电力信息物理系统网络攻击图的关键节点确定方法及装置与流程
本发明涉及网络安全领域,具体涉及一种电力信息物理系统网络攻击图的关键节点确定方法及装置。
背景技术:
随着计算机科学、信息化技术、信息安全、电力系统等相关领域的不断发展,智能电网建设引入诸如云计算、大数据、移动互联、物联网等“互联网+”新技术,电网信息获取方法、存储形态、传输渠道和处理方式将发生新的变化,网络基础环境也随之发生相应的改变,电力系统发输变配用等环节都将可能被引入新的威胁和网络攻击,对电力系统造成的局部微小改动都可能造成电力网络系统的瘫痪,电力信息网络系统面临严峻的安全风险和安全威胁。
随着电力系统网络规模逐渐加大,节点众多、结构复杂、网络协议多样、数据海量的网络系统存在很多不确定性因素,使得网络安全检测系统存在众多的虚假警报和漏报,当前传统的安全防护技术无法满足实际电力系统的网络安全运行和防护的要求。
网络攻击图是一种以设备漏洞、网络连接关系、访问策略、目标、攻击行为等为因素来构建网络安全状态的可行性变迁模型,可直观性地展现所有可能的攻击路径、攻击步骤和攻击状态,反映攻击者逐步获取网络系 统权限的过程,是分析多步网络攻击的重要方法,是评估网络信息系统脆弱点关联关系、网络安全风险以及网络安全态势的重要手段,为安全防护策略的制定提供了依据。随着网络规模不断加大,攻击图规模日渐庞大,攻击图节点数也在不断增加,攻击图冗余路径逐渐增加,攻击图无法体现节点的重要性,也即无法直观体现节点对整个系统的影响程度,而需要人为地对攻击图进行解读,无法实现对电力信息物理系统及时有效的防护。
技术实现要素:
因此,本发明要解决的是现有的网络攻击图无法直观体现节点的关键度的问题。
有鉴于此,本发明提供一种电力信息物理系统网络攻击图的关键节点确定方法,包括:分别获取攻击图中的所有节点的至少一种特征值;分别确定所述特征值的权重;根据所述至少一种特征值以及所述权重从所述所有节点中确定关键节点。
优选地,所述分别获取攻击图中的所有节点的至少一种特征值,包括:
分别获取所述节点的描述信息;
根据所述描述信息确定所述至少一种特征值。
优选地,所述根据所述描述信息确定所述至少一种特征值,包括:
根据所述描述信息确定各个特征的量化值;
根据所有所述节点的所述量化值确定量化值底数;
根据所述量化值和量化值底数确定所述特征值。
优选地,所述特征值包括节点度数、节点介数、节点接近度、节点聚类度、网络流量空间分布中的至少一种。
优选地,特征值所述分别确定所述特征值的权重,包括:
利用所述特征值构建第一矩阵A,所述第一矩阵A的行和列分别对应所述至少一种特征值;
对第一矩阵A的各列求和,形成每一列的和值;
对每一列的和值进行归一化处理以形成第二矩阵B;
对第二矩阵B的每一行进行求和,将求和结果作为特征向量;
对特征向量进行归一化处理以得到所述特征值的初始权重;
根据所述初始权重对所述第一矩阵A进行一致性检验,并根据一致性检验结果调整所述第一矩阵A,以得到所述特征值的权重。
优选地,所述根据所述初始权重对所述第一矩阵A进行一致性检验,并根据一致性检验结果调整所述第一矩阵A,包括:
计算所述第一矩阵A的最大特征根;
根据所述最大特征根计算所述第一矩阵A的一致性指标;
当所述一致性指标大于预定阈值时对所述第一矩阵A进行调整,直至所述一致性指标小于预定阈值为止。
优选地,所述根据所述至少一种特征值以及所述权重确定关键节点,包括:
将所述至少一种特征值与相应的权重的乘积作为关键度量;
根据所述所有节点的重要度信息确定重要节点在所有节点中所占的比例;
根据所述关键度量和所述比例从重要节点中筛选出关键节点。
相应地,本发明还提供了一种电力信息物理系统网络攻击图的关键节 点确定装置,包括:
特征值获取单元,用于分别获取攻击图中的所有节点的至少一种特征值;
权重确定单元,用于分别确定所述特征值的权重;
关键节点确定单元,用于根据所述至少一种特征值以及所述权重从所述所有节点中确定关键节点。
优选地,所述特征值获取单元包括:
描述信息获取单元,用于分别获取所述节点的描述信息;
特征值确定单元,用于根据所述描述信息确定所述至少一种特征值。
进一步地,所述特征值确定单元包括:
特征值确定单元,用于根据所述描述信息确定各个特征的量化值;
底数确定单元,用于根据所有所述节点的所述量化值确定量化值底数;
特征值计算单元,用于根据所述量化值和量化值底数确定所述特征值。
上述优选方案使用各指标的指数标准化处理方法避免了直接使用度、介数、聚类度和接近度等多种概念的不足,将网络节点所有节点进行综合考虑,量化出各节点的特征值,并以此来表示节点的重要程度。
优选地,所述特征值包括节点度数、节点介数、节点接近度、节点聚类度、网络流量空间分布中的至少一种。
优选地,所述权重确定单元包括:
第一矩阵构建单元,用于利用所述特征值构建第一矩阵A,所述第一矩阵A的行和列分别对应所述至少一种特征值;
第一求和单元,用于对第一矩阵A的各列求和,以得到每一列的和值;
第二矩阵确定单元,用于对所述每一列的和值进行归一化处理以形成第二矩阵B;
特征向量确定单元,用于对所述第二矩阵B的每一行进行求和,将求和结果作为特征向量;
归一化处理单元,用于对所述特征向量进行归一化处理以得到所述特征值的初始权重;
权重计算单元,用于根据所述初始权重对所述第一矩阵A进行一致性检验,并根据一致性检验结果调整所述第一矩阵A,以得到所述特征值的权重。
进一步地,所述权重计算单元包括:
特征根计算单元,用于计算所述第一矩阵A的最大特征根;
一致性计算单元,用于根据所述最大特征根计算所述第一矩阵A的一致性指标;
矩阵调整单元,用于当所述一致性指标大于预定阈值时对所述第一矩阵A进行调整,直至所述一致性指标小于预定阈值为止。
优选地,所述关键节点确定单元包括:
关键度量计算单元,用于将所述至少一种特征值与相应的权重的乘积作为关键度量;
重要节点比例确定单元,用于根据所述所有节点的重要度信息确定重要节点在所有节点中所占的比例;
关键节点筛选单元,用于根据所述关键度量和所述比例从重要节点中筛选出关键节点。
根据本发明实施例提供的电力信息物理系统网络攻击图的关键节点确定的方法及装置,通过获取攻击图中的所有节点的至少一种特征值,可以量化出各节点的重要程度;通过确定各个特征值的权重,可以对特征值进行权衡;最终根据特征值以及相应权重,从所有节点中确定关键节点,将所有节点进行综合考虑,由此从多方面多维度全方位地实现对系统攻击图的关键节点识别,解决了攻击图安全防护侧重点不确定的问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的电力信息物理系统网络攻击图的关键节点确定方法的流程图;
图2为本发明实施例提供的电力信息物理系统网络攻击图的关键节点确定方法的梯阶层次结构;
图3为本发明实施例提供的电力信息物理系统网络攻击图的关键节点确定装置的结构示意图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
本发明实施例提供了一种电力信息物理系统网络攻击图的关键节点确定方法,如图1所示,该方法包括如下步骤:
S1,分别获取攻击图中的所有节点的至少一种特征值,本领域技术人员应当理解,攻击图中包括至少一种信息,通常采用以下方式来表示:BAG=(S,A,E),其中S表示属性节点集合,包括网络中各安全要素的描述信息,如主机IP、网络连接、脆弱性、权限等,A表示原子攻击,E表示有向边集合。从攻击图中提取所有节点,生成节点v1,v2,…,vm,即节点数为M个。本发明实施例可以根据上述描述信息提取出节点的指标集,也即上述特征值,同时攻击图中还记载了各个节点的重要程度,例如节点是否为重要节点。
上述特征值包括多种,例如可以是节点度数、节点介数、节点接近度、节点聚类度、网络流量空间分布等等,本发明可以选取其中的至少一个作为判定依据,并将其量化以便进行后续处理。作为一个优选的实施方式,如图3所示,本发明实施例可以选取上述全部5种特征值,并将其构成集合,后续步骤将以此集合来衡量节点的关键度。
S2,分别确定特征值的权重,如上本实施例选取了多种特征值,而每 一种特征值对节点的影响程度可能是不同的,因此还需要确定特征值的权重来衡量各个特征值对节点的影响程度,具体确定方法有多种,例如可以通过特定算法计算得到,具体将在下文进行详细介绍。
S3,根据特征值以及权重从所有节点中确定关键节点。通过步骤S1和S2的处理,可以得到每个节点的各种特征值、各种特征值的权重,根据这2个数据,例如将这些数据与阈值进行比对,可以从所有节点中选取至少一个作为关键节点。
根据本发明实施例提供的电力信息物理系统网络攻击图的关键节点确定的方法,通过获取攻击图中的所有节点的至少一种特征值,可以量化出各节点的重要程度;通过确定各个特征值的权重,可以对特征值进行权衡;最终根据特征值以及相应权重,从所有节点中确定关键节点,将所有节点进行综合考虑,由此从多方面多维度全方位地实现对系统攻击图的关键节点识别,解决了攻击图安全防护侧重点不确定的问题。
作为一个优选的实施方式,上述步骤S1可以包括如下步骤:
S11,分别获取节点的描述信息;
S12,根据描述信息确定各个特征的量化值,以上述节点度数、节点介数、节点接近度、节点聚类度、网络流量空间分布这5个特征为例,此步骤可以确定这5个特征的量化值。具体如下:
节点度数反映了网络中该节点与其周围相邻节点之间的关系,定义为所有与该节点相连的边的条数。电力信息物理系统中的节点i的度ki定义为节点度数越大,表示该节点在网络中越重要。
节点介数衡量网络中的所有最短路径中经过节点i的数目,定义为 其中,gjk表示节点j与k之间所有的最短路径数,gjk(i)表示节点j与k之间所有最短路径中经过节点i的路径数。当若节点j和节点k为相邻节点,则节点i的关键度Ti=0。节点介数的值反映了网络中传输的信息经过某一节点的可能性,节点的介数越大说明该节点越重要。
节点接近度反映了电力信息物理系统中某一节点到其他所有节点的平均难易程度,定义为:i≠j,其中,n为网络中节点的总数,d(vi,vj)表示节点vi到节点vj的最短距离。接近度越大,该节点越居于网络中心,在网络中越重要。
节点聚类系数,反映网络中任一节点的相邻节点间互相连接的程度,定义为其中ni表示节点i的ki个邻居之间相互连接的链路数目。
网络的平均聚类系数为0≤S≤1,当且仅当S=0时,网络中所有节点都是孤立的,不存在任何连接边;当且仅当S=1时,网络中的任意两个节点至少都有一条边直接相邻。
网络流量空间特征,关键节点具有报文多,包速率、字节速率等统计特征相对较大等特点,本实施例可以选取报文大小作为特征代表,在特定时间间隔内,节点i流过的报文大小值Fi。
S13,根据所有节点的量化值确定量化值底数,即每一种量化值都可以 根据自身计算出底数;
S14,根据量化值和量化值底数确定特征值。具体地:
对于节点的度数,可以将所有节点的度和作为底数。在N个节点的网络中,节点i的度为ki(i=1,2,…,N),则网络中所有N个节点度的和表示为则任意节点i的度指数kei定义为:其中,Km为复杂网络中度最小的节点值。
对于节点的介数,可以将所有节点的介数和作为底数。在N个节点的网络中,节点i的介数为Ti(i=1,2,…,N),Ti≠0,网络中所有N个节点介数的和表示为则任意节点i的介数指数定义为:定义Tm为介数最小的那个节点对应的值。
对于节点的接近度数,可以将所有节点的接近度数和作为底数。在N个节点的网络中,节点i的接近度为Ci(i=1,2,…,N),网络中所有N个节点接近度的和表示为则任意节点i的接近度指数定义为: 定义Cm为接近度最小的那个节点对应的值。
对于节点的聚类度数,可以将所有节点的聚类度数和作为底数。在N个节点的网络中,节点i的聚类度为Si(i=1,2,…,N),网络中所有N个节点聚类度的和表示为则任意节点i的聚类度指数定义为: 定义Sm为聚类度最小的那个节点对应的值。
对于节点的网络流量空间特征,可以将所有节点的流量和作为底数。在N个节点的网络中,节点i的流量值为Fi(i=1,2,…,N),网络中所有N 个节点流量和表示为则任意节点i的网络流量指数定义为: 定义Fm为流量值最小的那个节点对应的值。
上述优选方案使用各指标的指数标准化处理方法避免了直接使用度、介数、聚类度和接近度等多种概念的不足,将网络节点所有节点进行综合考虑,量化出各节点的特征值,并以此来表示节点的重要程度。
作为一个优选的实施方式,上述步骤S2可以包括如下步骤:
S21,利用特征值构建第一矩阵A,第一矩阵A的行和列分别对应上述至少一种特征值,具体地:
其中
其中N是特征值的个数,在本实施例中所采用的是节点度数、节点介数、节点接近度、节点聚类度、网络流量空间分布这5个特征值,因此本实施例中N=5。
S22,对第一矩阵A的各列求和,形成每一列的和值,分别为
S23,对每一列的和值进行归一化处理以形成第二矩阵B,
S24,对第二矩阵B的每一行进行求和,形成将求和结果作为特征向量
S25,对特征向量进行归一化处理得到特征值的初始权重,即初始权重向量W为<w1,w2,...,wN>T;
S26,根据初始权重对第一矩阵A进行一致性检验,并根据一致性检验结果调整第一矩阵A,以得到特征值的权重。
进一步地,步骤S26可以包括如下步骤:
S261,计算第一矩阵A的最大特征根其中(AW)i表示向量AW的第i个元素。
S262,根据最大特征根计算第一矩阵A的一致性指标CI越大表示判断矩阵偏离完全一致性的程度越大,当判断矩阵具有完全一致性时,CI=0。当一致性指标大于预定阈值时执行步骤S263,否则停止调整;
S263,对第一矩阵A进行调整。RI表示平均随机一致性指标,通常常量,本例中RI取值为1.12,预定阈值取值为0.1。若CI<0.1,即保持显著水平,对比矩阵保持一致性;若CI>0.1,则表示未保持显著水平,需要对对比矩阵A进行调整,直至达到满意的一致性为止。
上述优选方案采用层次分析法确定各指标要素权重值,在评估关键节点重要性时更加地全面和准确。
作为一个优选的实施方式,上述步骤S3可以包括如下步骤:
S31,将至少一种特征值与相应的权重的乘积作为关键度量,对于某一 节点,各指标要素形成向量X为<KQ,TQ,CQ,SQ,FQ>,各指标权重向量W为<w1,w2,...,wN>T,则该节点的关键度量I值为I=X*W=<KQ,TQ,CQ,SQ,TQ>*<w1,w2,...,wN>T。如有M个节点,形成关键度量Im向量为Im=<I1,I2,...,IM>,对此向量内的各个值进行由大至小的总排序,则判断出各节点对整体网络的关键度综合排序,
S32,根据重要度信息确定重要节点在所有节点中所占的比例,如上所述,攻击图中还记载了各个节点的重要程度,例如节点是否为重要节点,假设M个节点中有N个节点被指定为重要节点,则比例为N/M;
S33,根据关键度量和比例从重要节点中筛选出关键节点。根据排序结果和关键节点在所有节点中所占比,例如将排序靠前在占比范围内的节点列为电力信息物理系统中的关键节点。
上述优选方案对各指标要素进行加权处理,并对攻击图所有节点的重要度进行排序,按特定值判断节点重要性,提取攻击图关键节点,使提取出的关键节点更准确,计算效率更高。
本发明的另一个实施例还提供了一种电力信息物理系统网络攻击图的关键节点确定装置,如图3所示,该装置包括:
特征值获取单元21,用于分别获取攻击图中的所有节点的至少一种特征值;
权重确定单元22,用于分别确定所述特征值的权重;
关键节点确定单元23,用于根据所述至少一种特征值以及所述权重从所述所有节点中确定关键节点。
根据本发明实施例提供的电力信息物理系统网络攻击图的关键节点确定的装置,通过获取攻击图中的所有节点的至少一种特征值,可以量化出各节点的重要程度;通过确定各个特征值的权重,可以对特征值进行权衡;最终根据特征值以及相应权重,从所有节点中确定关键节点,将所有节点进行综合考虑,由此从多方面多维度全方位地实现对系统攻击图的关键节点识别,解决了攻击图安全防护侧重点不确定的问题。
优选地,所述特征值获取单元21包括:
描述信息获取单元,用于分别获取所述节点的描述信息;
特征值确定单元,用于根据所述描述信息确定所述至少一种特征值。
进一步地,所述特征值确定单元包括:
特征值确定单元,用于根据所述描述信息确定各个特征的量化值;
底数确定单元,用于根据所有所述节点的所述量化值确定量化值底数;
特征值计算单元,用于根据所述量化值和量化值底数确定所述特征值。
上述优选方案使用各指标的指数标准化处理方法避免了直接使用度、介数、聚类度和接近度等多种概念的不足,将网络节点所有节点进行综合考虑,量化出各节点的特征值,并以此来表示节点的重要程度。
优选地,所述特征值包括节点度数、节点介数、节点接近度、节点聚类度、网络流量空间分布中的至少一种。
优选地,所述权重确定单元22包括:
第一矩阵构建单元,用于利用所述特征值构建第一矩阵A,所述第一矩阵A的行和列分别对应所述至少一种特征值;
第一求和单元,用于对第一矩阵A的各列求和,以得到每一列的和值;
第二矩阵确定单元,用于对所述每一列的和值进行归一化处理以形成第二矩阵B;
特征向量确定单元,用于对所述第二矩阵B的每一行进行求和,将求和结果作为特征向量;
归一化处理单元,用于对所述特征向量进行归一化处理以得到所述特征值的初始权重;
权重计算单元,用于根据所述初始权重对所述第一矩阵A进行一致性检验,并根据一致性检验结果调整所述第一矩阵A,以得到所述特征值的权重。
进一步地,所述权重计算单元包括:
特征根计算单元,用于计算所述第一矩阵A的最大特征根;
一致性计算单元,用于根据所述最大特征根计算所述第一矩阵A的一致性指标;
矩阵调整单元,用于当所述一致性指标大于预定阈值时对所述第一矩阵A进行调整,直至所述一致性指标小于预定阈值为止。
上述优选方案采用层次分析法确定各指标要素权重值,在评估关键节点重要性时更加地全面和准确。
优选地,所述关键节点确定单元包括:
关键度量计算单元,用于将所述至少一种特征值与相应的权重的乘积作为关键度量;
重要节点比例确定单元,用于根据所述所有节点的重要度信息确定重要节点在所有节点中所占的比例;
关键节点筛选单元,用于根据所述关键度量和所述比例从重要节点中筛选出关键节点。
上述优选方案对各指标要素进行加权处理,并对攻击图所有节点的重要度进行排序,按特定值判断节点重要性,提取攻击图关键节点,使提取出的关键节点更准确,计算效率更高。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
- 还没有人留言评论。精彩留言会获得点赞!