CN114866325B - 电力***网络攻击的预测方法 - Google Patents

电力***网络攻击的预测方法 Download PDF

Info

Publication number
CN114866325B
CN114866325B CN202210507922.6A CN202210507922A CN114866325B CN 114866325 B CN114866325 B CN 114866325B CN 202210507922 A CN202210507922 A CN 202210507922A CN 114866325 B CN114866325 B CN 114866325B
Authority
CN
China
Prior art keywords
attack
service
vulnerability
alarm
probability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210507922.6A
Other languages
English (en)
Other versions
CN114866325A (zh
Inventor
朱宏宇
张博
刘力
田建伟
林海
田峥
陈乾
孙毅臻
罗伟强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Hunan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Hunan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Hunan Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202210507922.6A priority Critical patent/CN114866325B/zh
Publication of CN114866325A publication Critical patent/CN114866325A/zh
Application granted granted Critical
Publication of CN114866325B publication Critical patent/CN114866325B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种电力***网络攻击的预测方法,包括获取待预测的电力***的网络告警日志并进行预处理和聚类得到告警事件集;计算得到信息节点漏洞威胁度、信息节点业务重要度和信息节点潮流重要度;计算信息节点重要度;构建改进型隐马尔科夫攻击概率模型并优化得到修正型隐马尔科夫攻击概率模型;根据信息节点重要度和修正型隐马尔科夫攻击概率模型对电力***的网络攻击进行预测。本发明方法避免了因评价指标单一导致信息节点重要度评估不合理的问题,有效提升了隐马尔科夫模型攻击预测的准确率,提高了攻击预测效率;因此本发明方法的可靠性高、准确性好且效率较高。

Description

电力***网络攻击的预测方法
技术领域
本发明属于电力***网络安全技术领域,具体涉及一种电力***网络攻击的预测方法。
背景技术
随着经济技术的发展和人们生活水平的提高,电能已经成为了人们生产和生活中必不可少的二次能源,给人们的生产和生活带来了无尽的便利。因此,保障电能的稳定可靠供应,就成为了电力***最重要的任务之一。但是,近年来全球电力***网络攻击事件频发,严重影响了电力***的安全稳定运行。因此,对于电力***网络攻击的预测,就显得尤为重要。
目前,针对电力***网络攻击的预测方法,存在信息节点重要度评价指标单一,告警数据挖掘不充分的问题,这使得现在的电力***网络攻击的预测方法的正确率不高,可靠性较差,从而给电力***的安全稳定运行带来了严重的影响。
发明内容
本发明的目的在于提供一种可靠性高、准确性好且效率较高的电力***网络攻击的预测方法。
本发明提供的这种电力***网络攻击的预测方法,包括如下步骤:
S1.获取待预测的电力***的网络告警日志;
S2.对步骤S1获取的网络告警日志进行预处理和聚类,从而得到告警事件集;
S3.根据CVSS***评分法,计算得到信息节点漏洞威胁度;
S4.根据三标度AHP法,计算得到信息节点业务重要度;
S5.根据直流潮流法,计算得到信息节点潮流重要度;
S6.根据得到的信息节点漏洞威胁度、信息节点业务重要度和信息节点潮流重要度,计算得到信息节点重要度;
S7.根据步骤S2得到的告警事件集和隐马尔科夫模型,构建改进型隐马尔科夫攻击概率模型;
S8.对步骤S7构建的改进型隐马尔科夫攻击概率模型进行优化,从而得到修正型隐马尔科夫攻击概率模型;
S9.根据得到的信息节点重要度和修正型隐马尔科夫攻击概率模型,对电力***的网络攻击进行预测。
步骤S2所述的对步骤S1获取的网络告警日志进行预处理和聚类,从而得到告警事件集,具体包括如下步骤:
将获取的网络告警日志中的错误告警日志和异常告警日志删除,然后设定时间窗并清除时间窗内的重复告警日志,得到告警日志预处理集Op
将告警日志预处理集Op中的告警日志进行格式统一处理,得到格式相同的告警日志统一集Ou
采用K-means聚类算法,对告警日志统一集Ou进行聚类,得到告警日志聚类集Oc;聚利时,采用如下算式计算告警日志之间的属性相似度S(X,Y):
式中S(X,Y)为告警日志X和Y之间的属性相似度;X和Y为告警日志统一集Ou中的两条不同的告警日志;n为每条告警日志的属性种类总数;i为告警日志的第i个字段编号;wi为第i个属性的权值;s(Xi,Yi)为告警日志X和Y之间第i个属性的相似度;Xi为告警日志X的第i个属性,Yi为告警日志Y的第i个属性;
按照故障类型将聚类后的各簇告警日志进行分类,得到告警日志分类集合Or
在告警日志分类集合Or中,将每类中相似度高于设定值的告警日志划分为同一类,得到告警日志再分类集合
将告警日志再分类集合中每一类告警,按照区间并集法,以设定时长为时间窗长度,将时间窗内所有告警合并成一个告警事件,得到最终的告警事件集O。
步骤S3所述的根据CVSS***评分法,计算得到信息节点漏洞威胁度,具体包括如下步骤:
A.获取待预测的电力***的漏洞可用性因子分数ISC、漏洞影响因子分数ESC、漏洞代码成熟度ECM、漏洞修复水平RL和漏洞报告可信度RC;
B.根据获取的漏洞可用性因子分数ISC和漏洞影响因子分数ESC,采用如下规则计算漏洞基础评分BS:
若ISC≤0或ISC>1,则BS=0;
若0<ISC≤1且漏铜仅影响含有该漏洞的组件,则BS=min[(ESC+6.42*ISC),10];
若0<ISC≤1且漏洞能够影响含有该漏洞组件权限外的资源,则BS=min[1.08(ESC+6.42*ISC),10];
C.根据获取的漏洞代码成熟度ECM、漏洞修复水平RL、漏洞报告可信度RC和漏洞基础评分BS,计算得到漏洞时效性评分TS为TS=BS*ECM*RL*RC;
D.根据漏洞时效性评分TS和漏洞实际运行环境特征,采用如下规则计算得到漏洞环境评分ES:
若ISCM≤0或ISCM>1,则ES=0;
若0<ISCM≤1且漏洞仅影响含有该漏洞的组件,则
ES=Roundup(min[(ESCM+6.42ISCM),10])*ECM*RL*RC
若0<ISCM≤1且漏洞能够影响含有该漏洞组件权限外的资源,则
ES=Roundup(min[1.08*(ESCM+6.42ISCM),10])*ECM*RL*RC
式中ISCM为更改后的漏洞可用性因子分数,ESCM为更改后的漏洞影响因子分数;Roundup()为向上取整函数;
E.根据得到的漏洞基础评分BS、漏洞时效性评分TS和漏洞环境评分ES,计算信息节点的漏铜威胁度Iv为Iv=BS+TS+ES。
步骤S4所述的根据三标度AHP法,计算得到信息节点业务重要度,具体包括如下步骤:
a.根据信息节点承载业务的服务质量和安全性,构建业务评价指标体系;
其中业务评价指标体系包括服务质量指标和安全性指标;服务质量指标包括安全分区指标、时延要求指标、误码率指标、实时性指标和可靠性指标;安全性指标包括隔离方式指标和认证方式指标;
信息节点承载业务包括生产一区业务、生产二区业务、管理三区业务和管理四区业务;生产一区业务包括继电保护***业务、安稳***业务和调度自动化***业务;生产二区业务包括广域相量测量***业务、电能计量***业务、故障录波与测距***业务、配电网运行监控***业务、通信网管***业务和电力市场运营***业务;管理三区业务包括监视管理***业务、变电站视频监视***业务、输电线路监视***业务、光缆检测***业务和电能检测***业务;管理四区业务包括视频会议***业务、办公信息***业务、财务管理***业务、营销管理***业务、工程管理***业务、生产管理信息***业务、人力资源管理***业务、物资管理***业务和综合管理信息***业务;
b.根据国家标准和电力行业标准对信息节点不同业务的要求,构建业务评价指标量化表;
业务评价指标量化表如下:
评分:1分;安全分区:管理四区;时延:大于15min;误码率:小于等于10-3;实时性:低;可靠性:低;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:2分;安全分区:管理四区;时延:小于等于15min;误码率:小于等于10-3;实时性:高;可靠性:高;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:3分;安全分区:管理三区;时延:小于等于1s;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:应用型防火墙;认证方式:IP认证;
评分:4分;安全分区:管理三区;时延:小于等于250ms;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:5分;安全分区:管理三区;时延:小于等于150ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:6分;安全分区:生产二区;时延:小于等于100ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:7分;安全分区:生产二区;时延:小于等于30ms;误码率:小于等于10-7;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:8分;安全分区:生产一区;时延:小于等于10ms;误码率:小于等于10-9;实时性:极高;可靠性:极高;隔离方式:正向/反向隔离;认证方式:专线加密;
c.根据业务评价指标量化表,计算得到每种业务的业务评分s为式中i为业务评价指标;n为业务评价指标的总数;ξi为第i种业务评价指标的评分;
d.采用三标度AHP法对同一节点的不同业务赋权值,得到第j种业务的业务权重值ωj,然后结合每种业务的业务评分s,计算得到信息节点业务重要度Ib式中sj为第j中业务的业务评分。
步骤S5所述的根据直流潮流法,计算得到信息节点潮流重要度,具体包括如下步骤:
根据待预测的电力***的***拓扑结构和节点信息,计算各支路上的有功功率Pl式中Pl为支路l上的有功功率;i和j为支路l的两个端点的节点编号;xl为支路l的阻抗;θi为节点i的电压相角;θj为节点j的电压相角;
根据各个支路的有功功率Pl,计算各个支路的权系数wl式中Pr为第r条支路的有功功率;r为支路的编号;n为支路的总数;
将单个信息节点所控制范围内的所有支路断开,形成新的网络拓扑结构,并重新计算新的网络拓扑结构下的每条支路的有功功率P’l
根据信息节点所控制支路全部断开后对网络潮流的影响程度,采用如下算式计算得到信息节点潮流重要度If
式中L为新的网络拓扑结构中的支路总数;为支路l的最大传输容量。
步骤S6所述的根据得到的信息节点漏洞威胁度、信息节点业务重要度和信息节点潮流重要度,计算得到信息节点重要度,具体包括如下步骤:
采用归一化方法,对获取的信息节点漏洞威胁度Iv、信息节点业务重要度Ib和信息节点潮流重要度If进行归一化处理;
根据均值法,采用如下算式求解节点的漏洞威胁度权值、业务重要度权值和潮流重要度权值:
式中为全***的所有信息节点的漏洞威胁度均值;/>为全***的所有信息节点的业务重要度均值;/>为全***的所有信息节点的潮流重要度均值;
计算得到信息节点x的重要度Ix
步骤S7所述的根据步骤S2得到的告警事件集和隐马尔科夫模型,构建改进型隐马尔科夫攻击概率模型,具体包括如下步骤:
以告警事件集O为输入,利用最大似然估计,采用如下算式求解改进型隐马尔科夫攻击概率模型λ中各矩阵元素值:
式中πi为初始攻击概率分布矩阵π中第i个元素,用于表示攻击步骤i为起始攻击步的概率;τi为攻击步骤i为起始攻击步的频数;Aij为攻击转移概率矩阵A中第i行第j列元素,用于表示攻击过程中由攻击步骤i转移到攻击步骤j的概率;ωij为由攻击步骤i转向攻击步骤j的频数;Bi(ok)为告警发生概率矩阵B中第i行与告警事件ok对应的元素,用于表示攻击达到攻击步骤i时产生告警事件ok的概率;γik为攻击步骤i产生告警事件ok的频数;M为攻击步骤i对应告警事件种类数;Ckq为告警转移概率矩阵C中第k行第q列元素,用于表示由告警事件k转移到告警事件q的概率;为告警事件k发生后出现告警事件q的频数;N为在告警事件k出现后出现的所有告警事件种类数;
最终,得到改进型隐马尔科夫攻击概率模型λ为λ=(π,A,B,C)。
步骤S8所述的对步骤S7构建的改进型隐马尔科夫攻击概率模型进行优化,从而得到修正型隐马尔科夫攻击概率模型,具体包括如下步骤:
采用如下算式对攻击转移概率矩阵A和告警发生概率矩阵B进行优化:
式中A’ij为优化攻击转移概率矩阵A’中第i行第j列元素,用于表示攻击步骤i转移到攻击步骤j的概率;t为告警事件发生时刻;T为告警事件集O中最大时刻;δt(i,j)为t时刻为攻击步骤i且t+1时刻为攻击步骤j的概率;δt(i)为t时刻攻击步骤为第i步的概率;B’i(of)为优化告警发生概率矩阵B’中第i行与告警事件of对应的元素,用于表示攻击步骤i产生告警事件of的概率;of为第f种告警事件;分母表示周期时间内攻击步骤i发生概率之和,分子表示周期时间内攻击步骤i发生且产生告警事件of的概率之和;
最终,得到修正型隐马尔科夫攻击概率模型λ’为λ’=(π,A’,B’,C)。
步骤S9所述的根据得到的信息节点重要度和修正型隐马尔科夫攻击概率模型,对电力***的网络攻击进行预测,具体包括如下步骤:
(1)采用修正型隐马尔科夫攻击概率模型λ’中初始攻击概率分布矩阵π和优化告警发生概率矩阵B’的元素,采用如下算式计算得到初始化概率δ1,i为δ1,i=πiB’i(o1);其中,δ1,i用于表示起始攻击步为攻击步骤i并且产生告警为o1的概率;
(2)根据递推关系,采用如下算式求解各攻击路径概率:
δt+1,j=max[δt,i*A’ij*B’j(ot+1)*Ct,t+1*It+1]
式中δt+1,j为t+1时刻到达攻击步骤j的概率;Ct,t+1为由告警ot转向告警ot+1的概率;It+1为t+1时刻被攻击节点的节点重要度;
然后计算得到T时刻第K条攻击路径对应的攻击概率T为t的最大值;K为攻击路径编号;
(3)采用如下算式计算得到最大攻击路径概率Pmax
式中N为攻击路径总数;
(4)采用如下算式计算得到下一步最大可能攻击点被攻击概率Pn
Pn=max(Pmax*A’ij*ZT+1)
式中ZT+1为T+1时刻可能被攻击节的点节点重要度集合。
本发明提供的这种电力***网络攻击的预测方法,通过对信息节点***漏洞、承载业务和潮流影响三方面因素的综合考虑,避免了因评价指标单一导致信息节点重要度评估不合理的问题;通过考虑告警日志之间的内在联系,在隐马尔科夫模型的基础上增加了告警信息概率转移矩阵,有效提升了隐马尔科夫模型攻击预测的准确率;针对原始告警日志信息量大且格式不统一的问题,通过预处理和聚类的方式得到格式统一的低维度的告警事件集,提高了攻击预测效率;因此本发明方法的可靠性高、准确性好且效率较高。
附图说明
图1为本发明的方法流程示意图。
图2为本发明的业务指标体系示意图。
图3为本发明的信息节点承载业务种类示意图。
具体实施方式
如图1所示为本发明的方法流程示意图:本发明提供的这种电力***网络攻击的预测方法,包括如下步骤:
S1.获取待预测的电力***的网络告警日志;
S2.对步骤S1获取的网络告警日志进行预处理和聚类,从而得到告警事件集;具体包括如下步骤:
将获取的网络告警日志中的错误告警日志和异常告警日志删除,然后设定时间窗并清除时间窗内的重复告警日志,得到告警日志预处理集Op
将告警日志预处理集Op中的告警日志进行格式统一处理,得到格式相同的告警日志统一集Ou
具体实施时,格式如下表1所示:
表1告警日志统一格式示意表
字段编号 属性 字段编号 属性
1 日志编号 6 协议类型
2 记录时间 7 设备编号
3 源端口/IP 8 告警等级
4 目的端口/IP 9 告警分类
5 规则编号 10 特征字符串
采用K-means聚类算法,对告警日志统一集Ou进行聚类,得到告警日志聚类集Oc;聚利时,采用如下算式计算告警日志之间的属性相似度S(X,Y):
式中S(X,Y)为告警日志X和Y之间的属性相似度;X和Y为告警日志统一集Ou中的两条不同的告警日志;n为每条告警日志的属性种类总数;i为告警日志的第i个字段编号;wi为第i个属性的权值;s(Xi,Yi)为告警日志X和Y之间第i个属性的相似度;Xi为告警日志X的第i个属性,Yi为告警日志Y的第i个属性;
按照故障类型将聚类后的各簇告警日志进行分类,得到告警日志分类集合Or
在告警日志分类集合Or中,将每类中相似度高于设定值(优选为0.395)的告警日志划分为同一类,得到告警日志再分类集合
将告警日志再分类集合中每一类告警,按照区间并集法,以设定时长为时间窗长度(优选为6s),将时间窗内所有告警合并成一个告警事件,得到最终的告警事件集O;
目前电力***中各种网络安全设备产生的告警日志数量庞大且格式尚未统一,直接利用原始告警日志进行攻击预测,将导致预测结果准确率低和预测计算速率慢的后果;因此本步骤利用预处理和k-means聚类法,将海量原始告警日志进行去噪声、去冗余、降维和格式统一处理,建立了低维度的告警事件集O;
S3.根据CVSS***评分法,计算得到信息节点漏洞威胁度;具体包括如下步骤:
A.获取待预测的电力***的漏洞可用性因子分数ISC、漏洞影响因子分数ESC、漏洞代码成熟度ECM、漏洞修复水平RL和漏洞报告可信度RC;
具体实施时,漏洞可用性因子分数ISC、漏洞影响因子分数ESC、漏洞代码成熟度ECM、漏洞修复水平RL和漏洞报告可信度RC的计算均,可以参考论文《基于CVSS的网络安全关联评估与漏洞库设计研究》;
B.根据获取的漏洞可用性因子分数ISC和漏洞影响因子分数ESC,采用如下规则计算漏洞基础评分BS:
若ISC≤0或ISC>1,则BS=0;
若0<ISC≤1且漏铜仅影响含有该漏洞的组件,则BS=min[(ESC+6.42*ISC),10];
若0<ISC≤1且漏洞能够影响含有该漏洞组件权限外的资源,则BS=min[1.08(ESC+6.42*ISC),10];
C.根据获取的漏洞代码成熟度ECM、漏洞修复水平RL、漏洞报告可信度RC和漏洞基础评分BS,计算得到漏洞时效性评分TS为TS=BS*ECM*RL*RC;
D.根据漏洞时效性评分TS和漏洞实际运行环境特征,采用如下规则计算得到漏洞环境评分ES:
若ISCM≤0或ISCM>1,则ES=0;
若0<ISCM≤1且漏洞仅影响含有该漏洞的组件,则
ES=Roundup(min[(ESCM+6.42ISCM),10])*ECM*RL*RC
若0<ISCM≤1且漏洞能够影响含有该漏洞组件权限外的资源,则
ES=Roundup(min[1.08*(ESCM+6.42ISCM),10])*ECM*RL*RC
式中ISCM为更改后的漏洞可用性因子分数,ESCM为更改后的漏洞影响因子分数;Roundup()为向上取整函数;
具体实施时,更改后的漏洞可用性因子分数ISCM和更改后的漏洞影响因子分数ESCM,也可以参考论文《基于CVSS的网络安全关联评估与漏洞库设计研究》;
E.根据得到的漏洞基础评分BS、漏洞时效性评分TS和漏洞环境评分ES,计算信息节点的漏铜威胁度Iv为Iv=BS+TS+ES;
S4.根据三标度AHP法,计算得到信息节点业务重要度;具体包括如下步骤:
a.根据信息节点承载业务的服务质量和安全性,构建业务评价指标体系;
其中业务评价指标体系包括服务质量指标和安全性指标;服务质量指标包括安全分区指标、时延要求指标、误码率指标、实时性指标和可靠性指标;安全性指标包括隔离方式指标和认证方式指标;具体如图2所示;
信息节点承载业务包括生产一区业务、生产二区业务、管理三区业务和管理四区业务;生产一区业务包括继电保护***业务、安稳***业务和调度自动化***业务;生产二区业务包括广域相量测量***业务、电能计量***业务、故障录波与测距***业务、配电网运行监控***业务、通信网管***业务和电力市场运营***业务;管理三区业务包括监视管理***业务、变电站视频监视***业务、输电线路监视***业务、光缆检测***业务和电能检测***业务;管理四区业务包括视频会议***业务、办公信息***业务、财务管理***业务、营销管理***业务、工程管理***业务、生产管理信息***业务、人力资源管理***业务、物资管理***业务和综合管理信息***业务;具体如图3所示;
b.根据国家标准和电力行业标准对信息节点不同业务的要求,构建业务评价指标量化表;
业务评价指标量化表如下:
评分:1分;安全分区:管理四区;时延:大于15min;误码率:小于等于10-3;实时性:低;可靠性:低;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:2分;安全分区:管理四区;时延:小于等于15min;误码率:小于等于10-3;实时性:高;可靠性:高;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:3分;安全分区:管理三区;时延:小于等于1s;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:应用型防火墙;认证方式:IP认证;
评分:4分;安全分区:管理三区;时延:小于等于250ms;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:5分;安全分区:管理三区;时延:小于等于150ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:6分;安全分区:生产二区;时延:小于等于100ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:7分;安全分区:生产二区;时延:小于等于30ms;误码率:小于等于10-7;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:8分;安全分区:生产一区;时延:小于等于10ms;误码率:小于等于10-9;实时性:极高;可靠性:极高;隔离方式:正向/反向隔离;认证方式:专线加密;
具体可以参见表2;
表2业务评价指标量化示意表
c.根据业务评价指标量化表,计算得到每种业务的业务评分s为式中i为业务评价指标;n为业务评价指标的总数;ξi为第i种业务评价指标的评分;
d.采用三标度AHP法对同一节点的不同业务赋权值,得到第j种业务的业务权重值ωj,然后结合每种业务的业务评分s,计算得到信息节点业务重要度Ib式中sj为第j中业务的业务评分;
本步骤首先通过业务评分表得到信息节点所承载各项业务的客观评分,然后利用三标度AHP法得到每种业务的权系数,最后根据业务的客观评分和权系数计算信息节点业务重要度;本发明方法通过指标量化的方式进行信息节点重要度求解,可避免对专家知识的依赖;
S5.根据直流潮流法,计算得到信息节点潮流重要度;具体包括如下步骤:
根据待预测的电力***的***拓扑结构和节点信息,计算各支路上的有功功率式中Pl为支路l上的有功功率;i和j为支路l的两个端点的节点编号;xl为支路l的阻抗;θi为节点i的电压相角;θj为节点j的电压相角;
根据各个支路的有功功率Pl,计算各个支路的权系数wl式中Pr为第r条支路的有功功率;r为支路的编号;n为支路的总数;
将单个信息节点所控制范围内的所有支路断开,形成新的网络拓扑结构,并重新计算新的网络拓扑结构下的每条支路的有功功率P’l
根据信息节点所控制支路全部断开后对网络潮流的影响程度,采用如下算式计算得到信息节点潮流重要度If
式中L为新的网络拓扑结构中的支路总数;为支路l的最大传输容量;
S6.根据得到的信息节点漏洞威胁度、信息节点业务重要度和信息节点潮流重要度,计算得到信息节点重要度;具体包括如下步骤:
采用归一化方法,对获取的信息节点漏洞威胁度Iv、信息节点业务重要度Ib和信息节点潮流重要度If进行归一化处理;
根据均值法,采用如下算式求解节点的漏洞威胁度权值、业务重要度权值和潮流重要度权值:
/>
式中为全***的所有信息节点的漏洞威胁度均值;/>为全***的所有信息节点的业务重要度均值;/>为全***的所有信息节点的潮流重要度均值;
计算得到信息节点x的重要度Ix
传统信息节点重要度主要参考信息节点所承载的业务种类和数量进行求解,未能充分考虑信息节点与物理节点之间的耦合关系,也未考虑***漏洞对电力信息物理***整体运行的影响,进而容易出现信息节点重要度求解不精准的现象;本发明方法所建立的基于多因素影响的信息节点重要度计算方法,有效避免了仅从业务角度确定信息节点重要度的片面性;
S7.根据步骤S2得到的告警事件集和隐马尔科夫模型,构建改进型隐马尔科夫攻击概率模型;具体包括如下步骤:
以告警事件集O为输入,利用最大似然估计,采用如下算式求解改进型隐马尔科夫攻击概率模型λ中各矩阵元素值:
式中πi为初始攻击概率分布矩阵π中第i个元素,用于表示攻击步骤i为起始攻击步的概率;τi为攻击步骤i为起始攻击步的频数;Aij为攻击转移概率矩阵A中第i行第j列元素,用于表示攻击过程中由攻击步骤i转移到攻击步骤j的概率;ωij为由攻击步骤i转向攻击步骤j的频数;Bi(ok)为告警发生概率矩阵B中第i行与告警事件ok对应的元素,用于表示攻击达到攻击步骤i时产生告警事件ok的概率;γik为攻击步骤i产生告警事件ok的频数;M为攻击步骤i对应告警事件种类数;Ckq为告警转移概率矩阵C中第k行第q列元素,用于表示由告警事件k转移到告警事件q的概率;为告警事件k发生后出现告警事件q的频数;N为在告警事件k出现后出现的所有告警事件种类数;/>
最终,得到改进型隐马尔科夫攻击概率模型λ为λ=(π,A,B,C);
传统隐马尔科夫模型仅考虑攻击步骤与告警信息之间的外部关系,忽略了告警信息之间的内在联系,进而导致部分攻击情况下隐马尔科夫模型预测准确率低的现象;本发明将告警信息转移概率融入隐马尔科夫模型中,提高了隐马尔科夫模型对电力网络攻击预测的准确率;
S8.对步骤S7构建的改进型隐马尔科夫攻击概率模型进行优化,从而得到修正型隐马尔科夫攻击概率模型;具体包括如下步骤:
采用如下算式对攻击转移概率矩阵A和告警发生概率矩阵B进行优化:
式中A’ij为优化攻击转移概率矩阵A’中第i行第j列元素,用于表示攻击步骤i转移到攻击步骤j的概率;t为告警事件发生时刻;T为告警事件集O中最大时刻;δt(i,j)为t时刻为攻击步骤i且t+1时刻为攻击步骤j的概率;δt(i)为t时刻攻击步骤为第i步的概率;B’i(of)为优化告警发生概率矩阵B’中第i行与告警事件of对应的元素,用于表示攻击步骤i产生告警事件of的概率;of为第f种告警事件;分母表示周期时间内攻击步骤i发生概率之和,分子表示周期时间内攻击步骤i发生且产生告警事件of的概率之和;
最终,得到修正型隐马尔科夫攻击概率模型λ’为λ’=(π,A’,B’,C);
隐马尔科夫模型λ中各矩阵元素由历史告警事件求得,该模型仅能反应历史攻击过程中告警事件与攻击步骤之间的关系,对当前攻击预测缺乏针对性;本发明方法调整λ中部分矩阵参数,使得修正隐马尔科夫模型λ’能更精确的反应当前告警事件集与攻击步骤之间的关系,提高攻击预测准确度;
S9.根据得到的信息节点重要度和修正型隐马尔科夫攻击概率模型,对电力***的网络攻击进行预测;具体包括如下步骤:
(1)采用修正型隐马尔科夫攻击概率模型λ’中初始攻击概率分布矩阵π和优化告警发生概率矩阵B’的元素,采用如下算式计算得到初始化概率δ1,i为δ1,i=πiB’i(o1);其中,δ1,i用于表示起始攻击步为攻击步骤i并且产生告警为o1的概率;
(2)根据递推关系,采用如下算式求解各攻击路径概率:
δt+1,j=max[δt,i*A’ij*B’j(ot+1)*Ct,t+1*It+1]
式中δt+1,j为t+1时刻到达攻击步骤j的概率;Ct,t+1为由告警ot转向告警ot+1的概率;It+1为t+1时刻被攻击节点的节点重要度;
然后计算得到T时刻第K条攻击路径对应的攻击概率T为t的最大值;K为攻击路径编号;
(3)采用如下算式计算得到最大攻击路径概率Pmax
式中N为攻击路径总数;
(4)采用如下算式计算得到下一步最大可能攻击点被攻击概率Pn
Pn=max(Pmax*A’ij*ZT+1)
式中ZT+1为T+1时刻可能被攻击节的点节点重要度集合。

Claims (6)

1.一种电力***网络攻击的预测方法,包括如下步骤:
S1.获取待预测的电力***的网络告警日志;
S2.对步骤S1获取的网络告警日志进行预处理和聚类,从而得到告警事件集;
S3.根据CVSS***评分法,计算得到信息节点漏洞威胁度;
S4.根据三标度AHP法,计算得到信息节点业务重要度;
S5.根据直流潮流法,计算得到信息节点潮流重要度;
S6.根据得到的信息节点漏洞威胁度、信息节点业务重要度和信息节点潮流重要度,计算得到信息节点重要度;
S7.根据步骤S2得到的告警事件集和隐马尔科夫模型,构建改进型隐马尔科夫攻击概率模型;具体包括如下步骤:
以告警事件集O为输入,利用最大似然估计,采用如下算式求解改进型隐马尔科夫攻击概率模型λ中各矩阵元素值:
式中πi为初始攻击概率分布矩阵π中第i个元素,用于表示攻击步骤i为起始攻击步的概率;τi为攻击步骤i为起始攻击步的频数;Aij为攻击转移概率矩阵A中第i行第j列元素,用于表示攻击过程中由攻击步骤i转移到攻击步骤j的概率;ωij为由攻击步骤i转向攻击步骤j的频数;Bi(ok)为告警发生概率矩阵B中第i行与告警事件ok对应的元素,用于表示攻击达到攻击步骤i时产生告警事件ok的概率;γik为攻击步骤i产生告警事件ok的频数;M为攻击步骤i对应告警事件种类数;Ckq为告警转移概率矩阵C中第k行第q列元素,用于表示由告警事件k转移到告警事件q的概率;为告警事件k发生后出现告警事件q的频数;N为在告警事件k出现后出现的所有告警事件种类数;
最终,得到改进型隐马尔科夫攻击概率模型λ为λ=(π,A,B,C);
S8.对步骤S7构建的改进型隐马尔科夫攻击概率模型进行优化,从而得到修正型隐马尔科夫攻击概率模型;具体包括如下步骤:
采用如下算式对攻击转移概率矩阵A和告警发生概率矩阵B进行优化:
式中A′ij为优化攻击转移概率矩阵A'中第i行第j列元素,用于表示攻击步骤i转移到攻击步骤j的概率;t为告警事件发生时刻;T为告警事件集O中最大时刻;δt(i,j)为t时刻为攻击步骤i且t+1时刻为攻击步骤j的概率;δt(i)为t时刻攻击步骤为第i步的概率;B′i(of)为优化告警发生概率矩阵B'中第i行与告警事件of对应的元素,用于表示攻击步骤i产生告警事件of的概率;of为第f种告警事件;分母表示周期时间内攻击步骤i发生概率之和,分子表示周期时间内攻击步骤i发生且产生告警事件of的概率之和;
最终,得到修正型隐马尔科夫攻击概率模型λ'为λ'=(π,A',B',C);
S9.根据得到的信息节点重要度和修正型隐马尔科夫攻击概率模型,对电力***的网络攻击进行预测;具体包括如下步骤:
(1)采用修正型隐马尔科夫攻击概率模型λ'中初始攻击概率分布矩阵π和优化告警发生概率矩阵B'的元素,采用如下算式计算得到初始化概率δ1,i为δ1,i=πiB′i(o1);其中,δ1,i用于表示起始攻击步为攻击步骤i并且产生告警为o1的概率;
(2)根据递推关系,采用如下算式求解各攻击路径概率:
δt+1,j=max[δt,i*A′ij*B′j(ot+1)*Ct,t+1*It+1]
式中δt+1,j为t+1时刻到达攻击步骤j的概率;Ct,t+1为由告警ot转向告警ot+1的概率;It+1为t+1时刻被攻击节点的节点重要度;
然后计算得到T时刻第K条攻击路径对应的攻击概率为/>T为t的最大值;K为攻击路径编号;
(3)采用如下算式计算得到最大攻击路径概率Pmax
式中N为攻击路径总数;
(4)采用如下算式计算得到下一步最大可能攻击点被攻击概率Pn
Pn=max(Pmax*A′ij*ZT+1)
式中ZT+1为T+1时刻可能被攻击节的点节点重要度集合。
2.根据权利要求1所述的电力***网络攻击的预测方法,其特征在于步骤S2所述的对步骤S1获取的网络告警日志进行预处理和聚类,从而得到告警事件集,具体包括如下步骤:
将获取的网络告警日志中的错误告警日志和异常告警日志删除,然后设定时间窗并清除时间窗内的重复告警日志,得到告警日志预处理集Op
将告警日志预处理集Op中的告警日志进行格式统一处理,得到格式相同的告警日志统一集Ou
采用K-means聚类算法,对告警日志统一集Ou进行聚类,得到告警日志聚类集Oc;聚类时,采用如下算式计算告警日志之间的属性相似度S(X,Y):
式中S(X,Y)为告警日志X和Y之间的属性相似度;X和Y为告警日志统一集Ou中的两条不同的告警日志;n为每条告警日志的属性种类总数;i为告警日志的第i个字段编号;wi为第i个属性的权值;s(Xi,Yi)为告警日志X和Y之间第i个属性的相似度;Xi为告警日志X的第i个属性,Yi为告警日志Y的第i个属性;
按照故障类型将聚类后的各簇告警日志进行分类,得到告警日志分类集合Or
在告警日志分类集合Or中,将每类中相似度高于设定值的告警日志划分为同一类,得到告警日志再分类集合
将告警日志再分类集合中每一类告警,按照区间并集法,以设定时长为时间窗长度,将时间窗内所有告警合并成一个告警事件,得到最终的告警事件集O。
3.根据权利要求2所述的电力***网络攻击的预测方法,其特征在于步骤S3所述的根据CVSS***评分法,计算得到信息节点漏洞威胁度,具体包括如下步骤:
A.获取待预测的电力***的漏洞可用性因子分数ISC、漏洞影响因子分数ESC、漏洞代码成熟度ECM、漏洞修复水平RL和漏洞报告可信度RC;
B.根据获取的漏洞可用性因子分数ISC和漏洞影响因子分数ESC,采用如下规则计算漏洞基础评分BS:
若ISC≤0或ISC>1,则BS=0;
若0<ISC≤1且漏洞仅影响含有该漏洞的组件,则BS=min[(ESC+6.42*ISC),10];
若0<ISC≤1且漏洞能够影响含有该漏洞组件权限外的资源,则BS=min[1.08(ESC+6.42*ISC),10];
C.根据获取的漏洞代码成熟度ECM、漏洞修复水平RL、漏洞报告可信度RC和漏洞基础评分BS,计算得到漏洞时效性评分TS为TS=BS*ECM*RL*RC;
D.根据漏洞时效性评分TS和漏洞实际运行环境特征,采用如下规则计算得到漏洞环境评分ES:
若ISCM≤0或ISCM>1,则ES=0;
若0<ISCM≤1且漏洞仅影响含有该漏洞的组件,则
ES=Roundup(min[(ESCM+6.42ISCM),10])*ECM*RL*RC
若0<ISCM≤1且漏洞能够影响含有该漏洞组件权限外的资源,则
ES=Roundup(min[1.08*(ESCM+6.42ISCM),10])*ECM*RL*RC
式中ISCM为更改后的漏洞可用性因子分数,ESCM为更改后的漏洞影响因子分数;Roundup()为向上取整函数;
E.根据得到的漏洞基础评分BS、漏洞时效性评分TS和漏洞环境评分ES,计算信息节点的漏洞威胁度Iv为Iv=BS+TS+ES。
4.根据权利要求3所述的电力***网络攻击的预测方法,其特征在于步骤S4所述的根据三标度AHP法,计算得到信息节点业务重要度,具体包括如下步骤:
a.根据信息节点承载业务的服务质量和安全性,构建业务评价指标体系;
其中业务评价指标体系包括服务质量指标和安全性指标;服务质量指标包括安全分区指标、时延要求指标、误码率指标、实时性指标和可靠性指标;安全性指标包括隔离方式指标和认证方式指标;
信息节点承载业务包括生产一区业务、生产二区业务、管理三区业务和管理四区业务;生产一区业务包括继电保护***业务、安稳***业务和调度自动化***业务;生产二区业务包括广域相量测量***业务、电能计量***业务、故障录波与测距***业务、配电网运行监控***业务、通信网管***业务和电力市场运营***业务;管理三区业务包括监视管理***业务、变电站视频监视***业务、输电线路监视***业务、光缆检测***业务和电能检测***业务;管理四区业务包括视频会议***业务、办公信息***业务、财务管理***业务、营销管理***业务、工程管理***业务、生产管理信息***业务、人力资源管理***业务、物资管理***业务和综合管理信息***业务;
b.根据国家标准和电力行业标准对信息节点不同业务的要求,构建业务评价指标量化表;
业务评价指标量化表如下:
评分:1分;安全分区:管理四区;时延:大于15min;误码率:小于等于10-3;实时性:低;可靠性:低;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:2分;安全分区:管理四区;时延:小于等于15min;误码率:小于等于10-3;实时性:高;可靠性:高;隔离方式:过滤型防火墙;认证方式:IP认证;
评分:3分;安全分区:管理三区;时延:小于等于1s;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:应用型防火墙;认证方式:IP认证;
评分:4分;安全分区:管理三区;时延:小于等于250ms;误码率:小于等于10-5;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:5分;安全分区:管理三区;时延:小于等于150ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:正向隔离;认证方式:非实时VPN;
评分:6分;安全分区:生产二区;时延:小于等于100ms;误码率:小于等于10-6;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:7分;安全分区:生产二区;时延:小于等于30ms;误码率:小于等于10-7;实时性:极高;可靠性:极高;隔离方式:反向隔离;认证方式:实时VPN;
评分:8分;安全分区:生产一区;时延:小于等于10ms;误码率:小于等于10-9;实时性:极高;可靠性:极高;隔离方式:正向/反向隔离;认证方式:专线加密;
c.根据业务评价指标量化表,计算得到每种业务的业务评分s为式中i为业务评价指标;n为业务评价指标的总数;ξi为第i种业务评价指标的评分;
d.采用三标度AHP法对同一节点的不同业务赋权值,得到第j种业务的业务权重值ωj,然后结合每种业务的业务评分s,计算得到信息节点业务重要度Ib式中sj为第j中业务的业务评分。
5.根据权利要求4所述的电力***网络攻击的预测方法,其特征在于步骤S5所述的根据直流潮流法,计算得到信息节点潮流重要度,具体包括如下步骤:
根据待预测的电力***的***拓扑结构和节点信息,计算各支路上的有功功率Pl式中Pl为支路l上的有功功率;i和j为支路l的两个端点的节点编号;xl为支路l的阻抗;θi为节点i的电压相角;θj为节点j的电压相角;
根据各个支路的有功功率Pl,计算各个支路的权系数wl式中Pr为第r条支路的有功功率;r为支路的编号;n为支路的总数;
将单个信息节点所控制范围内的所有支路断开,形成新的网络拓扑结构,并重新计算新的网络拓扑结构下的每条支路的有功功率Pl′;
根据信息节点所控制支路全部断开后对网络潮流的影响程度,采用如下算式计算得到信息节点潮流重要度If
式中L为新的网络拓扑结构中的支路总数;为支路l的最大传输容量。
6.根据权利要求5所述的电力***网络攻击的预测方法,其特征在于步骤S6所述的根据得到的信息节点漏洞威胁度、信息节点业务重要度和信息节点潮流重要度,计算得到信息节点重要度,具体包括如下步骤:
采用归一化方法,对获取的信息节点漏洞威胁度Iv、信息节点业务重要度Ib和信息节点潮流重要度If进行归一化处理;
根据均值法,采用如下算式求解节点的漏洞威胁度权值、业务重要度权值和潮流重要度权值:
式中为全***的所有信息节点的漏洞威胁度均值;/>为全***的所有信息节点的业务重要度均值;/>为全***的所有信息节点的潮流重要度均值;
计算得到信息节点x的重要度Ix
CN202210507922.6A 2022-05-10 2022-05-10 电力***网络攻击的预测方法 Active CN114866325B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210507922.6A CN114866325B (zh) 2022-05-10 2022-05-10 电力***网络攻击的预测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210507922.6A CN114866325B (zh) 2022-05-10 2022-05-10 电力***网络攻击的预测方法

Publications (2)

Publication Number Publication Date
CN114866325A CN114866325A (zh) 2022-08-05
CN114866325B true CN114866325B (zh) 2023-09-12

Family

ID=82638023

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210507922.6A Active CN114866325B (zh) 2022-05-10 2022-05-10 电力***网络攻击的预测方法

Country Status (1)

Country Link
CN (1) CN114866325B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107070852A (zh) * 2016-12-07 2017-08-18 东软集团股份有限公司 网络攻击检测方法和装置
CN110350524A (zh) * 2019-07-11 2019-10-18 南京理工大学 一种基于节点重要度的直流潮流优化方法
CN112235283A (zh) * 2020-10-10 2021-01-15 南方电网科学研究院有限责任公司 一种基于脆弱性描述攻击图的电力工控***网络攻击评估方法
CN112804208A (zh) * 2020-12-30 2021-05-14 北京理工大学 一种基于攻击者特性指标的网络攻击路径预测方法
CN112819336A (zh) * 2021-02-03 2021-05-18 国家电网有限公司 一种基于电力监控***网络威胁的量化方法及***
CN114065287A (zh) * 2021-11-18 2022-02-18 南京航空航天大学 一种抗预测攻击的轨迹差分隐私保护方法和***
CN114065209A (zh) * 2021-10-27 2022-02-18 中国软件评测中心(工业和信息化部软件与集成电路促进中心) 车联网漏洞危害程度预测方法、装置、介质及电子设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10185832B2 (en) * 2015-08-12 2019-01-22 The United States Of America As Represented By The Secretary Of The Army Methods and systems for defending cyber attack in real-time

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107070852A (zh) * 2016-12-07 2017-08-18 东软集团股份有限公司 网络攻击检测方法和装置
CN110350524A (zh) * 2019-07-11 2019-10-18 南京理工大学 一种基于节点重要度的直流潮流优化方法
CN112235283A (zh) * 2020-10-10 2021-01-15 南方电网科学研究院有限责任公司 一种基于脆弱性描述攻击图的电力工控***网络攻击评估方法
CN112804208A (zh) * 2020-12-30 2021-05-14 北京理工大学 一种基于攻击者特性指标的网络攻击路径预测方法
CN112819336A (zh) * 2021-02-03 2021-05-18 国家电网有限公司 一种基于电力监控***网络威胁的量化方法及***
CN114065209A (zh) * 2021-10-27 2022-02-18 中国软件评测中心(工业和信息化部软件与集成电路促进中心) 车联网漏洞危害程度预测方法、装置、介质及电子设备
CN114065287A (zh) * 2021-11-18 2022-02-18 南京航空航天大学 一种抗预测攻击的轨迹差分隐私保护方法和***

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于大数据的配电网络复合攻击预测方法研究;王国欢;李敏;陶振文;;电网与清洁能源(10);全文 *

Also Published As

Publication number Publication date
CN114866325A (zh) 2022-08-05

Similar Documents

Publication Publication Date Title
CN112737101B (zh) 一种面向多监测域的网络安全风险评估方法及***
Yang et al. Deep network analyzer (DNA): A big data analytics platform for cellular networks
Chen et al. DAD-MCNN: DDoS attack detection via multi-channel CNN
CN112149967B (zh) 基于复杂***理论的电力通信网脆弱性评估方法和***
CN105488740A (zh) 一种城市配电网运行方式的风险等级评估方法及其***
CN106911536A (zh) 一种基于模糊综合评价模型的dns健康度评估方法
Wang et al. Dealing with alarms in optical networks using an intelligent system
CN109861825B (zh) Cps***中基于加权规则与一致度的内部攻击检测方法
CN115378988B (zh) 基于知识图谱的数据访问异常检测及控制方法、装置
Jin Analysis on NSAW Reminder Based on Big Data Technology
Liu et al. Internet of things based solutions for transport network vulnerability assessment in intelligent transportation systems
CN114866325B (zh) 电力***网络攻击的预测方法
CN113902052A (zh) 一种基于ae-svm模型的分布式拒绝服务攻击网络异常检测方法
Liu et al. Node Importance Evaluation of Cyber‐Physical System under Cyber‐Attacks Spreading
Hu et al. Classification of Abnormal Traffic in Smart Grids Based on GACNN and Data Statistical Analysis
CN113988695B (zh) 一种基于语义模型和多源数据的电网分层线损分析方法
CN115239086A (zh) 一种基于电力调度数据网网络拓扑结构的重要度评估方法
Pump et al. State of the art in artificial immune-based intrusion detection systems for smart grids
Maniadakis et al. On the temporal evolution of backbone topological robustness
Zhang Analysis of Network Security Countermeasures From the Perspective of Improved FS Algorithm and ICT Convergence
Zheng et al. [Retracted] Application of Fast P2P Traffic Recognition Technology Based on Decision Tree in the Detection of Network Traffic Data
Gao et al. Risk evaluation of communication network of electric power based on improved FAHP
Fathnia et al. Anomaly Detection in Smart Grid with Help of an Improved OPTICS Using Coefficient of Variation
Wang et al. Deep Learning-based Network Security Protection for Scheduling Data in Power Plant Systems
CN116744305B (zh) 一种基于5g数据通信过程安全管控的通信***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant