CN112819336B - 一种基于电力监控***网络威胁的量化方法及*** - Google Patents
一种基于电力监控***网络威胁的量化方法及*** Download PDFInfo
- Publication number
- CN112819336B CN112819336B CN202110149542.5A CN202110149542A CN112819336B CN 112819336 B CN112819336 B CN 112819336B CN 202110149542 A CN202110149542 A CN 202110149542A CN 112819336 B CN112819336 B CN 112819336B
- Authority
- CN
- China
- Prior art keywords
- attack
- key
- score
- threat
- alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000011002 quantification Methods 0.000 title claims abstract description 67
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000012544 monitoring process Methods 0.000 title claims abstract description 22
- 238000011158 quantitative evaluation Methods 0.000 claims abstract description 96
- 238000013210 evaluation model Methods 0.000 claims abstract description 9
- 230000008569 process Effects 0.000 claims description 16
- 238000012216 screening Methods 0.000 claims description 15
- 230000002159 abnormal effect Effects 0.000 claims description 14
- 238000007781 pre-processing Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 12
- 238000011156 evaluation Methods 0.000 claims description 7
- 241001270131 Agaricus moelleri Species 0.000 claims description 6
- 238000012935 Averaging Methods 0.000 claims description 6
- 230000003247 decreasing effect Effects 0.000 claims description 6
- 238000013139 quantization Methods 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 4
- 230000009467 reduction Effects 0.000 claims description 2
- 238000004364 calculation method Methods 0.000 abstract description 3
- 230000000875 corresponding effect Effects 0.000 description 15
- 238000001514 detection method Methods 0.000 description 14
- 238000004422 calculation algorithm Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 238000012549 training Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012098 association analyses Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0639—Performance analysis of employees; Performance analysis of enterprise or organisation operations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
Landscapes
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Engineering & Computer Science (AREA)
- Economics (AREA)
- Strategic Management (AREA)
- Entrepreneurship & Innovation (AREA)
- General Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Educational Administration (AREA)
- Marketing (AREA)
- Theoretical Computer Science (AREA)
- Development Economics (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Game Theory and Decision Science (AREA)
- Operations Research (AREA)
- Health & Medical Sciences (AREA)
- Public Health (AREA)
- Water Supply & Treatment (AREA)
- General Health & Medical Sciences (AREA)
- Primary Health Care (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于电力监控***网络威胁的量化方法及***,根据电力监控***收集的告警信息绘制攻击路径,依据预先构建的基于关键主机的攻击量化评估模型、基于告警级别的攻击量化评估模型、基于重点事件的攻击量化评估模型以及基于漏洞利用的攻击量化评估模型对攻击路径进行量化处理,将每个模型处理后的得分进行汇总得到攻击路径总的威胁值。优点:通过关键主机的威胁程度、重点事件的威胁程度、告警等级威胁程度、与漏洞利用路径的相似性这四个维度,来对攻击事件的危险性综合量化打分,创新性地提出了量化评估的建议评分表,实现了攻击事件威胁程度多维度的量化打分与计算。
Description
技术领域
本发明涉及一种基于电力监控***网络威胁的量化方法及***,属于电力监控***技术领域。
背景技术
如今存在于电网中的攻击事件绝大多数为多步攻击事件,不同的多步攻击事件的危害程度不一样,有些攻击利用了危险程度较高的漏洞,有些攻击利用了危险程度较低的漏洞。因此,如何衡量网络攻击的危险程度,对于电网的技术人员做网络攻击分析以及推演具有重要意义。
现有对电力监控***安全事件风险、威胁分析主要是基于安全事件日志,进行日志关键信息的提取,建立攻击路径,从而实现安全威胁攻击溯源的目的,但攻击路径在生成之后,由于缺乏对攻击路径威胁程度的直观评价,不利于运维人员关注维护重点,对危险事件容易忽略,使得电力监控***存在较大安全隐患。
现有的网络威胁态势评估的主要方法是基于IDS产生的原始警报信息评估网络的威胁态势,通过分析警报之间的逻辑关系对警报进行关联分析,基于关联结果分析网络的威胁态势,但是他们的研究假设所有的警报信息均代表成功的攻击行为,而在实际网络中,很大比例的警报为虚假警报或者不相关警报;还有通过隐马尔可夫模型进行威胁态势的评估,将IDS警报信息作为隐马尔可夫模型的观测序列,利用隐马尔可夫模型实时量化评估网络所处的安全状态,该方法可以有效评估网络的安全状态,但模型参数的合理设置存在很大的难度,模型易用性较差,难以推行使用。
发明内容
本发明所要解决的技术问题是克服现有技术的缺陷,提供一种基于电力监控***网络威胁的量化方法及***。
为解决上述技术问题,本发明提供一种基于电力监控***网络威胁的量化方法,包括:
获取电力监控***采集的告警日志信息,根据告警日志信息绘制攻击路径;
将攻击路径输入到预先构建的基于关键主机的攻击量化评估模型,输出攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分;
将攻击路径输入到预先构建的基于告警级别的攻击量化评估模型,输出攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分;
将攻击路径输入到预先构建的基于重点事件的攻击量化评估模型,输出攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分;
将攻击路径输入到预先构建的基于漏洞利用的攻击量化评估模型,输出攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分;
利用预先根据各维度对威胁评估影响确定的权重以及所述攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分、攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分、攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分、攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分,计算攻击路径总的威胁值,所述维度包括关键主机维度、告警级别维度、重点事件维度和漏洞利用路径维度。
进一步的,所述基于关键主机的攻击量化评估模型的处理过程包括:
利用告警信息识别关键主机IP;
遍历告警信息中的每一条攻击路径,再遍历每条路径中的节点,如果节点IP不在关键主机IP序列中,则记为a1分;如果节点IP在关键主机IP序列中,但没有匹配到事件发生时间,则记为a2分;再则,如果匹配到了事件发生时间,但没有匹配到关键主机IP的对应安全事件,则记为a3分;如果匹配到了关键IP的对应安全事件,则记为a4分;其中,0≤a1<a2<a3<a4≤1;
根据攻击路径中的每个节点与事件的匹配得分,取得分中的最大值为该攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分。
进一步的,所述利用原始告警信息识别关键主机IP的过程包括:
对原始告警信息进行预处理,得到稠密的时间序列,根据稠密的时间序列确定异常数量的起始点和结束点,判断起始点和结束点之间的时间段异常数量是否超过该IP的主机预先设置的阈值,若超过则确定该IP的主机为关键主机。
进一步的,所述基于告警级别的攻击量化评估模型的处理过程包括:
遍历告警信息中的每一条攻击路径,对于每条攻击路径,获得攻击路径中各个安全事件的告警等级并为其赋分值,其中0级威胁最高为b1分,1级次之为b2分,2级为b3分;其中,1≥b1>b2>b3≥0;
取攻击路径中的每个节点的安全事件评分中的最大值作为该攻击路径的基于告警等级的攻击量化评估模型的威胁量化评估得分。
进一步的,所述基于重点事件的攻击量化评估模型的处理过程包括:
根据告警信息提取电网的各种安全设备的日志,根据所述日志确定重点事件;
遍历告警信息中的每一条攻击路径,再对每条攻击路径遍历每一个告警事件,如果告警内容没有匹配重点事件,则记为c1分;如果匹配到了重点事件类型,则再匹配时间,如果告警事件发生时间不匹配,则记为c2分,如果重点事件类型和发生时间都匹配,但是重点事件的源IP和目的IP和攻击路径中的源IP和目的IP不匹配,则记为c3分,如果重点事件类型、发生时间、重点事件的源IP和目的IP和攻击路径中的源IP和目的IP都同时匹配,则记为c4分;其中,0≤c1<c2<c3<c4≤1;
在计算得到攻击路径中的每个节点的告警事件的分值后取这些分值中的最大值作为该攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分。
进一步的,所述根据所述日志确定重点事件的过程包括:
对电网中的各种安全设备的日志进行统计和提取,形成安全事件序列;
根据安全事件序列,考虑相邻安全事件中的告警数量激增事件和告警数量锐减事件,以及激增后小范围持续波动后再锐减的平顶事件,确定基于突变点的重点事件;
根据安全事件序列,考虑告警数量并不突然增多,而是缓慢增加,直至超过预先设置的数量阈值,确定基于阈值的重点事件。
进一步的,所述基于漏洞利用的攻击量化评估模型的处理过程包括:
遍历局域网内所有的漏洞攻击路径,分别计算与当前攻击路径相似程度高的攻击路径,根据相似度大小进行排名,提取相似度排名前1%的漏洞攻击路径;
对前1%的漏洞攻击路径进行筛选,设定阈值K,筛选出漏洞利用路径相似度大于K的漏洞利用路径;
对选取的漏洞利用路径根据CVSS评分规则库,对每条攻击路径的威胁程度进行量化,所述进行量化的过程包括:对漏洞利用路径上途径的所有CVE漏洞,对照CVSS评分规则库寻找其对应的CVSS评分,对这些CVSS评分求平均值,得到该条漏洞利用路径的危险程度评分;
对所有被筛选出来的漏洞利用路径的危险程度取最大值作为攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分。
一种基于电力监控***网络威胁的量化***,包括:
获取模块,用于获取电力监控***采集的告警日志信息,根据告警日志信息绘制攻击路径;
关键主机得分模块,用于将攻击路径输入到预先构建的基于关键主机的攻击量化评估模型,输出攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分;
告警级别得分模块,用于将攻击路径输入到预先构建的基于告警级别的攻击量化评估模型,输出攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分;
重点事件得分模块,用于将攻击路径输入到预先构建的基于重点事件的攻击量化评估模型,输出攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分;
漏洞利用路径相似程度得分模块,用于将攻击路径输入到预先构建的基于漏洞利用的攻击量化评估模型,输出攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分;
计算模块,用于利用预先根据各维度对威胁评估影响确定的权重以及所述攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分、攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分、攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分、攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分,计算攻击路径总的威胁值,所述维度包括关键主机维度、告警级别维度、重点事件维度和漏洞利用路径维度。
进一步的,所述关键主机得分模块包括:
识别模块,用于利用告警信息识别关键主机IP;
第一遍历模块,用于遍历告警信息中的每一条攻击路径,再遍历每条路径中的节点,如果节点IP不在关键主机IP序列中,则记为a1分;如果节点IP在关键主机IP序列中,但没有匹配到事件发生时间,则记为a2分;再则,如果匹配到了事件发生时间,但没有匹配到关键主机IP的对应安全事件,则记为a3分;如果匹配到了关键IP的对应安全事件,则记为a4分;其中,0≤a1<a2<a3<a4≤1;
第一取值模块,用于根据攻击路径中的每个节点与事件的匹配得分,取得分中的最大值为该攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分。
进一步的,所述识别模块包括:
预处理模块,用于对原始告警信息进行预处理,得到稠密的时间序列;
判断模块,用于根据稠密的时间序列确定异常数量的起始点和结束点,判断起始点和结束点之间的时间段异常数量是否超过该IP的主机预先设置的阈值,若超过则确定该IP的主机为关键主机。
进一步的,所述告警级别得分模块包括:
第二遍历模块,用于遍历告警信息中的每一条攻击路径,对于每条攻击路径,获得攻击路径中各个安全事件的告警等级并为其赋分值,其中0级威胁最高为b1分,1级次之为b2分,2级为b3分;其中,1≥b1>b2>b3≥0;
第二取值模块,用于取攻击路径中的每个节点的安全事件评分中的最大值作为该攻击路径的基于告警等级的攻击量化评估模型的威胁量化评估得分。
进一步的,所述重点事件得分模块包括:
确定模块,用于根据告警信息提取电网的各种安全设备的日志,根据所述日志确定重点事件;
第三遍历模块,用于遍历告警信息中的每一条攻击路径,再对每条攻击路径遍历每一个告警事件,如果告警内容没有匹配重点事件,则记为c1分;如果匹配到了重点事件类型,则再匹配时间,如果告警事件发生时间不匹配,则记为c2分,如果重点事件类型和发生时间都匹配,但是重点事件的源IP和目的IP和攻击路径中的源IP和目的IP不匹配,则记为c3分,如果重点事件类型、发生时间、重点事件的源IP和目的IP和攻击路径中的源IP和目的IP都同时匹配,则记为c4分;其中,0≤c1<c2<c3<c4≤1;
第三取值模块,用于在计算得到攻击路径中的每个节点的告警事件的分值后取这些分值中的最大值作为该攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分。
进一步的,所述确定模块包括:
提取模块,用于对电网中的各种安全设备的日志进行统计和提取,形成安全事件序列;
第一确定模块,用于根据安全事件序列,考虑相邻安全事件中的告警数量激增事件和告警数量锐减事件,以及激增后小范围持续波动后再锐减的平顶事件,确定基于突变点的重点事件;
第二确定模块,用于根据安全事件序列,考虑告警数量并不突然增多,而是缓慢增加,直至超过预先设置的数量阈值,确定基于阈值的重点事件。
进一步的,所述漏洞利用路径相似程度得分模块包括:
第四遍历模块,用于遍历局域网内所有的漏洞攻击路径,分别计算与当前攻击路径相似程度高的攻击路径,根据相似度大小进行排名,提取相似度排名前1%的漏洞攻击路径;
筛选模块,用于对前1%的漏洞攻击路径进行筛选,设定阈值K,筛选出漏洞利用路径相似度大于K的漏洞利用路径;
CVSS评分模块,用于对选取的漏洞利用路径根据CVSS评分规则库,对每条攻击路径的威胁程度进行量化,所述进行量化的过程包括:对漏洞利用路径上途径的所有cve漏洞,对照CVSS评分规则库寻找其对应的cvss评分,对这些cvss评分求平均值,得到该条漏洞利用路径的危险程度评分;
第四取值模块,用于对所有被筛选出来的漏洞利用路径的危险程度取最大值作为攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分。
本发明所达到的有益效果:
本发明通过多维度量化模型对攻击路径威胁程度进行量化,直观展示攻击路径的威胁程度,从而有利于电网技术人员从直观上感受漏洞利用路径的威胁程度;通过关键主机的威胁程度、重点事件的威胁程度、告警等级威胁程度、与漏洞利用路径的相似性这四个维度,来对攻击事件的危险性综合量化打分,创新性地提出了量化评估的建议评分表,实现了攻击事件威胁程度多维度的量化打分与计算。
附图说明
图1是本发明的流程示意图;
图2是关键主机检测识别方法;
图3是重点事件监测流程处理图;
图4是实施例的一个内网网络部署图;
图5是攻击路径示意图;
图6漏洞利用路径示意图。
具体实施方式
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明提高一种基于电力监控***网络威胁的量化方法,包括根据关键主机对攻击路径评分、根据重点事件对攻击路径评分、根据告警级别对攻击路径评分、根据与漏洞利用路径的相似程度进行评分4种算法,本文在计算攻击路径总的威胁值的时候,为各维度的评分算法计算出分值设定不同权值,权值可以手工调整,根据各维度对威胁评估影响的严重程度、范围,给出了建议的权值:“告警等级”权重20%,“重点可疑设备”权重20%,“重点事件”权重20%,“漏洞利用路径相似程度”权重40%,多维度量化算法的评分细则如下:
表1多维度量评分细则
攻击路径的威胁程度的多维度量化公式如下:实现从不同维度对攻击路径进行量化评分。
多维度量化算法
本专利介绍的多维度量化算法中涉及以下几个概念:
(1)告警等级是从原始数据本身直接提取,直接反映了告警的重要程度,如果攻击路径中的结点的告警等级高,那么攻击路径本身也更具有威胁性;
(2)重点事件是某一时间内频繁发生的告警事件,这种异常情况可能存在攻击,攻击路径中的告警事件如果是重点事件,那么此条攻击路径也更具有威胁;
(3)漏洞利用路径是局域网中存在的多步攻击的方式,如果一条现存的攻击路径与漏洞利用路径越相似,则此条攻击路径的威胁程度更高。另外,如果攻击路径与越危险的漏洞利用路径相似,则该条攻击路径的威胁程度也会更高。
一、基于关键主机的攻击量化评估方法
本方法首先识别关键主机、关键主机重点安全事件,得到关键主机IP,再根据绘制的攻击图进行评分。首先遍历攻击图中的每一条攻击路径,再遍历每条路径中的节点,如果节点IP不在关键主机IP序列中,则记为0分;如果节点IP在关键主机IP序列中,但没有匹配到事件发生时间,则记为0.3分;再则,如果匹配到了事件发生时间,但没有匹配到关键主机IP的对应高发事件,则记为0.7分;如果匹配到了关键IP的对应高发事件,则记为1分。根据攻击链中的节点与事件的匹配得分,取评分中的最大值,则为模型输出的攻击量化评估得分。
首先,识别关键主机。关键主机是指在观察每个IP发出的或接收到的告警时,发现告警数量在某一时间段内忽然增多或超过某一阈值的情况,这样的IP在这一时间段内就被称为关键主机。根据IP是发出攻击的一方还是接收攻击的一方,关键主机分为可疑主机和受害主机,关键主机的检测流程如下:
如图2所示,关键主机识别分为4个步骤:数据预处理模块、时间序列训练算法模块、起始边界检测模块及结束边界检测模块。数据预处理模块以原始的告警信息作为输入,将其处理成稠密的时间序列,以作为时间序列训练模块,起始边界检测模块和结束边界检测模块的输入;时间序列训练模块以往期数据作为输入,根据设定的阈值参数,为每个IP确定其阈值;起始边界检测模块和结束边界检测模块是核心部分,用来确定异常数量的起始点和结束点,在这两个时间点中间的日期即为非常态的日期。
二、基于重点事件的攻击量化评估方法
根据重点事件对攻击路径评分时,首先遍历每一条攻击路径,再对每条攻击路径遍历每一个告警事件,如果告警内容没有匹配重点事件,则记为0分;如果匹配到了重点事件,则再匹配时间,如果告警事件发生时间不匹配,则记为0.4分,如果时间匹配,则再匹配相关IP;如果重点事件类型和发生时间都匹配,但是重点事件的源IP和目的IP和攻击路径中的源IP和目的IP不匹配,则记为0.7分,如果重点事件类型、发生时间、重点事件的源IP和目的IP和攻击路径中的源IP和目的IP都同时匹配,则记为1分。在计算得到链中各个告警事件的分值后取最大值,即为该攻击路径的重点事件得分。
攻击路径在被关联后形成一个个独立的链,无法直接与其他链进行结合,这样的重点事件也就无从观察。因此将重点事件单独做分析,并使其与攻击路径相结合,一旦攻击路径中的某个事件匹配了重点事件,那么这条攻击路径的可疑度无疑是增大的。
重点事件是指在观察每个特定的告警类型时,发现的告警数量在某一时间段内忽然增多或超过某一阈值的情况,这样的告警在这一时间段内就被称为重点事件。以下介绍重点时间监测模型,模型运用了统计分析方法,模型用来发现具备告警数量激增等特点的安全事件,模型包含日志预处理和重点安全事件检测两部分。日志预处理主要对智能电网中的各种安全设备的日志进行统计和提取,形成安全事件序列;重点安全事件检测由基于突变点的重点事件检测算法和基于阈值的重点安全事件检测算法组成,对不同特征的重点安全事件进行检测。模型具体处理流程如图3所示。
其中,基于突变点的重点安全事件检测模块以某告警的安全事件序列为输入,着重考虑相邻安全事件中的告警数量激增事件和告警数量锐减事件,以及激增后小范围持续波动后再锐减的平顶事件,输出该告警类型的重点安全事件。基于阈值的重点安全事件检测模块以某告警的安全事件序列为输入,着重考虑告警数量并不突然增多,而是缓慢增加,直至超过某一阈值的安全事件,输出该告警类型的重点安全事件。
三、基于告警级别的攻击量化评估方法
本评估方法根据告警级别对攻击路径进行评分,根据攻击路径中告警事件的告警级别计算威胁值,进而对威胁程度进行量化评估。在告警日志中,每一个告警事件都有一个对应的告警级别,告警级别共有三级,分别是0级、1级和2级,其中威胁等级0级为最高,因此对应分值最高。告警等级2级为最低,因此对应分值最低。0级告警通常为含有入侵行为的告警,1级告警通常为网络异常事件,2级告警则通常为主机告警。从电力监控***采集、收到的告警信息中,还含有“与IEC104规约相关的异常访问”等与电网业务高度相关的告警,可见告警级别的划分也充分考虑到了电网网络环境的特殊性,因此将告警等级直接应用在攻击路径的评分中是有意义的。
在使用告警级别进行攻击评分时,首先遍历每一条攻击路径,然后对于每条攻击路径,获得攻击路径中各个安全事件的告警等级并为其赋分值,其中0级威胁最高为1分,1级次之为0.5分,2级为0分,然后将各个安全事件的分值取最大值,则为该攻击路径的威胁量化评估得分。
四、基于漏洞利用的攻击量化评估方法
漏洞利用,是指用户从目标***中找到容易攻击的漏洞,然后利用该漏洞获取权限,从而实现对目标***的控制,漏洞利用是网络攻击的重要方式。漏洞利用路径则描述了漏洞利用的过程。漏洞利用路径是指漏洞利用过程,其数据结构表现为图结构,其中,节点表示单个主机,边表示从某个主机到另外一个主机的漏洞利用,漏洞利用信息以及漏洞的具体描述可以在CVE漏洞库中获得。
一条攻击路径对应着许多的漏洞利用路径,我们使用图相似度的算法来为攻击路径找到与之相似的漏洞利用路径,算法的输入一条攻击路径,算法的输出是攻击路径在漏洞利用路径这个维度的威胁值,以下为算法步骤:
(1)遍历局域网内所有的漏洞攻击路径,分别计算与当前攻击路径相似程度高的攻击路径,相似度大小按照排名的方式来,取出相似度排名前1%的漏攻攻击路径。
(2)对前1%的漏洞攻击路径再进行筛选,设定阈值K,筛选出漏洞利用路径相似度大于K的漏洞利用路径,K值的选取与具体的电网环境有关,一般环境下取K=0.5。
(3)对选取的漏洞利用路径做危险程度求值,即根据CVSS评分规则库,对每条攻击路径的威胁程度进行量化,具体量化方式为:对漏洞利用路径上途径的所有cve漏洞,对照评分规则库寻找其对应的cvss评分,对这些cvss评分求平均值,即得到该条漏洞利用路径的危险程度评分。
(4)对所有被筛选出来的漏洞利用路径的危险程度取最大值,该值即为该条攻击路径在漏洞利用方面的评分。
实施过程
模拟一个小型的局域网环境,网络部署关系,如图4、5和6所示:
主机*.*.1.1、主机*.*.1.2、主机*.*.1.3组成内部网络,由于主机*.*.1.3托管MySQL数据库,所以主机*.*.1.3相对于其他主机较重要。攻击者从主机主机*.*.1.34发起攻击,并且在内网***中检测到如下的攻击路径。
同时,在内部***中检测到的关键主机有:
在内部***检测到的重点事件有
在攻击路径中检测到告警级别如下:
如图6所示,漏洞利用路径1:从主机*.*.1.1到*.*.1.3,漏洞编号为cve-2001-1030;
漏洞利用路径2:从主机*.*.1.1到*.*.1.3,漏洞编号为cve-2001-0439;
漏洞利用路径3:从主机*.*.1.1到*.*.1.2,再到*.*.1.3,漏洞编号为cve-2002-1359及cve-2001-1030;
漏洞利用路径4:从主机*.*.1.1到*.*.1.2再到*.*.1.3,漏洞编号为cve-2002-1359及cve-2001-0439。
以攻击路径为对象,量化这四个方面的威胁值:
1.关键主机:符合[告警类型+时间+IP]的特征,故打分为1.0分
2.重点事件:符合[告警类型]特征,故打分为0.4分
3.告警等级:告警等级为0级,故打分为1.0分
4.漏洞利用相似度评分:
根据相似度算法计算攻击路径和漏洞利用路径的相似度,选取相似度大于0.5,且相似度排名前1%的漏洞利用路径,最终经过筛选出来的漏洞利用路径为(1)(2)两条,根据cve漏洞的cvss评分,如下表,则可计算出漏洞相似度的评分为0.75分。
漏洞序号 | cvss评分 |
CVE-2001-1030 | 7.5 |
CVE-2001-0439 | 7.5 |
综上,该攻击图威胁值的综合评分为:1.0*20%+0.4*20%+1.0*20%+0.75*40%=0.2+0.08+0.2+0.3=0.78。该评分符合对这条攻击路径的预期。
相应的本发明还提供一种基于电力监控***网络威胁的量化***,包括:
获取模块,用于获取电力监控***采集的告警日志信息,根据告警日志信息绘制攻击路径;
关键主机得分模块,用于将攻击路径输入到预先构建的基于关键主机的攻击量化评估模型,输出攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分;
告警级别得分模块,用于将攻击路径输入到预先构建的基于告警级别的攻击量化评估模型,输出攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分;
重点事件得分模块,用于将攻击路径输入到预先构建的基于重点事件的攻击量化评估模型,输出攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分;
漏洞利用路径相似程度得分模块,用于将攻击路径输入到预先构建的基于漏洞利用的攻击量化评估模型,输出攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分;
计算模块,用于利用预先根据各维度对威胁评估影响的严重程度、范围确定的权重以及所述攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分、攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分、攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分、攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分,计算攻击路径总的威胁值,所述维度包括关键主机维度、告警级别维度、重点事件维度和漏洞利用路径维度。
所述关键主机得分模块包括:
识别模块,用于利用告警信息识别关键主机IP;
第一遍历模块,用于遍历告警信息中的每一条攻击路径,再遍历每条路径中的节点,如果节点IP不在关键主机IP序列中,则记为0分;如果节点IP在关键主机IP序列中,但没有匹配到事件发生时间,则记为0.3分;再则,如果匹配到了事件发生时间,但没有匹配到关键主机IP的对应安全事件,则记为0.7分;如果匹配到了关键IP的对应安全事件,则记为1分;
第一取值模块,用于根据攻击链中的节点与事件的匹配得分,取评分中的最大值为攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分。
所述识别模块包括:
预处理模块,用于对原始告警信息进行预处理,得到稠密的时间序列;
判断模块,用于根据稠密的时间序列确定异常数量的起始点和结束点,判断起始点和结束点之间的时间段异常数量是否超过该IP的主机预先设置的阈值,若超过则确定该IP的主机为关键主机。
所述告警级别得分模块包括:
第二遍历模块,用于遍历告警信息中的每一条攻击路径,对于每条攻击路径,获得攻击路径中各个安全事件的告警等级并为其赋分值,其中0级威胁最高为1分,1级次之为0.5分,2级为0分;
第二取值模块,用于取各个安全事件评分中的最大值作为该攻击路径的基于告警等级的攻击量化评估模型的威胁量化评估得分。
所述重点事件得分模块包括:
确定模块,用于根据告警信息提取电网的各种安全设备的日志,根据所述日志确定重点事件;
第三遍历模块,用于遍历告警信息中的每一条攻击路径,再对每条攻击路径遍历每一个告警事件,如果告警内容没有匹配重点事件,则记为0分;如果匹配到了重点事件类型,则再匹配时间,如果告警事件发生时间不匹配,则记为0.4分,如果重点事件类型和发生时间都匹配,则记为0.7分,如果重点事件的源IP和目的IP和攻击路径中的源IP和目的IP同时匹配,则记为1分;
第三取值模块,用于在计算得到各个告警事件的分值后取这些分值中的最大值作为攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分。
所述确定模块包括:
提取模块,用于对电网中的各种安全设备的日志进行统计和提取,形成安全事件序列;
第一确定模块,用于根据安全事件序列,考虑相邻安全事件中的告警数量激增事件和告警数量锐减事件,以及激增后小范围持续波动后再锐减的平顶事件,确定基于突变点的重点事件;
第二确定模块,用于根据安全事件序列,考虑告警数量并不突然增多,而是缓慢增加,直至超过预先设置的数量阈值,确定基于阈值的重点事件。
所述漏洞利用路径相似程度得分模块包括:
第四遍历模块,用于遍历局域网内所有的漏洞攻击路径,分别计算与当前攻击路径相似程度高的攻击路径,根据相似度大小进行排名,提取相似度排名前1%的漏洞攻击路径;
筛选模块,用于对前1%的漏洞攻击路径进行筛选,设定阈值K,筛选出漏洞利用路径相似度大于K的漏洞利用路径;
CVSS评分模块,用于对选取的漏洞利用路径根据CVSS评分规则库,对每条攻击路径的威胁程度进行量化,所述进行量化的过程包括:对漏洞利用路径上途径的所有cve漏洞,对照CVSS评分规则库寻找其对应的cvss评分,对这些cvss评分求平均值,得到该条漏洞利用路径的危险程度评分;
第四取值模块,用于对所有被筛选出来的漏洞利用路径的危险程度取最大值作为攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (2)
1.一种基于电力监控***网络威胁的量化方法,其特征在于,包括:
获取电力监控***采集的告警日志信息,根据告警日志信息绘制攻击路径;
将攻击路径输入到预先构建的基于关键主机的攻击量化评估模型,输出攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分;
将攻击路径输入到预先构建的基于告警级别的攻击量化评估模型,输出攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分;
将攻击路径输入到预先构建的基于重点事件的攻击量化评估模型,输出攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分;
将攻击路径输入到预先构建的基于漏洞利用的攻击量化评估模型,输出攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分;
利用预先根据各维度对威胁评估影响确定的权重以及所述攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分、攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分、攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分、攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分,计算攻击路径总的威胁值,所述维度包括关键主机维度、告警级别维度、重点事件维度和漏洞利用路径维度;
所述基于关键主机的攻击量化评估模型的处理过程包括:
利用告警信息识别关键主机IP;
遍历告警信息中的每一条攻击路径,再遍历每条路径中的节点,如果节点IP不在关键主机IP序列中,则记为a1分;如果节点IP在关键主机IP序列中,但没有匹配到事件发生时间,则记为a2分;再则,如果匹配到了事件发生时间,但没有匹配到关键主机IP的对应安全事件,则记为a3分;如果匹配到了关键IP的对应安全事件,则记为a4分;其中,0≤a1<a2<a3<a4≤1;
根据攻击路径中的每个节点与事件的匹配得分,取得分中的最大值为该攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分;
所述利用告警信息识别关键主机IP的过程包括:
对告警信息进行预处理,得到稠密的时间序列,根据稠密的时间序列确定异常数量的起始点和结束点,判断起始点和结束点之间的时间段异常数量是否超过该IP的主机预先设置的阈值,若超过则确定该IP的主机为关键主机;
所述基于告警级别的攻击量化评估模型的处理过程包括:
遍历告警信息中的每一条攻击路径,对于每条攻击路径,获得攻击路径中各个安全事件的告警等级并为其赋分值,其中0级威胁最高为b1分,1级次之为b2分,2级为b3分;其中,1≥b1>b2>b3≥0;
取攻击路径中的每个节点的安全事件评分中的最大值作为该攻击路径的基于告警等级的攻击量化评估模型的威胁量化评估得分;
所述基于重点事件的攻击量化评估模型的处理过程包括:
根据告警信息提取电网的各种安全设备的日志,根据所述日志确定重点事件;
遍历告警信息中的每一条攻击路径,再对每条攻击路径遍历每一个告警事件,如果告警内容没有匹配重点事件,则记为c1分;如果匹配到了重点事件类型,则再匹配时间,如果告警事件发生时间不匹配,则记为c2分,如果重点事件类型和发生时间都匹配,但是重点事件的源IP和目的IP和攻击路径中的源IP和目的IP不匹配,则记为c3分,如果重点事件类型、发生时间、重点事件的源IP和目的IP和攻击路径中的源IP和目的IP都同时匹配,则记为c4分;其中,0≤c1<c2<c3<c4≤1;
在计算得到攻击路径中的每个节点的告警事件的分值后取这些分值中的最大值作为该攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分;
所述根据所述日志确定重点事件的过程包括:
对电网中的各种安全设备的日志进行统计和提取,形成安全事件序列;
根据安全事件序列,考虑相邻安全事件中的告警数量激增事件和告警数量锐减事件,以及激增后小范围持续波动后再锐减的平顶事件,确定基于突变点的重点事件;
根据安全事件序列,考虑告警数量并不突然增多,而是缓慢增加,直至超过预先设置的数量阈值,确定基于阈值的重点事件;
所述基于漏洞利用的攻击量化评估模型的处理过程包括:
遍历局域网内所有的漏洞攻击路径,分别计算与当前攻击路径相似程度高的攻击路径,根据相似度大小进行排名,提取相似度排名前1%的漏洞攻击路径;
对前1%的漏洞攻击路径进行筛选,设定阈值K,筛选出漏洞利用路径相似度大于K的漏洞利用路径;
对选取的漏洞利用路径根据CVSS评分规则库,对每条攻击路径的威胁程度进行量化,所述进行量化的过程包括:对漏洞利用路径上途径的所有CVE漏洞,对照CVSS评分规则库寻找其对应的CVSS评分,对这些CVSS评分求平均值,得到该选取的漏洞利用路径的危险程度评分;
对所有被筛选出来的漏洞利用路径的危险程度取最大值作为攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分。
2.一种基于电力监控***网络威胁的量化***,其特征在于,包括:
获取模块,用于获取电力监控***采集的告警日志信息,根据告警日志信息绘制攻击路径;
关键主机得分模块,用于将攻击路径输入到预先构建的基于关键主机的攻击量化评估模型,输出攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分;
告警级别得分模块,用于将攻击路径输入到预先构建的基于告警级别的攻击量化评估模型,输出攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分;
重点事件得分模块,用于将攻击路径输入到预先构建的基于重点事件的攻击量化评估模型,输出攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分;
漏洞利用路径相似程度得分模块,用于将攻击路径输入到预先构建的基于漏洞利用的攻击量化评估模型,输出攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分;
计算模块,用于利用预先根据各维度对威胁评估影响确定的权重以及所述攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分、攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分、攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分、攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分,计算攻击路径总的威胁值,所述维度包括关键主机维度、告警级别维度、重点事件维度和漏洞利用路径维度;
所述关键主机得分模块包括:
识别模块,用于利用告警信息识别关键主机IP;
第一遍历模块,用于遍历告警信息中的每一条攻击路径,再遍历每条路径中的节点,如果节点IP不在关键主机IP序列中,则记为a1分;如果节点IP在关键主机IP序列中,但没有匹配到事件发生时间,则记为a2分;再则,如果匹配到了事件发生时间,但没有匹配到关键主机IP的对应安全事件,则记为a3分;如果匹配到了关键IP的对应安全事件,则记为a4分;其中,0≤a1<a2<a3<a4≤1;
第一取值模块,用于根据攻击路径中的每个节点与事件的匹配得分,取得分中的最大值为该攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分;
所述识别模块包括:
预处理模块,用于对告警信息进行预处理,得到稠密的时间序列;
判断模块,用于根据稠密的时间序列确定异常数量的起始点和结束点,判断起始点和结束点之间的时间段异常数量是否超过该IP的主机预先设置的阈值,若超过则确定该IP的主机为关键主机;
所述告警级别得分模块包括:
第二遍历模块,用于遍历告警信息中的每一条攻击路径,对于每条攻击路径,获得攻击路径中各个安全事件的告警等级并为其赋分值,其中0级威胁最高为b1分,1级次之为b2分,2级为b3分;其中,1≥b1>b2>b3≥0;
第二取值模块,用于取攻击路径中的每个节点的安全事件评分中的最大值作为该攻击路径的基于告警等级的攻击量化评估模型的威胁量化评估得分;
所述重点事件得分模块包括:
确定模块,用于根据告警信息提取电网的各种安全设备的日志,根据所述日志确定重点事件;
第三遍历模块,用于遍历告警信息中的每一条攻击路径,再对每条攻击路径遍历每一个告警事件,如果告警内容没有匹配重点事件,则记为c1分;如果匹配到了重点事件类型,则再匹配时间,如果告警事件发生时间不匹配,则记为c2分,如果重点事件类型和发生时间都匹配,但是重点事件的源IP和目的IP 和攻击路径中的源IP和目的IP不匹配,则记为c3分,如果重点事件类型、发生时间、重点事件的源IP和目的IP 和攻击路径中的源IP和目的IP都同时匹配,则记为c4分;其中,0≤c1<c2<c3<c4≤1;
第三取值模块,用于在计算得到攻击路径中的每个节点的告警事件的分值后取这些分值中的最大值作为该攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分;
所述确定模块包括:
提取模块,用于对电网中的各种安全设备的日志进行统计和提取,形成安全事件序列;
第一确定模块,用于根据安全事件序列,考虑相邻安全事件中的告警数量激增事件和告警数量锐减事件,以及激增后小范围持续波动后再锐减的平顶事件,确定基于突变点的重点事件;
第二确定模块,用于根据安全事件序列,考虑告警数量并不突然增多,而是缓慢增加,直至超过预先设置的数量阈值,确定基于阈值的重点事件;
所述漏洞利用路径相似程度得分模块包括:
第四遍历模块,用于遍历局域网内所有的漏洞攻击路径,分别计算与当前攻击路径相似程度高的攻击路径,根据相似度大小进行排名,提取相似度排名前1%的漏洞攻击路径;
筛选模块,用于对前1%的漏洞攻击路径进行筛选,设定阈值K,筛选出漏洞利用路径相似度大于K的漏洞利用路径;
CVSS评分模块,用于对选取的漏洞利用路径根据CVSS评分规则库,对每条攻击路径的威胁程度进行量化,所述进行量化的过程包括:对漏洞利用路径上途径的所有CVE漏洞,对照CVSS评分规则库寻找其对应的CVSS评分,对这些CVSS评分求平均值,得到该选取的漏洞漏洞利用路径的危险程度评分;
第四取值模块,用于对所有被筛选出来的漏洞利用路径的危险程度取最大值作为攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110149542.5A CN112819336B (zh) | 2021-02-03 | 2021-02-03 | 一种基于电力监控***网络威胁的量化方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110149542.5A CN112819336B (zh) | 2021-02-03 | 2021-02-03 | 一种基于电力监控***网络威胁的量化方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112819336A CN112819336A (zh) | 2021-05-18 |
CN112819336B true CN112819336B (zh) | 2023-12-15 |
Family
ID=75860921
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110149542.5A Active CN112819336B (zh) | 2021-02-03 | 2021-02-03 | 一种基于电力监控***网络威胁的量化方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112819336B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113259176B (zh) * | 2021-06-11 | 2021-10-08 | 长扬科技(北京)有限公司 | 一种告警事件分析方法和装置 |
CN114124552B (zh) * | 2021-11-29 | 2024-06-11 | 恒安嘉新(北京)科技股份公司 | 一种网络攻击的威胁等级获取方法、装置和存储介质 |
CN114726642B (zh) * | 2022-04-26 | 2023-09-22 | 东北电力大学 | 一种基于电力监控***网络威胁的量化*** |
CN114978617B (zh) * | 2022-05-06 | 2023-08-08 | 国网湖北省电力有限公司信息通信公司 | 一种基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法 |
CN114866325B (zh) * | 2022-05-10 | 2023-09-12 | 国网湖南省电力有限公司 | 电力***网络攻击的预测方法 |
CN115118464A (zh) * | 2022-06-10 | 2022-09-27 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、电子设备及存储介质 |
CN115208647A (zh) * | 2022-07-05 | 2022-10-18 | 南京领行科技股份有限公司 | 一种攻击行为处置方法及装置 |
CN115314322A (zh) * | 2022-10-09 | 2022-11-08 | 安徽华云安科技有限公司 | 基于流量的漏洞检测确认方法、装置、设备以及存储介质 |
CN117155665B (zh) * | 2023-09-04 | 2024-03-12 | 中国信息通信研究院 | 一种攻击溯源方法、***、电子设备和存储介质 |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103368976A (zh) * | 2013-07-31 | 2013-10-23 | 电子科技大学 | 一种基于攻击图邻接矩阵的网络安全评估装置 |
CN106941502A (zh) * | 2017-05-02 | 2017-07-11 | 北京理工大学 | 一种内部网络的安全度量方法和装置 |
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测***、方法及部署架构 |
CN107204876A (zh) * | 2017-05-22 | 2017-09-26 | 成都网络空间安全技术有限公司 | 一种网络安全风险评估方法 |
CN108429766A (zh) * | 2018-05-29 | 2018-08-21 | 广西电网有限责任公司 | 基于大数据和wsn技术的网络安全态势分析预警*** |
CN108494810A (zh) * | 2018-06-11 | 2018-09-04 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及*** |
CN109191326A (zh) * | 2018-08-23 | 2019-01-11 | 东北大学 | 基于攻击方视角的配电网cps相依存***网络攻击风险评估方法 |
CN109639670A (zh) * | 2018-12-10 | 2019-04-16 | 北京威努特技术有限公司 | 一种基于知识图谱的工控网络安全态势量化评估方法 |
CN110011976A (zh) * | 2019-03-07 | 2019-07-12 | 中国科学院大学 | 一种网络攻击破坏能力量化评估方法及*** |
CN110545280A (zh) * | 2019-09-09 | 2019-12-06 | 北京华赛在线科技有限公司 | 一种基于威胁检测准确度的量化评估方法 |
CN110620759A (zh) * | 2019-07-15 | 2019-12-27 | 公安部第一研究所 | 基于多维关联的网络安全事件危害指数评估方法及其*** |
CN110839019A (zh) * | 2019-10-24 | 2020-02-25 | 国网福建省电力有限公司 | 一种面向电力监控***的网络安全威胁溯源方法 |
CN111859380A (zh) * | 2019-04-25 | 2020-10-30 | 北京九州正安科技有限公司 | Android App漏洞的零误报检测方法 |
CN112165485A (zh) * | 2020-09-25 | 2021-01-01 | 山东炎黄工业设计有限公司 | 一种大规模网络安全态势智能预测方法 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108349589B (zh) * | 2015-07-27 | 2021-03-09 | 珍吉斯科姆控股有限责任公司 | 协作mimo***中的机载中继 |
US10296748B2 (en) * | 2016-02-25 | 2019-05-21 | Sas Institute Inc. | Simulated attack generator for testing a cybersecurity system |
CN108256335B (zh) * | 2018-02-08 | 2019-06-18 | 北京百度网讯科技有限公司 | 用于检测漏洞的方法和装置 |
CN108810025A (zh) * | 2018-07-19 | 2018-11-13 | 平安科技(深圳)有限公司 | 一种暗网的安全性评估方法、服务器及计算机可读介质 |
CN110012120A (zh) * | 2019-03-14 | 2019-07-12 | 罗向阳 | 一种基于PoP网络拓扑的IP城市级定位算法 |
CN111106965B (zh) * | 2019-12-25 | 2023-04-07 | 浪潮商用机器有限公司 | 用于复杂***的日志智能分析方法、工具、设备及介质 |
CN111245807B (zh) * | 2020-01-07 | 2022-05-17 | 北京工业大学 | 基于攻击链因子的网络态势量化评估方法 |
-
2021
- 2021-02-03 CN CN202110149542.5A patent/CN112819336B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103368976A (zh) * | 2013-07-31 | 2013-10-23 | 电子科技大学 | 一种基于攻击图邻接矩阵的网络安全评估装置 |
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测***、方法及部署架构 |
CN106941502A (zh) * | 2017-05-02 | 2017-07-11 | 北京理工大学 | 一种内部网络的安全度量方法和装置 |
CN107204876A (zh) * | 2017-05-22 | 2017-09-26 | 成都网络空间安全技术有限公司 | 一种网络安全风险评估方法 |
CN108429766A (zh) * | 2018-05-29 | 2018-08-21 | 广西电网有限责任公司 | 基于大数据和wsn技术的网络安全态势分析预警*** |
CN108494810A (zh) * | 2018-06-11 | 2018-09-04 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及*** |
CN109191326A (zh) * | 2018-08-23 | 2019-01-11 | 东北大学 | 基于攻击方视角的配电网cps相依存***网络攻击风险评估方法 |
CN109639670A (zh) * | 2018-12-10 | 2019-04-16 | 北京威努特技术有限公司 | 一种基于知识图谱的工控网络安全态势量化评估方法 |
CN110011976A (zh) * | 2019-03-07 | 2019-07-12 | 中国科学院大学 | 一种网络攻击破坏能力量化评估方法及*** |
CN111859380A (zh) * | 2019-04-25 | 2020-10-30 | 北京九州正安科技有限公司 | Android App漏洞的零误报检测方法 |
CN110620759A (zh) * | 2019-07-15 | 2019-12-27 | 公安部第一研究所 | 基于多维关联的网络安全事件危害指数评估方法及其*** |
CN110545280A (zh) * | 2019-09-09 | 2019-12-06 | 北京华赛在线科技有限公司 | 一种基于威胁检测准确度的量化评估方法 |
CN110839019A (zh) * | 2019-10-24 | 2020-02-25 | 国网福建省电力有限公司 | 一种面向电力监控***的网络安全威胁溯源方法 |
CN112165485A (zh) * | 2020-09-25 | 2021-01-01 | 山东炎黄工业设计有限公司 | 一种大规模网络安全态势智能预测方法 |
Non-Patent Citations (1)
Title |
---|
"网络攻击对电力***可靠性的影响及后果评价";李晓静;《中国优秀硕士学位论文全文数据库 工程科技Ⅱ辑》(第01期);第C042-2541页 * |
Also Published As
Publication number | Publication date |
---|---|
CN112819336A (zh) | 2021-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112819336B (zh) | 一种基于电力监控***网络威胁的量化方法及*** | |
CN112769796B (zh) | 一种基于端侧边缘计算的云网端协同防御方法及*** | |
Ektefa et al. | Intrusion detection using data mining techniques | |
Li | Using genetic algorithm for network intrusion detection | |
CN107220549B (zh) | 基于cvss的漏洞风险基础评估方法 | |
CN103782303A (zh) | 对于恶意过程的基于非签名的检测的***和方法 | |
KR102120214B1 (ko) | 앙상블 기계학습 기법을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법 | |
CN109376537B (zh) | 一种基于多因子融合的资产评分方法及*** | |
JP2016152594A (ja) | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム | |
CN110545280B (zh) | 一种基于威胁检测准确度的量化评估方法 | |
KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
CN105681274B (zh) | 一种原始告警信息处理的方法及装置 | |
WO2019035120A1 (en) | SYSTEM AND METHOD FOR DETECTING CYBER-THREATS | |
CN111049827A (zh) | 一种网络***安全防护方法、装置及其相关设备 | |
Kumar et al. | Feature selection approach for intrusion detection system | |
CN110598180A (zh) | 一种基于统计分析的事件检测方法、装置及*** | |
CN110598959A (zh) | 一种资产风险评估方法、装置、电子设备及存储介质 | |
Goel et al. | Anomaly based intrusion detection model using supervised machine learning techniques | |
CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及*** | |
CN111885011B (zh) | 一种业务数据网络安全分析挖掘的方法及*** | |
Baich et al. | Machine Learning for IoT based networks intrusion detection: a comparative study | |
CN116074127B (zh) | 一种基于大数据的自适应网络安全态势评估*** | |
CN115664868B (zh) | 安全等级确定方法、装置、电子设备和存储介质 | |
Huang et al. | Application of type-2 fuzzy logic to rule-based intrusion alert correlation detection | |
CN115733679A (zh) | 一种面向数据流转的电力监控数据的溯源方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |