一种基于图神经网络的高等级安全威胁监测方法及系统与流程

本发明涉及一种电力系统网络安全监控方法，尤其涉及一种基于图神经网络的高等级安全威胁监测方法及系统。

背景技术：

1、随着“云、大、物、移、智、链”等新技术深度融入新型电力系统建设，智能设备接入增多，数据信息高度互联，电力系统受攻击面扩大，高等级攻击(apt)对电力系统的安全威胁日益增大，有可能导致极为严峻的后果。高等级网络攻击一般基于未知漏洞，通过供应链、社会工程学等多种先进手段进行多路径组合攻击，具有极强的隐蔽性、针对性和持续性，传统方法难以准确检测并及时清除，易造成严重危害。

技术实现思路

1、发明目的：针对以上问题，本发明提出一种基于图神经网络的高等级安全威胁监测方法及系统，解决了电力监控系统面临的高等级安全威胁的问题。

2、技术方案：本发明所采用的技术方案是一种基于图神经网络的高等级安全威胁监测方法，包括：根据网络安全事件的网络攻击报告和网络安全态势感知系统的历史告警库中的网络攻击报告，构建电力监控系统网络攻击图样本集；

3、对所述电力监控系统网络攻击图样本集进行样本增强；对增强后的电力监控系统网络攻击图样本集进行处理，将处理后的增强电力监控系统网络攻击图样本集作为输入，以高等级网络攻击演化路径为输出训练图神经网络，得到图神经网络模型；

4、对所述高等级网络攻击演化路径上的各关键节点进行安全监测，采集得到各关键节点的安全信息通过所述图神经网络模型分析，得到实时的高等级网络攻击演化路径，当监测到网络安全事件发生时将对应的安全信息上送至网络安全态势感知系统，以更新网络安全态势感知系统。

5、作为本发明所述的基于图神经网络的高等级安全威胁监测方法的一种优选方案，所述构建电力监控系统网络攻击图样本集，包括：从网络安全事件的网络攻击报告和网络安全态势感知系统的历史告警库中的网络攻击报告中提取二元数据对，所述二元数据对包括攻击事件类型、攻击事件发生节点和事件影响；

6、利用所述二元数据对构建网络攻击路径图，所述网络攻击路径图包括多条耦合的攻击链路用以表示不同攻击路径之间的影响和关联。

7、作为本发明所述的基于图神经网络的高等级安全威胁监测方法的一种优选方案，对所述电力监控系统网络攻击图样本集进行样本增强，包括：

8、从构建得到的电力监控系统网络攻击图样本集中随机抽取网络攻击图样本；

9、对抽取的网络攻击图样本进行节点和连线的随机删除和增加，以扩充网络攻击图样本集，并根据att&ck的机理添加符合att&ck机理的拓扑相关节点特征。

10、作为本发明所述的基于图神经网络的高等级安全威胁监测方法的一种优选方案，对增强后的电力监控系统网络攻击图样本集进行处理，包括：

11、根据电力监控系统网络攻击图样本集中的样本，计算对应的特征矩阵a，所述特征矩阵a是一个m×n的矩阵，其中m是图中的节点数，n是每个节点的输入特征数；

12、所述特征矩阵a的每个节点的特征被表示为一个n维的向量，所述n维的向量包括节点的集聚系数和出/入度；

13、所述集聚系数是用于衡量节点在其邻节点中的聚集程度的系数，所述出/入度是用于衡量节点与其他节点连接的紧密程度的系数。

14、作为本发明所述的基于图神经网络的高等级安全威胁监测方法的一种优选方案，所述图神经网络训练的方法包括：

15、输入训练集，计算训练样本中节点n的节点信息；

16、聚合节点n周围的节点信息，学习节点n的嵌入特征，所述嵌入特征表示节点在图中的属性或状态；

17、计算每个特征通道的重要程度系数，通过乘法加权的方式给嵌入特征加权；

18、根据加权后的嵌入特征更新节点n的嵌入表示向量；

19、计算节点n的互信息，并作为所述图神经网络的学习函数；

20、将训练后提取得到的高等级网络攻击演化路径并输出。

21、本发明提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现所述的基于图神经网络的高等级安全威胁监测方法。

22、本发明提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述的基于图神经网络的高等级安全威胁监测方法。

23、本发明提供一种计算机程序产品，包括计算机程序和/或指令，该计算机程序和/或指令被处理器执行时实现所述的基于图神经网络的高等级安全威胁监测方法。

24、本发明提供一种基于图神经网络的高等级安全威胁监测系统，该系统包括安全信息采集模块，安全信息分析模块和告警信息输出模块，还包括历史告警信息输入模块和训练学习模块；

25、所述历史告警信息输入模块，用于：根据网络安全事件的网络攻击报告和网络安全态势感知系统的历史告警库中的网络攻击报告，构建电力监控系统网络攻击图样本集；以及对所述电力监控系统网络攻击图样本集进行样本增强；

26、所述训练学习模块，用于：对增强后的电力监控系统网络攻击图样本集进行处理，将处理后的增强电力监控系统网络攻击图样本集作为输入，以高等级网络攻击演化路径为输出训练图神经网络，得到图神经网络模型；

27、所述安全信息采集模块，用于：对所述高等级网络攻击演化路径上的各关键节点进行安全监测，采集得到各关键节点的安全信息；

28、所述安全信息分析模块，用于：根据采集得到各关键节点的安全信息，通过所述图神经网络模型分析，得到实时的高等级网络攻击演化路径；

29、所述告警信息输出模块，用于：当监测到网络安全事件发生时将对应的安全信息上送至网络安全态势感知系统，以更新网络安全态势感知系统。

30、作为本发明所述的基于图神经网络的高等级安全威胁监测系统的一种优选方案，所述构建电力监控系统网络攻击图样本集，包括：

31、从网络安全事件的网络攻击报告和网络安全态势感知系统的历史告警库中的网络攻击报告中提取二元数据对，所述二元数据对包括攻击事件类型、攻击事件发生节点和事件影响；

32、利用所述二元数据对构建网络攻击路径图，所述网络攻击路径图包括多条耦合的攻击链路用以表示不同攻击路径之间的影响和关联。

33、作为本发明所述的基于图神经网络的高等级安全威胁监测系统的一种优选方案，对所述电力监控系统网络攻击图样本集进行样本增强，包括：

34、从构建得到的电力监控系统网络攻击图样本集中随机抽取网络攻击图样本；

35、对抽取的网络攻击图样本进行节点和连线的随机删除和增加，以扩充网络攻击图样本集，并根据att&ck的机理添加符合att&ck机理的拓扑相关节点特征。

36、作为本发明所述的基于图神经网络的高等级安全威胁监测系统的一种优选方案，对增强后的电力监控系统网络攻击图样本集进行处理，包括：

37、根据电力监控系统网络攻击图样本集中的样本，计算对应的特征矩阵a，所述特征矩阵a是一个m×n的矩阵，其中m是图中的节点数，n是每个节点的输入特征数；

38、所述特征矩阵a的每个节点的特征被表示为一个n维的向量，所述n维的向量包括节点的集聚系数和出/入度；

39、所述集聚系数是用于衡量节点在其邻节点中的聚集程度的系数，所述出/入度是用于衡量节点与其他节点连接的紧密程度的系数。

40、作为本发明所述的基于图神经网络的高等级安全威胁监测系统的一种优选方案，所述训练学习模块，包括：输入端、传播模块和输出端；其中，

41、所述输入端，用于接收和处理训练集，所述处理训练集包括：计算训练样本中节点n的节点信息；

42、所述传播模块，包括顺次连接的聚合模块、自注意力机制模块、更新模块和互信息计算模块，所述聚合模块，用于聚合节点n周围的节点信息，学习节点n的嵌入特征，所述嵌入特征表示节点在图中的属性或状态；所述自注意力机制模块，用于计算每个特征通道的重要程度系数，通过乘法加权的方式给嵌入特征加权；所述更新模块，用于根据加权后的嵌入特征更新节点n的嵌入表示向量；所述互信息计算模块，用于计算节点n的互信息，并作为所述图神经网络的学习函数；

43、所述输出端，用于提取得到的高等级网络攻击演化路径并输出。

44、有益效果：相比于现有技术，本发明具有以下优点：1.本发明融合了安全攻防和图神经网络，将电力企业的网络安全态势感知系统的告警信息抽取提炼作为输入项提供给图神经网络模型，再根据图神经网络模型计算结果，加强对攻击路径关键节点的监控，监控信息可以按需上送给电力企业的网络安全态势感知系统，实现网络安全的动态提升，解决对高等级安全威胁的防护问题。2.本发明利用互联网上的各种网络攻击事件和电力企业网络安全态势感知系统的告警库中提取的风险要素及关联关系构建电力监控系统攻击路径网络，以满足电力监控系统网络安全攻防场景重构的需求，利用图神经网络的方法对电力监控系统的高等级攻击关键演化路径进行提取，可提升电力监控系统网络安全防护关键目标防控的有效性，另外图神经网络利用深度学习直接对图结构数据进行学习，融合了图结构丰富的因果语义表达能力和深度学习深层表示优势。3.本发明将复杂网络的静态结构拓扑指标作为节点的特征向量比，简单的将邻结点数作为节点特征，信息量丰富，更利于电力监控系统网络攻击图特征的提取。4.本发明利用图神经网络模型，对于电力监控系统网络攻击图解释具有很好的适配性能，并且将注意力机制与互信息(mutual information)运用到图神经网络中，可以更好的提取攻击路径网络的关键信息，因此可以达到良好的效果。