(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210964531.7 (22)申请日 2022.08.10 (71)申请人 国网智能电网研究院有限公司 地址 102209 北京市昌平区未来科技城 滨 河大道18号 申请人 国网上海市电力公司 　 国家电网有限公司 (72)发明人 张道娟　钱珂翔　王玉曼　张錋　 王治华　汪明　金明辉　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 专利代理师 陈丕光 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种攻击行为轨迹发现方法、 装置、 设备及 存储介质 (57)摘要 本发明公开一种攻击行为轨迹发现方法、 装 置、 设备及存储介质， 该方法通过获取电力监控 系统网络中任意两个设备节点之间的访问路径， 然后评估所述访问路径中每台设备节点的节点 脆弱性和所述访问路径中任意两台相邻设备节 点之间的连接链路的链路脆弱性， 从而根据所述 节点脆弱性和所述链路脆弱性评估所述访问路 径的综合脆弱性， 并根据所述 综合脆弱性判断所 述访问路径是否为攻击行为轨迹， 结合节点脆弱 性和链路脆弱性综合判断访问路径是否为攻击 行为轨迹， 攻击行为轨迹发现方式全面， 避免遗 漏攻击行为轨 迹， 安全性较高。 权利要求书3页 说明书9页 附图2页 CN 115333829 A 2022.11.11 CN 115333829 A 1.一种攻击行为轨 迹发现方法， 其特 征在于， 包括： 获取电力监控系统网络中任意两个设备节点之间的访问路径； 评估所述访问路径中每 台设备节点的节点脆弱性， 以及所述访问路径中任意两台相邻 设备节点之间的连接链路的链路脆弱性； 根据所述节点 脆弱性和所述链路脆弱性评估所述访问路径的综合 脆弱性； 根据所述综合 脆弱性判断所述访问路径是否为 攻击行为轨 迹。 2.根据权利要求1所述的攻击行为轨迹发现方法， 其特征在于， 评估所述访问路径中每 台设备节点的节点 脆弱性， 包括： 根据设备节点操作权限、 重要程度、 开放的高危端口数量、 存在的漏洞数量以及被攻破 时的攻击次数中的一种或多种的组合评估所述访问路径中每台设备节点的节点 脆弱性。 3.根据权利要求1所述的攻击行为轨迹发现方法， 其特征在于， 评估所述访问路径中任 意两台相邻设备节点之间的连接链路的链路脆弱性， 包括： 根据任意两台设备节点之间的连接链路是否存在漏洞、 是否有认证、 传输数据是否加 密和是否能被窃听中的一种或多种的组合评估所述访问路径中任意两台相邻设备节点之 间的连接链路的链路脆弱性。 4.根据权利要求1所述的攻击行为轨迹发现方法， 其特征在于， 所述访问路径的综合脆 弱性通过以下公式计算： 其中， Vvul表示访问路径的综合脆弱性， n表示访问路径的设备节点数， α1和α2分别表示 节点脆弱性和链路脆弱性的权重， 且α1+α2＝1， Dvul(i)表示访问路径中设备节点i的节点脆 弱性， 表示访问路径中所有设备节点的节点脆弱性的平均值， Rvul(j)访问路径中连接链 路j的链路脆弱性， 表示访问路径上 所有连接链路的链路脆弱性的平均值。 5.根据权利要求1所述的攻击行为轨迹发现方法， 其特征在于， 根据所述综合脆弱性判 断所述访问路径是否为 攻击行为轨 迹， 包括： 根据所述综合 脆弱性计算目标访问路径受攻击的概 率； 将受攻击的概 率大于概 率阈值的目标访问路径判断为 攻击行为轨 迹。 6.根据权利要求5所述的攻击行为轨迹发现方法， 其特征在于， 根据所述综合脆弱性计 算目标访问路径受攻击的概 率， 包括： 计算任意两个设备节点之间的全部访问路径的综合 脆弱性之和； 将所述目标访问路径的综合脆弱性除以所述综合脆弱性之和， 得到所述目标访问路径 受攻击的概 率。 7.根据权利要求1所述的攻击行为轨迹发现方法， 其特征在于， 获取电力监控系统网络 中任意两个设备节点之间的访问路径， 包括： 根据电力监控系统网络的拓扑 结构生成有向图； 利用深度优先遍历方法对所述有向图进行遍历， 保存遍历过程中发现的任意两个节点 设备之间的访问路径。 8.一种攻击行为轨 迹发现装置， 其特 征在于， 包括：权　利　要　求　书 1/3 页 2 CN 115333829 A 2获取模块， 用于获取电力监控系统网络中任意两个设备节点之间的访问路径； 第一评估 模块， 用于 评估所述访问路径中每台设备节点的节点 脆弱性； 第二评估模块， 用于评估所述访问路径中任意两 台相邻设备节点之间的连接链路的链 路脆弱性； 第三评估模块， 用于根据所述节点脆弱性和所述链路脆弱性评估所述访问路径的综合 脆弱性； 判断模块， 用于根据所述综合 脆弱性判断所述访问路径是否为 攻击行为轨 迹。 9.根据权利要求8所述的攻击行为轨迹发现装置， 其特征在于， 所述第 一评估模块包括 第一计算模块， 所述第一计算模块用于根据设备节点操作权限、 重要程度、 开放的高危端口 数量、 存在的漏洞数量以及被攻破时的攻击次数中的一种或多种的组合评估所述访问路径 中每台设备节点的节点 脆弱性。 10.根据权利要求8所述的攻击行为轨迹发现装置， 其特征在于， 所述第二评估模块包 括第二计算模块， 所述第二计算模块用于根据任意两台设备节点之 间的连接链路是否存在 漏洞、 是否有认证、 传输数据是否加密和是否能被窃听中的一种或多种的组合评估所述访 问路径中任意两台相邻设备节点之间的连接链路的链路脆弱性。 11.根据权利要求8所述的攻击行为轨迹发现装置， 其特征在于， 所述第三评估模块包 括第三计算模块， 所述第三计算模块用于通过以下公式计算访问路径的综合 脆弱性： 其中， Vvul表示访问路径的综合脆弱性， n表示访问路径的设备节点数， α1和α2分别表示 节点脆弱性和链路脆弱性的权重， 且α1+α2＝1， Dvul(i)表示访问路径中设备节点i的节点脆 弱性， 表示访问路径中所有设备节点的节点脆弱性的平均值， Rvul(j)访问路径中连接 链路j的链路脆弱性， 表示访问路径上 所有连接链路的链路脆弱性的平均值。 12.根据权利要求8所述的攻击行为轨迹发现装置， 其特征在于， 所述判断模块包括第 四计算模块和比较模块， 所述第四计算模块用于根据所述综合脆弱性计算目标访问路径受 攻击的概率， 所述比较模块用于将受攻击的概率大于概率阈值的目标访问路径判断为攻击 行为轨迹。 13.根据权利要求12所述的攻击行为轨迹发现装置， 其特征在于， 所述第四计算模块包 括加法单元和除法单元， 所述加法单元用于计算任意两个设备节点之 间的全部访问路径的 综合脆弱性之和， 所述除法单元用于将所述目标访问路径的综合脆弱性除以所述综合脆弱 性之和， 得到所述目标访问路径受攻击的概 率。 14.根据权利要求8所述的攻击行为轨迹发现装置， 其特征在于， 所述获取模块包括生 成模块和遍历模块， 所述生成模块用于根据电力监控系统网络的拓扑结构生成有向图， 所 述遍历模块用于利用深度优先遍历方法对所述有向图进行遍历， 保存遍历过程中发现的任 意两个节点设备之间的访问路径。 15.一种电子设备， 其特征在于， 包括： 存储器和处理器， 所述存储器和所述处理器之间 互相通信连接， 所述存储器存储有计算机指 令， 所述处理器通过执行所述计算机指令， 从而 执行如权利要求1至7任一项所述的攻击行为轨 迹发现方法。权　利　要　求　书 2/3 页 3 CN 115333829 A 3