基于關聯知識圖的電力通信網絡攻擊行為辨識

劉元瑩

（國網江蘇省電力有限公司鎮江供電分公司，江蘇鎮江 212002）

隨著計算機病毒防御機制、云查殺、應用操作系統等多項技術的進一步發展，簡單的病毒攻擊樣本及漏洞檢測行為已經難以滿足現階段網絡對于安全性的要求，主要原因在于當今攻擊形式由多種組合形式快速向著復雜組合式攻擊方向發展，這就使得網絡主體自身所具備的數據的單體防御制度受到嚴峻挑戰[1-2]。在電力通信網絡中，殺毒引擎等多種病毒篩查軟件的存在，雖然能夠過濾大多數通信異常數據，但剩余攻擊數據仍能在該網絡中保持較強的傳輸能力，一方面這類通信數據的大量累計會對通信網絡的穩定性水平造成影響；另一方面也可能造成關鍵信息參量被異常數據所掩蓋，從而造成電力通信網絡數據傳輸能力的快速下降。

為了全面滿足電力通信網絡數據定量與定性分析的需求，傳統攻擊樹模型算法通過同步定義攻擊前述序列與后續序列集合的方式，確定通信數據參量在電力通信網絡中的實際傳輸能力，再借助APT樣本查詢機制，分析通信數據信息的攻擊性強度水平，以此實現網絡攻擊行為辨識。然而，此方法并不能實現對所有通信數據參量的全面有效排查，對于通信數據攻擊行為的抵御能力有限，實際應用效果不佳。為解決此問題，提出基于關聯知識圖的電力通信網絡攻擊行為辨識方法，在確定日志抽取結果的基礎上，對通信性能進行了量化分析，根據已知的隱蔽攻擊強度數值實現電力通信網絡攻擊行為辨識，從而達到有效保障電力通信網絡安全的最終目標。

1 關聯知識圖構建

電力通信網絡的關聯知識圖構建包含日志抽取、直接關系確定、間接關系確定三個處理環節，具體操作方法如下。

1.1 日志抽取

電力通信網絡關聯知識圖的日志抽取行為主要針對具有攻擊能力的Pcap 數據文件進行，為了獲得準確的通信網絡攻擊行為辨識結果，對Pcap 數據文件進行預處理，即使用Bro 框架對已抽取到的日志參量進行重新排列[3-4]。Bro 框架是一種開源型的數據信息流量分析器結構，由網絡事件層、腳本解釋層兩部分組成。其中，網絡事件層可將電力通信網絡中的數據攻擊行為轉化為簡單的網絡事件結構，從中提取與辨析處理相關的參量指標，并將其與待抽取日志文件進行匹配。腳本解釋層可用于編寫并執行與電力通信網絡數據相關的攻擊性行為日志，并可根據Pcap 數據文件的存儲形式，確定單次抽取的執行日志量數值水平[5-6]。設e、r分別代表兩個不同的電力通信數據攻擊強度指標，I代表既定的數據信息關聯系數，可將電力通信網絡關聯知識圖的日志抽取結果表示為：

式中，Ser表示Bro 框架中的電力通信數據重排系數，ye表示攻擊強度為e的電力通信網絡基頻量，yr表示攻擊強度為r的電力通信網絡基頻量。

1.2 直接關系確定

直接關系是對電力通信網絡關聯知識圖日志抽取結果進行處理時，所得到的數據實體之間的關系。不同類型的攻擊行為在本質上所代表的通信數據關系也有所不同，因此在已知日志抽取結果的基礎上，應對不同類型電力通信數據按權重進行賦值，再通過統一定義的方式確定網絡節點之間的關系[7-8]。由于電力通信網絡環境中數據傳輸具有一定的偶然性，因此需要使關聯性賦值參量的選取結果盡可能小，且還需要對攻擊行為日志的抽取結果進行嚴格控制。設Cmax代表電力通信數據在單位時間內的辨識量最大值，u代表通信數據參量的實體定義條件，聯立式（1），可將電力通信網絡攻擊行為的直接關系定義為：

其中，β表示電力通信網絡中的偶然性信息傳輸條件，q表示電力通信數據的傳輸特征量，ε表示通信數據的冪次項傳輸系數。

1.3 間接關系確定

在電力通信網絡環境中，關聯知識圖域名節點之間的數據排列始終滿足間接性查詢需求，即在已知數據信息相似性查詢條件的情況下，可認為由于存在間接關系行為，任何一類信息攻擊行為都會對網絡體系的穩定性造成一定影響，且所有攻擊行為都隸屬于同一數據體系之中。一般來說，隨著電力通信網絡覆蓋范圍的增大，關聯知識圖描述節點之間的關系能力也會越強。為保證攻擊行為辨識結果的準確性，應對數據信息的單位傳輸時長進行嚴格限定[9-10]。設a0代表最小的電力通信數據傳輸辨析量，在信息單位傳輸時長為ΔT、日志文件抽取系數為λ的條件下，聯立式（1），可將電力通信網絡攻擊行為的間接關系定義為：

2 電力通信網絡的攻擊行為辨識算法

在已知關聯知識圖構建原理的情況下，按照通信性能量化分析、隱蔽攻擊強度確定、持續辨識能力研究的處理流程，完成電力通信網絡攻擊行為辨識方法的設計與應用。

2.1 通信性能量化分析

對于電力通信網絡攻擊行為來說，電力通信網絡生存是指數據自身能夠在網絡環境中獲得數據執行的機會，且在處理過程中，任何關聯性問題都不會對數據的傳輸能力造成影響。在關聯知識圖應用下，電力通信網絡必須覆蓋較大的執行范圍空間，且隨著數據傳輸速率、傳輸目的地等外在條件的改變，電力通信網絡的通信性能量化能力也會逐漸發生變化[11-12]。所謂通信性能量化是對電力通信網絡中數據信息傳輸能力的定性化描述，若不考慮其他干擾條件對電力通信網絡通信性能的影響，則可認為待傳輸的通信數據量越大，網絡對于攻擊行為的抵御能力也就越強。設t1、t2分別為電力通信網絡中兩個獨立的數據傳輸時間節點，聯立式（2）、式（3），可將電力網絡攻擊行為的通信性能量化分析結果表示為：

式中，Δx表示單位時間內的電力通信數據傳輸量，μ表示電力通信的定向管理指標。

2.2 隱蔽攻擊強度確定

隱蔽攻擊強度是指通信網絡數據攻擊行為在單位時間內可對電力通信網絡造成的不利影響。一般情況下，電力通信網絡自身所具備的攻擊行為承擔能力越強，相關數據參量能夠對網絡體系所造成的攻擊影響也就越小，也就是通信數據的安全傳輸能力越強[13-14]。電力通信網絡隱蔽攻擊強度確定原理如圖1 所示。

圖1 電力通信網絡隱蔽攻擊強度確定原理

1）數據載體隱蔽：主要指電力通信數據自身所具備的隱蔽性攻擊強度，主要分為靜態通信數據隱蔽和動態通信數據隱蔽兩種表現形式。

2）操作行為隱蔽：指的是電力通信環境中相關設備對隱蔽性攻擊行為的抵御強度，主要包括數據信息運算、通信數據傳輸以及攻擊行為辨識等。

2.3 持續辨識能力研究

持續辨識能力決定了電力通信網絡中攻擊行為檢測指令的執行程度，一般情況下，可根據“步進值”指標來衡量攻擊行為辨識處理結果的可執行性?！安竭M值”可表示通信數據攻擊行為的實際影響能力，在關聯知識圖的作用下，電力通信網絡攻擊行為的持續辨識能力主要體現在如下兩個方面：

1）攻擊性通信數據量的步進：數據量步進主要表現為對于電力通信網絡的控制，該部分決策的執行能力越強，網絡對于數據信息攻擊行為的抵御能力也就越強[15]。

2）攻擊性通信數據質的步進：整個電力通信網絡中的所有信息攻擊行為都滿足辨識性排查原則，且隨著信息收集、滲透處理等指令的執行，通信數據的累積量水平也會不斷提升[16]。

設η代表與電力通信數據匹配的攻擊行為強度指標，m代表攻擊行為辨識指令的執行步進值，f代表攻擊性數據的持續性變化系數，聯立式（4），可將持續辨識能力條件定義為：

至此，完成相關指標參量的計算與處理，在關聯知識圖結構的支持下，實現電力通信網絡攻擊行為辨識方法的設計[17]。

3 實例分析

以圖2 所示的電力網絡通信環境為基礎，閉合所有連接開關后，截取大量的電力通信數據信息參量，并將其分成數量相等的兩部分，其中一部分作為實驗組待測數據，另一部分作為對照組待測數據。實驗過程中，實驗組通信主機搭載基于關聯知識圖的攻擊行為辨識方法，對照組主機搭載傳統的攻擊樹模型算法。

圖2 電力網絡通信環境構設

表1 記錄了數據信息的攻擊行為強度及其單位作用時長。

表1 數據信息的攻擊性能力

分析表1 可知，Ⅰ級、Ⅱ級攻擊強度電力通信數據均具有三個分類標準，且其單位作用時間始終處于10 min 至30 min 之間；Ⅲ級、Ⅳ級攻擊強度電力通信數據均具有兩個分類標準，其單位作用時間處于25 min 至35 min 之間；Ⅴ級攻擊強度電力通信數據只具有一個分類標準，單位作用時間數值為40 min。

分別針對上述具有攻擊能力的通信數據進行實驗。在攻擊數據作用下，電力通信網絡所能表現出的穩定性工作時間越長，其具備的攻擊防御能力也就越強。表2 記錄了實驗組、對照組的具體數值情況。

表2 攻擊行為防御能力

分析表2 可知，隨著數據攻擊行為強度與單位作用時間的延長，實驗組電力通信網絡穩定性工作時間也保持逐漸增加的趨勢，且每一次上升與下降變化的數值幅度都保持相對統一。對照組電力通信網絡穩定性工作時間的變化形式雖然能夠與數據攻擊行為強度與單位作用時間的變化趨勢保持一致，但其單次上升與下降變化并不能完全保持一致，且經過計算其平均數值水平也遠低于實驗組。

綜上可知，應用基于關聯知識圖的辨識方法后，電力通信網絡在高等級數據參量的攻擊影響下，依然能夠長期保持絕對穩定的工作狀態，這說明該方法可以有效抵御電力通信網絡攻擊行為，進而大幅度提升電力通信網絡的安全性。

4 結束語

從宏觀角度來看，電力通信網絡攻擊行為辨識方法先聯合關聯知識圖對數據信息日志進行抽取處理，再分別從直接關系、間接關系兩個方面量化分析通信性能，最后根據隱蔽攻擊強度指標，總結網絡體系在面對數據攻擊行為時所表現出的持續辨識能力，以此實現電力通信網絡攻擊行為辨識。實驗結果顯示，隨著攻擊強度水平的增大，通信網絡所受的干擾性影響極小，能夠繼續保持原有的穩定性運行狀態，在通信數據的定量與定性分析方面具備較高的應用性價值，符合能夠最大化抵御電力通信網絡的數據攻擊行為的應用需求。