[发明专利]基于关系图谱的用采系统数据攻击行为建模方法

说明书

本发明提供一种基于关系图谱的用采系统数据攻击行为建模方法，其包含：S1、获取用采系统的第一相关数据并进行标准化处理；S2、对智能电表进行攻击模拟，接收所述智能电表对应的用采系统的异常数据，解析后得到攻击特征数据集；S3、构建面向所述用采系统攻击的知识表达模型；S4、利用匹配工具将所述第一相关数据与所述异常数据进行匹配；S5、对步骤S4中匹配后的数据进行处理，形成所述用采系统的关系图谱特征数据库；S6、按照用采系统的关系图谱特征数据库构建关系图谱；S7、利用关系图谱，结合基于贝叶斯攻击图的攻击图，分析所述用采系统的被攻击路径。本发明提高了用采系统数据攻击检测的效率和安全防御能力等优势。

技术领域

本发明属于电力信息安全领域，尤其涉及一种基于关系图谱的用采系统数据攻击行为建模方法。

背景技术

目前，以公网侧智能电表作为跳板发起的数据攻击主要分为物理攻击和网络攻击。前者主要通过电磁攻击等手段干扰电流互感器、电压互感器等量测器件的正常工作，后者主要通过DDoS(分布式拒绝服务攻击)、中间人攻击等手段干扰通信网络的正常工作。一些数据攻击检测方法以机理模型为切入点，分析采集的电流、电压、有功、无功、功率因数是否位于合理范围，从而判断智能电表是否遭受数据攻击。此类方法在窃电稽查等业务场景中广泛应用，辅助现场作业人员稽查“断流、失压、移相、改线”等窃电问题。

近年来，针对用采系统(终端)的电磁攻击、中间人攻击频发。该类攻击能够在不造成物理破坏的前提下，在合理范围内篡改量测数据，致使基于机理模型的数据攻击检测方法失效。有鉴于此，一些工作融合机器学习、深度学习、强化学习、知识图谱/关系图谱等技术，提出基于人工智能的数据攻击检测方法。在现有的数据攻击检测方法中，所用到的知识图谱技术主要侧重于构建静态的知识网络，对于发现数据关联性具有重要作用，但其构建过程需要海量的数据攻击知识库，并且执行复杂度和成本较高。

近年来，关系图谱取代知识图谱，在数据攻击检测方面取得了广泛应用。例如，采用图的傅里叶变换和信号处理来表征数据攻击过程中数据向量的关系，通过建立关系图谱来分析数据攻击行为和路径。与知识图谱相比，关系图谱主要描述给定对象的有限状态集合中，特征向量之间的变化关系以及特征向量内部各变量之间的变化关系。具体地，将对象状态表征为由多个变量构成的特征向量，则对象在t时刻的状态表征为对应特征向量在t时刻的取值，对象的状态迁移表征为对应特征向量的时序变化。也就是说，关系图谱侧重于描述对象的状态变化关系，在知识的表征与推理过程中能够凸出重点。电力系统是规模最大的人造信息物理系统，将关系图谱引入用采系统数据攻击检测，能够简化知识表征，强化知识推理。

发明内容

本发明的目的是为了克服现有技术存在的缺陷而提供一种针对用采系统的数据攻击问题，基于关系图谱的用采系统数据攻击建模方法，建立客观反映用采系统的数据模型，构建准确描述用采系统数据攻击的特征图谱。

为实现上述目的，本发明提供一种基于关系图谱的用采系统数据攻击行为建模方法，其包括如下步骤：S1、获取用采系统的第一相关数据并进行标准化处理；S2、对智能电表进行攻击模拟，接收所述智能电表对应的用采系统的异常数据，解析后得到攻击特征数据集；S3、构建面向所述用采系统攻击的知识表达模型；S4、利用匹配工具按照步骤S3中构建的知识表达模型将所述第一相关数据与所述异常数据进行匹配；S5、对步骤S4中匹配后的数据进行清洗、修正、合并，形成所述用采系统的关系图谱特征数据库；S6、按照步骤S5中形成的用采系统的关系图谱特征数据库构建关系图谱；S7、利用步骤S6构建的关系图谱，结合基于贝叶斯攻击图的共攻击图，分析所述用采系统的被攻击路径。

优选的，步骤S1中所述的获取用采系统的第一相关数据并进行标准化处理包括如下步骤：S101、构建用采系统的网络拓扑图，根据所述用采系统的网络拓扑结构图，对网络拓扑结构图中的物理设备和相关接口进行分类；S102、收集用采系统的设备信息、设备日志、使用的各类接口和协议信息，形成所述第一相关数据；S103、对收集到的第一相关数据进行处理，去除异常和不完整的部分，按照相关标准对所述第一相关数据进行校正。