CN108848069A

CN108848069A - 一种基于大数据的电力网络信息安全主动防御系统

Info

Publication number: CN108848069A
Application number: CN201810533758.XA
Authority: CN
Inventors: 杨金源
Original assignee: Shenzhen Zhida Machinery Technology Co Ltd
Current assignee: Shenzhen Zhida Machinery Technology Co Ltd
Priority date: 2018-05-29
Filing date: 2018-05-29
Publication date: 2018-11-20

Abstract

本发明提供一种基于大数据的电力网络信息安全主动防御系统，其特征在于，包括：基础数据采集模块，用于采集电力网络中的设备数据和相关人员数据并提供防护等级和威胁事件；数据采集引擎，用于对电力网络中的设备进行集中运行状态监控；安全配置管理平台，用于接收基础数据采集模块和数据采集引擎采集的数据，并根据采集的数据对所有设备进行性能和运行状态监控；大数据分析模块，用于对安全配置管理平台的监控的数据进行处理和分析以及进行安全态势感知和预测，对威胁情况进行感知；智能防御模块，用于根据大数据分析模块获取的威胁情况从防御措施库中匹配合适的应对防御措施并执行。本发明适应目前电力网络对信息安全防护的需要。

Description

一种基于大数据的电力网络信息安全主动防御系统

技术领域

本发明涉及企业网络的安全防护技术领域，特别是一种基于大数据的电力网络信息安全主动防御系统。

背景技术

面对日益严峻的国内外安全形势和日新月异发展的信息安全问题，包括电力信息安全系统在内各种安全系统面临着各种新型的威胁。随着网络攻击技术的不断发展，常规攻击不断衍变，高级持续威胁等新型攻击不断涌现，具备攻击更快速、手段更专业、过程更隐藏、技术更复杂的特点，以电力行业为首的工控系统的关键控制产品应用业务在安全制度上仍存在严重漏洞，其对人身、资产、环境甚至国家安全的畏寒可想而知，因此，发明一种完善的电力网络信息安全主动防御系统极具需要。

发明内容

针对上述问题，本发明旨在提供一种基于大数据的电力网络信息安全主动防御系统。

本发明的目的采用以下技术方案来实现：

一种基于大数据的电力网络信息安全主动防御系统，包括：

基础数据采集模块，用于采集所述电力网络中的设备数据和相关人员数据，并提供防护等级和威胁事件；

数据采集引擎，用于对所述电力网络中的设备进行集中运行状态监控，以及起停、采集策略管理；

安全配置管理平台，用于接收所述基础数据采集模块和数据采集引擎采集的数据，并根据采集的数据对所有设备进行性能和运行状态监控；

大数据分析模块，用于对所述安全配置管理平台的监控的数据进行处理和分析，以及进行安全态势感知和预测，对威胁情况进行感知；

数据可视化展示模块，用于对感知的威胁和安全态势进行可视化处理；

智能防御模块，用于根据所述大数据分析模块获取的威胁情况从防御措施库中匹配合适的应对防御措施并执行。

优选地，所述基础数据采集模块包括：

防御等级设置模块，用于设置所述防御系统的防护等级；

设备数据采集模块，采集与设备相关的各种数据；

相关人员数据采集模块，采集与人员相关的各种数据；

威胁事件库，用于为所述防御系统提供威胁事件的具体形式；

其中，所述设备包括安全设备、网络设备和服务器。

优选地，所述数据采集引擎包括：

安全设备数据采集模块，用于采集所述安全设备的运行状态数据及其采集或生成的数据；

网络设备数据采集模块，用于采集所述网络设备的运行状态数据及其采集或生成的数据；

主机服务器数据采集模块，用于采集与服务器相关及其采集的数据；

威胁检测设备安全防护程序数据采集模块，用于采集与威胁检测设备安全防护程序相关的数据；

IDS及漏洞安全防护程序数据采集模块，用于采集与IDS及漏洞安全防护程序相关的数据。

优选地，所述安全配置管理平台包括：

数据采集模块，用于采集所述基础数据采集模块以及数据采集引擎系统传送来的数据；

格式化模块，用于将采集的数据进行格式化处理，使采集的数据保存为统一的指定格式；

数据管理模块，用于对所述格式化模块处理后的数据进行整合和分类，并储存到各类日志中；

查询与搜索统计模块，用于对采集的数据进行插叙、统计和搜索；

数据接口模块，用于为其它模块或系统提供与安全配置管理平台进行交互的接口；

第三方接口，用于为所述防御系统之外的系统或模块提供与所述防御系统进行数据交互的接口。

优选地，所述日志可分为网络设备运行日志，网络行为日志，网络状态数据日志。

优选地，所述大数据分析模块，包括：

态势感知模块，用于根据所述数据采集引擎采集的数据进行网络安全态势感知；

态势预测模块，用于根据所述网络安全态势感知结果进行网络安全态势预测；

威胁分析模块，通过基于SPARK的通用执行引擎利用关联分析、基线分析、数据建模等技术，从而进行威胁分析，包括：当所述态势预测模块或态势感知模块检测到网络安全存在威胁时，获取设备某种行为的时间热图，以及正常行为基线，采用不同的异常行为分析模型进行检测分析，获取发生的异常行为及异常设备。

本发明提供了一种基于大数据的电力网络信息安全主动防御系统，通过采集电力网络中设备的运行状态数据，并且对采集或生成的数据进行处理和分析，感知电力网络的安全态势，当发现存在安全威胁时，对威胁情况进行感知，并将情况展示给管理者，同时匹配相应的防御措施并执行，实时性强，响应速度快，智能化水平高，安全性强，适应目前电力网络对信息安全防护的需要。

附图说明

利用附图对本发明作进一步说明，但附图中的实施例不构成对本发明的任何限制，对于本领域的普通技术人员，在不付出创造性劳动的前提下，还可以根据以下附图获得其它的附图。

图1为本发明的框架结构图；

图2为本发明基础数据采集模块的框架结构图；

图3为本发明数据采集引擎的框架结构图；

图4为本发明大数据分析模块的框架结构图。

具体实施方式

结合以下应用场景对本发明作进一步描述。

参见图1，其示出一种基于大数据的电力网络信息安全主动防御系统，包括：

基础数据采集模块1，用于采集所述电力网络中的设备数据和相关人员数据，并提供防护等级和威胁事件；

数据采集引擎2，用于对所述电力网络中的设备进行集中运行状态监控，以及起停、采集策略管理；

安全配置管理平台3，用于接收所述基础数据采集模块1和数据采集引擎2采集的数据，并根据采集的数据对所有设备进行性能和运行状态监控；

大数据分析模块4，用于对所述安全配置管理平台3的监控的数据进行处理和分析，以及进行安全态势感知和预测，对威胁情况进行感知；

数据可视化展示模块5，用于对感知的威胁和安全态势进行可视化处理；

智能防御模块6，用于根据所述大数据分析模块4获取的威胁情况从防御措施库中匹配合适的应对防御措施并执行。

本发明上述实施方式：通过采集电力网络中设备的运行状态数据，并且对采集或生成的数据进行处理和分析，感知电力网络的安全态势，当发现存在安全威胁时，对威胁情况进行感知，并将情况展示给管理者，同时匹配相应的防御措施并执行，实时性强，响应速度快，智能化水平高，安全性强，适应目前电力网络对信息安全防护的需要。

优选地，参见图2，所述基础数据采集模块1包括：

防御等级设置模块11，用于设置所述防御系统的防护等级；

设备数据采集模块12，采集与设备相关的各种数据；

相关人员数据采集模块13，采集与人员相关的各种数据；

威胁事件库14，用于为所述防御系统提供威胁事件的具体形式。

其中，所述设备包括安全设备、网络设备和服务器，所述设备相关的各种数据包括：设备编号，设备名称，设备IP，所属安全域，设备类型，重要程度，设备位置信息，所属应用系统，设备所属部门，设备负责人。

其中，所述人员相关的各种数据包括：姓名，工号，所属部门，职位，负责设备，联系方式。

本发明上述实施方式，通过采集电力网络中所有设备的基础数据，并进行防御等级设置，能够有助于系统对整个电力网络设备的管理，为之后从设备中采集数据以及判断设备的状态、运行情况等奠定了基础。

优选地，参见图3，所述数据采集引擎2包括：

安全设备数据采集模块21，用于采集所述安全设备的运行状态数据及其采集或生成的数据；

网络设备数据采集模块22，用于采集所述网络设备的运行状态数据及其采集或生成的数据；

主机服务器数据采集模块23，用于采集与服务器相关及其采集的数据；

威胁检测设备安全防护程序数据采集模块24，用于采集与威胁检测设备安全防护程序相关的数据；

IDS及漏洞安全防护程序数据采集模块25，用于采集与IDS及漏洞安全防护程序相关的数据。

其中，IDS为Intrusion Detection Systems，表示入侵检测系统。

本发明上述实施方式，通过设置威胁检测设备安全防护程序数据采集模块24和IDS及漏洞安全防护程序数据采集模块25，分别采集设置在系统中的威胁检测设备安全防护程序和IDS及漏洞安全防护程序的相关数据，为之后系统对威胁进行准确分析奠定了基础。

优选地，所述安全配置管理平台3包括：

数据采集模块，用于采集所述基础数据采集模块以及数据采集引擎2系统传送来的数据；

数据接口模块，用于为其它模块或系统提供与安全配置管理平台3进行交互的接口；

其中，所述日志可分为网络设备运行日志，网络行为日志，网络状态数据日志。

本发明上述实施方式，通过设置安全配置管理平台3对电力网络中产生的数据进行管理并记录，能够提高系统对数据分析的效率。

优选地，参见图4，所述大数据分析模块4，包括：

态势感知模块41，用于根据所述数据采集引擎2采集的数据进行网络安全态势感知；

态势预测模块42，用于根据所述网络安全态势感知结果进行网络安全态势预测；

威胁分析模块43，通过基于SPARK的通用执行引擎利用关联分析、基线分析、数据建模等技术，从而进行威胁分析，包括：当所述态势预测模块42或态势感知模块41检测到网络安全存在威胁时，获取设备某种行为的时间热图，以及正常行为基线，采用不同的异常行为分析模型进行检测分析，获取发生的异常行为及异常设备。

本发明上述实施方式，通过设置态势感知模块41和态势预测模块42，对电力网络中数据进行分析，对电力网络的安全态势进行感知和预测，当发现网络安全态势存在异常时，启动威胁分析模块43对电力网络中设备进行检测和排查，获取具体的的异常行为和异常设备，有效地提高了防御系统的性能。

优选地，所述态势感知模块41，用于根据所述数据采集引擎2采集的数据进行网络安全态势感知，具体包括：

获取当前网络安全态势值，其中采用的安全态势值函数为：

式中，p_n表示n时刻安全态势值，L(i,k)和L(j,k)分别表示安全设备状态i或网络设备状态j的属性k遭受侵害时，可能造成的最大直接损失估计；其中I，J，K分别表示设备状态，网络数据及其包括的属性的集合，其中G_n(i,k)和G_n(j,k)分别表示n时刻设备状态项(i,k)和网络数据项(j,k)面临威胁的可能性，0≤G_n(i,k)<1，0≤G_n(j,k)<1，由所述态势感知模块41根据所述数据采集引擎2采集的数据分析所得，α和β分别表示安全设备状态权重因子和网络设备状态权重因子。

其中，所述属性集合K包括机密性，完整性和可用性中至少一种。

其中，安全设备状态包括安全设备运行状态及其采集或生成的数据；网络设备状态包括网络设备运行状态及其采集或生成的数据；

本发明上述实施方式，采用上述的方法对当前电力网络安全态势进行感知，获取当前网络的安全态势值，能够根据网络中安全设备状态及网络设备状态及其采集或生成的数据的属性作为判断依据，从机密性，完整性和可用性三个方面评估网络安全态势，能够细致地描述当前网络安全状况；同时根据不同安全设备或网络设备状态的重要程度及其面临风险的可能性进行综合安全性评估，准确地计算出网络安全态势值，适应性强，准确度高。

优选地，所述态势预测模块42，用于根据所述网络安全态势感知结果进行网络安全态势预测，具体包括

准备阶段：对有所述态势感知模块41获取的关键信息基础设施安全态势值进行采样，采用时变曲线y＝P(t)对获取的安全态势值进行表示，其中y表示安全态势值，P(t)表示以时间作为时变曲线的变量；

将所述时变曲线划分为不同的子图z(c,v)，其中z(c,v)表示始于t_c时刻含有v段邻接线段的折线子图，邻接线段变化趋势序列(u_c,u_c+1,…,u_c+v-1)用向量U(c,v)表示，设定当前时刻为t’，预测时间长度为r，z(t’,r)表示始于当前时刻对未来r时间长度的预测子图；

初始化参数设定，设定判断集合变量m＝t’-v，其中m表示当前安全态势迹象的起始位置，v表示当前安全态势迹象的观测时间，t’表示当前时刻；

从c＝0到c＝m依次对曲线拟合度Q(c,m,v)进行判断，如果存在拟合度Q(c,m,v)>θ_Q，其中，Q(c,m,v)表示始于t_c时刻和t_m时刻含有v段邻接线段的折线子图的拟合度，θ_Q表示设定的拟合度阈值，则有：

获取该t_c时刻的权重w＝(μ_τ(c,v,r)×Q(c,m,v))^γ，适应度λ＝μ_λ(c,m,v)×H(c,v,r)，其中μ_τ(c,v,r)表示普适度，μ_τ(c,v,r)＝(t’-v)×(1+2×π^-1×arctan(τ[c,v,r]-τ_max))，τ[c,v,r]表示U(c,v+r)的普适量，τ_max表示历史获取普适量的最大值，Q(c,m,v)表示始于t_c时刻和t_m时刻含有v段邻接线段的折线子图的拟合度，表示U(c,v)的单位化向量，γ表示敏化指数，μ_λ(c,m,v)表示从U(c,v)到U(m,v)向量的适应度，H(c,v,r)表示适应度调节因子，r表示设定的预测时间长度；

将拟合位置c，及其对应的权重w和适应度λ组合{(c,w,λ)}录入判断集合Ψ中，Ψ＝Ψ∪{(c,w,λ)}；

预测阶段：如果判断集合Ψ不为空集，则进行安全态势趋势预测，其中采用的安全态势趋势预测函数为：

式中，y_t’+t”表示t’+t”时刻的安全态势预测值，u_c+v+t”-1表示变化趋势，ζ表示单元中安全态势值的平均采样间隔，其中1≤t”≤r，Ψ表示判断集合Ψ中元素的个数；

对于集合Ψ中的U{(c,w,λ)}记录，依据适应度λ将观测趋势u_c+v+t”缩放至与其的尺度，按w加权后，叠加到预测趋势u_t’+t”上，并逐步预测出安全态势预测值点集{(t_t’+t”,y_t’+t”)|1≤t”≤r}；

根据获取的安全态势预测值点分析网络安全态势变化趋势。

本发明上述实施方式，采用时变曲线对获取的网络安全态势值进行表示，表现出网络安全态势随时间变化的趋势，并对该时变曲线进行拟合度和普适度分析，从历史安全态势值序列中查找迹象，衡量该迹象与延续效应之间的联系强度，依据当前迹象预测安全态势值的变化趋势，从形态学上对电力网络安全态势进行预测，准确度高。

优选地，所述态势预测模块42，还进一步包括：在网络安全态势变化趋势的预测过程中的各参数进行自适应调整，其中：

对拟合度阈值θ_Q进行调节，其中采用的拟合度阈值自适应函数为：

式中，表示调节后的拟合度阈值，f表示当前时刻所述时变曲线中离散元素的数量，Ψ表示集合，|Ψ|表示集合Ψ中元素的数量，当|Ψ|与lcf的差距越小时，调节幅度越小，反之越大；当|Ψ|小于lcf则下调拟合度阈值以放宽调节，反之上调；

对于集合Ψ中的每一个元素(c,w,λ)，对普适量τ[c,v,r]进行调节，其中采用的普适量自适应调节函数为：

式中，表示调整后的普适量，Q(c,m,v)表示始于t_c时刻和t_m时刻含有v段邻接线段的折线子图的拟合度，Q(c+v,t’,r)表示始于t_c+v时刻和t_t’时刻含有r段邻接线段的折线子图的拟合度；

对适应度调节因子H(c,v,r)进行调节，其中采用的适应度调节因子自适应函数为：

如果U(c+v,r)≠0且U(t’,r)≠0，则：

式中，表示调节后的适应度调节因子，μ_λ(c,m,v)表示从U(c,v)到U(m,v)向量的适应度，μ_λ(c+v,t’,r)表示从U(c+v,r)到U(t’,r)向量的适应度，Q(c,m,v)表示始于t_c时刻和t_m时刻含有v段邻接线段的折线子图的拟合度，表示适应度调节系数。

优选地，

本发明上述事实方式，采用上述的方法，从形态及精度上计量预测偏差，同时通过逐步微调持续调整安全态势预测参数，进一步提升电力网络安全态势预测的准确度。

最后应当说明的是，以上实施例仅用以说明本发明的技术方案，而非对本发明保护范围的限制，尽管参照较佳实施例对本发明作了详细地说明，本领域的普通技术人员应当分析，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的实质和范围。

Claims

1.一种基于大数据的电力网络信息安全主动防御系统，其特征在于，包括：

2.根据权利要求1所述的一种基于大数据的电力网络信息安全主动防御系统，其特征在于，所述基础数据采集模块包括：

防御等级设置模块，用于设置所述防御系统的防护等级；

设备数据采集模块，采集与设备相关的各种数据；

相关人员数据采集模块，采集与人员相关的各种数据；

其中，所述设备包括安全设备、网络设备和服务器。

3.根据权利要求2所述的一种基于大数据的电力网络信息安全主动防御系统，其特征在于，所述数据采集引擎包括：

4.根据权利要求1所述的一种基于大数据的电力网络信息安全主动防御系统，其特征在于，所述安全配置管理平台包括：

5.根据权利要求4所述的一种基于大数据的电力网络信息安全主动防御系统，其特征在于，所述日志可分为网络设备运行日志，网络行为日志，网络状态数据日志。

6.根据权利要求3所述的一种基于大数据的电力网络信息安全主动防御系统，其特征在于，所述大数据分析模块，包括：

7.根据权利要求6所述的一种基于大数据的电力网络信息安全主动防御系统，其特征在于，所述态势感知模块，用于根据所述数据采集引擎采集的数据进行网络安全态势感知，具体包括：

获取当前网络安全态势值，其中采用的安全态势值函数为：

式中，p_n表示n时刻安全态势值，L(i,k)和L(j,k)分别表示安全设备状态i或网络设备状态j的属性k遭受侵害时，可能造成的最大直接损失估计；其中I，J，K分别表示设备状态，网络数据及其包括的属性的集合，其中G_n(i,k)和G_n(j,k)分别表示n时刻设备状态项(i,k)和网络数据项(j,k)面临威胁的可能性，0≤G_n(i,k)<1，0≤G_n(j,k)<1，由所述态势感知模块根据所述数据采集引擎采集的数据分析所得，α和β分别表示安全设备状态权重因子和网络设备状态权重因子。