CN104601567A - 一种基于电力信息网络安全事件挖掘的指标化安全度量方法 - Google Patents
一种基于电力信息网络安全事件挖掘的指标化安全度量方法 Download PDFInfo
- Publication number
- CN104601567A CN104601567A CN201510014696.8A CN201510014696A CN104601567A CN 104601567 A CN104601567 A CN 104601567A CN 201510014696 A CN201510014696 A CN 201510014696A CN 104601567 A CN104601567 A CN 104601567A
- Authority
- CN
- China
- Prior art keywords
- parameter
- security
- index
- metric
- irrelevance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于电力信息网络安全事件挖掘的指标化安全度量方法和装置,该方法和装置实时采集电力信息网络异构安全事件,并根据预定义的模板对该异构安全事件归一化,实时采集归一化后的标准安全事件的指标参数Vk的实时数据,并依据该数据获得维度参数Di的度量值Ei及整体网络安全度量指标H。本发明通过采用可预定义的安全度量策略以适应复杂的网络需求,基于安全事件数据的实时性、全面性的特点,构建自动化、指标化、智能化的安全度量体系,从而准确评估网络安全的状态和有效性。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种基于电力信息网络安全事件挖掘的指标化安全度量方法。
背景技术
电力系统是国民经济和人民生活的重要基础设施,其网络和应用系统的安全是电力系统安全运行及对社会可靠供电的保证,直接关系到我国各行各业的发展、社会的安定和人民的生活水平。电力系统安全防护的主要目标是防止关键业务信息系统数据或信息被窃取或篡改,防止网络被恶意渗透或监听,确保不发生因信息安全引发的电网事故和大面积停电事故,实现信息安全风险可控、能控、在控。国家非常重视电力系统的信息安全,建立了电力系统信息安全纵深防御体系,采取了很多安全防护措施,其产生的安全效果和效率往往并不为人所知。因此电力系统信息安全保障水平的度量就受到了越来越多的关注,研究电力系统安全度量体系是非常必要的。
根据ISO/IEC 27004[2]中的对安全度量的定义:度量是一种工具,它通过采集、分析、报告与绩效相关的数据,用来推进决策并改善绩效和问责。安全度量主要解答了信息系统是否足够安全、现在是否比以前更安全、信息安全投资是否适度和均衡、安全是否合格、信息安全的工作的有效性如何、信息安全的工作效率怎样等方面的问题。
目前安全度量主要依靠人员进行实施,度量的准确性往往依赖于人的技术能力、实践经验、对相关标准的理解程度等,因此准确性差,实时性差,而且每次度量都需要翻阅大量数据,没有一个统一的指标。随着电力系统安全防护方面的快速发展,急需一种具备自动化、实时性、指标化特征的安全度量方法。另一个重要的方面,在复杂的安全度量指标体系下,当发现网络整体指标出现异常时,目前并没有有效的手段辅助管理人员进行安全问题定位。
发明内容
为了解决上述问题,本发明提出了一种基于电力信息网络安全事件挖掘的指标化安全度量方法,能够使得电力信息网络的安全度量实现自动化、实时性、指标化。
为了达到上述目的,本发明提出了一种基于电力信息网络安全事件挖掘的指标化安全度量方法,该方法包括以下步骤:
A、采集电力信息网络中的异构安全事件,基于预设的标准模板,采用可扩展安全事件范化策略对该异构安全事件进行归一化,形成标准安全事件并缓存。
B、按照预设的维度参数Di对该标准安全事件进行分组,对每组标准安全事件按照预定义的指标参数Vk提取反映网络安全运行态势的关键参数,获得网络安全指标参数Vk的实时数据。
C、通过下式计算维度参数Di的度量值Ei:
其中,L是指标参数的个数,WK是Vk的配置系数,
通过下式计算整体网络安全度量指标H:
其中,Pi为维度参数Di所对应的安全事件数量占总安全事件数量的比例,N为安全度量维度的个数。
优选地,该方法还包括:将指标参数Vk的实时数据与指标参数Vk的历史数据拟合,构建网络安全指标参数Vk的数据基线。
将维度参数Di的度量值Ei的实时数据与维度参数Di度量值Ei的历史数据拟合,构建网络安全维度参数Di的数据基线。
优选地,该方法还包括:对网络整体状态进行判断,根据整体网络安全度量指标判断网络整体状态是否出现异常,判断步骤包括:
根据维度参数Di确定网络安全事件的类型。
根据网络安全指标参数Vk的实时数据和所述网络安全指标参数Vk的数据基线计算指标参数Vk的偏离度。
根据网络安全维度参数Di的度量值Ei的实时数据和网络安全维度参数Di的度量值Ei的数据基线计算维度参数Di的度量值Ei的偏离度。
根据指标参数Vk的偏离度获得偏离度最大的指标参数Vk并根据维度参数Di的度量值Ei的偏离度获得偏离度最大的维度参数Di的度量值Ei。
根据偏离度最大的指标参数Vk和偏离度最大的维度参数Di的度量值Ei确定异常的网络安全事件。
优选地,指标参数Vk的偏离度和所述维度参数Di的度量值Ei的偏离度的计算方法如下:
指标参数Vk的偏离度:VPik=(Cik-Bik)*100/Bik,其中,Cik是维度Di的指标参数Vk的当前周期值,Bik是维度Di的指标参数Vk的基线值。
维度参数Di的度量值Ei的偏离度:DPi=(Ci-Bi)*100/Bi,其中,Ci是维度Di的度量值Ei的当前周期值,Bi是维度Di的度量值Ei的基线值。
优选地,在该方法之前,预定义采集所述异构安全事件的标准、安全指标度量参数和度量标准;其中,
预定义采集异构安全事件的标准包括:预定义异构安全事件的地址范围和时间范围。
预定义安全指标度量参数包括:预定义维度参数Di;预定义在不同的安全事件场景下维度参数Di和指标参数Vk的标准模板。
预定义安全指标度量标准包括:预定义指标参数Vk的偏离度和维度参数Di的度量值Ei的偏离度的阈值;预定义该阈值代表的安全等级;预定义不同场景下或不同需要下的WK的值。
优选地,维度参数Di对安全事件进行分组的步骤包括:实时采集预定时间段内的所有安全事件,获取经过归一化后安全事件对象的事件类型字段,根据攻击入侵类D1、信息泄露类D2、设备故障类D3、认证授权与非法访问类D4、恶意代码类D5、违规与误操作类D6对安全事件进行分组。
优选地,各个度量维度Di的指标参数Vk的获取方法分别是指:
安全事件量V1的获取方法是从安全事件组中获取所有安全事件的数量值;源地址个数V2的获取方法是从安全事件组中获取所有独立源IP的数量值;目的地址个数V3的获取方法是从安全事件组中获取所有独立目的IP的数量值;资产地址个数V4获取方法是从安全事件组中获取所有独立资产IP的数量值。
优选地,维度参数Di所对应的安全事件数量占总安全事件数量的比例Pi的计算方法为:获得预定时间段内采集的所有安全事件的总数量T,获得维度参数Di分组中安全事件的数量Si,维度参数Di对应的安全事件数量占比为:
Pi=Si/T,
其中,最后一维参数DL对应的安全事件数量占比计算为:
其中L为维度参数Di的维数。
本发明还提出一种基于电力信息网络安全事件挖掘的指标化安全度量装置,该装置包括:归一化模块、实时数据获取模块、计算模块。
归一化模块,用于采集电力信息网络中的异构安全事件,基于预设的标准模板,采用可扩展安全事件范化策略对异构安全事件进行归一化,形成标准安全事件并缓存。
实时数据获取模块,用于在归一化模块按照预设的维度参数Di对标准安全事件进行分组后,对每组标准安全事件按照预定义的指标参数Vk提取反映网络安全运行态势的关键参数,获得网络安全指标参数Vk的实时数据。
计算模块,用于通过下式计算维度参数Di的度量值Ei:
其中,L是指标参数的个数,WK是Vk的配置系数,
通过下式计算整体网络安全度量指标H:
其中,Pi为维度参数Di所对应的安全事件数量占总安全事件数量的比例,N为安全度量维度的个数。
优选地,该装置还包括基线构建模块。
基线构建模块,用于将指标参数Vk的实时数据与指标参数Vk的历史数据拟合,构建网络安全指标参数Vk的数据基线。
基线构建模块,还用于将维度参数Di的度量值Ei的实时数据与维度参数Di度量值Ei的历史数据拟合,构建网络安全维度参数Di的数据基线。
优选地,该装置还包括异常判断模块:用于通过网络安全度量指标体系对网络整体状态进行判断,根据整体网络安全度量指标判断网络整体状态是否出现异常,判断步骤包括:
根据维度参数Di确定网络安全事件的类型。
根据网络安全指标参数Vk的实时数据和所述网络安全指标参数Vk的数据基线计算指标参数Vk的偏离度。
根据网络安全维度参数Di的度量值Ei的实时数据和网络安全维度参数Di的度量值Ei的数据基线计算所述维度参数Di的度量值Ei的偏离度。
根据指标参数Vk的偏离度获得偏离度最大的指标参数Vk并根据维度参数Di的度量值Ei的偏离度获得偏离度最大的维度参数Di的度量值Ei。
根据偏离度最大的指标参数Vk和偏离度最大的维度参数Di的度量值Ei确定异常的网络安全事件。
优选地,指标参数Vk的偏离度和维度参数Di的度量值Ei的偏离度的计算方法如下:
指标参数Vk的偏离度:VPik=(Cik-Bik)*100/Bik,其中,Cik是维度Di的指标参数Vk的当前周期值,Bik是维度Di的指标参数Vk的基线值。
维度参数Di的度量值Ei的偏离度:DPi=(Ci-Bi)*100/Bi,其中,Ci是维度Di的度量值Ei的当前周期值,Bi是维度Di的度量值Ei的基线值。
优选地,该装置还包括:预定义模块,用于预定义采集所述异构安全事件的标准、安全指标度量参数和度量标准;其中,
预定义采集所述异构安全事件的标准包括:预定义异构安全事件的地址范围和时间范围。
预定义安全指标度量参数包括:预定义维度参数Di;预定义在不同的安全事件场景下维度参数Di和指标参数Vk的标准模板。
预定义安全指标度量标准包括:预定义指标参数Vk的偏离度和维度参数Di的度量值Ei的偏离度的阈值;预定义阈值代表的安全等级;预定义不同场景下或不同需要下的WK的值。
优选地,维度参数Di对安全事件进行分组的步骤包括:实时采集预定时间段内的所有安全事件,获取经过归一化后安全事件对象的事件类型字段,根据攻击入侵类D1、信息泄露类D2、设备故障类D3、认证授权与非法访问类D4、恶意代码类D5、违规与误操作类D6对安全事件进行分组。
优选地,各个度量维度Di的指标参数Vk的获取方法分别是指:
安全事件量V1的获取方法是从安全事件组中获取所有安全事件的数量值;源地址个数V2的获取方法是从安全事件组中获取所有独立源IP的数量值;目的地址个数V3的获取方法是从安全事件组中获取所有独立目的IP的数量值;资产地址个数V4获取方法是从安全事件组中获取所有独立资产IP的数量值。
优选地,维度参数Di所对应的安全事件数量占总安全事件数量的比例Pi的计算方法为:获得预定时间段内采集的所有安全事件的总数量T,获得维度参数Di分组中安全事件的数量Si,维度参数Di对应的安全事件数量占比为:
Pi=Si/T,
其中,最后一维参数DL对应的安全事件数量占比计算为:
其中L为维度参数Di的维数。
与现有技术相比,本发明在预定义采集异构安全事件的标准、安全指标度量参数和度量标准的基础上,实时采集电力信息网络异构安全事件,并根据定义的度量参数对该异构安全事件归一化,实时采集归一化后的标准安全事件的指标参数Vk的实时数据,并依据该数据获得维度参数Di的度量值Ei及整体网络安全度量指标H。本发明通过采用可自定义的安全度量策略以适应复杂的网络需求,基于安全事件数据的实时性、全面性的特点,构建自动化、指标化、智能化的安全度量体系,从而准确评估网络安全的状态和有效性。本发明还构建了度量参数基线,通过实时参数相对于极限的偏离度对网络整体状态异常进行判断,辅助网络安全人员进行决策。
附图说明
下面对本发明实施例中的附图进行说明,实施例中的附图是用于对本发明的进一步理解,与说明书一起用于解释本发明,并不构成对本发明保护范围的限制。
图1为本发明的安全度量方法结构图。
具体实施方式
为了便于本领域技术人员的理解,下面结合附图对本发明作进一步的描述,并不能用来限制本发明的保护范围。
本发明依据宏观网络系统的观察,实时采集电力信息网络异构安全事件,对安全事件进行多维度数据挖掘,采用可自定义的安全度量策略以适应复杂的网络需求,基于安全事件数据的实时性、机器化、全面性的特点,构建指标化、智能化的安全度量体系,从而准确评估网络安全的状态和有效性,并通过指标体系的扰动对网络整体状态异常进行定位,辅助网络安全人员进行决策。
首先,本发明提出了一种基于电力信息网络安全事件挖掘的指标化安全度量方法,该方法包括以下步骤:
A、采集电力信息网络中的异构安全事件,基于预设的标准模板,采用可扩展安全事件范化策略对该异构安全事件进行归一化,形成标准安全事件并缓存。
优选地,安全事件范化策略中的范化格式包括模板部分和数据部分:
模板部分:
其中,Template ID表示该事件范化模板的ID号;Option Field Type表示安全事件的属性字段类型;Option Field Index表示该安全事件属性字段在数据部分的索引。
数据部分:
其中,EventSet ID表示一组采用相同事件范化模板的事件集的ID;Template ID表示该事件集对应的事件范化模板的ID;Length表示该事件集中包含事件记录的个数;Event Record 1-Field 1Value表示事件记录1中索引位置为1的属性字段的值。
优选地,安全事件范化策略中的模板部分必须包含以下属性字段:
Option Field 1Type=“事件分类”index=0;
Option Field 2Type=“源地址”index=1;
Option Field 3Type=“目的地址”index=2;
Option Field 4Type=“资产地址”index=3;
Option Field 5Type=“资产类型”index=4;
Option Field6Type=“严重等级”index=5;
Option Field 7Type=“发生时间”index=6。
电力信息网络安全事件完整表示为:
Event={Name,Time,Type,srcIP,dstIP,devIP,devType,Level},其中,Name,Time,Type表示攻击特征、发生时间以及事件分类;srcIP,dst代表源和目的地址;devIP表示事件报送的资产地址,devType表示事件报送的资产类型;Level表示事件严重等级。
B、按照预设的维度参数Di对该标准安全事件进行分组,对每组标准安全事件按照预定义的指标参数Vk提取反映网络安全运行态势的关键参数,获得网络安全指标参数Vk的实时数据。
优选地,网络安全运行指标维度参数Di包括:攻击入侵类安全事件、信息泄露类安全事件、设备故障类安全事件、认证授权与非法访问类安全事件、恶意代码类安全事件、违规与误操作类安全事件六个维度。每个维度指标参数包含四元组数据,即安全事件量、源地址个数、目的地址个数、资产地址个数。
优选地,维度参数Di对标准安全事件进行分组的步骤包括:实时采集预定时间段,如60s,内的所有安全事件,获取经过归一化后安全事件对象的事件类型字段,即Event事件对象中的Type属性,根据攻击入侵类D1、信息泄露类D2、设备故障类D3、认证授权与非法访问类D4、恶意代码类D5、违规与误操作类D6对安全事件进行分组。
优选地,各个度量维度Di的指标参数Vk的获取方法分别是指:
安全事件量V1的获取方法是从安全事件组中获取所有安全事件的数量值;源地址个数V2的获取方法是从安全事件组中获取所有独立源IP的数量值;目的地址个数V3的获取方法是从安全事件组中获取所有独立目的IP的数量值;资产地址个数V4获取方法是从安全事件组中获取所有独立资产IP的数量值。
C、通过下式计算维度参数Di的度量值Ei:
其中,L是指标参数的个数,WK是Vk的配置系数,
通过下式计算整体网络安全度量指标H:
其中,Pi为维度参数Di所对应的安全事件数量占总安全事件数量的比例,N为安全度量维度的个数。
优选地,维度参数Di所对应的安全事件数量占总安全事件数量的比例Pi的计算方法为:获得预定时间段内采集的所有安全事件的总数量T,获得维度参数Di分组中安全事件的数量Si,维度参数Di对应的安全事件数量占比为:
Pi=Si/T,
其中,最后一维参数DL对应的安全事件数量占比计算为:
其中L为维度参数Di的维数。
优选地,该方法还包括:将指标参数Vk的实时数据与指标参数Vk的历史数据拟合,构建网络安全指标参数Vk的数据基线。
将维度参数Di的度量值Ei的实时数据与维度参数Di度量值Ei的历史数据拟合,构建网络安全维度参数Di的数据基线。
优选地,该方法还包括:对网络整体状态进行判断,根据整体网络安全度量指标判断网络整体状态是否出现异常,判断步骤包括:
根据维度参数Di确定网络安全事件的类型。
根据网络安全指标参数Vk的实时数据和所述网络安全指标参数Vk的数据基线计算指标参数Vk的偏离度。
根据网络安全维度参数Di的度量值Ei的实时数据和网络安全维度参数Di的度量值Ei的数据基线计算维度参数Di的度量值Ei的偏离度。
根据指标参数Vk的偏离度获得偏离度最大的指标参数Vk并根据维度参数Di的度量值Ei的偏离度获得偏离度最大的维度参数Di的度量值Ei。
根据偏离度最大的指标参数Vk和偏离度最大的维度参数Di的度量值Ei确定异常的网络安全事件。
优选地,根据实时数据与历史数据的拟合,构建网络安全指标数据基线,包括:当该周期安全度量出现异常时,不更新基线模型;当该周期安全度量正常时,采用实时指标数据与基线指标数据的算数平均值作为新基线指标值的策略计算新的基线模型。该方案既保证基线模型的动态更新,又可以避免网络偶然因素对基线的影响。
优选地,指标参数Vk的偏离度和所述维度参数Di的度量值Ei的偏离度的计算方法如下:
指标参数Vk的偏离度:VPik=(Cik-Bik)*100/Bik,其中,Cik是维度Di的指标参数Vk的当前周期值,Bik是维度Di的指标参数Vk的基线值。
维度参数Di的度量值Ei的偏离度:DPi=(Ci-Bi)*100/Bi,其中,Ci是维度Di的度量值Ei的当前周期值,Bi是维度Di的度量值Ei的基线值。
优选地,在该方法之前,预定义采集所述异构安全事件的标准、安全指标度量参数和度量标准;其中,
预定义采集异构安全事件的标准包括:预定义异构安全事件的地址范围和时间范围。
预定义安全指标度量参数包括:预定义维度参数Di;预定义在不同的安全事件场景下维度参数Di和指标参数Vk的标准模板。
预定义安全指标度量标准包括:预定义指标参数Vk的偏离度和维度参数Di的度量值Ei的偏离度的阈值;预定义该阈值代表的安全等级;预定义不同场景下或不同需要下的WK的值。
本发明还提出一种基于电力信息网络安全事件挖掘的指标化安全度量装置,该装置包括:归一化模块、实时数据获取模块、计算模块。
归一化模块,用于采集电力信息网络中的异构安全事件,基于预设的标准模板,采用可扩展安全事件范化策略对异构安全事件进行归一化,形成标准安全事件并缓存。
优选地,所述安全事件范化策略中的范化格式包括模板部分和数据部分:
模板部分:
其中,Template ID表示该事件范化模板的ID号;Option Field Type表示安全事件的属性字段类型;Option Field Index表示该安全事件属性字段在数据部分的索引;
数据部分:
其中,EventSet ID表示一组采用相同事件范化模板的事件集的ID;Template ID表示该事件集对应的事件范化模板的ID;Length表示该事件集中包含事件记录的个数;Event Record 1-Field 1Value表示事件记录1中索引位置为1的属性字段的值。
优选地,安全事件范化策略中的模板部分必须包含以下属性字段:
Option Field 1Type=“事件分类”index=0;
Option Field 2Type=“源地址”index=1;
Option Field 3Type=“目的地址”index=2;
Option Field 4Type=“资产地址”index=3;
Option Field 5Type=“资产类型”index=4;
Option Field6Type=“严重等级”index=5;
Option Field 7Type=“发生时间”index=6。
电力信息网络安全事件完整表示为:
Event={Name,Time,Type,srcIP,dstIP,devIP,devType,Level},其中,Name,Time,Type表示攻击特征、发生时间以及事件分类;srcIP,dst代表源和目的地址;devIP表示事件报送的资产地址,devType表示事件报送的资产类型;Level表示事件严重等级。
实时数据获取模块,用于在归一化模块按照预设的维度参数Di对标准安全事件进行分组后,对每组标准安全事件按照预定义的指标参数Vk提取反映网络安全运行态势的关键参数,获得网络安全指标参数Vk的实时数据。
优选地,网络安全运行指标维度参数Di包括:攻击入侵类安全事件、信息泄露类安全事件、设备故障类安全事件、认证授权与非法访问类安全事件、恶意代码类安全事件、违规与误操作类安全事件六个维度。每个维度指标参数包含四元组数据,即安全事件量、源地址个数、目的地址个数、资产地址个数。
优选地,维度参数Di对标准安全事件进行分组的步骤包括:实时采集预定时间段,如60s,内的所有安全事件,获取经过归一化后安全事件对象的事件类型字段,即Event事件对象中的Type属性,根据攻击入侵类D1、信息泄露类D2、设备故障类D3、认证授权与非法访问类D4、恶意代码类D5、违规与误操作类D6对安全事件进行分组。
优选地,各个度量维度Di的指标参数Vk的获取方法分别是指:
安全事件量V1的获取方法是从安全事件组中获取所有安全事件的数量值;源地址个数V2的获取方法是从安全事件组中获取所有独立源IP的数量值;目的地址个数V3的获取方法是从安全事件组中获取所有独立目的IP的数量值;资产地址个数V4获取方法是从安全事件组中获取所有独立资产IP的数量值。
计算模块,用于通过下式计算维度参数Di的度量值Ei:
其中,L是指标参数的个数,WK是Vk的配置系数,
通过下式计算整体网络安全度量指标H:
其中,Pi为维度参数Di所对应的安全事件数量占总安全事件数量的比例,N为安全度量维度的个数。
优选地,维度参数Di所对应的安全事件数量占总安全事件数量的比例Pi的计算方法为:获得预定时间段内采集的所有安全事件的总数量T,获得维度参数Di分组中安全事件的数量Si,维度参数Di对应的安全事件数量占比为:
Pi=Si/T,
其中,最后一维参数DL对应的安全事件数量占比计算为:
其中L为维度参数Di的维数。
优选地,该装置还包括基线构建模块。
基线构建模块,用于将指标参数Vk的实时数据与指标参数Vk的历史数据拟合,构建网络安全指标参数Vk的数据基线。
基线构建模块,还用于将维度参数Di的度量值Ei的实时数据与维度参数Di度量值Ei的历史数据拟合,构建网络安全维度参数Di的数据基线。
优选地,该装置还包括异常判断模块:用于通过网络安全度量指标体系对网络整体状态进行判断,根据整体网络安全度量指标判断网络整体状态是否出现异常,判断步骤包括:
根据维度参数Di确定网络安全事件的类型。
根据网络安全指标参数Vk的实时数据和所述网络安全指标参数Vk的数据基线计算指标参数Vk的偏离度。
根据网络安全维度参数Di的度量值Ei的实时数据和网络安全维度参数Di的度量值Ei的数据基线计算所述维度参数Di的度量值Ei的偏离度。
根据指标参数Vk的偏离度获得偏离度最大的指标参数Vk并根据维度参数Di的度量值Ei的偏离度获得偏离度最大的维度参数Di的度量值Ei。
根据偏离度最大的指标参数Vk和偏离度最大的维度参数Di的度量值Ei确定异常的网络安全事件。
优选地,根据实时数据与历史数据的拟合,构建网络安全指标数据基线,包括:当该周期安全度量出现异常时,不更新基线模型;当该周期安全度量正常时,采用实时指标数据与基线指标数据的算数平均值作为新基线指标值的策略计算新的基线模型。该方案既保证基线模型的动态更新,又可以避免网络偶然因素对基线的影响。
优选地,指标参数Vk的偏离度和维度参数Di的度量值Ei的偏离度的计算方法如下:
指标参数Vk的偏离度:VPik=(Cik-Bik)*100/Bik,其中,Cik是维度Di的指标参数Vk的当前周期值,Bik是维度Di的指标参数Vk的基线值。
维度参数Di的度量值Ei的偏离度:DPi=(Ci-Bi)*100/Bi,其中,Ci是维度Di的度量值Ei的当前周期值,Bi是维度Di的度量值Ei的基线值。
优选地,该装置还包括:预定义模块,用于预定义采集所述异构安全事件的标准、安全指标度量参数和度量标准;其中,
预定义采集所述异构安全事件的标准包括:预定义异构安全事件的地址范围和时间范围。
预定义安全指标度量参数包括:预定义维度参数Di;预定义在不同的安全事件场景下维度参数Di和指标参数Vk的标准模板。
预定义安全指标度量标准包括:预定义指标参数Vk的偏离度和维度参数Di的度量值Ei的偏离度的阈值;预定义阈值代表的安全等级;预定义不同场景下或不同需要下的WK的值。
优选地,维度参数Di对安全事件进行分组的步骤包括:实时采集预定时间段内的所有安全事件,获取经过归一化后安全事件对象的事件类型字段,根据攻击入侵类D1、信息泄露类D2、设备故障类D3、认证授权与非法访问类D4、恶意代码类D5、违规与误操作类D6对安全事件进行分组。
优选地,各个度量维度Di的指标参数Vk的获取方法分别是指:
安全事件量V1的获取方法是从安全事件组中获取所有安全事件的数量值;源地址个数V2的获取方法是从安全事件组中获取所有独立源IP的数量值;目的地址个数V3的获取方法是从安全事件组中获取所有独立目的IP的数量值;资产地址个数V4获取方法是从安全事件组中获取所有独立资产IP的数量值。
优选地,维度参数Di所对应的安全事件数量占总安全事件数量的比例Pi的计算方法为:获得预定时间段内采集的所有安全事件的总数量T,获得维度参数Di分组中安全事件的数量Si,维度参数Di对应的安全事件数量占比为:
Pi=Si/T,
其中,最后一维参数DL对应的安全事件数量占比计算为:
其中L为维度参数Di的维数。
需要说明的是,以上所述的实施例仅是为了便于本领域的技术人员理解而已,并不用于限制本发明的保护范围,在不脱离本发明的发明构思的前提下,本领域技术人员对本发明所做出的任何显而易见的替换和改进等均在本发明的保护范围之内。
Claims (16)
1.一种基于电力信息网络安全事件挖掘的指标化安全度量方法,其特征在于,所述方法包括以下步骤:
A、采集电力信息网络中的异构安全事件,基于预设的标准模板,采用可扩展安全事件范化策略对所述异构安全事件进行归一化,形成标准安全事件并缓存;
B、按照预设的维度参数Dt对所述标准安全事件进行分组,对每组所述标准安全事件按照预定义的指标参数Vk提取反映网络安全运行态势的关键参数,获得网络安全指标参数Vk的实时数据;
C、通过下式计算所述维度参数Dt的度量值Ei:
其中,L是指标参数的个数,WK是Vk的配置系数,
通过下式计算整体网络安全度量指标H:
其中,Pt为所述维度参数Dt所对应的安全事件数量占总安全事件数量的比例,N为安全度量维度的个数。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:将所述指标参数Vk的实时数据与指标参数Vk的历史数据拟合,构建网络安全指标参数Vk的数据基线;
将所述维度参数Dt的度量值Ei的实时数据与维度参数Dt度量值Ei的历史数据拟合,构建网络安全维度参数Dt的数据基线。
3.如权利要求2所述的方法,其特征在于,所述方法还包括:对网络整体状态进行判断,根据所述整体网络安全度量指标判断网络整体状态是否出现异常,判断步骤包括:
根据所述维度参数Dt确定网络安全事件的类型;
根据所述网络安全指标参数Vk的实时数据和所述网络安全指标参数Vk的数据基线计算所述指标参数Vk的偏离度;
根据所述网络安全维度参数Dt的度量值Ei的实时数据和所述网络安全维度参数Dt的度量值Ei的数据基线计算所述维度参数Dt的度量值Ei的偏离度;
根据所述指标参数Vk的偏离度获得偏离度最大的指标参数Vk并根据所述维度参数Dt的度量值Ei的偏离度获得偏离度最大的维度参数Dt的度量值Ei;
根据所述偏离度最大的指标参数Vk和所述偏离度最大的维度参数Dt的度量值Ei确定异常的网络安全事件。
4.如权利要求3所述的方法,其特征在于,所述指标参数Vk的偏离度和所述维度参数Dt的度量值Ei的偏离度的计算方法如下:
指标参数Vk的偏离度:VPtk=(Ctk-Btk)*100/Btk,其中,Ctk是维度Dt的指标参数Vk的当前周期值,Btk是维度Dt的指标参数Vk的基线值;
维度参数Dt的度量值Ei的偏离度:DPt=(Ct-Bt)*100/Bt,其中,Ci是维度Dt的度量值Ei的当前周期值,Bt是维度Dt的度量值Ei的基线值。
5.如权利要求1所述的方法,其特征在于,在所述方法之前,预定义采集所述异构安全事件的标准、安全指标度量参数和度量标准;其中,
预定义所述采集所述异构安全事件的标准包括:预定义所述异构安全事件的地址范围和时间范围;
预定义所述安全指标度量参数包括:预定义所述维度参数Dt;预定义在不同的安全事件场景下所述维度参数Dt和所述指标参数Vk的标准模板;
预定义所述安全指标度量标准包括:预定义所述指标参数Vk的偏离度和所述维度参数Dt的度量值Ei的偏离度的阈值;预定义所述阈值代表的安全等级;预定义不同场景下或不同需要下的所述WK的值。
6.如权利要求1所述的方法,其特征在于,所述维度参数Dt对安全事件进行分组的步骤包括:实时采集预定时间段内的所有安全事件,获取经过归一化后安全事件对象的事件类型字段,根据攻击入侵类D1、信息泄露类D2、设备故障类D3、认证授权与非法访问类D4、恶意代码类D5、违规与误操作类D6对安全事件进行分组。
7.如权利要求1所述的方法,其特征在于,各个度量维度Dt的指标参数Vk的获取方法分别是指:
安全事件量V1的获取方法是从安全事件组中获取所有安全事件的数量值;源地址个数V2的获取方法是从安全事件组中获取所有独立源IP的数量值;目的地址个数V3的获取方法是从安全事件组中获取所有独立目的IP的数量值;资产地址个数V4获取方法是从安全事件组中获取所有独立资产IP的数量值。
8.如权利要求1所述的方法,其特征在于,所述维度参数Dt所对应的安全事件数量占总安全事件数量的比例Pt的计算方法为:获得预定时间段内采集的所有安全事件的总数量T,获得所述维度参数Dt分组中安全事件的数量Si,所述维度参数Dt对应的安全事件数量占比为:
Pt=St/T,
其中,最后一维参数DL对应的安全事件数量占比计算为:
其中L为所述维度参数Dt的维数。
9.一种基于电力信息网络安全事件挖掘的指标化安全度量装置,其特征在于,所述装置包括:归一化模块、实时数据获取模块、计算模块;
所述归一化模块,用于采集电力信息网络中的异构安全事件,基于预设的标准模板,采用可扩展安全事件范化策略对所述异构安全事件进行归一化,形成标准安全事件并缓存;
所述实时数据获取模块,用于在所述归一化模块按照预设的维度参数Dt对所述标准安全事件进行分组后,对每组所述标准安全事件按照预定义的指标参数Vk提取反映网络安全运行态势的关键参数,获得网络安全指标参数Vk的实时数据;
所述计算模块,用于通过下式计算所述维度参数Dt的度量值Ei:
其中,L是指标参数的个数,WK是Vk的配置系数,
通过下式计算整体网络安全度量指标H:
其中,Pt为所述维度参数Dt所对应的安全事件数量占总安全事件数量的比例,N为安全度量维度的个数。
10.如权利要求9所述的装置,其特征在于,所述装置还包括基线构建模块:
所述基线构建模块,用于将所述指标参数Vk的实时数据与指标参数Vk的历史数据拟合,构建网络安全指标参数Vk的数据基线;
所述基线构建模块,还用于将所述维度参数Dt的度量值Ei的实时数据与维度参数Dt度量值Ei的历史数据拟合,构建网络安全维度参数Dt的数据基线。
11.如权利要求10所述的装置,其特征在于,所述装置还包括异常判断模块:用于通过网络安全度量指标体系对网络整体状态进行判断,根据所述整体网络安全度量指标判断网络整体状态是否出现异常,判断步骤包括:
根据所述维度参数Dt确定网络安全事件的类型;
根据所述网络安全指标参数Vk的实时数据和所述网络安全指标参数Vk的数据基线计算所述指标参数Vk的偏离度;
根据所述网络安全维度参数Dt的度量值Ei的实时数据和所述网络安全维度参数Dt的度量值Ei的数据基线计算所述维度参数Dt的度量值Ei的偏离度;
根据所述指标参数Vk的偏离度获得偏离度最大的指标参数Vk并根据所述维度参数Dt的度量值Ei的偏离度获得偏离度最大的维度参数Dt的度量值Ei;
根据所述偏离度最大的指标参数Vk和所述偏离度最大的维度参数Dt的度量值Ei确定异常的网络安全事件。
12.如权利要求11所述的装置,其特征在于,所述指标参数Vk的偏离度和所述维度参数Dt的度量值Ei的偏离度的计算方法如下:
指标参数Vk的偏离度:VPtk=(Ctk-Btk)*100/Btk,其中,Ctk是维度Dt的指标参数Vk的当前周期值,Btk是维度Dt的指标参数Vk的基线值;
维度参数Dt的度量值Ei的偏离度:DPt=(Ct-Bt)*100/Bt,其中,Ct是维度Dt的度量值Ei的当前周期值,Bt是维度Dt的度量值Ei的基线值。
13.如权利要求9所述的装置,其特征在于,所述装置还包括:预定义模块,用于预定义采集所述异构安全事件的标准、安全指标度量参数和度量标准;其中,
预定义所述采集所述异构安全事件的标准包括:预定义所述异构安全事件的地址范围和时间范围;
预定义所述安全指标度量参数包括:预定义所述维度参数Dt;预定义在不同的安全事件场景下所述维度参数Dt和所述指标参数Vk的标准模板;
预定义所述安全指标度量标准包括:预定义所述指标参数Vk的偏离度和所述维度参数Dt的度量值Ei的偏离度的阈值;预定义所述阈值代表的安全等级;预定义不同场景下或不同需要下的所述WK的值。
14.如权利要求9所述的装置,其特征在于,所述维度参数Dt对安全事件进行分组的步骤包括:实时采集预定时间段内的所有安全事件,获取经过归一化后安全事件对象的事件类型字段,根据攻击入侵类D1、信息泄露类D2、设备故障类D3、认证授权与非法访问类D4、恶意代码类D5、违规与误操作类D6对安全事件进行分组。
15.如权利要求9所述的装置,其特征在于,各个度量维度Dt的指标参数Vk的获取方法分别是指:
安全事件量V1的获取方法是从安全事件组中获取所有安全事件的数量值;源地址个数V2的获取方法是从安全事件组中获取所有独立源IP的数量值;目的地址个数V3的获取方法是从安全事件组中获取所有独立目的IP的数量值;资产地址个数V4获取方法是从安全事件组中获取所有独立资产IP的数量值。
16.如权利要求9所述的装置,其特征在于,所述维度参数Dt所对应的安全事件数量占总安全事件数量的比例Pt的计算方法为:获得预定时间段内采集的所有安全事件的总数量T,获得所述维度参数Dt分组中安全事件的数量St,所述维度参数Dt对应的安全事件数量占比为:
Pt=St/T,
其中,最后一维参数DL对应的安全事件数量占比计算为:
其中L为所述维度参数Dt的维数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510014696.8A CN104601567B (zh) | 2015-01-12 | 2015-01-12 | 一种基于电力信息网络安全事件挖掘的指标化安全度量方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510014696.8A CN104601567B (zh) | 2015-01-12 | 2015-01-12 | 一种基于电力信息网络安全事件挖掘的指标化安全度量方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104601567A true CN104601567A (zh) | 2015-05-06 |
CN104601567B CN104601567B (zh) | 2018-03-20 |
Family
ID=53127073
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510014696.8A Active CN104601567B (zh) | 2015-01-12 | 2015-01-12 | 一种基于电力信息网络安全事件挖掘的指标化安全度量方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104601567B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105959131A (zh) * | 2016-04-15 | 2016-09-21 | 贵州电网有限责任公司信息中心 | 一种基于安全日志数据挖掘的电力信息网络安全度量方法 |
CN106713233A (zh) * | 2015-11-13 | 2017-05-24 | 国网智能电网研究院 | 一种网络安全状态的判断与保护方法 |
CN107426225A (zh) * | 2017-08-01 | 2017-12-01 | 国网浙江桐庐县供电公司 | 一种电力信息网络安全度量方法 |
CN112929222A (zh) * | 2021-03-04 | 2021-06-08 | 睿石网云(杭州)科技有限公司 | 一种复杂应用系统运行态势感知方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100100250A1 (en) * | 2003-08-08 | 2010-04-22 | Electric Power Group, Llc | Real-time performance monitoring and management system |
US20130247203A1 (en) * | 2011-04-01 | 2013-09-19 | Mcafee, Inc. | Identifying Relationships Between Security Metrics |
US20130305376A1 (en) * | 2012-05-11 | 2013-11-14 | Infosys Limited | Systems, methods and computer readable media for calculating a security index of an application hosted in a cloud environment |
US20130318600A1 (en) * | 2012-05-23 | 2013-11-28 | Wal-Mart Stores, Inc. | Reporting and Management of Computer Systems and Data Sources |
-
2015
- 2015-01-12 CN CN201510014696.8A patent/CN104601567B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100100250A1 (en) * | 2003-08-08 | 2010-04-22 | Electric Power Group, Llc | Real-time performance monitoring and management system |
US20130247203A1 (en) * | 2011-04-01 | 2013-09-19 | Mcafee, Inc. | Identifying Relationships Between Security Metrics |
US20130305376A1 (en) * | 2012-05-11 | 2013-11-14 | Infosys Limited | Systems, methods and computer readable media for calculating a security index of an application hosted in a cloud environment |
US20130318600A1 (en) * | 2012-05-23 | 2013-11-28 | Wal-Mart Stores, Inc. | Reporting and Management of Computer Systems and Data Sources |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106713233A (zh) * | 2015-11-13 | 2017-05-24 | 国网智能电网研究院 | 一种网络安全状态的判断与保护方法 |
CN106713233B (zh) * | 2015-11-13 | 2020-04-14 | 国网智能电网研究院 | 一种网络安全状态的判断与保护方法 |
CN105959131A (zh) * | 2016-04-15 | 2016-09-21 | 贵州电网有限责任公司信息中心 | 一种基于安全日志数据挖掘的电力信息网络安全度量方法 |
CN107426225A (zh) * | 2017-08-01 | 2017-12-01 | 国网浙江桐庐县供电公司 | 一种电力信息网络安全度量方法 |
CN107426225B (zh) * | 2017-08-01 | 2023-04-18 | 国网浙江桐庐县供电公司 | 一种电力信息网络安全度量方法 |
CN112929222A (zh) * | 2021-03-04 | 2021-06-08 | 睿石网云(杭州)科技有限公司 | 一种复杂应用系统运行态势感知方法 |
Also Published As
Publication number | Publication date |
---|---|
CN104601567B (zh) | 2018-03-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105959131A (zh) | 一种基于安全日志数据挖掘的电力信息网络安全度量方法 | |
CN110868425A (zh) | 一种采用黑白名单进行分析的工控信息安全监控系统 | |
CN103532776B (zh) | 业务流量检测方法及系统 | |
CN103532940A (zh) | 网络安全检测方法及装置 | |
CN209607185U (zh) | 一种电力监控系统网络安全防护实训系统 | |
CN104601567A (zh) | 一种基于电力信息网络安全事件挖掘的指标化安全度量方法 | |
CN103198147A (zh) | 自动化监测异常数据的判别及处理方法 | |
CN103149549B (zh) | 一种基于电能计量装置的数据处理方法和系统 | |
CN105279257A (zh) | 一种基于正态分布的互联网大数据挖掘方法和系统 | |
CN105242128A (zh) | 基于模糊神经网络的避雷器在线监测系统 | |
CN105867347B (zh) | 一种基于机器学习技术的跨空间级联故障检测方法 | |
CN106254137A (zh) | 监管系统的告警根源分析系统及方法 | |
CN104281779A (zh) | 一种异常数据判定与处理方法及装置 | |
CN107404471A (zh) | 一种基于admm算法网络流量异常检测方法 | |
CN115883236A (zh) | 电网智能终端协同攻击监测系统 | |
CN106254316A (zh) | 一种基于数据依赖的工控行为异常检测系统 | |
CN115965237A (zh) | 一种电力市场风险防控方法、装置及存储介质 | |
CN115499185A (zh) | 一种电力监控系统网络安全客体异常行为分析方法及系统 | |
Dong et al. | Research on abnormal detection of ModbusTCP/IP protocol based on one-class SVM | |
CN103529337B (zh) | 设备故障与电气量信息间非线性相关关系的识别方法 | |
CN103036998A (zh) | 云计算中一种基于免疫原理的入侵检测系统 | |
CN114938287B (zh) | 一种融合业务特征的电力网络异常行为检测方法及装置 | |
CN106096406A (zh) | 一种安全漏洞回溯分析方法及装置 | |
CN115796607A (zh) | 一种基于用电信息分析的采集终端安全画像评估方法 | |
CN115378711A (zh) | 一种工控网络的入侵检测方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |