CN115085965B - 电力***信息网络受攻击风险评估方法、装置和设备 - Google Patents

电力***信息网络受攻击风险评估方法、装置和设备 Download PDF

Info

Publication number
CN115085965B
CN115085965B CN202210445277.XA CN202210445277A CN115085965B CN 115085965 B CN115085965 B CN 115085965B CN 202210445277 A CN202210445277 A CN 202210445277A CN 115085965 B CN115085965 B CN 115085965B
Authority
CN
China
Prior art keywords
risk
index
parameter
target
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210445277.XA
Other languages
English (en)
Other versions
CN115085965A (zh
Inventor
叶婉琦
张佳发
江家伟
王斌
梁段
谢娇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southern Power Grid Digital Grid Research Institute Co Ltd
Original Assignee
Southern Power Grid Digital Grid Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southern Power Grid Digital Grid Research Institute Co Ltd filed Critical Southern Power Grid Digital Grid Research Institute Co Ltd
Priority to CN202210445277.XA priority Critical patent/CN115085965B/zh
Publication of CN115085965A publication Critical patent/CN115085965A/zh
Application granted granted Critical
Publication of CN115085965B publication Critical patent/CN115085965B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种电力***信息网络受攻击风险评估方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。所述方法包括:获取目标风险点的目标安全态势数据;确定目标安全态势数据中的目标安全指标,根据目标安全指标的指标变化参数,确定目标安全指标的风险程度参数;若目标安全指标的风险程度参数满足参数量化条件,计算目标安全指标的风险量化参数;基于目标安全指标的风险程度参数、以及风险量化参数,确定目标风险点的攻击风险评估结果。采用本申请实施例方法,能够提高对风险点遭受的攻击风险进行评估的评估效率。

Description

电力***信息网络受攻击风险评估方法、装置和设备
技术领域
本申请涉及电力***信息网络技术领域,特别是涉及一种电力***信息网络受攻击风险评估方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
背景技术
目前,电力***信息网络中应用了移动互联、人工智能等现代信息技术和先进通信技术,可以实现电力***的各个环节万物互联、人机交互,从而产生了大量的安全态势数据。传统技术中,主要是对电力***信息网络中的单一维度的安全态势数据进行采集,并基于安全态势数据进行攻击风险评估。
然而,各种类型的安全态势数据表达不一致,缺乏有效、准确的数据交叉关联引用的统一约束与索引,不利于对安全态势数据进行的深层次挖掘与应用,导致评估安全态势数据所表征的攻击风险的效率不高,后续就无法形成覆盖全面的电力***信息网络的安全态势的评估支撑。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高对电力***信息网络中各个风险点遭受的攻击风险进行评估的评估效率的电力***信息网络受攻击风险评估方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种电力***信息网络受攻击风险评估方法。所述方法包括:
获取目标风险点的目标安全态势数据;
确定所述目标安全态势数据中的目标安全指标,根据所述目标安全指标的指标变化参数,确定所述目标安全指标的风险程度参数;
若所述目标安全指标的风险程度参数满足参数量化条件,计算所述目标安全指标的风险量化参数;
基于所述目标安全指标的所述风险程度参数、以及所述风险量化参数,确定所述目标风险点的攻击风险评估结果。
在一个实施例中,所述确定所述目标安全态势数据中的目标安全指标,包括:
对所述目标安全态势数据进行指标分析,确定所述目标安全态势数据所包含的各安全指标、以及各所述安全指标的指标属性信息;
根据所述指标属性信息,确定各所述安全指标各自对应的重要性参数;
基于所述重要性参数,从各所述安全指标中确定出所述目标安全指标。
在一个实施例中,所述根据所述目标安全指标的指标变化参数,确定所述目标安全指标的风险程度参数,包括:
确定所述目标安全指标的指标变化前参数、以及指标变化后参数;
计算所述指标变化前参数与所述指标变化后参数的指标商;
确定所述指标商的对数值,并将所述对数值的相反数,确定为所述目标安全指标的风险程度参数。
在一个实施例中,所述方法还包括:
确定所述目标安全指标所匹配的预定风险程度参数;
若所述目标安全指标的风险程度参数大于所述预定风险程度参数,确定所述目标安全指标的风险程度参数满足参数量化条件;
若所述目标安全指标的风险程度参数小于或等于所述预定风险程度参数,确定所述目标风险点不存在攻击风险。
在一个实施例中,所述计算所述目标安全指标的风险量化参数,包括:
确定所述目标安全指标所包含的多个子安全指标;
针对于每一所述子安全指标,根据所述子安全指标的子指标变化前参数、以及子指标变化后参数,确定所述子安全指标各自对应的子量化参数;
确定各所述子安全指标各自匹配的指标权重;
根据所述子安全指标的所述子量化参数和所述指标权重,对各所述子安全指标进行加权求和,得到所述目标安全指标的风险量化参数。
在一个实施例中,所述基于所述目标安全指标的所述风险程度参数、以及所述风险量化参数,确定所述目标风险点的攻击风险评估结果,包括:
若所述风险量化参数小于第一量化值,且所述风险程度参数小于第一程度值,确定所述目标风险点的攻击风险为可忽略攻击;
若所述风险量化参数大于所述第一量化值且小于第二量化值,且所述风险程度参数大于所述第一程度值且小于第二程度值,确定所述目标风险点的攻击风险为轻微攻击;所述第一量化值小于所述第二量化值,所述第一程度值小于所述第二程度值;
若所述风险量化参数大于所述第二量化值且小于第三量化值,且所述风险程度参数大于所述第二程度值且小于第三程度值,确定所述目标风险点的攻击风险为中等攻击;所述第二量化值小于所述第三量化值,所述第二程度值小于所述第三程度值;
若所述风险量化参数大于所述第三量化值且小于第四量化值,且所述风险程度参数大于所述第三程度值且小于第四程度值,确定所述目标风险点的攻击风险为轻微严重攻击;所述第三量化值小于所述第四量化值,所述第三程度值小于所述第四程度值;
若所述风险量化参数大于所述第四量化值且小于第五量化值,且所述风险程度参数大于所述第四程度值且小于第五程度值,确定所述目标风险点的攻击风险为中等严重攻击;所述第四量化值小于所述第五量化值,所述第四程度值小于所述第五程度值;
若所述风险量化参数大于所述第五量化值,且所述风险程度参数大于所述第五程度值,确定所述目标风险点的攻击风险为严重攻击。
第二方面,本申请还提供了一种电力***信息网络受攻击风险评估装置。
所述装置包括:
获取模块,用于获取目标风险点的目标安全态势数据;
计算模块,用于确定所述目标安全态势数据中的目标安全指标,根据所述目标安全指标的指标变化参数,确定所述目标安全指标的风险程度参数;
量化模块,用于若所述目标安全指标的风险程度参数满足参数量化条件,计算所述目标安全指标的风险量化参数;
评估模块,用于基于所述目标安全指标的所述风险程度参数、以及所述风险量化参数,确定所述目标风险点的攻击风险评估结果。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述的方法的步骤。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法的步骤。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述的方法的步骤。
上述电力***信息网络受攻击风险评估方法、装置、计算机设备、计算机可读存储介质和计算机程序产品,通过获取目标风险点的目标安全态势数据;确定目标安全态势数据中的目标安全指标,根据目标安全指标的指标变化参数,确定目标安全指标的风险程度参数,从而,若目标安全指标的风险程度参数满足参数量化条件,计算目标安全指标的风险量化参数,进而,基于目标安全指标的风险程度参数、以及风险量化参数,确定目标风险点的攻击风险评估结果。采用上述实施例的方式,能够通过风险程度参数描述攻击风险,通过风险量化参数可以对攻击风险进行定量描述,提高对目标风险点遭受的攻击风险进行评估的评估效率。
附图说明
图1为一个实施例中电力***信息网络受攻击风险评估方法的应用环境图;
图2为一个实施例中电力***信息网络受攻击风险评估方法的流程示意图;
图3为一个具体实施例中对安全态势数据进行监测的示意图;
图4为另一个具体实施例中对安全态势数据进行监测的示意图;
图5为一个具体实施例中各类安全态势数据的扭转关系的示意图;
图6为一个具体实施例中电力***信息网络的***架构示意图;
图7为一个实施例中电力***信息网络受攻击风险评估装置的结构框图;
图8为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
需要说明的是,本申请所涉及的各类安全态势数据,均为经过各方充分授权的信息和数据。在一个实施例中,本申请提供的电力***信息网络受攻击风险评估方法,可以应用于如图1所示的应用环境中。其中,终端102、终端106通过网络与服务器104进行通信。数据存储***可以存储服务器104需要处理的数据。数据存储***可以集成在服务器104上,也可以放在云上或其他网络服务器上。
具体地,终端102与终端106之间、终端102与服务器104之间、终端106与服务器104之间通过数据传输通路进行数据传输,在多个数据传输通路上设置有风险点。服务器104从电力***信息网络的多个风险点中确定目标风险点,获取目标风险点的目标安全态势数据,并确定目标安全态势数据中的目标安全指标,根据目标安全指标的指标变化参数,确定目标安全指标的风险程度参数;若目标安全指标的风险程度参数满足参数量化条件,计算目标安全指标的风险量化参数;基于目标安全指标的风险程度参数、以及风险量化参数,确定目标风险点的攻击风险评估结果。从而,服务器104可以根据攻击风险评估结果对数据传输的安全性进行全面的分析与监测。
其中,终端102、终端106可以是设置在电力***信息网络中的终端,可以但不限于是各种台式计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,便携式可穿戴设备可为智能手表、智能手环等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种电力***信息网络受攻击风险评估方法,以该方法应用于图1中的服务器104为例进行说明,包括以下步骤:
步骤S202,获取目标风险点的目标安全态势数据。
电力***信息网络的多种设备之间可以通过数据传输通路进行数据传输,在数据传输过程中,数据传输关键点可能会存在遭受攻击的攻击风险,因此,可以对数据传输关键点的数据进行全面的监测与分析,以对当前以及未来将出现的可能性威胁进行判断与预警,从而,形成覆盖全面的电力***信息网络的安全态势的评估支撑。
其中,将电力***信息网络中的数据传输关键点称为风险点,风险点的传输数据称为安全态势数据。将需要进行攻击风险评估的风险点称为目标风险点,将该目标风险点的传输数据称为目标安全态势数据。
一个实施例中,为了形成覆盖全面的电力***信息网络的安全态势的评估支撑,电力***信息网络中可以根据实际技术需要设置多个数据监测点,每个数据监测点均可以监测得到相应的安全态势数据。对多个数据监测点的多种监测要素的安全态势数据进行全面监测。监测要素包括终端安全态势监测、数据安全态势监测、攻击安全态势监测、文件安全态势监测、流量安全态势监测、应用安全态势监测等。各监测要素及其对应的采集方式如下表所示:
序号 监测要素 要素采集方式
1 终端安全态势监测 终端Agent
2 数据安全态势监测 终端Agent、DPI
3 攻击安全态势监测 DPI、日志解析
4 文件安全态势监测 DPI、沙箱
5 流量安全态势监测 DPI、DFI
6 应用安全态势监测 扫描
其中,终端Agent是指终端软件或硬件实体。DPI(Deep Packet Inspection)是指基于数据包的深度检测技术,针对不同的网络应用层载荷进行深度检测,通过对报文的有效载荷检测决定其合法性。在数据安全态势监测过程中,终端数据泄露采集应用Agent采集方式、网络数据泄露采集DPI方式。日志解析(log parsing)是指把非结构化的日志转化为结构化的日志,用于后续的日志挖掘。沙箱(Sandboxie)是虚拟***程序,一般通过拦截***调用,监视程序行为,并依据用户定义的策略来控制和限制程序对计算机资源的使用,比如改写注册表,读写磁盘等。DFI(Deep Flow Inspection)是指基于流量行为的应用识别技术,以流为基本研究对象,从庞大的网络流数据中提取流的特征,比如流大小、流速度等。扫描是指是指手工地或使用特定的自动软件工具,对***风险进行评估,用以寻找可能对***造成损害的安全漏洞。
一个实施例中,请参阅图3,可以通过多种安全数据源对多种类型的安全态势数据进行采集与监测。安全数据源包括主机设备、网络设备、安全设备、云平台与移动应用,通过采用终端Agent、DPI、日志解析以及扫描的方式,实现终端安全态势监测、数据安全态势监测、攻击安全态势监测、文件安全态势监测、流量安全态势监测、应用安全态势监测,从而,可以通过消息队列将监测的数据分发至相应的平台进行数据处理,在具体的示例中,可以发送至***、自动化运维、流程平台、IT监控、智能呼叫、业务运行监控平台、资源全景监控、安运在线、IT资源管理等平台。
根据上述的多种监测要素,可获得的安全态势数据可以包括以下几种类型:终端安全态势数据、数据安全态势数据、攻击安全态势数据、文件安全态势数据、流量安全态势数据、应用安全态势数据等。则目标安全态势数据为上述各类型的安全态势数据中的至少一种。
一个实施例中,针对电力***信息网络中不同IT资产进行全方位的安全态势数据监测,主要涵盖原始日志、流量日志、指标数据、配套工具监测数据、各类业务融合数据等,构建出全维度态势感知监测视角。
具体地,请参阅图4,可以对安全设备、网络设备的日志、流量等进行监测,日志监测主要包括:攻击信息监测、告警信息监测、日志监测、VPN监测、蜜罐监测,在存在攻击风险时进行IP封锁。流量监测主要包括:流量监测、应用监测、恶意文件监测、网络数据防泄漏监测等。对主机设备进行监测,主要包括:基线核查、主机监测、漏洞补丁监测与业务***监测。对终端设备进行监测主要包括:终端监测、终端数据防泄漏,对终端设备的终端软件进行监测,主要包括终端软件白名单中的软件信息进行监测。
一个实施例中,通过对电力***信息网络进行全方位的监测,得到多种类型的安全态势数据,各类安全态势数据的扭转关系,请参阅图5,通过数据监测的配套工具,对多种类型的安全态势数据通过安全监测平台进行安全监测,通过各类管理平台对安全态势数据进行统一管理。
具体地,数据监测的配套工具主要包括:终端安全***、互联网安全监控、恶意文件检测设备、终端数据防泄漏、基线核查***、流量分析***、网络安全漏洞库、网络数据防泄漏等工具。
通过上述的数据监测的配套工具,对各类数据监测指标进行相应的安全监测,得到各类安全态势数据。数据监测指标主要包括:配套***应用日志、终端安全指标、恶意文件检测指标、终端数据防泄漏指标、基线核查***指标、流量分析***指标、网络安全漏洞库指标、网络数据防泄漏指标等。安全监测平台对数据的安全监测主要包括以下方面:终端安全检测预警、安全告警、互联网应用安全预警、流量监测预警、网络安全监测预警、数据监测预警、用户信息、组织结构、用户登录、CMDB配置信息、权限管理、安全数据等。其中,CMDB(Configuration Management Database)是指配置管理数据库,包含了配置项全生命周期的信息以及配置项之间的关系,包括物理关系、实时通信关系、非实时通信关系和依赖关系。
在得到各类安全态势数据后,通过各类平台对安全态势数据进行统一管理。平台主要包括基础平台、运维流程管理、IT监控、可视化、统一门户等。其中,基础平台涵盖有用户登录、用户信息、组织信息、CMBD、权限管理、短信通知等多项功能,安全监测平台监测的安全态势数据回写至基础平台中进行存储,主要包括:登录校验数据、通知发送数据与资产安全配置属性等,基础平台中的数据也可以与安全监测平台监测的安全态势数据进行同步,主要包括:用户信息同步、组织结构同步、CMDB信息同步、权限信息同步等。运维流程管理主要对安全告警转工单进行管理,包括处理安全告警转工单并将转工单的处理结果与安全监测平台监测的安全态势数据进行同步。IT监控主要对安全监测平台推送的桌面、防病毒指标数据进行监控。可视化主要对安全监测平台推送的各项安全监测指标进行可视化管理。统一门户主要对安全监测平台推送的安全公告消息、攻击数、安全告警、待办事项进行统一管理。
具体地,可以根据各数据监测点的属性信息,属性信息包括但不限于是该数据监测点所处的位置、所监测的安全态势数据的数据类型等信息,从多个数据监测点中确定出数据传输关键点,并将其作为目标风险点。从而,获取该目标风险点的目标安全态势数据。
步骤S204,确定目标安全态势数据中的目标安全指标,根据目标安全指标的指标变化参数,确定目标安全指标的风险程度参数。
安全态势数据中包含有多项安全指标。目标安全指标是指表征该目标安全态势数据的变化情况的安全指标。目标安全指标的指标变化参数是指该目标安全指标在被攻击或疑似被攻击之前的指标数据、以及在被攻击或疑似被攻击之后的指标数据。风险程度参数用于表征该目标安全态势数据所对应的目标风险点的被攻击风险程度。
根据安全指标所表征的数据细化程度不同,安全指标可以设置有多个维度或级别,具体可以根据实际技术需要进行设置。在一个具体示例中,目标安全态势数据可以是攻击安全态势数据,攻击安全态势数据的目标安全指标可以是网络吞吐量指标,网络吞吐量指标又可以用信道利用率指标以及网络延迟指标表征,因此,网络吞吐量指标可以称为攻击安全态势数据的一级指标,信道利用率指标以及网络延迟指标可以称为攻击安全态势数据的二级指标。可以理解的是,目标安全指标也可以称为目标安全态势数据的一级指标。
具体地,确定出目标安全态势数据中的目标安全指标之后,可以根据该目标安全指标在被攻击或疑似被攻击之前的指标数据、以及在被攻击或疑似被攻击之后的指标数据,计算确定目标安全指标的风险程度参数。
在一个实施例中,可以计算出目标安全指标所对应的网络熵,采用网络熵表征目标安全指标的风险程度参数。其中,网络熵能够描述网络的安全性,其值越小,说明网络越安全。
步骤S206,若目标安全指标的风险程度参数满足参数量化条件,计算目标安全指标的风险量化参数。
在一个实施例中,在计算确定出目标安全指标的风险程度参数后,还需要基于该风险程度参数确定是否满足参数量化条件,即是否需要进行下一步计算处理。其中,参数量化条件是指目标安全指标的风险程度参数所需要满足的进行下一步处理的条件,具体可以根据实际技术需要进行设置。
具体地,可以确定目标安全指标所匹配的预定风险程度参数,若目标安全指标的风险程度参数大于预定风险程度参数,确定目标安全指标的风险程度参数满足参数量化条件。此时,需要进一步进行量化处理,确定出目标安全指标所表征的风险程度。若目标安全指标的风险程度参数小于或等于预定风险程度参数,确定目标风险点不存在攻击风险,无需后续处理。其中,预定风险程度参数也可以根据实际技术需要进行设置,一个具体的示例中,可以设置为0。
在一个实施例中,量化处理的方式可以根据实际技术需要确定,在本实施例中,可以确定出目标安全指标的子安全指标,通过计算出子安全指标所对应的网络熵,对目标安全指标进行风险量化。其中,目标安全指标的子安全指标也即目标安全态势数据所匹配的二级指标。在一个具体示例中,网络吞吐量指标的子安全指标为信道利用率指标以及网络延迟指标。
步骤S208,基于目标安全指标的风险程度参数、以及风险量化参数,确定目标风险点的攻击风险评估结果。
具体地,在计算确定出目标安全指标的风险程度参数、以及风险量化参数之后,即可确定出目标风险点的攻击风险评估结果,从而,后续可以根据目标风险点的攻击风险评估结果,采取相应的风险应对措施或防范措施。
上述电力***信息网络受攻击风险评估方法中,通过获取目标风险点的目标安全态势数据;确定目标安全态势数据中的目标安全指标,根据目标安全指标的指标变化参数,确定目标安全指标的风险程度参数,从而,若目标安全指标的风险程度参数满足参数量化条件,计算目标安全指标的风险量化参数,进而,基于目标安全指标的风险程度参数、以及风险量化参数,确定目标风险点的攻击风险评估结果。采用上述实施例的方式,能够通过风险程度参数描述攻击风险,通过风险量化参数可以对攻击风险进行定量描述,提高对目标风险点遭受的攻击风险进行评估的评估效率。
在一个实施例中,确定出目标安全态势数据中的目标安全指标,以对目标安全态势数据进行深层次挖掘与应用,其中,步骤S204中确定目标安全态势数据中的目标安全指标,可以具体包括:
步骤S302,对目标安全态势数据进行指标分析,确定目标安全态势数据所包含的各安全指标、以及各安全指标的指标属性信息。
一个实施例中,可以预先设置不同类型的安全态势数据所包含的安全指标,并将安全态势数据与安全指标的关联关系进行对应存储。从而,可以根据安全态势数据与安全指标的关联关系,对目标安全态势数据进行指标分析,确定目标安全态势数据所包含的各安全指标,并确定出各安全指标的指标属性信息。其中,指标属性信息包括但不限于是该安全指标的指标数据变化幅度、指标数据变化速度、危害程度等级等信息。
一个实施例中,还可以是响应于针对目标安全态势数据的安全指标配置操作,从而,确定目标安全态势数据所包含的各安全指标,并确定各安全指标的指标属性信息。具体地,安全指标配置操作可以是用户对目标安全态势数据进行指标分析之后进行的配置操作。从而,可以基于该安全指标配置操作进行安全指标的确定。
步骤S304,根据指标属性信息,确定各安全指标各自对应的重要性参数。
一个实施例中,重要性参数用于表征安全指标的重要性程度,可以用具体的数值表示,安全指标的重要性程度越高,重要性参数的数值越大。可以根据指标属性信息,确定各安全指标各自对应的重要性参数。具体地,安全指标的指标数据变化幅度越大、指标数据变化速度越快、危害程度等级越高,该表示安全指标越重要,对应的重要性参数的数值越大。
步骤S306,基于重要性参数,从各安全指标中确定出目标安全指标。
一个实施例中,可以根据各安全指标对应的重要性参数,按照降序的顺序对各安全指标进行排序,选择排序在前的预定数目个安全指标,作为目标安全指标。其中,预定数目可以根据实际技术需要进行设置。例如,可以设置为一个,也可以设置为多个。
需要说明的是,若目标安全指标存在多个,依次针对于各个目标安全指标,执行本申请实施例的方式,综合多个目标安全指标所对应的风险程度参数、以及风险量化参数进行攻击风险评估即可。
本实施例中,通过提取确定出目标安全态势数据的各安全指标,并对安全指标的重要性进行排序之后确定出目标安全指标,可以剔除不重要的安全指标,选择具有代表性、重要程度更高的安全指标进行计算处理,能够有效提高数据处理效率,并提高攻击风险评估的准确性。
在一个实施例中,步骤S204中根据目标安全指标的指标变化参数,确定目标安全指标的风险程度参数,包括:
步骤S402,确定目标安全指标的指标变化前参数、以及指标变化后参数。
步骤S404,计算指标变化前参数与指标变化后参数的指标商。
步骤S406,确定指标商的对数值,并将对数值的相反数,确定为目标安全指标的风险程度参数。
具体地,可以将目标安全指标的指标变化前参数表示为λ1,将目标安全指标的指标变化前参数表示为λ2。则指标变化前参数与指标变化后参数的指标商表示为λ21。将目标安全指标的风险程度参数,也即目标安全指标的网络熵,表示为ΔY,计算公式如下:
ΔY=-log221)
在一个具体示例中,目标安全指标为网络吞吐量指标,将该目标安全指标的风险程度参数表示为ΔYs,则风险程度参数表示为:
ΔYs=-log2(Q2/Qg)-(-log2(Q1/Qg))=-log2(Q2/Q1)
其中,Qg表示网络最大吞吐量,Q1、Q2分别表示受到攻击前后的指标变化前吞吐量与指标变化后吞吐量。确定该目标安全指标所匹配的预定风险程度参数为0,若ΔYs的计算结果为0,表明网络攻击未造成任何威胁,则无需后续计算。若ΔYs的计算结果大于0,则确定满足参数量化条件。
在一个实施例中,若目标安全指标的风险程度参数满足参数量化条件,还需要计算目标安全指标的风险量化参数,具体包括:
步骤S502,确定目标安全指标所包含的多个子安全指标。
其中,目标安全指标的子安全指标也即目标安全态势数据所匹配的二级指标。具体地,确定目标安全指标所包含的多个子安全指标。
步骤S504,针对于每一子安全指标,根据子安全指标的子指标变化前参数、以及子指标变化后参数,确定子安全指标各自对应的子量化参数。
子安全指标所各自对应的网络熵,称为子安全指标所各自对应的子量化参数,此处的网络熵的计算方式,与步骤S402至步骤S406的计算方式相同。可以将子量化参数表示为ΔYi′。
需要说明的是,子安全指标的子指标变化前参数、以及子安全指标的变化后参数,需要结合该子安全指标的指标类型确定。
在一个具体示例中,当子安全指标为信道利用率指标,则需要根据每个采样周期内传送数据的总量、网络带宽以及数据包传输时间间隔,计算确定初始子指标变化前参数、以及初始子指标变化后参数,而后,对初始子指标变化前参数、以及初始子指标变化后参数进行归一化处理,分别确定出子指标变化前参数、以及子指标变化后参数。具体地,初始子指标变化前后参数计算公式如下:
Pi=[Ni/Ti]/N
其中,Ni表示第i个采样时间内传送数据的总量,N表示网络带宽;Ti表示数据包传输时间间隔。
将受到网络攻击前的信道利用率指标表示为P1,受到网络攻击后的信道利用率指标表示为P2,则将这两个参数进行归一化处理后,即可计算得到信道利用率指标所对应的子量化参数,具体表示为ΔYu′,计算公式如下:
ΔYu′=-log2P2-(-log2P1)=-log2(P2/P1)
在一个具体示例中,当子安全指标为网络延迟指标,则需要根据数据包传输时间间隔,计算确定初始子指标变化前参数、以及初始子指标变化后参数,而后,对初始子指标变化前参数、以及初始子指标变化后参数进行归一化处理,分别确定出子指标变化前参数、以及子指标变化后参数。具体地,初始子指标变化前后参数计算公式如下:
Ti=TR(i)-TT(i)
其中,TR(i)和TT(i)分别表示数据包发送和接收的时间戳。
经过归一化处理后,子指标变化前后参数表示为:
其中,T表示实际时延,T0表示初始时延,δ0表示参量预设值。
将受到网络攻击前的网络延迟指标表示为δ1,受到网络攻击后的网络延迟指标表示为δ2,计算网络延迟指标所对应的子量化参数,表示为ΔYδ′,计算公式如下:
ΔYδ′=-log2δ2-(-log2δ1)=-log221)
步骤S506,确定各子安全指标各自匹配的指标权重。
具体地,根据实际技术需要,预设了不同类型的子安全指标所匹配的指标权重,因此,可以根据预设的不同类型的子安全指标所匹配的指标权重,确定各子安全指标各自匹配的指标权重。其中,可以将指标权重表示为wi
步骤S508,根据子安全指标的子量化参数和指标权重,对各子安全指标进行加权求和,得到目标安全指标的风险量化参数。
具体地,分别将子安全指标的子量化参数与该子安全指标所匹配的指标权重进行相乘处理,并将所有的子安全指标进行了相乘处理之后再进行求和处理,即可得到目标安全指标的风险量化参数。其中,可以将目标安全指标的风险量化参数表示为ΔYi,则计算公式表示为:
在一个具体示例中,目标安全指标的子安全指标包括信道利用率指标与网络延迟指标,将信道利用率指标的指标权重表示为wu,将网路延迟指标的指标权重表示为wδ,则该目标安全指标的风险量化参数表示为:
ΔYi=wu×ΔY′u+wδ×ΔY′δ
本实施例中,通过计算目标安全指标的风险量化参数,以对目标安全指标多对应的风险程度进行定量描述,该风险量化参数的数值越大,表示该目标点的安全风险越大,有利于提高对于目标风险点进行攻击风险评估的效率。
在一个实施例中,可以根据风险量化参数以及风险程度参数的具体数值,分级描述攻击风险,以便于采取与攻击风险相匹配的防范措施。具体地,基于目标安全指标的风险程度参数、以及风险量化参数,确定目标风险点的攻击风险评估结果,攻击风险的分级描述可以具体包括:
若风险量化参数小于第一量化值,且风险程度参数小于第一程度值,确定目标风险点的攻击风险为可忽略攻击。
若风险量化参数大于第一量化值且小于第二量化值,且风险程度参数大于第一程度值且小于第二程度值,确定目标风险点的攻击风险为轻微攻击。第一量化值小于第二量化值,第一程度值小于第二程度值。
若风险量化参数大于第二量化值且小于第三量化值,且风险程度参数大于第二程度值且小于第三程度值,确定目标风险点的攻击风险为中等攻击。第二量化值小于第三量化值,第二程度值小于第三程度值。
若风险量化参数大于第三量化值且小于第四量化值,且风险程度参数大于第三程度值且小于第四程度值,确定目标风险点的攻击风险为轻微严重攻击。第三量化值小于第四量化值,第三程度值小于第四程度值。
若风险量化参数大于第四量化值且小于第五量化值,且风险程度参数大于第四程度值且小于第五程度值,确定目标风险点的攻击风险为中等严重攻击。第四量化值小于第五量化值,第四程度值小于第五程度值。
若风险量化参数大于第五量化值,且风险程度参数大于第五程度值,确定目标风险点的攻击风险为严重攻击。
其中,上述的各项第一量化值、第二量化值、第三量化值、第四量化值、第五量化值、第一程度值、第二程度值、第三程度值、第四程度值与第五程度值,均可以根据实际技术需要进行设置。此外,还可以根据实际技术需要设置更多或者更少的级别,上述的级别设置仅作为其中一个实施例进行举例。
在一个具体示例中,目标安全指标为网络吞吐量指标,网络吞吐量指标的子安全指标为信道利用率指标与网络延迟指标,目标安全指标的风险程度参数为ΔYs,风险量化参数为ΔYi,将第一量化值设置为0.05、第二量化值设置为0.25、第三量化值设置为1.00、第四量化值设置为1.75、第五量化值设置为3.30、第一程度值设置为5%、第二程度值设置为20%、第三程度值设置为50%、第四程度值设置为70%、第五程度值设置为90%。则攻击风险的分级描述可以具体包括:
当ΔYi<0.05,且ΔYS<5%,说明攻击风险为几乎没有被攻击,可忽略;
当0.05<ΔYi<0.25,且5%<ΔYS<20%,说明攻击风险为轻微攻击;
当0.25<ΔYi<1.00,且20%<ΔYS<50%,说明攻击风险为中等攻击;
当1.00<ΔYi<1.75,且50%<ΔYS<70%,说明攻击风险为轻微严重攻击;
当1.75<ΔYi<3.30,且70%<ΔYS<90%,说明攻击风险为中等严重攻击;
当ΔYi>3.30,且ΔYS>90%,说明攻击风险为严重攻击,网络几乎瘫痪。
本实施例中,通过对攻击风险进行分级评估,可以提高评估效率,根据评估出的等级,还可以提高确定防范措施的效率,提高整个电力***信息网络的安全性。
以下结合附图及一个具体实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个具体实施例中,将本申请实施例的电力***信息网络受攻击风险评估方法应用于电力***信息网络,从所有应用全覆盖、所有威胁全覆盖的角度,以网络区域及各区域面临网络安全风险维度,确定多个安全态势数据的数据采集点,实现电力***信息网络的网络安全态势全要素感知,对采集到的安全态势数据进行进一步处理,以实时进行攻击风险评估,从而,在后续形成覆盖全面的电力***信息网络的安全态势的评估支撑,提高整个电力***信息网络的安全性。
请参阅图6,电力***信息网络的***架构中包括电力监控***、互联网数据中心(Intemet Data Center,IDC)、综合数据网、互联网接入区以及互联网,其中涉及到办公局域网与内外网交换平台。该***架构中设置有4个主要风险点,具体包括:
风险点1:来至互联网对公司外部应用的破环性攻击、数据窃取、内容篡改等行为;风险点2:公司各业务应用存在潜在的漏洞、弱口令、控制权限等问题,被内外部人员利用;风险点3:内外部人员恶意违反、绕过或穿透已部署的安全防护设备、防护策略定义的访问控制;风险点4:办公局域网中各类终端的违规访问、违规使用介质、失陷控制、病毒蔓延等威胁。
根据该***架构,预先确定各风险点下的多种类型的监测场景的安全态势数据的采集、监测与分析、危害程度等信息,主要包括针对攻击入侵、漏洞利用、访问控制、僵木蠕事件、操作***异常等5大类21个子类场景的安全态势数据采集、监测与分析。具体如下表所示:
/>
其中,危害程度所对应的数值越大,表示危害程度越高。以上述场景中的攻击入侵、来自互联网攻击这一场景为例,确定电力***信息网络的目标风险点为风险点1,此时的目标安全态势数据为攻击安全态势数据。针对于该风险点的电力***信息网络受攻击风险评估方法具体包括以下步骤:
获取目标风险点的目标安全态势数据;一个实施例中,获取风险点1中的攻击安全态势数据。
确定目标安全态势数据中的目标安全指标;一个实施例中,对攻击安全态势数据进行指标分析,确定攻击安全态势数据所包含的各安全指标、以及各安全指标的指标属性信息;根据指标属性信息,确定各安全指标各自对应的重要性参数;基于重要性参数对各安全指标进行排序,从各安全指标中确定出重要性排在最前的一个安全指标作为目标安全指标,目标安全指标包括网络吞吐量指标。
根据目标安全指标的指标变化参数,确定目标安全指标的风险程度参数;一个实施例中,目标安全指标为网络吞吐量指标,将该目标安全指标的风险程度参数表示为ΔYs,则风险程度参数表示为:
ΔYs=-log2(Q2/Qg)-(-log2(Q1/Qg))=-log2(Q2/Q1)
其中,Qg表示网络最大吞吐量,Q1、Q2分别表示受到攻击前后的指标变化前吞吐量与指标变化后吞吐量。
确定该网络吞吐量指标所匹配的预定风险程度参数为0,若ΔYs的计算结果为0,表明网络攻击未造成任何威胁,则无需后续计算。若ΔYs的计算结果大于0,则确定满足参数量化条件,继续执行下述步骤。
计算目标安全指标的风险量化参数;一个实施例中,确定网络吞吐量指标的子安全指标包括信道利用率指标与网络延迟指标。
对于信道利用率指标,根据每个采样周期内传送数据的总量、网络带宽以及数据包传输时间间隔,计算确定初始子指标变化前参数、以及初始子指标变化后参数,而后,对初始子指标变化前参数、以及初始子指标变化后参数进行归一化处理,分别确定出子指标变化前参数、以及子指标变化后参数。具体地,初始子指标变化前后参数计算公式如下:
Pi=[Ni/Ti]/N
其中,Ni表示第i个采样时间内传送数据的总量,N表示网络带宽;Ti表示数据包传输时间间隔。
将受到网络攻击前的信道利用率指标表示为P1,受到网络攻击后的信道利用率指标表示为P2,则将这两个参数进行归一化处理后,即可计算得到信道利用率指标所对应的子量化参数,具体表示为ΔYu′,计算公式如下:
ΔYu′=-log2P2-(-log2P1)=-log2(P2/P1)
对于网络延迟指标,根据数据包传输时间间隔,计算确定初始子指标变化前参数、以及初始子指标变化后参数,而后,对初始子指标变化前参数、以及初始子指标变化后参数进行归一化处理,分别确定出子指标变化前参数、以及子指标变化后参数。具体地,初始子指标变化前后参数计算公式如下:
Ti=TR(i)-TT(i)
其中,TR(i)和TT(i)分别表示数据包发送和接收的时间戳。
经过归一化处理后,子指标变化前后参数表示为:
其中,T表示实际时延,T0表示初始时延,δ0表示参量预设值。
将受到网络攻击前的网络延迟指标表示为δ1,受到网络攻击后的网络延迟指标表示为δ2,计算网络延迟指标所对应的子量化参数,表示为ΔYδ′,计算公式如下:
ΔYδ′=-log2δ2-(-log2δ1)=-log221)
确定信道利用率指标的指标权重为wu,网路延迟指标的指标权重为wδ,则该网络吞吐量指标的风险量化参数表示为:
ΔYi=wu×ΔY′u+wδ×ΔY′δ
基于目标安全指标的风险程度参数、以及风险量化参数,确定目标风险点的攻击风险评估结果。一个实施例中,当ΔYi<0.05,且ΔYS<5%,说明攻击风险为几乎没有被攻击,可忽略;当0.05<ΔYi<0.25,且5%<ΔYS<20%,说明攻击风险为轻微攻击;当0.25<ΔYi<1.00,且20%<ΔYS<50%,说明攻击风险为中等攻击;当1.00<ΔYi<1.75,且50%<ΔYS<70%,说明攻击风险为轻微严重攻击;当1.75<ΔYi<3.30,且70%<ΔYS<90%,说明攻击风险为中等严重攻击;当ΔYi>3.30,且ΔYS>90%,说明攻击风险为严重攻击,网络几乎瘫痪。从而,后续可以根据该目标风险点的攻击风险评估结果,及时采取与攻击风险相匹配的防范措施,进一步还提高整个电力***信息网络的安全性。
应该理解的是,虽然如上所述的各实施例涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请还提供了一种用于实现上述涉及的电力***信息网络受攻击风险评估方法的电力***信息网络受攻击风险评估装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个电力***信息网络受攻击风险评估装置实施例中的具体限定可以参见上文中对于电力***信息网络受攻击风险评估方法的限定,在此不再赘述。
在一个实施例中,如图7所示,提供了一种电力***信息网络受攻击风险评估装置700,包括:获取模块710、计算模块720、量化模块730和评估模块740,其中:
获取模块710,用于获取目标风险点的目标安全态势数据。
计算模块720,用于确定所述目标安全态势数据中的目标安全指标,根据所述目标安全指标的指标变化参数,确定所述目标安全指标的风险程度参数。
量化模块730,用于若所述目标安全指标的风险程度参数满足参数量化条件,计算所述目标安全指标的风险量化参数。
评估模块740,用于基于所述目标安全指标的所述风险程度参数、以及所述风险量化参数,确定所述目标风险点的攻击风险评估结果。
在一个实施例中,所述计算模块720,还用于对所述目标安全态势数据进行指标分析,确定所述目标安全态势数据所包含的各安全指标、以及各所述安全指标的指标属性信息;根据所述指标属性信息,确定各所述安全指标各自对应的重要性参数;基于所述重要性参数,从各所述安全指标中确定出所述目标安全指标。
在一个实施例中,所述计算模块720,还用于确定所述目标安全指标的指标变化前参数、以及指标变化后参数;计算所述指标变化前参数与所述指标变化后参数的指标商;确定所述指标商的对数值,并将所述对数值的相反数,确定为所述目标安全指标的风险程度参数。
在一个实施例中,所述量化模块730,还用于确定所述目标安全指标所匹配的预定风险程度参数;若所述目标安全指标的风险程度参数大于所述预定风险程度参数,确定所述目标安全指标的风险程度参数满足参数量化条件;若所述目标安全指标的风险程度参数小于或等于所述预定风险程度参数,确定所述目标风险点不存在攻击风险。
在一个实施例中,所述量化模块730,还用于确定所述目标安全指标所包含的多个子安全指标;针对于每一所述子安全指标,根据所述子安全指标的子指标变化前参数、以及子指标变化后参数,确定所述子安全指标各自对应的子量化参数;确定各所述子安全指标各自匹配的指标权重;根据所述子安全指标的所述子量化参数和所述指标权重,对各所述子安全指标进行加权求和,得到所述目标安全指标的风险量化参数。
在一个实施例中,所述评估模块740,用于若所述风险量化参数小于第一量化值,且所述风险程度参数小于第一程度值,确定所述目标风险点的攻击风险为可忽略攻击;若所述风险量化参数大于所述第一量化值且小于第二量化值,且所述风险程度参数大于所述第一程度值且小于第二程度值,确定所述目标风险点的攻击风险为轻微攻击;所述第一量化值小于所述第二量化值,所述第一程度值小于所述第二程度值;若所述风险量化参数大于所述第二量化值且小于第三量化值,且所述风险程度参数大于所述第二程度值且小于第三程度值,确定所述目标风险点的攻击风险为中等攻击;所述第二量化值小于所述第三量化值,所述第二程度值小于所述第三程度值;若所述风险量化参数大于所述第三量化值且小于第四量化值,且所述风险程度参数大于所述第三程度值且小于第四程度值,确定所述目标风险点的攻击风险为轻微严重攻击;所述第三量化值小于所述第四量化值,所述第三程度值小于所述第四程度值;若所述风险量化参数大于所述第四量化值且小于第五量化值,且所述风险程度参数大于所述第四程度值且小于第五程度值,确定所述目标风险点的攻击风险为中等严重攻击;所述第四量化值小于所述第五量化值,所述第四程度值小于所述第五程度值;若所述风险量化参数大于所述第五量化值,且所述风险程度参数大于所述第五程度值,确定所述目标风险点的攻击风险为严重攻击。
上述电力***信息网络受攻击风险评估装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图8所示。该计算机设备包括通过***总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作***、计算机程序和数据库。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的数据库用于存储电力***信息网络受攻击风险评估数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种电力***信息网络受攻击风险评估方法。
本领域技术人员可以理解,图8中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述的方法的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述的方法的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述的方法的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种电力***信息网络受攻击风险评估方法,其特征在于,所述方法包括:
获取目标风险点的目标安全态势数据;
对所述目标安全态势数据进行指标分析,确定所述目标安全态势数据所包含的各安全指标、以及各所述安全指标的指标属性信息,其中,所述指标属性信息包括指标数据变化幅度、指标数据变化速度和危害程度;
根据所述指标属性信息,确定各所述安全指标各自对应的重要性参数;
基于所述重要性参数,从各所述安全指标中确定出目标安全指标,确定所述目标安全指标的指标变化前参数、以及指标变化后参数;
计算所述指标变化前参数与所述指标变化后参数的指标商;
确定所述指标商的对数值,并将所述对数值的相反数,确定为所述目标安全指标的风险程度参数,其中,所述风险程度参数用于确定是否需要对所述目标安全指标进行风险量化处理;
若所述目标安全指标的风险程度参数满足参数量化条件,确定所述目标安全指标所包含的多个子安全指标;
针对于每一所述子安全指标,根据所述子安全指标的子指标变化前参数、以及子指标变化后参数,确定所述子安全指标各自对应的子量化参数,其中,所述子量化参数是指各所述子安全指标各自对应的网络熵;
确定各所述子安全指标各自匹配的指标权重;
根据所述子安全指标的所述子量化参数和所述指标权重,对各所述子安全指标进行加权求和,得到所述目标安全指标的风险量化参数;
基于所述目标安全指标的所述风险程度参数、以及所述风险量化参数,确定所述目标风险点的攻击风险评估结果。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述目标安全指标所匹配的预定风险程度参数;
若所述目标安全指标的风险程度参数大于所述预定风险程度参数,确定所述目标安全指标的风险程度参数满足参数量化条件;
若所述目标安全指标的风险程度参数小于或等于所述预定风险程度参数,确定所述目标风险点不存在攻击风险。
3.根据权利要求1所述的方法,其特征在于,所述基于所述目标安全指标的所述风险程度参数、以及所述风险量化参数,确定所述目标风险点的攻击风险评估结果,包括:
若所述风险量化参数小于第一量化值,且所述风险程度参数小于第一程度值,确定所述目标风险点的攻击风险为可忽略攻击;
若所述风险量化参数大于所述第一量化值且小于第二量化值,且所述风险程度参数大于所述第一程度值且小于第二程度值,确定所述目标风险点的攻击风险为轻微攻击;所述第一量化值小于所述第二量化值,所述第一程度值小于所述第二程度值;
若所述风险量化参数大于所述第二量化值且小于第三量化值,且所述风险程度参数大于所述第二程度值且小于第三程度值,确定所述目标风险点的攻击风险为中等攻击;所述第二量化值小于所述第三量化值,所述第二程度值小于所述第三程度值;
若所述风险量化参数大于所述第三量化值且小于第四量化值,且所述风险程度参数大于所述第三程度值且小于第四程度值,确定所述目标风险点的攻击风险为轻微严重攻击;所述第三量化值小于所述第四量化值,所述第三程度值小于所述第四程度值;
若所述风险量化参数大于所述第四量化值且小于第五量化值,且所述风险程度参数大于所述第四程度值且小于第五程度值,确定所述目标风险点的攻击风险为中等严重攻击;所述第四量化值小于所述第五量化值,所述第四程度值小于所述第五程度值;
若所述风险量化参数大于所述第五量化值,且所述风险程度参数大于所述第五程度值,确定所述目标风险点的攻击风险为严重攻击。
4.根据权利要求1所述的方法,其特征在于,所述目标安全态势数据包括终端安全态势数据、数据安全态势数据、攻击安全态势数据、文件安全态势数据、流量安全态势数据和应用安全态势数据中的至少一种。
5.一种电力***信息网络受攻击风险评估装置,其特征在于,所述装置包括:
获取模块,用于获取目标风险点的目标安全态势数据;
计算模块,用于对所述目标安全态势数据进行指标分析,确定所述目标安全态势数据所包含的各安全指标、以及各所述安全指标的指标属性信息,其中,所述指标属性信息包括指标数据变化幅度、指标数据变化速度和危害程度;根据所述指标属性信息,确定各所述安全指标各自对应的重要性参数;基于所述重要性参数,从各所述安全指标中确定出目标安全指标,确定所述目标安全指标的指标变化前参数、以及指标变化后参数;计算所述指标变化前参数与所述指标变化后参数的指标商;确定所述指标商的对数值,并将所述对数值的相反数,确定为所述目标安全指标的风险程度参数,其中,所述风险程度参数用于确定是否需要对所述目标安全指标进行风险量化处理;
量化模块,用于若所述目标安全指标的风险程度参数满足参数量化条件,确定所述目标安全指标所包含的多个子安全指标;针对于每一所述子安全指标,根据所述子安全指标的子指标变化前参数、以及子指标变化后参数,确定所述子安全指标各自对应的子量化参数,其中,所述子量化参数是指各所述子安全指标各自对应的网络熵;确定各所述子安全指标各自匹配的指标权重;根据所述子安全指标的所述子量化参数和所述指标权重,对各所述子安全指标进行加权求和,得到所述目标安全指标的风险量化参数;
评估模块,用于基于所述目标安全指标的所述风险程度参数、以及所述风险量化参数,确定所述目标风险点的攻击风险评估结果。
6.根据权利要求5所述的装置,其特征在于,所述计算模块还用于确定所述目标安全指标所匹配的预定风险程度参数;若所述目标安全指标的风险程度参数大于所述预定风险程度参数,确定所述目标安全指标的风险程度参数满足参数量化条件;若所述目标安全指标的风险程度参数小于或等于所述预定风险程度参数,确定所述目标风险点不存在攻击风险。
7.根据权利要求5所述的装置,其特征在于,所述评估模块还用于若所述风险量化参数小于第一量化值,且所述风险程度参数小于第一程度值,确定所述目标风险点的攻击风险为可忽略攻击;若所述风险量化参数大于所述第一量化值且小于第二量化值,且所述风险程度参数大于所述第一程度值且小于第二程度值,确定所述目标风险点的攻击风险为轻微攻击;所述第一量化值小于所述第二量化值,所述第一程度值小于所述第二程度值;若所述风险量化参数大于所述第二量化值且小于第三量化值,且所述风险程度参数大于所述第二程度值且小于第三程度值,确定所述目标风险点的攻击风险为中等攻击;所述第二量化值小于所述第三量化值,所述第二程度值小于所述第三程度值;若所述风险量化参数大于所述第三量化值且小于第四量化值,且所述风险程度参数大于所述第三程度值且小于第四程度值,确定所述目标风险点的攻击风险为轻微严重攻击;所述第三量化值小于所述第四量化值,所述第三程度值小于所述第四程度值;若所述风险量化参数大于所述第四量化值且小于第五量化值,且所述风险程度参数大于所述第四程度值且小于第五程度值,确定所述目标风险点的攻击风险为中等严重攻击;所述第四量化值小于所述第五量化值,所述第四程度值小于所述第五程度值;若所述风险量化参数大于所述第五量化值,且所述风险程度参数大于所述第五程度值,确定所述目标风险点的攻击风险为严重攻击。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至4中任一项所述的方法的步骤。
CN202210445277.XA 2022-04-26 2022-04-26 电力***信息网络受攻击风险评估方法、装置和设备 Active CN115085965B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210445277.XA CN115085965B (zh) 2022-04-26 2022-04-26 电力***信息网络受攻击风险评估方法、装置和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210445277.XA CN115085965B (zh) 2022-04-26 2022-04-26 电力***信息网络受攻击风险评估方法、装置和设备

Publications (2)

Publication Number Publication Date
CN115085965A CN115085965A (zh) 2022-09-20
CN115085965B true CN115085965B (zh) 2024-05-03

Family

ID=83247890

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210445277.XA Active CN115085965B (zh) 2022-04-26 2022-04-26 电力***信息网络受攻击风险评估方法、装置和设备

Country Status (1)

Country Link
CN (1) CN115085965B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103095494A (zh) * 2012-12-31 2013-05-08 北京邮电大学 一种电力通信网风险评估方法
CN104392391A (zh) * 2014-11-14 2015-03-04 国家电网公司 一种电网运行安全风险量化方法
CN105763562A (zh) * 2016-04-15 2016-07-13 全球能源互联网研究院 一种面向电力cps风险评估的电力信息网络脆弱性威胁评估模型建立方法及基于该模型的评估***
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法
CN110943983A (zh) * 2019-11-22 2020-03-31 南京邮电大学 基于安全性态势感知与风险评估的网络安全预防方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103095494A (zh) * 2012-12-31 2013-05-08 北京邮电大学 一种电力通信网风险评估方法
CN104392391A (zh) * 2014-11-14 2015-03-04 国家电网公司 一种电网运行安全风险量化方法
CN105763562A (zh) * 2016-04-15 2016-07-13 全球能源互联网研究院 一种面向电力cps风险评估的电力信息网络脆弱性威胁评估模型建立方法及基于该模型的评估***
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法
CN110943983A (zh) * 2019-11-22 2020-03-31 南京邮电大学 基于安全性态势感知与风险评估的网络安全预防方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
一种优化的实时网络安全风险量化方法;李伟明;雷杰;董静;李之棠;;计算机学报(第04期);205-216 *

Also Published As

Publication number Publication date
CN115085965A (zh) 2022-09-20

Similar Documents

Publication Publication Date Title
US11750659B2 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
Kumar et al. A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing
US20220014560A1 (en) Correlating network event anomalies using active and passive external reconnaissance to identify attack information
US10560483B2 (en) Rating organization cybersecurity using active and passive external reconnaissance
CN110149327B (zh) 网络安全威胁的告警方法、装置、计算机设备和存储介质
CN105009132A (zh) 基于置信因子的事件关联
US20230362200A1 (en) Dynamic cybersecurity scoring and operational risk reduction assessment
US20210360032A1 (en) Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance
US20160269431A1 (en) Predictive analytics utilizing real time events
CN112749097B (zh) 一种模糊测试工具性能测评方法、装置
CN108234426B (zh) Apt攻击告警方法和apt攻击告警装置
US20230283641A1 (en) Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement
CN115580448A (zh) 工控网络恶意代码检测方法、***、设备及存储介质
CN112925805B (zh) 基于网络安全的大数据智能分析应用方法
CN114679327A (zh) 网络攻击等级确定方法、装置、计算机设备和存储介质
CN112953895B (zh) 一种攻击行为检测方法、装置、设备及可读存储介质
CN117424743A (zh) 一种数据处理方法、装置、电子设备及存储介质
CN115632884B (zh) 基于事件分析的网络安全态势感知方法与***
CN115085965B (zh) 电力***信息网络受攻击风险评估方法、装置和设备
KR102541888B1 (ko) 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템
CN115827379A (zh) 异常进程检测方法、装置、设备和介质
CN115277472A (zh) 一种多维工控***网络安全风险预警***及方法
CN114826727A (zh) 流量数据采集方法、装置、计算机设备、存储介质
CN114268481A (zh) 内网终端违规外联信息处理方法、装置、设备和介质
CN113824736A (zh) 一种资产风险处置方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant