[发明专利]一种基于脆弱性描述攻击图的电力工控系统网络攻击评估方法

权利要求书

1.一种基于脆弱性描述攻击图的电力工控系统网络攻击评估方法，其特征在于，包括以下步骤：

步骤S01，利用网络爬虫，从漏洞库中收集漏洞基本信息和漏洞描述，形成原始攻击案例；

步骤S02，对原始攻击案例进行清洗、分类与聚类，形成攻击样本；

步骤S03，构建系统网络连接拓扑：

选择目标攻击系统，根据目标攻击系统的业务流程和物理分布构建系统网络连接拓扑，确定系统中包含的设备、设备之间的通信连接和通信方向，得到设备两两之间通信关系的矩阵表达；

步骤S04，构建网络连接权限拓扑：

根据步骤S03所述的系统网络连接拓扑，获取设备间传输信息需要的权限，得到设备两两之间的通信所需最低权限的矩阵表达；

步骤S05，构建电力工控系统组件集合，其中每一个电力工控系统组件由工控设备的固有属性和设备编号构成，所述的固有属性包括设备漏洞、设备功能和设备资产价值，所述的设备漏洞由步骤S02得到；

步骤S06，构建系统状态集合，其中每一个系统状态由步骤S05构建的系统组件和攻击权限构成，表示攻击者所处的设备位置和拥有的设备权限；

步骤S07，构造基于状态的攻击图，所述攻击图由系统状态集合、攻击接入状态集合、攻击目标状态集合、状态迁移关系、攻击起始状态集合和攻击结束状态集合组成；

所述的系统状态集合由步骤S06获得；所述的攻击接入状态集合为攻击场景选定攻击的接入点对应的攻击设备的初始状态；所述的攻击目标状态集合包括系统组件为一次设备、攻击权限为修改配置或更改状态，以及系统组件为控制设备、攻击权限为发送指令或执行代码状态；所述的状态迁移关系为攻击过程中状态之间的转换关系，用于构成攻击图的边；所述攻击起始状态集合和攻击结束状态集合分别由所述状态迁移关系中已有的起始状态和结束状态构成；

步骤S08，根据步骤S07输出的攻击图构造攻击路径，结合步骤S06输出的系统状态集合计算单步攻击路径的可行性、完整攻击路径的可行性和收益，完成电力工控系统网络攻击的评估。

2.根据权利要求1所述的基于脆弱性描述攻击图的电力工控系统网络攻击评估方法，其特征在于，所述的步骤S02包括：

步骤S21，对原始攻击案例中的文本进行分词处理，并对分词后的英文单词进行词干还原和词形还原；

步骤S22，统计文本分词结果的词频数据，去除停用词；

步骤S23，构建表示攻击对象、攻击方法和攻击后果的布尔表达式集合，在步骤S22的结果中依次匹配布尔表达式，匹配成功得分为1，否则为0，根据匹配结果构成0-1向量；

步骤S24，判断S23中向量的组成，若向量中攻击对象、攻击方法或攻击后果任一部分全为0，则此向量为非典型攻击；移除非典型攻击向量，完成数据清洗；

步骤S25，根据预设的分类规则、聚类规则，对S24中的攻击向量进行降维处理，形成攻击样本；所述的分类规则和聚类规则分别对攻击对象、攻击方法、攻击后果三种特征进行分类和聚类。

3.根据权利要求1所述的基于脆弱性描述攻击图的电力工控系统网络攻击评估方法，其特征在于，步骤S03的系统网络连接拓扑中，设备两两之间的通信关系采用0或1表示，构成N×N的矩阵，矩阵中的元素C(DevID₁，DevID₂)＝1表示信息能够从设备DevID₁传输到设备DevID₂，C(DevID₂，DevID₁)＝0表示信息不能够从设备DevID₂传输到设备DevID₁，N为系统包含的设备数量。