[发明专利]基于攻防对抗的电力信息网络安全策略学习装置及方法

摘要

本发明公开了一种基于攻防对抗的电力信息网络安全策略学习装置及方法，包括设备网络、攻击智能体以及防御智能体，若干攻击智能体同时攻击设备网络，若干防御智能体同时防御，在对抗过程中，防御者智能体通过增加防御值来提高对某种类型攻击的防御能力，增加检测值来提高对某种类型攻击的检测能力。随着防御值的提高，攻击智能体使用特定类型的入侵该设备节点越来越困难，但其他计算机设备节点能使用该计算机设备节点的服务的便利性也下降；通过提高检测值，该设备节点成功检测出攻击的可能性也提高，但耗费的计算资源也随之提高。因此，整体网络的总体防御值和检测值应小于等于预设值。通过模拟对抗，以最小的防御和检测代价，获得最优的安全策略。

主权项

1.一种基于攻防对抗的电力信息网络安全策略学习装置，包括设备网络，所述设备网络由若干设备节点通过线路按照拓扑结构连接而成，其特征在于，还包括若干攻击智能体和若干防御智能体，若干攻击智能体同时攻击所述设备网络，若干防御智能体同时防御所述若干攻击智能体，所述若干设备节点包括被入侵后损失较小的一般设备节点和被入侵后损失较大的重要设备节点，所述攻击智能体的目标是自某个一般设备节点入侵某个重要设备节点，所述防御智能体的目标是防止重要设备节点被入侵或在所述攻击智能体入侵某个重要设备节点之前检测到攻击；某个设备节点i定义为Nodei(1≤i≤n)，每个设备节点具有一发现概率；某个攻击智能体x定义为Attacker_x(a₁,L,a_n)，(1≤x≤p)，a_i＝(a_type,a_strength)(1≤i≤n)，其中a_type是攻击类型名，a_strength是1到10之间的一个整数，表示攻击强度；所述攻击智能体x的当前状态包括一已入侵设备节点列表和一相邻设备节点列表记录了截止到t时刻，攻击智能体x已经入侵的设备节点、所使用的攻击类型以及所使用的攻击强度，记录了与攻击智能体x当前设备节点具有连接的相邻设备节点列表，攻击智能体只能访问所已经入侵的设备节点，只能攻击与已入侵设备节点直接连接的设备节点；某个防御智能体y定义为Defender_y(defence,dectect)，(1≤y≤q)，所述防御智能体y的当前状态包括电力系统中所有设备节点的防御信息defence(def₁,L,def_n)和检测信息dectect(det₁,L,det_n)，def_i(1≤i≤n)表示设备节点i对攻击类型a_type的防御值，dectect(det₁,L,det_n)，det_i(1≤i≤n)表示设备节点i对攻击类型a_type的检测值，整个设备网络的总防御值定义为def_all、总可用防御值定义为def_ava、总已用防御值定义为def_used，其中def_all、def_ava、def_used均是大于等于0的整数，且满足：def_all＝def_ava+def_used，整个设备网络的总检测值定义为dec_all、总可用检测值定义为dec_ava、总已用检测值定义为dec_used，其中dec_all、dec_ava、dec_used均是大于等于0的整数，且满足：dec_all＝dec_ava+dec_used，def_all和dec_all的最大值均不超过10*设备网络中所有设备节点数*攻击类型数，def_all及dec_all值人工预先设定；如果攻击智能体x所使用攻击类型的攻击强度值＞某个攻击智能体x所在设备节点i对所受攻击类型的防御值，则某个攻击智能体x对设备节点i的攻击成功；攻击智能体x被防御智能体y检出的概率＝((攻击智能体x所在设备节点i对其所受攻击类型a_type的防御值*攻击智能体x所使用攻击类型a_type的攻击强度值)*攻击智能体x所在设备节点i的发现概率值+攻击智能体x所在设备节点i对其所受攻击类型a_type的检测值)/100*100％；如果某个攻击智能体所使用攻击类型的攻击强度值*检出概率≤某个攻击智能体所在设备节点对其所受攻击类型的检测值，则可以检出是否被入侵；防御智能体y通过增加设备节点i对攻击类型a_type的防御值来提高对攻击智能体x所使用的攻击类型a_type的防御能力，防御智能体y通过增加设备节点i对攻击类型a_type的检测值来提高对攻击智能体x所使用的攻击类型a_type的检测能力。