CN113162904A - 一种基于概率图模型的电力监控系统网络安全告警评估方法 - Google Patents
一种基于概率图模型的电力监控系统网络安全告警评估方法 Download PDFInfo
- Publication number
- CN113162904A CN113162904A CN202110173001.6A CN202110173001A CN113162904A CN 113162904 A CN113162904 A CN 113162904A CN 202110173001 A CN202110173001 A CN 202110173001A CN 113162904 A CN113162904 A CN 113162904A
- Authority
- CN
- China
- Prior art keywords
- alarm
- monitoring system
- power monitoring
- network security
- similarity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于概率图模型的电力监控系统网络安全告警评估方法,属于电力监控系统网络安全技术领域,包括原始告警数据合并筛选,形成电力监控系统特征告警序列,提取特征向量,制作概率模型和电力监控系统网络安全告警威胁判断步骤。本发明能够快速的从海量的电力监控系统网络安全告警中识别真正具有高威胁的告警,为下一步应急响应以及业务系统快速恢复具有非常重要的意义。
Description
技术领域
本发明涉及电力监控系统网络安全技术领域,具体为一种基于概率图模型的电力监控系统网络安全告警评估方法。
背景技术
随着电网技术的发展,电力生产环境对自动化系统使用越来越广泛,电力监控系统在实际生产中发挥了越来越重要的作用,电力监控系统一旦发生网络安全事件可能会引起不可估量的损失,攻击伊朗核设施的震网事件、乌克兰西部地区遭受网络安全发生电网大面积停电事件和委内瑞拉电力系统受到网络安全事件而造成的多次大面积停电等,都在提醒我们电力监控系统正面临着严重的网络安全风险。因此各个电力企业逐步建立电力监控系统网络安全管理平台或者态势感知系统,但是这些类似的系统中每天都会产生海量的网络安全告警,这些告警远远超出了各个电力企业安全运维人员的排查能力,而在这些告警中,真正有威胁的(即代表系统真正被黑客攻击的)告警所占的比例却非常小。因此,为了减轻运维人员排查告警的压力,提高对安全威胁的发现能力,保障电力监控系统能够及时有效应对各类网络安全风险,需要对安全设备产生的告警日志进行进一步的分析,筛选出关键的具有高威胁度的告警。
发明内容
有鉴于背景技术中上述缺陷,本发明提供一种基于概率图模型的电力监控系统网络安全告警评估方法以解决背景技术中的问题。
电力监控系统,为了从海量告警中筛选出真正具有高威胁度的告警,运维人员基于告警的特征制定了一系列的筛选策略,例如重点关注高中风险等级的告警、特定防护规则的告警、敏感业务系统的告警、恶意源IP触发的告警等。但是在真实的运维环境中,以上的筛选策略取得的效果都很有限。究其原因,主要是因为以上的筛选策略所参考的特征并不能有效描述告警的威胁度。在实际的运维场景中,运维人员在告警排查处置的过程中最关注的部分就是告警的攻击载荷。攻击行为信息包含在告警的攻击载荷中。因此为了筛选出具有高威胁度的告警,需要重点考虑攻击载荷中包含的特征信息。
告警的攻击载荷中包含着攻击者所使用的攻击手法,使用的攻击工具等特征,例如文件路径、IP、域名、URL、操作系统命令、脚本函数、SQL语句、系统表名称等。在实际的网络环境中,由于业务种类,通信协议等不同,告警的攻击载荷结构也千变万化。因此告警的攻击载荷是非结构化的文本数据。在现有的工作中,自然语言处理(NLP)技术为非结构化文本数据提供了多种处理方法。通过分词,Doc2vec等技术,可以将攻击载荷转化为向量化表示。
在实践中,以上方法在处理告警的攻击载荷数据的过程中往往会失效,所得到的向量化表示仍然无法有效的表征告警的特征。其原因在于,自然语言处理技术无法真正“理解”攻击者的攻击意图和所采用的攻击技术。也就是说,基于NLP方法得到的告警的向量化表示更多的利用了原始攻击载荷的统计特征。这些统计特征不能有效的描述告警中所包含的攻击技术。因此,在提取特征的过程中要引入专家知识,使得特征提取算法能够真正“理解”告警。
在告警特征提取的过程中需要引入大量的安全专家知识,才能够有效提取出攻击载荷的特征。而引入专家知识需要由安全专家提供特征提取的正则式,正所谓人工智能还得人工来做。也就是说,特征提取过程相当于专家知识的引入过程。这一步对后续的告警评估效果影响巨大。专家知识引入的越多,准确度越高,后续告警评估的效果越好。
在真实的电力监控系统网络环境中,大部分的安全设备告警都是低危告警,真正有威胁的告警所占的比例非常小。低危告警往往是由扫描探测等行为产生。扫描探测一般会采用自动化工具来完成,因此这类工具对不同的主机进行扫描探测过程中所产生的告警往往具有相似的攻击载荷特征。而对于真正的攻击而言,攻击者为了攻破某一特定的主机,往往会采用一些比较独特的攻击技术。这样这类攻击所产生的告警,其攻击载荷的特征也会比较独特。因此根据告警攻击载荷特征的独特性可以对告警进行评估。告警特征越独特,其威胁度也就越高。
特征提取:如前所述,采用正则式匹配的方法提取每一条告警的攻击载荷特征,提取以后的特征经过编码,得到特征向量。
告警聚合:将告警按照源ip,目的ip,目的端口进行聚合,得到告警序列。每个序列中的告警代表着从一个源ip到一个目标ip攻击者所采取的攻击行为。这里可以认为攻击行为由一系列的特征向量所描述。
相似度分析:对聚合以后的每个告警序列之间进行相似度分析,检测序列之间的相似度的大小。这里需要选择一个测度,对任意两个告警序列进行相似度评估。根据测度找出与其他序列相似度较低的告警序列。这些告警序列中的告警被设定为高危告警。
在上述的第三步中,需要对告警序列的相似度进行评估。而每一个告警序列由一系列的特征向量组成,而且告警序列的长度各不相同,也就是说告警序列中特征向量的数量各不相同。因此需要一种能够比较两个告警序列相似度的方法。一种可行的方法是对于两个告警序列,分别对其中的特征向量进行相似度比较,记录特征向量相似度的值,然后取相似度的统计值,例如最小值,中位数,平均值等,作为告警序列的相似度。
由于图模型能够清晰地表征实体之间关联和相似的关系,因此在具体的告警评估的过程中,可以采用图模型来辅助告警序列相似度的评估。图模型由顶点和边构成。在本问题中,可以将告警序列设定为顶点,然后根据序列的相似度来构建边。选定一个相似度的阈值k,如果用上面的方法计算得到的两个序列之间的相似度大于该阈值,则在这两个序列对应的顶点之间建立一条边。
每个顶点的度是不相同的,这表示相应的告警序列之间相似性的差异。在实际的企业内网告警数据生成的图中,会有很多孤立的顶点,也就是度为0的顶点。这些顶点对应的告警序列与其他的序列的相似度非常低,因此可以认为这些序列中包含的告警具有更高的威胁度。另外,度比较低的顶点,其对应的告警序列中的告警同样具有较高的威胁度。通过以上方法,即可以筛选出具有较高威胁度的告警。
具体地,为实现上述目的,本发明提供一种基于概率图模型的电力监控系统网络安全告警评估方法,包括以下步骤:
S1、对电力监控系统网络安全管理平台原始警告进行分析;
S2、形成电力监控系统特征告警序列:使用聚类算法对告警信息的源IP地址、目的IP地址、目的端口、传输层协议和告警等级进行分级分类,同步结合电力监控系统网络安全管理平台及调控云平台设备资产台账得到IP对应的设备名称,进一步得到电力监控系统运行特性的告警序列;
S3、提取电力监控系统告警特征向量:使用正则表达式匹配的方法提取每一条电力监控系统网络安全告警的攻击载荷特征,经过编码后得到特征向量;
S4、对特征向量进行相似度比较;
S5、制作概率图模型:以告警序列为顶点,序列之间的相似度为边,设定相似度阈值为k,任意两个告警序列之间的相似度大于k则建立一条边;
S6、通过告警威胁的概率图模型判断告警威胁大小。
在本发明的另一实施例中,所述步骤S3包括:在告警特征提取的过程中需要引入安全专家知识。
在本发明的另一实施例中,所述步骤S2中:将告警按照源IP地址、目的IP地址、和目的端口进行聚合得到告警序列;每个所述告警序列中的告警代表着从一个源IP地址到一个目的IP地址的攻击者所采取的攻击行为。
在本发明的另一实施例中,取相似度的统计值作为告警序列的相似度。
相对于现有技术,本发明的优点在于:减轻了运维人员排查告警的压力,提高了对安全威胁的发现能力,保障了电力监控系统能够及时有效应对各类网络安全风险,能够筛选出关键的具有高威胁度的告警。
附图说明
图1是本发明实施例中一种基于概率图模型的电力监控系统网络安全告警评估方法的流程图。
图2是本发明具体实施例中的概率图模型。
具体实施方式
如图1所示,本发明提供一种基于概率图模型的电力监控系统网络安全告警评估方法,包括以下步骤:
S1、对电力监控系统网络安全管理平台原始警告进行分析;
包括对电力监控系统网络安全原始告警数据合并筛选;
S2、形成电力监控系统特征告警序列;
使用聚类算法对告警信息的源IP地址、目的IP地址、目的端口、传输层协议和告警等级进行分级分类,同步结合电力监控系统网络安全管理平台及调控云平台设备资产台账得到IP对应的设备名称,进一步得到电力监控系统运行特性的告警序列;
S3、提取电力监控系统告警特征向量;
使用正则表达式匹配的方法提取每一条电力监控系统网络安全告警的攻击载荷特征,经过编码后得到特征向量;
S4、对特征向量进行相似度比较;
记录特征向量相似度,值越低表明告警威胁越大;
S5、制作概率图模型,以告警序列为顶点,序列之间的相似度为边,设定相似度阈值为k,任意两个告警序列之间的相似度大于k则建立一条边;
使用概率图模型来表征各个告警序列的关联和相似度,
S6、通过告警威胁的概率图模型判断告警威胁大小。
孤立的点表示与其他电力监控系统网络安全告警特征向量相似度非常低,则认为其具有更高的威胁。
本发明减轻了运维人员排查告警的压力,提高了对安全威胁的发现能力,保障了电力监控系统能够及时有效应对各类网络安全风险,能够筛选出关键的具有高威胁度的告警。
在本发明的另一实施例中,所述步骤S2中:将告警按照源IP地址、目的IP地址、和目的端口进行聚合得到告警序列;每个所述告警序列中的告警代表着从一个源IP地址到一个目的IP地址的攻击者所采取的攻击行为。
在本发明的另一实施例中,取相似度的统计值作为告警序列的相似度。
在本发明的具体实施例中,如图2所示,从告警设备名称、源IP地址、目的IP地址、目的端口、传输层协议五个维度给出了7个告警序列:主机A,源IP1,目的IP1,2204,104;主机B,源IP2,目的IP2,3306,104;主机C,源IP3,目的IP3,1234,104;主机D,源IP4,目的IP4,2666,61850;主机E,源IP5,目的IP5,3223,61850;主机F,源IP6,目的IP6,3555,61850;主机G,源IP7,目的IP7,4455,61850。以告警序列为顶点,序列之间的相似度为边,绘制了图2中的概率图模型图。连接主机B,源IP2,目的IP2,3306,104和主机E,源IP5,目的IP5,3223,61850这2个告警序列的为两条边,连接其他5个告警序列为3条边以上;因此相对而言主机B,源IP2,目的IP2,3306,104和主机E,源IP5,目的IP5,3223,61850这2个告警序列具有较高的威胁。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (4)
1.一种基于概率图模型的电力监控系统网络安全告警评估方法,其特征是,包括以下步骤:
S1、对电力监控系统网络安全管理平台原始警告进行分析;
S2、形成电力监控系统特征告警序列:使用聚类算法对告警信息的源IP地址、目的IP地址、目的端口、传输层协议和告警等级进行分级分类,同步结合电力监控系统网络安全管理平台及调控云平台设备资产台账得到IP对应的设备名称,进一步得到电力监控系统运行特性的告警序列;
S3、提取电力监控系统告警特征向量:使用正则表达式匹配的方法提取每一条电力监控系统网络安全告警的攻击载荷特征,经过编码后得到特征向量;
S4、对特征向量进行相似度比较;
S5、制作概率图模型:以告警序列为顶点,序列之间的相似度为边,设定相似度阈值为k,任意两个告警序列之间的相似度大于k则建立一条边;
S6、通过告警威胁的概率图模型判断告警威胁大小。
2.如权利要求1所述的基于概率图模型的电力监控系统网络安全告警评估方法,其特征是,所述步骤S3包括:在告警特征提取的过程中需要引入安全专家知识。
3.如权利要求1所述的基于概率图模型的电力监控系统网络安全告警评估方法,其特征是,所述步骤S2中:将告警按照源IP地址、目的IP地址、和目的端口进行聚合得到告警序列;每个所述告警序列中的告警代表着从一个源IP地址到一个目的IP地址的攻击者所采取的攻击行为。
4.如权利要求1所述的基于概率图模型的电力监控系统网络安全告警评估方法,其特征是,取相似度的统计值作为告警序列的相似度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110173001.6A CN113162904B (zh) | 2021-02-08 | 2021-02-08 | 一种基于概率图模型的电力监控系统网络安全告警评估方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110173001.6A CN113162904B (zh) | 2021-02-08 | 2021-02-08 | 一种基于概率图模型的电力监控系统网络安全告警评估方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113162904A true CN113162904A (zh) | 2021-07-23 |
| CN113162904B CN113162904B (zh) | 2022-11-08 |
Family
ID=76883032
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110173001.6A Active CN113162904B (zh) | 2021-02-08 | 2021-02-08 | 一种基于概率图模型的电力监控系统网络安全告警评估方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113162904B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116915507A (zh) * | 2023-09-12 | 2023-10-20 | 奇安星城网络安全运营服务(长沙)有限公司 | 基于安全信号匹配的计算机网络安全分析系统 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105471623A (zh) * | 2015-11-16 | 2016-04-06 | 中国烟草总公司江苏省公司 | 一种基于模糊场景的关键ip地址安全报警关联分析方法 |
| CN109922069A (zh) * | 2019-03-13 | 2019-06-21 | 中国科学技术大学 | 高级持续性威胁的多维关联分析方法及系统 |
| CN110213077A (zh) * | 2019-04-18 | 2019-09-06 | 国家电网有限公司 | 一种确定电力监控系统安全事件的方法、装置及系统 |
| CN110460558A (zh) * | 2018-05-07 | 2019-11-15 | 南京联成科技发展股份有限公司 | 一种基于可视化的攻击模型发现的方法及系统 |
| US20190379700A1 (en) * | 2018-06-12 | 2019-12-12 | Netskope, Inc. | Systems and methods for alert prioritization using security events graph |
| CN110650156A (zh) * | 2019-10-23 | 2020-01-03 | 北京天融信网络安全技术有限公司 | 网络实体的关系聚类方法、装置及网络事件的识别方法 |
| CN110839019A (zh) * | 2019-10-24 | 2020-02-25 | 国网福建省电力有限公司 | 一种面向电力监控系统的网络安全威胁溯源方法 |
| CN111787000A (zh) * | 2020-06-30 | 2020-10-16 | 绿盟科技集团股份有限公司 | 网络安全评估方法及电子设备 |
| CN112101617A (zh) * | 2020-08-11 | 2020-12-18 | 复旦大学 | 基于层次图卷积的电网故障严重程度预测方法 |
| CN112118141A (zh) * | 2020-09-21 | 2020-12-22 | 中山大学 | 面向通信网络的告警事件关联压缩方法及装置 |
| CN112163682A (zh) * | 2020-10-19 | 2021-01-01 | 北京邮电大学 | 一种基于信息差异图模型的电力调度自动化系统故障溯源方法 |
-
2021
- 2021-02-08 CN CN202110173001.6A patent/CN113162904B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105471623A (zh) * | 2015-11-16 | 2016-04-06 | 中国烟草总公司江苏省公司 | 一种基于模糊场景的关键ip地址安全报警关联分析方法 |
| CN110460558A (zh) * | 2018-05-07 | 2019-11-15 | 南京联成科技发展股份有限公司 | 一种基于可视化的攻击模型发现的方法及系统 |
| US20190379700A1 (en) * | 2018-06-12 | 2019-12-12 | Netskope, Inc. | Systems and methods for alert prioritization using security events graph |
| CN109922069A (zh) * | 2019-03-13 | 2019-06-21 | 中国科学技术大学 | 高级持续性威胁的多维关联分析方法及系统 |
| CN110213077A (zh) * | 2019-04-18 | 2019-09-06 | 国家电网有限公司 | 一种确定电力监控系统安全事件的方法、装置及系统 |
| CN110650156A (zh) * | 2019-10-23 | 2020-01-03 | 北京天融信网络安全技术有限公司 | 网络实体的关系聚类方法、装置及网络事件的识别方法 |
| CN110839019A (zh) * | 2019-10-24 | 2020-02-25 | 国网福建省电力有限公司 | 一种面向电力监控系统的网络安全威胁溯源方法 |
| CN111787000A (zh) * | 2020-06-30 | 2020-10-16 | 绿盟科技集团股份有限公司 | 网络安全评估方法及电子设备 |
| CN112101617A (zh) * | 2020-08-11 | 2020-12-18 | 复旦大学 | 基于层次图卷积的电网故障严重程度预测方法 |
| CN112118141A (zh) * | 2020-09-21 | 2020-12-22 | 中山大学 | 面向通信网络的告警事件关联压缩方法及装置 |
| CN112163682A (zh) * | 2020-10-19 | 2021-01-01 | 北京邮电大学 | 一种基于信息差异图模型的电力调度自动化系统故障溯源方法 |
Non-Patent Citations (1)
| Title |
|---|
| 鲁显光: "基于改进FP growth的告警关联算法", 《计算机科学》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116915507A (zh) * | 2023-09-12 | 2023-10-20 | 奇安星城网络安全运营服务(长沙)有限公司 | 基于安全信号匹配的计算机网络安全分析系统 |
| CN116915507B (zh) * | 2023-09-12 | 2023-12-05 | 奇安星城网络安全运营服务(长沙)有限公司 | 基于安全信号匹配的计算机网络安全分析系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113162904B (zh) | 2022-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Feng et al. | Multi-level anomaly detection in industrial control systems via package signatures and LSTM networks | |
| CN107528832B (zh) | 一种面向系统日志的基线构建与未知异常行为检测方法 | |
| CN103441982A (zh) | 一种基于相对熵的入侵报警分析方法 | |
| CN105009132A (zh) | 基于置信因子的事件关联 | |
| CN116781430B (zh) | 用于燃气管网的网络信息安全系统及其方法 | |
| CN113094707B (zh) | 一种基于异质图网络的横向移动攻击检测方法及系统 | |
| CN113904881B (zh) | 一种入侵检测规则误报处理方法和装置 | |
| Liu et al. | Multi-step attack scenarios mining based on neural network and Bayesian network attack graph | |
| CN111935099A (zh) | 一种基于深度降噪自编码网络的恶意域名检测方法 | |
| CN113162904B (zh) | 一种基于概率图模型的电力监控系统网络安全告警评估方法 | |
| Nathiya et al. | An effective way of cloud intrusion detection system using decision tree, support vector machine and Naïve bayes algorithm | |
| CN114598514A (zh) | 工控威胁检测方法及装置 | |
| CN111709021B (zh) | 一种基于海量告警的攻击事件识别方法及电子装置 | |
| CN112839029B (zh) | 一种僵尸网络活跃度的分析方法与系统 | |
| CN113032774B (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 | |
| Tian et al. | Network attack path reconstruction based on similarity computation | |
| Zhang et al. | Hybrid intrusion detection based on data mining | |
| Ukil | Application of Kolmogorov complexity in anomaly detection | |
| US20240129325A1 (en) | Network intrusion detecting system and network intrusion detecting method | |
| CN117544420B (zh) | 一种基于数据分析的融合系统安全管理方法及系统 | |
| KR102595383B1 (ko) | 시그니처 기반 이상 탐지 방법과 행위 기반 이상 탐지 방법을 조합한 하이브리드 이상 탐지 방법 | |
| Meinig et al. | Rough Logs: A Data Reduction Approach for Log Files. | |
| CN114157514B (zh) | 一种多路ids集成检测方法和装置 | |
| CN117640206A (zh) | 一种融合局部和全局异常检测的失陷主机识别方法 | |
| Sharma et al. | Intelligent Model for Network Attack Identification [J] |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |