CN109767351A - 一种电力信息系统日志数据的安全态势感知方法 - Google Patents

Abstract

一种电力信息系统日志数据的安全态势感知方法，所述方法首先对电力信息系统日志数据进行过滤和规范化，完成对数据的预处理；然后基于人体免疫模型对电力信息系统的安全态势进行评估，得到其安全态势值；继而在安全态势值的基础上，使用多种预测方法预测电力信息系统接下来的安全态势走向，最后通过灰色关联度理论将多种态势预测结果进行融合，得到最终的态势预测结果。本发明以电力系统运行日志数据为依据，采用组合预测模型来预测CPPS系统未来的安全态势，得到的预测结果比传统的单一预测模型更为精确可靠。利用本方法可实现对电力信息系统风险等级的准确判定和预警，确保系统的安全运行。

Description

一种电力信息系统日志数据的安全态势感知方法

技术领域

本发明涉及一种以电力信息系统日志数据为依据的安全态势感知方法，本方法可实现对电力信息系统风险等级的准确判定和预警，属于数据处理技术领域。

背景技术

随着电力系统信息化的日趋加强，其运行效率也不断提高，在给用户带来便利的同时也增加了电力系统的安全隐患。震网病毒的出现让人们开始意识到信息系统和物理系统耦合存在的风险，同时CPPS存在的安全问题，引起了国内外学者的广泛关注。此外，随着电力系统复杂程度的逐渐加深，数据融合和安全态势感知技术逐渐成为电力系统安全领域的热点研究问题。因此，借助数据分析技术处理电力信息系统的海量异构日志数据成为了可行方案。在处理海量数据时，分布式计算比传统单一计算机具有明显优势，例如通过Hadoop可实现多台计算机同时完成数据的分析和挖掘工作。然而，目前的日志分析策略和工具依旧无法较好地应用于电力信息系统中。作为电力信息系统风险等级确定和预警的重要依据，态势感知同样是系统安全领域的重要一环。

目前，电力信息通信系统的安全防御存在如下缺陷：第一，传统的安全产品都只能抵御来自某个方面的安全威胁，形成了一个个的“安全防御孤岛”，不能对海量多维度信息安全数据进行有效的融合关联分析，无法产生协同效应，不能使这些安全监测数据成为上层安全决策的有效资源。第二，传统的安全防御设施大多数都是通过分析某些安全设备的日志对已经发生的攻击行为进行分析和监测，基本都是被动防御的思路，缺乏网络安全态势感知与联动预警的能力，当检测到网络攻击事件之后再采取相应的应急措施，往往为时已晚，因为此时网络攻击已经发生，攻击已经造成了不可挽回的损失。第三，复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，形成了大量的“信息孤岛”，有限的安全管理人员面对这些数量巨大、彼此割裂的安全大数据，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。

发明内容

本发明的目的在于针对现有技术之弊端，提供一种电力信息系统日志数据的安全态势感知方法，以实现对电力信息系统风险等级的准确判定和预警，确保系统的安全运行。

本发明所述问题是以下述技术方案解决的：

一种电力信息系统日志数据的安全态势感知方法，所述方法首先对电力信息系统日志数据进行过滤和规范化，完成对数据的预处理；然后基于人体免疫模型对电力信息系统的安全态势进行评估，得到其安全态势值；继而在安全态势值的基础上，使用多种预测方法预测电力信息系统接下来的安全态势走向，最后通过灰色关联度理论将多种态势预测结果进行融合，得到最终的态势预测结果。

上述电力信息系统日志数据的安全态势感知方法，所述方法包括以下步骤：

a.数据预处理

①数据过滤：首先根据日志的内容、时间戳、IP地址和优先级删除无用的日志，然后根据时间戳和IP地址分别将规定时间以外的和不关心的日志消息舍去，并剔除重复的冗余数据；

②数据的规范化处理：针对常出现的字段，选择保留字段的时间戳、源IP地址、目标IP地址、源端口、目标端口、用户信息和优先级信息；

b.态势评估

设t为通过日志规范化后获得的一个时间戳的时间，α_j(0≤α_j≤1)为j类事件的危害程度，β_i(0≤β_i≤1)表示主机i的重要性，x_i为电力信息系统正常运行时主机i事件的数量，n_i为主机i时刻检测到的事件数量，x_ij为电力信息系统正常运行环境下主机i发生j类事件的数量，n_ij为主机i时刻发生j类事件的数量，r_i(t)表示在t时刻主机i的安全态势值，r_ij(t)表示在t时刻主机i上发生j类事件的安全态势值，R_j(t)表示在t时刻电力信息系统发生了j类攻击的安全态势值，R(t)表示在t时刻电力信息系统的安全态势值，r_i(t)、r_ij(t)、R_j(t)、R(t)的计算方法如下：

c.多角度安全态势预测

在上述安全态势值的基础上，依次采用灰色预测模型、神经网络预测模型、卡尔曼滤波算法，对网络安全进行预测，得到各自的安全态势预测值P₁、P₂和P₃；

d.组合态势预测

取真实态势值为参考数列，分别计算灰色预测模型、神经网络预测模型、卡尔曼滤波算法三种预测算法所得安全态势预测值的灰色关联度，对三个灰色关联度的值进行归一化处理，即在比例不变的情况下使其和为1，得到三种预测算法在组合预测模型中的权重ω₁、ω₂和ω₃，则组合的安全态势预测值P为：

其中，

上述电力信息系统日志数据的安全态势感知方法，进行组合态势预测时，关联度的计算方法如下：

选取参考数列

x₀＝{x₀(k)|k＝1,2,…,n}＝(x₀(1),x₀(2),…,x₀(n))

式中：k表示时刻，假设有m个比较数列

x_i＝{x_i(k)|k＝1,2,…,n}＝(x_i(1),x_i(2),…,x_i(n)),i＝1,2,…,m

则被选定数列x_i相对于参考数列x₀的关联度r_i为：

其中，ρ∈[0,1]为分辨系数，ξ_i(k)为被选定比较数列x_i相对于对参考数列x₀在k时刻的关联系数。

本发明以电力系统运行日志数据为依据，采用组合预测模型来预测CPPS系统未来的安全态势，得到的预测结果比传统的单一预测模型更为精确可靠。利用本方法可实现对电力信息系统风险等级的准确判定和预警，确保系统的安全运行。

附图说明

下面结合附图对本发明作进一步详述。

图1为本发明所采用的基于电力信息系统日志数据的安全态势感知模型。

具体实施方式

本发明提出的基于电力信息系统日志数据的安全态势感知模型如图1所示，该模型包含数据预处理、态势评估、多角度安全态势预测和组合态势预测四个步骤。

步骤1.数据预处理

电力信息系统日志记录了大量有价值的系统运行信息，但是，日志中存在着大量的冗余和重复数据，还有，不同的供应商选择不同的日志记录格式，这些都导致日志数据无法直接用于数据分析。因此，为了方便在态势评估中提取日志中重要信息，本发明首先对日志数据进行过滤和规范化。

(1)过滤阶段：主要对规定时间内的重复数据进行合并和删除。根据日志的内容、时间戳、IP地址和优先级等信息删除无用的日志；然后根据时间戳和IP地址分别将过于久远的和不关心的日志消息舍去以及剔除掉重复的冗余数据。

(2)规范化阶段：虽然不同的供应商没有统一日志格式，但是日志所记录的信息结构是相对固定的。即使不同类型日志的最终存储机制有所不同，其大部分字段基本上是通用的。因此，本发明针对常出现的字段，在规范化过程中选择保留字段的时间戳、源IP地址、目标IP地址、源端口、目标端口、用户信息、优先级等信息。

步骤2.态势评估

完成日志数据的过滤和规范化之后，对日志数据进行分析，并获取安全态势值。

(1)日志分析

本发明专利通过总结电力系统正常运行和正常用户的行为规律形成知识库，然后将当前得到的信息与知识库比对得到偏差，若偏差大于阈值，则将判断为系统出现异常行为。本方法适于捕捉尚不知晓的事物。

(2)获取安全态势

此处利用改进人体免疫网络安全模型获取安全态势。本发明根据一段时间内收集到的规范化日志提供的事件信息，提取其中相同事件的数量作为基线。在电力信息系统中，不同主机的重要性和网络攻击的效果均存在差异，本发明将主机和攻击类型的差异均纳入安全态势分析的考虑范围之内。然后根据时间戳，统计在指定时间段内发生的事件数量。其中，IP地址则用于代表某一特定主机。

设t为通过日志规范化后获得的一个时间戳的时间，α_j(0≤α_j≤1)为j类事件的危害程度，β_i(0≤β_i≤1)表示主机i的重要性，x_i为电力信息系统正常运行时主机i事件的数量，n_i为主机i时刻检测到的事件数量，x_ij为电力信息系统正常运行环境下主机i发生j类事件的数量，n_ij为主机i时刻发生j类事件的数量，r_i(t)表示在t时刻主机i的安全态势值，r_ij(t)表示在t时刻主机i上发生j类事件的安全态势值，R_j(t)表示在t时刻电力信息系统发生了j类攻击的安全态势值，R(t)表示在t时刻电力信息系统的安全态势值，由现有文献可知，r_i(t)、r_ij(t)、R_j(t)、R(t)的计算方法如下：

安全态势值取值在[0,1]区间内，安全态势值直观的表示出当前系统的安全状态。安全态势值越大表明系统安全风险越大,反之则表明安全风险越低。

步骤3.多角度安全态势预测

安全态势预测能帮助系统管理员在电力信息网络受到不同模式的网络攻击前，能够有时间采取针对性的防卫方法和处理手段。在上述对电力信息系统日志数据的一系列处理和分析所得到的安全态势值的基础上，使用多种预测方法预测电力信息系统接下来的安全态势走向。在多角度安全态势预测中，依次采用灰色预测模型、神经网络预测模型、卡尔曼滤波算法，三种预测模型对网络安全进行预测：

(1)使用灰色预测模型计算安全态势值。灰色预测模型，主要经过识别目标因素中的变化趋势的相异同度来进行各因子间的关联程度判断，从而寻求研究对象变化的规律。本发明采用灰色理论中的GM(1，1)模型，安全态势值的时间序列：R(t)＝{r(t₁),r(t₂),...,r(t_n)}累加后得到递增的时间序列R(t)并建立微分方程，求解得到预测函数F(t)。

(2)使用神经网络模型计算安全态势值。神经网络预测模型，采用梯度训练法反向调整网络误差，同样，依据链式偏微分法则，可得网络数据中心、宽度和权值的调整量分别为：

式中，G表示高斯函数；i,j分别是隐节点数量和样本数量的下标；c，σ，ω分别表示网络数据中心，宽度以及权值，η₁，η₂，η₃分别表示各自的学习速率(速度)，e表示网络输出值与样本值之间的残差；在RBF网络中隐含层神经元由激活函数和距离函数构成，越靠近数据中心的样本越可能被更大程度地激活，反之，该样本网络对其影响程度越小：

(3)使用卡尔曼滤波算法计算安全态势值。卡尔曼滤波算法，卡尔曼滤波算法的过程方程为：

x(k+1)＝Ax(k)+Bu(k)+w(k) (8)

量测方程：

Z(k+1)＝Hx(k+1)+v(k+1) (9)

A和B是系统参数；H是测量系统的参数；W(k)和V(k)分别表示过程和测量的噪声。根据已知安全态势值Z(1)，Z(2)，Z(3)…，Z(n)，对n≥l求状态向量x(i)各个分量的最小二乘估计。使用卡尔曼滤波器进行安全态势预测的步骤为：

1)初始条件

x₁(n)＝E{x(1)}

K(1,0)＝E{[x(1)-x₁(1)][x(1)-x₁(1)]^N},其中x₁(1)＝E{x(1)}

2)量测向量

观测向量序列:{J(1),J(2),J(3),...,J(n)}

3)计算n＝1,2,3…

G(n)＝F(n+1,n)K(n,n-1)[C^N(n)K(n,n-1)C^N(n)+Q₁(n)]^-1

α(n)＝J(n)-C(n)x₁(n)

x₁(n+1)＝F(n+1)x₁(n)+G(n)α(n)

P(n)＝K(n,n-1)-F^-1(n+1,n)G(n)C(n)K(n,n-1)

K(n+1,n)＝F(n+1,n)P(n)F^N(n+1,n)+Q₁(n)

步骤4.组合态势预测

相较于传统电力系统，电力信息物理系统更为复杂，网络安全态势的变化通常由多重因素引起，单一的预测模型已无法正确地反映出系统的变化趋势。但是，通过多种预测算法的组合，可以弥补单个算法的存在缺陷和不足，从而提高总体的预测精度。本发明专利将多种预测算法的不同预测结果通过灰色关联度理论进行融合，进而获得与真实态势值更加接近的预测结果。

(1)取对应时间的安全态势实际值与各预测值进行比较，计算关联度。

关联度是指在一个系统中的不同因素，它们随着时间或者其他变量变化的相关性的度量。若两个变量的同步程度较高，则可以说二者间的关联度较高；反之则较低。

选取参考数列

x₀＝{x₀(k)|k＝1,2,…,n}＝(x₀(1),x₀(2),…,x₀(n)) (10)

式中：k表示时刻。假设有m个比较数列

x_i＝{x_i(k)|k＝1,2,…,n}＝(x_i(1),x_i(2),…,x_i(n)),i＝1,2,…,m (11)

则称

式(12)为被选定数列x_i相对于对参考数列x₀在k时刻的关联系数，其中，ρ∈[0,1]为分辨系数。一般来说，分辨系数ρ越大，分辨率越大；ρ越小，分辨率越小。最后，取

r_i为被选定数列x_i相对于参考数列x₀的关联度。由式(13)可以看出，关联度是把不同时间段的关联系数组合起来计算其平均值，即把过于离散的数据集中整合。利用关联度，我们可以得到不同模型预测值与电网安全态势真实值的关联度。不同模型预测值与电网安全态势真实值的关联度可作为该预测模型的可信度，将可信度作为权重从进行数据融合。本方法可以有效解决不同模型间存在冲突的问题，达到修正预测结果的目的。

(2)通过灰色关联度进行权重融合，以组合预测未来安全态势值。

取真实态势值为参考数列，分别计算三种预测算法的灰色关联度。在得到三种预测算法的灰色关联度后，在比例不变的情况下使其和为1，结果为组合预测模型中各安全态势值序列的权重。组合的安全态势预测值就可以表示为：

Claims (3)

1.一种电力信息系统日志数据的安全态势感知方法，其特征是，所述方法首先对电力信息系统日志数据进行过滤和规范化，完成对数据的预处理；然后基于人体免疫模型对电力信息系统的安全态势进行评估，得到其安全态势值；继而在安全态势值的基础上，使用多种预测方法预测电力信息系统接下来的安全态势走向，最后通过灰色关联度理论将多种态势预测结果进行融合，得到最终的态势预测结果。

2.根据权利要求1所述的一种电力信息系统日志数据的安全态势感知方法，其特征是，所述方法包括以下步骤：

a.数据预处理

①数据的过滤：首先根据日志的内容、时间戳、IP地址和优先级删除无用的日志，然后根据时间戳和IP地址分别将规定时间以外的和不关心的日志消息舍去，并剔除重复的冗余数据；

②数据的规范化处理：针对常出现的字段，选择保留字段的时间戳、源IP地址、目标IP地址、源端口、目标端口、用户信息和优先级信息；

b.态势评估

设t为通过日志规范化后获得的一个时间戳的时间，α_j(0≤α_j≤1)为j类事件的危害程度，β_i(0≤β_i≤1)表示主机i的重要性，x_i为电力信息系统正常运行时主机i事件的数量，n_i为主机i时刻检测到的事件数量，x_ij为电力信息系统正常运行环境下主机i发生j类事件的数量，n_ij为主机i时刻发生j类事件的数量，r_i(t)表示在t时刻主机i的安全态势值，r_ij(t)表示在t时刻主机i上发生j类事件的安全态势值，R_j(t)表示在t时刻电力信息系统发生了j类攻击的安全态势值，R(t)表示在t时刻电力信息系统的安全态势值，r_i(t)、r_ij(t)、R_j(t)、R(t)的计算方法如下：

c.多角度安全态势预测

在上述安全态势值的基础上，依次采用灰色预测模型、神经网络预测模型、卡尔曼滤波算法，对网络安全进行预测，得到各自的安全态势预测值P₁、P₂和P₃；

d.组合态势预测

取真实态势值为参考数列，分别计算灰色预测模型、神经网络预测模型、卡尔曼滤波算法三种预测算法所得安全态势预测值的灰色关联度，对三个灰色关联度的值进行归一化处理，即在比例不变的情况下使其和为1，得到三种预测算法在组合预测模型中的权重ω₁、ω₂和ω₃，则组合的安全态势预测值P为：

其中，

3.根据权利要求2所述的一种电力信息系统日志数据的安全态势感知方法，其特征是，进行组合态势预测时，关联度的计算方法如下：

选取参考数列

x₀＝{x₀(k)|k＝1,2,…,n}＝(x₀(1),x₀(2),…,x₀(n))

式中：k表示时刻，假设有m个比较数列

x_i＝{x_i(k)|k＝1,2,…,n}＝(x_i(1),x_i(2),…,x_i(n)),i＝1,2,…,m

则被选定数列x_i相对于参考数列x₀的关联度r_i为：

其中，ρ∈[0,1]为分辨系数，ξ_i(k)为被选定比较数列x_i相对于对参考数列x₀在k时刻的关联系数。