阅读说明：本技术 一种面向电力监控系统的网络安全威胁溯源方法 (Network security threat tracing method for power monitoring system ) 是由 林静怀 陈泽文 徐志光 李泽科 梁野 邵立嵩 张志军 王春艳 王景 程世涛 于 2019-10-24 设计创作，主要内容包括：本发明公开了一种面向电力监控系统的网络安全威胁溯源方法,包括以下过程：依据电力监控系统的日志信息为告警事件建立事件发生树；对事件发生树进行拆分得到事件发生链；计算事件发生链威胁值；依据事件发生链威胁值判断其是否是危险事件；若判断为危险事件,则依据事件发生链进行可视化展示得到攻击图,实现网络安全威胁溯源。本发明在电力监控系统中采用建立事件发生链的方式来寻找网络事件攻击者,快速定位攻击源的位置,实现电力监控系统的网络安全威胁的溯源。(The invention discloses a network security threat tracing method for a power monitoring system, which comprises the following processes: establishing an event occurrence tree for an alarm event according to the log information of the power monitoring system; splitting the event occurrence tree to obtain an event occurrence chain; calculating a threat value of an event occurrence chain; judging whether the event is a dangerous event or not according to the event occurrence chain threat value; if the network security threat tracing is judged to be a dangerous event, the attack graph is obtained through visual display according to the event occurrence chain, and the network security threat tracing is achieved. According to the invention, a network event attacker is searched in the power monitoring system by establishing an event occurrence chain, the position of an attack source is quickly positioned, and the tracing of the network security threat of the power monitoring system is realized.)

一种面向电力监控系统的网络安全威胁溯源方法

技术领域

本发明属于电力系统技术领域，具体涉及一种面向电力监控系统的网络安全威胁溯源方法。

背景技术

近年来，我国电力系统信息化建设持续保持高速成长，并有一定的信息安全防护系统，能对电力信息进行实施监控，但对于越来越泛滥、技术手段越来越隐蔽的网络攻击行为，入侵检测(IDS)、入侵防御系统(IPS)之类的安全设备也在与新技术的结合中不断的被优化和更新。这类系统检测和防御的基本原理是基于模式匹配、协议分析、异常流量分析等等的方式进行被动的攻击检测，且只能针对于已知类型的攻击。这种简单的对于已知攻击进行检测的方法，并不能从根本上有效防御新兴的、复杂的网络攻击，因此必须有更有针对性的主动防御措施。通过主动确定攻击的源头，及时主动的采取有效的措施防御攻击，才能将威胁降到最低。

当前威胁溯源是对攻击者的所有相关数据信息进行获取和分析，最终完成对于网络攻击者在物理世界中的信息进行确认的过程。常用IP威胁溯源是一种基于IP的溯源技术，旨在有效地找到攻击者的源地址信息，有效地阻止攻击行为，为追踪攻击者提供法律依据，从根本上抵御DDoS攻击。常见IP溯源技术有基于数据包标记的溯源方法、基于日志记录的溯源、基于链路测试的溯源、基于消息传送的溯源等。

(1)链路测试法从离受害者最近的路由器开始，检查与其相邻的路由器，找到能够转发攻击报文的路由器。该方法在各方面的表现都比较差，存在路由器存储开销大、路径回溯开销大、溯源精度低等缺点；

(2)日志记录法要求所有的边界路由器节点能够以一定的规则记录经过的数据包特征并把重要信息保留在路由器中。该方法的优点是追踪能力快，但因路由器记录了路径信息，这导致如果转发的数据包数量增加，存储和运行开销也将随之增加且将导致路由器负荷过重；

(3)包标记法将路径信息***到IP数据报的头部，在路由器处以一定的概率向过往的数据包中填塞部分的路径信息。该方法在各方面表现相对比较优秀，但因路径信息被存放在数据包中，受到标记空间受限、路径信息无法被重构不利因素的影响。

发明内容

本发明的目的在于克服现有技术中的不足，提供了一种面向电力监控系统的网络安全威胁溯源方法，解决了现有技术中威胁溯源方法存储开销大、溯源精度低、标记空间受限等方面的技术问题。

为解决上述技术问题，本发明提供了一种面向电力监控系统的网络安全威胁溯源方法，其特征是，包括以下过程：

依据电力监控系统的日志信息为告警事件建立事件发生树；

对事件发生树进行拆分得到事件发生链；

计算事件发生链的威胁值；

依据事件发生链威胁值判断其是否是危险事件；

若判断为危险事件，则依据事件发生链进行可视化展示得到攻击图，实现网络安全威胁溯源。

进一步的，所述依据电力监控系统的日志信息为告警事件建立事件发生树的具体过程为：

从电力监控系统的日志信息中提取多个告警事件；告警事件包括源IP地址、目的IP地址、告警事件类型、开始时间和结束时间；

以各告警事件的IP地址作为节点，连接两节点之间的边表示从源IP地址到目的IP地址的告警事件；多告警事件的树状图形式的结构化表现形式即为事件发生树。

进一步的，建立事件发生树后，对事件发生树进行聚合处理：

如果在设定的一段时间内，事件发生树中遍历一个节点的子节点集合，如果出现后一个子节点与前一个子节点的告警类型、源IP、目的IP均相同，则对二者进行聚合操作，即将后者的结束时间覆盖前者的结束时间，并删除后一个子节点。

进一步的，对事件发生树进行拆分得到事件发生链的具体过程为：

1)首先找到链首告警，链首告警包括两种情况：一种是告警源IP对应的节点为无双亲节点；另一种是告警源IP对应的节点有双亲，但对应双亲告警的开始时间晚于该告警的开始时间；

2)对事件发生树的深度遍历将进行两次，第一次，从所有的无双亲节点开始进行深度遍历，得到最终的事件发生链集合C；第二次，再对剩余树节点进行深度遍历，得到剩下的发生链，并加入到最终的链集合C中。

进一步的，获得事件发生链之后，还需要进行剪枝处理：

如拆分的事件发生链的前后事件并不具备构成攻击行为的因果关系或继发关系，则进行断链处理。

进一步的，所述计算事件发生链的威胁值的具体过程包括：

计算事件发生链的威胁值的评价因素包括告警等级和攻击尝试事件；其中告警等级和攻击尝试事件各占预设比重；

告警等级的评分和攻击尝试事件的评分组合起来作为事件发生链的威胁值。

进一步的，告警等级和攻击尝试事件各占预设比重包括：告警等级占60％比重，攻击尝试事件占40％比重。

进一步的，所述依据事件发生链的威胁值判断其是否是危险事件的具体过程为：

若事件发生链的威胁值大于预设的安全阀值，则判断此事件发生链为危险事件。

与现有技术相比，本发明所达到的有益效果是：本发明在电力监控系统中采用建立事件发生链的方式来寻找网络事件攻击者，快速定位攻击源的位置，实现电力监控系统的网络安全威胁的溯源。

附图说明

图1为本发明方法的流程示意图；

图2为实施例中事件发生树的示意图；

图3为实施例中事件发生链的示意图；

图4为实施例中事件发生链断链处理后的示意图；

图5为攻击图示意图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

电力监控系统主要采用基于网络安全管理平台的日志及告警分析方式，从日志的采集、保存、分析、攻击图生成等环节引入安全思想，最终形成完整的攻击图，及时追究相关责任人员，提升电力监控系统用户异常行为的追溯能力。

本发明采取构建事件发生链的方法来解决，利用存储的历史告警信息，建立基于ip关联的事件发生树，事件发生树经过处理后得到最终事件发生链，通过计算威胁程度量化总评分作为事件发生链威胁值，当事件发生链威胁值超过设定阀值，则锁定为危险事件，给出警示信息，完成攻击路径的回溯，实现网络威胁溯源的目的。

本发明的一种面向电力监控系统的网络安全威胁溯源方法，参见图1所示，具体处理过程是：从电力监控系统存储的告警日志，提取告警日志的ip信息形成初始事件发生树，经过事件发生树拆分形成事件发生链，最后，对互相连通的事件链分析、威胁评分计算，得到攻击图及警示信息。

具体包括一下过程：

步骤1：定义告警类型与告警等级。

将电力监控系统中日志类型分为外设接入、异常访问、异常登录及危险操作四种告警类型，安全等级分为一般操作、重要操作与紧急操作，与安全等级对应的告警等级分为：0级、1级和2级，这里设置告警类型与告警等级，便于后续步骤对攻击链威胁程度的量化计算。

安全阀值即是危险临界值，超过该值则锁定为危险事件，应重点关注，安全阀值根据系统要求设置，可变更。

常规日志类型、日志子类型及告警等级设置，如下表1所示：

表1日志类型及告警等级

步骤2：依据电力监控系统的日志信息为告警事件建立事件发生树。

具体包括以下过程：

1)建立树节点

日志信息中包括源IP地址信息、目的IP地址信息、告警事件类型、开始时间和结束时间信息等，参见表2所示，一个日志信息中包括三个告警事件，告警事件1记录的是2018-5-3 0:10～2018-5-8 15:47从[192.168.192.10]向目的主机[192.168.20.10]的4808端口的主机扫描事件；从此记录内容中可知到源IP地址为192.168.192.10，目的IP地址为192.168.20.10，告警事件类型为主机扫描件、开始时间为2018-5-3 0:10，结束时间为2018-5-8 15:47；其他告警事件记录内容详见表2，此处不多赘述。

事件发生树是一个由节点和边连接起来的树状结构图，从日志信息中提取的主机IP地址作为事件发生树的节点，连接两节点之间的边表示从源IP地址到目的IP地址的告警事件(包含告警事件类型、开始时间、结束时间等)。

表2日志信息

2)建立事件发生树

电力监控系统告警事件视作是依靠源、目的IP地址首尾连接起来的巨型网络，网络的节点就是主机IP地址。事件发生树就是将这样的网络以树状图的形式构建出来。多事件的结构化表现形式即为事件发生树，以树状图表示网络中的告警事件是为了便于下一步的事件发生链的提取。

事件发生树需要满足三个条件：

·IP关联：后一个告警事件的源IP地址与前一个告警的目的IP地址相同。

·因果相关：后一个告警事件与前一个告警事件在逻辑上构成因果关系。因果关系规则即前一个告警事件为后一个告警事件的起因。

·时序性：后一个告警事件的开始时间大于前一个告警事件的开始时间。

3)对建立的发生树进行聚合处理

如果在设定的一段时间内，事件发生树中，遍历一个节点的子节点集合，如果发现后一个子节点与前一个子节点的告警类型、源IP、目的IP均相同，则对二者进行聚合操作，即将后者的结束时间覆盖前者的结束时间，并删除后一个子节点。

步骤3：对事件发生树进行拆分得到事件发生链。

因为事件发生链是基于建立的事件发生树而得到的，对事件发生树进行深度遍历，而得到不同的事件发生链，就如一颗大树，拆成一个个的树枝，树枝是树的一部分，不同的树枝构成树。事件发生链与事件发生树之间的关系就是部分与整体的关系。也就是说链是树的一部分。

对事件发生树进行拆分得到事件发生链的具体过程为：

1)在获取发生链时，首先要找到链首告警(链首是事件发生链的首节点)，链首告警意味着在此之前没有以该源IP为目的的告警发生。链首告警包括两种情况：一种是告警源IP对应的节点为无双亲节点；另一种是告警源IP对应的节点有双亲，但对应双亲告警的开始时间晚于该告警的开始时间。

2)对应的，我们对事件发生树的深度遍历将进行两次，第一次，从所有的无双亲节点开始进行深度遍历，得到最终的事件发生链集合C；第二次，再对剩余树节点进行深度遍历，得到剩下的发生链，并加入到最终的链集合C中。从事件发生树中拆分的发生链如图3所示。

建立事件发生链算法程序如下所示：

3)建立事件发生链之后，还需要进行进一步的剪枝处理。

如拆分的事件发生链的前后事件并不具备构成攻击行为的因果关系或继发关系，则进行断链处理：

因果关系规则即前一个告警事件为后一个告警事件的起因。在一条攻击链中，如果前后两个告警事件是不存在因果关系，就不可能构成攻击事件，消除这种情况就需要对安全事件发生链进行断链处理；继发关系指如B事件在A事件之后发生，且在A事件发生的事件内B事件没有发生，则称A事件与B事件间存在继发关系。同样的，如果前后两个告警事件不存在继发关系，也不可能构成攻击事件，消除这种情况也需要对安全事件发生链进行断链处理。如图3，如事件2与事件3之间不存在因果关系或继发关系，则进行事件发生链的断链处理，如图4所示。

步骤4：构建威胁量化模型。

生成发生链之后，需要对攻击链进行威胁程度的量化评价，以便于电力监控系统系统维护人员的着手维护，对系统平台的整体态势进行感知。为此，本步骤构建基于攻击链的威胁量化模型。模型涉及方面：告警等级，原始数据中直接附带信息，参考价值最大；攻击尝试事件，同一时间内，相邻IP之间产生的其他告警事件可能是为攻击所作的尝试。

威胁量化模型如下表格所示：发生链的威胁值评价因素为告警等级和攻击尝试事件两个因素，告警等级的评分和攻击尝试事件的评分组合起来作为事件发生链的威胁值。其中告警等级和攻击尝试事件各占一定比重，例如告警等级占60％比重，攻击尝试事件占40％比重。其中攻击尝试事件因素包括告警等级和告警数量两个因素，其中告警等级和告警数量各占一定比重，例如告警等级占80％比重，告警数量占20％比重。

表3威胁量化模型

根据以上定义的威胁模型，对如下事件发生链进行评分过程参见表4，告警等级评分为1，告警尝试事件评分为0，则此事件发生链的威胁值为0.6：

表***发生链威胁程度评分

步骤5：攻击图及警示信息展示。

根据步骤4计算的威胁程度量化计算的总评分，再根据步骤1预定义的安全阀值，若事件发生链威胁值超过预定义的安全阀值，则该条事件发生链则被认定为疑似危险事件，将危险事件以警示信息进行可视化方式展示，生成运维人员便于理解维护的攻击图(攻击图：指一个主机遇到攻击时，追溯其攻击来源的图)，如图5为攻击图示例，实现威胁溯源。

本发明通过上述步骤在电力监控系统中采用建立事件发生链的方式来寻找网络事件攻击者，即从攻击图中描绘出攻击报文在网络中的穿行路线(穿行路线指由一个个的节点连接而成的，带有方向的连接线路)，快速定位攻击源的位置，从而找到攻击者，实现电力监控系统的网络安全威胁的溯源。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本发明的保护范围。