(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211014966.1 (22)申请日 2022.08.23 (71)申请人 广州大学 地址 510006 广东省广州市大 学城外环西 路230号 申请人 中国电力科 学研究院有限公司 　 国网上海市电力公司 (72)发明人 顾钊铨　杨举　朱亚运　王乐　 陈光耀　缪思薇　蔺子卿　张晓娟　 梁栩健　张志强　马丽婷　 (74)专利代理 机构 北京高航知识产权代理有限 公司 11530 专利代理师 王庞 (51)Int.Cl. H04L 9/40(2022.01)H04L 41/0631(2022.01) H04L 41/069(2022.01) (54)发明名称 一种面向电力系统网络安全的多步攻击检 测方法 (57)摘要 本发明涉及网络安全技术领域， 且公开了一 种面向电力系统网络安全的多步攻击检测方法， 包括以下步骤： 多源异构告警数据的匹配和融 合； 告警信息的聚合与关联； 基于因果知识和时 空规则的攻击链模板抽取； 基于攻击链模板和时 空规则约束的多步攻击检测。 本发 明将不同入侵 检测系统按照ATT&C K框架对攻击行为进行融合， 解决不同入侵检测系统在攻击知识库方面异构 的问题； 对原始的告警信息进行特征筛选和重 构， 形成统一的十元组形式的告警日志， 便于综 合分析， 以充分发挥不同入侵检测系统融合的优 势； 对告警信息根据地址相关性进行聚合， 得到 不同类簇， 将不同的攻击行为独立划分， 有利于 针对不同类簇的数据并行挖掘和分析， 可提高系 统分析的速率。 权利要求书1页 说明书6页 附图1页 CN 115459965 A 2022.12.09 CN 115459965 A 1.一种面向电力系统网络安全的多步 攻击检测方法， 其特 征在于， 其包括以下步骤： S1： 多源异构告警数据的匹配和融合； S2： 告警信息的聚合与关联； S3： 基于因果知识和时空规则的攻击链模板抽取； S4： 基于攻击链模板和时空规则约束的多步 攻击检测。 2.根据权利要求1所述的面向电力系统网络安全的多步攻击检测方法， 其特征在于： S1 中告警信息为十元组形式： Ai＝(ID,type,Starttime,Endtime,s_IP,s_Port,d_IP,d_ Port,protoco l,priority)。 3.根据权利要求2所述的面向电力系统网络安全的多步攻击检测方法， 其特征在于： Ai 表示第i个告警信息， ID表示告警编号， type代表攻击类型， 第j种攻击表示为aj， Starttime 代表入侵检测系统检测到攻击行为的开始时间， Endt ime代表检测到的攻击行为结束时间， s_IP、 s_Port代表攻击事件的源IP、 端口号， d_IP、 d_Port代表攻击的目标IP、 端口号， protocol代表攻击行为所使用的协议， pri ority代表告警的级别。 4.根据权利要求1所述的面向电力系统网络安全的多步攻击检测方法， 其特征在于： S1 中告警信息的融合是对不同设备产生的告警信息进行聚合的过程， 包括数据消歧、 去重等。 5.根据权利要求1所述的面向电力系统网络安全的多步攻击检测方法， 其特征在于： S2 是对处理后的告警序列进行聚合。 6.根据权利要求1所述的面向电力系统网络安全的多步攻击检测方法， 其特征在于： S3 中因果关系 是从攻击者的角度看， 其所进行 的攻击行动都是为下一步的攻击做铺垫， 最终 一步一步达到自己的目的， 所以攻击步骤之间存在极强的逻辑因果关系， S3中时空规则是 从时间和空间两个维度对攻击链进行约束。 7.根据权利要求6所述的面向电力系统网络安全的多步攻击检测方法， 其特征在于： 时 间维度的限制主要体现在两个方面： 第一方面是攻击行为的发生时间和结束时间符合既定 的先后顺序， 第二个方面是对两次攻击行为的时间跨度进行限制， 结合电力系统历史攻击 事件的记录判断多步攻击行为存在的活动时间， 以此为依据设置一个时间阈值作为重 建攻 击场景的时间约束。 8.根据权利要求6所述的面向电力系统网络安全的多步攻击检测方法， 其特征在于： 空 间维度上 是根据电力系统本身的网络 拓扑、 资产以及漏洞 信息等设置约束规则。权　利　要　求　书 1/1 页 2 CN 115459965 A 2一种面向电力系统网 络安全的多步攻 击检测方 法 技术领域 [0001]本发明涉及网络安全技术领域， 具体涉及 一种面向电力系统网络安全的多步攻击 检测方法。 背景技术 [0002]随着信息化的推进和发展， 网络已成为现代社会不可或缺的元素， 而网络安全也 日益受到国家层面的高度重视。 随着电力行业数字化、 自动化程度越来越高， 人们在享受信 息技术发展给电力行业带来便利的同时， 也有不法分子通过网络攻击手段对电力系统进 行 攻击尝试， 这样 潜在的安全威胁可造成严重的后果； [0003]网络攻击通常被定义为一种尝试去破坏、 暴露、 修改、 使设备失去功能、 窃取以及 获取未授权许可或者 非法使用资产的行为。 而攻击术语大部 分代表的是单步攻击， 比如SQL 注入攻击， 这些攻击行为仅有一个攻击动作。 复杂攻击由至少 两个单步攻击按特定顺序 组 成， 并且可能由一个或多个攻击者同时向某一特定的对 象发起。 例如目前许多高等教育机 构、 金融企业以及政府机构所遭受的高级持续威胁(advanced  persistent  threat， APT)便 属于多步攻击的范畴。 APT攻击具有高度的目的性、 隐蔽性和危害性， 攻击手段复杂多变， 持 续时间较长； [0004]基于攻击图的多步攻击检测方法通过从大量告警信息中挖掘关联关系， 发现攻击 路径， 达到重现攻击场景的目的， 此类方法受专家知识的限制， 难以检测未知攻击。 基于神 经网络的方法则是通过神经网络模型从海量的告警信息中挖掘未知的攻击路径。 但是此类 方法存在模型不可解释的问题， 导致可能存在较高的误检率、 漏报率。 与此同时， 告警数据 的处理也面临巨大挑战： 首先告警信息的规模巨大， 一个入侵检测系统每天产生的告警可 能达到数百万条， 其中存在很多误报信息和冗余告警信息， 需要对这些告警信息进 行筛选， 从中找到最有价值的告警信息； 其次， 不同的入侵检测系统有不同的知识库， 其发出的告警 信息存在格式、 描述上的不一致， 不利于综合分析， 难以充分发挥不同入侵检测系统融合的 优势。 发明内容 [0005]本发明的目的在于提供一种面向电力系统网络安全的多步攻击检测方法， 以解决 背景技术中的问题。 [0006]为实现上述目的， 本发明提供如下技 术方案： [0007]一种面向电力系统网络安全的多步 攻击检测方法， 包括以下步骤： [0008]S1： 多源异构告警数据的匹配和融合； [0009]S2： 告警信息的聚合与关联； [0010]S3： 基于因果知识和时空规则的攻击链模板抽取； [0011]S4： 基于攻击链模板和时空规则约束的多步 攻击检测。 [0012]优选的， S1中告警信息为十元组形式： Ai＝(ID,type,Starttime,Endtime,  s_IP,说　明　书 1/6 页 3 CN 115459965 A 3