谛听| “谛听”团队林小李博士的论文被《Sustainable Energy, Grids and Networks》期刊录用

近日，“谛听”团队林小李撰写的论文《Enhancing power communication network security: A comprehensive cyber risk visual analytics framework with real-time risk assessment》被国际期刊《Sustainable Energy, Grids and Networks》录用。

《Sustainable Energy, Grids and Networks》（SEGAN）是ELSEVIER出版的一本专注于能源工程和电力技术的学术期刊。它是公认的国际顶级期刊，属于SCI JCR 1区，影响因子为5.4。该期刊主要发表与能源、信息网络和电力网络相关的理论和应用研究论文，涵盖从大型智能电网到微电网系统。其内容包括应用于电力和能源系统的数学、统计或计算方法的基础性进展，有关电力和能源系统与信息和通信耦合技术相结合的应用、计算和建模，以及保障电力和能源系统网络安全的方法和技术。

文章引用方式：

Lin X, Yao Y, Hu B, et al. Enhancing power communication network security: A comprehensive cyber risk visual analytics framework with real-time risk assessment[J]. Sustainable Energy, Grids and Networks, 2024: 101325.

论文内容介绍

1 研究背景

近年来，针对电力通信网络的网络攻击已成为威胁关键基础设施运行和经济持续发展的严重问题。随着运行技术（OT）网络与信息技术（IT）网络的深度融合，IT网络渗透攻击会使OT网络内的工业设备失去安全屏障，完全暴露在高风险的网络攻击之下。因此，要提高工业控制系统的安全性，关键是要准确评估与OT网络连接的IT网络中节点的风险，并采取必要措施及时应对潜在的网络威胁。此外，对网络报警的可视化分析可以帮助网络安全管理人员快速、直观地了解网络安全态势。

许多研究人员致力于网络节点风险评估和网络警报可视化。然而，该领域的现有研究仍存在以下不足：

• 忽视攻击源的安全状态。来自同一源节点的同一攻击在源节点被攻陷前后的威胁程度是不同的。因此，节点风险评估应考虑攻击源的安全状态，而现有方法忽略了这一点。

• 不平衡的风险评估。虽然成功的高风险事件数量很少，但其造成的危害通常大于许多低风险事件的累积影响。因此，少量高风险事件的风险应被视为高于大量低风险事件的总体风险。然而，传统的风险评估方法可能会导致相反的结果。

• 忽略了邻边的方向的异质性以及从/到非相邻可到达节点传播的影响。有一些风险评估方法考虑了节点的重要性。但是，它们通常忽略了邻边的方向的异质性以及从/到非相邻可到达节点传播的影响。

• 难以识别高风险节点和高风险攻击路径。现有的许多网络报警可视化风险评估方法都是针对单一事件设计的，无法有效评估设备在一段时间内经历多次不同严重程度攻击的风险。这一局限性阻碍了高风险设备的准确识别。此外，虽然有些研究已经成功提取并展示了潜在的攻击路径，但却无法准确评估这些路径的风险，因此很难识别高风险路径。

针对这些不足，本文提出了一个完整的网络风险可视化分析框架，如图1所示。该框架由风险评估器和网络报警可视分析器（NAVA）组成。在风险评估器中，首先提出了一种节点安全状态识别（NSSI）算法，用于识别攻击源的安全状态。然后，提出了一种考虑攻击源状态的加权风险期望值，以解决不平衡评估问题。接着，引入了有向加权网络的改进节点中心性来评估节点的重要性。最后，结合加权风险期望（WRE）和DW-度中心性（DC），提出了一种改进的网络节点风险评估方法（WRE-DC）。在实时评估阶段，使用滑窗技术更新历史网络报警数据。然后，根据最新的历史网络报警数据，使用WRE-DC对节点进行实时风险评估。这将生成新的风险评估结果，包括节点边缘的风险水平。然后将最新的风险评估结果和时间窗口中的网络报警记录发送给NAVA。如果滑动时间窗口中的高风险节点数量超过预定义阈值，系统也会将其标记为异常窗口，并向NAVA发送警报。

图1.网络风险可视化分析框架。(A)风险评估视图，用于识别高风险节点、高风险攻击路径和攻击源；(B)增强平行坐标图(PCP)，用于多维协同分析；(C)地图视图，显示攻击者和攻击次数的空间分布；(D)桑基图，显示针对高风险节点的潜在攻击路径的风险评估结果；(E)针对高风险节点的潜在攻击路径。(有关本图例中颜色的解释，请读者参阅本文的网络版）。

2 主要贡献

本文的主要贡献可以概括为以下几点：

（1）提出了一种基于节点安全状态识别的加权风险期望评估方法，以解决风险评估中的不平衡问题。

（2）提出了一种改进的有向加权网络中心性DW-Degree，该中心性不仅考虑了邻边的方向的异质性，还考虑了从/到非相邻可达节点传播的影响，可以更准确评估有向加权网络中节点的重要性。

（3）提出了一种集成了加权风险预期和DW-Degree的网络节点风险评估方法。它使用户能够准确识别电力通信网络的高风险节点和潜在攻击路径。

（4）开发了一个新颖的可视化分析系统，具有新的风险评估视图和增强的PCP。风险评估视图可帮助用户准确检测高风险节点和高风险攻击路径。增强PCP为多维协同分析提供了有效方法，使用户能够轻松获得有价值的入侵响应知识。

3 建议的风险评估方法

节点安全状态识别

未考虑攻击源的安全状态将导致风险评估不准确。因此，本文提出一种节点安全状态识别算法，将攻击源的安全状态分为以下几类：

1.未受攻击的节点

• 风险：IDS检测到内部节点执行的一些错误操作和合法行动，也会生成相应的警报记录。因此，以内部节点作为攻击目标的告警数据中记录的大多数事件很可能是误操作或合法操作，而不是外部节点的实际攻击。这意味着未受攻击的内部节点的危险性低于外部节点。

2.内部节点攻陷的节点

• 定义：不属于外部节点的任何潜在攻陷路径的节点。

• 风险：尽管被内部节点攻陷，但这些节点可能不太容易受到外部攻击，因此进一步渗透的风险较低。

3.可能受到外部攻击的节点

• 定义：外部攻击者可能通过内部节点攻陷的节点。

• 风险：虽然这些节点没有直接受到外部攻击，但它们可能受到内部攻击的威胁仍然很大。

4.外部节点

• 定义：非网络内部节点。

5.外部攻陷节点

• 定义：被外部节点直接攻陷的节点。

• 风险：攻击者通常将此类节点作为攻击跳板。与外部节点相比，这类节点进一步渗透的风险更高。

加权风险期望

在使用公式计算风险期望_fi_和_Tij_时，存在不平衡评估问题。为了解决这个问题，令

分别乘以权重_U_（本文定义为__b_/bmax_），则加权风险期望为：

其中，_gbdkl_为节点的攻击状态为_Xbdkl_时的风险水平，

表示节点_i_处于攻击状态_Xbdkl_的概率，

表示节点_i_攻击_j_后，_j_处于攻击状态_Xbdkl_的概率。

DW-Degree中心性

传统的中心性存在以下3个问题：

（1）低估入度或出度为零的节点的重要性。

（2）忽略了邻边的方向的异质性。无法准确评估具有邻边方向异质性的有向加权网络中节点的重要性。

（3）忽略从/到非相邻可达节点传播的影响。

为了准确评估有向加权网络中节点的重要性，本文提出了一种改进的中心性-DW-Degree：

其中，I=log10(1+Hout(i))，J=log10(1+Hin(i))，Hout(i)= mout(i)1-λ * nout(i)λ, Hin(i)= min(i)1-λ * nin(i)λ，_mout(i)_表示节点_i_指向的邻居节点数，_nout(i)_表示节点_i_指向的邻居节点的边的权重总和，_min(i)_表示指向节点_i_的邻居节点数，_nin(i)_表示指向节点_i_的邻居节点的边的权重总和，_λ_为正调整参数。如果邻边权重之和相等，且0<_λ<1，则拥有更多邻居的节点的中心性更大。反之，如果_λ>1则邻居节点少的节点的中心性更大。μ+ν=1。如果出强度的重要性等于入强度，μ=ν=0.5。如果出强度的重要性超过入强度，μ>0.5，ν<0.5。反之，如果入强度的重要性大于出强度，μ<0.5，ν>0.5。

节点风险综合评估

为了准确评估节点的风险水平，采用min-max scaling将加权风险预期_fi_和重要性_ci_进行归一化。最后，节点i的综合节点风险水平计算如下：

其中，_α_和_β_表示加权风险预期_fi_和重要性指数_ci_的平衡系数，α+β=1，

分别表示归一化的_fi_和归一化的_ci_。

实时风险评估

在实时评估过程中，历史数据会被更新，方法是丢弃历史数据中的第一个窗口，并加入一个新的窗口，即window_t_+1。然后，根据新更新的历史数据进行风险评估。更新后的风险评估结果和该窗口中的网络报警记录将被发送到NAVA进行进一步分析。如果滑动窗口中较高风险节点的数量超过了预定义的阈值，系统就会将其标记为异常窗口，并向NAVA发送警报。

4 实验评估

实验数据

为了验证我们提出的方法的有效性，我们使用了电力通信网络的告警数据来构建标签数据。首先，将属于同一受害节点的所有警报分组。然后，根据攻击事件的不同威胁级别，将每个组划分为四个数据级别，每个数据级别包含多个条目。然后，如果同一级别的警报之间的时间间隔小于阈值，我们就将它们合并。因此，我们为每个受害节点获取了不同威胁级别的多个标签数据。

评估指标

网络节点风险评估结果使用最小-最大归一化法进行归一化，并平均分为四个等级，即低风险：（0，0.25]，中风险：（0.25，0.5]，高风险（0.5，0.75]，临界风险（0.75，1]。因此，网络节点的风险评估可视为一个多分类问题。多分类模型通常使用准确率、宏观精度（MP）、宏观召回率（MR）和F1分数进行评估。因此，本文采用上述四个指标和平均延迟来评价所提方法的性能。平均延迟是高风险开始时间与生成警报的开始时间之间的时间延迟的平均值。

性能评估

根据评价指标对基于不同中心性的不同风险评估方法进行比较。其他实验参数设置如下：λ=1.2，α=0.6，β=0.4。节点受到的攻击越严重，其保护的优先级就越高。因此，入度比出度更重要，ν_应大于_μ，_μ_应小于0.5。比较结果如图2所示。

• RA表示风险水平等于不考虑攻击源状态的风险期望器。

• RE表示风险水平等于考虑攻击源状态后的风险期望器。

• WRE表示风险水平等于加权风险期望的风险评估器。

• JP-WRE表示结合了JP-Degree中心性和加权风险期望的风险评估器。

• e-JP-WRE表示结合指数化的JP-Degree中心性和加权风险期望的风险评估器。

• log-e-JP-WRE表示对数和指数化JP-Degree中心性与加权风险期望相结合的风险评估器。

• log-e-μν-JP-WRE表示将log-e-μν-JP-Degree中心性和加权风险期望结合起来的风险评估器。和加权风险期望值。

• log-e-μν-IV-JP-WRE表示将log-e-μν-IV-JP-Degree中心性和加权风险期望结合起来的风险评估器。

如图2(a)-(d)所示，在上述四个指标中，RA的评估性能最低。由于RE考虑了攻击源的状态，WRE考虑了加权风险期望，log-e-JP-WRE进一步考虑了极端最大值，因此上述三种方法的评估性能明显优于RA。随着_ν_增大时，log-e-μν-JP-WRE和log-e-μν-IV-JP-WRE的评估性能逐渐提高。这是因为节点入度的重要性随着_ν_的增加而增加，表明节点受到的攻击在评估节点的风险水平时起着更重要的作用。

图2. 不同方法的性能比较不同方法的性能比较

如图2(a)所示，log-e-μν-JP-WRE的准确率在节点的出强度和入强度中加入平衡因子得到进一步提高，一般在达到一定准确度后会收敛。特别是，使用攻击路径信息，在考虑了从/到非相邻可到达节点传播的影响后，log-e-μν-IV-JP-WRE比单点分析更准确，尽管代价是计算复杂度增加。此外，由于JP-WRE低估了入度或出度等于零的节点的重要性，因此其准确率与WRE相比明显下降。将JP-Degree中心性指数化后，e-JP-WRE的准确率有所提高，但仍低于WRE。如图2（c）所示，log-e-μν-JP-WRE的宏观召回率达到了令人印象深刻的98.86%。如图2（d）所示，它的F1分数也达到了98.56%，表现出色。

如图3所示，RE的平均检测延迟高于RA。相比之下，基于加权风险期望的WRE只引入了乘法运算，导致平均检测延迟的增加可以忽略不计。考虑了节点中心性的JP-WRE会因中心性计算而增加平均检测延迟。然而，加入JP-Degree（e-JP-WRE、log-e-JP-WRE和log-e-μν-JP-WRE）的运算量增加不多，因此不会显著增加平均检测延迟。不过，由于需要计算从/到非相邻可达节点传播的影响，log-e-μν-IV-JP-WRE的平均检测延迟高于其他检测器。不过，在五项性能指标中，log-e-μν-IV-JP-WRE的性能有四项超过了其他风险评估器，即RA、RE、WRE、JP-WRE、e-JP-WRE、log-e-JP-WRE和log-e-μν-JP-WRE。

图3.不同风险评估器的平均延迟

正向调整参数λ的影响

为了更具体地比较结果，我们改变了正向调整参数λ而其他参数保持不变。一般来说，对一个节点的少量危急攻击比对一个节点的多次低风险攻击更危险。因此，λ必须大于1。其他实验参数设置为_α_=0.6、β=0.4、μ=0.1和_ν_=0.9。对比结果如图4所示。

如图4所示，由于RA、RE和WRE都不包含_λ_，因此，它们的评价指标结果与图2相同。当_λ_<1时，其他五种方案的检测性能随着_λ_的增大逐渐提高，而且性能提高的幅度越来越大，表现为性能曲线的斜率越来越大。当1≤λ≤1.1时，检测性能随着_λ_的增大而迅速提高。当1.1≤λ≤1.2时，检测性能仍会随着_λ_的增大而提高，但性能提高的幅度会逐渐变小。当_λ_=1.2时，检测性能最佳。当_λ_>1.2时，检测性能逐渐变差，随着_λ_的增大，性能下降幅度越来越大，尤其是性能曲线斜率的绝对值逐渐增大。总体而言，当0.5<λ<1.5时，λ>1的平均检测性能优于_λ_<1的平均检测性能。

图4.不同λ对不同方案评价指标的影响

不同平衡系数_α_和_β_

为了评估拟议方法在不同平衡因子_α_和_β_下的检测性能，我们使用多个不同的平衡因子进行了实验。由于其他方法不包含平衡因子_α_和_β_。因此，我们只分析了log-e-μν-IV-JP-WRE的_α_和_β_参数的敏感性。同时在所有实验中设置_λ_=1.2，μ=0.1和_ν_=0.9，实验结果列于表1。

如表1所示，当_α_=0或_α_=1.0时，log-e-μν-IV-JP-WRE的性能较差。这表明，单独使用加权风险期望值或中心性来评估节点的风险水平效果较差。当_α_=β=0.5时，log-e-μν-IV-JP-WRE的检测性能更好。当_α_增加到0.6时，检测性能保持上升趋势。当_α_达到0.6时，检测精度已超过99%。然而，当_α_继续增大到0.6以上时，检测性能会逐渐变差。此外，实验结果表明，就检测性能而言，较大的_α_通常优于较大的_β_，这体现在_α_>β_的上述四个评价指标的局部平均值高于_α<β。

表1.不同平衡因子_α_和_β_下的检测性能

5 案例研究

网络安全态势感知

如图5所示，我们使用所提出的风险评估方法来评估受害节点的风险水平，并将评估结果直观地显示在风险评估视图中。这样，我们的系统就能准确检测出高风险节点、潜在的高风险路径和攻击源。此外，我们的系统还支持多维协同分析。

图5. 风险评估视图

• 识别高风险节点

如图5所示，节点I5484、I5303、I66、I6005（标有红色矩形）的风险水平最高。其次是I5386、I6158、I5950、I6303、I6246、I6217和I5160（用橙色矩形标出）。因此，我们强烈建议网络安全管理人员对这些高风险节点进行全面分析，如识别攻击源、潜在攻击路径、这些路径中的关键攻击/漏洞，以便制定有针对性的攻陷响应策略。

• 识别高风险攻击路径

通过分析图5中边的颜色、宽度和方向，我们可以快速识别出高风险路径。例如，攻击路径E16166→I5484（黑色箭头）代表了大量外部关键攻击的高风险路径。此外，我们还可以轻松识别以下高风险路径I2376→I66、E4474→I5484、E3442→I5484、E2660→I61、E6676→I5289、E6676→I5292（黑色箭头）。

• 特别容易受到外部攻击的节点

观察图5中蓝色节点的分布，可以明显看出I5303是外部攻击最感兴趣的节点，所有这些攻击都被评为高风险威胁。同样，I5484也是外部攻击者感兴趣的节点。指向I5484的边的宽度表明，与节点I5303相比，I5484遭受的外部攻击数量要大得多，而且这些外部攻击大多是危急攻击。节点的颜色表明I5484的风险水平高于I5303，这进一步验证了所提出的风险评估方法的准确性。

• 内部/外部攻击源识别

通过分析每个节点外环的颜色比例，我们可以确定直接攻击源是外部的还是内部的，或者两者兼而有之。在这里，我们重点关注了风险级别最高的前四个节点，发现所有针对节点I6005的攻击都是外部攻击，而针对节点I5484和I5303的攻击大多是外部攻击。相反，针对节点I66的所有攻击都是内部攻击。

• 多维度协同分析

图6显示了每个威胁级别中攻击次数最多的前10个警报。增强PCP可以轻松识别不同威胁级别的攻击。此外，利用增强PCP进行多维协同分析，还能捕捉到传统PCP所不具备的关键入侵响应知识，具体如下。

(1)从“Times”轴和曲线的颜色可以看出，高风险攻击的攻击次数最多，而危急攻击的攻击次数最少。

(2)通过观察“Times”轴、“Attack technique”轴和曲线颜色，发现“自定义命令和控制协议”是低、中、高风险攻击中使用的主要攻击技术，而“利用面向公众的应用程序”则是危急攻击中使用的主要攻击技术。

(3)通过研究“AttackTechnique”、“AttackIPNetCode”和“AttackIPCode”轴，可以很容易地确定每个攻击网段/IPA使用的攻击技术以及每个攻击IPA所属的网段。

(4)通过分析“AttackIPCode”、“AttackEvent”和“VicIPCode”轴，可以确定与不同威胁级别相关的攻击IPA所针对的受害IPA，以及具体的攻击事件。

(5)通过研究“VicIPNetCode”和“VicIPCode”轴，可以发现INC305是攻击者最感兴趣的网段，INC305中对应的受害IPA有I66、I5484、I5386、I5394和I5449。

图6. 每个威胁级别攻击次数最多的前10个警报数据

高风险节点的可视化分析

为了有效应对安全威胁，我们的系统提供了对高风险节点及其攻击者的全面分析。

发现高风险漏洞

当我们在风险评估视图中点击高风险节点I6158时，Sankey图显示了指向I6158的所有可能攻击路径，如图7所示。很明显，风险最高的攻击事件是由节点E4474和E16166发起的、作用于节点I5482的“Life Calendar Worm”。这种攻击已发生多次，攻击者可能将I5482设备作为横向渗透的切入点。如图10中红色路径所示，攻击者可通过设备I5482的目录自动列表功能获取明文密码。如果E4474成功登录设备I14938，攻击者就可以通过I4938窃取设备I6158上的敏感数据。话句话说，潜在的高风险路径是

图7中绿色的攻击路径是I6158的另一个潜在高危路径，即

因此，解决这些高风险路径中的潜在漏洞（如Life Calendar Worm）对于防止后续攻击至关重要。

图7.节点I6158的可能攻击路径

发现潜在攻击组

当用户点击Sankey图表中的攻击节点时，地图和增强PCP会相应更新。地图会显示被点击攻击节点的地理位置以及属于同一网段的所有攻击者。通过点击地图上的攻击节点，用户可以轻松确定攻击者的国家、城市、具体地理位置、经度、纬度、网段、成功攻击事件和攻击次数。

如图8所示，外部攻击者E4474、E4570和E4574属于ENC294（同一网段），都位于美国新泽西州纽瓦克市布罗德街790号（同一地点）。他们都试图攻击这个电力通信网络（相同的攻击网络）。

图8. 重点攻击者E4474及与其属于同一网段的攻击者（新泽西州纽瓦克市）的地理位置

如图9所示，E4570负责网络服务发现，包括主机或服务器信息检测和网络映射器（NMAP）检测。E4574主要负责侦察和攻陷，其中侦察包括请求敏感文件、敏感信息扫描和敏感目录检测，攻陷包括路径遍历、远程文件读取和git源代码泄漏。E4570和E4574通过利用面向公众的应用程序（相同的攻击技术）实施攻击。它们还攻击了相同的IPA I64（相同的攻击目标）。E4474负责使用Life Calendar Worm挖矿。该攻击者成功进入了命令和控制阶段，并攻陷了多台设备。E4570还攻击了INC305，而E4574则攻击了INC5。同时，E4474攻击了两个网段（类似的攻击网段）。

图9.对网段ENC294中的攻击者进行多攻击维度协同分析

根据这些证据，这些攻击者有可能作为攻击组的一部分在一起工作。这可在本地网络服务提供商的帮助下进一步核实。

总结

本文提出了一种实时网络风险可视化分析框架，它集成了网络风险评估和网络警报可视化分析。本文提出了一种节点安全状态识别方法，以便将攻击源识别为具有不同安全状态、对应不同威胁等级的节点。此外，还提出了一种考虑节点安全状态的加权风险预期计算方法，以解决不平衡评估问题。此外，还提出了一种改进的有向加权网络节点中心性，用于评估攻击网络中节点的重要性。然后，结合加权风险期望值和DW-Degree中心性，提出了一种改进的网络节点风险评估方法。通过将所提出的风险评估方法与滑动窗口技术相结合，实现了实时风险评估。基于真实数据集的实验表明，我们的方法可以准确评估网络节点的风险水平。此外，还开发了基于实时风险评估结果和网络警报的新型可视化分析系统，以改进对复杂网络风险的分析。我们在系统中集成了几种新颖的可视化技术，用于分析电力通信网络的安全状况和高风险节点。最后，我们通过使用电力通信网络报警数据进行案例研究，进一步证明了我们方法的有效性。

第一作者：林小李

东北大学博士研究生，主要研究方向为工业控制网络安全，风险评估，可视分析等。

指导教师：姚羽

东北大学教授，“谛听”团队创始人，复杂网络系统安全保障技术教育部工程研究中心主任。