CN104601361A - 用于不符合策略访问的电力二次系统安全事件分析方法 - Google Patents
用于不符合策略访问的电力二次系统安全事件分析方法 Download PDFInfo
- Publication number
- CN104601361A CN104601361A CN201410522152.8A CN201410522152A CN104601361A CN 104601361 A CN104601361 A CN 104601361A CN 201410522152 A CN201410522152 A CN 201410522152A CN 104601361 A CN104601361 A CN 104601361A
- Authority
- CN
- China
- Prior art keywords
- alarm
- strategy
- meeting
- access
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明提供了一种用于不符合策略访问的电力二次系统安全事件分析方法,包括以下步骤:(1)当新告警发生时,提取新告警的特征值;轮询实时不符合策略访问告警表中的设备链表,判断新告警是否已经存在于设备链表的节点中:若存在,则转到步骤(2);若不存在,则转到步骤(3);(2)若存在,说明新告警已经发生,则将新告警与该节点维护的告警进行关联操作;(3)若不存在,在设备链表中找到对应位置并插入新告警;(4)更新实时不符合策略访问告警表。本发明通过关联性挖掘,对现场出现的众多不符合策略访问告警信息进行二次分析,形成更加有意义的告警信息,为告警的快速定位和及时处理提供功能支持。
Description
技术领域
本发明涉及一种告警事件分析方法,尤其涉及一种用于不符合策略访问的电力二次系统安全事件分析方法,属于电力系统调度技术领域。
背景技术
电力二次系统内网安全监视平台(简称内网安全监视平台)主要用于电力二次系统内部网络的安全事件监视、安全事件分析、统计报表、资产管理等,是维护电力二次系统安全稳定运行的重要技术保障。
在公开号为CN101222725A的中国发明专利申请中,公开了一种利用告警归并减少北向接口告警数量的方法。其中,网元管理系统EMS通过北向接口向网络管理系统口NMS上报告警或告警恢复,预先配置告警归并规则以及判断相同告警的规则,当EMS收到满足同一告警归并规则的多条相同的告警时,EMS只上报首次发生的告警,即首告警,而其余的相同告警即从告警不上报。当EMS收到满足同一告警归并规则的多条相同告警对应的告警恢复时,EMS只上报首告警对应的告警恢复,而从告警对应的告警恢复不上报。该技术方案减少了需要上报的告警数量,有效降低了告警系统的负担。但是,也存在一些问题:内网安全监视平台主要实现告警信息汇总功能,并没有对海量告警数据进行二次分析,造成现场告警繁多,信息关联性不强,不但不利于反映电力二次系统安全风险指标,反而造成现场用户疲于解决各类告警,严重影响内网安全监视平台的生命力;内网安全监视数据解析入库与告警压缩归并是异步进行,在大数据量告警情况下平台对于数据库的压力较大,同时告警生成周期也较长。
综上所述,实现内网安全监视平台的告警二次分析及智能告警处理功能的需求十分迫切。
发明内容
针对现有技术的不足,本发明所要解决的技术问题在于提供一种用于不符合策略访问的电力二次系统安全事件分析方法。
为实现上述发明目的,本发明采用下述的技术方案:
一种用于不符合策略访问的电力二次系统安全事件分析方法,包括以下步骤:
(1)当新告警发生时,提取所述新告警的特征值,所述新告警特征值包括:告警设备IP、源地址IP和目的地址IP;轮询实时不符合策略访问告警表中的设备链表,判断所述新告警是否已经存在于所述设备链表的节点中:若存在,则转到步骤(2);若不存在,则转到步骤(3);
(2)若存在,说明所述新告警已经发生,则将所述新告警与该节点维护的告警进行关联操作,并将告警数量加1,同时修改告警结束时间;完成后转步骤(4);
(3)若不存在,则根据不符合访问策略的告警规则,在所述设备链表中找到对应位置并插入所述新告警;完成后转步骤(4);
(4)更新实时不符合策略访问告警表。
其中较优地,所述步骤(1)~(4)在内网安全监视平台的内存中完成。
其中较优地,接收到新告警的数据后进行有效性验证,利用MD5算法提取所述新告警的特征值,并将原告警信息转换为8字节的长整型数据,然后利用所述特征值构建平衡二叉树。
其中较优地,所述步骤(3)中,通过所述告警设备IP在所述设备链表中查找对应的节点,在该节点挂载的目的地址IP地址二叉树中查找当前不符合策略访问数据的源地址IP是否存在;
若当前不符合策略访问数据的源地址IP不存在,则判断不符合策略访问的源地址IP类型;
若当前不符合策略访问数据的源地址IP存在,找到该节点并判断目的地址IP在该节点挂载的目的地址IP二叉树中是否存在。
其中较优地,若当前不符合策略访问数据的源地址IP存在,且目的地址IP在该节点挂载的目的地址IP二叉树中不存在,则判断不符合策略访问目的地址IP类型,并插入对应特征的平衡二叉树中。
其中较优地,所述步骤(4)中,对于不符合策略访问告警不直接存入实时报警信息表而存入实时不符合策略访问告警表中;所述实时不符合策略访问告警表存储当天发生的不符合策略访问告警;跨天的不符合策略访问告警由告警上报模块转移到历史不符合策略访问告警表中供历史查询使用。
其中较优地,每个设备节点上报的多个不符合策略访问的源地址IP组成源地址IP结构体,所述平衡二叉树由所述源地址IP结构体构成。
其中较优地,所述源地址IP结构体是由目的地址IP构成的平衡二叉树组成的堆,每个源地址IP结构体包括不同的不符合访问策略的情形,包括:访问未知公网地址、站内业务内部地址互访、站外一平面业务内部地址互访、内部局域网地址、站外二平面业务内部地址互访和广播数据。
其中较优地,每种不符合访问策略的情形对应一个目的地址IP平衡二叉树。
与现有技术相比较,本发明具有以下有益效果:
通过对告警信息关联性分析,挖掘告警事件实际意义,从而实现告警信息的智能化,实用化;通过基于平衡二叉树的数据结构的应用,提高了告警信息查找的效率,降低了数据查找的时间复杂度;对于告警增加告警来源信息,实现告警信息精确定位,为用户理解并解决告警事件提供便利。
附图说明
图1是本发明所提供的电力二次系统安全事件分析方法的整体流程图;
图2是本发明中,告警的过滤及归并过程的流程图;
图3是本发明中,告警二次分析模块的数据结构示意图;
图4是本发明中,告警二次分析模块处理数据的流程图。
具体实施方式
下面结合附图和具体实施例对本发明的技术内容作进一步的说明。
图1为本发明所提供的电力二次系统安全事件分析方法的整体流程图。其中,原始告警数据经过代理模块,再经过告警解析归并模块(Logagent)进行处理后放置到数据库中,告警二次分析模块(loganlyse)从数据库读取数据进行二次分析以及业务关联,并把处理结果再放回数据库。
(1)告警解析归并。
如图2所示,在申请公布号为CN103607291A的中国专利申请中,公开了一种用于电力二次系统内网安全监视平台的告警解析归并方法,包括如下步骤:构建含有告警数据的平衡二叉树,接收原始的告警数据;根据告警数据的合法性决定是否加入合法告警队列,根据告警数据的源地址IP范围决定是否加入监视范围内告警队列;按照告警设备类型对告警队列进行分类,对已分类的告警队列计算告警特征值;将告警特征值在平衡二叉树中进行匹配,并更新平衡二叉树;保存平衡二叉树对应的告警数据。利用上述的告警解析归并方法,可以提高告警数据的入库效率,同时降低电力二次系统内网安全监视平台的数据库负载压力。关于该技术方案的进一步说明,可以参阅相应的专利公布文件,在此就不再赘述了。
本发明中的告警解析归并模块除完成日志解析、过滤、入库外,新增告警归并功能。新增告警信息采用不入数据库、先处理的原则。新增告警信息从接收到分析到归并的全流程中,数据库不参与操作,采用内存处理方式,只将结果更新到数据库中。因此,大大缩短了告警生成事件,从而解决了告警生成周期长的问题。通过以上过程实现告警归并的快速定位,只对新告警进行相应数据库操作,对现有告警通过内存中的二叉树维护并定期与后台数据库同步。利用该方式提高了告警的入库效率,同时降低了数据库负载压力。
如图2所示,告警的过滤及归并过程主要基于一个以告警特征值构成的平衡二叉树来实现。该数据结构对于告警查询的时间复杂度较低,充分满足告警处理的时间要求。
以设备节点为主键的链表结构,用来表示当前内网安全监视平台所有产生过告警信息的设备信息。内网安全监视平台在接收到原始告警后会对告警内容、告警来源信息进行有效性验证,之后将告警按设备类型分配到相应的告警队列中,通过基于MD5算法的特征值提取技术,将原告警信息转换为8字节的长整型数据,基于该特征值构建一颗平衡二叉树。通告告警特征值是否在平衡二叉树中存在来表明告警是否已经发生。若告警尚未发生,则在平衡二叉树中找到对应位置并插入新增告警信息。新产生告警的设备信息加入到链表尾部,同时链表结构较为松散,在告警信息较大的情况下对服务器内存使用要求较低;若告警已经发生,通过该特征值能够快速定位的该告警信息所在平衡二叉树的位置并更新告警发生次数。
(2)告警二次分析。
本发明在告警解析归并模块的基础上进一步增加了告警二次分析模块,解决原告警解析归并模块只对同一条告警信息进行次数归并,并没有进行同类告警的关联性分析的问题。通过一系列的告警分析处理,将原来复杂、分散的告警信息归纳为概括、连续的告警信息,从而提高了内网安全监视平台告警的关联性及可读性。
其中,告警二次分析模块主要通过提取告警特征值来构建一颗平衡二叉树,实现在内存中维护平台现有告警信息。当接收到新告警时,会提取其特征值并在上述平衡二叉树中快速查找是否已经存在该节点,若存在则说明该告警已经发生,将该节点维护的告警数量加1并修改告警结束时间,若不存在该节点则认为告警在平台没有发生过,对新告警入库并更新平衡二叉树。
平衡二叉树的左子树和右子树都是平衡二叉树,且左右子树的深度之差的绝对值不超过1。该数据结构对于告警查询的时间复杂度较低,利用对告警信息快速定位并进行插入及归并,充分满足告警处理的时间要求。
本发明为告警二次分析模块设计以下数据结构,如图3所示,包括:告警设备IP、源地址IP和目的地址IP。以设备节点为主键的链表结构,用来表示当前内网安全监视平台所有产生过告警信息的设备信息,对于告警设备IP唯一对应一个设备节点,每个设备拥有一个唯一的主键(设备ID),与主键相对应的还有设备类型、区域、责任人、安全区、IP地址等信息,因此可以通过IP地址找到设备ID。将新产生告警的设备信息加入到链表尾部。由于链表结构较为松散,在告警信息较大的情况下对服务器内存的使用要求较低。每个设备节点上报的不符合策略访问源地址IP组成平衡二叉树,即源地址IP结构体。源地址IP结构体是由目的地址IP构成的平衡二叉树组成的堆,每个源地址IP结构体可以分为几种不符合访问策略的情形,包括访问未知公网IP、业务内部地址互访(站内)、业务内部地址互访(站外一平面)、内部局域网地址、业务内部地址互访(站外二平面)和广播数据等。每种不符合访问策略的情形对应一个目的地址IP平衡二叉树。其中,不符合访问策略的告警情形如下:
(1)未知地址互访:拦截的源地址IP及目的地址IP均为非业务IP地址。
(2)访问未知的公网IP;拦截的源IP为站内业务IP或私网地址IP、目的地址IP为未知的公网IP。该情况可能为病毒所致,建议及时处理。
(3)未知地址访问调度数据网地址;拦截的源地址IP为未知的公网IP,目的地址IP为站内业务IP。该情况可能为攻击行为,建议及时处理。
(4)业务内部地址互访;拦截的源地址IP及目的地址IP均为站内的业务IP,该情况说明业务主机网关设置有问题,此类数据不应该转发到安全装置,建议排查站内数据网及业务主机设置。
(5)一平面互访业务被拒绝,从二平面安全设备报出(或二平面互访业务被拒绝,从一平面安全设备报出);该情况说明站内一、二平面数据网交换机配置有问题,建议排查站内数据网及业务主机设置。
(6)站内广播;该情况建议排查站内数据网交换机设置以及业务是否有广播的需求。
(7)内部局域网地址互访;该情况建议排查数据网交换机设置。
(8)全网广播;该情况建议排查站内数据网交换机设置以及排查业务是否有广播的需求,同时不排除病毒原因。
下面对告警二次分析模块处理数据的具体过程进行详细描述,如图4所示:
a.对于不符合策略访问告警不直接入实时报警信息表中,存入实时不符合策略访问告警表中。
b.实时不符合策略访问告警表存储当天发生不符合策略访问告警。跨天不符合策略访问告警由告警上报模块(upreport)转移到历史不符合策略访问告警表中供历史查询使用。
c.该模块通过对实时不符合策略访问告警表的轮询,获得最新未被处理的不符合策略访问数据,包括告警设备IP(一平面、二平面)、源地址IP、目的地址IP。通过告警设备IP在数据结构中查找对应的设备链表节点。在该节点挂载的目的地址IP地址二叉树中查找当前不符合策略访问数据的源地址IP是否存在。
d.若不存在,判断不符合策略访问源地址IP类型,主要包括未知公网IP、站外业务地址(一、二平面)、站内业务地址、局域网地址、广播地址等,并插入源地址IP二叉树。
e.若存在,找到该节点并判断目的地址IP是否在该节点挂载的目的地址IP二叉树中存在。
f.判断不符合策略访问目的地址IP类型,包括未知公网IP、站外业务地址(一、二平面)、站内业务地址、局域网地址、广播地址等,按照以上特点插入对应特征的平衡二叉树中。
g.目的地址IP若存在,将该条不符合策略访问与已经产生过的告警信息关联。
h.根据以上判断的源地址IP和目的地址IP特征,进行二次分析后生成上述8种告警。
i.更新实时不符合策略访问告警表。
本发明按照运行状况重新定义告警内容,通过关联性挖掘对现场出现的众多不符合策略访问告警信息进行二次分析,形成更加有意义的告警信息;告警信息增加告警来源部分,方便用户定位告警的真实来源(包括区域、节点、业务等信息),为告警的快速定位和及时处理提供功能支持;并且,通过解析现有内网安全监视平台监视以上述新告警作为基础,进行统计、分析、展现、上报,从根本上解决现有平台告警繁多、关联性差、定位不明确等弊端。
以上对本发明所提供的用于不符合策略访问的电力二次系统安全事件分析方法进行了详细的说明。对本领域的一般技术人员而言,在不背离本发明实质精神的前提下对它所做的任何显而易见的改动,都将构成对本发明专利权的侵犯,将承担相应的法律责任。
Claims (9)
1.一种用于不符合策略访问的电力二次系统安全事件分析方法,其特征在于包括以下步骤:
(1)当新告警发生时,提取所述新告警的特征值,所述新告警特征值包括:告警设备IP、源地址IP和目的地址IP;轮询实时不符合策略访问告警表中的设备链表,判断所述新告警是否已经存在于所述设备链表的节点中:若存在,则转到步骤(2);若不存在,则转到步骤(3);
(2)若存在,说明所述新告警已经发生,将所述新告警与该节点维护的告警进行关联操作,并将告警数量加1,同时修改告警结束时间;完成后转步骤(4);
(3)若不存在,则根据不符合访问策略的告警规则,在所述设备链表中找到对应位置并插入所述新告警;完成后转步骤(4);
(4)更新实时不符合策略访问告警表。
2.如权利要求1所述的电力二次系统安全事件分析方法,其特征在于,
所述步骤(1)~(4)在内网安全监视平台的内存中完成。
3.如权利要求1所述的电力二次系统安全事件分析方法,其特征在于,
接收到新告警的数据后进行有效性验证,利用MD5算法提取所述新告警的特征值,并将原告警信息转换为长整型数据,然后利用所述特征值构建平衡二叉树。
4.如权利要求1所述的电力二次系统安全事件分析方法,其特征在于,
所述步骤(3)中,通过所述告警设备IP在所述设备链表中查找对应的节点,在该节点挂载的目的地址IP地址二叉树中查找当前不符合策略访问数据的源地址IP是否存在;
若当前不符合策略访问数据的源地址IP不存在,则判断不符合策略访问的源地址IP类型;
若当前不符合策略访问数据的源地址IP存在,找到该节点并判断目的地址IP在该节点挂载的目的地址IP二叉树中是否存在。
5.如权利要求4所述的电力二次系统安全事件分析方法,其特征在于,
若当前不符合策略访问数据的源地址IP存在,且目的地址IP在该节点挂载的目的地址IP二叉树中不存在,则判断不符合策略访问目的地址IP类型,并插入对应特征的平衡二叉树中。
6.如权利要求1所述的电力二次系统安全事件分析方法,其特征在于,
所述步骤(4)中,对于不符合策略访问告警不存入实时报警信息表中,而存入实时不符合策略访问告警表中;所述实时不符合策略访问告警表存储当天发生的不符合策略访问告警;跨天的不符合策略访问告警由告警上报模块转移到历史不符合策略访问告警表中供历史查询使用。
7.如权利要求1所述的电力二次系统安全事件分析方法,其特征在于,
每个设备节点上报的多个不符合策略访问的源地址IP组成源地址IP结构体,所述平衡二叉树由所述源地址IP结构体构成。
8.如权利要求7所述的电力二次系统安全事件分析方法,其特征在于,
所述源地址IP结构体是由目的地址IP构成的平衡二叉树组成的堆,每个源地址IP结构体包括不同的不符合访问策略的情形,包括:访问未知公网地址、站内业务内部地址互访、站外一平面业务内部地址互访、内部局域网地址、站外二平面业务内部地址互访和广播数据。
9.如权利要求8所述的电力二次系统安全事件分析方法,其特征在于,
每种不符合访问策略的情形对应一个目的地址IP平衡二叉树。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410522152.8A CN104601361B (zh) | 2014-09-30 | 2014-09-30 | 用于不符合策略访问的电力二次系统安全事件分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410522152.8A CN104601361B (zh) | 2014-09-30 | 2014-09-30 | 用于不符合策略访问的电力二次系统安全事件分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104601361A true CN104601361A (zh) | 2015-05-06 |
| CN104601361B CN104601361B (zh) | 2020-08-11 |
Family
ID=53126886
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410522152.8A Active CN104601361B (zh) | 2014-09-30 | 2014-09-30 | 用于不符合策略访问的电力二次系统安全事件分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104601361B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104901960A (zh) * | 2015-05-26 | 2015-09-09 | 汉柏科技有限公司 | 一种基于告警策略的网络安全管理设备及方法 |
| CN105183911A (zh) * | 2015-10-12 | 2015-12-23 | 国家电网公司 | 一种基于数据来源二叉树的电力系统异常数据溯源方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101697545A (zh) * | 2009-10-29 | 2010-04-21 | 成都市华为赛门铁克科技有限公司 | 安全事件关联方法、装置及网络服务器 |
| CN103581186A (zh) * | 2013-11-05 | 2014-02-12 | 中国科学院计算技术研究所 | 一种网络安全态势感知方法及系统 |
| CN103607291A (zh) * | 2013-10-25 | 2014-02-26 | 北京科东电力控制系统有限责任公司 | 用于电力二次系统内网安全监视平台的告警解析归并方法 |
| US20140176714A1 (en) * | 2012-12-26 | 2014-06-26 | Automotive Research & Test Center | Collision prevention warning method and device capable of tracking moving object |
-
2014
- 2014-09-30 CN CN201410522152.8A patent/CN104601361B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101697545A (zh) * | 2009-10-29 | 2010-04-21 | 成都市华为赛门铁克科技有限公司 | 安全事件关联方法、装置及网络服务器 |
| US20140176714A1 (en) * | 2012-12-26 | 2014-06-26 | Automotive Research & Test Center | Collision prevention warning method and device capable of tracking moving object |
| CN103607291A (zh) * | 2013-10-25 | 2014-02-26 | 北京科东电力控制系统有限责任公司 | 用于电力二次系统内网安全监视平台的告警解析归并方法 |
| CN103581186A (zh) * | 2013-11-05 | 2014-02-12 | 中国科学院计算技术研究所 | 一种网络安全态势感知方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 丛佩丽: "SOC中报警聚类及关联分析技术的设计与实现", 《万方学位论文》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104901960A (zh) * | 2015-05-26 | 2015-09-09 | 汉柏科技有限公司 | 一种基于告警策略的网络安全管理设备及方法 |
| CN105183911A (zh) * | 2015-10-12 | 2015-12-23 | 国家电网公司 | 一种基于数据来源二叉树的电力系统异常数据溯源方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104601361B (zh) | 2020-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102521781B (zh) | 一种基于独立监控服务的跨安全区的设备统一监控方法及其监控系统 | |
| CN108712294A (zh) | 一种基于Syslog知识库实现网络设备监控告警的方法 | |
| CN109379390B (zh) | 一种基于全流量的网络安全基线生成方法 | |
| CN106534164B (zh) | 基于网络空间用户标识的有效虚拟身份刻画方法 | |
| CN201491020U (zh) | 基于事件分类和规则树的关联分析装置 | |
| RU2012137104A (ru) | Регистрация событий безопастности при управлении технологическим процессом | |
| CN112688822B (zh) | 基于多点协同的边缘计算故障或安全威胁监测系统与方法 | |
| CN102291247A (zh) | 告警关联图生成方法、装置及关联告警确定方法、装置 | |
| CN109981326B (zh) | 家庭宽带感知故障定位的方法及装置 | |
| CN111046000B (zh) | 一种面向政府数据交换共享的安全监管元数据组织方法 | |
| CN110580670A (zh) | 基于物联网的智慧城市管理系统 | |
| CN112804348A (zh) | 云监测中心对边缘计算节点上报数据的重复性判定方法 | |
| CN114630201B (zh) | 数据机房的运维控制系统和方法 | |
| CN113516565A (zh) | 一种基于知识库的电力监控系统告警智能处理方法及其装置 | |
| CN113433882A (zh) | 一种站房智能辅助与人工智能可视化网关控制方法及系统 | |
| CN104601361A (zh) | 用于不符合策略访问的电力二次系统安全事件分析方法 | |
| Umamaheswari et al. | Technologies used in smart city applications–An overview | |
| CN112769916B (zh) | 一种智慧社区的高同步并发群控方法、系统及存储介质 | |
| CN113704569A (zh) | 信息的处理方法、装置及电子设备 | |
| CN113259367A (zh) | 工控网络流量多级异常检测方法及装置 | |
| CN116910144A (zh) | 算力网络资源中心、算力服务系统以及数据处理方法 | |
| CN115952165A (zh) | 一种全网定值快速核查方法及系统 | |
| CN115423030A (zh) | 一种设备识别的方法和装置 | |
| CN114331785A (zh) | 基于以太坊的行程监管方法、系统及可读存储介质 | |
| CN110855602B (zh) | 物联网云平台事件识别方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |