1.一种基于电力cps的网络安全态势感知方法,其特征在于:包括如下步骤:
s1:报警数据预处理;
s2:报警数据融合,使用基于可信度的报警信息融合方法进行多源报警信息融合;
s3:基于威胁传播树的电力cps安全风险评估:首先,通过告警信息的时空关联关系分析和攻击效果评估对报警信息的重要性进行评估,进而剔除错误报警信息,以提高报警信息的准确性;其次,在方法中分别针对电力系统的物理系统和信息系统特点进行节点重要性评估,并考虑到电力系统信息域与物理域以及跨域的威胁传播,以达到更加客观全面的使用威胁传播树对电力cps网络安全态势评估;再次,使用改进威胁传播树进行态势评估。
2.如权利要求1所述的基于电力cps的网络安全态势感知方法,其特征在于:步骤s1中,包含如下步骤:
s101:报警日志规范化;
s102:报警信息归并。
3.如权利要求2所述的基于电力cps的网络安全态势感知方法,其特征在于:步骤s101中,规范化过程中针对常出现的字段,在规范化过程中选择提取安全要素:源ip地址、源端口、目标ip地址、目标端口、时间戳、异常类型和优先级,为方便后续对报警信息的时间进行分析计算,在数据规范化中将原始日志的时间信息转化为由1月1号0时开始所经过的秒数,在最后报警信息融合完成后再将时间信息恢复为用户直观的时间表示方式;
步骤s102中,在数据报警信息归并中,使用基于属性相异度的报警信息归并方法,分别对来自相同网络安全设备的报警信息进行归并,当两个报警信息相异度小于阈值时,进行对其归并操作;大于阈值,则将后来的报警信息成为新报警信息在对同一设备的报警信息进行归并后,统一将归并后的报警信息进行归并。
4.如权利要求3所述的基于电力cps的网络安全态势感知方法,其特征在于:步骤s102中,归并过程中考虑时空关联,利用时空关联对冗余报警进行分析,在时间维度上表现为报警信息的报警时间,在空间维度上表现为ip地址,即通过时间、源ip地址、目的ip地址赋予不同的权重来进行相异度计算,相异度计算如下:
dij=ωt×dt+ωsrc_ip×dsrc_ip+ωdst_ip×dsdst_ip(1)
dt=(ti-tj)/r(2)
式中dij代表报警信息i,报警信息j的相异度;ωt为时间相异度的权重;ωsrc_ip为源p地址相异度权重;ωdst_ip为目的ip地址相异度权重ωdst_ip;dt为归一化后的时间差;ti为报警信息i的时间;tj为报警信息j的时间;r为可以进行归并的最大时间差,取r=300;dsrc_ip为归一化后源地址相异度,indexsrc_diff为两个源地址转换成二进制位之后的第一位不同的位置下标,同理可得ddst_ip为归一化后源地址相异度,indexdst_diff为两个目的地址转换成二进制位之后的第一位不同的位置下标。
5.如权利要求1-4任意一项所述的基于电力cps的网络安全态势感知方法,其特征在于:步骤s2,包含如下步骤:
s201:数据源可信度分析;
s202:多源数据报警信息融合。
6.如权利要求5所述的基于电力cps的网络安全态势感知方法,其特征在于:步骤s201中,数据源可信度分析,使用灰色关联度分析计算各个数据源两两之间的支持度,以便于量化各个数据源在多个数据源中被支持的程度,以snort报警信息为例进行分析:
1)确定参考序列和比较数列:snort报警信息各个时刻的snort报警信息为参考序列x1,假设共有n个时刻,共有m种报警数据源,其他m-1种报警数据源的报警信息序列x2,x3,...,xm,将x1与x2,x3,...,xm逐个进行比较,计算关联度:
2)t时刻两个序列之间的差值为报警信息关联度,序列xi与参考序列x1的关联系数ξi0:
式中△(min)为序列xi序列与序列x0在各个时刻中的最小差值,同理△(max)为最大差值;ρ为分辨系数,取值范围为[0,1];
3)序列xi参考序列与参考序列x0的灰色关联度r0i:
r0i值越接近1说明序列xi序列与序列x0的相关性越好;
两个数据源的关联度越髙,则说明该两个数据源相互的支持度越高,所以数据源之间的关联度作为支持度,即支持度sij=rij得到支持度矩阵:
由于支持度矩阵为对称矩阵即sij=rij,获取支持度矩阵总共需要进行m×(m-1)/2次报警信息序列的灰色关联度计算,通过支持度矩阵可得,其他数据源对数据源i的总支持度为:
一个网络攻击行为会在多个安全设备留下痕迹,可以认为:一个数据源的总支持度越髙,则该数据源信息的越准确即可信度越高;总支持度越低,则该数据源信息的越不准确即可信度越低;其他数据源对数据源ⅰ的总支持度越高,则数据源的可信度越高,将各个数据源的可信度归一化,数据源i的可信度为:
各个数据源的可信度之和为1。
7.如权利要求6所述的基于电力cps的网络安全态势感知方法,其特征在于:步骤s202中,多源数据报警信息融合过程中,首先将状态划分为四种安全状态,即在一个时刻,有四种状态分别量化为0、1、2、3,由低到高分别标识四个威胁等级,0表示安全无异常,3表示威胁等级最高,数据源i的报警信息表达在t时刻的状态取值,表示为k(xi(t)),将各个数据源的可信度作为该数据源权重,即ωi=ci,根据权重进行加权平均,求各个时刻对应的威胁期望:
得到加权平均序列为:
xmae={xmae(t)|t=1,2,...,n}=(xmae(1),xmae(2),...,xmae(n))(12)
釆用三角模糊数建立威胁期望xmae在0、1、2、3四个威胁等级上的隶属度分布模型,隶属度函数分别为:μ0、μ1、μ2、μ4,一个时刻的威胁值对于四个威胁等级的隶属度,为威胁等级定级分析提供基础,该模型确立了一个期望值对应各个威胁等级的可能性;
两个隶属度函数交集部分代表该部分取为复合类别,所以需要融合收殓;假设总共有m个数据源,则需将加权平均序列xmae使用dempster组合规则进行m-1次融合,得出各个时刻报警的最终融合结果,在进行融合后,若某一威胁的等级k的隶属度大于阈值a,则将该时刻的威胁等级定为k,若四个威胁等级的隶属度均小于a,则将该时刻的威胁等级定为0级。
8.如权利要求1-4任意一项所述的基于电力cps的网络安全态势感知方法,其特征在于:步骤s3,包含如下步骤:
s301:使用改进lof算法综合报警信息可信度和造成的威胁对异常点的重要性进行评估;
s302:分别对电力cps中电力物理网络和电力信息网络的重要性进行量化评估;
s303:使用改进威胁传播树进行态势评估。
9.如权利要求8所述的基于电力cps的网络安全态势感知方法,其特征在于:步骤s301中,改进lof算法在有效距离领域和可达距离的基础上求取离群因子,具体如下:
1)两点距离d(p,o):两点p和o之间的距离;
2)有效距离(e-distance):综合考虑时空因素,由时间差和拓扑距离组成;
3)有效距离领域ne(p):为与点p的距离小于或等于有效距离的所有点的集合;
4)可达距离(reach-distance(p,o):点o到任意点p的可达距离定义为:
reach-distance(p,o)=min{e-distance(o),d(p,o)}(13);
5)局部可达密度:点p的局部可达密度表示为:
式中lrde(p)为ne(p)所包含点的可达密度的倒数的平均值,lrde(p)越大则点p是离群点的可能性越小,反之则点p是离群点的可能性越大;
6)局部离群因子:点p的局部离群因子表示为:
lofe(p)表示点p与ne(p)所包含点的可达密度比的平均数值,lofe(p)越接近于1,则表示p点是离群点的可能性更低,lofe(p)<1,表示点p的密度高于ne(p)包含点的平均密度,lofe(p)>1,表示点p的密度低于ne(p)包含点平均密度;
步骤s302中,包括:
1)电力物理系统的网络节点重要性评估:
采取系统科学分析方法分析电力节点重要性,把对电力系统所造成的级联故障的故障规模等价于该节点的重要性:
将电力物理系统抽象为网络,其中负载、发电机和变电站为网络节点,输电线路为有向边,每条边对应一个效率值,对应实际传输过程中的损耗,效率矩阵d={di,j},当i=j时,di,j表示是电力系统设备发电机和负载上当前的功率,发电机的di,j>0表示向外输出有功功率,负载的di,j<0表示消耗有功功率;当i≠j时,若di,j=0表示节点与节点j之间不存在边;若0<di,j≤1,表示节点i到节点j之间边的效率值;
对于电力物理系统的级联故障分析,通过使用基于复杂网络理论的电网级联故障分析方法来更新效率矩阵d,并对电力物理系统进行级联故障仿真,电力物理系统的网络节点的重要性权重为:
式中,ωi表示电力物理系统的网络节点i在整个电力cps中所占权重;ve表示电力物理系统的网络节点集合;gi、gj为假设对节点i、节点j在级联故障模拟中单独对其进行移除操作后电力物理系统中出现的故障节点个数;
2)电力信息系统的网络节点重要性评估:
节点是网络的重要组成部分,节点与连接构成网络,节点的度和聚集系数可以较好的体现一个通信节点在通信网络中的重要性,所以可通过节点的度和聚集系数进行节点重要性评估,公式如下:
fj=(1-a)×aj+a×dj(18)
式中,ωj为电力信息系统的网络节点j在电力cps中的权重;vj表示电力信息通信网络节点集合;ve表示调度中心节点;fj、fk分别表示节点j和节点k的节点重要性评价;a取0.8;aj为节点j的局部聚集系数,dj为节点j的度;cj为与节点j逻辑联通的节点之间边的总数。
10.如权利要求9所述的基于电力cps的网络安全态势感知方法,其特征在于:步骤s303中,将节点类型划分为3类:①活动节点(activenode,an):当前时刻收到威胁,有可能成为下一个热源节点的节点;②死节点(inactivenode,in):是热源节点或曾是热源节点的节点,且不会再被危险再次作用的节点;③可激活节点(activatablenode,atn):网络中还未受到威胁的节点,在威胁传播树的构造过程中,应遵循以下规则:
1)一个节点成为热源节点后,以该热源节点进行威胁传播树的构造过程中威胁无法传播到该点;
2)活动节点只能向相邻节点传播威胁,当威胁传播成功后,该活动节点立即变为死节点,死节点不再被威胁作用;
3)当活动节点成为热源节点后,相邻的可激活节点成为活动节点;
4)一个节点不允许受到多个威胁同时作用,但允许一个节点同时向其相邻的可激活节点进行威胁传播,使可激活节点成为活动节点;
5)因为再威胁传播树算法中,运算的空间和时间复杂度都伴随着每一次递归的进行成指数级增长,所以需要对进行运算与否进行一次决策,决策算法使用代价函数c表示,“+”表示进行下一步的运算,“-”表示停止运算,c(+,-)表示应该进行下一步运算时,停止运算所付出的代价;同理c(-,+)表示应该停止运算,但又继续进行下一步运算所付出的代价,根据当前已经获得信息对继续运算所获得信息的价值进行初步估算,c(+,-)为当前威胁传播树的威胁期望值,
c(+,-)=etk(22)
式中,c(+,-)为放弃计算的代价;tk一棵拥有k个节点的威胁传播树;etk表示该威胁传播树所造成的威胁期望值;
式中,c(-,+)为继续下一步计算的代价的估计,在判断是否求解i个系欸点威胁传播树时形成的斜率sq,i为:
式中,sq,i越大表示同等计算复杂度下所得到的信息价值可能越大,sq,i过小表示计算复杂度明显增加而所得到的信息价值可能依然很小,sq,i可以直观的为是否继续计算决策提供直观的参考;
通过确定最大计算复杂度omax、可忽略复杂度omin,从而得到决策函数:
式中,tk表示一棵拥有k个节点的威胁传播树,
6)网络中没有活动节点或者