CN112819336B - 一种基于电力监控***网络威胁的量化方法及*** - Google Patents

Abstract

本发明公开了一种基于电力监控***网络威胁的量化方法及***，根据电力监控***收集的告警信息绘制攻击路径，依据预先构建的基于关键主机的攻击量化评估模型、基于告警级别的攻击量化评估模型、基于重点事件的攻击量化评估模型以及基于漏洞利用的攻击量化评估模型对攻击路径进行量化处理，将每个模型处理后的得分进行汇总得到攻击路径总的威胁值。优点：通过关键主机的威胁程度、重点事件的威胁程度、告警等级威胁程度、与漏洞利用路径的相似性这四个维度，来对攻击事件的危险性综合量化打分，创新性地提出了量化评估的建议评分表，实现了攻击事件威胁程度多维度的量化打分与计算。

Description

一种基于电力监控***网络威胁的量化方法及***

技术领域

本发明涉及一种基于电力监控***网络威胁的量化方法及***，属于电力监控***技术领域。

背景技术

如今存在于电网中的攻击事件绝大多数为多步攻击事件，不同的多步攻击事件的危害程度不一样，有些攻击利用了危险程度较高的漏洞，有些攻击利用了危险程度较低的漏洞。因此，如何衡量网络攻击的危险程度，对于电网的技术人员做网络攻击分析以及推演具有重要意义。

现有对电力监控***安全事件风险、威胁分析主要是基于安全事件日志，进行日志关键信息的提取，建立攻击路径，从而实现安全威胁攻击溯源的目的，但攻击路径在生成之后，由于缺乏对攻击路径威胁程度的直观评价，不利于运维人员关注维护重点，对危险事件容易忽略，使得电力监控***存在较大安全隐患。

现有的网络威胁态势评估的主要方法是基于IDS产生的原始警报信息评估网络的威胁态势，通过分析警报之间的逻辑关系对警报进行关联分析，基于关联结果分析网络的威胁态势，但是他们的研究假设所有的警报信息均代表成功的攻击行为，而在实际网络中，很大比例的警报为虚假警报或者不相关警报；还有通过隐马尔可夫模型进行威胁态势的评估，将IDS警报信息作为隐马尔可夫模型的观测序列，利用隐马尔可夫模型实时量化评估网络所处的安全状态，该方法可以有效评估网络的安全状态，但模型参数的合理设置存在很大的难度，模型易用性较差，难以推行使用。

发明内容

本发明所要解决的技术问题是克服现有技术的缺陷，提供一种基于电力监控***网络威胁的量化方法及***。

为解决上述技术问题，本发明提供一种基于电力监控***网络威胁的量化方法，包括：

获取电力监控***采集的告警日志信息，根据告警日志信息绘制攻击路径；

将攻击路径输入到预先构建的基于关键主机的攻击量化评估模型，输出攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分；

将攻击路径输入到预先构建的基于告警级别的攻击量化评估模型，输出攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分；

将攻击路径输入到预先构建的基于重点事件的攻击量化评估模型，输出攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分；

将攻击路径输入到预先构建的基于漏洞利用的攻击量化评估模型，输出攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分；

利用预先根据各维度对威胁评估影响确定的权重以及所述攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分、攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分、攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分、攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分，计算攻击路径总的威胁值，所述维度包括关键主机维度、告警级别维度、重点事件维度和漏洞利用路径维度。

进一步的，所述基于关键主机的攻击量化评估模型的处理过程包括：

利用告警信息识别关键主机IP；

遍历告警信息中的每一条攻击路径，再遍历每条路径中的节点，如果节点IP不在关键主机IP序列中，则记为a1分；如果节点IP在关键主机IP序列中，但没有匹配到事件发生时间，则记为a2分；再则，如果匹配到了事件发生时间，但没有匹配到关键主机IP的对应安全事件，则记为a3分；如果匹配到了关键IP的对应安全事件，则记为a4分；其中，0≤a1＜a2＜a3＜a4≤1；

根据攻击路径中的每个节点与事件的匹配得分，取得分中的最大值为该攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分。

进一步的，所述利用原始告警信息识别关键主机IP的过程包括：

对原始告警信息进行预处理，得到稠密的时间序列，根据稠密的时间序列确定异常数量的起始点和结束点，判断起始点和结束点之间的时间段异常数量是否超过该IP的主机预先设置的阈值，若超过则确定该IP的主机为关键主机。

进一步的，所述基于告警级别的攻击量化评估模型的处理过程包括：

遍历告警信息中的每一条攻击路径，对于每条攻击路径，获得攻击路径中各个安全事件的告警等级并为其赋分值，其中0级威胁最高为b1分，1级次之为b2分，2级为b3分；其中，1≥b1＞b2＞b3≥0；

取攻击路径中的每个节点的安全事件评分中的最大值作为该攻击路径的基于告警等级的攻击量化评估模型的威胁量化评估得分。

进一步的，所述基于重点事件的攻击量化评估模型的处理过程包括：

根据告警信息提取电网的各种安全设备的日志，根据所述日志确定重点事件；

遍历告警信息中的每一条攻击路径，再对每条攻击路径遍历每一个告警事件，如果告警内容没有匹配重点事件，则记为c1分；如果匹配到了重点事件类型，则再匹配时间，如果告警事件发生时间不匹配，则记为c2分，如果重点事件类型和发生时间都匹配，但是重点事件的源IP和目的IP和攻击路径中的源IP和目的IP不匹配，则记为c3分，如果重点事件类型、发生时间、重点事件的源IP和目的IP和攻击路径中的源IP和目的IP都同时匹配，则记为c4分；其中，0≤c1＜c2＜c3＜c4≤1；

在计算得到攻击路径中的每个节点的告警事件的分值后取这些分值中的最大值作为该攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分。

进一步的，所述根据所述日志确定重点事件的过程包括：

对电网中的各种安全设备的日志进行统计和提取，形成安全事件序列；

根据安全事件序列，考虑相邻安全事件中的告警数量激增事件和告警数量锐减事件，以及激增后小范围持续波动后再锐减的平顶事件，确定基于突变点的重点事件；

根据安全事件序列，考虑告警数量并不突然增多，而是缓慢增加，直至超过预先设置的数量阈值，确定基于阈值的重点事件。

进一步的，所述基于漏洞利用的攻击量化评估模型的处理过程包括：

遍历局域网内所有的漏洞攻击路径，分别计算与当前攻击路径相似程度高的攻击路径，根据相似度大小进行排名，提取相似度排名前1％的漏洞攻击路径；

对前1％的漏洞攻击路径进行筛选，设定阈值K，筛选出漏洞利用路径相似度大于K的漏洞利用路径；

对选取的漏洞利用路径根据CVSS评分规则库，对每条攻击路径的威胁程度进行量化，所述进行量化的过程包括：对漏洞利用路径上途径的所有CVE漏洞，对照CVSS评分规则库寻找其对应的CVSS评分，对这些CVSS评分求平均值，得到该条漏洞利用路径的危险程度评分；

对所有被筛选出来的漏洞利用路径的危险程度取最大值作为攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分。

一种基于电力监控***网络威胁的量化***，包括：

获取模块，用于获取电力监控***采集的告警日志信息，根据告警日志信息绘制攻击路径；

关键主机得分模块，用于将攻击路径输入到预先构建的基于关键主机的攻击量化评估模型，输出攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分；

告警级别得分模块，用于将攻击路径输入到预先构建的基于告警级别的攻击量化评估模型，输出攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分；

重点事件得分模块，用于将攻击路径输入到预先构建的基于重点事件的攻击量化评估模型，输出攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分；

漏洞利用路径相似程度得分模块，用于将攻击路径输入到预先构建的基于漏洞利用的攻击量化评估模型，输出攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分；

计算模块，用于利用预先根据各维度对威胁评估影响确定的权重以及所述攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分、攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分、攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分、攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分，计算攻击路径总的威胁值，所述维度包括关键主机维度、告警级别维度、重点事件维度和漏洞利用路径维度。

进一步的，所述关键主机得分模块包括：

识别模块，用于利用告警信息识别关键主机IP；

第一遍历模块，用于遍历告警信息中的每一条攻击路径，再遍历每条路径中的节点，如果节点IP不在关键主机IP序列中，则记为a1分；如果节点IP在关键主机IP序列中，但没有匹配到事件发生时间，则记为a2分；再则，如果匹配到了事件发生时间，但没有匹配到关键主机IP的对应安全事件，则记为a3分；如果匹配到了关键IP的对应安全事件，则记为a4分；其中，0≤a1＜a2＜a3＜a4≤1；

第一取值模块，用于根据攻击路径中的每个节点与事件的匹配得分，取得分中的最大值为该攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分。

进一步的，所述识别模块包括：

预处理模块，用于对原始告警信息进行预处理，得到稠密的时间序列；

判断模块，用于根据稠密的时间序列确定异常数量的起始点和结束点，判断起始点和结束点之间的时间段异常数量是否超过该IP的主机预先设置的阈值，若超过则确定该IP的主机为关键主机。

进一步的，所述告警级别得分模块包括：

第二遍历模块，用于遍历告警信息中的每一条攻击路径，对于每条攻击路径，获得攻击路径中各个安全事件的告警等级并为其赋分值，其中0级威胁最高为b1分，1级次之为b2分，2级为b3分；其中，1≥b1＞b2＞b3≥0；

第二取值模块，用于取攻击路径中的每个节点的安全事件评分中的最大值作为该攻击路径的基于告警等级的攻击量化评估模型的威胁量化评估得分。

进一步的，所述重点事件得分模块包括：

确定模块，用于根据告警信息提取电网的各种安全设备的日志，根据所述日志确定重点事件；

第三遍历模块，用于遍历告警信息中的每一条攻击路径，再对每条攻击路径遍历每一个告警事件，如果告警内容没有匹配重点事件，则记为c1分；如果匹配到了重点事件类型，则再匹配时间，如果告警事件发生时间不匹配，则记为c2分，如果重点事件类型和发生时间都匹配，但是重点事件的源IP和目的IP和攻击路径中的源IP和目的IP不匹配，则记为c3分，如果重点事件类型、发生时间、重点事件的源IP和目的IP和攻击路径中的源IP和目的IP都同时匹配，则记为c4分；其中，0≤c1＜c2＜c3＜c4≤1；

第三取值模块，用于在计算得到攻击路径中的每个节点的告警事件的分值后取这些分值中的最大值作为该攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分。

进一步的，所述确定模块包括：

提取模块，用于对电网中的各种安全设备的日志进行统计和提取，形成安全事件序列；

第一确定模块，用于根据安全事件序列，考虑相邻安全事件中的告警数量激增事件和告警数量锐减事件，以及激增后小范围持续波动后再锐减的平顶事件，确定基于突变点的重点事件；

第二确定模块，用于根据安全事件序列，考虑告警数量并不突然增多，而是缓慢增加，直至超过预先设置的数量阈值，确定基于阈值的重点事件。

进一步的，所述漏洞利用路径相似程度得分模块包括：

第四遍历模块，用于遍历局域网内所有的漏洞攻击路径，分别计算与当前攻击路径相似程度高的攻击路径，根据相似度大小进行排名，提取相似度排名前1％的漏洞攻击路径；

筛选模块，用于对前1％的漏洞攻击路径进行筛选，设定阈值K，筛选出漏洞利用路径相似度大于K的漏洞利用路径；

CVSS评分模块，用于对选取的漏洞利用路径根据CVSS评分规则库，对每条攻击路径的威胁程度进行量化，所述进行量化的过程包括：对漏洞利用路径上途径的所有cve漏洞，对照CVSS评分规则库寻找其对应的cvss评分，对这些cvss评分求平均值，得到该条漏洞利用路径的危险程度评分；

第四取值模块，用于对所有被筛选出来的漏洞利用路径的危险程度取最大值作为攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分。

本发明所达到的有益效果：

本发明通过多维度量化模型对攻击路径威胁程度进行量化，直观展示攻击路径的威胁程度，从而有利于电网技术人员从直观上感受漏洞利用路径的威胁程度；通过关键主机的威胁程度、重点事件的威胁程度、告警等级威胁程度、与漏洞利用路径的相似性这四个维度，来对攻击事件的危险性综合量化打分，创新性地提出了量化评估的建议评分表，实现了攻击事件威胁程度多维度的量化打分与计算。

附图说明

图1是本发明的流程示意图；

图2是关键主机检测识别方法；

图3是重点事件监测流程处理图；

图4是实施例的一个内网网络部署图；

图5是攻击路径示意图；

图6漏洞利用路径示意图。

具体实施方式

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明提高一种基于电力监控***网络威胁的量化方法，包括根据关键主机对攻击路径评分、根据重点事件对攻击路径评分、根据告警级别对攻击路径评分、根据与漏洞利用路径的相似程度进行评分4种算法，本文在计算攻击路径总的威胁值的时候，为各维度的评分算法计算出分值设定不同权值，权值可以手工调整，根据各维度对威胁评估影响的严重程度、范围，给出了建议的权值：“告警等级”权重20％，“重点可疑设备”权重20％，“重点事件”权重20％，“漏洞利用路径相似程度”权重40％，多维度量化算法的评分细则如下：

表1多维度量评分细则

攻击路径的威胁程度的多维度量化公式如下：实现从不同维度对攻击路径进行量化评分。

多维度量化算法

本专利介绍的多维度量化算法中涉及以下几个概念：

(1)告警等级是从原始数据本身直接提取，直接反映了告警的重要程度，如果攻击路径中的结点的告警等级高，那么攻击路径本身也更具有威胁性；

(2)重点事件是某一时间内频繁发生的告警事件，这种异常情况可能存在攻击，攻击路径中的告警事件如果是重点事件，那么此条攻击路径也更具有威胁；

(3)漏洞利用路径是局域网中存在的多步攻击的方式，如果一条现存的攻击路径与漏洞利用路径越相似，则此条攻击路径的威胁程度更高。另外，如果攻击路径与越危险的漏洞利用路径相似，则该条攻击路径的威胁程度也会更高。

一、基于关键主机的攻击量化评估方法

本方法首先识别关键主机、关键主机重点安全事件，得到关键主机IP，再根据绘制的攻击图进行评分。首先遍历攻击图中的每一条攻击路径，再遍历每条路径中的节点，如果节点IP不在关键主机IP序列中，则记为0分；如果节点IP在关键主机IP序列中，但没有匹配到事件发生时间，则记为0.3分；再则，如果匹配到了事件发生时间，但没有匹配到关键主机IP的对应高发事件，则记为0.7分；如果匹配到了关键IP的对应高发事件，则记为1分。根据攻击链中的节点与事件的匹配得分，取评分中的最大值，则为模型输出的攻击量化评估得分。

首先，识别关键主机。关键主机是指在观察每个IP发出的或接收到的告警时，发现告警数量在某一时间段内忽然增多或超过某一阈值的情况，这样的IP在这一时间段内就被称为关键主机。根据IP是发出攻击的一方还是接收攻击的一方，关键主机分为可疑主机和受害主机，关键主机的检测流程如下：

如图2所示，关键主机识别分为4个步骤：数据预处理模块、时间序列训练算法模块、起始边界检测模块及结束边界检测模块。数据预处理模块以原始的告警信息作为输入，将其处理成稠密的时间序列，以作为时间序列训练模块，起始边界检测模块和结束边界检测模块的输入；时间序列训练模块以往期数据作为输入，根据设定的阈值参数，为每个IP确定其阈值；起始边界检测模块和结束边界检测模块是核心部分，用来确定异常数量的起始点和结束点，在这两个时间点中间的日期即为非常态的日期。

二、基于重点事件的攻击量化评估方法

根据重点事件对攻击路径评分时，首先遍历每一条攻击路径，再对每条攻击路径遍历每一个告警事件，如果告警内容没有匹配重点事件，则记为0分；如果匹配到了重点事件，则再匹配时间，如果告警事件发生时间不匹配，则记为0.4分，如果时间匹配，则再匹配相关IP；如果重点事件类型和发生时间都匹配，但是重点事件的源IP和目的IP和攻击路径中的源IP和目的IP不匹配，则记为0.7分，如果重点事件类型、发生时间、重点事件的源IP和目的IP和攻击路径中的源IP和目的IP都同时匹配，则记为1分。在计算得到链中各个告警事件的分值后取最大值，即为该攻击路径的重点事件得分。

攻击路径在被关联后形成一个个独立的链，无法直接与其他链进行结合，这样的重点事件也就无从观察。因此将重点事件单独做分析，并使其与攻击路径相结合，一旦攻击路径中的某个事件匹配了重点事件，那么这条攻击路径的可疑度无疑是增大的。

重点事件是指在观察每个特定的告警类型时，发现的告警数量在某一时间段内忽然增多或超过某一阈值的情况，这样的告警在这一时间段内就被称为重点事件。以下介绍重点时间监测模型，模型运用了统计分析方法，模型用来发现具备告警数量激增等特点的安全事件，模型包含日志预处理和重点安全事件检测两部分。日志预处理主要对智能电网中的各种安全设备的日志进行统计和提取，形成安全事件序列；重点安全事件检测由基于突变点的重点事件检测算法和基于阈值的重点安全事件检测算法组成，对不同特征的重点安全事件进行检测。模型具体处理流程如图3所示。

其中，基于突变点的重点安全事件检测模块以某告警的安全事件序列为输入，着重考虑相邻安全事件中的告警数量激增事件和告警数量锐减事件，以及激增后小范围持续波动后再锐减的平顶事件，输出该告警类型的重点安全事件。基于阈值的重点安全事件检测模块以某告警的安全事件序列为输入，着重考虑告警数量并不突然增多，而是缓慢增加，直至超过某一阈值的安全事件，输出该告警类型的重点安全事件。

三、基于告警级别的攻击量化评估方法

本评估方法根据告警级别对攻击路径进行评分，根据攻击路径中告警事件的告警级别计算威胁值，进而对威胁程度进行量化评估。在告警日志中，每一个告警事件都有一个对应的告警级别，告警级别共有三级，分别是0级、1级和2级，其中威胁等级0级为最高，因此对应分值最高。告警等级2级为最低，因此对应分值最低。0级告警通常为含有入侵行为的告警，1级告警通常为网络异常事件，2级告警则通常为主机告警。从电力监控***采集、收到的告警信息中，还含有“与IEC104规约相关的异常访问”等与电网业务高度相关的告警，可见告警级别的划分也充分考虑到了电网网络环境的特殊性，因此将告警等级直接应用在攻击路径的评分中是有意义的。

在使用告警级别进行攻击评分时，首先遍历每一条攻击路径，然后对于每条攻击路径，获得攻击路径中各个安全事件的告警等级并为其赋分值，其中0级威胁最高为1分，1级次之为0.5分，2级为0分，然后将各个安全事件的分值取最大值，则为该攻击路径的威胁量化评估得分。

四、基于漏洞利用的攻击量化评估方法

漏洞利用，是指用户从目标***中找到容易攻击的漏洞，然后利用该漏洞获取权限，从而实现对目标***的控制，漏洞利用是网络攻击的重要方式。漏洞利用路径则描述了漏洞利用的过程。漏洞利用路径是指漏洞利用过程，其数据结构表现为图结构，其中，节点表示单个主机，边表示从某个主机到另外一个主机的漏洞利用，漏洞利用信息以及漏洞的具体描述可以在CVE漏洞库中获得。

一条攻击路径对应着许多的漏洞利用路径，我们使用图相似度的算法来为攻击路径找到与之相似的漏洞利用路径，算法的输入一条攻击路径，算法的输出是攻击路径在漏洞利用路径这个维度的威胁值，以下为算法步骤：

(1)遍历局域网内所有的漏洞攻击路径，分别计算与当前攻击路径相似程度高的攻击路径，相似度大小按照排名的方式来，取出相似度排名前1％的漏攻攻击路径。

(2)对前1％的漏洞攻击路径再进行筛选，设定阈值K，筛选出漏洞利用路径相似度大于K的漏洞利用路径，K值的选取与具体的电网环境有关，一般环境下取K＝0.5。

(3)对选取的漏洞利用路径做危险程度求值，即根据CVSS评分规则库，对每条攻击路径的威胁程度进行量化，具体量化方式为：对漏洞利用路径上途径的所有cve漏洞，对照评分规则库寻找其对应的cvss评分，对这些cvss评分求平均值，即得到该条漏洞利用路径的危险程度评分。

(4)对所有被筛选出来的漏洞利用路径的危险程度取最大值，该值即为该条攻击路径在漏洞利用方面的评分。

实施过程

模拟一个小型的局域网环境，网络部署关系，如图4、5和6所示：

主机*.*.1.1、主机*.*.1.2、主机*.*.1.3组成内部网络，由于主机*.*.1.3托管MySQL数据库，所以主机*.*.1.3相对于其他主机较重要。攻击者从主机主机*.*.1.34发起攻击，并且在内网***中检测到如下的攻击路径。

同时，在内部***中检测到的关键主机有：

在内部***检测到的重点事件有

在攻击路径中检测到告警级别如下：

如图6所示，漏洞利用路径1:从主机*.*.1.1到*.*.1.3，漏洞编号为cve-2001-1030；

漏洞利用路径2:从主机*.*.1.1到*.*.1.3，漏洞编号为cve-2001-0439；

漏洞利用路径3：从主机*.*.1.1到*.*.1.2，再到*.*.1.3，漏洞编号为cve-2002-1359及cve-2001-1030；

漏洞利用路径4:从主机*.*.1.1到*.*.1.2再到*.*.1.3，漏洞编号为cve-2002-1359及cve-2001-0439。

以攻击路径为对象，量化这四个方面的威胁值：

1.关键主机：符合[告警类型+时间+IP]的特征，故打分为1.0分

2.重点事件：符合[告警类型]特征，故打分为0.4分

3.告警等级：告警等级为0级，故打分为1.0分

4.漏洞利用相似度评分：

根据相似度算法计算攻击路径和漏洞利用路径的相似度，选取相似度大于0.5，且相似度排名前1％的漏洞利用路径，最终经过筛选出来的漏洞利用路径为(1)(2)两条，根据cve漏洞的cvss评分，如下表，则可计算出漏洞相似度的评分为0.75分。

漏洞序号	cvss评分
		CVE-2001-1030	7.5
CVE-2001-0439	7.5

综上，该攻击图威胁值的综合评分为：1.0*20％+0.4*20％+1.0*20％+0.75*40％＝0.2+0.08+0.2+0.3＝0.78。该评分符合对这条攻击路径的预期。

相应的本发明还提供一种基于电力监控***网络威胁的量化***，包括：

获取模块，用于获取电力监控***采集的告警日志信息，根据告警日志信息绘制攻击路径；

关键主机得分模块，用于将攻击路径输入到预先构建的基于关键主机的攻击量化评估模型，输出攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分；

告警级别得分模块，用于将攻击路径输入到预先构建的基于告警级别的攻击量化评估模型，输出攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分；

重点事件得分模块，用于将攻击路径输入到预先构建的基于重点事件的攻击量化评估模型，输出攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分；

漏洞利用路径相似程度得分模块，用于将攻击路径输入到预先构建的基于漏洞利用的攻击量化评估模型，输出攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分；

计算模块，用于利用预先根据各维度对威胁评估影响的严重程度、范围确定的权重以及所述攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分、攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分、攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分、攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分，计算攻击路径总的威胁值，所述维度包括关键主机维度、告警级别维度、重点事件维度和漏洞利用路径维度。

所述关键主机得分模块包括：

识别模块，用于利用告警信息识别关键主机IP；

第一遍历模块，用于遍历告警信息中的每一条攻击路径，再遍历每条路径中的节点，如果节点IP不在关键主机IP序列中，则记为0分；如果节点IP在关键主机IP序列中，但没有匹配到事件发生时间，则记为0.3分；再则，如果匹配到了事件发生时间，但没有匹配到关键主机IP的对应安全事件，则记为0.7分；如果匹配到了关键IP的对应安全事件，则记为1分；

第一取值模块，用于根据攻击链中的节点与事件的匹配得分，取评分中的最大值为攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分。

所述识别模块包括：

预处理模块，用于对原始告警信息进行预处理，得到稠密的时间序列；

判断模块，用于根据稠密的时间序列确定异常数量的起始点和结束点，判断起始点和结束点之间的时间段异常数量是否超过该IP的主机预先设置的阈值，若超过则确定该IP的主机为关键主机。

所述告警级别得分模块包括：

第二遍历模块，用于遍历告警信息中的每一条攻击路径，对于每条攻击路径，获得攻击路径中各个安全事件的告警等级并为其赋分值，其中0级威胁最高为1分，1级次之为0.5分，2级为0分；

第二取值模块，用于取各个安全事件评分中的最大值作为该攻击路径的基于告警等级的攻击量化评估模型的威胁量化评估得分。

所述重点事件得分模块包括：

确定模块，用于根据告警信息提取电网的各种安全设备的日志，根据所述日志确定重点事件；

第三遍历模块，用于遍历告警信息中的每一条攻击路径，再对每条攻击路径遍历每一个告警事件，如果告警内容没有匹配重点事件，则记为0分；如果匹配到了重点事件类型，则再匹配时间，如果告警事件发生时间不匹配，则记为0.4分，如果重点事件类型和发生时间都匹配，则记为0.7分，如果重点事件的源IP和目的IP和攻击路径中的源IP和目的IP同时匹配，则记为1分；

第三取值模块，用于在计算得到各个告警事件的分值后取这些分值中的最大值作为攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分。

所述确定模块包括：

提取模块，用于对电网中的各种安全设备的日志进行统计和提取，形成安全事件序列；

第一确定模块，用于根据安全事件序列，考虑相邻安全事件中的告警数量激增事件和告警数量锐减事件，以及激增后小范围持续波动后再锐减的平顶事件，确定基于突变点的重点事件；

第二确定模块，用于根据安全事件序列，考虑告警数量并不突然增多，而是缓慢增加，直至超过预先设置的数量阈值，确定基于阈值的重点事件。

所述漏洞利用路径相似程度得分模块包括：

第四遍历模块，用于遍历局域网内所有的漏洞攻击路径，分别计算与当前攻击路径相似程度高的攻击路径，根据相似度大小进行排名，提取相似度排名前1％的漏洞攻击路径；

筛选模块，用于对前1％的漏洞攻击路径进行筛选，设定阈值K，筛选出漏洞利用路径相似度大于K的漏洞利用路径；

CVSS评分模块，用于对选取的漏洞利用路径根据CVSS评分规则库，对每条攻击路径的威胁程度进行量化，所述进行量化的过程包括：对漏洞利用路径上途径的所有cve漏洞，对照CVSS评分规则库寻找其对应的cvss评分，对这些cvss评分求平均值，得到该条漏洞利用路径的危险程度评分；

第四取值模块，用于对所有被筛选出来的漏洞利用路径的危险程度取最大值作为攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分。

本领域内的技术人员应明白，本申请的实施例可提供为方法、***、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (2)

1.一种基于电力监控***网络威胁的量化方法，其特征在于，包括：

获取电力监控***采集的告警日志信息，根据告警日志信息绘制攻击路径；

将攻击路径输入到预先构建的基于关键主机的攻击量化评估模型，输出攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分；

将攻击路径输入到预先构建的基于告警级别的攻击量化评估模型，输出攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分；

将攻击路径输入到预先构建的基于重点事件的攻击量化评估模型，输出攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分；

将攻击路径输入到预先构建的基于漏洞利用的攻击量化评估模型，输出攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分；

利用预先根据各维度对威胁评估影响确定的权重以及所述攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分、攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分、攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分、攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分，计算攻击路径总的威胁值，所述维度包括关键主机维度、告警级别维度、重点事件维度和漏洞利用路径维度；

所述基于关键主机的攻击量化评估模型的处理过程包括：

利用告警信息识别关键主机IP；

遍历告警信息中的每一条攻击路径，再遍历每条路径中的节点，如果节点IP不在关键主机IP序列中，则记为a1分；如果节点IP在关键主机IP序列中，但没有匹配到事件发生时间，则记为a2分；再则，如果匹配到了事件发生时间，但没有匹配到关键主机IP的对应安全事件，则记为a3分；如果匹配到了关键IP的对应安全事件，则记为a4分；其中，0≤a1＜a2＜a3＜a4≤1；

根据攻击路径中的每个节点与事件的匹配得分，取得分中的最大值为该攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分；

所述利用告警信息识别关键主机IP的过程包括：

对告警信息进行预处理，得到稠密的时间序列，根据稠密的时间序列确定异常数量的起始点和结束点，判断起始点和结束点之间的时间段异常数量是否超过该IP的主机预先设置的阈值，若超过则确定该IP的主机为关键主机；

所述基于告警级别的攻击量化评估模型的处理过程包括：

遍历告警信息中的每一条攻击路径，对于每条攻击路径，获得攻击路径中各个安全事件的告警等级并为其赋分值，其中0级威胁最高为b1分，1级次之为b2分，2级为b3分；其中，1≥b1＞b2＞b3≥0；

取攻击路径中的每个节点的安全事件评分中的最大值作为该攻击路径的基于告警等级的攻击量化评估模型的威胁量化评估得分；

所述基于重点事件的攻击量化评估模型的处理过程包括：

根据告警信息提取电网的各种安全设备的日志，根据所述日志确定重点事件；

遍历告警信息中的每一条攻击路径，再对每条攻击路径遍历每一个告警事件，如果告警内容没有匹配重点事件，则记为c1分；如果匹配到了重点事件类型，则再匹配时间，如果告警事件发生时间不匹配，则记为c2分，如果重点事件类型和发生时间都匹配，但是重点事件的源IP和目的IP和攻击路径中的源IP和目的IP不匹配，则记为c3分，如果重点事件类型、发生时间、重点事件的源IP和目的IP和攻击路径中的源IP和目的IP都同时匹配，则记为c4分；其中，0≤c1＜c2＜c3＜c4≤1；

在计算得到攻击路径中的每个节点的告警事件的分值后取这些分值中的最大值作为该攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分；

所述根据所述日志确定重点事件的过程包括：

对电网中的各种安全设备的日志进行统计和提取，形成安全事件序列；

根据安全事件序列，考虑相邻安全事件中的告警数量激增事件和告警数量锐减事件，以及激增后小范围持续波动后再锐减的平顶事件，确定基于突变点的重点事件；

根据安全事件序列，考虑告警数量并不突然增多，而是缓慢增加，直至超过预先设置的数量阈值，确定基于阈值的重点事件；

所述基于漏洞利用的攻击量化评估模型的处理过程包括：

遍历局域网内所有的漏洞攻击路径，分别计算与当前攻击路径相似程度高的攻击路径，根据相似度大小进行排名，提取相似度排名前1%的漏洞攻击路径；

对前1%的漏洞攻击路径进行筛选，设定阈值K，筛选出漏洞利用路径相似度大于K的漏洞利用路径；

对选取的漏洞利用路径根据CVSS评分规则库，对每条攻击路径的威胁程度进行量化，所述进行量化的过程包括：对漏洞利用路径上途径的所有CVE漏洞，对照CVSS评分规则库寻找其对应的CVSS评分，对这些CVSS评分求平均值，得到该选取的漏洞利用路径的危险程度评分；

对所有被筛选出来的漏洞利用路径的危险程度取最大值作为攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分。

2.一种基于电力监控***网络威胁的量化***，其特征在于，包括：

获取模块，用于获取电力监控***采集的告警日志信息，根据告警日志信息绘制攻击路径；

关键主机得分模块，用于将攻击路径输入到预先构建的基于关键主机的攻击量化评估模型，输出攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分；

告警级别得分模块，用于将攻击路径输入到预先构建的基于告警级别的攻击量化评估模型，输出攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分；

重点事件得分模块，用于将攻击路径输入到预先构建的基于重点事件的攻击量化评估模型，输出攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分；

漏洞利用路径相似程度得分模块，用于将攻击路径输入到预先构建的基于漏洞利用的攻击量化评估模型，输出攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分；

计算模块，用于利用预先根据各维度对威胁评估影响确定的权重以及所述攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分、攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分、攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分、攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分，计算攻击路径总的威胁值，所述维度包括关键主机维度、告警级别维度、重点事件维度和漏洞利用路径维度；

所述关键主机得分模块包括：

识别模块，用于利用告警信息识别关键主机IP；

第一遍历模块，用于遍历告警信息中的每一条攻击路径，再遍历每条路径中的节点，如果节点IP不在关键主机IP序列中，则记为a1分；如果节点IP在关键主机IP序列中，但没有匹配到事件发生时间，则记为a2分；再则，如果匹配到了事件发生时间，但没有匹配到关键主机IP的对应安全事件，则记为a3分；如果匹配到了关键IP的对应安全事件，则记为a4分；其中，0≤a1＜a2＜a3＜a4≤1；

第一取值模块，用于根据攻击路径中的每个节点与事件的匹配得分，取得分中的最大值为该攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分；

所述识别模块包括：

预处理模块，用于对告警信息进行预处理，得到稠密的时间序列；

判断模块，用于根据稠密的时间序列确定异常数量的起始点和结束点，判断起始点和结束点之间的时间段异常数量是否超过该IP的主机预先设置的阈值，若超过则确定该IP的主机为关键主机；

所述告警级别得分模块包括：

第二遍历模块，用于遍历告警信息中的每一条攻击路径，对于每条攻击路径，获得攻击路径中各个安全事件的告警等级并为其赋分值，其中0级威胁最高为b1分，1级次之为b2分，2级为b3分；其中，1≥b1＞b2＞b3≥0；

第二取值模块，用于取攻击路径中的每个节点的安全事件评分中的最大值作为该攻击路径的基于告警等级的攻击量化评估模型的威胁量化评估得分；

所述重点事件得分模块包括：

确定模块，用于根据告警信息提取电网的各种安全设备的日志，根据所述日志确定重点事件；

第三遍历模块，用于遍历告警信息中的每一条攻击路径，再对每条攻击路径遍历每一个告警事件，如果告警内容没有匹配重点事件，则记为c1分；如果匹配到了重点事件类型，则再匹配时间，如果告警事件发生时间不匹配，则记为c2分，如果重点事件类型和发生时间都匹配，但是重点事件的源IP和目的IP 和攻击路径中的源IP和目的IP不匹配，则记为c3分，如果重点事件类型、发生时间、重点事件的源IP和目的IP 和攻击路径中的源IP和目的IP都同时匹配，则记为c4分；其中，0≤c1＜c2＜c3＜c4≤1；

第三取值模块，用于在计算得到攻击路径中的每个节点的告警事件的分值后取这些分值中的最大值作为该攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分；

所述确定模块包括：

提取模块，用于对电网中的各种安全设备的日志进行统计和提取，形成安全事件序列；

第一确定模块，用于根据安全事件序列，考虑相邻安全事件中的告警数量激增事件和告警数量锐减事件，以及激增后小范围持续波动后再锐减的平顶事件，确定基于突变点的重点事件；

第二确定模块，用于根据安全事件序列，考虑告警数量并不突然增多，而是缓慢增加，直至超过预先设置的数量阈值，确定基于阈值的重点事件；

所述漏洞利用路径相似程度得分模块包括：

第四遍历模块，用于遍历局域网内所有的漏洞攻击路径，分别计算与当前攻击路径相似程度高的攻击路径，根据相似度大小进行排名，提取相似度排名前1%的漏洞攻击路径；

筛选模块，用于对前1%的漏洞攻击路径进行筛选，设定阈值K，筛选出漏洞利用路径相似度大于K的漏洞利用路径；

CVSS评分模块，用于对选取的漏洞利用路径根据CVSS评分规则库，对每条攻击路径的威胁程度进行量化，所述进行量化的过程包括：对漏洞利用路径上途径的所有CVE漏洞，对照CVSS评分规则库寻找其对应的CVSS评分，对这些CVSS评分求平均值，得到该选取的漏洞漏洞利用路径的危险程度评分；

第四取值模块，用于对所有被筛选出来的漏洞利用路径的危险程度取最大值作为攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分。