南方电网深圳数字电网研究院有限公司 温启良 黄 兵 张渊渊

本文首先分析了泛在电力物联网利用知识图谱增强安全可视化技术的意义，然后主要论述了泛在电力物联网利用知识图谱下的安全可视化技术，如基于知识图谱的安全架构、样本同源性知识图谱以及威胁狩猎知识图谱等，希望可以为相关人员提供一定的参考，从而增强对泛在电力物联网的网络安全防护。

根据我国政府对建设泛在电力物联网的倡导和要求，相关电力企业已经开始其建设工作，将电力网络向互通互联方向发展，实现数据的交互共享，在建设过程中其对以往电力网络安全防护体系的要求进行了较大程度的提升，需要在其中应用安全可视化技术定位相关异常事件，降低风险，运用知识图谱进行安全分析。

1 泛在电力物联网利用知识图谱增强安全可视化技术的意义

信息通信技术和能源革命的发展推动了泛在电力物联网的产生和发展，是电力行业对产业物联网的具体应用体现。现阶段，我国构建的泛在电力物联网正逐渐转变为采集数据、区域自治以及集中控制的模式，将原有功能单一的终端优化成为服务综合型的终端，利用一系列的开放型设计，坚持以客户为中心，向相关用户提供快速服务模式，在这一发展过程中其会面临较为复杂的风险和较大的安全威胁。根据当前互联网金融以及综合能源服务业务的发展情况，需要保证泛在物联网交互的安全性，保证其在实现“人－机－物”服务方式的同时保证系统的安全性。对此，需要进行全场景网络可视化分析，增强对业务风险的抵御力，其在安全分析上的主要目标是通过对现有的流量、安全日志以及恶意样本等安全数据的有效分析，将其中的威胁情报进行提取。基于此，传统的安全可视化技术在泛在电力物联网规模不断被扩大的基础上，并不能有效的满足对繁多安全数据分析的需求，特别是对于异构数据的聚合上，需要利用知识图谱这一可视化分析工具，将情报数据进行融合，提升泛在电力物联网的网络安全防护性。

2 泛在电力物联网利用知识图谱下的安全可视化技术分析

2.1 基于知识图谱的安全架构

基于知识图谱的泛在电力物联网安全架构主要可以分为三层，自上而下依次为安全分析层、数据预处理层以及数据采集层。其中，数据采集层主要利用防火墙、IDS、漏洞扫描设备进行原始安全数据的采集，从而为知识图谱的构建奠定良好的基础。其实际采集的数据类型多种多样，如流量数据、DNS数据、网络属性数据、日志数据以及主机属性数据等，基本都是具有结构化特点的文本信息数据，并可以在从数据采集层中对其进行初步加工处理，提升安全分析的时效性。例如，在分析网络属性数据和主机属性上，数据采集层就可以构建攻击图知识图谱，提供查询相应信息的攻击路径。

数据预处理层会在数据采集层初步处理的基础上进一步加工数据，构建本体模型、攻击图生成模型以及异常行为分析模型。安全分析层根据其加工情况，构建具体的知识图谱进行安全分析，其可以通过具体查询规则的制定寻找数据中的异常现象，包括其异常实体以及异常行为，根据泛在电力物联网现有的风险评估模型，开展资产风险评估工作。需要相关人员充分认识和理解安全分析层的功能，并通过合理的分析处理将其进行扩展，保证将其进行最大化的利用，增强基于知识图谱的泛在电力物联网安全架构实用性。

2.2 基于知识图谱的安全分析

基于知识图谱的泛在电力物联网安全可视化技术需要结合不同场景构建具体的知识图谱，将知识图谱切实的应用在安全分析中，将实体与实体之间存在的关系进行简单直观的描述，并保证和人的思维习惯相符合，利用其在实体描述上的唯一标识特点，将其在泛在电力物联网上的安全分析作用进行充分发挥，本文主要从以下三个场景分析知识图谱在安全分析中的运用。

（1）样本同源性知识图谱

泛在电力物联网中的安全数据能够将样本同源性进行多角度的体现，在同源关系的判断上有多维度的依据，如不同样本使用的回连服务器是相同的，那么从回连服务器的角度上来看，这部分的样本之间就具有同源关系。对此，可以利用分析恶意样本的结果，形式化描述样本数据，将回连之间的关系和实体集构建成为二元组的样本数据。其中实体集需要包括回连实体和样本实体，相应的回连关系为连接服务器关系、dns请求关系、ur请求关系、tcp请求关系、url请求关系以及http请求关系。通过系统对请求关系等信息数据的有效分析，给出恶意样本的本体，运用cypher查询语句进行分析，得出相应的“簇”，通过簇中心各个节点对不同样本的连接，将样本的同源性关系进行清晰直观的表示，为相关人员提供可视化的样本同源关系，帮助其明确各种安全数据之间的关系，增强对安全数据分析处理的有效性，保证安全分析质量。

（2）威胁狩猎知识图谱

威胁搜索和其相应的关联过程就是威胁狩猎，随着泛在电力物联网的发展，以往单纯找出孤立异常行为并不能有效的保证网络安全防护质量，需要针对威胁进行深入分析，避免威胁对其实际运用产生不利影响，消除安全隐患。在其中运用知识图谱可以将其路径结构进行高质量的表达，在既定的威胁狩猎场景下，可以以DNS数据和相应的日志数据为安全分析的基础，构建包含回连关系和实体集的二元组狩猎数据。其中，实体集中应当包括用户邮箱地址、DNS地址、主机地址以及样本的IP地址，其相应的管理为邮箱解析关系、DNS请求关系、主机解析关系、扫描关系以及命令控制关系，通过对其的数据描述得出相应的威胁狩猎本体，根据其中显示的节点情况，分析相关数据在各个节点上是否被进行IP变换处理，并根据具体呈现情况做好相应的防御工作，增强泛在电力物联网可视化的安全性。例如，根据知识图谱分析其在地址上的实际情况，如果部分服务器存在相同的URL地址，那么则表示服务器存在IP变换现象，对此就需要相关人员结合具体服务器的实际情况进行防御，必要时从内网中将其进行隔离。

（3）攻击图知识图谱

攻击图利用图结构的形式将泛在电力物联网主机间的脆弱关系进行有效反映，常被相关人员作为分析攻击路径、攻击意图以及开展风险评估的技术方法，构建知识图谱化的攻击图可以将攻击情况的展示效果进行极大程度的提升，提高安全分析的效率。在实际生成攻击图的过程中，往往需要多种数据支持，如主机描述、脆弱性描述、服务描述、连接关系描述以及权限描述。数据相应的关系有主机与主机之间的关系、主机与脆弱性之间的关系、主机与服务之间的关系、主机权限之间的关系，然后利用具体的攻击规则模板和数据，进行自动推理得到最终的攻击图，这种攻击图也可以将攻击路径进行表示，但是效果并没有知识图谱好，需要通过知识图谱将其进行进一步的优化，并利用知识图谱从其他信息数据中将知识进行集成，完善攻击图知识图谱内容，提升安全分析的便利性，便于攻击者的查找。

结语：总而言之，泛在电力物联网对电网建设等相关环节起到有效的保障作用，可以将智能电网在各个方面拥有的信息感知广度和深度进行提升，其安全可视化技术的应用具有重要作用，需要相关人员灵活利用知识图谱做好安全分析工作，保证泛在电力物联网的网络安全性，从而促进电力行业的进一步发展。