[发明专利]一种电力信息系统状态转移概率的确定方法

摘要

本发明公开了一种电力信息系统状态转移概率的确定方法，利用信息设备和电力设备的漏洞，向变电站与主站之间的通信渠道进行虚假数据注入攻击,在虚假数据注入下得到被攻击的每个设备的概率分布特征。针对虚假数据注入攻击下的攻击模式，Petri网用于细化网络系统中的重要设备，并基于观察到的实时攻击事件，贝叶斯网络公式用于动态更新攻击行为概率，结果表明，虚假数据注入下变电站设备被攻击的概率分布符合泊松分布。本发明在网络变得复杂时,比传统的方法具有更高的效率,而且在网络发生改变时,易于生成拓扑网络,极其适用于电力信息系统的在线应用。

主权项

1.一种电力信息系统状态转移概率的确定方法，其特征在于，包括以下步骤：步骤1，获取电力信息系统信息，根据电力信息系统信息描述变电站与电网之间注入虚假数据的过程；入侵过程：攻击越过防火墙后，网络攻击者在入侵后扫描Web服务器和入侵数据库技术违反防火墙规则；攻击发生在变电站中，控制中心向物理设备发送指令以作用于物理节点；步骤2，根据系统硬件、软件和网络中的漏洞获取不同攻击的模式以及漏洞利用模式，进而得到利用各种漏洞攻击成功的概率；攻击成功的概率与相关设备的固有漏洞及攻击者的能力有关，计算公式为：其中，C_i表示利用漏洞i的攻击成功概率，U_i表示漏洞i被利用的难易程度，E_i表示漏洞i当前的平均暴露程度，K_i表示攻击者知识水平，PR_i表示攻击熟练度，RE_i表示漏洞i当前的修复程度，m为攻击图中的漏洞数，ω、δ、γ、θ、λ分别表示不同因素对攻击成功概率影响的权重；步骤3，根据步骤1获得的电力信息系统信息，基于Petri网对数据入侵过程进行建模得到PN模型，Petri网的标准图形表示是描述可能的系统局部状态，以及描述修改状态的事件，P＝{P1，P2，...Pm}是一组库所，表示可能的系统局部状态，用圆圈表示，Pm表示设备m被成功攻击的概率，m表示网络通信环境中的设备数，T＝{T1，T2，...Tn}是一组变迁，由条形表示，Tn表示实施变迁的条件，也就是各种网络攻击方式，n表示n种攻击行为，N：是输入矩阵，用于指定从库所到变迁的弧，→表示由两个矩阵相乘得到的结果，O：是输出矩阵，指定从变迁到库所的弧，m0是初始标记，是非负整数的集合，在PN模型中，库所表示可能的系统局部状态，而变迁是导致状态改变的事件或动作；在这些位置上的标记的分布对应于建模系统的状态并且称为标记向量M：其中，M(pi)表示由黑点表示的标记的数量，由标记M指定放置pi；PN模型的初始标记矢量用m0表示；标记向量的变化由从一个或多个地方到一个或多个地方的标记的移动来表示，并且是由变迁的触发引起的；当且仅当M(pi)≥N(pi，tj)对于所有pi∈P时，才启用转换tj∈T；这里，N(pi，tj)对应于输入矩阵的元素，对应于pi∈P和tj∈T；设备分为两种类型，监控设备和控制设备有两种，当该库所中有托肯时，系统会检测到异常数据或控制设备动作，如果没有托肯，则设备处于正常状态，控制设备未运行；每个设备都有漏洞，漏洞的大小不同；变迁用作刺激设备状态发生变化的条件；原始数据的强度根据虚假数据注入按比例改变，在系统初始化之前设置阈值；如果结果超过设定的阈值，则确定发生变迁，即攻击成功，如果未超过阈值，则攻击不成功；从而计算成功攻击的概率；步骤4，根据步骤3建立的PN模型得到入侵传递过程，进而根据步骤2中的利用漏洞的攻击成功概率得到不同路径下的概率分布；在变电站中，攻击传输路径包括单路径和多路径，单路径径意味着攻击路径上的设备只有一个攻击源设备，由于每个攻击对象只有一种攻击模式，Sc_y表示单个路径下的路径攻击概率：Ci表示入侵过程中的设备，n表示入侵过程中设备数目；多路径指的是同一设备上的多个攻击路径，如果设备i被成功攻击为事件Ai，设备m的攻击成功率：其中，P(Am|A1,A2,...An)表示多路径下设备m的攻击成功率，也就是在A1‑An被成功攻击的前提下设备m被攻破的概率。P(Am)表示设备m漏洞被利用的概率，P(A1,A2,...An|Am)表示设备m被攻破的前提下，A1‑An被攻破的概率，Am表示第m个设备被攻破的事件；P(Ai)表示设备i漏洞被利用的概率；通过将变电站设备的动作过程与变电站网络拓扑结合起来，只需要知道petri网的初始标识量，接下来根据步骤2得到各种漏洞攻击成功的概率和步骤3中PN模型得到的攻击路径传递过程，借助EEE33节点标准配电系统；当由于虚假数据注入攻击而发生功率不平衡时，优先调整或切断中断的负载节点，从而确保系统的安全运行。