CN111652496A

CN111652496A - 基于网络安全态势感知系统的运行风险评估方法及装置

Info

Publication number: CN111652496A
Application number: CN202010473456.5A
Authority: CN
Inventors: 杨至元
Original assignee: China Energy Engineering Group Guangdong Electric Power Design Institute Co Ltd
Current assignee: China Energy Engineering Group Guangdong Electric Power Design Institute Co Ltd
Priority date: 2020-05-28
Filing date: 2020-05-28
Publication date: 2020-09-11
Anticipated expiration: 2040-05-28
Also published as: CN111652496B

Abstract

本发明公开了一种基于网络安全态势感知系统的运行风险评估方法及装置，所述方法包括：预先采集网络安全态势感知系统的历史数据并进行解析处理；对网络安全态势感知系统的历史数据进行特征选择和数据预处理，生成训练学习模型的训练集和测试集；采用机器学习算法完成学习模型的训练，在学习模型满足平均准确率要求后导出智能分析模型；采用电力系统通用恢复目标算法计算智能分析模型的预期恢复供电时间和损失负载；根据预期恢复供电时间、损失负载和智能分析模型的威胁入侵概率进行风险评估计算，得到对应的网络安全运行损失风险值。本发明能够结合电力系统入侵概率模型和网络安全态势感知系统进行运行风险的评估计算，提高风险评估的准确性。

Description

基于网络安全态势感知系统的运行风险评估方法及装置

技术领域

本发明涉及电力系统安全技术领域，尤其是涉及一种基于网络安全态势感知系统的运行风险评估方法及装置。

背景技术

随着电力系统信息化建设的不断发展，以及信息技术与业务的高度融合，电力系统安全威胁也趋于信息化，但同时，电力系统信息化也具有隐蔽性、突发性及不确定性的缺陷，甚至引起严重级联故障，世界上很多国家和地区都因此类突发性事件遭受巨大损失。电力系统安全风险分析正从以工程故障为主的物理安全分析，变成同时考虑信息网络和物理系统的综合安全风险分析。

现有的电力系统网络安全风险评估方案一般从攻击机理、网络空间安全、信息系统失效、系统运行响应等方面展开，总结归纳起来可主要分为三个方面：一是基于通信系统脆弱性分析的网络安全风险模型，主要用于分析造成信息系统失效的脆弱通信节点；二是基于网络攻击特性的运行安全风险模型，用于分析特定攻击对系统的运行影响，可以识别系统运行的脆弱节点并提供节点风险值的量化方法；三是基于信息物理融合系统(CPS)仿真分析的安全风险模型，用来验证、测试特定的网络攻击对系统运行的影响。

但是，在对现有技术的研究与实践的过程中，本发明的发明人发现，现有技术存在以下缺陷：没有就潜在的网络安全隐患对系统运行的影响提出有效的描述方法，无法量化系统在未受攻击时的潜在安全状态，线上应用的适用性受限；风险基础数据缺失，难以对入侵概率采用合理的统计学建模，评估模型的准确性受限。

发明内容

本发明实施例所要解决的技术问题在于，提供一种基于网络安全态势感知系统的运行风险评估方法及装置，能够基于网络安全态势感知采集平台进行网络安全运行风险的评估计算。

为解决上述问题，本发明的一个实施例提供了一种基于网络安全态势感知系统的运行风险评估方法，至少包括如下步骤：

预先采集网络安全态势感知系统的历史数据并进行解析处理；

对所述网络安全态势感知系统的历史数据进行特征选择和数据预处理，生成训练学习模型的训练集和测试集；

根据所述训练集和测试集，采用机器学习算法完成学习模型的训练，计算学习模型识别的平均准确率，并导出满足准确率条件的智能分析模型；

采用电力系统通用恢复目标算法计算所述智能分析模型的预期恢复供电时间和损失负载；

根据所述预期恢复供电时间、损失负载以及所述智能分析模型的威胁入侵概率进行风险评估计算，得到对应的网络安全运行损失风险值。

作为优选方案，所述网络安全态势感知系统包括系统主机、交换机、路由器设备、纵向机密认证装置、正向隔离装置和防火墙设备。

作为优选方案，所述对所述网络安全态势感知系统的历史数据进行特征选择和数据预处理，具体包括：

筛除所述历史数据中的错误数据，并补充对应的缺失数据，得到样本数据；

通过特征工程对所述样本数据进行特征降维处理，完成特征筛选；

通过无监督聚类算法对所述样本数据进行聚类，完成聚类后生成对应的聚类结果；

对所述聚类结果中网络安全态势感知系统的不正常状态数据标记为“隐患”样本；

对所述聚类结果中网络安全态势感知系统的正常状态数据标记为“正常”样本。

作为优选方案，所述生成训练模型的训练集和测试集，具体为：

通过交叉验证法对样本数据集合D分为n个大小相同的互斥子集，并通过分层抽样维持每个互斥子集的数据分布一致性；

依次选取n-1个互斥子集作为训练集，剩余的互斥子集作为测试集，并组合生成n组训练测试集。

作为优选方案，所述根据所述训练集和测试集，采用机器学习算法完成学习模型的训练，计算学习模型识别的平均准确率，并导出满足准确率条件的智能分析模型，具体为：

采用支持向量机分类学习模型分别对n组训练测试集进行训练学习，得到每组训练测试集对应的测试结果；

根据所述每组训练测试结果计算平均准确率，判断所述平均准确率率是否满足预设条件；若是，则终止训练学习并输出智能分析模型；

若否，则在优化学习模型后继续进行训练学习，直至所述平均准确率满足预设条件后输出智能分析模型。

作为优选方案，所述优化学习模型包括调节映射参数、选择核函数和调节惩罚系数。

作为优选方案，所述采用电力系统通用恢复目标算法计算所述智能分析模型的预期恢复供电时间和损失负载，具体包括：

定义单个变电站受威胁入侵的潜在的最严重事件；

基于电力系统通用恢复目标算法计算所述智能分析模型的预期恢复供电时间；

采用稳态潮流计算方法定性分析电力系统是否存在潜在的隐患；

定义单个变电站受威胁入侵影响的严重性计算公式。

本发明的一个实施例还提供了一种基于网络安全态势感知系统的运行风险评估装置，包括：

数据采集模块，用于预先采集网络安全态势感知系统的历史数据并进行解析处理；

数据处理模块，用于对所述网络安全态势感知系统的历史数据进行特征选择和数据预处理，生成训练学习模型的训练集和测试集；

模型训练模块，用于根据所述训练集和测试集，采用机器学习算法完成学习模型的训练，计算学习模型识别的平均准确率，并导出满足准确率条件的智能分析模型；

模型预测模块，用于采用电力系统通用恢复目标算法计算所述智能分析模型的预期恢复供电时间和损失负载；

风险计算模块，用于根据所述预期恢复供电时间、损失负载以及所述智能分析模型的威胁入侵概率进行风险评估计算，得到对应的网络安全运行损失风险值。

本发明的一个实施例提供了一种基于网络安全态势感知系统的运行风险评估的终端设备，包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序，所述处理器执行所述计算机程序时实现如上述的基于网络安全态势感知系统的运行风险评估方法。

本发明的一个实施例提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如上述的基于网络安全态势感知系统的运行风险评估方法。

实施本发明实施例，具有如下有益效果：

本发明实施例提供的一种基于网络安全态势感知系统的运行风险评估方法及装置，所述方法包括：预先采集网络安全态势感知系统的历史数据并进行解析处理；对所述网络安全态势感知系统的历史数据进行特征选择和数据预处理，生成训练学习模型的训练集和测试集；根据所述训练集和测试集，采用机器学习算法完成学习模型的训练，计算学习模型识别的平均准确率，并导出满足准确率条件的智能分析模型；采用电力系统通用恢复目标算法计算所述智能分析模型的预期恢复供电时间和损失负载；根据所述预期恢复供电时间、损失负载以及所述智能分析模型的威胁入侵概率进行风险评估计算，得到对应的网络安全运行损失风险值。

与现有技术相比，本发明通过解析实时采集的态势感知平台数据，基于机器学习方法，识别潜在的威胁数据流量，并通过最大似然估计求解系统实时的潜在入侵威胁概率，进而分析网络威胁对系统运行的严重性影响，通过预计恢复供电时间与系统损失负载以及机组出力定义系统严重性模型，得到基于信息安全和运行安全的风险模型。有效利用了电力系统网络安全态势感知采集系统平台的历史数据，通过可行的概率方法得到准确信息安全模型，同时根据系统潜在的负荷损失直接体现系统运行的安全状态，将信息安全和运行安全模型统一起来，提高了计算网络安全运行损失风险的准确性和全面性。

附图说明

图1为本发明第一实施例提供的一种基于网络安全态势感知系统的运行风险评估方法的流程示意图；

图2为本发明第一实施例提供的构建支持向量机分类学习模型的流程示意图；

图3为本发明第一实施例提供的基于态势感知系统历史状态数据的机器学习的流程示意图；

图4为本发明第二实施例提供的一种基于网络安全态势感知系统的运行风险评估装置的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

在本申请的描述中，需要理解的是，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中，除非另有说明，“多个”的含义是两个或两个以上。

首先介绍本发明可以提供的应用场景，如一种基于网络安全态势感知系统的运行风险评估方法及装置，能够准确且全面评估网络运行损失风险。

本发明第一实施例：

请参阅图1-3。

如图1所示，本实施例提供了一种基于网络安全态势感知系统的运行风险评估方法，至少包括如下步骤：

S1、预先采集网络安全态势感知系统的历史数据并进行解析处理；

在优选的实施例中，所述网络安全态势感知系统包括系统主机、交换机、路由器设备、纵向机密认证装置、正向隔离装置和防火墙设备。

具体的，对于步骤S1，电力监控系统包括多个网络安全设备和组件，本发明主要从通用系统主机采集、解析的状态数据包括：登陆信息、关键文件变更信息、USB接入信息、CPU使用信息、内存使用信息、磁盘使用信息、网口状态信息、设备本身信息，组成的数据集合记为S_H；

从交换机采集和解析的状态数据包括：登录信息、配置修改信息、网口状态、CPU利用率、内存使用信息、通信对信息、原始报文信息、设备本身信息，组成的数据集合记为S_S；

从路由设备采集和解析的状态数据包括：登录信息、配置修改信息、网口状态、CPU利用率、内存使用信息、设备本身信息，组成的数据集合记为S_R；

从纵向机密认证装置采集和解析的状态数据包括：登录信息、配置修改信息、网口状态、CPU利用率、内存使用信息、装置明密文数据统计信息、隧道建立错误信息、不符合安全策略的访问信息、设备本身信息，组成的数据集合记为S_E；

从隔离装置采集和解析的状态数据包括：登录信息、配置修改信息、网口状态、CPU利用率、内存使用信息、不符合安全策略的访问信息、设备本身信息，组成的数据集合记为S_I；

从防火墙设备采集的数据包括：登录信息、配置修改信息、网口状态、CPU利用率、内存使用信息、网口状态、攻击告警，组成的数据集合记为S_F。

S2、对所述网络安全态势感知系统的历史数据进行特征选择和数据预处理，生成训练学习模型的训练集和测试集；

在优选的实施例中，所述对所述网络安全态势感知系统的历史数据进行特征选择和数据预处理，具体包括：

在优选的实施例中，所述生成训练模型的训练集和测试集，具体为：

具体的，对于步骤S2，首先去掉错误数据，补充缺失数据，完成数据预处理，并通过特征工程对样本数据进行特征降维，完成特征筛选。

在本实施例中，分别对S_H、S_S、S_R、S_E、S_I、S_F做初步的数据筛选，检查各个数据集合是否有缺失值，对缺失的特征选择合适的方式进行弥补，可以采用k均值插补法补充缺失数据；可以选择min-max缩放或均值-方差法对连续的数值型特征数据做归一化处理；可以选择序号编码或二进制编码对类别型的特征数据做编码处理。定义经过数据预处理的系统状态样本

其中*表示经过数据预处理集合。便于说明，本发明选择主成分分析法(PCA)对状态样本做降维处理。令降维后的系统状态样本为D_o，共含有d′组特征。进一步，本发明采用过滤法对状态样本做特征选择，获得含有d类特征的样本数据集合D。

在本实施例中，采取例如k-均值(k-means)无监督聚类算法，对数据集合D进行聚类学习，并将数据划分为若干簇C＝{C₁,…C_k…}；根据工程实际经验，聚类结果进行人工标注，得到“隐患”样本和“正常”样本。

S3、根据所述训练集和测试集，采用机器学习算法完成学习模型的训练，计算学习模型识别的平均准确率，并导出满足准确率条件的智能分析模型；

在优选的实施例中，所述根据所述训练集和测试集，采用机器学习算法完成学习模型的训练，计算学习模型识别的平均准确率，并导出满足准确率条件的智能分析模型，具体为：

在优选的实施例中，所述优化学习模型包括调节映射参数、选择核函数和调节惩罚系数。

具体的，对于步骤S3，如图2所示，通过交叉验证法将将数据集合D分成n个大小接近的互斥子集，满足D＝₁∩D₂∩…∩D_n。以此选取D₁为测试集其余为训练集，D₂为测试集其余为训练集，类推共组成n组训练、测试集；本实施例还采用支持向量机分类学习模型，分别对n组数据进行学习，得到每组的测试结果，并判断如果平均准确率满足条件φ，则终止训练，输出学习模型；如果平均准确率不够，可以通过调节映射参数、选择核函数、惩罚系数等方法优化学习模型，直至所述平均准确率满足条件φ。

在具体的实施例中，本发明实施例将首先完成基于电力监控系统网络安全态势感知系统的状态数据的智能分析模型，对应的实施步骤包括如图3所示的步骤1～步骤3-1。

在具体的实施例中，在得到智能分析模型后，还包括如下步骤：

假设数据D满足某一真实概率分布P′，且P′不可直接求解。令P(x|θ)是一组由参数向量θ确定在相同空间上的概率分布，且P(x|θ)将任意输入x映射到实数上来估计真实的概率分布P′。本步骤将利用数据D来估计参数θ。为表述方便，本发明基于SVM算法以阐述原理：

定义

其中f为SVM决策函决策结果f(x)的简化表述。

参数θ＝(A,B)可以通过以下算式估计得到：

其中：

基于获得的概率估计函数Z(x)≡Pr(y＝1|x)＝P_A,(f(x))，则对一个数据样本x₀，令y＝1表示该样本是“隐患”样本，则概率Z(x₀)表示x₀是“隐患”样本的概率结果。本发明令“隐患”概率结果Z(x)表示系统的脆弱性，则对于时间间隔T采集的数据D_T，共包含d组样本，则定义系统的在T时间内的威胁入侵概率为：

S4、采用电力系统通用恢复目标算法计算所述智能分析模型的预期恢复供电时间和损失负载；

在优选的实施例中，所述采用电力系统通用恢复目标算法计算所述智能分析模型的预期恢复供电时间和损失负载，具体包括：

定义单个变电站受威胁入侵的潜在的最严重事件；

定义单个变电站受威胁入侵影响的严重性计算公式。

具体的，对于步骤S4，定义威胁入侵的“最严重”事件是负荷和机组损失。令变电站i的接入机组出力为PG_s，挂有负荷PD_s，变电站s所在区域的负荷平均销售电价λ₁、发电厂的上网电价λ₂。变电站恢复负载和机组供电的时间为t_s。发明基于GRMs算法，预估单个变电站的供电恢复时间，对于大面积的断电故障，也可预估全系统的黑启动过程。对于关键的重要节点，丢失重要的负荷和机组将对整个系统或区域造成大面积电力中断。本发明采用系统的稳态潮流计算定性分析系统是否存在潜在的大面积隐患，PF＝0(1)表示稳态计算(不)存在运行解。令系统(区域)共有v个变电站节点，则定义威胁入侵变电站s严重性Sr_s为：

其中，Sr_s为威胁事件的严重性，由变电站s的负荷PD_s、注入功率PG_s，变电站s所在区域的负荷平均销售电价λ₁、发电厂的上网电价λ₂，以及系统恢复时间t_s共同定义。

S5、根据所述预期恢复供电时间、损失负载以及所述智能分析模型的威胁入侵概率进行风险评估计算，得到对应的网络安全运行损失风险值。

具体的，对于步骤S5，基于步骤S3和S4的计算结果，提出风险评估方法：

其中，ρ_s为变电站s的威胁入侵概率。

本实施例提供的一种基于网络安全态势感知系统的运行风险评估方法，至少包括如下步骤：预先采集网络安全态势感知系统的历史数据并进行解析处理；对所述网络安全态势感知系统的历史数据进行特征选择和数据预处理，生成训练学习模型的训练集和测试集；根据所述训练集和测试集，采用机器学习算法完成学习模型的训练，计算学习模型识别的平均准确率，并导出满足准确率条件的智能分析模型；采用电力系统通用恢复目标算法计算所述智能分析模型的预期恢复供电时间和损失负载；根据所述预期恢复供电时间、损失负载以及所述智能分析模型的威胁入侵概率进行风险评估计算，得到对应的网络安全运行损失风险值。

与现有技术相比，实施本实施例具有以下有益效果：

(1)本发明实施例在电力监控系统网络安全态势感知采集平台的基础上，通过引入机器学习算法和最大后验概率模型分析潜在的系统入侵概率，有效的利用了态势感知采集平抬的历史数据库，同时也对风险模型分析提供了准确地概率建模。

(2)本发明实施例提出的风险评估方法在结合电力网络安全的信息威胁建模同时，也考虑了系统运行的影响，通过对一次系统潜在的经济损失进行建模，将信息安全和运行安全统一起来；同时，基于稳态计算的评估方法的时间成本低，有助于本发明实施例的在线应用和延伸。

(3)本发明实施例选择数学算法和模型均较为成熟，准确性和可靠性较高，具有较强的可行性和实施性。

本发明第二实施例：

请参阅图4。

如图4所示，本实施例提供了一种基于网络安全态势感知系统的运行风险评估装置，包括：

数据采集模块100，用于预先采集网络安全态势感知系统的历史数据并进行解析处理；

数据处理模块200，用于对所述网络安全态势感知系统的历史数据进行特征选择和数据预处理，生成训练学习模型的训练集和测试集；

模型训练模块300，用于根据所述训练集和测试集，采用机器学习算法完成学习模型的训练，计算学习模型识别的平均准确率，并导出满足准确率条件的智能分析模型；

模型预测模块400，用于采用电力系统通用恢复目标算法计算所述智能分析模型的预期恢复供电时间和损失负载；

风险计算模块500，用于根据所述预期恢复供电时间、损失负载以及所述智能分析模型的威胁入侵概率进行风险评估计算，得到对应的网络安全运行损失风险值。

本实施例提供的种基于网络安全态势感知系统的运行风险评估装置，能够有效利用了电力系统网络安全态势感知采集系统平台的历史数据，通过可行的概率方法得到准确信息安全模型，同时根据系统潜在的负荷损失直接体现系统运行的安全状态，将信息安全和运行安全模型统一起来，提高了计算网络安全运行损失风险的准确性和全面性。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述模块的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和变形，这些改进和变形也视为本发明的保护范围。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random AccessMemory，RAM)等。

Claims

1.一种基于网络安全态势感知系统的运行风险评估方法，其特征在于，至少包括如下步骤：

2.根据权利要求1所述的基于网络安全态势感知系统的运行风险评估方法，其特征在于，所述网络安全态势感知系统包括系统主机、交换机、路由器设备、纵向机密认证装置、正向隔离装置和防火墙设备。

3.根据权利要求1所述的基于网络安全态势感知系统的运行风险评估方法，其特征在于，所述对所述网络安全态势感知系统的历史数据进行特征选择和数据预处理，具体包括：

4.根据权利要求1所述的基于网络安全态势感知系统的运行风险评估方法，其特征在于，所述生成训练模型的训练集和测试集，具体为：

5.根据权利要求1所述的基于网络安全态势感知系统的运行风险评估方法，其特征在于，所述根据所述训练集和测试集，采用机器学习算法完成学习模型的训练，计算学习模型识别的平均准确率，并导出满足准确率条件的智能分析模型，具体为：

6.根据权利要求5所述的基于网络安全态势感知系统的运行风险评估方法，其特征在于，所述优化学习模型包括调节映射参数、选择核函数和调节惩罚系数。

7.根据权利要求1所述的基于网络安全态势感知系统的运行风险评估方法，其特征在于，所述采用电力系统通用恢复目标算法计算所述智能分析模型的预期恢复供电时间和损失负载，具体包括：

定义单个变电站受威胁入侵的潜在的最严重事件；

定义单个变电站受威胁入侵影响的严重性计算公式。

8.一种基于网络安全态势感知系统的运行风险评估装置，其特征在于，包括：

9.一种基于网络安全态势感知系统的运行风险评估的终端设备，其特征在于，包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序，所述处理器执行所述计算机程序时实现如权利要求1至7中任意一项所述的基于网络安全态势感知系统的运行风险评估方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1至7中任意一项所述的基于网络安全态势感知系统的运行风险评估方法。