CN104601567A - 一种基于电力信息网络安全事件挖掘的指标化安全度量方法 - Google Patents

Abstract

本发明公开了一种基于电力信息网络安全事件挖掘的指标化安全度量方法和装置，该方法和装置实时采集电力信息网络异构安全事件，并根据预定义的模板对该异构安全事件归一化，实时采集归一化后的标准安全事件的指标参数V_k的实时数据，并依据该数据获得维度参数D_i的度量值E_i及整体网络安全度量指标H。本发明通过采用可预定义的安全度量策略以适应复杂的网络需求，基于安全事件数据的实时性、全面性的特点，构建自动化、指标化、智能化的安全度量体系，从而准确评估网络安全的状态和有效性。

Description

一种基于电力信息网络安全事件挖掘的指标化安全度量方法

技术领域

本发明涉及信息安全领域，具体涉及一种基于电力信息网络安全事件挖掘的指标化安全度量方法。

背景技术

电力系统是国民经济和人民生活的重要基础设施，其网络和应用系统的安全是电力系统安全运行及对社会可靠供电的保证，直接关系到我国各行各业的发展、社会的安定和人民的生活水平。电力系统安全防护的主要目标是防止关键业务信息系统数据或信息被窃取或篡改，防止网络被恶意渗透或监听，确保不发生因信息安全引发的电网事故和大面积停电事故，实现信息安全风险可控、能控、在控。国家非常重视电力系统的信息安全，建立了电力系统信息安全纵深防御体系，采取了很多安全防护措施，其产生的安全效果和效率往往并不为人所知。因此电力系统信息安全保障水平的度量就受到了越来越多的关注，研究电力系统安全度量体系是非常必要的。

根据ISO/IEC 27004[2]中的对安全度量的定义：度量是一种工具，它通过采集、分析、报告与绩效相关的数据，用来推进决策并改善绩效和问责。安全度量主要解答了信息系统是否足够安全、现在是否比以前更安全、信息安全投资是否适度和均衡、安全是否合格、信息安全的工作的有效性如何、信息安全的工作效率怎样等方面的问题。

目前安全度量主要依靠人员进行实施，度量的准确性往往依赖于人的技术能力、实践经验、对相关标准的理解程度等，因此准确性差，实时性差，而且每次度量都需要翻阅大量数据，没有一个统一的指标。随着电力系统安全防护方面的快速发展，急需一种具备自动化、实时性、指标化特征的安全度量方法。另一个重要的方面，在复杂的安全度量指标体系下，当发现网络整体指标出现异常时，目前并没有有效的手段辅助管理人员进行安全问题定位。

发明内容

为了解决上述问题，本发明提出了一种基于电力信息网络安全事件挖掘的指标化安全度量方法，能够使得电力信息网络的安全度量实现自动化、实时性、指标化。

为了达到上述目的，本发明提出了一种基于电力信息网络安全事件挖掘的指标化安全度量方法，该方法包括以下步骤：

A、采集电力信息网络中的异构安全事件，基于预设的标准模板，采用可扩展安全事件范化策略对该异构安全事件进行归一化，形成标准安全事件并缓存。

B、按照预设的维度参数D_i对该标准安全事件进行分组，对每组标准安全事件按照预定义的指标参数V_k提取反映网络安全运行态势的关键参数，获得网络安全指标参数V_k的实时数据。

C、通过下式计算维度参数D_i的度量值E_i：

$E_i={\mathrm{\Σ}}_{k=1}^L(W_k*V_k),$

其中，L是指标参数的个数，W_K是V_k的配置系数，

通过下式计算整体网络安全度量指标H：

$H={\mathrm{\Σ}}_{i=1}^N(P_i*E_i)$

其中，P_i为维度参数D_i所对应的安全事件数量占总安全事件数量的比例，N为安全度量维度的个数。

优选地，该方法还包括：将指标参数V_k的实时数据与指标参数V_k的历史数据拟合，构建网络安全指标参数V_k的数据基线。

将维度参数D_i的度量值E_i的实时数据与维度参数D_i度量值E_i的历史数据拟合，构建网络安全维度参数D_i的数据基线。

优选地，该方法还包括：对网络整体状态进行判断，根据整体网络安全度量指标判断网络整体状态是否出现异常，判断步骤包括：

根据维度参数D_i确定网络安全事件的类型。

根据网络安全指标参数V_k的实时数据和所述网络安全指标参数V_k的数据基线计算指标参数V_k的偏离度。

根据网络安全维度参数D_i的度量值E_i的实时数据和网络安全维度参数D_i的度量值E_i的数据基线计算维度参数D_i的度量值E_i的偏离度。

根据指标参数V_k的偏离度获得偏离度最大的指标参数V_k并根据维度参数D_i的度量值E_i的偏离度获得偏离度最大的维度参数D_i的度量值E_i。

根据偏离度最大的指标参数V_k和偏离度最大的维度参数D_i的度量值E_i确定异常的网络安全事件。

优选地，指标参数V_k的偏离度和所述维度参数D_i的度量值E_i的偏离度的计算方法如下：

指标参数V_k的偏离度：VP_ik＝(C_ik-B_ik)*100/B_ik，其中，C_ik是维度D_i的指标参数V_k的当前周期值，B_ik是维度D_i的指标参数V_k的基线值。

维度参数D_i的度量值E_i的偏离度：DP_i＝(C_i-B_i)*100/B_i，其中，C_i是维度D_i的度量值E_i的当前周期值，B_i是维度D_i的度量值E_i的基线值。

优选地，在该方法之前，预定义采集所述异构安全事件的标准、安全指标度量参数和度量标准；其中，

预定义采集异构安全事件的标准包括：预定义异构安全事件的地址范围和时间范围。

预定义安全指标度量参数包括：预定义维度参数D_i；预定义在不同的安全事件场景下维度参数D_i和指标参数V_k的标准模板。

预定义安全指标度量标准包括：预定义指标参数V_k的偏离度和维度参数D_i的度量值E_i的偏离度的阈值；预定义该阈值代表的安全等级；预定义不同场景下或不同需要下的W_K的值。

优选地，维度参数D_i对安全事件进行分组的步骤包括：实时采集预定时间段内的所有安全事件，获取经过归一化后安全事件对象的事件类型字段，根据攻击入侵类D₁、信息泄露类D₂、设备故障类D₃、认证授权与非法访问类D₄、恶意代码类D₅、违规与误操作类D₆对安全事件进行分组。

优选地，各个度量维度D_i的指标参数V_k的获取方法分别是指：

安全事件量V₁的获取方法是从安全事件组中获取所有安全事件的数量值；源地址个数V₂的获取方法是从安全事件组中获取所有独立源IP的数量值；目的地址个数V₃的获取方法是从安全事件组中获取所有独立目的IP的数量值；资产地址个数V₄获取方法是从安全事件组中获取所有独立资产IP的数量值。

优选地，维度参数D_i所对应的安全事件数量占总安全事件数量的比例P_i的计算方法为：获得预定时间段内采集的所有安全事件的总数量T，获得维度参数D_i分组中安全事件的数量S_i，维度参数D_i对应的安全事件数量占比为：

P_i＝S_i/T，

其中，最后一维参数D_L对应的安全事件数量占比计算为：

其中L为维度参数D_i的维数。

本发明还提出一种基于电力信息网络安全事件挖掘的指标化安全度量装置，该装置包括：归一化模块、实时数据获取模块、计算模块。

归一化模块，用于采集电力信息网络中的异构安全事件，基于预设的标准模板，采用可扩展安全事件范化策略对异构安全事件进行归一化，形成标准安全事件并缓存。

实时数据获取模块，用于在归一化模块按照预设的维度参数D_i对标准安全事件进行分组后，对每组标准安全事件按照预定义的指标参数V_k提取反映网络安全运行态势的关键参数，获得网络安全指标参数V_k的实时数据。

计算模块，用于通过下式计算维度参数D_i的度量值E_i：

$E_i={\mathrm{\Σ}}_{k=1}^L(W_k*V_k),$

其中，L是指标参数的个数，W_K是V_k的配置系数，

通过下式计算整体网络安全度量指标H：

$H={\mathrm{\Σ}}_{i=1}^N(P_i*E_i)$

其中，P_i为维度参数D_i所对应的安全事件数量占总安全事件数量的比例，N为安全度量维度的个数。

优选地，该装置还包括基线构建模块。

基线构建模块，用于将指标参数V_k的实时数据与指标参数V_k的历史数据拟合，构建网络安全指标参数V_k的数据基线。

基线构建模块，还用于将维度参数D_i的度量值E_i的实时数据与维度参数D_i度量值E_i的历史数据拟合，构建网络安全维度参数D_i的数据基线。

优选地，该装置还包括异常判断模块：用于通过网络安全度量指标体系对网络整体状态进行判断，根据整体网络安全度量指标判断网络整体状态是否出现异常，判断步骤包括：

根据维度参数D_i确定网络安全事件的类型。

根据网络安全指标参数V_k的实时数据和所述网络安全指标参数V_k的数据基线计算指标参数V_k的偏离度。

根据网络安全维度参数D_i的度量值E_i的实时数据和网络安全维度参数D_i的度量值E_i的数据基线计算所述维度参数D_i的度量值E_i的偏离度。

根据指标参数V_k的偏离度获得偏离度最大的指标参数V_k并根据维度参数D_i的度量值E_i的偏离度获得偏离度最大的维度参数D_i的度量值E_i。

根据偏离度最大的指标参数V_k和偏离度最大的维度参数D_i的度量值E_i确定异常的网络安全事件。

优选地，指标参数V_k的偏离度和维度参数D_i的度量值E_i的偏离度的计算方法如下：

指标参数V_k的偏离度：VP_ik＝(C_ik-B_ik)*100/B_ik，其中，C_ik是维度D_i的指标参数V_k的当前周期值，B_ik是维度D_i的指标参数V_k的基线值。

维度参数D_i的度量值E_i的偏离度：DP_i＝(C_i-B_i)*100/B_i，其中，C_i是维度D_i的度量值E_i的当前周期值，B_i是维度D_i的度量值E_i的基线值。

优选地，该装置还包括：预定义模块，用于预定义采集所述异构安全事件的标准、安全指标度量参数和度量标准；其中，

预定义采集所述异构安全事件的标准包括：预定义异构安全事件的地址范围和时间范围。

预定义安全指标度量参数包括：预定义维度参数D_i；预定义在不同的安全事件场景下维度参数D_i和指标参数V_k的标准模板。

预定义安全指标度量标准包括：预定义指标参数V_k的偏离度和维度参数D_i的度量值E_i的偏离度的阈值；预定义阈值代表的安全等级；预定义不同场景下或不同需要下的W_K的值。

优选地，维度参数D_i对安全事件进行分组的步骤包括：实时采集预定时间段内的所有安全事件，获取经过归一化后安全事件对象的事件类型字段，根据攻击入侵类D₁、信息泄露类D₂、设备故障类D₃、认证授权与非法访问类D₄、恶意代码类D₅、违规与误操作类D₆对安全事件进行分组。

优选地，各个度量维度D_i的指标参数V_k的获取方法分别是指：

安全事件量V₁的获取方法是从安全事件组中获取所有安全事件的数量值；源地址个数V₂的获取方法是从安全事件组中获取所有独立源IP的数量值；目的地址个数V₃的获取方法是从安全事件组中获取所有独立目的IP的数量值；资产地址个数V₄获取方法是从安全事件组中获取所有独立资产IP的数量值。

优选地，维度参数D_i所对应的安全事件数量占总安全事件数量的比例P_i的计算方法为：获得预定时间段内采集的所有安全事件的总数量T，获得维度参数D_i分组中安全事件的数量S_i，维度参数D_i对应的安全事件数量占比为：

P_i＝S_i/T，

其中，最后一维参数D_L对应的安全事件数量占比计算为：

其中L为维度参数D_i的维数。

与现有技术相比，本发明在预定义采集异构安全事件的标准、安全指标度量参数和度量标准的基础上，实时采集电力信息网络异构安全事件，并根据定义的度量参数对该异构安全事件归一化，实时采集归一化后的标准安全事件的指标参数V_k的实时数据，并依据该数据获得维度参数D_i的度量值E_i及整体网络安全度量指标H。本发明通过采用可自定义的安全度量策略以适应复杂的网络需求，基于安全事件数据的实时性、全面性的特点，构建自动化、指标化、智能化的安全度量体系，从而准确评估网络安全的状态和有效性。本发明还构建了度量参数基线，通过实时参数相对于极限的偏离度对网络整体状态异常进行判断，辅助网络安全人员进行决策。

附图说明

下面对本发明实施例中的附图进行说明，实施例中的附图是用于对本发明的进一步理解，与说明书一起用于解释本发明，并不构成对本发明保护范围的限制。

图1为本发明的安全度量方法结构图。

具体实施方式

为了便于本领域技术人员的理解，下面结合附图对本发明作进一步的描述，并不能用来限制本发明的保护范围。

本发明依据宏观网络系统的观察，实时采集电力信息网络异构安全事件，对安全事件进行多维度数据挖掘，采用可自定义的安全度量策略以适应复杂的网络需求，基于安全事件数据的实时性、机器化、全面性的特点，构建指标化、智能化的安全度量体系，从而准确评估网络安全的状态和有效性，并通过指标体系的扰动对网络整体状态异常进行定位，辅助网络安全人员进行决策。

首先，本发明提出了一种基于电力信息网络安全事件挖掘的指标化安全度量方法，该方法包括以下步骤：

A、采集电力信息网络中的异构安全事件，基于预设的标准模板，采用可扩展安全事件范化策略对该异构安全事件进行归一化，形成标准安全事件并缓存。

优选地，安全事件范化策略中的范化格式包括模板部分和数据部分：

模板部分：

其中，Template ID表示该事件范化模板的ID号；Option Field Type表示安全事件的属性字段类型；Option Field Index表示该安全事件属性字段在数据部分的索引。

数据部分：

其中，EventSet ID表示一组采用相同事件范化模板的事件集的ID；Template ID表示该事件集对应的事件范化模板的ID；Length表示该事件集中包含事件记录的个数；Event Record 1-Field 1Value表示事件记录1中索引位置为1的属性字段的值。

优选地，安全事件范化策略中的模板部分必须包含以下属性字段：

Option Field 1Type＝“事件分类”index＝0；

Option Field 2Type＝“源地址”index＝1；

Option Field 3Type＝“目的地址”index＝2；

Option Field 4Type＝“资产地址”index＝3；

Option Field 5Type＝“资产类型”index＝4；

Option Field6Type＝“严重等级”index＝5；

Option Field 7Type＝“发生时间”index＝6。

电力信息网络安全事件完整表示为：

Event＝{Name,Time,Type,srcIP,dstIP,devIP,devType,Level},其中,Name,Time,Type表示攻击特征、发生时间以及事件分类；srcIP,dst代表源和目的地址；devIP表示事件报送的资产地址，devType表示事件报送的资产类型；Level表示事件严重等级。

B、按照预设的维度参数D_i对该标准安全事件进行分组，对每组标准安全事件按照预定义的指标参数V_k提取反映网络安全运行态势的关键参数，获得网络安全指标参数V_k的实时数据。

优选地，网络安全运行指标维度参数D_i包括：攻击入侵类安全事件、信息泄露类安全事件、设备故障类安全事件、认证授权与非法访问类安全事件、恶意代码类安全事件、违规与误操作类安全事件六个维度。每个维度指标参数包含四元组数据，即安全事件量、源地址个数、目的地址个数、资产地址个数。

优选地，维度参数D_i对标准安全事件进行分组的步骤包括：实时采集预定时间段，如60s，内的所有安全事件，获取经过归一化后安全事件对象的事件类型字段，即Event事件对象中的Type属性，根据攻击入侵类D₁、信息泄露类D₂、设备故障类D₃、认证授权与非法访问类D₄、恶意代码类D₅、违规与误操作类D₆对安全事件进行分组。

优选地，各个度量维度D_i的指标参数V_k的获取方法分别是指：

安全事件量V₁的获取方法是从安全事件组中获取所有安全事件的数量值；源地址个数V₂的获取方法是从安全事件组中获取所有独立源IP的数量值；目的地址个数V₃的获取方法是从安全事件组中获取所有独立目的IP的数量值；资产地址个数V₄获取方法是从安全事件组中获取所有独立资产IP的数量值。

C、通过下式计算维度参数D_i的度量值E_i：

$E_i={\mathrm{\Σ}}_{k=1}^L(W_k*V_k),$

其中，L是指标参数的个数，W_K是V_k的配置系数，

通过下式计算整体网络安全度量指标H：

$H={\mathrm{\Σ}}_{i=1}^N(P_i*E_i)$

其中，P_i为维度参数D_i所对应的安全事件数量占总安全事件数量的比例，N为安全度量维度的个数。

优选地，维度参数D_i所对应的安全事件数量占总安全事件数量的比例P_i的计算方法为：获得预定时间段内采集的所有安全事件的总数量T，获得维度参数D_i分组中安全事件的数量S_i，维度参数D_i对应的安全事件数量占比为：

P_i＝S_i/T，

其中，最后一维参数D_L对应的安全事件数量占比计算为：

其中L为维度参数D_i的维数。

优选地，该方法还包括：将指标参数V_k的实时数据与指标参数V_k的历史数据拟合，构建网络安全指标参数V_k的数据基线。

将维度参数D_i的度量值E_i的实时数据与维度参数D_i度量值E_i的历史数据拟合，构建网络安全维度参数D_i的数据基线。

优选地，该方法还包括：对网络整体状态进行判断，根据整体网络安全度量指标判断网络整体状态是否出现异常，判断步骤包括：

根据维度参数D_i确定网络安全事件的类型。

根据网络安全指标参数V_k的实时数据和所述网络安全指标参数V_k的数据基线计算指标参数V_k的偏离度。

根据网络安全维度参数D_i的度量值E_i的实时数据和网络安全维度参数D_i的度量值E_i的数据基线计算维度参数D_i的度量值E_i的偏离度。

根据指标参数V_k的偏离度获得偏离度最大的指标参数V_k并根据维度参数D_i的度量值E_i的偏离度获得偏离度最大的维度参数D_i的度量值E_i。

根据偏离度最大的指标参数V_k和偏离度最大的维度参数D_i的度量值E_i确定异常的网络安全事件。

优选地，根据实时数据与历史数据的拟合，构建网络安全指标数据基线，包括：当该周期安全度量出现异常时，不更新基线模型；当该周期安全度量正常时，采用实时指标数据与基线指标数据的算数平均值作为新基线指标值的策略计算新的基线模型。该方案既保证基线模型的动态更新，又可以避免网络偶然因素对基线的影响。

优选地，指标参数V_k的偏离度和所述维度参数D_i的度量值E_i的偏离度的计算方法如下：

指标参数V_k的偏离度：VP_ik＝(C_ik-B_ik)*100/B_ik，其中，C_ik是维度D_i的指标参数V_k的当前周期值，B_ik是维度D_i的指标参数V_k的基线值。

维度参数D_i的度量值E_i的偏离度：DP_i＝(C_i-B_i)*100/B_i，其中，C_i是维度D_i的度量值E_i的当前周期值，B_i是维度D_i的度量值E_i的基线值。

优选地，在该方法之前，预定义采集所述异构安全事件的标准、安全指标度量参数和度量标准；其中，

预定义采集异构安全事件的标准包括：预定义异构安全事件的地址范围和时间范围。

预定义安全指标度量参数包括：预定义维度参数D_i；预定义在不同的安全事件场景下维度参数D_i和指标参数V_k的标准模板。

预定义安全指标度量标准包括：预定义指标参数V_k的偏离度和维度参数D_i的度量值E_i的偏离度的阈值；预定义该阈值代表的安全等级；预定义不同场景下或不同需要下的W_K的值。

本发明还提出一种基于电力信息网络安全事件挖掘的指标化安全度量装置，该装置包括：归一化模块、实时数据获取模块、计算模块。

归一化模块，用于采集电力信息网络中的异构安全事件，基于预设的标准模板，采用可扩展安全事件范化策略对异构安全事件进行归一化，形成标准安全事件并缓存。

优选地，所述安全事件范化策略中的范化格式包括模板部分和数据部分：

模板部分：

其中，Template ID表示该事件范化模板的ID号；Option Field Type表示安全事件的属性字段类型；Option Field Index表示该安全事件属性字段在数据部分的索引；

数据部分：

其中，EventSet ID表示一组采用相同事件范化模板的事件集的ID；Template ID表示该事件集对应的事件范化模板的ID；Length表示该事件集中包含事件记录的个数；Event Record 1-Field 1Value表示事件记录1中索引位置为1的属性字段的值。

优选地，安全事件范化策略中的模板部分必须包含以下属性字段：

Option Field 1Type＝“事件分类”index＝0；

Option Field 2Type＝“源地址”index＝1；

Option Field 3Type＝“目的地址”index＝2；

Option Field 4Type＝“资产地址”index＝3；

Option Field 5Type＝“资产类型”index＝4；

Option Field6Type＝“严重等级”index＝5；

Option Field 7Type＝“发生时间”index＝6。

电力信息网络安全事件完整表示为：

Event＝{Name,Time,Type,srcIP,dstIP,devIP,devType,Level},其中,Name,Time,Type表示攻击特征、发生时间以及事件分类；srcIP,dst代表源和目的地址；devIP表示事件报送的资产地址，devType表示事件报送的资产类型；Level表示事件严重等级。

实时数据获取模块，用于在归一化模块按照预设的维度参数D_i对标准安全事件进行分组后，对每组标准安全事件按照预定义的指标参数V_k提取反映网络安全运行态势的关键参数，获得网络安全指标参数V_k的实时数据。

优选地，网络安全运行指标维度参数D_i包括：攻击入侵类安全事件、信息泄露类安全事件、设备故障类安全事件、认证授权与非法访问类安全事件、恶意代码类安全事件、违规与误操作类安全事件六个维度。每个维度指标参数包含四元组数据，即安全事件量、源地址个数、目的地址个数、资产地址个数。

优选地，维度参数D_i对标准安全事件进行分组的步骤包括：实时采集预定时间段，如60s，内的所有安全事件，获取经过归一化后安全事件对象的事件类型字段，即Event事件对象中的Type属性，根据攻击入侵类D₁、信息泄露类D₂、设备故障类D₃、认证授权与非法访问类D₄、恶意代码类D₅、违规与误操作类D₆对安全事件进行分组。

优选地，各个度量维度D_i的指标参数V_k的获取方法分别是指：

安全事件量V₁的获取方法是从安全事件组中获取所有安全事件的数量值；源地址个数V₂的获取方法是从安全事件组中获取所有独立源IP的数量值；目的地址个数V₃的获取方法是从安全事件组中获取所有独立目的IP的数量值；资产地址个数V₄获取方法是从安全事件组中获取所有独立资产IP的数量值。

计算模块，用于通过下式计算维度参数D_i的度量值E_i：

$E_i={\mathrm{\Σ}}_{k=1}^L(W_k*V_k),$

其中，L是指标参数的个数，W_K是V_k的配置系数，

通过下式计算整体网络安全度量指标H：

$H={\mathrm{\Σ}}_{i=1}^N(P_i*E_i)$

其中，P_i为维度参数D_i所对应的安全事件数量占总安全事件数量的比例，N为安全度量维度的个数。

优选地，维度参数D_i所对应的安全事件数量占总安全事件数量的比例P_i的计算方法为：获得预定时间段内采集的所有安全事件的总数量T，获得维度参数D_i分组中安全事件的数量S_i，维度参数D_i对应的安全事件数量占比为：

P_i＝S_i/T，

其中，最后一维参数D_L对应的安全事件数量占比计算为：

其中L为维度参数D_i的维数。

优选地，该装置还包括基线构建模块。

基线构建模块，用于将指标参数V_k的实时数据与指标参数V_k的历史数据拟合，构建网络安全指标参数V_k的数据基线。

基线构建模块，还用于将维度参数D_i的度量值E_i的实时数据与维度参数D_i度量值E_i的历史数据拟合，构建网络安全维度参数D_i的数据基线。

优选地，该装置还包括异常判断模块：用于通过网络安全度量指标体系对网络整体状态进行判断，根据整体网络安全度量指标判断网络整体状态是否出现异常，判断步骤包括：

根据维度参数D_i确定网络安全事件的类型。

根据网络安全指标参数V_k的实时数据和所述网络安全指标参数V_k的数据基线计算指标参数V_k的偏离度。

根据网络安全维度参数D_i的度量值E_i的实时数据和网络安全维度参数D_i的度量值E_i的数据基线计算所述维度参数D_i的度量值E_i的偏离度。

根据指标参数V_k的偏离度获得偏离度最大的指标参数V_k并根据维度参数D_i的度量值E_i的偏离度获得偏离度最大的维度参数D_i的度量值E_i。

根据偏离度最大的指标参数V_k和偏离度最大的维度参数D_i的度量值E_i确定异常的网络安全事件。

优选地，根据实时数据与历史数据的拟合，构建网络安全指标数据基线，包括：当该周期安全度量出现异常时，不更新基线模型；当该周期安全度量正常时，采用实时指标数据与基线指标数据的算数平均值作为新基线指标值的策略计算新的基线模型。该方案既保证基线模型的动态更新，又可以避免网络偶然因素对基线的影响。

优选地，指标参数V_k的偏离度和维度参数D_i的度量值E_i的偏离度的计算方法如下：

指标参数V_k的偏离度：VP_ik＝(C_ik-B_ik)*100/B_ik，其中，C_ik是维度D_i的指标参数V_k的当前周期值，B_ik是维度D_i的指标参数V_k的基线值。

维度参数D_i的度量值E_i的偏离度：DP_i＝(C_i-B_i)*100/B_i，其中，C_i是维度D_i的度量值E_i的当前周期值，B_i是维度D_i的度量值E_i的基线值。

优选地，该装置还包括：预定义模块，用于预定义采集所述异构安全事件的标准、安全指标度量参数和度量标准；其中，

预定义采集所述异构安全事件的标准包括：预定义异构安全事件的地址范围和时间范围。

预定义安全指标度量参数包括：预定义维度参数D_i；预定义在不同的安全事件场景下维度参数D_i和指标参数V_k的标准模板。

预定义安全指标度量标准包括：预定义指标参数V_k的偏离度和维度参数D_i的度量值E_i的偏离度的阈值；预定义阈值代表的安全等级；预定义不同场景下或不同需要下的W_K的值。

优选地，维度参数D_i对安全事件进行分组的步骤包括：实时采集预定时间段内的所有安全事件，获取经过归一化后安全事件对象的事件类型字段，根据攻击入侵类D₁、信息泄露类D₂、设备故障类D₃、认证授权与非法访问类D₄、恶意代码类D₅、违规与误操作类D₆对安全事件进行分组。

优选地，各个度量维度D_i的指标参数V_k的获取方法分别是指：

安全事件量V₁的获取方法是从安全事件组中获取所有安全事件的数量值；源地址个数V₂的获取方法是从安全事件组中获取所有独立源IP的数量值；目的地址个数V₃的获取方法是从安全事件组中获取所有独立目的IP的数量值；资产地址个数V₄获取方法是从安全事件组中获取所有独立资产IP的数量值。

优选地，维度参数D_i所对应的安全事件数量占总安全事件数量的比例P_i的计算方法为：获得预定时间段内采集的所有安全事件的总数量T，获得维度参数D_i分组中安全事件的数量S_i，维度参数D_i对应的安全事件数量占比为：

P_i＝S_i/T，

其中，最后一维参数D_L对应的安全事件数量占比计算为：

其中L为维度参数D_i的维数。

需要说明的是，以上所述的实施例仅是为了便于本领域的技术人员理解而已，并不用于限制本发明的保护范围，在不脱离本发明的发明构思的前提下，本领域技术人员对本发明所做出的任何显而易见的替换和改进等均在本发明的保护范围之内。

Claims (16)

1.一种基于电力信息网络安全事件挖掘的指标化安全度量方法，其特征在于，所述方法包括以下步骤：

A、采集电力信息网络中的异构安全事件，基于预设的标准模板，采用可扩展安全事件范化策略对所述异构安全事件进行归一化，形成标准安全事件并缓存；

B、按照预设的维度参数D_t对所述标准安全事件进行分组，对每组所述标准安全事件按照预定义的指标参数V_k提取反映网络安全运行态势的关键参数，获得网络安全指标参数V_k的实时数据；

C、通过下式计算所述维度参数D_t的度量值E_i：

$E_i={\mathrm{\Σ}}_{k=1}^L(W_k*V_k),$

其中，L是指标参数的个数，W_K是V_k的配置系数，

通过下式计算整体网络安全度量指标H：

$H={\mathrm{\Σ}}_{i=1}^N(P_i*E_i)$

其中，P_t为所述维度参数D_t所对应的安全事件数量占总安全事件数量的比例，N为安全度量维度的个数。

2.如权利要求1所述的方法，其特征在于，所述方法还包括：将所述指标参数V_k的实时数据与指标参数V_k的历史数据拟合，构建网络安全指标参数V_k的数据基线；

将所述维度参数D_t的度量值Ei的实时数据与维度参数D_t度量值E_i的历史数据拟合，构建网络安全维度参数D_t的数据基线。

3.如权利要求2所述的方法，其特征在于，所述方法还包括：对网络整体状态进行判断，根据所述整体网络安全度量指标判断网络整体状态是否出现异常，判断步骤包括：

根据所述维度参数D_t确定网络安全事件的类型；

根据所述网络安全指标参数V_k的实时数据和所述网络安全指标参数V_k的数据基线计算所述指标参数V_k的偏离度；

根据所述网络安全维度参数D_t的度量值E_i的实时数据和所述网络安全维度参数D_t的度量值E_i的数据基线计算所述维度参数D_t的度量值E_i的偏离度；

根据所述指标参数V_k的偏离度获得偏离度最大的指标参数V_k并根据所述维度参数D_t的度量值E_i的偏离度获得偏离度最大的维度参数D_t的度量值E_i；

根据所述偏离度最大的指标参数V_k和所述偏离度最大的维度参数D_t的度量值E_i确定异常的网络安全事件。

4.如权利要求3所述的方法，其特征在于，所述指标参数V_k的偏离度和所述维度参数D_t的度量值E_i的偏离度的计算方法如下：

指标参数V_k的偏离度：VP_tk＝(C_tk-B_tk)*100/B_tk，其中，C_tk是维度D_t的指标参数V_k的当前周期值，B_tk是维度D_t的指标参数V_k的基线值；

维度参数D_t的度量值E_i的偏离度：DP_t＝(C_t-B_t)*100/B_t，其中，C_i是维度D_t的度量值E_i的当前周期值，B_t是维度D_t的度量值E_i的基线值。

5.如权利要求1所述的方法，其特征在于，在所述方法之前，预定义采集所述异构安全事件的标准、安全指标度量参数和度量标准；其中，

预定义所述采集所述异构安全事件的标准包括：预定义所述异构安全事件的地址范围和时间范围；

预定义所述安全指标度量参数包括：预定义所述维度参数D_t；预定义在不同的安全事件场景下所述维度参数D_t和所述指标参数V_k的标准模板；

预定义所述安全指标度量标准包括：预定义所述指标参数V_k的偏离度和所述维度参数D_t的度量值E_i的偏离度的阈值；预定义所述阈值代表的安全等级；预定义不同场景下或不同需要下的所述W_K的值。

6.如权利要求1所述的方法，其特征在于，所述维度参数D_t对安全事件进行分组的步骤包括：实时采集预定时间段内的所有安全事件，获取经过归一化后安全事件对象的事件类型字段，根据攻击入侵类D₁、信息泄露类D₂、设备故障类D₃、认证授权与非法访问类D₄、恶意代码类D₅、违规与误操作类D₆对安全事件进行分组。

7.如权利要求1所述的方法，其特征在于，各个度量维度D_t的指标参数V_k的获取方法分别是指：

安全事件量V₁的获取方法是从安全事件组中获取所有安全事件的数量值；源地址个数V₂的获取方法是从安全事件组中获取所有独立源IP的数量值；目的地址个数V₃的获取方法是从安全事件组中获取所有独立目的IP的数量值；资产地址个数V₄获取方法是从安全事件组中获取所有独立资产IP的数量值。

8.如权利要求1所述的方法，其特征在于，所述维度参数D_t所对应的安全事件数量占总安全事件数量的比例P_t的计算方法为：获得预定时间段内采集的所有安全事件的总数量T，获得所述维度参数D_t分组中安全事件的数量S_i，所述维度参数D_t对应的安全事件数量占比为：

P_t＝S_t/T,

其中，最后一维参数D_L对应的安全事件数量占比计算为：

其中L为所述维度参数D_t的维数。

9.一种基于电力信息网络安全事件挖掘的指标化安全度量装置，其特征在于，所述装置包括：归一化模块、实时数据获取模块、计算模块；

所述归一化模块，用于采集电力信息网络中的异构安全事件，基于预设的标准模板，采用可扩展安全事件范化策略对所述异构安全事件进行归一化，形成标准安全事件并缓存；

所述实时数据获取模块，用于在所述归一化模块按照预设的维度参数D_t对所述标准安全事件进行分组后，对每组所述标准安全事件按照预定义的指标参数V_k提取反映网络安全运行态势的关键参数，获得网络安全指标参数V_k的实时数据；

所述计算模块，用于通过下式计算所述维度参数D_t的度量值E_i：

$E_i={\mathrm{\Σ}}_{k=1}^L(W_k*V_k),$

其中，L是指标参数的个数，W_K是V_k的配置系数，

通过下式计算整体网络安全度量指标H：

$H={\mathrm{\Σ}}_{i=1}^N(P_i*E_i)$

其中，P_t为所述维度参数D_t所对应的安全事件数量占总安全事件数量的比例，N为安全度量维度的个数。

10.如权利要求9所述的装置，其特征在于，所述装置还包括基线构建模块：

所述基线构建模块，用于将所述指标参数V_k的实时数据与指标参数V_k的历史数据拟合，构建网络安全指标参数V_k的数据基线；

所述基线构建模块，还用于将所述维度参数D_t的度量值E_i的实时数据与维度参数D_t度量值E_i的历史数据拟合，构建网络安全维度参数D_t的数据基线。

11.如权利要求10所述的装置，其特征在于，所述装置还包括异常判断模块：用于通过网络安全度量指标体系对网络整体状态进行判断，根据所述整体网络安全度量指标判断网络整体状态是否出现异常，判断步骤包括：

根据所述维度参数D_t确定网络安全事件的类型；

根据所述网络安全指标参数V_k的实时数据和所述网络安全指标参数V_k的数据基线计算所述指标参数V_k的偏离度；

根据所述网络安全维度参数D_t的度量值E_i的实时数据和所述网络安全维度参数D_t的度量值E_i的数据基线计算所述维度参数D_t的度量值E_i的偏离度；

根据所述指标参数V_k的偏离度获得偏离度最大的指标参数V_k并根据所述维度参数D_t的度量值E_i的偏离度获得偏离度最大的维度参数D_t的度量值E_i；

根据所述偏离度最大的指标参数V_k和所述偏离度最大的维度参数D_t的度量值E_i确定异常的网络安全事件。

12.如权利要求11所述的装置，其特征在于，所述指标参数V_k的偏离度和所述维度参数D_t的度量值E_i的偏离度的计算方法如下：

指标参数V_k的偏离度：VP_tk＝(C_tk-B_tk)*100/B_tk，其中，C_tk是维度D_t的指标参数V_k的当前周期值，B_tk是维度D_t的指标参数V_k的基线值；

维度参数D_t的度量值E_i的偏离度：DP_t＝(C_t-B_t)*100/B_t，其中，C_t是维度D_t的度量值E_i的当前周期值，B_t是维度D_t的度量值E_i的基线值。

13.如权利要求9所述的装置，其特征在于，所述装置还包括：预定义模块，用于预定义采集所述异构安全事件的标准、安全指标度量参数和度量标准；其中，

预定义所述采集所述异构安全事件的标准包括：预定义所述异构安全事件的地址范围和时间范围；

预定义所述安全指标度量参数包括：预定义所述维度参数D_t；预定义在不同的安全事件场景下所述维度参数D_t和所述指标参数V_k的标准模板；

预定义所述安全指标度量标准包括：预定义所述指标参数V_k的偏离度和所述维度参数D_t的度量值E_i的偏离度的阈值；预定义所述阈值代表的安全等级；预定义不同场景下或不同需要下的所述W_K的值。

14.如权利要求9所述的装置，其特征在于，所述维度参数D_t对安全事件进行分组的步骤包括：实时采集预定时间段内的所有安全事件，获取经过归一化后安全事件对象的事件类型字段，根据攻击入侵类D₁、信息泄露类D₂、设备故障类D₃、认证授权与非法访问类D₄、恶意代码类D₅、违规与误操作类D₆对安全事件进行分组。

15.如权利要求9所述的装置，其特征在于，各个度量维度D_t的指标参数V_k的获取方法分别是指：

安全事件量V₁的获取方法是从安全事件组中获取所有安全事件的数量值；源地址个数V₂的获取方法是从安全事件组中获取所有独立源IP的数量值；目的地址个数V₃的获取方法是从安全事件组中获取所有独立目的IP的数量值；资产地址个数V₄获取方法是从安全事件组中获取所有独立资产IP的数量值。

16.如权利要求9所述的装置，其特征在于，所述维度参数D_t所对应的安全事件数量占总安全事件数量的比例P_t的计算方法为：获得预定时间段内采集的所有安全事件的总数量T，获得所述维度参数D_t分组中安全事件的数量S_t，所述维度参数D_t对应的安全事件数量占比为：

P_t＝S_t/T,

其中，最后一维参数D_L对应的安全事件数量占比计算为：

其中L为所述维度参数D_t的维数。