摘　要：威脅情報(bào)作為一種彌補(bǔ)攻防信息不對稱的安全技術(shù)，能夠幫助安防人員發(fā)現(xiàn)威脅行為，并采取相應(yīng)的預(yù)防措施。近年來，威脅情報(bào)研究受到業(yè)界廣泛關(guān)注，然而現(xiàn)有的研究對威脅情報(bào)的利用率較低，為此，提出了一種基于威脅情報(bào)語義規(guī)則抽取的智能變電站告警分析方法。首先，通過構(gòu)建語義規(guī)則模型生成語義規(guī)則圖，對攻擊技術(shù)手段進(jìn)行描述；其次，面向 ATT&CK 攻擊技術(shù)文本構(gòu)建語義規(guī)則抽取框架，對攻擊技術(shù)文本進(jìn)行知識抽取，從中得到語義規(guī)則。該方法在解決智能變電站告警信息冗余繁雜問題的同時(shí)，提升了威脅情報(bào)的利用率，實(shí)現(xiàn)了對高層級威脅情報(bào)的自動化分析與處理。

內(nèi)容目錄：

1　威脅情報(bào)領(lǐng)域研究背景
1.1　威脅情報(bào)
1.2　ATT&CK 框架
2  語義規(guī)則模型
2.1　語義規(guī)則模型定義
2.2　網(wǎng)絡(luò)實(shí)體
2.3　網(wǎng)絡(luò)實(shí)體關(guān)系
2.4　語義規(guī)則圖的規(guī)范化
2.5　網(wǎng)絡(luò)實(shí)體屬性
2.6　語義規(guī)則
3　語義規(guī)則抽取
3.1　數(shù)據(jù)預(yù)處理
3.2　知識抽取
3.3　語義規(guī)則構(gòu)建
4　語義規(guī)則匹配
5　對比分析
6　結(jié)　語

近年來，以高級持續(xù)性威脅（Advanced Persistent Threat，APT）為代表的新型網(wǎng)絡(luò)攻擊手段不斷涌現(xiàn)，使得智能變電站的網(wǎng)絡(luò)安全形勢愈發(fā)嚴(yán)峻。為保證智能變電站免受網(wǎng)絡(luò)攻擊，不同型號、功能的安防設(shè)備被大規(guī)模地部署在智能變電站系統(tǒng)中，這些安防設(shè)備一旦監(jiān)測到異常事件的發(fā)生，就會在短時(shí)間內(nèi)產(chǎn)生海量告警信息，這些告警信息呈現(xiàn)孤島化、碎片化和冗余化的特點(diǎn)，為操作人員分析處理告警信息、掌握告警事件的實(shí)質(zhì)造成了困難 。威脅情報(bào)被定義為一種基于證據(jù)的知識，能夠利用公開可用的資源，實(shí)現(xiàn)描述現(xiàn)存威脅和預(yù)測即將出現(xiàn)的威脅，及協(xié)助進(jìn)行防御決策 。戰(zhàn)術(shù)、技術(shù)和程序（Tactics, Techniques, and Procedures，TTPs）包含著豐富的語義知識，是價(jià)值最高的一類威脅情報(bào)，能夠反映攻擊者的行為本質(zhì)，但由于其大多由非結(jié)構(gòu)化的自然語言文本構(gòu)成，導(dǎo)致難以對其進(jìn)行分析和利用。通過構(gòu)建語義規(guī)則，能夠從高層級威脅情報(bào)中自動化提取有價(jià)值的安全信息，大大促進(jìn)對 TTPs 威脅情報(bào)的利用。

綜上所述，威脅情報(bào)能夠幫助操作人員在短時(shí)間內(nèi)分析與處理海量告警數(shù)據(jù)，進(jìn)而發(fā)現(xiàn)告警事件的實(shí)質(zhì)，而抽取威脅情報(bào)的語義規(guī)則，既能夠?qū)崿F(xiàn)高效性分析與處理告警事件，又能從高層級威脅情報(bào)中充分挖掘并利用其中的知識。鑒于此，本文提出一種基于威脅情報(bào)語義規(guī)則抽取的智能變電站告警分析方法，引入對抗戰(zhàn)術(shù)、技術(shù)和常識（Adversarial Tactics, Techniques, and Common Knowledge，ATT&CK）框架，從攻擊技術(shù)文本中提取語義規(guī)則，進(jìn)而分析智能變電站告警信息。首先，構(gòu)建語義規(guī)則模型，參考溯源圖的表示方法規(guī)范化定義語義規(guī)則圖；其次，構(gòu)建語義規(guī)則抽取框架，抽取 ATT&CK 框架攻擊技術(shù)文本中的知識，生成語義規(guī)則；最后，同智能變電站告警日志數(shù)據(jù)進(jìn)行匹配，實(shí)現(xiàn)對攻擊行為上下文信息的還原，更好地協(xié)助變電站開展安防工作。

1 威脅情報(bào)領(lǐng)域研究背景

1.1　威脅情報(bào)

抽取 TTPs 威脅情報(bào)數(shù)據(jù)的信息，從中提取有價(jià)值的安全信息，促進(jìn)對 TTPs 威脅情報(bào)的利用，是現(xiàn)階段威脅情報(bào)領(lǐng)域的研究熱點(diǎn)。文獻(xiàn) [10]提出了一種融合多種模型的新型威脅情報(bào)信息抽取系統(tǒng)，用于從非結(jié)構(gòu)化威脅情報(bào)數(shù)據(jù)中提取信息，該系統(tǒng)包括實(shí)體抽取、共指消解、關(guān)系抽取和知識圖譜構(gòu)建 4 個(gè)步驟。文獻(xiàn) [11] 基于機(jī)器學(xué)習(xí)方法，將從已知威脅源提取的威脅信息和 TTPs 與相關(guān)檢測機(jī)制聯(lián)系起來，構(gòu)成語義網(wǎng)絡(luò)，然后基于威脅和 TTPs 之間的概率關(guān)系識別網(wǎng)絡(luò)威脅。文獻(xiàn) [12] 設(shè)計(jì)了一種基于 Web本體語言的威脅分析框架，用于對 Web 本體語言進(jìn)行形式化規(guī)范、語義推理和上下文分析。

1.2 ATT&CK 框架

ATT&CK 框架于 2013 年被提出，其目的是創(chuàng)建網(wǎng)絡(luò)攻擊中已知對抗戰(zhàn)術(shù)和技術(shù)的詳盡列表。該框架基于大量現(xiàn)有的 APT 攻擊實(shí)例，從攻擊技術(shù)和攻擊戰(zhàn)術(shù)兩個(gè)方面總結(jié)歸納攻擊行為，形成了針對黑客行為描述的通用語言和黑客攻擊抽象的知識庫框架。ATT&CK 框架采用攻擊技術(shù)文本對某一攻擊行為進(jìn)行描述，充分考慮黑客攻擊手段的多樣性，適合作為智能變電站威脅檢測的事件集合。但是，由于 ATT&CK框架使用自然語言文本描述攻擊技術(shù)，因此需要抽取攻擊技術(shù)文本的語義規(guī)則，才能在威脅分析過程中實(shí)現(xiàn)語義知識的自動化應(yīng)用 。

2 語義規(guī)則模型

2.1　語義規(guī)則模型定義

首先，構(gòu)建語義規(guī)則模型，將自然語言文本中包含的攻擊技術(shù)信息以有向圖的形式呈現(xiàn)，模型可定義為G=(T,E,L,M)。其中，T 為圖中的點(diǎn)，代表網(wǎng)絡(luò)實(shí)體的集合；E 為圖中的有向邊，用于描述網(wǎng)絡(luò)實(shí)體之間的關(guān)系；L 為標(biāo)簽，是用于標(biāo)注網(wǎng)絡(luò)實(shí)體數(shù)據(jù)類型的標(biāo)簽集合；M 為網(wǎng)絡(luò)實(shí)體與標(biāo)簽的映射集合，可定義為 T ← L。2.2　網(wǎng)絡(luò)實(shí)體網(wǎng)絡(luò)實(shí)體是指網(wǎng)絡(luò)中存在的客觀事物，包括概念和對象兩個(gè)屬性，概念是指對相同種類網(wǎng)絡(luò)實(shí)體的抽象描述，而對象則是概念所對應(yīng)的實(shí)例。網(wǎng)絡(luò)實(shí)體集合可表示為其中ψ 和 ξ 分別為概念和對象。2.3　網(wǎng)絡(luò)實(shí)體關(guān)系網(wǎng)絡(luò)實(shí)體間的關(guān)系共分為 3 類，包括操作關(guān)系、從屬關(guān)系和并列關(guān)系。在語義規(guī)則圖中，連接網(wǎng)絡(luò)實(shí)體邊的集合可定義為其中 r 代表實(shí)體 x 和實(shí)體 y 之間的關(guān)系，且 r ∈ R，R 為網(wǎng)絡(luò)實(shí)體關(guān)系集合。（1）操作關(guān)系表示某一網(wǎng)絡(luò)實(shí)體對另一網(wǎng)絡(luò)實(shí)體的操作行為，即攻擊行為實(shí)施過程中的動作，結(jié)合實(shí)施操作行為的主體與客體，能夠?qū)舨襟E進(jìn)行描述。（2）從屬關(guān)系表示網(wǎng)絡(luò)實(shí)體之間的父子關(guān)系，可用于對網(wǎng)絡(luò)實(shí)體所屬類型進(jìn)行劃分，用符號 isa 表示。（3）并列關(guān)系表示關(guān)系對等的兩個(gè)網(wǎng)絡(luò)實(shí)體間存在的關(guān)系，例如 AND 和 OR 關(guān)系。若兩個(gè)不同的網(wǎng)絡(luò)實(shí)體擁有相同的父實(shí)體，則說明它們是并列關(guān)系。2.4　語義規(guī)則圖的規(guī)范化為了更清楚地描述網(wǎng)絡(luò)中各實(shí)體間的依賴關(guān)系，參考溯源圖的方法對語義規(guī)則圖中的實(shí)體和關(guān)系進(jìn)行規(guī)范化表示，將網(wǎng)絡(luò)實(shí)體分為進(jìn)程（process）、文件（file）和套接字（socket）3 類，在溯源圖中分別用方形、橢圓形和菱形表示。其中，進(jìn)程作為操作關(guān)系的執(zhí)行主體，文件的讀寫與執(zhí)行、網(wǎng)絡(luò)數(shù)據(jù)的收發(fā)，以及其他進(jìn)程的啟停均由進(jìn)程發(fā)起，而進(jìn)程、文件、套接字則作為操作行為的執(zhí)行對象。此外，語義規(guī)則圖中網(wǎng)絡(luò)實(shí)體間的操作關(guān)系使用加粗的有向線條表示，而從屬關(guān)系和并列關(guān)系則使用無向線條表示。2.5　網(wǎng)絡(luò)實(shí)體屬性網(wǎng)絡(luò)實(shí)體屬性是指網(wǎng)絡(luò)實(shí)體自身所具備的性質(zhì)，可用于將自身同其他實(shí)體相區(qū)分，包括通用屬性和特有屬性。其中，通用屬性是指所有網(wǎng)絡(luò)實(shí)體都擁有的屬性，包括 mapping 和 children 屬性，mapping 屬性實(shí)現(xiàn)了網(wǎng)絡(luò)實(shí)體與標(biāo)簽的映射，children 屬性儲存了包含該網(wǎng)絡(luò)實(shí)體所有子實(shí)體的列表，父實(shí)體可以繼承子實(shí)體的屬性。此外，進(jìn)程、文件、套接字分別擁有各自的特有屬性。此外，網(wǎng)絡(luò)實(shí)體屬性之間存在比較關(guān)系，包括大于（>）、小于（<）、等于（==）、不等（≠）、屬于（∈）和不屬于（∉）關(guān)系，比較關(guān)系的雙方可以是兩個(gè)不同的屬性，也可以是實(shí)體屬性與某一具體數(shù)值。

2.6　語義規(guī)則

語義規(guī)則能夠描述攻擊者實(shí)施攻擊的行為規(guī)律，主要包括實(shí)體匹配規(guī)則（Entity Matching Rule，EMR）和關(guān)系匹配規(guī)則（Relational Matching Rule，RMR），實(shí)體匹配規(guī)則用于驗(yàn)證單個(gè)網(wǎng)絡(luò)實(shí)體的屬性值，而關(guān)系匹配規(guī)則用于驗(yàn)證網(wǎng)絡(luò)實(shí)體間的操作關(guān)系。針對智能變電站面臨的安全威脅，通過對語義規(guī)則進(jìn)行匹配，能夠從站內(nèi)安防設(shè)備告警日志數(shù)據(jù)中還原攻擊技術(shù)語義和攻擊上下文信息。若實(shí)體匹配規(guī)則和關(guān)系匹配規(guī)則均通過驗(yàn)證，則說明匹配成功 。

3 語義規(guī)則抽取

由于 ATT&CK 框架采用自然語言文本描述攻擊技術(shù)，需要對攻擊技術(shù)文本進(jìn)行知識抽取。因此，本文構(gòu)建語義規(guī)則抽取框架，其工作流程 如 圖 1 所 示， 以 ATT&CK 框 架 的 攻 擊 技 術(shù)文本作為框架輸入，輸出語義規(guī)則，該框架主要包括數(shù)據(jù)預(yù)處理、知識抽取和語義規(guī)則構(gòu)建3 個(gè)階段。

3.1　數(shù)據(jù)預(yù)處理

數(shù)據(jù)預(yù)處理階段包含兩個(gè)子步驟，即關(guān)鍵詞組識別和詞性、語法標(biāo)注。關(guān)鍵詞組識別是根據(jù)安全領(lǐng)域的詞匯特點(diǎn)，挖掘詞匯之間的相關(guān)性，實(shí)現(xiàn)對關(guān)鍵詞組的識別。本文引入正點(diǎn)互信息（Positive Pointwise Mutual Information，PPMI）指標(biāo)來計(jì)算并判斷兩個(gè)詞匯間的關(guān)聯(lián)性，PPMI指標(biāo)的計(jì)算過程如下：

圖 1　語義規(guī)則抽取框架式 中：和分別表示詞匯單獨(dú)出現(xiàn)的概率和兩個(gè)詞匯相鄰出現(xiàn)的概率。當(dāng) PPMI>0 時(shí)，說明兩個(gè)詞匯存在相關(guān)性，且 PPMI 值越大，相關(guān)性越強(qiáng)；而當(dāng) PPMI 指標(biāo)數(shù)值超過某一預(yù)設(shè)的閾值 φ 時(shí)，說明兩個(gè)連續(xù)詞匯間具有強(qiáng)關(guān)聯(lián)性，則認(rèn)為這兩個(gè)詞匯作為一個(gè)詞組出現(xiàn)。在詞性、語法標(biāo)注階段，首先使用 TextBlob工具進(jìn)行詞性標(biāo)注和使用自然語言處理工具包（Natural Language Toolkit，NLTK）刪除詞匯列表中的停用詞并還原詞性，然后再使用 spaCy 工具包抽取詞匯間的依賴關(guān)系，生成帶詞性標(biāo)簽和依賴關(guān)系的詞匯集合，表示為：式中：和分別為的詞性；rela為兩個(gè)詞匯間的依賴關(guān)系。

3.2　知識抽取

知識抽取階段包括命名實(shí)體識別和實(shí)體關(guān)系抽取兩個(gè)子步驟，分別針對網(wǎng)絡(luò)實(shí)體和網(wǎng)絡(luò)實(shí)體關(guān)系進(jìn)行知識抽取 。鑒于 ATT&CK 框架的攻擊技術(shù)文本數(shù)量較少，用于描述的語法和句式較為規(guī)范統(tǒng)一，因此本文選用基于規(guī)則的知識抽取方法。首先，基于英文文本的語法表達(dá)規(guī)范，選取最具代表性的幾類英文句式，根據(jù)詞匯的詞性和詞匯間的語法關(guān)系，構(gòu)建一套知識抽取規(guī)則，如表 1 所示，用于對攻擊技術(shù)文本的知識抽取 。表 1　知識抽取規(guī)則

針對網(wǎng)絡(luò)實(shí)體，將其定義為詞性是名詞、專有名詞或復(fù)合名詞的詞匯，其中復(fù)合名詞由多個(gè)名詞或?qū)Ｓ忻~組合而成。為了更好地識別智能變電站網(wǎng)絡(luò)安全領(lǐng)域內(nèi)的實(shí)體詞匯，可以收集相關(guān)領(lǐng)域詞匯構(gòu)建成詞典，用于輔助網(wǎng)絡(luò)實(shí)體識別。隨后，使用 Python 編寫正則表達(dá)式的方法構(gòu)建知識抽取規(guī)則，基于詞性標(biāo)注的結(jié)果，分別對網(wǎng)絡(luò)實(shí)體及謂語、系動詞等進(jìn)行簡單的詞性分類，隨后對不同句式建立對應(yīng)的正則表達(dá)式。3.3　語義規(guī)則構(gòu)建語義規(guī)則構(gòu)建階段包括網(wǎng)絡(luò)實(shí)體標(biāo)注和語義規(guī)則圖構(gòu)建兩個(gè)子步驟。網(wǎng)絡(luò)實(shí)體標(biāo)注階段根據(jù)語義規(guī)則模型定義，標(biāo)注知識抽取階段得到的網(wǎng)絡(luò)實(shí)體數(shù)據(jù)類型。將網(wǎng)絡(luò)實(shí)體出現(xiàn)的次數(shù)作為向量值，并構(gòu)造向量矩陣，根據(jù)式（3）計(jì)算已標(biāo)注網(wǎng)絡(luò)實(shí)體和未標(biāo)注網(wǎng)絡(luò)實(shí)體之間的余弦相似度，實(shí)現(xiàn)基于已標(biāo)注的網(wǎng)絡(luò)實(shí)體對未標(biāo)注的網(wǎng)絡(luò)實(shí)體進(jìn)行數(shù)據(jù)類型的標(biāo)注：式中：代表網(wǎng)絡(luò)實(shí)體，sim 為兩個(gè)網(wǎng)絡(luò)實(shí)體之間的余弦相似度。

隨后，對所得到的帶有標(biāo)注的網(wǎng)絡(luò)實(shí)體與網(wǎng)絡(luò)實(shí)體關(guān)系進(jìn)行組織和匯總，結(jié)合第 2 節(jié)所定義的語義規(guī)則模型及相關(guān)規(guī)范，生成語義規(guī)則圖，用于描述攻擊技術(shù)，最后將語義規(guī)則圖轉(zhuǎn)化為語義規(guī)則。

4 語義規(guī)則匹配

使用所得到的語義規(guī)則匹配智能變電站的告警日志，具體實(shí)現(xiàn)過程如算法 1 所示。處理智能變電站的告警日志數(shù)據(jù)，將其轉(zhuǎn)化為告警日志的溯源圖算法輸入為語義規(guī)則與智能變電站告警日志的溯源圖輸出為成功匹配的關(guān)系集合 result，預(yù)設(shè)最大路徑長度（max_len）與最小路徑長度（min_len）用于控制路徑搜索范圍。

5 對比分析

通過匹配從 ATT&CK 攻擊技術(shù)文本中提取的語義規(guī)則與智能變電站的告警日志數(shù)據(jù)，能夠結(jié)合攻擊上下文信息分析其行為的邏輯與目的。搭建仿真試驗(yàn)場景，模擬實(shí)施攻擊過程，試驗(yàn)場景由兩臺 VMware Workstation 虛擬機(jī)組成：Windows 7 64 位虛擬機(jī)作為靶機(jī)，關(guān)閉防火墻，開啟 445 端口；Kali Linux 64 位虛擬機(jī)作為攻擊機(jī)，開啟 SSH 服務(wù)。場景中的虛擬機(jī)器均使用 AMD Ryzen 7 5800H with Radeon Graphics×1 CPU，其運(yùn)行內(nèi)存為 2 GB。

在采集數(shù)據(jù)時(shí)，采用 Wireshark 工具采集場景中的日志數(shù)據(jù)，使用 Xshell 工具遠(yuǎn)程連接攻擊機(jī)實(shí)現(xiàn)操作控制。試驗(yàn)共分 3 個(gè)階段模擬 APT的攻擊過程：第 1 階段，首先使用 Nmap 工具進(jìn)行漏洞掃描，隨后使用 Metasploit 框架的輔助掃描模塊進(jìn)行漏洞掃描，發(fā)現(xiàn)靶機(jī)存在 MS17-010漏洞；第 2 階段，對 MS17-010 漏洞進(jìn)行漏洞利用，使用“永恒之藍(lán)”攻擊模塊，設(shè)置攻擊載荷，建立攻擊機(jī)與靶機(jī)之間的連接，得到 Meterpreter會話，調(diào)用 Metasploit 的功能；第 3 階段，在得到 Meterpreter 會話后，進(jìn)行靶機(jī)用戶密碼的破解與更改、用戶權(quán)限的篡改、建立賬戶實(shí)現(xiàn)持續(xù)控制、獲取遠(yuǎn)程 shell 終端，以及設(shè)備、系統(tǒng)、用戶、文件、網(wǎng)絡(luò)信息的獲取等行為。其中，第 3 階段所進(jìn)行的各種操作具有較強(qiáng)的代表性，能夠刻畫網(wǎng)絡(luò)攻擊者在漏洞利用成功后的后續(xù)行為，可為攻擊過程分析、評估提供重要信息支撐。

對比測試所構(gòu)建的語義規(guī)則同攻陷指標(biāo)（Indicator of Compromise，IOC）的匹配結(jié)果，通過計(jì)算檢出率指標(biāo)的方式比較語義規(guī)則和 IOC規(guī)則對攻擊行為的檢測能力，對比結(jié)果如表 2所示，IOC 規(guī)則檢出率為 57.1%。由表 2 可以看出，對攻擊事件的檢測上，本文構(gòu)建的語義規(guī)則明顯優(yōu)于 IOC 規(guī)則。表 2　對比結(jié)果

以 攻 擊 技 術(shù) T1018—— 遠(yuǎn) 程 系 統(tǒng) 發(fā) 現(xiàn)（Remote System Discovery）為例，該技術(shù)是利用遠(yuǎn)程訪問工具或操作系統(tǒng)上的實(shí)用程序（如ping 命令），獲取其他系統(tǒng)的列表。對 ping 工具的使用而言，該行為可視作正常的用戶行為，但此類攻擊技術(shù)往往是針對某一網(wǎng)段的 IP 地址進(jìn)行大量掃描，并結(jié)合攻擊上下文來分析，可以被認(rèn)定是攻擊者執(zhí)行內(nèi)網(wǎng)掃描的行為。攻擊技術(shù) T1021、T1057、T1210 等都存在類似的濫用行為，通過濫用此類系統(tǒng)工具，可作為攻擊者進(jìn)行的主機(jī)探測、信息竊取、痕跡消除的手段之一，只有結(jié)合攻擊上下文進(jìn)行分析，才能將其確定為攻擊行為。

綜上所述，相比于現(xiàn)有的威脅分析手段，抽取語義規(guī)則能夠?yàn)橥{檢測提供參考，將符合攻擊技術(shù)描述的行為規(guī)律通過語義規(guī)則匹配并被定義為異常行為，該方法能夠有效提高對攻擊事件的檢測精度，并使得威脅檢測更為全面。

6 結(jié)　語

本文所提出的基于威脅情報(bào)語義規(guī)則抽取的智能變電站告警分析方法，首先定義了語義規(guī)則模型，隨后構(gòu)建語義規(guī)則抽取框架，生成語義規(guī)則圖，得到語義規(guī)則，實(shí)現(xiàn)從攻擊技術(shù)文本中抽取語義規(guī)則的操作，有效地消除了語義鴻溝。通過將得到的語義規(guī)則同告警日志數(shù)據(jù)相匹配，發(fā)現(xiàn)潛在的網(wǎng)絡(luò)威脅并還原攻擊上下文信息，有效地輔助安全人員開展入侵檢測與防御工作。

引用格式：王文婷 , 劉遠(yuǎn)龍 , 劉潮 , 等 . 基于威脅情報(bào)語義規(guī)則抽取的智能變電站告警分析方法 [J].信息安全與通信保密 ,2024(3):43-51.
作者簡介 >>>
王文婷，女，碩士，高級工程師，主要研究方向?yàn)殡娏ο到y(tǒng)網(wǎng)絡(luò)安全；
劉遠(yuǎn)龍，男，博士，高級工程師，主要研究方向?yàn)殡娏ο到y(tǒng)自動化；
劉　潮， 男， 學(xué) 士， 工 程 師，主要研究方向?yàn)殡娏ο到y(tǒng)網(wǎng)絡(luò)安全；
王　赫，男，碩士研究生，工程師，主要研究方向?yàn)楣I(yè)控制系統(tǒng)安全；
劉　京， 男， 碩 士， 工 程 師，主要研究方向?yàn)殡娏ο到y(tǒng)網(wǎng)絡(luò)安全。
選自《信息安全與通信保密》2024年第3期（為便于排版，已省去原文參考文獻(xiàn)）

重要聲明：本文來自信息安全與通信保密雜志社，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點(diǎn)，轉(zhuǎn)載的目的在于傳遞更多知識和信息。

相關(guān)閱讀：國家能源局印發(fā)《電力網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》