知識圖譜的泛在電力物聯(lián)網(wǎng)安全可視化技術(shù)分析

南方電網(wǎng)深圳數(shù)字電網(wǎng)研究院有限公司 溫啟良 黃 兵 張淵淵

本文首先分析了泛在電力物聯(lián)網(wǎng)利用知識圖譜增強安全可視化技術(shù)的意義，然后主要論述了泛在電力物聯(lián)網(wǎng)利用知識圖譜下的安全可視化技術(shù)，如基于知識圖譜的安全架構(gòu)、樣本同源性知識圖譜以及威脅狩獵知識圖譜等，希望可以為相關(guān)人員提供一定的參考，從而增強對泛在電力物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全防護(hù)。

根據(jù)我國政府對建設(shè)泛在電力物聯(lián)網(wǎng)的倡導(dǎo)和要求，相關(guān)電力企業(yè)已經(jīng)開始其建設(shè)工作，將電力網(wǎng)絡(luò)向互通互聯(lián)方向發(fā)展，實現(xiàn)數(shù)據(jù)的交互共享，在建設(shè)過程中其對以往電力網(wǎng)絡(luò)安全防護(hù)體系的要求進(jìn)行了較大程度的提升，需要在其中應(yīng)用安全可視化技術(shù)定位相關(guān)異常事件，降低風(fēng)險，運用知識圖譜進(jìn)行安全分析。

1 泛在電力物聯(lián)網(wǎng)利用知識圖譜增強安全可視化技術(shù)的意義

信息通信技術(shù)和能源革命的發(fā)展推動了泛在電力物聯(lián)網(wǎng)的產(chǎn)生和發(fā)展，是電力行業(yè)對產(chǎn)業(yè)物聯(lián)網(wǎng)的具體應(yīng)用體現(xiàn)。現(xiàn)階段，我國構(gòu)建的泛在電力物聯(lián)網(wǎng)正逐漸轉(zhuǎn)變?yōu)椴杉瘮?shù)據(jù)、區(qū)域自治以及集中控制的模式，將原有功能單一的終端優(yōu)化成為服務(wù)綜合型的終端，利用一系列的開放型設(shè)計，堅持以客戶為中心，向相關(guān)用戶提供快速服務(wù)模式，在這一發(fā)展過程中其會面臨較為復(fù)雜的風(fēng)險和較大的安全威脅。根據(jù)當(dāng)前互聯(lián)網(wǎng)金融以及綜合能源服務(wù)業(yè)務(wù)的發(fā)展情況，需要保證泛在物聯(lián)網(wǎng)交互的安全性，保證其在實現(xiàn)“人－機－物”服務(wù)方式的同時保證系統(tǒng)的安全性。對此，需要進(jìn)行全場景網(wǎng)絡(luò)可視化分析，增強對業(yè)務(wù)風(fēng)險的抵御力，其在安全分析上的主要目標(biāo)是通過對現(xiàn)有的流量、安全日志以及惡意樣本等安全數(shù)據(jù)的有效分析，將其中的威脅情報進(jìn)行提取。基于此，傳統(tǒng)的安全可視化技術(shù)在泛在電力物聯(lián)網(wǎng)規(guī)模不斷被擴大的基礎(chǔ)上，并不能有效的滿足對繁多安全數(shù)據(jù)分析的需求，特別是對于異構(gòu)數(shù)據(jù)的聚合上，需要利用知識圖譜這一可視化分析工具，將情報數(shù)據(jù)進(jìn)行融合，提升泛在電力物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全防護(hù)性。

2 泛在電力物聯(lián)網(wǎng)利用知識圖譜下的安全可視化技術(shù)分析

2.1 基于知識圖譜的安全架構(gòu)

基于知識圖譜的泛在電力物聯(lián)網(wǎng)安全架構(gòu)主要可以分為三層，自上而下依次為安全分析層、數(shù)據(jù)預(yù)處理層以及數(shù)據(jù)采集層。其中，數(shù)據(jù)采集層主要利用防火墻、IDS、漏洞掃描設(shè)備進(jìn)行原始安全數(shù)據(jù)的采集，從而為知識圖譜的構(gòu)建奠定良好的基礎(chǔ)。其實際采集的數(shù)據(jù)類型多種多樣，如流量數(shù)據(jù)、DNS數(shù)據(jù)、網(wǎng)絡(luò)屬性數(shù)據(jù)、日志數(shù)據(jù)以及主機屬性數(shù)據(jù)等，基本都是具有結(jié)構(gòu)化特點的文本信息數(shù)據(jù)，并可以在從數(shù)據(jù)采集層中對其進(jìn)行初步加工處理，提升安全分析的時效性。例如，在分析網(wǎng)絡(luò)屬性數(shù)據(jù)和主機屬性上，數(shù)據(jù)采集層就可以構(gòu)建攻擊圖知識圖譜，提供查詢相應(yīng)信息的攻擊路徑。

數(shù)據(jù)預(yù)處理層會在數(shù)據(jù)采集層初步處理的基礎(chǔ)上進(jìn)一步加工數(shù)據(jù)，構(gòu)建本體模型、攻擊圖生成模型以及異常行為分析模型。安全分析層根據(jù)其加工情況，構(gòu)建具體的知識圖譜進(jìn)行安全分析，其可以通過具體查詢規(guī)則的制定尋找數(shù)據(jù)中的異常現(xiàn)象，包括其異常實體以及異常行為，根據(jù)泛在電力物聯(lián)網(wǎng)現(xiàn)有的風(fēng)險評估模型，開展資產(chǎn)風(fēng)險評估工作。需要相關(guān)人員充分認(rèn)識和理解安全分析層的功能，并通過合理的分析處理將其進(jìn)行擴展，保證將其進(jìn)行最大化的利用，增強基于知識圖譜的泛在電力物聯(lián)網(wǎng)安全架構(gòu)實用性。

2.2 基于知識圖譜的安全分析

基于知識圖譜的泛在電力物聯(lián)網(wǎng)安全可視化技術(shù)需要結(jié)合不同場景構(gòu)建具體的知識圖譜，將知識圖譜切實的應(yīng)用在安全分析中，將實體與實體之間存在的關(guān)系進(jìn)行簡單直觀的描述，并保證和人的思維習(xí)慣相符合，利用其在實體描述上的唯一標(biāo)識特點，將其在泛在電力物聯(lián)網(wǎng)上的安全分析作用進(jìn)行充分發(fā)揮，本文主要從以下三個場景分析知識圖譜在安全分析中的運用。

（1）樣本同源性知識圖譜

泛在電力物聯(lián)網(wǎng)中的安全數(shù)據(jù)能夠?qū)颖就葱赃M(jìn)行多角度的體現(xiàn)，在同源關(guān)系的判斷上有多維度的依據(jù)，如不同樣本使用的回連服務(wù)器是相同的，那么從回連服務(wù)器的角度上來看，這部分的樣本之間就具有同源關(guān)系。對此，可以利用分析惡意樣本的結(jié)果，形式化描述樣本數(shù)據(jù)，將回連之間的關(guān)系和實體集構(gòu)建成為二元組的樣本數(shù)據(jù)。其中實體集需要包括回連實體和樣本實體，相應(yīng)的回連關(guān)系為連接服務(wù)器關(guān)系、dns請求關(guān)系、ur請求關(guān)系、tcp請求關(guān)系、url請求關(guān)系以及http請求關(guān)系。通過系統(tǒng)對請求關(guān)系等信息數(shù)據(jù)的有效分析，給出惡意樣本的本體，運用cypher查詢語句進(jìn)行分析，得出相應(yīng)的“簇”，通過簇中心各個節(jié)點對不同樣本的連接，將樣本的同源性關(guān)系進(jìn)行清晰直觀的表示，為相關(guān)人員提供可視化的樣本同源關(guān)系，幫助其明確各種安全數(shù)據(jù)之間的關(guān)系，增強對安全數(shù)據(jù)分析處理的有效性，保證安全分析質(zhì)量。

（2）威脅狩獵知識圖譜

威脅搜索和其相應(yīng)的關(guān)聯(lián)過程就是威脅狩獵，隨著泛在電力物聯(lián)網(wǎng)的發(fā)展，以往單純找出孤立異常行為并不能有效的保證網(wǎng)絡(luò)安全防護(hù)質(zhì)量，需要針對威脅進(jìn)行深入分析，避免威脅對其實際運用產(chǎn)生不利影響，消除安全隱患。在其中運用知識圖譜可以將其路徑結(jié)構(gòu)進(jìn)行高質(zhì)量的表達(dá)，在既定的威脅狩獵場景下，可以以DNS數(shù)據(jù)和相應(yīng)的日志數(shù)據(jù)為安全分析的基礎(chǔ)，構(gòu)建包含回連關(guān)系和實體集的二元組狩獵數(shù)據(jù)。其中，實體集中應(yīng)當(dāng)包括用戶郵箱地址、DNS地址、主機地址以及樣本的IP地址，其相應(yīng)的管理為郵箱解析關(guān)系、DNS請求關(guān)系、主機解析關(guān)系、掃描關(guān)系以及命令控制關(guān)系，通過對其的數(shù)據(jù)描述得出相應(yīng)的威脅狩獵本體，根據(jù)其中顯示的節(jié)點情況，分析相關(guān)數(shù)據(jù)在各個節(jié)點上是否被進(jìn)行IP變換處理，并根據(jù)具體呈現(xiàn)情況做好相應(yīng)的防御工作，增強泛在電力物聯(lián)網(wǎng)可視化的安全性。例如，根據(jù)知識圖譜分析其在地址上的實際情況，如果部分服務(wù)器存在相同的URL地址，那么則表示服務(wù)器存在IP變換現(xiàn)象，對此就需要相關(guān)人員結(jié)合具體服務(wù)器的實際情況進(jìn)行防御，必要時從內(nèi)網(wǎng)中將其進(jìn)行隔離。

（3）攻擊圖知識圖譜

攻擊圖利用圖結(jié)構(gòu)的形式將泛在電力物聯(lián)網(wǎng)主機間的脆弱關(guān)系進(jìn)行有效反映，常被相關(guān)人員作為分析攻擊路徑、攻擊意圖以及開展風(fēng)險評估的技術(shù)方法，構(gòu)建知識圖譜化的攻擊圖可以將攻擊情況的展示效果進(jìn)行極大程度的提升，提高安全分析的效率。在實際生成攻擊圖的過程中，往往需要多種數(shù)據(jù)支持，如主機描述、脆弱性描述、服務(wù)描述、連接關(guān)系描述以及權(quán)限描述。數(shù)據(jù)相應(yīng)的關(guān)系有主機與主機之間的關(guān)系、主機與脆弱性之間的關(guān)系、主機與服務(wù)之間的關(guān)系、主機權(quán)限之間的關(guān)系，然后利用具體的攻擊規(guī)則模板和數(shù)據(jù)，進(jìn)行自動推理得到最終的攻擊圖，這種攻擊圖也可以將攻擊路徑進(jìn)行表示，但是效果并沒有知識圖譜好，需要通過知識圖譜將其進(jìn)行進(jìn)一步的優(yōu)化，并利用知識圖譜從其他信息數(shù)據(jù)中將知識進(jìn)行集成，完善攻擊圖知識圖譜內(nèi)容，提升安全分析的便利性，便于攻擊者的查找。

結(jié)語：總而言之，泛在電力物聯(lián)網(wǎng)對電網(wǎng)建設(shè)等相關(guān)環(huán)節(jié)起到有效的保障作用，可以將智能電網(wǎng)在各個方面擁有的信息感知廣度和深度進(jìn)行提升，其安全可視化技術(shù)的應(yīng)用具有重要作用，需要相關(guān)人員靈活利用知識圖譜做好安全分析工作，保證泛在電力物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全性，從而促進(jìn)電力行業(yè)的進(jìn)一步發(fā)展。