CN115296830B - 基于博弈论的网络协同攻击建模和危害定量分析方法 - Google Patents
基于博弈论的网络协同攻击建模和危害定量分析方法 Download PDFInfo
- Publication number
- CN115296830B CN115296830B CN202210593965.0A CN202210593965A CN115296830B CN 115296830 B CN115296830 B CN 115296830B CN 202210593965 A CN202210593965 A CN 202210593965A CN 115296830 B CN115296830 B CN 115296830B
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- data
- power distribution
- active power
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000004445 quantitative analysis Methods 0.000 title claims abstract description 13
- 230000006399 behavior Effects 0.000 claims abstract description 45
- 230000004044 response Effects 0.000 claims abstract description 19
- 230000007123 defense Effects 0.000 claims description 33
- 230000002159 abnormal effect Effects 0.000 claims description 24
- 238000005070 sampling Methods 0.000 claims description 19
- 238000012216 screening Methods 0.000 claims description 14
- 239000011159 matrix material Substances 0.000 claims description 11
- 238000001514 detection method Methods 0.000 claims description 7
- 230000001360 synchronised effect Effects 0.000 claims description 7
- 230000008859 change Effects 0.000 claims description 6
- 238000011002 quantification Methods 0.000 claims description 6
- 230000008901 benefit Effects 0.000 claims description 5
- 238000011217 control strategy Methods 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 5
- 238000007670 refining Methods 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 4
- 230000002902 bimodal effect Effects 0.000 claims description 4
- 238000004140 cleaning Methods 0.000 claims description 4
- 239000000470 constituent Substances 0.000 claims description 4
- 238000010276 construction Methods 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 abstract description 4
- 238000005516 engineering process Methods 0.000 description 5
- 238000011161 development Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000001351 cycling effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007728 cost analysis Methods 0.000 description 1
- 230000029087 digestion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004146 energy storage Methods 0.000 description 1
- 125000005842 heteroatom Chemical group 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Databases & Information Systems (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于博弈论的网络协同攻击建模和危害定量分析方法,来解决针对数据服务的网络攻击行为的建模、量化计算及响应问题,通过使用本方法可以使得***在受到针对数据服务的网络攻击时可以采取损失最小的响应策略。首先建立有源配电网安全控制一体化模型,描绘有源配电网的信息物理空间,接着对网络攻击进行检测、分析和量化,最后通过博弈论对***存在的威胁以及***进行响应的成本进行评估,及时调整响应策略,从而达到抵御网络协同攻击的目的。该方法具备响应时间短、针对性强、攻击模型精度高等特点。
Description
技术领域
本发明是基于博弈论的网络协同攻击建模和危害定量分析方法,主要用于解决针对有源配电网的网络攻击建模和防御策略的问题,属于计算机安全领域。
背景技术
主动配电网是一个内部具有分布式能源,具有主动控制和运行能力的配电网。分布式能源包括各种形式的连接到配电网中的各种分布式发电、分布式储能、电动汽车充换电设施和需求响应资源,即可控负荷。主动配电网的核心是对分布式可再生能源从被动消纳到主动引导与主动利用。通过这一技术可以把配电网从传统的被动型用电网转变成可以根据电网的实际运行状态进行主动调节、参与电网运行与控制的主动配电网。主动配电网具有提高响应速度、网络可视性以及网络灵活性、较高的电能质量和供电可靠性等主要特征。随着计算机网络的不断普及和发展,针对有源配电网的攻击日益猖獗,其中网络协同攻击是较为典型的攻击方式。网络协同攻击是一种随着网络技术的发展与网络应用的广泛使用而出现的不断演化的攻击技术。特别是出现了以Botnet为典型代表的网络攻击平台,其命令与控制机制作为协同的核心基础,使得广泛分布的被感染主机可以采用一种更灵活、智能的协同方式,实施大规模恶意行动达成攻击目的。与传统的攻击事件不同,分布式协同攻击具有的高效、健壮、隐蔽等特征,给检测和防御技术带来了巨大挑战,目前已经有的防御协同攻击的传统方法如防火墙、IDS、安全漏洞探测等,但是传统的方法防御方式较为单一,难以应对协同攻击的挑战,这就使得针对网络协同攻击建模和危害定量分析方法变得十分重要。
传统的抵御方案属于被动防御技术,不能对有源配电网中的活动进行有效监控,不具备主动防御能力,缺乏对网络攻击的自适应响应能力,已不能防范日益严重的网络安全威胁。
发明内容
技术问题:本发明的目的就是提供一种基于博弈论的网络协同攻击建模和危害定量分析方法,来解决针对数据服务的网络攻击的建模、量化计算及响应问题,本机制是一种策略性方法,通过使用本方法可以使得***在受到针对数据服务的网络攻击时可以采取损失最小的响应策略。
本发明首先对协同攻击进行一体化建模,接着对模型进行量化计算,最后根据损失评估和响应成本分析调整响应策略,从而达到抵御网络协同攻击的目的。
基于博弈论的网络协同攻击建模和危害定量分析方法主要需考虑三个方面的问题:(1)如何构建融合网络攻击的有源配电网安全控制一体化模型。将揭示有源配电网***中的信息、物理空间交叉和动态变化的复杂的、动态的特性清晰描绘。(2)如何建立网络协同攻击的检测、分析和量化计算方法。(3)根据纳什均衡解***该如何进行响应使得攻击对有源配电网中数据服务的影响最小。由此可见,本发明所述的基于博弈论的网络协同攻击建模和危害定量分析方法就是***在受到攻击时,可以有效评估因攻击对有源配电网数据服务所带来的潜在影响,然后根据损失评估和响应成本来调整响应策略。
技术方案:
基于上述的考量,本发明提供了一种基于博弈论的网络协同攻击建模和危害定量分析方法,包括以下步骤:
步骤一、针对有源配电网构建融合网络攻击的混合一体化模型
针对有源配电网***,采用有限状态机的方法构建融合有网络攻击的混合一体化模型;所构建的混合一体化模型为网络协同攻击动态组合模型,能够通过采集、分析网络攻击数据来检测和鉴别网络攻击行为的影响,通过数据清洗与数据关联完成网络协同攻击行为的解耦;
步骤二、量化网络攻击行为产生的风险
根据有源配电网***运行过程中的网络协同攻击行为特征的提取来进行攻击检测,计算对应的网络攻击行为产生的影响,以综合完成网络协同攻击态势分析;
步骤三、通过构建安全攻防博弈模型来响应网络攻击行为
采用零和动态博弈方法,根据精炼贝叶斯均衡对攻防双方对弈情况来构建安全攻防博弈模型,以通过求解该安全攻防博弈模型的纳什均衡解来响应对应的网络协同攻击行为,促使该网络协同攻击行为对有源配电网***数据服务的影响能够降到最低,并根据所获得的纳什均衡解来确定是否需要报警,以对融合有网络攻击行为的异常数据进行筛选、剔除并校正;
步骤四、筛选、剔除融合有网络攻击行为的异常数据并进行校正
在步骤三所获得的纳什均衡解来确定需要报警后,采用基于密度的聚类方法来筛选、剔除融合有网络攻击行为的异常数据并进行校正。
优选地,上述的步骤一中,混合一体化模型的构建方式具体包括以下步骤:
步骤1.1:数据采样,并定义Δtl,l∈{1,2,...,m}来表示有源配电网***中对应的不同状态l的数据采样时间间隔;进入步骤1.2;
步骤1.2:取ΔT为不同***参数和状态的采样周期的{Δt1,Δt2,...,Δtn}的最大公因数,以得到异/同步双模态混杂***中有限时间段内的同步时刻进入步骤1.3;
步骤1.3:当有源配电网***中网络攻击行为发生时,以采样周期短,采样频率高的信号的快变信号为主,采用就近原则进行切换;进入步骤1.4;
步骤1.4:将网络攻击带来的影响定义为不确定变量Δ,并将此带有随机的动态变化的分量融入到“离散-连续”混杂的有源配电网***中,形成融合有网络攻击的混合一体化模型。
优选地,上述的融合有网络攻击的混合一体化模型如下:
其中xi(t)表示***的连续时间变量i随时间t变化的连续***状态,S1表示连续时间变量i的集合;xj(t)表示***的离散时间变量j随时间t变化的离散***状态,j∈S2,S2表示离散时间变量j的集合;S表示连续时间变量i、离散时间变量j的合集;ωi(t)和ωj(t)分别表示连续、离散***的扰动,Δi(t)和Δj(t)分别表示连续、离散***的网络攻击行为影响分量;Ai为连续的***状态的系数矩阵,Bi为连续的***扰动的系数矩阵,Di分别为连续的***中网络攻击行为影响分量的系数矩阵;Aj为离散的***状态的系数矩阵,Bj为离散的***扰动的系数矩阵,Dj为离散的***中网络攻击行为影响分量的系数矩阵。
优选地,上述的步骤二中,量化网络攻击行为产生的风险具体包括以下步骤:
步骤2.1:定义有源配电网***中的组成元素i被网络攻击a攻击的概率为ρia、对***安全引起的影响为πia,计算组成元素i可能遭遇网络攻击的风险量化计算Vi为:
步骤2.2:根据步骤2.1得到的风险量化计算Vi,计算整个***可能遭遇的安全风险量化计算V:
γi表示有源配电网组成元素i在[1,n]中所占的权重。
优选地,上述的步骤三中,安全攻防博弈模型的构建方式以及安全攻防博弈模型对网络攻击行为的响应按照如下的方式进行:
步骤3.1:定义配电网安全攻防博弈模型G=(P,Z,Θ,S),其中:
P=(PA,PD)表示攻防双方参与者集合,PA为攻击方,PD为防御方;
Z={z0 z1 ... zN}用来表示网络安全状态的集合;
I=0,1,2,...,N用来表示攻防双方的策略集集合,/>和/>分别用来表示***要达到安全状态zI时,攻击方和防御方所有可能策略的集合,
I=0,1,2,...,N用来表示博弈双方的效用函数;
步骤3.2:定义在达到安全状态zI时,攻防双方策略集中策略对应的概率分布分别为:
其中:j=1,2,…,M,k=1,2,…,N,并且有/>
步骤3.3:要达到安全状态zI,总结出攻防双方的期望收益函数;
步骤3.4:利用非线性规划的方法,得到抵御“适度风险”的最优控制策略,并且最终得到纳什均衡解
步骤3.5:根据纳什均衡解***选择是否发出警告。
优选地,上述的步骤四中,筛选、剔除融合有网络攻击行为的异常数据并进行校正的方式,具体包括如下步骤:
步骤4.1:将数据服务中采集到的数据集D初始化并且所有对象标记为未读,通过闵科夫斯基距离公式定义ε-邻域,Nε(xc)=(xc∈D|dist(xc,xd)≤ε),其中Nε(xc)表示ε-邻域内所有点的集合,ε表示半径参数,定义ρ为最小对象参数;当对象xc的ε-邻域中数据对象个数大于ρ时称xc为核心对象;
步骤4.2:从数据集D中取包含任意个数据对象p的数据集Dc,其中DC∈D,c=1,2,3...,并将Dc标记为已读;
步骤4.2:通过ε和ρ参数对数据对象p进行判断,如果p为核心对象,找出p的所有密度可达数据对象,并标记为已读;若p不是核心对象,且没有哪个对象对p密度可达,将p标记为噪声数据;
步骤4.3:在满足的条件下,重复步骤4.2和步骤4.3,直至所有数据都标记为已读;
步骤4.4:将其中一个核心对象作为种子,将该对象的所有密度可达点都归为一类,形成一个较大范围的数据对象集合;
步骤4.5:循环步骤4.2至步骤4.4,直至所有核心对象都遍历完,剩下没有归为一类的数据便为异常数据;
步骤4.6:将正常的不同数据类型的数据集合取均值用来替代异常数据执行正常操作;
步骤4.7:循环结束。
有益效果:本发明方法提出了一种基于博弈论的网络协同攻击建模和危害定量分析方法,主要用于解决针对有源配电网遭受网络协同攻击的响应问题。通过使用本发明中提出的方法建立一体化攻击模型和用户的博弈模型求解***的纳什均衡解,根据纳什均衡解选择最优响应策略,令网络协同攻击对电网数据服务的影响降到最低。
附图说明
图1是基于博弈论的网络协同攻击建模和危害定量分析方法组成结构图。主要包括:混合模型生成器、风险量化器、博弈模型生成器、数据筛选器、数据恢复器。
图2是参考体系结构示意图。表示本发明方法包括的组件。
图3是本发明方法的流程示意图。
具体实施方式
为了方便描述,我们假设有如下应用实例:
近年来随着计算机技术高速发展,由于军事、政治等一系列因素的影响,针对互联网的网络攻击手段层出不穷,协同攻击是其中较为典型的一种攻击类型,会给有源配电网的数据服务造成巨大的影响。对于有源配电网的数据服务现假设其遭受攻击,运用博弈的方法对攻防双方的网络安全状态以及双方的成本代价进行评估,得到响应***的最优策略。首先是对有源配电网有限状态机的方法建立混杂切换***化的模型,通过数据清洗与数据关联完成协同攻击行为的解耦,建立网络协同攻击动态组合模型,然后完成协同攻击的解耦建模,根据***运行过程中攻击行为特征的提取来进行攻击检测,计算某一攻击行为产生的影响,进而利用博弈论的方法分析攻防双方的成本收益,得到最优响应策略。
针对图1其具体的实施方案为:
图1主要构建一种基于博弈论的网络协同攻击建模和危害定量分析方法结构,它主要包括五个部分:混合模型生成器、风险分析器、博弈模型生成器、数据筛选器、数据恢复器。图中混合模型生成器是描绘有源配电网***中的信息、物理空间交叉和动态变化的复杂的、动态的特性;风险分析器是从通信的角度,完成协同攻击的解耦建模,然后根据***运行过程中攻击行为特征的提取来进行攻击检测,计算某一攻击行为产生的影响;博弈模型生成器是在***检测到攻击时对双方成本和网络安全状态进行分析,得到攻防双方的博弈模型;数据筛选器是在采集到的数据中筛选出核心对象。数据恢复器是将所有的核心对象归类,筛选异常数据,正常的不同数据类型的数据集合取均值用来替代异常数据执行正常操作。下面给出具体介绍:
(1)混合模型生成器
混合模型生成器是揭示有源配电网***中的信息、物理空间交叉和动态变化的复杂的、动态的特性,为分析有源配电网***中的网络攻击的影响、安全防御策略设计和安全风险评估等提供理论基础。
本发明所述的混合模型生成器从有源配电网有限状态机的方法建立混杂切换***化的模型以及从攻击数据的采集、分析,检测和鉴别攻击行为的影响,通过数据清洗与数据关联完成协同攻击行为的解耦,建立网络协同攻击动态组合模型。揭示了有源配电网***中的信息、物理空间交叉和动态变化的复杂的、动态的特性,为下文分析有源配电网中的网络攻击的影响、安全防御策略设计和安全风险评估等提供理论基础。
(2)风险分析器
风险分析器从通信的角度完成协同攻击的解耦建模,然后根据***运行过程中攻击行为特征的提取来进行攻击检测,计算某一攻击行为产生的影响,进而综合完成协同攻击态势分析。
(3)博弈模型生成器
博弈模型生成器是采用零和动态博弈方法,根据参与者掌握的公共知识和参与者历史行为来获取参与者的概率,依此决定下一步策略,通过精炼贝叶斯均衡,假设配电网安全攻防博弈模型G=(P,Z,Θ,S),可以展开为和 I=0,1,2,...,N用来表示博弈双方的效用函数,即可得到防御策略集合,/>和/>分别表示在攻击者策略下的防御策略集合、在防御策略下的攻击者的策略集合以及在攻击者相互影响下的策略集合;/>表示攻击者基于防御者策略以及其他攻击者策略做出的最终防御策略的集合。
定义在达到安全状态zI时,攻防双方策略集中策略对应的概率分布分别为和/>进而求解攻防双方的期望收益函数,利用非线性规划的方法,最终得到纳什均衡解/>和/>实现抵御适度风险的动态综合控制策略。
(4)数据筛选器
数据筛选器主要是将初始化后的数据全部标记未读,定义ε-邻域,当对象xc的ε-邻域中数据对象个数大于最小对象参数ρ时称xc为核心对象,从数据集D中取包含任意个数据对象p的数据集Dc,其中Dc∈D,c=1,2,3…,并将Dc标记为已读。通过ε和ρ参数对数据p进行判断,如果p为核心对象,找出p的所有密度可达数据对象,并标记为已读。若p不是核心对象,且没有哪个对象对p密度可达,将p标记为噪声数据,从而筛选出不同类型的数据。
(5)目标识别器
在满足的条件下,当所有数据都标记为已读时,将其中一个核心对象作为种子,将该对象的所有密度可达点都归为一类,形成一个较大范围的数据对象集合,也称为聚类簇。反复循环直至所有核心对象都遍历完,剩下没有归为一类的数据便为异常数据。将识别出来的这些异常数据剔除,用正常的不同数据类型的数据集合取算数均值来替代异常数据执行正常操作。
根据附图1至3,本发明提供的方法流程如下:
1.混合模型生成器
定义Δtl,l∈{1,2,...,m}来表示有源配电网***中对应的不同状态的采样时间。因为设备和信息的不同,采样的周期有区别,在呈现形式上则为离散和连续***混杂的***状态可采用如下方程表示:
其中xi(t),i∈S1表示快变***状态,呈现为连续***状态,xj(t),i∈S2表示变化较慢的***状态,呈现为离散***状态,Ai,Bi,Di分别为系数矩阵,ωi(t)和ωj(t)分别表示连续分量和离散分量中的外部扰动。
取ΔT为不同***参数和状态的采样周期的{Δt1,Δt2,...,Δtn}的最大公因数,根据ΔT可以得到异/同步双模态混杂***中有限时间段内的同步时刻 当***中攻击行为发生时,以采样周期短,采样频率高的快变信号为主,为了避免较大的信号突变,采用就近原则进行切换。将网络攻击带来的影响定义为不确定变量Δ,并将此带有随机的动态变化的分量融入到“离散-连续”混杂的有源配电网***中,形成如下结构的一体化***模型。
其中xi(t),i∈S1表示连续***状态,xj(t),j∈S2表示离散的***状态,ωi(t)和ωj(t)为***扰动,Δi(t)和Δj(t)分别表示连续和离散***中的分量,是动态变化的并且有随机性。
2.风险量化器
在进行量化计算之前,需要在***中安装一些常规的工业安全防护软件和工业防火墙等,对***异常进行监测和记录。定义有源配电网***中的组成元素i被网络攻击a攻击的概率为ρia以及对***的安全的影响πia,***元素i可能遭遇***攻击的量化计算为其中m表示***可能遭遇m种类型的网络攻击。假设***中存在n个***元素,则整个***可能遭遇的安全风险可以量化计算为/>
3.博弈模型生成器
由于存在不确定性,根据参与者掌握的公共知识和参与者历史行为来获取参与者的概率,依此决定下一步策略,通过精炼贝叶斯均衡,假设配电网安全攻防博弈模型G=(P,Z,Θ,S),其中:P=(PA,PD)表示攻防双方参与者集合,PA为攻击方,PD为防御方;Z={z0 z1... zN}用来表示网络安全状态的集合;I=0,1,2,...,N用来表示攻防双方的策略集集合,/>和/>分别用来表示***要达到安全状态zI时,攻击方和防御方所有可能策略的集合,可以展开为/>和/> I=0,1,2,...,N用来表示博弈双方的效用函数,即可得到:
其中和/>分别表示在攻击者策略下的防御策略集合、在防御策略下的攻击者的策略集合以及在攻击者相互影响下的策略集合;/>表示攻击者基于防御者策略以及其他攻击者策略做出的最终防御策略的集合。
由于攻防双方无法掌握对方的全部信息的特性,单纯的策略性的纳什均衡解并不存在,所以存在策略上的随机性,定义在达到安全状态zI时,攻防双方策略集中策略对应的概率分布分别为和其中/> j=1,2,…,M,k=1,2,…,N,并且有/>
此时,若要达到安全状态zi,攻防双方的期望收益函数可以归纳为:
利用非线性规划的方法,抵御“适度风险”的最优控制策略可以表示为:
s.t.
其中c为最大***安全系数,和/>分别表示对应的单位行向量,/>和/>分别表示攻击方和防御方在纳什均衡下的期望,最终得到纳什均衡解/>和/>
4.数据筛选器
数据筛选器主要是将初始化后的数据全部标记未读,定义ε-邻域,Nε(xi)=(xi∈D|dist(xi,xj)≤ε),其中Nε(xi)表示ε-邻域内所有点的集合,ε表示半径参数。当对象xi的ε-邻域中数据对象个数大于ρ,即|Nε(xi)|>ρ时,则xi称为核心对象。在一个数据集中,并不是所有数据对象都是核心对象,还有边缘对象和噪声对象。边缘对象表示数据对象不是核心对象,但是存在于某个核心对象的ε-邻域中;噪声对象表示该数据对象不是核心对象,也不存在于任何核心对象的ε-邻域中。从数据集D中取包含任意个数据对象p的数据集Di,其中Di∈D,i=1,2,3...,并将Di标记为已读。通过ε和ρ参数对数据p进行判断,如果p为核心对象,找出p的所有密度可达数据对象,并标记为已读。若p不是核心对象,且没有哪个对象对p密度可达,将p标记为噪声数据,从而筛选出不同类型的数据。
5.数据恢复器
在满足的条件下,当所有数据都标记为已读时,将其中一个核心对象作为种子,将该对象的所有密度可达点都归为一类,形成一个较大范围的数据对象集合,也称为聚类簇。反复循环直至所有核心对象都遍历完,剩下没有归为一类的数据便为异常数据。将识别出来的这些异常数据剔除,用正常的不同数据类型的数据集合取算数均值来替代异常数据执行正常操作。
针对图2、图3其具体的实施方案为:
步骤1:定义Δtl,l∈{1,2,...,m}来表示上述***中对应的不同状态的采样时间,得到离散和连续***混杂的***状态方程。
取ΔT为不同***参数和状态的采样周期的{Δt1,Δt2,...,Δtn}的最大公因数,可以得到异/同步双模态混杂***中有限时间段内的同步时刻
当***中攻击行为发生时,以采样周期短,采样频率高的信号的快变信号为主,采用就近原则进行切换。
步骤2:将网络攻击带来的影响定义为不确定变量Δ,并将此带有随机的动态变化的分量融入到“离散-连续”混杂的有源配电网***中,形成一体化***模型。
步骤3:定义有源配电网***中的组成元素i被网络攻击a攻击的概率为ρia以及对***的安全的影响πia,***元素i可能遭遇***攻击的量化计算为其中m表示***可能遭遇m种类型的网络攻击。
步骤4:假设***中存在n个***元素,得到***可能遭遇的安全风险量化计算为
步骤5:通过精炼贝叶斯均衡,假设配电网安全攻防博弈模型G=(P,Z,Θ,S),其中:P=(PA,PD)表示攻防双方参与者集合,PA为攻击方,PD为防御方;Z={z0 z1 ... zN}用来表示网络安全状态的集合,I=0,1,2,...,N用来表示博弈双方的效用函数,即可得到在攻击者策略下的防御策略集合/>在防御策略下的攻击者的策略集合/>以及在攻击者相互影响下的策略集合/>
步骤6:定义攻防双方策略集中策略对应的概率分布分别为和/>得出攻防双方的期望收益函数,并且表示出抵御适度风险的最优控制策略,最终得到纳什均衡解/>和实现最优响应。
步骤7:将数据服务中采集到的数据集D初始化并且所有对象标记为未读,定义ρ为最小对象参数。当对象xc的ε-邻域中数据对象个数大于ρ时称xc为核心对象,从数据集D中取包含任意个数据对象p的数据集Dc,并将Dc标记为已读。
步骤8:通过ε和ρ参数对数据p进行判断,如果p为核心对象,找出p的所有密度可达数据对象,并标记为已读。若p不是核心对象,且没有哪个对象对p密度可达,将p标记为噪声数据,重复标记,直至所有数据都标记为已读。
步骤9:确定核心对象,将该对象的所有密度可达点都归为一类,形成一个较大范围的聚类簇,反复迭代直至所有核心对象都遍历完,筛选出异常数据,将正常的不同数据类型的数据集合取均值用来替代异常数据执行正常操作。
Claims (1)
1.一种基于博弈论的网络协同攻击建模和危害定量分析方法,其特征在于,包括以下步骤:
步骤一、针对有源配电网构建融合网络攻击的混合一体化模型
针对有源配电网***,采用有限状态机的方法构建融合有网络攻击的混合一体化模型;所构建的混合一体化模型为网络协同攻击动态组合模型,能够通过采集、分析网络攻击数据来检测和鉴别网络攻击行为的影响,通过数据清洗与数据关联完成网络协同攻击行为的解耦;
步骤二、量化网络攻击行为产生的风险
根据有源配电网***运行过程中的网络协同攻击行为特征的提取来进行攻击检测,计算对应的网络攻击行为产生的影响,以综合完成网络协同攻击态势分析;
步骤三、通过构建安全攻防博弈模型来响应网络攻击行为
采用零和动态博弈方法,根据精炼贝叶斯均衡对攻防双方对弈情况来构建安全攻防博弈模型,以通过求解该安全攻防博弈模型的纳什均衡解来响应对应的网络协同攻击行为,促使该网络协同攻击行为对有源配电网***数据服务的影响能够降到最低,并根据所获得的纳什均衡解来确定是否需要报警,以对融合有网络攻击行为的异常数据进行筛选、剔除并校正;
步骤四、筛选、剔除融合有网络攻击行为的异常数据并进行校正
在步骤三所获得的纳什均衡解来确定需要报警后,采用基于密度的聚类方法来筛选、剔除融合有网络攻击行为的异常数据并进行校正;
步骤一中,混合一体化模型的构建方式具体包括以下步骤:
步骤1.1:数据采样,并定义Δtl,l∈{1,2,...,m}来表示有源配电网***中对应的不同状态l的数据采样时间间隔;进入步骤1.2;
步骤1.2:取ΔT为不同***参数和状态的采样周期的{Δt1,Δt2,...,Δtn}的最大公因数,以得到异/同步双模态混杂***中有限时间段内的同步时刻进入步骤1.3;
步骤1.3:当有源配电网***中网络攻击行为发生时,以采样周期短,采样频率高的信号的快变信号为主,采用就近原则进行切换;进入步骤1.4;
步骤1.4:将网络攻击带来的影响定义为不确定变量Δ,并将此带有随机的动态变化的分量融入到“离散-连续”混杂的有源配电网***中,形成融合有网络攻击的混合一体化模型;
融合有网络攻击的混合一体化模型如下:
其中xi(t)表示***的连续时间变量i随时间t变化的连续***状态,S1表示连续时间变量i的集合;xj(t)表示***的离散时间变量j随时间t变化的离散***状态,j∈S2,S2表示离散时间变量j的集合;S表示连续时间变量i、离散时间变量j的合集;ωi(t)和ωj(t)分别表示连续、离散***的扰动,Δi(t)和Δj(t)分别表示连续、离散***的网络攻击行为影响分量;Ai为连续的***状态的系数矩阵,Bi为连续的***扰动的系数矩阵,Di分别为连续的***中网络攻击行为影响分量的系数矩阵;Aj为离散的***状态的系数矩阵,Bj为离散的***扰动的系数矩阵,Dj为离散的***中网络攻击行为影响分量的系数矩阵;
步骤二中,量化网络攻击行为产生的风险具体包括以下步骤:
步骤2.1:定义有源配电网***中的组成元素i被网络攻击a攻击的概率为ρia、对***安全引起的影响为πia,计算组成元素i可能遭遇网络攻击的风险量化计算Vi为:
步骤2.2:根据步骤2.1得到的风险量化计算Vi,计算整个***可能遭遇的安全风险量化计算V:
γi表示有源配电网组成元素i在[1,n]中所占的权重;
步骤三中,安全攻防博弈模型的构建方式以及安全攻防博弈模型对网络攻击行为的响应按照如下的方式进行:
步骤3.1:定义配电网安全攻防博弈模型G=(P,Z,Θ,S),其中:
P=(PA,PD)表示攻防双方参与者集合,PA为攻击方,PD为防御方;
Z={z0 z1...zN}用来表示网络安全状态的集合;
用来表示攻防双方的策略集集合,/>和/>分别用来表示***要达到安全状态zI时,攻击方和防御方所有可能策略的集合,
用来表示博弈双方的效用函数;
步骤3.2:定义在达到安全状态zI时,攻防双方策略集中策略对应的概率分布分别为:
其中:并且有/>
步骤3.3:要达到安全状态zI,总结出攻防双方的期望收益函数;
步骤3.4:利用非线性规划的方法,得到抵御“适度风险”的最优控制策略,并且最终得到纳什均衡解
步骤3.5:根据纳什均衡解***选择是否发出警告;
步骤四中,筛选、剔除融合有网络攻击行为的异常数据并进行校正的方式,具体包括如下步骤:
步骤4.1:将数据服务中采集到的数据集D初始化并且所有对象标记为未读,通过闵科夫斯基距离公式定义ε-邻域,Nε(xc)=(xc∈D|dist(xc,xd)≤ε),其中Nε(xc)表示ε-邻域内所有点的集合,ε表示半径参数,定义ρ为最小对象参数;当对象xc的ε-邻域中数据对象个数大于ρ时称xc为核心对象;
步骤4.2:从数据集D中取包含任意个数据对象p的数据集Dc,其中DC∈D,c=1,2,3…,并将Dc标记为已读;
步骤4.2:通过ε和ρ参数对数据对象p进行判断,如果p为核心对象,找出p的所有密度可达数据对象,并标记为已读;若p不是核心对象,且没有哪个对象对p密度可达,将p标记为噪声数据;
步骤4.3:在满足的条件下,重复步骤4.2和步骤4.3,直至所有数据都标记为已读;
步骤4.4:将其中一个核心对象作为种子,将该对象的所有密度可达点都归为一类,形成一个较大范围的数据对象集合;
步骤4.5:循环步骤4.2至步骤4.4,直至所有核心对象都遍历完,剩下没有归为一类的数据便为异常数据;
步骤4.6:将正常的不同数据类型的数据集合取均值用来替代异常数据执行正常操作;
步骤4.7:循环结束。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210593965.0A CN115296830B (zh) | 2022-05-27 | 2022-05-27 | 基于博弈论的网络协同攻击建模和危害定量分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210593965.0A CN115296830B (zh) | 2022-05-27 | 2022-05-27 | 基于博弈论的网络协同攻击建模和危害定量分析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115296830A CN115296830A (zh) | 2022-11-04 |
CN115296830B true CN115296830B (zh) | 2024-02-13 |
Family
ID=83819510
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210593965.0A Active CN115296830B (zh) | 2022-05-27 | 2022-05-27 | 基于博弈论的网络协同攻击建模和危害定量分析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115296830B (zh) |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2271047A1 (en) * | 2009-06-22 | 2011-01-05 | Deutsche Telekom AG | Game theoretic recommendation system and method for security alert dissemination |
CN103152345A (zh) * | 2013-03-07 | 2013-06-12 | 南京理工大学常熟研究院有限公司 | 一种攻防博弈的网络安全最优攻防决策方法 |
CN107483486A (zh) * | 2017-09-14 | 2017-12-15 | 中国人民解放军信息工程大学 | 基于随机演化博弈模型的网络防御策略选取方法 |
CN108366047A (zh) * | 2018-01-08 | 2018-08-03 | 南京邮电大学 | 基于博弈论的有源配电网数据安全高效传输优化方法及装置 |
CN108512837A (zh) * | 2018-03-16 | 2018-09-07 | 西安电子科技大学 | 一种基于攻防演化博弈的网络安全态势评估的方法及*** |
CN108565900A (zh) * | 2018-05-14 | 2018-09-21 | 南京邮电大学 | 一种基于博弈论的分布式能源优化运行方法 |
CN108833401A (zh) * | 2018-06-11 | 2018-11-16 | 中国人民解放军战略支援部队信息工程大学 | 基于贝叶斯演化博弈的网络主动防御策略选取方法及装置 |
CN109617863A (zh) * | 2018-11-27 | 2019-04-12 | 杭州电子科技大学 | 一种基于博弈论的移动目标防御最优防御策略选取的方法 |
CN110278198A (zh) * | 2019-06-04 | 2019-09-24 | 西安邮电大学 | 基于博弈论的网络中资产的安全风险评估方法 |
CN111464501A (zh) * | 2020-03-09 | 2020-07-28 | 南京邮电大学 | 一种面向数据服务的自适应入侵响应博弈方法及其*** |
CN112819300A (zh) * | 2021-01-21 | 2021-05-18 | 南京邮电大学 | 网络攻击下基于随机博弈网的配电网风险评估方法 |
CN113098908A (zh) * | 2021-05-11 | 2021-07-09 | 南方电网科学研究院有限责任公司 | 一种基于多阶段博弈的虚假数据注入攻击防御方法及装置 |
CN114139156A (zh) * | 2021-12-01 | 2022-03-04 | 浙江大学 | 一种基于博弈论的微电网信息物理***防御方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11641365B2 (en) * | 2019-10-10 | 2023-05-02 | Honeywell International Inc. | Hybrid intrusion detection model for cyberattacks in avionics internet gateways using edge analytics |
-
2022
- 2022-05-27 CN CN202210593965.0A patent/CN115296830B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2271047A1 (en) * | 2009-06-22 | 2011-01-05 | Deutsche Telekom AG | Game theoretic recommendation system and method for security alert dissemination |
CN103152345A (zh) * | 2013-03-07 | 2013-06-12 | 南京理工大学常熟研究院有限公司 | 一种攻防博弈的网络安全最优攻防决策方法 |
CN107483486A (zh) * | 2017-09-14 | 2017-12-15 | 中国人民解放军信息工程大学 | 基于随机演化博弈模型的网络防御策略选取方法 |
CN108366047A (zh) * | 2018-01-08 | 2018-08-03 | 南京邮电大学 | 基于博弈论的有源配电网数据安全高效传输优化方法及装置 |
CN108512837A (zh) * | 2018-03-16 | 2018-09-07 | 西安电子科技大学 | 一种基于攻防演化博弈的网络安全态势评估的方法及*** |
CN108565900A (zh) * | 2018-05-14 | 2018-09-21 | 南京邮电大学 | 一种基于博弈论的分布式能源优化运行方法 |
CN108833401A (zh) * | 2018-06-11 | 2018-11-16 | 中国人民解放军战略支援部队信息工程大学 | 基于贝叶斯演化博弈的网络主动防御策略选取方法及装置 |
CN109617863A (zh) * | 2018-11-27 | 2019-04-12 | 杭州电子科技大学 | 一种基于博弈论的移动目标防御最优防御策略选取的方法 |
CN110278198A (zh) * | 2019-06-04 | 2019-09-24 | 西安邮电大学 | 基于博弈论的网络中资产的安全风险评估方法 |
CN111464501A (zh) * | 2020-03-09 | 2020-07-28 | 南京邮电大学 | 一种面向数据服务的自适应入侵响应博弈方法及其*** |
WO2021180017A1 (zh) * | 2020-03-09 | 2021-09-16 | 南京邮电大学 | 一种面向数据服务的自适应入侵响应博弈方法及其*** |
CN112819300A (zh) * | 2021-01-21 | 2021-05-18 | 南京邮电大学 | 网络攻击下基于随机博弈网的配电网风险评估方法 |
CN113098908A (zh) * | 2021-05-11 | 2021-07-09 | 南方电网科学研究院有限责任公司 | 一种基于多阶段博弈的虚假数据注入攻击防御方法及装置 |
CN114139156A (zh) * | 2021-12-01 | 2022-03-04 | 浙江大学 | 一种基于博弈论的微电网信息物理***防御方法 |
Non-Patent Citations (8)
Title |
---|
Analysis of cyber physical systems security via networked attacks;Hui Ge,Dong Yue等;《2017 36th Chinese Control Conference(CCC)》;全文 * |
Game Theory based Modified Naïve-bayes Algorithm to detect DoS attacks using Honeypot;Rajesh Kumar Shrivastava;《2019 IEEE 16th India Council International Conference (INDICON)》;全文 * |
Security Analysis of Energy Internet With Robust Control Approaches and Defense Design;Hui Ge,Zhenjiang Zhao;《IEEE Access》;全文 * |
信息物理融合的主动配电网分析与风险评估研究;孙辰;《中国优秀博硕士学位论文全文数据库(博士) 信息科技辑》(第05期);全文 * |
基于博弈论的电网信息物理***网络攻防策略研究;邰伟;《中国优秀硕士学位论文全文数据库 工程科技辑》(第06期);全文 * |
基于网络的入侵检测***数据包采样策略研究;王卫平;朱卫未;陈文惠;梁樑;;中国科学院研究生院学报(04);全文 * |
网络攻击下信息物理融合***的安全控制方法研究;葛辉;《中国优秀博硕士学位论文全文数据库(博士) 信息科技辑》(第01期);第47页-68页 * |
面向分布式网络结构的APT攻击双重博弈模型;张为;苏旸;陈文武;;计算机应用(第05期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115296830A (zh) | 2022-11-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Nguyen et al. | Deep reinforcement learning for cyber security | |
Barati et al. | Distributed Denial of Service detection using hybrid machine learning technique | |
WO2021180017A1 (zh) | 一种面向数据服务的自适应入侵响应博弈方法及其*** | |
Wang et al. | Constructing important features from massive network traffic for lightweight intrusion detection | |
Hu et al. | Optimal network defense strategy selection based on incomplete information evolutionary game | |
CN110830287B (zh) | 一种基于监督学习的物联网环境态势感知方法 | |
Masarat et al. | A novel framework, based on fuzzy ensemble of classifiers for intrusion detection systems | |
Iliev et al. | Some new approaches for modelling large-scale worm spreading on the internet. II | |
Atefi et al. | A hybrid intrusion detection system based on different machine learning algorithms | |
Liu et al. | FlipIt game model-based defense strategy against cyberattacks on SCADA systems considering insider assistance | |
Huang et al. | Socialwatch: detection of online service abuse via large-scale social graphs | |
CN115296830B (zh) | 基于博弈论的网络协同攻击建模和危害定量分析方法 | |
Chen et al. | Dynamic threshold strategy optimization for security protection in Internet of Things: An adversarial deep learning‐based game‐theoretical approach | |
TianYu et al. | Research on security threat assessment for power iot terminal based on knowledge graph | |
Sharma et al. | Recent trend in Intrusion detection using Fuzzy-Genetic algorithm | |
Wei et al. | Defense strategy of network security based on dynamic classification | |
Huang et al. | Application of type-2 fuzzy logic to rule-based intrusion alert correlation detection | |
Zhang et al. | An intrusion detection scheme based on repeated game in smart home | |
Yang et al. | Malicious software spread modeling and control in cyber–physical systems | |
Wadate et al. | Edge-based intrusion detection using machine learning over the iot network | |
Sakhnini | Security of smart cyber-physical grids: a deep learning approach | |
Zhang et al. | Network security situation awareness technology based on multi-source heterogeneous data | |
CN114006744A (zh) | 一种基于lstm的电力监控***网络安全态势预测方法及*** | |
Idowu et al. | Advocating the use of fuzzy reasoning spiking neural P system in intrusion detection | |
Feng | Discussion on the Ways of Constructing Computer Network Security in Colleges: Considering Complex Worm Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |