[发明专利]一种面向电力系统网络的攻击路径并行预测方法

权利要求书

1.一种面向电力系统网络的攻击路径并行预测方法，包括如下步骤：

(1)将电力系统网络划分为企业网络、控制中心网络和变电站网络三个子网络，分别获取企业子网络、控制中心子网络和变电站子网络的系统信息和漏洞信息，其中系统信息包括网络拓扑信息、设备权限信息以及设备服务进程信息；

(2)对步骤(1)获取的企业子网络、控制中心子网络和变电站子网络的系统信息和漏洞信息分别进行形式化处理，以分别得到企业网络子攻击图、控制中心网络子攻击图和变电站网络子攻击图的生成要素信息；对企业子网络、控制中心子网络和变电站子网络中的每个子网络而言，步骤(2)中形式化处理具体为，

将每个子网络的系统信息中的网络拓扑信息形式化为二元组表示子网络中运行服务进程S_i的第a个设备与运行服务进程S_j的第b个设备之间有通讯连接关系，其中a和b∈[1，子网络中运行服务进程的设备数]，i和j∈[1，子网络中运行的服务进程数]；

将每个子网络的系统信息中的各个设备权限信息形式化为二元组表示子网络中运行服务进程S_i的第a个设备的操作权限，且有k∈[0，3]，其中k＝0时，设备的操作权限为游客权限，k＝1时，设备的操作权限为普通用户权限，即可获得该设备的部分服务权限，k＝2时，设备的操作权限为登录权限，即可获得该设备的限制服务权限，k＝3时，设备的操作权限为根权限，即可获得该设备的所有控制权；

将每个子网络的系统信息中的各个设备服务进程信息形式化为三元组表示运行服务进程S_i的第a个设备，表示获取该服务进程需要设备的操作权限；

将每个子网络的漏洞信息中各个漏洞形式化为三元组S_j表示漏洞B_c利用的服务进程，表示漏洞B_c利用服务进程S_j后获得设备的操作权限其中k′∈[0，3]，c∈[1，子网络中漏洞数]；

(3)根据步骤(2)中获得的企业网络子攻击图、控制中心网络子攻击图和变电站网络子攻击图的生成要素信息，采用并行模式并根据反向DFS算法生成企业网络子攻击图、控制中心网络子攻击图和C个变电站网络子攻击图，以得到C+2个子攻击图，其中C为电力系统网络中变电站的个数；步骤(3)中根据反向DFS算法生成每个子攻击图的过程具体为：

(3-1)利用漏洞信息生成到达起始节点为设备的根权限的部分攻击路径，并根据该部分攻击路径确定当前条件节点为设备的操作权限和服务进程，具体为，

首先，根据生成要素信息获取漏洞信息中能获得起始节点为设备的根权限的漏洞B_d所对应的三元组并获取其中的服务进程S_t，其中t∈[1，子网络中运行的服务进程数]，e∈[1，子网络中运行服务进程的设备数]，d∈[1，子网络中漏洞数]；然后，根据生成要素信息获取服务进程S_t对应的设备服务进程信息三元组即漏洞B_d要利用服务进程S_t，需要运行服务进程S_t的第e个设备的操作权限为接着，根据生成要素信息获取设备对应的设备权限信息二元组即设备的操作权限为最后，漏洞B_d利用设备的操作权限获取服务进程S_t后，利用获取的服务进程S_t获得设备的根权限得到漏洞B_d到达起始节点为根权限的部分攻击路径，并根据该部分攻击路径确定当前条件节点为设备的操作权限和漏洞利用的服务进程S_t；

(3-2)以当前条件节点中设备的操作权限为起始节点，重复上述步骤(3-1)，以得到漏洞到达该起始节点的部分攻击路径，并根据该部分攻击路径确定当前条件节点；

(3-3)不断重复上述步骤(3-2)，直至当前条件节点中设备的操作权限为游客权限为止，此过程中生成的所有的部分攻击路径构成子攻击图的所有攻击路径；

(4)采用并行模式并根据DFS算法计算C+2个子攻击图中各条攻击路径攻击成功的概率，从所有概率中选择最大值对应的攻击路径作为整个电力系统网络中最可能的攻击路径。