CN111669375A

CN111669375A - 一种电力工控终端在线安全态势评估方法及系统

Info

Publication number: CN111669375A
Application number: CN202010453700.1A
Authority: CN
Inventors: 夏宇; 李俊娥; 林海; 王宇; 罗嫚玲
Original assignee: Wuhan University WHU
Current assignee: Wuhan University WHU
Priority date: 2020-05-26
Filing date: 2020-05-26
Publication date: 2020-09-15
Anticipated expiration: 2040-05-26
Also published as: CN111669375B

Abstract

本发明提供了一种电力工控终端在线安全态势评估方法及系统，首先围绕终端运行状态、业务流量以及异常行为三个方面建立监测指标体系，其中包括运行状态指标、业务流量指标和异常行为指标；然后分别对这三类指标进行相应的安全分析，得到相应评估指标；最后根据所得评估指标，按照AHP‑熵权法和灰色关联分析法结合的综合安全态势评估方法得到终端在线安全评估结果。本发明能有效且全面地感知电力工控终端的安全态势，提高系统整体的安全防护能力，而且可以提高运营维护人员的工作效率，并弥补终端层面的安全防护的不足。

Description

一种电力工控终端在线安全态势评估方法及系统

技术领域

本发明属于电力工控终端安全技术领域，具体涉及一种基于终端监测指标体系的电力工控终端在线安全态势评估方法及系统。

背景技术

目前电力工控领域的安全防护工作以针对平台层的网络安全事件监测为主，缺乏针对终端有效的安全态势感知机制。电力工控系统业务终端及传感终端具有分布广、数量多、计算资源受限等特点，逐渐成为电力工控网络安全防护的薄弱点。攻击者非法控制终端后，可非法获取、篡改相关数据并执行恶意行为，进一步可能突破专业防护，发起全局攻击，同时通过远程控制大量终端，发动DDoS等攻击，造成服务中断。因此，加强电力工控终端的安全建设有助于提高电力工控网络的安全防护水平。

将安全态势感知技术应用于电力工控终端可以有效理解终端的安全态势，使电力工控系统管理者可以在攻击行为发生的早期发现网络中的异常行为以及可能遭受攻击的终端，对当前终端安全状态做出判断，进而采取相应的防护措施，从而保障电力工控系统的安全运行。

目前，虽然许多研究针对电力工控网络的入侵行为提出了一些检测和识别方案，但是均未对终端安全态势进行全面的感知，仅有网络入侵检测方面的研究，缺乏针对终端的态势感知目前电力工控领域的安全防护工作以针对平台层的网络安全事件监测为主，缺乏针对终端有效的安全态势感知机制。

发明内容

本发明针对电力工控终端安全态势感知不足的问题，提出一种基于终端监测指标体系的电力工控终端在线安全态势评估方法及系统，为全面感知终端安全态势，健全电力工控网络安全防护手段提供参考。

本发明的方法所采用的技术方案是：一种电力工控终端在线安全态势评估方法，其特征在于，包括以下步骤：

步骤1：根据监测指标体系提取终端监测指标，包括运行状态监测指标、业务流量监测指标以及异常行为监测指标；运行状态监测指标用于表征终端的软硬件运行状态和网络通信状态，业务流量监测指标用于表征终端通信流量特征，异常行为监测指标用于表征通信报文语义、语法特征和终端行为特征；

步骤2：获得表征终端安全状态的评估指标，包括运行状态安全评估指标、业务流量安全评估指标、异常行为安全评估指标；

步骤3：对各安全评估指标数据进行预处理；

步骤4：对终端安全状态进行全面评估，确定终端态势评估结果。

本发明的系统所采用的技术方案是：一种电力工控终端在线安全态势评估系统，其特征在于：包括终端监测指标提取模块、终端安全状态评估指标获取模块、安全评估指标数据预处理模块、终端安全状态评估模块；

所述终端监测指标提取模块，用于根据监测指标体系提取终端监测指标，包括运行状态监测指标、业务流量监测指标以及异常行为监测指标；运行状态监测指标用于表征终端的软硬件运行状态和网络通信状态，业务流量监测指标用于表征终端通信流量特征，异常行为监测指标用于表征通信报文语义、语法特征和终端行为特征；

所述终端安全状态评估指标获取模块，用于获得表征终端安全状态的评估指标，包括运行状态安全评估指标、业务流量安全评估指标、异常行为安全评估指标；

所述安全评估指标数据预处理模块，用于对各安全评估指标数据进行预处理；

所述终端安全状态评估模块，用于对终端安全状态进行全面评估，确定终端态势评估结果。

本发明的创新点在于：

1、建立了电力工控终端在线安全监测指标体系；

2、提出了针对监测指标可行的安全分析方法；

3、建立了终端综合安全态势评估模型，能够全面感知终端安全态势；

4、引入熵权法和层次分析法使得各评估指标权重符合工程实际。

相对于现有技术，本发明的有益效果是：本发明能有效且全面地感知电力工控终端的安全态势，提高系统整体的安全防护能力，而且可以提高运营维护人员的工作效率，并弥补终端层面的安全防护的不足。针对当前电力工控系统业务终端及传感终端具有分布广、数量多、计算资源受限的特点，该发明建立的监测指标体系可以全面感知电力工控终端安全要素。目前电力工控领域的安全防护工作以针对平台层的网络安全事件监测为主，缺乏针对终端有效的安全态势感知机制，该发明可以弥补终端层面的安全防护不足。该发明可以有效理解终端的安全态势，使电力工控系统管理者可以在攻击行为发生的早期发现网络中的异常行为以及可能遭受攻击的终端，对当前终端安全状态做出判断，进而采取相应的防护措施，从而保障电力工控系统的安全运行。

附图说明

图1为本发明实施例的电力工控终端在线安全态势评估方法流程图；

图2为本发明实施例的电力工控终端在线安全监测指标体系；

图3为本发明实施例的终端安全状态全面评估流程图。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图及实施例对本发明作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本发明，并不用于限定本发明。

请见图1，本发明提供的一种电力工控终端在线安全态势评估方法，包括以下步骤：

请见图2，本实施例围绕运行状态监测指标、业务流量监测指标以及异常行为监测指标三个方面建立监测指标体系。

电力工控终端运行状态监测主要考虑终端软硬件环境及通信环境，终端运行状态监测指标具体包括硬件运行状态、软件运行状态和网络通信状态。其中，硬件运行状态主要包括设备外联状态、本地接口状态、功耗；软件运行状态主要包括软件端口状态；网络通信状态包括联通性、时延。

电力工控终端业务流量监测主要从网络侧考虑终端通信流量。业务流量监测指标具体包括流量时域特征与流量带宽特征，如频率、周期、间隔。

电力工控网络异常的行为监测基于网络侧的通信报文和终端侧的行为特征。异常行为监测指标具体包括报文语法特征、报文语义特征、重要文件更改信息、系统调用时序状态、内核变量信息状态、系统调用频度状态、进程堆栈状态和内存使用状态。

本实施例中，基于K-means的运行状态安全分析方法得到运行状态安全评估指标D。在建立终端运行状态指标样本库的基础上，结合电力工控终端工程应用实际，考虑到运行状态安全结果量化需求以及便于进一步进行终端安全态势感知，在K-means聚类分析中，将K值设为11，分别对应安全分析结果中0到10的运行状态评估结果，确定11个初始质心，分别构建11种不同程度的安全状态质点。分析结果表现为终端运行状态安全风险值D，其取值范围为[0，10]，运行状态安全风险值从0到10即表示终端从正常运行状态向不同程度非正常运行状态的变化趋势。

本实施例中，基于机器学习的业务流量安全分析方法得到业务流量安全评估指标δ。由于电力工控网络环境通信流量报文具有极强的周期性特征，数据流较为固定，且具有一定时序特征，本发明提出使用时间相关特征如时域频次对终端业务流量进行安全分析。该方法通过自学习功能通过解析历史流量数据的通用部分和电网业务部分，对其进行分析和统计，得出流量特征如时间、大小等，可计算得到相关业务的时间特征如时域频次等。通过旁路监听的方式可以获取终端实时通信流量，通过统计的方法可计算得到当前时域频次，最后将实时流量时域特征与自学习得到的历史同期流量时域特征进行比较，根据对比差异程度得到流量的分析结果，用流量波动率δ表示。

式(1)中Q_now表示当前时域频次，Q_Normal表示历史同期时域频次。

本实施例中，基于协议语法合规性检查、业务行为异常评估方法和基于机器学习的恶意代码检测方法的异常行为安全分析方法得到异常行为安全评估指标M1、M2、M3、M4和B。协议语法合规性检查通过对Tag长度、Length长度、Value长度以及实际数据长度进行严格的ASN.1语法检查，判断捕获报文是否合规。同时对此类攻击行为时域频次进行统计，统计值为M1。业务行为异常评估方法包括基于IEC61850数据模型的上下文数据长度检查方法、基于业务源地址的白名单访问控制方法和GOOSE配置信息核查方法。分别对业务报文的上下文数据集、业务关联源地址和GOOSE配置数据集进行检查，判断终端通信报文是否异常，分别统计得到时域频次M2、M3和M4。基于机器学习的恶意代码检测方法在构建的恶意代码训练集基础上进行特征提取，然后按照加权信息增益对提取特征降序排序，选取有效特征，进行分类学习。然后根据每个待测代码是否包含训练部分选择的有效特征，构成一个布尔向量空间，采用随即森林的分类算法对该向量空间进行分析，判断终端是否为遭受恶意代码，并统计恶意代码行为的时域频次B，将其用于终端的安全态势感知。

式(2)中，T为单位时间，N为T时间内检测恶意代码数量。

步骤3：对各安全评估指标数据进行预处理；

在获取得到各安全评估指标后需对其进行标准化处理，使其无量纲化。在电力工控终端在线监测安全评估指标体系中，正向指标有业务流量安全评估指标，即流量波动率δ；逆向指标有运行状态安全评估指标和异常行为安全评估指标，即D、M1、M2、M3、M4和B。采用极差标准化变化法对终端安全评估指标体系中各指标值进行标准化处理。其中，设定流量波动率阈值为3，设定单位时间内M1、M2、M3和M4的阈值为100，单位时间内B的阈值为10。

对于正向指标：

对于逆向指标：

式(3)、(4)中，x′_i为第i个样本某个安全评估指标归一化后的数值，x_i为其归一化前的数值，x_max和x_min分别为所有样本中该安全评估指标的最大值和最小值。

请见图3，本实施例中，按照综合安全态势评估模型对终端安全状态进行全面评估，其具体实现包括以下子步骤：

步骤4.1：选取参考序列；

设有m个安全评估指标，n个样本，则原始数据样本序列记为：

X₀＝(x₀₁,x₀₂,…,x_0m) (5)

选取各安全评估指标的最优值组成参考序列：

X_i＝(x_i1,x_i2,…,x_im) (6)

步骤4.2：计算差序列并确定差序列的最大值和最小值；

计算每个样本原始数据样本序列与参考序列的中每个元素的绝对差值形成差序列，即：

|x₀(j)-x_i(j)| (7)

取差序列的最大值max_imax_j|x₀(j)-x_i(j)|和最小值min_imin_j|x₀(j)-x_i(j)|；

步骤4.3：计算各安全评估指标关联系数ξ(j)；

式(8)中，ρ为分辨系数，取值范围为(0,1)，通常取值为0.5。

步骤4.4：结合熵权法和层次分析法计算各安全评估指标权重；

由熵权法和层次分析法分别计算出熵权法和层次分析法(AHP法)下各安全评估指标权重后，按

计算最终各安全评估指标组合权重；

式(9)中w_i为熵权法计算得到各指标的权重，h_i为AHP法计算得到各指标的权重，α_i为指标最终权重；其中层次分析法层次模型见下表1：

表1层次分析法层次模型

步骤4.5：计算样本对参考样本的关联度；

步骤4.6：按拟定的风险等级分级确定样本关联度所属区间，确定评价结果；

本实施例中，电力工控终端在线安全风险程度随关联度的降低而增大；根据关联度的数值范围，将安全风险等级划分为六个等级，分别是0、1、2、3、4、5级，每个安全风险等级的关联度数值范围下表2所示，等级越高，安全风险越大；其中0级表示终端状态安全；1级为普通防护等级，需保持关注，若在一定时间内评估等级未下降，进一步提取评估指标值，进行针对性安全操作；3级为一般防护等级，需保持关注，若在一定时间内评估等级未下降且进行安全干预后仍未发生变化，在保证系统功能正常情况下进行重启；5级为增强防护等级，需快速、准确地将该危险终端进行隔离或直接切除，将故障的影响范围限制到最小，有效防止故障继续扩大；2级介于1级和3级之间，4级介于3级和5级之间。

表2安全风险等级的关联度数值范围表

本实施例还提供了一种电力工控终端在线安全态势评估系统，包括终端监测指标提取模块、终端安全状态评估指标获取模块、安全评估指标数据预处理模块、终端安全状态评估模块；

其中终端监测指标提取模块，用于根据监测指标体系提取终端监测指标，包括运行状态监测指标、业务流量监测指标以及异常行为监测指标；运行状态监测指标用于表征终端的软硬件运行状态和网络通信状态，业务流量监测指标用于表征终端通信流量特征，异常行为监测指标用于表征通信报文语义、语法特征和终端行为特征；

终端安全状态评估指标获取模块，用于获得表征终端安全状态的评估指标，包括运行状态安全评估指标、业务流量安全评估指标、异常行为安全评估指标；

安全评估指标数据预处理模块，用于对各安全评估指标数据进行预处理；

终端安全状态评估模块，用于对终端安全状态进行全面评估，确定终端态势评估结果。

应当理解的是，本说明书未详细阐述的部分均属于现有技术；上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。

Claims

1.一种电力工控终端在线安全态势评估方法，其特征在于，包括以下步骤：

步骤3：对各安全评估指标数据进行预处理；

2.根据权利要求1所述的电力工控终端在线安全态势评估方法，其特征在于：所述运行状态监测指标包括硬件运行状态、软件运行状态和网络通信状态；其中，所述硬件运行状态包括设备外联状态、本地接口状态、功耗；所述软件运行状态包括软件端口状态；所述网络通信状态包括联通性、时延。

3.根据权利要求1所述的电力工控终端在线安全态势评估方法，其特征在于：所述业务流量监测指标包括流量时域特征与流量带宽特征；其中，所述流量时域特征包括频率、周期、间隔。

4.根据权利要求1所述的电力工控终端在线安全态势评估方法，其特征在于：所述异常行为监测指标包括报文语法特征、报文语义特征、重要文件更改信息、系统调用时序状态、内核变量信息状态、系统调用频度状态、进程堆栈状态和内存使用状态。

5.根据权利要求1所述的电力工控终端在线安全态势评估方法，其特征在于：步骤2中，基于K-means的运行状态安全分析方法获得表征终端运行状态安全评估指标D；

基于机器学习的业务流量安全分析方法得到业务流量安全评估指标δ；

式(1)中δ表示流量波动率，Q_now表示当前时域频次，Q_Normal表示历史同期时域频次；

基于协议语法合规性检查、业务行为异常评估方法和基于机器学习的恶意代码检测方法的异常行为安全分析方法得到异常行为安全评估指标M1、M2、M3、M4和B；

其中，协议语法合规性检查通过对Tag长度、Length长度、Value长度以及实际数据长度进行严格的ASN.1语法检查，判断捕获报文是否合规；同时对此类攻击行为时域频次进行统计，统计值为M1；

业务行为异常评估方法包括基于IEC61850数据模型的上下文数据长度检查方法、基于业务源地址的白名单访问控制方法和GOOSE配置信息核查方法，分别对业务报文的上下文数据集、业务关联源地址和GOOSE配置数据集进行检查，判断终端通信报文是否异常，分别统计得到时域频次M2、M3和M4；

基于机器学习的恶意代码检测方法在构建的恶意代码训练集基础上进行特征提取，然后按照加权信息增益对提取特征降序排序，选取有效特征，进行分类学习；然后根据每个待测代码是否包含训练部分选择的有效特征，构成一个布尔向量空间，采用随即森林的分类算法对该向量空间进行分析，判断终端是否为遭受恶意代码，并统计恶意代码行为的时域频次B，将其用于终端的安全态势感知；

式(2)中，T为单位时间，N为T时间内检测恶意代码数量。

6.根据权利要求5所述的电力工控终端在线安全态势评估方法，其特征在于：步骤3中，正向指标为业务流量安全评估指标，即流量波动率δ；逆向指标为运行状态安全评估指标和异常行为安全评估指标，即D、M1、M2、M3、M4和B；

采用极差标准化变化法对各安全评估指标值进行标准化处理；

对于正向指标：

对于逆向指标：

7.根据权利要求5所述的电力工控终端在线安全态势评估方法，其特征在于：步骤4中按照综合安全态势评估模型对终端安全状态进行全面评估，其具体实现包括以下子步骤：

步骤4.1：选取参考序列；

X₀＝(x₀₁，x₀₂，...，x_0m) (5)

选取各安全评估指标的最优值组成参考序列：

X_i＝(x_i1，x_i2，...，x_im) (6)步骤4.2：计算差序列并确定差序列的最大值和最小值；

|x₀(j)-x_i(j)| (7)

步骤4.3：计算各安全评估指标关联系数ξ(j)；

式(8)中，ρ为分辨系数，取值范围为(0，1)；

由熵权法和层次分析法分别计算出熵权法和层次分析法下各安全评估指标权重后，按

计算最终各安全评估指标组合权重；

式(9)中w_i为熵权法计算得到各指标的权重，h_i为层次分析法计算得到各指标的权重，α_i为指标最终权重；

步骤4.5：计算样本对参考样本的关联度；

步骤4.6：按拟定的风险等级分级确定样本关联度所属区间，确定评价结果。

8.根据权利要求7所述的电力工控终端在线安全态势评估方法，其特征在于：步骤4.6中，电力工控终端在线安全风险程度随关联度的降低而增大；根据关联度的数值范围，将安全风险等级划分为六个等级，分别是0、1、2、3、4、5级，等级越高，安全风险越大；其中0级表示终端状态安全；1级为普通防护等级，需保持关注，若在一定时间内评估等级未下降，进一步提取评估指标值，进行针对性安全操作；3级为一般防护等级，需保持关注，若在一定时间内评估等级未下降且进行安全干预后仍未发生变化，在保证系统功能正常情况下进行重启；5级为增强防护等级，需快速、准确地将该危险终端进行隔离或直接切除，将故障的影响范围限制到最小，有效防止故障继续扩大；2级介于1级和3级之间，4级介于3级和5级之间。

9.一种电力工控终端在线安全态势评估系统，其特征在于：包括终端监测指标提取模块、终端安全状态评估指标获取模块、安全评估指标数据预处理模块、终端安全状态评估模块；