CN112165470A

CN112165470A - 一种基于日志大数据分析的智能终端接入安全预警系统

Info

Publication number: CN112165470A
Application number: CN202010984600.1A
Authority: CN
Inventors: 胡博; 雷振江; 李伟; 王大维; 杨超; 邸卓; 田小蕾; 李巍; 高萧; 毛洪涛; 孙岩; 曹国强; 杨卫东; 许海丰; 徐睿; 代作松; 刘坤; 伏广东
Original assignee: State Grid Corp of China SGCC; Electric Power Research Institute of State Grid Liaoning Electric Power Co Ltd; Nari Information and Communication Technology Co
Current assignee: State Grid Corp of China SGCC; Electric Power Research Institute of State Grid Liaoning Electric Power Co Ltd; Nari Information and Communication Technology Co
Priority date: 2020-09-18
Filing date: 2020-09-18
Publication date: 2021-01-01
Anticipated expiration: 2040-09-18
Also published as: CN112165470B

Abstract

一种基于日志大数据分析的智能终端接入安全预警系统属于电力信息系统技术领域，尤其涉及一种基于日志大数据分析的智能终端接入安全预警系统。本发明用于智能采集终端的安全预警，能够实现三方面的功能，分别是：内部失陷检测、外部攻击检测和内部违规检测。利用全流量威胁检测分析服务工具，采用大数据分析技术和高级网络攻防模型，对已采集的流量事件进行分析和研判，快速分析当前智能终端或系统是否已经被恶意者挂了webshell，内部是否存在反弹shell以及Redis服务的数量及详情等。

Description

一种基于日志大数据分析的智能终端接入安全预警系统

技术领域

本发明属于电力信息系统技术领域，尤其涉及一种基于日志大数据分析的智能终端接入安全预警系统。

背景技术

随着智能电网、全球能源互联网、“互联网+电力”的全面实施，分布式能源、新能源、电力交易、智能用电等新业务不断涌现，智能电网和用户双向互动性增强，智能采集终端和移动作业终端的广泛接入，对智能电网的发展提出了新的安全问题。智能终端呈现出分布广、种类多、接入方式复杂、统一防护困难等特点，容易遭受病毒、木马、系统漏洞、匿名访问等安全攻击，存在“一点突破，影响全网”的风险，对以物理防护为主的电网安全防御体系带来了挑战。

目前信息安全、网络攻击检测和预警系统能够从网络行为中检测出异常行为，但还没有适用于电力行业智能采集终端和移动作业终端的相关方案，基于日志大数据分析的智能终端接入安全预警系统对安全事件的不同阶段进行分析和预警，及时发现监控链路、内外网主机或应用通信的异常变化，并可根据网络链路流量特点和当前安全形势，调整各种警报的参数以发现最新的安全隐患。真实模拟文件的运行环境，充分激发和全面捕捉样本文件的多种动作行为，准确识别通过各种途径传递的文件中含有的未知攻击或恶意代码。通过专门的关联分析模块对所有检测模块的检测结果进行集中关联查询和展示。

发明内容

本发明用于智能采集终端的安全预警，能够实现三方面的功能，分别是：内部失陷检测、外部攻击检测和内部违规检测。

4.1)内部失陷检测

利用全流量威胁检测分析服务工具，采用大数据分析技术和高级网络攻防模型，对已采集的流量事件进行分析和研判，快速分析当前智能终端或系统是否已经被恶意者挂了webshell，内部是否存在反弹shell以及Redis服务的数量及详情等。

4.2)外部攻击检测

外部攻击检测主要是攻击态势分析，可以发现内部服务器受到攻击的总体情况，提供整体攻击类型的态势分布、每种攻击手段的详细信息和攻击的结果(攻击告警、攻陷和提示)。

4.3)内部违规检测

内部违规检测包括多个方面。

4.3.1)威胁情报告警:可发现有实际行为的IOC告警行为，内部网络受害者的详细信息，包括目的地址、域名、URL、请求方式、访问时间等信息。

4.3.2)暴露面检测:可以快速的分析出当前网络内的非法攻击面的信息，主要包括攻击面的统计信息、各种开放端口的统计信息、新增攻击面信息、攻击面变更信息、攻击面的详细信息(服务器IP、端口、服务类型)。

4.3.3)非法外联:可提供内部网络详细的非法外联信息，包括非法外联的目的IP物理地址、非法外联事件的历史趋势、以及非法外联事件的详细时间、源IP、目的IP、端口等信息。源IP、目的IP、端口等信息。

4.3.4)恶意DNS分析发现:提供内部网络请求的DNS监控与分析，结合云端威胁情报，分析出内部DNS的信誉度情况，发现内部存在的恶意DNS的请求。

4.3.5)ACL梳理:可分析出当前网络内现有的所有IP的访问关系，包括源IP到目的IP不同端口的访问关系。

4.3.6)弱口令:可通过主动和被动的方式分析发现内部服务器的弱口令的状态，主要报告弱口令总数、被动统计发现的次数、字典匹配发现的次数和主动发现的次数。

4.3.7)异常登录:可发现内部服务器的异常登录行为，主要包括外部登录内部服务器异常详细情况(外部IP、IP归属地、内部服务器IP、协议、访问时间)、异地登录详细情况(用户、常用登录地点、异地登录地点和发现的时间)、非工作时间登录详细情况(来源IP、IP归属地、目的IP、协议和访问时间)等。

4.3.8)非常规服务分析:可提供内部网络非常规服务的检测和发现，如远程控制服务、代理服务等，主要包括Regeory Tunnel、HTTP代理、SOCKS代理、Teamview/IRC等服务的检测和发现。

为了实现以上目标功能，本发明针对智能终端日志大数据利用层次分析法对入侵行为进行分析和判断，该发明在逻辑上分为指标体系层、权重赋予层和评价层。

指标体系层的主要功能包括：

按照网络链路流量特点和智能采集终端和移动作业段信息安全攻击行为及趋势(图1)建立分析指标体系，包括攻击来源、攻击态势、攻击规律、攻击结果、攻击类型、供给关系攻击发起者和攻击部位；

通过统一标准与规范，对指标体系中的各指标进行实时信息采集与处理；

权重赋予层的主要功能包括：

基于各指标权重对影响智能终端和移动作业端运行状态的各影响因素的重要程度进行评估，并对其进行相应的维护。

基于对终端设备历史数据的采集及统计分析，实现对各指标重要程度的趋势性分析及预测。

评价层的主要功能包括：

设备评价功能通过对设备历史运行状态的评价，实现对设备状态的管理，及时对入侵行为进行分析和判断。

智能终端接入安全预警系统以指标层次体系为基础，通过指标权值对安全事件的等级和攻击行为进行评价。通过系统实际运行的数据，结合业务需求，为电网安全事件的设计评估、终端设备的优化、系统实用化提供辅助，所述方法包括下述步骤：

(1)经过调研智能采集终端和移动作业端信息安全攻击行为及趋势的日志内容，发现目前安全预警缺少有效的验证手段等问题并通过数据抽取及集成软件进行数据采集与预处理；

(2)建立安全等级、安全预警系统指标；

(3)根据评价对象的情况，将各个评价因素分类组合，形成一种包括目标层、准则层和评价对象层的层次结构；

(4)通过专家组对指标的两两比较建立比较判断矩阵，输入指标数据，由判断矩阵计算相对权重系数，并进行一致性检验；具体如下：

1)使用数量化的相对权重q_ij来描述第i个元素与第j个元素相对上一层因素的重要性。

2)成对比较矩阵中q_ij的取值按下述标度进行赋值。q_ij将在1-9及其倒数中间取值：

q_ij＝1，表示元素i和元素j对上一层次因素具有相同的重要性；

q_ij＝3，表示元素i比元素j稍微重要；

q_ij＝5，表示元素i比元素j更重要；

q_ij＝7，表示元素i比元素j重要很多；

q_ij＝9，表示元素i比元素j显得极其重要；

q_ij＝2n，n＝1,2,3，元素i与j的重要性介于q_ij＝2n-1与q_ij＝2n+1之间；

q_ij＝1/n，n＝1,2,...,9，当且仅当q_ij＝n。最终得出判断矩阵。

3)求解矩阵最大特征值对应的应的特征向量并将其标准化，其中定义特征向量求解公式如下：

4)按照上述步骤迭代计算出各个子目标特征向量，并结合上一层判断矩阵向量求出加权平均和作为最终得分，从而实现对各影响因素的重要程度进行分析评估。

(5)分别对每个一级指标所分解的二级指标进行模糊综合评判，建立评价因素集、评语集、数值集和权重集。安全事件预警系统的评价因素集包括预警和预警时间、检测率和虚警率、通过率和过滤率。评语集包括安全、警告和危险。权重集为第四步中层次分析法所得出的各级指标权重；

(6)结合实际情况确定一级指标的汇总，由各评估主题得到综合评估矩阵并根据系统中的权重及矩阵数据，得出安全事件的最终评价。

本发明有益效果。

本发明提出了一种基于日志大数据分析的智能终端接入安全预警系统，可以用来监测智能终端信息交互中的异常行为，可以对异常行为进行深度解析，可以对入侵行为进行安全预警，可以对攻击进行追踪溯源，能够保障各类智能终端的接入安全，保障关键网络免受长期干扰、破坏或未授权访问，防止网络数据的被泄露、窃取或篡改。

本发明实现了从安全事件数据获取到安全事件等级报告的闭环流程，可以提供用于电力行业终端设备的安全预警评估。利用层次分析法，将不容易量化的指标通过模糊数学理论进行评价，提高了安全事件预警的准确度。

附图说明

下面结合附图和具体实施方式对本发明做进一步说明。本发明保护范围不仅局限于以下内容的表述。

图1电力行业智能采集终端和移动作业端信息安全攻击行为及趋势图

图2智能终端接入安全预警系统性能监测流程图

具体实施方式

如图所示，本实例根据日志数据选取弱口令、异常登录、远程控制三类事件进行安全预警等级的评价，分别选取请求方式、访问时间、源IP、目的IP、端口信息5个指标进行决策：

(1)根据指标数据构建判断矩阵：

(2)成对比较三类事件的请求方式，得出比较矩阵：

经计算，B₁的权向量：

w_x1(Y)＝(0.082,0.236,0.682)^z

同理可以得出三类事件在访问时间、源IP、目的IP、端口信息的比较矩阵：

(3)通过公式可计算得出相应的权向量分别为：

w_x2(Y)＝(0.606,0.265,0.129)^z

w_x3(Y)＝(0.429,0.429,0.143)^z

w_x4(Y)＝(0.636,0.185,0.179)^z

w_x5(Y)＝(0.167,0.167,0.667)^z

它们可分别视为各事件的访问时间、源IP、目的IP、端口信息得分。

(4)最后计算各事件的总得分：

w_z(y₁)＝∑5j＝1u_jw_xj(y₁)＝0.457*0.082+0.263*0.606+0.051*0.429+0.414*0.6

366+0.162*0.167＝0.305

由公式可知总得分实际上是各条件得分的加权平均，权重就是各条件的重要性。同时可得w_z(y₂)＝0.243，w_z(y₃)＝0.452

即安全等级评价结果为远程控制>弱口令>异常登录,并以此为依据建立安全预警系统。

可以理解的是，以上关于本发明的具体描述，仅用于说明本发明而并非受限于本发明实施例所描述的技术方案，本领域的普通技术人员应当理解，仍然可以对本发明进行修改或等同替换，以达到相同的技术效果；只要满足使用需要，都在本发明的保护范围之内。

Claims

1.一种基于日志大数据分析的智能终端接入安全预警系统，其特征在于包括内部失陷检测、外部攻击检测和内部违规检测；

1)内部失陷检测

利用全流量威胁检测分析服务工具，采用大数据分析技术和高级网络攻防模型，对已采集的流量事件进行分析和研判，快速分析当前智能终端或系统是否已经被恶意者挂了webshell，内部是否存在反弹shell以及Redis服务的数量及详情等；

2)外部攻击检测

外部攻击检测主要是攻击态势分析，可以发现内部服务器受到攻击的总体情况，提供整体攻击类型的态势分布、每种攻击手段的详细信息和攻击的结果（攻击告警、攻陷和提示）；

3)内部违规检测

内部违规检测包括多个方面；

3.1)威胁情报告警:可发现有实际行为的IOC告警行为，内部网络受害者的详细信息，包括目的地址、域名、URL、请求方式、访问时间等信息；

3.2)暴露面检测:可以快速的分析出当前网络内的非法攻击面的信息，主要包括攻击面的统计信息、各种开放端口的统计信息、新增攻击面信息、攻击面变更信息、攻击面的详细信息（服务器IP、端口、服务类型）；

3.3)非法外联:可提供内部网络详细的非法外联信息，包括非法外联的目的IP物理地址、非法外联事件的历史趋势、以及非法外联事件的详细时间、源IP、目的IP、端口等信息；

源IP、目的IP、端口等信息；

3.4)恶意DNS分析发现:提供内部网络请求的DNS监控与分析，结合云端威胁情报，分析出内部DNS的信誉度情况，发现内部存在的恶意DNS的请求；

3.5)ACL梳理:可分析出当前网络内现有的所有IP的访问关系，包括源IP到目的IP不同端口的访问关系；

3.6)弱口令:可通过主动和被动的方式分析发现内部服务器的弱口令的状态，主要报告弱口令总数、被动统计发现的次数、字典匹配发现的次数和主动发现的次数；

3.7)异常登录:可发现内部服务器的异常登录行为，主要包括外部登录内部服务器异常详细情况（外部IP、IP归属地、内部服务器IP、协议、访问时间）、异地登录详细情况（用户、常用登录地点、异地登录地点和发现的时间）、非工作时间登录详细情况（来源IP、IP归属地、目的IP、协议和访问时间）等；

3.8)非常规服务分析:可提供内部网络非常规服务的检测和发现，如远程控制服务、代理服务等，主要包括Regeory Tunnel、HTTP代理、SOCKS代理、Teamview/IRC等服务的检测和发现。