基于关系图谱的用采系统数据攻击行为建模方法技术方案

本发明专利技术提供一种基于关系图谱的用采系统数据攻击行为建模方法，其包含：S1、获取用采系统的第一相关数据并进行标准化处理；S2、对智能电表进行攻击模拟，接收所述智能电表对应的用采系统的异常数据，解析后得到攻击特征数据集；S3、构建面向所述用采系统攻击的知识表达模型；S4、利用匹配工具将所述第一相关数据与所述异常数据进行匹配；S5、对步骤S4中匹配后的数据进行处理，形成所述用采系统的关系图谱特征数据库；S6、按照用采系统的关系图谱特征数据库构建关系图谱；S7、利用关系图谱，结合基于贝叶斯攻击图的攻击图，分析所述用采系统的被攻击路径。本发明专利技术提高了用采系统数据攻击检测的效率和安全防御能力等优势。测的效率和安全防御能力等优势。测的效率和安全防御能力等优势。

【技术实现步骤摘要】
基于关系图谱的用采系统数据攻击行为建模方法


[0001]本专利技术属于电力信息安全领域，尤其涉及一种基于关系图谱的用采系统数据攻击行为建模方法。

技术介绍

[0002]目前，以公网侧智能电表作为跳板发起的数据攻击主要分为物理攻击和网络攻击。前者主要通过电磁攻击等手段干扰电流互感器、电压互感器等量测器件的正常工作，后者主要通过DDoS(分布式拒绝服务攻击)、中间人攻击等手段干扰通信网络的正常工作。一些数据攻击检测方法以机理模型为切入点，分析采集的电流、电压、有功、无功、功率因数是否位于合理范围，从而判断智能电表是否遭受数据攻击。此类方法在窃电稽查等业务场景中广泛应用，辅助现场作业人员稽查“断流、失压、移相、改线”等窃电问题。
[0003]近年来，针对用采系统(终端)的电磁攻击、中间人攻击频发。该类攻击能够在不造成物理破坏的前提下，在合理范围内篡改量测数据，致使基于机理模型的数据攻击检测方法失效。有鉴于此，一些工作融合机器学习、深度学习、强化学习、知识图谱/关系图谱等技术，提出基于人工智能的数据攻击检测方法。在现有的数据攻击检测方法中，所用到的知识图谱技术主要侧重于构建静态的知识网络，对于发现数据关联性具有重要作用，但其构建过程需要海量的数据攻击知识库，并且执行复杂度和成本较高。
[0004]近年来，关系图谱取代知识图谱，在数据攻击检测方面取得了广泛应用。例如，采用图的傅里叶变换和信号处理来表征数据攻击过程中数据向量的关系，通过建立关系图谱来分析数据攻击行为和路径。与知识图谱相比，关系图谱主要描述给定对象的有限状态集合中，特征向量之间的变化关系以及特征向量内部各变量之间的变化关系。具体地，将对象状态表征为由多个变量构成的特征向量，则对象在t时刻的状态表征为对应特征向量在t时刻的取值，对象的状态迁移表征为对应特征向量的时序变化。也就是说，关系图谱侧重于描述对象的状态变化关系，在知识的表征与推理过程中能够凸出重点。电力系统是规模最大的人造信息物理系统，将关系图谱引入用采系统数据攻击检测，能够简化知识表征，强化知识推理。

技术实现思路

[0005]本专利技术的目的是为了克服现有技术存在的缺陷而提供一种针对用采系统的数据攻击问题，基于关系图谱的用采系统数据攻击建模方法，建立客观反映用采系统的数据模型，构建准确描述用采系统数据攻击的特征图谱。
[0006]为实现上述目的，本专利技术提供一种基于关系图谱的用采系统数据攻击行为建模方法，其包括如下步骤：S1、获取用采系统的第一相关数据并进行标准化处理；S2、对智能电表进行攻击模拟，接收所述智能电表对应的用采系统的异常数据，解析后得到攻击特征数据集；S3、构建面向所述用采系统攻击的知识表达模型；S4、利用匹配工具按照步骤S3中构建的知识表达模型将所述第一相关数据与所述异常数据进行匹配；S5、对步骤S4中匹配后的
数据进行清洗、修正、合并，形成所述用采系统的关系图谱特征数据库；S6、按照步骤S5中形成的用采系统的关系图谱特征数据库构建关系图谱；S7、利用步骤S6构建的关系图谱，结合基于贝叶斯攻击图的共攻击图，分析所述用采系统的被攻击路径。
[0007]优选的，步骤S1中所述的获取用采系统的第一相关数据并进行标准化处理包括如下步骤：S101、构建用采系统的网络拓扑图，根据所述用采系统的网络拓扑结构图，对网络拓扑结构图中的物理设备和相关接口进行分类；S102、收集用采系统的设备信息、设备日志、使用的各类接口和协议信息，形成所述第一相关数据；S103、对收集到的第一相关数据进行处理，去除异常和不完整的部分，按照相关标准对所述第一相关数据进行校正。
[0008]优选的，步骤S2包括如下步骤：S201、对用采系统的通信过程使用不同攻击行为；S202、对攻击行为进行实时监测，利用探针抓取用采系统的正常报文数据和异常报文数据，解析报文内容，根据报文内容确定报文类型，并根据报文类型确定对应的攻击类型，对报文数据进行标注；S203、收集完各类攻击类型的报文数据后，从攻击的角度对用采系统中各物理设备和相关接口脆弱性的关系进行分析，得到攻击特征数据集。
[0009]优选的，步骤S3所述的构建面向所述用采系统攻击的知识表达模型包括如下步骤：S301、对步骤S1标准化处理过的用采系统第一相关数据进行语义标注；S302、根据关系图谱的构建特征，在第一相关数据和攻击特征数据集中抽取相关的实体关系，构建由实体
‑
关系
‑
实体组成的三元组，形成用采系统攻击的知识表达模型。
[0010]优选的，步骤S4中按照所述知识表达模型匹配数据包括如下步骤：S401、针对不同数据类型的第一相关数据和攻击特征数据集，根据其结构化程度的差异，利用对应的工具进行数据抽取；S402、按照构建的三元组对获取的数据进行匹配保存。
[0011]优选的，步骤S5所述的对步骤S4中匹配后的数据进行清洗、修正、合并包括如下步骤：S501、按照相关规则筛选出冗余的数据并剔除；S502、合并数据流向和路径一致的数据；S503、合并相同设备的数据。
[0012]优选的，步骤S6所述的构建关系图谱包括如下步骤：S601、对处理后的用采系统的关系图谱特征数据库中的各类三元组进行整合和连接，构成结构化的语义网络图谱；S602、将所述语义网络图谱数据存储到数据库中。
[0013]优选的，所述步骤S7中分析所述用采系统的被攻击路径包括如下步骤：S701、利用入侵检测系统对用采系统进行攻击行为告警分析，获取攻击相关数据；S702、根据入侵检测系统检测到的遭受攻击的相关设备节点的状态信息，构造贝叶斯攻击图的攻击节点；S703、根据贝叶斯攻击图计算最大概率的攻击路径，并对该最大概率的攻击路径进行可视化。
[0014]优选的，步骤S703中所述的根据贝叶斯攻击图计算最大概率的攻击路径包括如下步骤：S731、建立贝叶斯攻击图节点的范围；S732、输入步骤S701获取的攻击相关数据；S733、根据条件概率表计算联合概率；S734、建立基于联合树算法的推理引擎；S735、利用从入侵检测系统中获取到的攻击行为进行推理，得到攻击路径。
[0015]优选的，所述贝叶斯攻击图中节点的可达概率可作为攻击路径的查找依据，所述可达概率的计算公式为：
[0016][0017]其中，P1(S
j
)表示贝叶斯攻击图中节点S
j
的可达概率，是当前节点和其祖先节点的
联合概率，P(S
j
|Par(S
j
))表示节点S
j
的条件概率，Par(S
j
)表示节点S
j
父节点的集合。
[0018]综上所述，与现有技术相比，本专利技术提供的一种基于关系图谱的用采系统数据攻击行为建模方法，具有如下有益效果：
[0019]1)通过关系图谱描述用采系统中各类数据之间的关联性，建立数据攻击行为的检测模型，将用采系统的数据攻击检测描述为动态的行为网络，相比静态的知识网本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于关系图谱的用采系统数据攻击行为建模方法，其特征在于，包括如下步骤：S1、获取用采系统的第一相关数据并进行标准化处理；S2、对智能电表进行攻击模拟，接收所述智能电表对应的用采系统的异常数据，解析后得到攻击特征数据集；S3、构建面向所述用采系统攻击的知识表达模型；S4、利用匹配工具按照步骤S3中构建的知识表达模型将所述第一相关数据与所述异常数据进行匹配；S5、对步骤S4中匹配后的数据进行清洗、修正、合并，形成所述用采系统的关系图谱特征数据库；S6、按照步骤S5中形成的用采系统的关系图谱特征数据库构建关系图谱；S7、利用步骤S6构建的关系图谱，结合基于贝叶斯攻击图的共攻击图，分析所述用采系统的被攻击路径。2.如权利要求1所述的基于关系图谱的用采系统数据攻击行为建模方法，其特征在于，步骤S1中所述的获取用采系统的第一相关数据并进行标准化处理包括如下步骤：S101、构建用采系统的网络拓扑图，根据所述用采系统的网络拓扑结构图，对网络拓扑结构图中的物理设备和相关接口进行分类；S102、收集用采系统的设备信息、设备日志、使用的各类接口和协议信息，形成所述第一相关数据；S103、对收集到的第一相关数据进行处理，去除异常和不完整的部分，按照相关标准对所述第一相关数据进行校正。3.如权利要求1所述的基于关系图谱的用采系统数据攻击行为建模方法，其特征在于，步骤S2包括如下步骤：S201、对用采系统的通信过程使用不同攻击行为；S202、对攻击行为进行实时监测，利用探针抓取用采系统的正常报文数据和异常报文数据，解析报文内容，根据报文内容确定报文类型，并根据报文类型确定对应的攻击类型，对报文数据进行标注；S203、收集完各类攻击类型的报文数据后，从攻击的角度对用采系统中各物理设备和相关接口脆弱性的关系进行分析，得到攻击特征数据集。4.如权利要求1所述的基于关系图谱的用采系统数据攻击行为建模方法，其特征在于，步骤S3所述的构建面向所述用采系统攻击的知识表达模型包括如下步骤：S301、对步骤S1标准化处理过的用采系统第一相关数据进行语义标注；S302、根据关系图谱的构建特征，在第一相关数据和攻击特征数据集中抽取相关的实体关系，构建由实体
‑
关系
‑
实体组成的三元组，形成用采系统攻击的知识表达模型。5.如权利要求4所述的基于关系图谱的用采系统数据攻击行为建模方法，其特征在于，步骤S4中按照所述知识表达...

【专利技术属性】
技术研发人员：吴裔，王勇，王真，温蜜，吴欢欢，刘畅，郭乃网，王彬彬，沈泉江，张蕾，田英杰，
申请(专利权)人：上海电力大学，
类型：发明
国别省市：