一種電網(wǎng)遭受攻擊的攻擊圖構(gòu)建方法、預防方法和裝置與流程

本技術(shù)涉及電網(wǎng)系統(tǒng)安全分析領域，尤其涉及一種電網(wǎng)遭受攻擊的攻擊圖構(gòu)建方法、預防方法和裝置。

背景技術(shù)：

1、隨著電網(wǎng)系統(tǒng)信息化的不斷發(fā)展，電網(wǎng)系統(tǒng)的數(shù)據(jù)安全也愈發(fā)重要，針對電網(wǎng)系統(tǒng)的網(wǎng)絡攻擊事件會嚴重影響電網(wǎng)系統(tǒng)的正常運行。而根據(jù)過往的攻擊事件等數(shù)據(jù)對電網(wǎng)系統(tǒng)的攻擊進行建模，形成攻擊圖，并根據(jù)攻擊圖針對性進行預防，能夠有效提高電網(wǎng)系統(tǒng)的數(shù)據(jù)安全性能。因此，需要對電網(wǎng)系統(tǒng)構(gòu)建攻擊圖以根據(jù)攻擊圖作出預防動作。

2、在現(xiàn)有技術(shù)中，構(gòu)建電網(wǎng)系統(tǒng)的攻擊圖通常包括以下方法：(1)基于模型檢測技術(shù)的攻擊圖生成方法，這種方法需要對電網(wǎng)系統(tǒng)整體進行建模，模型較為復雜，得到的攻擊圖的復雜度也較高，攻擊圖的部分細節(jié)可能無法兼顧，導致攻擊圖的準確性下降；(2)基于圖論的攻擊圖生成方法，這種方法生成的攻擊圖規(guī)模小，對于大型的電網(wǎng)系統(tǒng)難以適配，導致根據(jù)攻擊圖進行分析時的準確性不足。因此，如何構(gòu)建更準確的電網(wǎng)系統(tǒng)的攻擊圖以對電網(wǎng)系統(tǒng)的攻擊進行預防是現(xiàn)有技術(shù)中亟待解決的問題。

技術(shù)實現(xiàn)思路

1、本技術(shù)提供了一種電網(wǎng)遭受攻擊的攻擊圖構(gòu)建方法、預防方法和裝置，以解決現(xiàn)有技術(shù)中電網(wǎng)系統(tǒng)的攻擊圖的準確度不高的技術(shù)問題。

2、根據(jù)本技術(shù)實施方式的第一方面，提供一種電網(wǎng)遭受攻擊的攻擊圖構(gòu)建方法，包括：

3、對電網(wǎng)系統(tǒng)的運行日志進行特征提取，得到網(wǎng)絡特征數(shù)據(jù)；其中，所述網(wǎng)絡特征數(shù)據(jù)包括節(jié)點拓撲圖和訪問路徑集；

4、根據(jù)社區(qū)發(fā)現(xiàn)算法，將所述節(jié)點拓撲圖劃分為多個子網(wǎng)絡圖，并根據(jù)所述訪問路徑集，識別所述多個子網(wǎng)絡圖中的若干條攻擊路徑，得到多個攻擊路徑集；

5、基于歷史攻擊事件集和所述多個攻擊路徑集，計算所述多個子網(wǎng)絡圖各節(jié)點之間的貝葉斯攻擊概率，并根據(jù)所述貝葉斯攻擊概率，構(gòu)建與所述多個子網(wǎng)絡圖對應的多個貝葉斯子攻擊圖；

6、根據(jù)所述多個子網(wǎng)絡圖之間的若干條關聯(lián)邊，融合所述多個貝葉斯子攻擊圖得到所述電網(wǎng)系統(tǒng)的網(wǎng)絡攻擊圖。

7、本技術(shù)先對電網(wǎng)系統(tǒng)的運行日志進行特征提取得到包括節(jié)點拓撲圖和訪問路徑集的網(wǎng)絡特征數(shù)據(jù)，再根據(jù)社區(qū)發(fā)現(xiàn)算法將節(jié)點拓撲圖劃分為多個子網(wǎng)絡圖，能夠?qū)碗s的電網(wǎng)系統(tǒng)拓撲劃分為多個簡單的子網(wǎng)絡圖，然后根據(jù)訪問路徑集識別得到多個攻擊路徑集，能夠使得到的攻擊路徑集限制于對應的子網(wǎng)絡圖中，減少因路徑跨越子網(wǎng)絡圖導致的復雜度上升；進而根據(jù)歷史攻擊事件集和多個攻擊路徑集，計算多個子網(wǎng)絡圖各節(jié)點之間的貝葉斯攻擊概率，進而構(gòu)建多個貝葉斯子攻擊圖，通過貝葉斯方法進行攻擊概率計算更精確，從而使獲得的貝葉斯子攻擊圖更精確；再根據(jù)多個子網(wǎng)絡圖之間的若干條關聯(lián)邊融合多個貝葉斯子攻擊圖得到網(wǎng)絡攻擊圖，確保各子網(wǎng)絡圖內(nèi)部的攻擊路徑能夠根據(jù)關聯(lián)邊與其他子網(wǎng)絡圖的攻擊路徑連接，能夠?qū)⒍鄠€子網(wǎng)絡圖重新關聯(lián)，提高各子網(wǎng)絡圖的攻擊路徑的關聯(lián)度，從而提高構(gòu)建得到的網(wǎng)絡攻擊圖的準確度。

8、在本技術(shù)的某些實施方式中，所述根據(jù)社區(qū)發(fā)現(xiàn)算法，將所述節(jié)點拓撲圖劃分為多個子網(wǎng)絡圖，具體包括：

9、將所述節(jié)點拓撲圖中的單個節(jié)點視為社區(qū)，得到多個初始社區(qū)，并根據(jù)所述節(jié)點拓撲圖，對所述多個初始社區(qū)進行迭代，迭代時根據(jù)每個初始社區(qū)與相鄰初始社區(qū)的社區(qū)合并增益，將多個初始社區(qū)合并得到多個更新社區(qū)，直至每個更新社區(qū)的社區(qū)合并增益均不超過預設閾值，輸出最后迭代得到的多個更新社區(qū)；

10、根據(jù)最后迭代得到的多個更新社區(qū)，對所述節(jié)點拓撲圖進行劃分，得到多個子網(wǎng)絡圖。

11、本技術(shù)先根據(jù)節(jié)點拓撲圖各節(jié)點構(gòu)建多個初始社區(qū)，并對多個初始社區(qū)進行迭代，迭代時根據(jù)計算的社區(qū)合并增益將多個初始社區(qū)合并得到多個更新社區(qū)，并根據(jù)最后迭代得到的多個更新社區(qū)劃分節(jié)點拓撲圖得到多個子網(wǎng)絡圖，相比于現(xiàn)有技術(shù)，將復雜的電網(wǎng)系統(tǒng)拓撲通過社區(qū)發(fā)現(xiàn)算法劃分為多個簡單的子網(wǎng)絡圖能夠?qū)⑾到y(tǒng)攻擊圖的構(gòu)建復雜度降低至每個子網(wǎng)絡圖的攻擊圖的構(gòu)建中，且在每個簡單的子網(wǎng)絡圖中進行攻擊圖的構(gòu)建相比于在復雜的整體電網(wǎng)系統(tǒng)中進行攻擊圖的構(gòu)建更精確，更不容易丟失攻擊圖的細節(jié)，從而能夠提高最終構(gòu)建得到的網(wǎng)絡攻擊圖的準確度。

12、在本技術(shù)的某些實施方式中，所述根據(jù)所述訪問路徑集，識別所述多個子網(wǎng)絡圖中的若干條攻擊路徑，得到多個攻擊路徑集，具體包括：

13、所述訪問路徑集的數(shù)據(jù)類別包括源節(jié)點地址、目標節(jié)點地址和訪問類型；

14、依次選取一個子網(wǎng)絡圖作為當前子網(wǎng)絡圖，基于預設的路徑匹配識別方法，根據(jù)所述訪問路徑集確定當前子網(wǎng)絡圖對應的攻擊路徑集，直至所述多個子網(wǎng)絡圖均得到對應的攻擊路徑集；

15、其中，所述路徑匹配識別方法，包括：根據(jù)當前子網(wǎng)絡圖的各節(jié)點，于所述訪問路徑集中進行匹配，得到多條訪問路徑，并將所述多條訪問路徑組合為當前子網(wǎng)絡圖對應的攻擊路徑集；所述訪問路徑滿足源節(jié)點地址與目標節(jié)點地址對應的節(jié)點均處于當前子網(wǎng)絡圖中。

16、本技術(shù)根據(jù)訪問路徑集并基于路徑匹配識別方法確定每個子網(wǎng)絡圖對應的攻擊路徑集，通過歷史訪問路徑確定當前子網(wǎng)絡圖的可選擇的攻擊路徑，排除了部分未被選擇或不可選擇的路徑，能夠使攻擊路徑集更適應于真實的攻擊事件，從而能夠提高最終構(gòu)建得到的網(wǎng)絡攻擊圖的準確度；同時，能夠使得到的攻擊路徑集限制于對應的子網(wǎng)絡圖中，減少因路徑跨越子網(wǎng)絡圖導致的復雜度上升。

17、在本技術(shù)的某些實施方式中，所述基于歷史攻擊事件集和所述多個攻擊路徑集，計算所述多個子網(wǎng)絡圖各節(jié)點之間的貝葉斯攻擊概率，并根據(jù)所述貝葉斯攻擊概率，構(gòu)建與所述多個子網(wǎng)絡圖對應的多個貝葉斯子攻擊圖，具體包括：

18、根據(jù)歷史攻擊事件集和所述多個攻擊路徑集，確定所述多個子網(wǎng)絡圖各自的若干條邊的加權(quán)頻率；

19、根據(jù)所述多個子網(wǎng)絡圖中各自的若干條邊的加權(quán)頻率，計算所述多個子網(wǎng)絡圖各節(jié)點之間的貝葉斯攻擊概率；

20、根據(jù)所述貝葉斯攻擊概率，構(gòu)建與所述多個子網(wǎng)絡圖對應的多個貝葉斯子攻擊圖。

21、本技術(shù)先根據(jù)歷史攻擊事件集和多個攻擊路徑集確定多個子網(wǎng)絡圖各自的若干條邊的加權(quán)頻率，以此計算多個子網(wǎng)絡圖各節(jié)點之間的貝葉斯攻擊頻率，進而構(gòu)建對應的多個貝葉斯子攻擊圖，通過歷史攻擊事件集和多個攻擊路徑集確定邊的加權(quán)頻率，能夠放大因歷史攻擊事件和可選擇的攻擊路徑而產(chǎn)生潛在攻擊的概率，使構(gòu)建得到的貝葉斯子攻擊圖更能反映實際潛在攻擊所對應的攻擊路徑，從而提高最后構(gòu)建得到的網(wǎng)絡攻擊圖的準確度。

22、在本技術(shù)的某些實施方式中，所述根據(jù)所述多個子網(wǎng)絡圖之間的若干條關聯(lián)邊，融合所述多個貝葉斯子攻擊圖得到所述電網(wǎng)系統(tǒng)的網(wǎng)絡攻擊圖，具體包括：

23、根據(jù)所述節(jié)點拓撲圖，獲取所述多個子網(wǎng)絡圖之間的若干條關聯(lián)邊；

24、對于每個子網(wǎng)絡圖，根據(jù)所述若干條關聯(lián)邊，選擇當前子網(wǎng)絡圖與對應鄰接的各子網(wǎng)絡圖的各第一關聯(lián)邊，并根據(jù)所述第一關聯(lián)邊，融合當前子網(wǎng)絡圖對應的貝葉斯子攻擊圖和對應鄰接的各子網(wǎng)絡圖對應的各貝葉斯子攻擊圖，得到所述電網(wǎng)系統(tǒng)的網(wǎng)絡攻擊圖；其中，所述第一關聯(lián)邊為當前子網(wǎng)絡圖與對應鄰接的各子網(wǎng)絡圖的所有關聯(lián)邊中權(quán)重最大的關聯(lián)邊。

25、本技術(shù)先根據(jù)節(jié)點拓撲圖獲取多個子網(wǎng)絡圖之間的若干條關聯(lián)邊，再根據(jù)若干條關聯(lián)邊融合多個貝葉斯子攻擊圖得到網(wǎng)絡攻擊圖，能夠確保各子網(wǎng)絡圖內(nèi)部的攻擊路徑能夠根據(jù)關聯(lián)邊與其他子網(wǎng)絡圖的攻擊路徑連接，能夠?qū)⒍鄠€子網(wǎng)絡圖重新關聯(lián)，防止各子網(wǎng)絡圖之間的關聯(lián)失真導致網(wǎng)絡攻擊圖的失真，從而提高構(gòu)建得到的網(wǎng)絡攻擊圖的準確度。

26、根據(jù)本技術(shù)實施方式的第二方面，提供一種電網(wǎng)遭受攻擊的預防方法，包括：

27、獲取電網(wǎng)系統(tǒng)的網(wǎng)絡攻擊圖；其中，所述網(wǎng)絡攻擊圖由本技術(shù)所述的一種電網(wǎng)遭受攻擊的攻擊圖構(gòu)建方法所構(gòu)建；

28、基于預設概率閾值，對所述網(wǎng)絡攻擊圖進行篩選，得到多條預測攻擊路徑；

29、根據(jù)所述多條預測攻擊路徑各自的節(jié)點信息和攻擊手段，生成對應的多個預防策略，并根據(jù)所述多個預防策略進行預防。

30、本技術(shù)先獲取網(wǎng)絡攻擊圖并根據(jù)網(wǎng)絡攻擊圖得到多條預測攻擊路徑，再根據(jù)多條預測攻擊路徑的節(jié)點信息和攻擊手段生成對應的多個預防策略并進行預防，能夠更準確地進行攻擊預防并在攻擊到達時及時預防。

31、根據(jù)本技術(shù)實施方式的第三方面，提供一種電網(wǎng)遭受攻擊的攻擊圖構(gòu)建裝置，包括特征提取模塊、劃分識別模塊、子攻擊圖構(gòu)建模塊和攻擊圖構(gòu)建模塊；

32、所述特征提取模塊，用于對電網(wǎng)系統(tǒng)的運行日志進行特征提取，得到網(wǎng)絡特征數(shù)據(jù)；其中，所述網(wǎng)絡特征數(shù)據(jù)包括節(jié)點拓撲圖和訪問路徑集；

33、所述劃分識別模塊，用于根據(jù)社區(qū)發(fā)現(xiàn)算法，將所述節(jié)點拓撲圖劃分為多個子網(wǎng)絡圖，并根據(jù)所述訪問路徑集，識別所述多個子網(wǎng)絡圖中的若干條攻擊路徑，得到多個攻擊路徑集；

34、所述子攻擊圖構(gòu)建模塊，用于基于歷史攻擊事件集和所述多個攻擊路徑集，計算所述多個子網(wǎng)絡圖各節(jié)點之間的貝葉斯攻擊概率，并根據(jù)所述貝葉斯攻擊概率，構(gòu)建與所述多個子網(wǎng)絡圖對應的多個貝葉斯子攻擊圖；

35、所述攻擊圖構(gòu)建模塊，用于根據(jù)所述多個子網(wǎng)絡圖之間的若干條關聯(lián)邊，融合所述多個貝葉斯子攻擊圖得到所述電網(wǎng)系統(tǒng)的網(wǎng)絡攻擊圖。

36、在本技術(shù)的某些實施方式中，所述劃分識別模塊包括拓撲劃分子模塊；所述拓撲劃分子模塊包括社區(qū)迭代單元和拓撲劃分單元；

37、所述社區(qū)迭代單元，用于將所述節(jié)點拓撲圖中的單個節(jié)點視為社區(qū)，得到多個初始社區(qū)，并根據(jù)所述節(jié)點拓撲圖，對所述多個初始社區(qū)進行迭代，迭代時根據(jù)每個初始社區(qū)與相鄰初始社區(qū)的社區(qū)合并增益，將多個初始社區(qū)合并得到多個更新社區(qū)，直至每個更新社區(qū)的社區(qū)合并增益均不超過預設閾值，輸出最后迭代得到的多個更新社區(qū)；

38、所述拓撲劃分單元，用于根據(jù)最后迭代得到的多個更新社區(qū)，對所述節(jié)點拓撲圖進行劃分，得到多個子網(wǎng)絡圖。

39、在本技術(shù)的某些實施方式中，所述劃分識別模塊包括路徑識別子模塊；所述訪問路徑集的數(shù)據(jù)類別包括源節(jié)點地址、目標節(jié)點地址和訪問類型；

40、所述路徑識別子模塊，用于依次選取一個子網(wǎng)絡圖作為當前子網(wǎng)絡圖，基于預設的路徑匹配識別方法，根據(jù)所述訪問路徑集確定當前子網(wǎng)絡圖對應的攻擊路徑集，直至所述多個子網(wǎng)絡圖均得到對應的攻擊路徑集；

41、其中，所述路徑匹配識別方法，包括：根據(jù)當前子網(wǎng)絡圖的各節(jié)點，于所述訪問路徑集中進行匹配，得到多條訪問路徑，并將所述多條訪問路徑組合為當前子網(wǎng)絡圖對應的攻擊路徑集；所述訪問路徑滿足源節(jié)點地址與目標節(jié)點地址對應的節(jié)點均處于當前子網(wǎng)絡圖中。

42、在本技術(shù)的某些實施方式中，所述子攻擊圖構(gòu)建模塊包括加權(quán)頻率確定子模塊、攻擊概率計算子模塊和子攻擊圖構(gòu)建子模塊；

43、所述加權(quán)頻率確定子模塊，用于根據(jù)歷史攻擊事件集和所述多個攻擊路徑集，確定所述多個子網(wǎng)絡圖各自的若干條邊的加權(quán)頻率；

44、所述攻擊概率計算子模塊，用于根據(jù)所述多個子網(wǎng)絡圖中各自的若干條邊的加權(quán)頻率，計算所述多個子網(wǎng)絡圖各節(jié)點之間的貝葉斯攻擊概率；

45、所述子攻擊圖構(gòu)建子模塊，用于根據(jù)所述貝葉斯攻擊概率，構(gòu)建與所述多個子網(wǎng)絡圖對應的多個貝葉斯子攻擊圖。

46、在本技術(shù)的某些實施方式中，所述攻擊圖構(gòu)建模塊包括關聯(lián)邊獲取子模塊和攻擊圖構(gòu)建子模塊；

47、所述關聯(lián)邊獲取子模塊，用于根據(jù)所述節(jié)點拓撲圖，獲取所述多個子網(wǎng)絡圖之間的若干條關聯(lián)邊；

48、所述攻擊圖構(gòu)建子模塊，用于對于每個子網(wǎng)絡圖，根據(jù)所述若干條關聯(lián)邊，選擇當前子網(wǎng)絡圖與對應鄰接的各子網(wǎng)絡圖的各第一關聯(lián)邊，并根據(jù)所述第一關聯(lián)邊，融合當前子網(wǎng)絡圖對應的貝葉斯子攻擊圖和對應鄰接的各子網(wǎng)絡圖對應的各貝葉斯子攻擊圖，得到所述電網(wǎng)系統(tǒng)的網(wǎng)絡攻擊圖；其中，所述第一關聯(lián)邊為當前子網(wǎng)絡圖與對應鄰接的各子網(wǎng)絡圖的所有關聯(lián)邊中權(quán)重最大的關聯(lián)邊。

49、本技術(shù)先對電網(wǎng)系統(tǒng)的運行日志進行特征提取得到包括節(jié)點拓撲圖和訪問路徑集的網(wǎng)絡特征數(shù)據(jù)，再根據(jù)社區(qū)發(fā)現(xiàn)算法將節(jié)點拓撲圖劃分為多個子網(wǎng)絡圖，能夠?qū)碗s的電網(wǎng)系統(tǒng)拓撲劃分為多個簡單的子網(wǎng)絡圖，然后根據(jù)訪問路徑集識別得到多個攻擊路徑集，能夠使得到的攻擊路徑集限制于對應的子網(wǎng)絡圖中，減少因路徑跨越子網(wǎng)絡圖導致的復雜度上升；進而根據(jù)歷史攻擊事件集和多個攻擊路徑集，計算多個子網(wǎng)絡圖各節(jié)點之間的貝葉斯攻擊概率，進而構(gòu)建多個貝葉斯子攻擊圖，通過貝葉斯方法進行攻擊概率計算更精確，從而使獲得的貝葉斯子攻擊圖更精確；再根據(jù)多個子網(wǎng)絡圖之間的若干條關聯(lián)邊融合多個貝葉斯子攻擊圖得到網(wǎng)絡攻擊圖，確保各子網(wǎng)絡圖內(nèi)部的攻擊路徑能夠根據(jù)關聯(lián)邊與其他子網(wǎng)絡圖的攻擊路徑連接，能夠?qū)⒍鄠€子網(wǎng)絡圖重新關聯(lián)，提高各子網(wǎng)絡圖的攻擊路徑的關聯(lián)度，從而提高構(gòu)建得到的網(wǎng)絡攻擊圖的準確度。

50、根據(jù)本技術(shù)實施方式的第四方面，提供一種電網(wǎng)遭受攻擊的預防裝置，包括攻擊圖獲取模塊、攻擊路徑篩選模塊和攻擊預防模塊；

51、所述攻擊圖獲取模塊，用于獲取電網(wǎng)系統(tǒng)的網(wǎng)絡攻擊圖；其中，所述網(wǎng)絡攻擊圖由本技術(shù)所述的一種電網(wǎng)遭受攻擊的攻擊圖構(gòu)建裝置所構(gòu)建；

52、所述攻擊路徑篩選模塊，用于基于預設概率閾值，對所述網(wǎng)絡攻擊圖進行篩選，得到多條預測攻擊路徑；

53、所述攻擊預防模塊，用于根據(jù)所述多條預測攻擊路徑各自的節(jié)點信息和攻擊手段，生成對應的多個預防策略，并根據(jù)所述多個預防策略進行預防。

54、本技術(shù)先獲取網(wǎng)絡攻擊圖并根據(jù)網(wǎng)絡攻擊圖得到多條預測攻擊路徑，再根據(jù)多條預測攻擊路徑的節(jié)點信息和攻擊手段生成對應的多個預防策略并進行預防，能夠更準確地進行攻擊預防并在攻擊到達時及時預防。