知識圖譜的泛在電力物聯(lián)網(wǎng)安全可視化技術(shù)分析

南方電網(wǎng)深圳數(shù)字電網(wǎng)研究院有限公司 溫啟良 黃 兵 張淵淵

本文首先分析了泛在電力物聯(lián)網(wǎng)利用知識圖譜增強安全可視化技術(shù)的意義，然后主要論述了泛在電力物聯(lián)網(wǎng)利用知識圖譜下的安全可視化技術(shù)，如基于知識圖譜的安全架構(gòu)、樣本同源性知識圖譜以及威脅狩獵知識圖譜等，希望可以為相關(guān)人員提供一定的參考，從而增強對泛在電力物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全防護。

根據(jù)我國政府對建設(shè)泛在電力物聯(lián)網(wǎng)的倡導和要求，相關(guān)電力企業(yè)已經(jīng)開始其建設(shè)工作，將電力網(wǎng)絡(luò)向互通互聯(lián)方向發(fā)展，實現(xiàn)數(shù)據(jù)的交互共享，在建設(shè)過程中其對以往電力網(wǎng)絡(luò)安全防護體系的要求進行了較大程度的提升，需要在其中應(yīng)用安全可視化技術(shù)定位相關(guān)異常事件，降低風險，運用知識圖譜進行安全分析。

1 泛在電力物聯(lián)網(wǎng)利用知識圖譜增強安全可視化技術(shù)的意義

信息通信技術(shù)和能源革命的發(fā)展推動了泛在電力物聯(lián)網(wǎng)的產(chǎn)生和發(fā)展，是電力行業(yè)對產(chǎn)業(yè)物聯(lián)網(wǎng)的具體應(yīng)用體現(xiàn)。現(xiàn)階段，我國構(gòu)建的泛在電力物聯(lián)網(wǎng)正逐漸轉(zhuǎn)變?yōu)椴杉瘮?shù)據(jù)、區(qū)域自治以及集中控制的模式，將原有功能單一的終端優(yōu)化成為服務(wù)綜合型的終端，利用一系列的開放型設(shè)計，堅持以客戶為中心，向相關(guān)用戶提供快速服務(wù)模式，在這一發(fā)展過程中其會面臨較為復雜的風險和較大的安全威脅。根據(jù)當前互聯(lián)網(wǎng)金融以及綜合能源服務(wù)業(yè)務(wù)的發(fā)展情況，需要保證泛在物聯(lián)網(wǎng)交互的安全性，保證其在實現(xiàn)“人－機－物”服務(wù)方式的同時保證系統(tǒng)的安全性。對此，需要進行全場景網(wǎng)絡(luò)可視化分析，增強對業(yè)務(wù)風險的抵御力，其在安全分析上的主要目標是通過對現(xiàn)有的流量、安全日志以及惡意樣本等安全數(shù)據(jù)的有效分析，將其中的威脅情報進行提取?；诖?，傳統(tǒng)的安全可視化技術(shù)在泛在電力物聯(lián)網(wǎng)規(guī)模不斷被擴大的基礎(chǔ)上，并不能有效的滿足對繁多安全數(shù)據(jù)分析的需求，特別是對于異構(gòu)數(shù)據(jù)的聚合上，需要利用知識圖譜這一可視化分析工具，將情報數(shù)據(jù)進行融合，提升泛在電力物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全防護性。

2 泛在電力物聯(lián)網(wǎng)利用知識圖譜下的安全可視化技術(shù)分析

2.1 基于知識圖譜的安全架構(gòu)

基于知識圖譜的泛在電力物聯(lián)網(wǎng)安全架構(gòu)主要可以分為三層，自上而下依次為安全分析層、數(shù)據(jù)預處理層以及數(shù)據(jù)采集層。其中，數(shù)據(jù)采集層主要利用防火墻、IDS、漏洞掃描設(shè)備進行原始安全數(shù)據(jù)的采集，從而為知識圖譜的構(gòu)建奠定良好的基礎(chǔ)。其實際采集的數(shù)據(jù)類型多種多樣，如流量數(shù)據(jù)、DNS數(shù)據(jù)、網(wǎng)絡(luò)屬性數(shù)據(jù)、日志數(shù)據(jù)以及主機屬性數(shù)據(jù)等，基本都是具有結(jié)構(gòu)化特點的文本信息數(shù)據(jù)，并可以在從數(shù)據(jù)采集層中對其進行初步加工處理，提升安全分析的時效性。例如，在分析網(wǎng)絡(luò)屬性數(shù)據(jù)和主機屬性上，數(shù)據(jù)采集層就可以構(gòu)建攻擊圖知識圖譜，提供查詢相應(yīng)信息的攻擊路徑。

數(shù)據(jù)預處理層會在數(shù)據(jù)采集層初步處理的基礎(chǔ)上進一步加工數(shù)據(jù)，構(gòu)建本體模型、攻擊圖生成模型以及異常行為分析模型。安全分析層根據(jù)其加工情況，構(gòu)建具體的知識圖譜進行安全分析，其可以通過具體查詢規(guī)則的制定尋找數(shù)據(jù)中的異?，F(xiàn)象，包括其異常實體以及異常行為，根據(jù)泛在電力物聯(lián)網(wǎng)現(xiàn)有的風險評估模型，開展資產(chǎn)風險評估工作。需要相關(guān)人員充分認識和理解安全分析層的功能，并通過合理的分析處理將其進行擴展，保證將其進行最大化的利用，增強基于知識圖譜的泛在電力物聯(lián)網(wǎng)安全架構(gòu)實用性。

2.2 基于知識圖譜的安全分析

基于知識圖譜的泛在電力物聯(lián)網(wǎng)安全可視化技術(shù)需要結(jié)合不同場景構(gòu)建具體的知識圖譜，將知識圖譜切實的應(yīng)用在安全分析中，將實體與實體之間存在的關(guān)系進行簡單直觀的描述，并保證和人的思維習慣相符合，利用其在實體描述上的唯一標識特點，將其在泛在電力物聯(lián)網(wǎng)上的安全分析作用進行充分發(fā)揮，本文主要從以下三個場景分析知識圖譜在安全分析中的運用。

（1）樣本同源性知識圖譜

泛在電力物聯(lián)網(wǎng)中的安全數(shù)據(jù)能夠?qū)颖就葱赃M行多角度的體現(xiàn)，在同源關(guān)系的判斷上有多維度的依據(jù)，如不同樣本使用的回連服務(wù)器是相同的，那么從回連服務(wù)器的角度上來看，這部分的樣本之間就具有同源關(guān)系。對此，可以利用分析惡意樣本的結(jié)果，形式化描述樣本數(shù)據(jù)，將回連之間的關(guān)系和實體集構(gòu)建成為二元組的樣本數(shù)據(jù)。其中實體集需要包括回連實體和樣本實體，相應(yīng)的回連關(guān)系為連接服務(wù)器關(guān)系、dns請求關(guān)系、ur請求關(guān)系、tcp請求關(guān)系、url請求關(guān)系以及http請求關(guān)系。通過系統(tǒng)對請求關(guān)系等信息數(shù)據(jù)的有效分析，給出惡意樣本的本體，運用cypher查詢語句進行分析，得出相應(yīng)的“簇”，通過簇中心各個節(jié)點對不同樣本的連接，將樣本的同源性關(guān)系進行清晰直觀的表示，為相關(guān)人員提供可視化的樣本同源關(guān)系，幫助其明確各種安全數(shù)據(jù)之間的關(guān)系，增強對安全數(shù)據(jù)分析處理的有效性，保證安全分析質(zhì)量。

（2）威脅狩獵知識圖譜

威脅搜索和其相應(yīng)的關(guān)聯(lián)過程就是威脅狩獵，隨著泛在電力物聯(lián)網(wǎng)的發(fā)展，以往單純找出孤立異常行為并不能有效的保證網(wǎng)絡(luò)安全防護質(zhì)量，需要針對威脅進行深入分析，避免威脅對其實際運用產(chǎn)生不利影響，消除安全隱患。在其中運用知識圖譜可以將其路徑結(jié)構(gòu)進行高質(zhì)量的表達，在既定的威脅狩獵場景下，可以以DNS數(shù)據(jù)和相應(yīng)的日志數(shù)據(jù)為安全分析的基礎(chǔ)，構(gòu)建包含回連關(guān)系和實體集的二元組狩獵數(shù)據(jù)。其中，實體集中應(yīng)當包括用戶郵箱地址、DNS地址、主機地址以及樣本的IP地址，其相應(yīng)的管理為郵箱解析關(guān)系、DNS請求關(guān)系、主機解析關(guān)系、掃描關(guān)系以及命令控制關(guān)系，通過對其的數(shù)據(jù)描述得出相應(yīng)的威脅狩獵本體，根據(jù)其中顯示的節(jié)點情況，分析相關(guān)數(shù)據(jù)在各個節(jié)點上是否被進行IP變換處理，并根據(jù)具體呈現(xiàn)情況做好相應(yīng)的防御工作，增強泛在電力物聯(lián)網(wǎng)可視化的安全性。例如，根據(jù)知識圖譜分析其在地址上的實際情況，如果部分服務(wù)器存在相同的URL地址，那么則表示服務(wù)器存在IP變換現(xiàn)象，對此就需要相關(guān)人員結(jié)合具體服務(wù)器的實際情況進行防御，必要時從內(nèi)網(wǎng)中將其進行隔離。

（3）攻擊圖知識圖譜

攻擊圖利用圖結(jié)構(gòu)的形式將泛在電力物聯(lián)網(wǎng)主機間的脆弱關(guān)系進行有效反映，常被相關(guān)人員作為分析攻擊路徑、攻擊意圖以及開展風險評估的技術(shù)方法，構(gòu)建知識圖譜化的攻擊圖可以將攻擊情況的展示效果進行極大程度的提升，提高安全分析的效率。在實際生成攻擊圖的過程中，往往需要多種數(shù)據(jù)支持，如主機描述、脆弱性描述、服務(wù)描述、連接關(guān)系描述以及權(quán)限描述。數(shù)據(jù)相應(yīng)的關(guān)系有主機與主機之間的關(guān)系、主機與脆弱性之間的關(guān)系、主機與服務(wù)之間的關(guān)系、主機權(quán)限之間的關(guān)系，然后利用具體的攻擊規(guī)則模板和數(shù)據(jù)，進行自動推理得到最終的攻擊圖，這種攻擊圖也可以將攻擊路徑進行表示，但是效果并沒有知識圖譜好，需要通過知識圖譜將其進行進一步的優(yōu)化，并利用知識圖譜從其他信息數(shù)據(jù)中將知識進行集成，完善攻擊圖知識圖譜內(nèi)容，提升安全分析的便利性，便于攻擊者的查找。

結(jié)語：總而言之，泛在電力物聯(lián)網(wǎng)對電網(wǎng)建設(shè)等相關(guān)環(huán)節(jié)起到有效的保障作用，可以將智能電網(wǎng)在各個方面擁有的信息感知廣度和深度進行提升，其安全可視化技術(shù)的應(yīng)用具有重要作用，需要相關(guān)人員靈活利用知識圖譜做好安全分析工作，保證泛在電力物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全性，從而促進電力行業(yè)的進一步發(fā)展。