基于關(guān)聯(lián)知識圖的電力通信網(wǎng)絡(luò)攻擊行為辨識

劉元瑩

（國網(wǎng)江蘇省電力有限公司鎮(zhèn)江供電分公司，江蘇鎮(zhèn)江 212002）

隨著計算機病毒防御機制、云查殺、應(yīng)用操作系統(tǒng)等多項技術(shù)的進一步發(fā)展，簡單的病毒攻擊樣本及漏洞檢測行為已經(jīng)難以滿足現(xiàn)階段網(wǎng)絡(luò)對于安全性的要求，主要原因在于當(dāng)今攻擊形式由多種組合形式快速向著復(fù)雜組合式攻擊方向發(fā)展，這就使得網(wǎng)絡(luò)主體自身所具備的數(shù)據(jù)的單體防御制度受到嚴(yán)峻挑戰(zhàn)[1-2]。在電力通信網(wǎng)絡(luò)中，殺毒引擎等多種病毒篩查軟件的存在，雖然能夠過濾大多數(shù)通信異常數(shù)據(jù)，但剩余攻擊數(shù)據(jù)仍能在該網(wǎng)絡(luò)中保持較強的傳輸能力，一方面這類通信數(shù)據(jù)的大量累計會對通信網(wǎng)絡(luò)的穩(wěn)定性水平造成影響；另一方面也可能造成關(guān)鍵信息參量被異常數(shù)據(jù)所掩蓋，從而造成電力通信網(wǎng)絡(luò)數(shù)據(jù)傳輸能力的快速下降。

為了全面滿足電力通信網(wǎng)絡(luò)數(shù)據(jù)定量與定性分析的需求，傳統(tǒng)攻擊樹模型算法通過同步定義攻擊前述序列與后續(xù)序列集合的方式，確定通信數(shù)據(jù)參量在電力通信網(wǎng)絡(luò)中的實際傳輸能力，再借助APT樣本查詢機制，分析通信數(shù)據(jù)信息的攻擊性強度水平，以此實現(xiàn)網(wǎng)絡(luò)攻擊行為辨識。然而，此方法并不能實現(xiàn)對所有通信數(shù)據(jù)參量的全面有效排查，對于通信數(shù)據(jù)攻擊行為的抵御能力有限，實際應(yīng)用效果不佳。為解決此問題，提出基于關(guān)聯(lián)知識圖的電力通信網(wǎng)絡(luò)攻擊行為辨識方法，在確定日志抽取結(jié)果的基礎(chǔ)上，對通信性能進行了量化分析，根據(jù)已知的隱蔽攻擊強度數(shù)值實現(xiàn)電力通信網(wǎng)絡(luò)攻擊行為辨識，從而達到有效保障電力通信網(wǎng)絡(luò)安全的最終目標(biāo)。

1 關(guān)聯(lián)知識圖構(gòu)建

電力通信網(wǎng)絡(luò)的關(guān)聯(lián)知識圖構(gòu)建包含日志抽取、直接關(guān)系確定、間接關(guān)系確定三個處理環(huán)節(jié)，具體操作方法如下。

1.1 日志抽取

電力通信網(wǎng)絡(luò)關(guān)聯(lián)知識圖的日志抽取行為主要針對具有攻擊能力的Pcap 數(shù)據(jù)文件進行，為了獲得準(zhǔn)確的通信網(wǎng)絡(luò)攻擊行為辨識結(jié)果，對Pcap 數(shù)據(jù)文件進行預(yù)處理，即使用Bro 框架對已抽取到的日志參量進行重新排列[3-4]。Bro 框架是一種開源型的數(shù)據(jù)信息流量分析器結(jié)構(gòu)，由網(wǎng)絡(luò)事件層、腳本解釋層兩部分組成。其中，網(wǎng)絡(luò)事件層可將電力通信網(wǎng)絡(luò)中的數(shù)據(jù)攻擊行為轉(zhuǎn)化為簡單的網(wǎng)絡(luò)事件結(jié)構(gòu)，從中提取與辨析處理相關(guān)的參量指標(biāo)，并將其與待抽取日志文件進行匹配。腳本解釋層可用于編寫并執(zhí)行與電力通信網(wǎng)絡(luò)數(shù)據(jù)相關(guān)的攻擊性行為日志，并可根據(jù)Pcap 數(shù)據(jù)文件的存儲形式，確定單次抽取的執(zhí)行日志量數(shù)值水平[5-6]。設(shè)e、r分別代表兩個不同的電力通信數(shù)據(jù)攻擊強度指標(biāo)，I代表既定的數(shù)據(jù)信息關(guān)聯(lián)系數(shù)，可將電力通信網(wǎng)絡(luò)關(guān)聯(lián)知識圖的日志抽取結(jié)果表示為：

式中，Ser表示Bro 框架中的電力通信數(shù)據(jù)重排系數(shù)，ye表示攻擊強度為e的電力通信網(wǎng)絡(luò)基頻量，yr表示攻擊強度為r的電力通信網(wǎng)絡(luò)基頻量。

1.2 直接關(guān)系確定

直接關(guān)系是對電力通信網(wǎng)絡(luò)關(guān)聯(lián)知識圖日志抽取結(jié)果進行處理時，所得到的數(shù)據(jù)實體之間的關(guān)系。不同類型的攻擊行為在本質(zhì)上所代表的通信數(shù)據(jù)關(guān)系也有所不同，因此在已知日志抽取結(jié)果的基礎(chǔ)上，應(yīng)對不同類型電力通信數(shù)據(jù)按權(quán)重進行賦值，再通過統(tǒng)一定義的方式確定網(wǎng)絡(luò)節(jié)點之間的關(guān)系[7-8]。由于電力通信網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)傳輸具有一定的偶然性，因此需要使關(guān)聯(lián)性賦值參量的選取結(jié)果盡可能小，且還需要對攻擊行為日志的抽取結(jié)果進行嚴(yán)格控制。設(shè)Cmax代表電力通信數(shù)據(jù)在單位時間內(nèi)的辨識量最大值，u代表通信數(shù)據(jù)參量的實體定義條件，聯(lián)立式（1），可將電力通信網(wǎng)絡(luò)攻擊行為的直接關(guān)系定義為：

其中，β表示電力通信網(wǎng)絡(luò)中的偶然性信息傳輸條件，q表示電力通信數(shù)據(jù)的傳輸特征量，ε表示通信數(shù)據(jù)的冪次項傳輸系數(shù)。

1.3 間接關(guān)系確定

在電力通信網(wǎng)絡(luò)環(huán)境中，關(guān)聯(lián)知識圖域名節(jié)點之間的數(shù)據(jù)排列始終滿足間接性查詢需求，即在已知數(shù)據(jù)信息相似性查詢條件的情況下，可認(rèn)為由于存在間接關(guān)系行為，任何一類信息攻擊行為都會對網(wǎng)絡(luò)體系的穩(wěn)定性造成一定影響，且所有攻擊行為都隸屬于同一數(shù)據(jù)體系之中。一般來說，隨著電力通信網(wǎng)絡(luò)覆蓋范圍的增大，關(guān)聯(lián)知識圖描述節(jié)點之間的關(guān)系能力也會越強。為保證攻擊行為辨識結(jié)果的準(zhǔn)確性，應(yīng)對數(shù)據(jù)信息的單位傳輸時長進行嚴(yán)格限定[9-10]。設(shè)a0代表最小的電力通信數(shù)據(jù)傳輸辨析量，在信息單位傳輸時長為ΔT、日志文件抽取系數(shù)為λ的條件下，聯(lián)立式（1），可將電力通信網(wǎng)絡(luò)攻擊行為的間接關(guān)系定義為：

2 電力通信網(wǎng)絡(luò)的攻擊行為辨識算法

在已知關(guān)聯(lián)知識圖構(gòu)建原理的情況下，按照通信性能量化分析、隱蔽攻擊強度確定、持續(xù)辨識能力研究的處理流程，完成電力通信網(wǎng)絡(luò)攻擊行為辨識方法的設(shè)計與應(yīng)用。

2.1 通信性能量化分析

對于電力通信網(wǎng)絡(luò)攻擊行為來說，電力通信網(wǎng)絡(luò)生存是指數(shù)據(jù)自身能夠在網(wǎng)絡(luò)環(huán)境中獲得數(shù)據(jù)執(zhí)行的機會，且在處理過程中，任何關(guān)聯(lián)性問題都不會對數(shù)據(jù)的傳輸能力造成影響。在關(guān)聯(lián)知識圖應(yīng)用下，電力通信網(wǎng)絡(luò)必須覆蓋較大的執(zhí)行范圍空間，且隨著數(shù)據(jù)傳輸速率、傳輸目的地等外在條件的改變，電力通信網(wǎng)絡(luò)的通信性能量化能力也會逐漸發(fā)生變化[11-12]。所謂通信性能量化是對電力通信網(wǎng)絡(luò)中數(shù)據(jù)信息傳輸能力的定性化描述，若不考慮其他干擾條件對電力通信網(wǎng)絡(luò)通信性能的影響，則可認(rèn)為待傳輸?shù)耐ㄐ艛?shù)據(jù)量越大，網(wǎng)絡(luò)對于攻擊行為的抵御能力也就越強。設(shè)t1、t2分別為電力通信網(wǎng)絡(luò)中兩個獨立的數(shù)據(jù)傳輸時間節(jié)點，聯(lián)立式（2）、式（3），可將電力網(wǎng)絡(luò)攻擊行為的通信性能量化分析結(jié)果表示為：

式中，Δx表示單位時間內(nèi)的電力通信數(shù)據(jù)傳輸量，μ表示電力通信的定向管理指標(biāo)。

2.2 隱蔽攻擊強度確定

隱蔽攻擊強度是指通信網(wǎng)絡(luò)數(shù)據(jù)攻擊行為在單位時間內(nèi)可對電力通信網(wǎng)絡(luò)造成的不利影響。一般情況下，電力通信網(wǎng)絡(luò)自身所具備的攻擊行為承擔(dān)能力越強，相關(guān)數(shù)據(jù)參量能夠?qū)W(wǎng)絡(luò)體系所造成的攻擊影響也就越小，也就是通信數(shù)據(jù)的安全傳輸能力越強[13-14]。電力通信網(wǎng)絡(luò)隱蔽攻擊強度確定原理如圖1 所示。

圖1 電力通信網(wǎng)絡(luò)隱蔽攻擊強度確定原理

1）數(shù)據(jù)載體隱蔽：主要指電力通信數(shù)據(jù)自身所具備的隱蔽性攻擊強度，主要分為靜態(tài)通信數(shù)據(jù)隱蔽和動態(tài)通信數(shù)據(jù)隱蔽兩種表現(xiàn)形式。

2）操作行為隱蔽：指的是電力通信環(huán)境中相關(guān)設(shè)備對隱蔽性攻擊行為的抵御強度，主要包括數(shù)據(jù)信息運算、通信數(shù)據(jù)傳輸以及攻擊行為辨識等。

2.3 持續(xù)辨識能力研究

持續(xù)辨識能力決定了電力通信網(wǎng)絡(luò)中攻擊行為檢測指令的執(zhí)行程度，一般情況下，可根據(jù)“步進值”指標(biāo)來衡量攻擊行為辨識處理結(jié)果的可執(zhí)行性。“步進值”可表示通信數(shù)據(jù)攻擊行為的實際影響能力，在關(guān)聯(lián)知識圖的作用下，電力通信網(wǎng)絡(luò)攻擊行為的持續(xù)辨識能力主要體現(xiàn)在如下兩個方面：

1）攻擊性通信數(shù)據(jù)量的步進：數(shù)據(jù)量步進主要表現(xiàn)為對于電力通信網(wǎng)絡(luò)的控制，該部分決策的執(zhí)行能力越強，網(wǎng)絡(luò)對于數(shù)據(jù)信息攻擊行為的抵御能力也就越強[15]。

2）攻擊性通信數(shù)據(jù)質(zhì)的步進：整個電力通信網(wǎng)絡(luò)中的所有信息攻擊行為都滿足辨識性排查原則，且隨著信息收集、滲透處理等指令的執(zhí)行，通信數(shù)據(jù)的累積量水平也會不斷提升[16]。

設(shè)η代表與電力通信數(shù)據(jù)匹配的攻擊行為強度指標(biāo)，m代表攻擊行為辨識指令的執(zhí)行步進值，f代表攻擊性數(shù)據(jù)的持續(xù)性變化系數(shù)，聯(lián)立式（4），可將持續(xù)辨識能力條件定義為：

至此，完成相關(guān)指標(biāo)參量的計算與處理，在關(guān)聯(lián)知識圖結(jié)構(gòu)的支持下，實現(xiàn)電力通信網(wǎng)絡(luò)攻擊行為辨識方法的設(shè)計[17]。

3 實例分析

以圖2 所示的電力網(wǎng)絡(luò)通信環(huán)境為基礎(chǔ)，閉合所有連接開關(guān)后，截取大量的電力通信數(shù)據(jù)信息參量，并將其分成數(shù)量相等的兩部分，其中一部分作為實驗組待測數(shù)據(jù)，另一部分作為對照組待測數(shù)據(jù)。實驗過程中，實驗組通信主機搭載基于關(guān)聯(lián)知識圖的攻擊行為辨識方法，對照組主機搭載傳統(tǒng)的攻擊樹模型算法。

圖2 電力網(wǎng)絡(luò)通信環(huán)境構(gòu)設(shè)

表1 記錄了數(shù)據(jù)信息的攻擊行為強度及其單位作用時長。

表1 數(shù)據(jù)信息的攻擊性能力

分析表1 可知，Ⅰ級、Ⅱ級攻擊強度電力通信數(shù)據(jù)均具有三個分類標(biāo)準(zhǔn)，且其單位作用時間始終處于10 min 至30 min 之間；Ⅲ級、Ⅳ級攻擊強度電力通信數(shù)據(jù)均具有兩個分類標(biāo)準(zhǔn)，其單位作用時間處于25 min 至35 min 之間；Ⅴ級攻擊強度電力通信數(shù)據(jù)只具有一個分類標(biāo)準(zhǔn)，單位作用時間數(shù)值為40 min。

分別針對上述具有攻擊能力的通信數(shù)據(jù)進行實驗。在攻擊數(shù)據(jù)作用下，電力通信網(wǎng)絡(luò)所能表現(xiàn)出的穩(wěn)定性工作時間越長，其具備的攻擊防御能力也就越強。表2 記錄了實驗組、對照組的具體數(shù)值情況。

表2 攻擊行為防御能力

分析表2 可知，隨著數(shù)據(jù)攻擊行為強度與單位作用時間的延長，實驗組電力通信網(wǎng)絡(luò)穩(wěn)定性工作時間也保持逐漸增加的趨勢，且每一次上升與下降變化的數(shù)值幅度都保持相對統(tǒng)一。對照組電力通信網(wǎng)絡(luò)穩(wěn)定性工作時間的變化形式雖然能夠與數(shù)據(jù)攻擊行為強度與單位作用時間的變化趨勢保持一致，但其單次上升與下降變化并不能完全保持一致，且經(jīng)過計算其平均數(shù)值水平也遠低于實驗組。

綜上可知，應(yīng)用基于關(guān)聯(lián)知識圖的辨識方法后，電力通信網(wǎng)絡(luò)在高等級數(shù)據(jù)參量的攻擊影響下，依然能夠長期保持絕對穩(wěn)定的工作狀態(tài)，這說明該方法可以有效抵御電力通信網(wǎng)絡(luò)攻擊行為，進而大幅度提升電力通信網(wǎng)絡(luò)的安全性。

4 結(jié)束語

從宏觀角度來看，電力通信網(wǎng)絡(luò)攻擊行為辨識方法先聯(lián)合關(guān)聯(lián)知識圖對數(shù)據(jù)信息日志進行抽取處理，再分別從直接關(guān)系、間接關(guān)系兩個方面量化分析通信性能，最后根據(jù)隱蔽攻擊強度指標(biāo)，總結(jié)網(wǎng)絡(luò)體系在面對數(shù)據(jù)攻擊行為時所表現(xiàn)出的持續(xù)辨識能力，以此實現(xiàn)電力通信網(wǎng)絡(luò)攻擊行為辨識。實驗結(jié)果顯示，隨著攻擊強度水平的增大，通信網(wǎng)絡(luò)所受的干擾性影響極小，能夠繼續(xù)保持原有的穩(wěn)定性運行狀態(tài)，在通信數(shù)據(jù)的定量與定性分析方面具備較高的應(yīng)用性價值，符合能夠最大化抵御電力通信網(wǎng)絡(luò)的數(shù)據(jù)攻擊行為的應(yīng)用需求。