：

若所述目标关联链为攻击链，则将所述目标关联链从所述实时特征关联图中删除；

若所述目标关联链不为攻击链，则将所述目标关联链保留在所述实时特征关联图中。

6.根据权利要求1至5任一项所述的方法，其特征在于，所述人工智能检测模型的训练过程包括：

将一段时间内的流量转换为多个流量特征；

根据所述多个流量特征之间的关联关系构建得到训练特征关联图；

在所述训练特征关联图中确定攻击链和非攻击链，得到训练数据；

利用所述训练数据训练得到目标模型，并将所述目标模型确定为所述人工智能检测模型；训练所述目标模型的算法为支持向量机、决策树、随机森林或神经网络。

7.根据权利要求6所述的方法，其特征在于，还包括：

将所述实时流量转换得到的流量特征填充至所述训练特征关联图，得到更新后的训练特征关联图；

在所述更新后的训练特征关联图中确定攻击链和非攻击链，得到更新后的训练数据；

利用更新后的训练数据继续训练所述目标模型；

在继续训练所述目标模型的过程中，若当前正在训练的模型的性能优于所述人工智能检测模型的性能，则用当前正在训练的模型替换所述人工智能检测模型。

8.一种电力系统网络攻击链检测装置，其特征在于，包括：

收集模块，用于将实时流量填充至目标流量集；

转换模块，用于将所述目标流量集转换为流量特征集；

构建模块，用于根据所述流量特征集中不同流量特征之间的关联关系构建得到实时特征关联图；其中，若任意两个流量特征具有相同的属性信息，则根据相同的属性信息确定两个流量特征之间存在关联关系；若任意两个流量特征不具有相同的属性信息，则确定这两个流量特征之间不存在关联关系；属性信息包括：发生时间、持续时间、是否为指令、长度和/或是否符合协议规范；

检测模块，用于在所述实时特征关联图中确定至少一个关联链，并利用预设的人工智能检测模型检测所述至少一个关联链是否为攻击链；其中，按照攻击链各个阶段的行为特征进行映射来确定每一条关联链包含的攻击链和非攻击链。

9.一种电子设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序，以实现如权利要求1至7任一项所述的方法。

10.一种可读存储介质，其特征在于，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。