具体实施方式

现在参考附图介绍本发明的示例性实施方式，然而，本发明可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中，相同的单元/元件使用相同的附图标记。

除非另有说明，此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外，可以理解的是，以通常使用的词典限定的术语，应当被理解为与其相关领域的语境具有一致的含义，而不应该被理解为理想化的或过于正式的意义。

本发明提出了一种评估电力监控系统设备脆弱性威胁程度的方法，如图1所示，包括：

首先，基于网络攻击路径，分析提取攻击行为，开展网络攻击行为难度评价。

之后，综合考虑攻击路径流程和行为难度，计算特定攻击代价下网络攻击成功概率。

最后，结合攻击成功概率和行为难度评价，对攻击路径中涉及的电力监控系统关键设备进行脆弱性威胁程度评估。

(1)求解网络攻击行为综合难度系数，如下：

结合网络攻击场景特点和分布式系统脆弱性评估方法，考虑采用层次分析法和逼近理想解排序法实现攻击行为难度量化分析，具体步骤如下：

1)构建网络攻击行为综合难度评估的层次结构模型；

网络攻击行为综合难度评估的层次结构模型由目标层、准则层、指标层和行为层共四个层级构成，如图2所示，其中，计算得到攻击行为综合难度系数是目标，单独成为目标层元素；与综合难度系统密切相关的攻击者技能以及攻击对象重要配置项，是确定难度系数的参考准则，共同形成了准则层元素；开展攻击者技能、攻击对象配置情况评估时需要获取的具体指标项，比如攻击者掌握的具体技能、攻击对象具体配置条件等，共同形成了指标层元素，为量化分析准则层元素提供依据；各项攻击行为形成了最底层的行为层元素，旨在说明每项攻击行为与指标层元素的攻击难度关系。

模型构建了网络攻击行为和与其关联的各项因素之间的整体关系，通过分层逐一分析，最终得到各项行为的综合难度系数指标。

2)构造判断矩阵；

针对准则层不同因素之间相互重要程度的比较情况，征求专家评分意见，并据此构造准则层对目标层的判断矩阵A(m+1阶)，其中A_ij表示指标i相对于指标j的重要程度。类似地，构造指标层对准则层中攻击者技能、攻击对象配置项1～配置项m的判断矩阵B0(n阶)、B1(p阶)、B2(q阶)、……、Bm(r阶)。

3)求取判断矩阵最大特征向量与一致性检验；

分别求取判断矩阵A、B0、B1、B2、……、Bm的最大特征值及其特征向量W_A、W_B0、W_B1、W_B2、……、W_Bm。由于判断矩阵是根据专家经验给出的判断，因此，不一致性在所难免，但不一致性需在一定范围内才可以被接受。一致性检验就是考察判断不一致程度的方法。一致性检验指标CI定义如下：

式中，n为判断矩阵的阶数，λ_max是最大特征值，当完全一致时，CI＝0。当不一致时，一般n越大，一致性也越差，故引入平均随机一致性指标RI和随机一致性比率CR：

平均随机一致性指标RI是通过随机构造n阶正互反矩阵来得到的，当取充分大的子样时，得到最大特征值平均值λ_ave，进而计算得到RI，每个阶数对应一个RI值。RI的引入在一定程度上克服了一致性检验指标CI随矩阵阶数增大而增大的弊端。在进行一致性判定时，如果随机一致性比率CR＜0.1，则认为不一致性可以被接受；若CR≥0.1，认为不一致性不能接受，需要修改判断矩阵。

4)计算指标层元素对于目标层元素的权重向量；

指标层元素对于目标层元素的权重向量为：

W＝[W_B0，W_B1，W_B2，……，W_Bm]×W_A (4)

5)构造行为层元素对于指标层元素的决策矩阵；

对s个行为的t个指标层元素构造决策矩阵C＝(c_ij)，其中t＝n+p+q+r，i＝1，2，……，s，j＝1，2，……，t，c_ij为第i个行为对于攻破第j项指标的难度赋值，难度越大则c_ij值越大。

对决策矩阵进行标准化，形成标准化矩阵D，其中：

6)构造加权标准化决策矩阵；

加权标准化决策矩阵Z_ij＝W_j×D_ij，其中W_j为W的第j个元素。

7)计算各行为的综合攻击难度系数；

根据逼近理想解排序法，计算正理想解Z+和负理想解Z-，其中：

各行为攻击难度系数与正、负理想解的距离为：

计算理想解贴近度，并结合决策矩阵中难度平均值，计算得到各行为的攻击综合难度系数：

其中，

(2)求解攻击路径的攻击成功概率，如下：

参考可靠性计算方法，定义某次攻击行为成功概率函数为：

其中c为攻击者能够付出的等效攻击代价，C为实现攻击行为所需的等效攻击代价，P(c)越大，代表该行为成功的概率越高。

结合攻击路径图分析，当某条路径中包含的攻击行为数n≥2时，完成某次攻击路径全程的概率为：

(3)求解电力监控系统设备脆弱性威胁评估系数，如下：

基于攻击路径图，构建攻击行为与电力监控系统设备的关联关系图，并据此计算电力监控系统设备i的脆弱性威胁评估系数为：

其中，j为需要经过设备i的攻击路径，P_Sj为该路径的攻击成功概率，DI_obj＝i为攻击路径j中以设备i作为攻击对象的综合攻击难度系数。经过某设备的攻击路径数量n越大、成功概率P_Sj越大、DI_obj＝i越小，则该设备的脆弱性威胁评估系数越大。

以采用IEC 61850标准的某典型变电站监控系统为例，基于网络攻击路径分析，对特定配置条件下6条攻击路径所涉及的关键设备脆弱性威胁进行评估，梳理6条攻击路径中包含的攻击行为如表1所示：

表1

表中标注的是设备具备的功能，对应于IEC 61850标准中的逻辑节点。设备是攻击对象，但其实攻破的是设备的功能。右边是攻击路径中包含的攻击行为编号，构建变电站监控系统网络攻击行为综合难度评估的层次结构模型如图3所示。

采用互反性1～9标度法，对比要素之间相互重要程度，构造准则层对目标层的判断矩阵A、指标层对准则层的判断矩阵B0～B4，计算最大特征值及对应的特征向量，并进行一致性检验。

构造判断矩阵时应充分对比各元素之间的重要程度，并根据衡量结果进行合理赋值，以判断矩阵A为例，通过充分征求专家意见，对攻击者技能、网络环境、目标对象等5个指标之间的重要程度对比情况进行赋值，比如A₁₁为攻击者技能指标与自身的衡量值为1(矩阵对角线元素为指标与自身衡量值均为1)，A₁₂为攻击者技能相对于网络环境的重要程度，假定认为在评估目标层元素时攻击者技能重要程度约为网络环境重要程度的3倍，则A₁₂取值为3；类似地，按照上述规则完成其余矩阵元素赋值，此外，为避免衡量过程中出现严重不一致现象，需对判断矩阵进行一致性检验。

计算结果如下所示：

λ_Amax＝5.0723

λ_B0max＝2.0

λ_B1max＝2.0

λ_B2max＝3.0092

λ_B3max＝3.0183

λ_B4max＝3.0183

针对上述矩阵进行一致性检验，根据统计计算结果，RI值如表2所示：

表2

一致性检验结果如表3所示，上述判断矩阵均通过一致性检验。

表3

计算可得指标层元素对于目标层元素的权重向量为：

W＝[0.0693 0.2079 0.0785 0.0393 0.1435 0.0790 0.2608 0.0099 0.01130.0260 0.0091 0.0238 0.0416]^T

构造行为层元素对于指标层元素的决策矩阵如下：

对决策矩阵进行标准化，形成标准化矩阵如下：

计算得到加权标准化决策矩阵如下：

正理想解Z+和负理想解Z-分别为：

Z⁺＝[0.0423 0.1085 0.0419 0.0187 0.0487 0.0276 0.1284 0.0047 0.00490.0122 0.0040 0.0103 0.0149]

Z^-＝[0.0106 0.0310 0.0105 0.0070 0.0348 0.0215 0.0482 0.0009 0.00140.0061 0.0020 0.0051 0.0085]

各行为攻击难度系数与正、负理想解的距离为：

d⁺＝[0.0871 0.0905 0.1120 0.0520 0.0976 0.0384 0.1010 0.0864 0.10880.0762 0.0606]

d^-＝[0.0405 0.0387 0.0164 0.0913 0.0278 0.0996 0.0344 0.0391 0.02070.0473 0.0686]

计算理想解贴近度，并结合决策矩阵中难度平均值，计算得到各行为的攻击综合难度系数如下：

DI＝[1.5141 1.2450 0.4215 3.0864 1.1072 4.7171 1.1132 1.4616 0.58911.6505 2.5722]计算得到各攻击路径的攻击成功概率(假设攻击代价c＝1)，如表4所示：

表4

计算得到二次系统设备脆弱性威胁评估系数如表5所示：

表5

算例结果显示，远动工作站脆弱性威胁评估系数最低、攻击难度最大，这是因为从调度主站入侵该设备时需经过纵向加密认证装置，增大了入侵难度，智能终端是直接向一次设备下发动作信号的设备，每条攻击路径都需经过该设备，因此，通过综合评估可知其脆弱性威胁系数最高，对上述评估结果进行对比分析可知，该方法计算结果与基于工程经验的设备脆弱性定性认知结果基本一致。

本发明还提出了一种评估电力监控系统设备脆弱性威胁程度的系统200，如图4所示，包括：

难度系数确定模块201，针对电力监控系统的关键设备，确定网络攻击路径，根据网络攻击路径提取攻击行为，结合攻击者技能以及攻击对象配置评价，确定网络攻击行为难度系数；

概率计算模块202，根据网络攻击行为难度系数，确定特定攻击代价下，网络攻击的成功概率；

威胁程度评估模块203，根据成功概率及网络攻击行为难度系数，确定电力监控系统关键设备遭受网络攻击的脆弱性威胁程度。

其中，确定网络攻击行为难度，包括：

根据网络攻击路径，构建用于网络攻击行为难度评估的层次结构模型，所述层次结构模型包括：目标层、准则层、指标层和行为层；

确定准则层中不同因素之间的相互重要程度，构建准则层对目标层的判断矩阵；

确定指标层中不同因素之间的相互重要程度，构建指标层对准则层的判断矩阵；

获取判断矩阵的最大特征值及其特征向量，并对判断矩阵进行一致性校验；

若通过一致性校验，根据最大特征向量确定指标层元素对于目标层元素的权重向量；

建立行为层元素对于指标层元素的决策矩阵；

根据决策矩阵及指标层元素对于目标层元素的权重向量，建立加权标准化决策矩阵；

通过加权标准化决策矩阵确定网络攻击行为难度系数。

其中，层次结构模型，以计算网络攻击行为难度系数作为目标元素，建立目标层；以网络攻击行为的攻击者技能及攻击对象的重要配置项，作为参考准则元素，建立准则层；针对攻击者技能及攻击对象配置情况的评估指标元素，建立指标层；以网络攻击行为的各项行为作为行为元素，建立行为层。

其中，网络攻击的成功概率的确定，包括：根据可靠性计算方法及网络攻击行为难度系数，确定任意一次网络攻击行为的成功概率函数，根据成功概率函数，确定网络攻击的成功概率。

其中，确定电力监控系统关键设备遭受网络攻击的脆弱性威胁程度，具体为：确定网络攻击路径中涉及的电力监控系统关键设备，根据成功概率及网络攻击行为难度系数，建立攻击路径与网络攻击路径中涉及的电力监控系统关键设备的关联关系，根据关联关系确定电力监控系统关键设备遭受网络攻击的脆弱性威胁程度。

本发明在特定攻击者技能、电力监控系统配置条件下，计算得到网络攻击行为综合难度系数，为量化评估攻击行为的难易程度提供技术参考。

本发明在特定攻击代价下，计算得到各条网络攻击路径的成功概率，为对比衡量不同路径攻击难易程度提供量化依据。

本发明对网络攻击路径中涉及的关键设备脆弱性威胁程度进行量化评估，评估结果可为确定网络资产重要程度以及设备防护部署优先级提供技术依据。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请实施例中的方案可以采用各种计算机语言实现，例如，面向对象的程序设计语言Java和直译式脚本语言JavaScript等。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。