CN113691498A - 一种电力物联终端安全状态评估方法、装置及存储介质 - Google Patents

一种电力物联终端安全状态评估方法、装置及存储介质 Download PDF

Info

Publication number
CN113691498A
CN113691498A CN202110841157.7A CN202110841157A CN113691498A CN 113691498 A CN113691498 A CN 113691498A CN 202110841157 A CN202110841157 A CN 202110841157A CN 113691498 A CN113691498 A CN 113691498A
Authority
CN
China
Prior art keywords
alarm
safety
data
power internet
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110841157.7A
Other languages
English (en)
Other versions
CN113691498B (zh
Inventor
陈璐
邵志鹏
马媛媛
李尼格
陈牧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Shandong Electric Power Co Ltd
Global Energy Interconnection Research Institute
Original Assignee
State Grid Corp of China SGCC
State Grid Shandong Electric Power Co Ltd
Global Energy Interconnection Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Shandong Electric Power Co Ltd, Global Energy Interconnection Research Institute filed Critical State Grid Corp of China SGCC
Priority to CN202110841157.7A priority Critical patent/CN113691498B/zh
Publication of CN113691498A publication Critical patent/CN113691498A/zh
Application granted granted Critical
Publication of CN113691498B publication Critical patent/CN113691498B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Alarm Systems (AREA)

Abstract

本发明公开了一种电力物联终端安全状态评估方法、装置及存储介质,该方法包括:获取历史告警数据,生成预设格式的告警数据;对告警数据进行预处理,得到有效的告警数据;根据同源聚类分析和多源聚类分析对告警数据进行关联分析,得到告警对终端的威胁指数;根据威胁指数计算得到电力物联终端的安全指数。通过实施本发明,从数据预处理、告警事件威胁评估、安全指数计算的维度进行终端安全评估;计算电力物联终端动态运行时的异常指数,从而能够从海量重复无效告警中有效识别低安全终端。由此,该电力物联终端安全状态评估方法从客观上实现了对电力物联终端的安全评估。

Description

一种电力物联终端安全状态评估方法、装置及存储介质
技术领域
本发明涉及电力信息技术领域,具体涉及一种电力物联终端安全状态评估方法、装置及存储介质。
背景技术
近年来,电力物联网发展及安全形势变化,对网络安全尤其是物联终端安全提出新需求。针对终端的攻击类型复杂,而终端防护受限于自身条件和运行环境,难以做到万无一失,终端侧的安全防护能力尚未同步。物联网终端作为电力物联网的基层“信息采集者”和“指令执行者”,种类多数量大,风险暴露面广,极易遭受来自各方面的攻击。
目前,很多物联网终端操作系统、固件、业务应用等软件的设计和开发过程中并未做任何安全考虑,导致软件存在编码或者逻辑方面的安全漏洞和缺陷,可以使攻击者在未授权的情况下非法利用或破坏。电力物联终端中存储的用户身份、电力运维数据、电网管理数据等大量重要信息使其具有巨大的攻击价值。目前电力物联终端大多采用Linux操作系统,由于其开源性等特征在增强其功能和提升应用灵活性的同时也为系统漏洞、恶意应用等多种类型的攻击提供了渠道。
目前电力系统已有一些监测技术和手段支撑物联终端的数据采集与监测,但仍存在一些问题尚待解决:
(1)监测数据格式繁杂,统一存储处理难度加大。监测数据来源于不同的数据采集源,而这些数据往往具有完全不同的格式字段,这给数据的存储造成了很大的困难。并且原始数据中存在大量的噪声、大量的缺失字段如何处理、如何处理数据使得其适合于后续分析、从不同数据源采集来的不同的数据记录很可能是冗余记录等问题都对后续进一步的安全分析带来了巨大的挑战。
(2)大规模数据采集上传面临性能挑战,无效数据传输占比大。对于监测数据分析,现有的工作主要是面向终端监测产生的系统调用、信息流等数据进行分析,其所考虑的检测环境主要是在实验环境下发现一个或几个应用是否为恶意应用。而在电力物联安全监测的环境下,监测对象是全国各个省的海量实际运行终端,大规模的采集上传这些数据是不现实的,主要监测的是终端应用可能表现出来的一些违规或异常行为,以及终端安全监测模块自身产生的状态数据或异常事件。
(3)存在大量历史重复无效告警,依靠人工方式无法解决。安全监测告警数据大量重复,面对海量数据,依靠人工解决方式不现实,现有的分析方法无法基于这些告警数据进行分析,从而识别告警数据背后所隐含的恶意行为。
由此,如何实现电力物联网终端中告警数据的有效处理与分析,并根据对告警数据的分析对电力物联网终端进行安全评估成为电力信息技术领域一个亟待解决的技术难题。
发明内容
有鉴于此,本发明实施例提供了涉及一种电力物联终端安全状态评估方法、装置及存储介质,以解决现有技术中如何基于海量告警数据实现对电力物联终端的评估。
本发明提出的技术方案如下:
本发明实施例第一方面提供一种电力物联终端安全状态评估方法,包括:获取历史告警数据,生成预设格式的告警数据;对所述告警数据进行预处理,得到有效的告警数据;根据同源聚类分析和多源聚类分析对告警数据进行关联分析,得到告警对终端的威胁指数;根据所述威胁指数计算得到电力物联终端的安全指数。
可选地,对所述告警数据进行预处理,得到有效的告警数据,包括:对所述告警数据进行无效告警删除、误告警删除,得到有效的告警数据,所述无效告警删除包括不规范数据删除以及重复告警数据删除,所述误告警删除包括周期性告警删除以及频繁告警序列删除。
可选地,所述周期性告警删除包括:将有效的告警进行分类,确定大于阈值的告警类型和告警设备;根据所述告警设备预设时间内产生的对应所述告警类型的告警数量构建时间序列;对所述时间序列进行自相关分析和离散傅里叶变换,确定各个频率的能量密度函数;根据所述能量密度函数确定所述时间序列的周期;根据所述周期对所述告警类型和告警设备进行判断,当所述告警类型和告警设备间隔所述周期出现时,将所述告警类型和告警设备作为周期性告警删除。
可选地,所述频繁告警序列删除包括:获取预设个数的电力物联终端在预设时间内产生的最短告警序列;根据所述最短告警序列中所有序列的子序列的并集计算存在子序列的电力物联终端占电力物联终端总数的比值;当所述比值大于预设阈值时进行频繁告警序列删除。
可选地,该电力物联终端安全状态评估方法还包括:根据不属于周期性告警的数据和属于频繁告警的数据形成规则库;将预设格式的告警数据和所述规则库中的数据进行匹配;根据匹配成功的数据形成有效的告警数据。
可选地,根据同源聚类分析和多源聚类分析对告警数据进行关联分析,得到告警对终端的威胁指数,包括:根据同源聚类分析,确定每个终端出现每种类型告警的数量;根据多源聚类分析,确定出现每种类型告警的次数以及出现每种类型告警的终端数;根据每个终端出现每种类型告警的数量、出现每种类型告警的次数以及出现每种类型告警的终端数计算告警对终端的威胁指数。
可选地,根据所述威胁指数计算得到电力物联终端的安全指数,包括:根据所述威胁指数计算得到电力物联终端在前一时刻和当前时刻的安全值;根据前一时刻的安全值以及是否对安全威胁进行有效处理确定安全系数;根据前一时刻和当前时刻的安全值以及安全系数计算得到电力物联终端当前时刻的安全指数。
本发明实施例第二方面提供一种电力物联终端安全状态评估装置包括:数据获取模块,用于获取历史告警数据,生成预设格式的告警数据;预处理模块,用于对所述告警数据进行预处理,得到有效的告警数据;威胁分析模块,用于根据同源聚类分析和多源聚类分析对告警数据进行关联分析,得到告警对终端的威胁指数;安全评估模块,用于根据所述威胁指数计算得到电力物联终端的安全指数。
本发明实施例第三方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如本发明实施例第一方面及第一方面任一项所述的电力物联终端安全状态评估方法。
本发明实施例第四方面提供一种电子设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如本发明实施例第一方面及第一方面任一项所述的电力物联终端安全状态评估方法。
本发明提供的技术方案,具有如下效果:
本发明实施例提供的电力物联终端安全状态评估方法、装置及存储介质,从数据预处理、告警事件威胁评估、安全指数计算的维度进行终端安全评估;同时通过对历史告警数据进行关联分析,利用TF-IDF算法思想结合同源聚类关联和异源关联分析,计算电力物联终端动态运行时的异常指数,从而能够从海量重复无效告警中有效识别低安全终端。由此,该电力物联终端安全状态评估方法从客观上实现了对电力物联终端的安全评估。
本发明实施例提供的电力物联终端安全状态评估,在进行周期性删除时,提出在利用相关性分析、傅里叶变换和F分布模型进行告警周期计算,从而删除周期性误告警,避免由于终端正常网络活动引发的告警且易淹没真实攻击产生的告警,对终端的行为分析产生干扰。
本发明实施例提供的电力物联终端安全状态评估,结合告警数据的同源聚类分析和多源聚类分析进行终端安全指数计算,其中同源聚类是为了发现某一终端产生的与其历史行为差别较大的异常行为,而多源聚类是为了发现某些终端在使用应用时与其他使用相同应用终端差别较大的异常行为,从而综合评估告警事件对电力物联终端的危害程度。
本发明实施例提供的电力物联终端安全状态评估,计算的安全指数由两部分构成,一部分是终端i在t-T时刻的安全指数对下一个周期终端安全性评估的影响。另一部分是终端i在T时间内的安全指数。由于终端i在t-T前受到攻击并且网络维护管理员并没有采取有效措施,则终端的安全指数会持续影响下一个评估周期的安全指数。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的电力物联终端安全状态评估方法的流程图;
图2是根据本发明另一实施例的电力物联终端安全状态评估方法的流程图;
图3是根据本发明另一实施例的电力物联终端安全状态评估方法的流程图;
图4是根据本发明另一实施例的电力物联终端安全状态评估方法的流程图;
图5是根据本发明另一实施例的电力物联终端安全状态评估方法的流程图;
图6是根据本发明另一实施例的电力物联终端安全状态评估方法的流程图;
图7是根据本发明另一实施例的电力物联终端安全状态评估方法的流程图;
图8是根据本发明实施例的电力物联终端安全状态评估装置的结构框图;
图9是根据本发明实施例提供的计算机可读存储介质的结构示意图;
图10是根据本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种电力物联终端安全状态评估方法,如图1和图2所示,该方法包括如下步骤:
步骤S101:获取历史告警数据,生成预设格式的告警数据;具体地,在获取历史告警数据时,可以从安全监测系统中采集。采集的告警数据不仅包括电力终端告警数据,还包括应用安全告警数据、网络安全告警数据以及环境监测告警数据。由于这些数据来源不同,形成原因不同等,历史告警数据中会包含海量的异构告警数据。为了便于对这些数据的分析和评估,可以将历史告警数据整合为预设格式的告警数据。
在一实施例中,预设格式的告警数据可以由一个六元组 <time,type,device_id,app_id,alert_id,priority,content>来表示。其中:time表示告警产生的时间;type表示告警类型;device_id表示终端的唯一标识;app_id表示应用唯一标识;alert_id表示告警信息的唯一标识符;priority表示告警信息的优先级;content表示告警内容。此外,也可以将实际需要将告警数据整合为其他格式。
步骤S102:对告警数据进行预处理,得到有效的告警数据;具体地,由于网络传输延迟等原因,告警数据中还存在大量冗余和不规范的数据。因此,对于预设格式的告警数据,还需要对其进行预处理,如删除不规范和冗余数据,改善数据质量。
步骤S103:根据同源聚类分析和多源聚类分析对告警数据进行关联分析,得到告警对终端的威胁指数;具体地,在得到有效的告警数据之后,可以对其进行关联分析。关联分析时可以借鉴TF-IDF算法的思想,结合告警数据的同源聚类和多源聚类进行关联分析。其中同源聚类是为了发现某一终端产生的与其历史行为差别较大的异常行为,而多源聚类是为了发现某些终端在使用应用时与其他使用相同应用终端差别较大的异常行为。通过对终端历史数据进行同源告警和异源告警关联分析,评估告警事件对电力物联终端的危害程度,得到告警对终端的威胁指数。
步骤S104:根据威胁指数计算得到电力物联终端的安全指数。具体地,在计算得到终端中不同告警事件的威胁指数,进而可得出电力物联终端的安全指数。同时,还可以根据计算的安全指数对所有终端安全指数从低到高排序,输出高风险终端的标识。网络运维人员根据标识重点关注高风险终端的运行状态,分析运行规律,定位风险原因。
本发明实施例提供的电力物联终端安全状态评估方法,从数据预处理、告警事件威胁评估、安全指数计算的维度进行终端安全评估;同时通过对历史告警数据进行关联分析,利用TF-IDF算法思想结合同源聚类关联和异源关联分析,计算电力物联终端动态运行时的异常指数,从而能够从海量重复无效告警中有效识别低安全终端。由此,该电力物联终端安全状态评估方法从客观上实现了对电力物联终端的安全评估。
作为本发明实施例的一种可选的实施方式,对告警数据进行预处理,得到有效的告警数据,包括:对告警数据进行无效告警删除、误告警删除,得到有效的告警数据,无效告警删除包括不规范数据删除以及重复告警数据删除,误告警删除包括周期性告警删除以及频繁告警序列删除。
在一实施例中,无效告警包含两类,一类是不规范数据,例如字段不全、参数错误、超出设定范围等。可以通过设置过滤规则删除不规范数据。另一类是重复告警,即告警时间间隔在特定的时间范围内且属性完全一致的记录,或者可以表示为:对于同一终端同一应用在t1和t2产生的两条告警alert_id1和 alert_id2,满足|t2-t1|<Δt1(Δt1为时间阈值)且alert_id1=alert_id2,表示告警alert_id1和alert_id2为重复告警。
例如,告警类型共定义4中类型,1)环境风险告警env_alarm;2)模拟器运行告警mon_alarm;3)应用敏感行为攻击sensi_alarm;4)应用攻击行为告警attr_alarm;那么type这个字段就只可能是这4种类型之一,如果字段确实或者不在这4种之内,就认为是无效告警。
在一实施例中,由于终端正常网络活动也会引发告警且易淹没真实攻击产生的告警,对终端的行为分析产生干扰。实际网络中发现:1)出现频次较多的告警具有周期性特点;2)多个设备具有相同的告警子序列。基于以上两点,误告警删除包括周期性告警删除和频繁告警序列删除。周期性告警删除利用相关性分析、傅里叶变换和F分布模型达到计算告警周期,达到周期性告警删除的目的。频繁告警子序列删除以告警数量少的设备产生的告警数列的子序列作为备选序列进行计算,达到删除频繁告警子序列的目的。
其中,对于周期性告警,可以表示为对于同一电力物联终端(或者说网络设备)在t1和t2产生的两条告警alert_id1和alert_id2,满足0≤|t2-(t1+nT0)|<Δt2(Δt2为时间阈值,T0为周期,n为整数)且alert_id1=alert_id2,表示该告警为周期告警,且周期为T0
在一实施例中,如图3及图4所示,周期性告警在确定时可以按照以下的方式:
步骤S201:将有效的告警进行分类,确定大于阈值的告警类型和告警设备;具体地,对于确定的有效的告警数据或告警日志,可以根据其预设格式确定告警数据中每种类型所占比例V和每台网络设备所占比例U。同时,可以设定预设阈值α和阈值β,如果V>α且U>β,记录告警类型和相应的设备编号 <alert_id,device_id>。
步骤S202:根据告警设备预设时间内产生的对应告警类型的告警数量构建时间序列;具体地,在确定大于阈值的告警类型和告警设备,即 <alert_id,device_id>后,针对二元组<alert_id,device_id>,可以统计预设时间如每小时内告警设备device_id产生的告警类型alert_id的数量,由此可以构建时间序列{x(t),t∈N}。
步骤S203:对时间序列进行自相关分析和离散傅里叶变换,确定各个频率的能量密度函数;具体地,对构建的时间序列可以进行自相关分析,自相关函数采用如下的公式表示:
Figure RE-GDA0003321199060000101
其中,R(m)表示间隔m小时告警发生的关系度量。采用自相关分析能够加强原始时间序列的周期性,但是从自相关序列中无法判断周期的大小。因此,可以对产生的自相关序列{R(m),0≤m<n}再进行离散傅立叶变换,定义各个频率的能量密度函数PSD(.)(PowerSpectral Density)由下列公式表示:
Figure RE-GDA0003321199060000102
步骤S204:根据能量密度函数确定时间序列的周期;具体地,由能量密度函数可以确定能量密度值最大的频率点,由此可以计算该序列的周期为:
Figure RE-GDA0003321199060000103
步骤S205:根据周期对告警类型和告警设备进行判断,当告警类型和告警设备间隔周期出现时,将告警类型和告警设备作为周期性告警删除。具体地,自相关分析和离散傅立叶变换能够求出周期性时间序列的周期,但是对于没有周期性的序列也会产生一个周期值,这种情况下如果进行周期性告警删除,可能会去除真实告警,导致漏报。为了避免这个问题,可以构造F分布模型来检验周期的真伪。由此,采用F检验能够确认时间序列的周期性,从而保证没有相关性质的告警不会被删除,避免了漏报的发生。
在一实施例中,如图4和图5所示,频繁告警序列在确定时可以按照以下的方式:
步骤S301:获取预设个数的电力物联终端在预设时间内产生的最短告警序列;具体地,确定频繁告警序列时,可以先统计网络设备在预设时间如一个小时之内产生的告警数量,选择前C个正常运行的网络设备产生的最短告警序列{sk,1<k<C}作为备选序列。其中2≤sk≤L,L表示规定的最大序列长度。
步骤S302:根据最短告警序列中所有序列的子序列的并集计算存在子序列的电力物联终端占电力物联终端总数的比值;具体地,确定最短告警序列后,求取告警序列{sk,1<k<C}中所有序列的子序列的并集{sub_sz,1≤z≤n0},其中n0表示所有子序列的个数。根据该并集通过以下公式计算存在子序列的电力物联终端占电力物联终端总数的比值:
Figure RE-GDA0003321199060000111
其中,pz表示存在子序列sub_sz的网络设备数占网络设备总数的比值。
Figure RE-GDA0003321199060000112
表示sub_sz序列是否是第i个设备产生的告警序列的子序列,如果是,则为1,否则为0。N表示网络中网络设备的数量。
步骤S303:当比值大于预设阈值时进行频繁告警序列删除。具体地,根据计算的比值pz确定是否为频繁告警序列,其中,当pz大于预先设定的阈值θ时,说明其是频繁告警序列。
作为本发明实施例的一种可选的实施方式,如图4所示,根据周期性告警和频繁告警序列还可以生成规则库,由生成的告警库实现告警的确定。在一实施例中,可以由以下流程实现:根据不属于周期性告警的数据和属于频繁告警的数据形成规则库;将预设格式的告警数据和规则库中的数据进行匹配;根据匹配成功的数据形成有效的告警数据。
具体地,如图4所示,根据计算的周期p能够识别周期性重复告警;同时,根据比值pz能够识别频繁告警序列。对于告警序列,当判断其不是周期性告警时,可以将告警序列加入规则库;同时,判断其是频繁序列告警时,也可以将其加入规则库。对于采集的预设格式的告警数据,可以将其和规则库中的内容进行匹配,如果告警类型、终端标识、告警内容等信息与规则库符合,则匹配成功,则该告警数据可以直接作为有效的告警数据。
作为本发明实施例的一种可选的实施方式,如图6所示,根据同源聚类分析和多源聚类分析对告警数据进行关联分析,得到告警对终端的威胁指数,包括:
步骤S401:根据同源聚类分析,确定每个终端出现每种类型告警的数量;具体地,同源聚类是为了发现某一终端产生的与其历史行为差别较大的异常行为,即采用同源聚类可以计算电力物联终端中告警事件发生的频次。由此,采用同源聚类分析,将预设时间内的告警数据根据电力终端进行聚类分析。其中,终端i中的不同类型的告警频次或者说不同类型的告警出现频次用 <device_idi、<alert_idj、alert_countij>>(1≤i≤n,1≤1≤m)表示,其中:device_idi表示第i个终端,alert_idj表示第j类告警,alert_countij表示第i个终端中第j类告警的数量, n表示终端数,m表示告警的种类数。则每个终端出现每种类型告警的数量计算公式如下:
Figure RE-GDA0003321199060000121
步骤S402:根据多源聚类分析,确定出现每种类型告警的次数以及出现每种类型告警的终端数;具体地,多源聚类是为了发现某些终端在使用应用时与其他使用相同应用终端差别较大的异常行为,即多源聚类可以计算终端中告警事件的分布情况。由此,采用异源分析算法,将T时间内的告警数据根据告警类型进行聚类,第j类告警分布情况使用三元组表示<alert_idj、totalj、device_countj> (1≤j≤m)表示,其中:totalj表示网络中第j类告警发生的次数,device_countj表示产生第j类告警分布的终端数。出现每种类型告警的次数以及出现每种类型告警的终端数计算公式如下:
Figure RE-GDA0003321199060000122
Figure RE-GDA0003321199060000131
步骤S403:根据每个终端出现每种类型告警的数量、出现每种类型告警的次数以及出现每种类型告警的终端数计算告警对终端的威胁指数。具体地,根据上述计算到的alert_countij、totalj、device_countj可以计算告警对终端的威胁指数。其中,在T时间段内,终端i中第j类告警的威胁指数计算公式如下:
Figure RE-GDA0003321199060000132
作为本发明实施例的一种可选的实施方式,如图7所示,根据威胁指数计算得到电力物联终端的安全指数,包括:
步骤S501:根据威胁指数计算得到电力物联终端在前一时刻和当前时刻的安全值;具体地,在计算得到终端中不同告警事件的威胁指数,可以得到电力终端安全值。安全值可以由以下公式计算:
Figure RE-GDA0003321199060000133
其中:p(j)表示第j类告警的权重,可依据告警的优先级进行设置。根据该公式可以计算不同时间的安全值,由此,根据该公式可以计算得到前一时刻的安全值和当前时刻的安全值。
步骤S502:根据前一时刻的安全值以及是否对安全威胁进行有效处理确定安全系数;具体地,在实际评估中,终端在当前时刻的安全指数不仅受到当前时刻安全值的影响,前一时刻的告警是否采取有效措施进行处理也会对当前时刻的安全指数造成影响。由此,需要根据前一时刻的安全值以及是否对安全威胁进行有效处理确定安全系数,具体可以采用以下公式计算:
Figure RE-GDA0003321199060000141
其中,x表示T时间段内是否对终端存在的安全威胁进行了有效处理,如果 x=0表示未进行任何处理,x=1表示已处理。因此,根据上述公式,若已经对存在的威胁进行处理,则安全系数为100,若未对前一时刻的威胁进行处理,则安全系数为前一时刻的安全系数。
步骤S503:根据前一时刻和当前时刻的安全值以及安全系数计算得到电力物联终端当前时刻的安全指数。具体地,当前时刻的安全指数采用以下公式计算:
Figure RE-GDA0003321199060000142
具体地,由于当前时刻的安全指数需要基于前一时刻的安全系数进行计算。由此,在计算当前时刻的安全指数时需要从头开始计算。假设从第一天开始,之前未受到过任何威胁,此时x应该为1,相应的安全系数
Figure RE-GDA0003321199060000143
=为100,则将
Figure RE-GDA0003321199060000144
= 100代入到上述公式中,可以计算得到第一天的安全指数即为第一天的安全值 Fi T。假设第一天的安全值为60,且第一天已经对威胁进行了处理,此时x应该为0,相应的安全系数
Figure RE-GDA0003321199060000145
为第一天的安全值,将
Figure RE-GDA0003321199060000146
=60代入到上述公式中,同时计算的第二天的安全值为50,则计算得到第二天的安全系数为(1-60÷100) *60+60÷100×50=54。以此类推,可以计算得到每一天的安全指数。
作为本发明实施例的一种可选的实施方式,本发明实施例提供的电力物联终端安全状态评估方法可以应该在以下场景中:
采用开源的告警数据集进行测试。该数据集包含了2092台设备在2012年 3月16日8:00-16:00产生的2125795条记录,涉及23种告警类型。告警日志包含的字段包括:告警时间、告警特征编号和告警名称、告警类型、告警优先级、协议、源IP地址和端口、目的IP地址和目的端口。其中根据优先级将告警类型划分为3类,I类告警,威胁级别最高,告警类型包括web应用攻击、获取管理员权限告警、获取用户权限告警、木马检测告警、信息泄露告警、可执行代码检测告警、企业隐私泄露;II类告警,威胁级别中等,攻击类型包括默认用户名和密码登录、拒绝服务攻击告警、可疑文件名检测告警、访问脆弱的WEB应用程序、RPC查询解码等;III类告警,威胁级别低等,主要包括未知活动、网络扫描告警、检测到可疑字符串、通用协议命令解码、尝试获取用户权限等。
针对预处理后剩下的356596条有效的告警数据或者说告警日志,选取T 为1h,依次计算每个设备在不同时间段的安全指数,进而得到所有设备的安全指数分布情况和低安全设备的告警情况、变化趋势。
1)设备安全指数分布
将终端安全指数区间划分为[0,20)、[20,40)、[40,60)、[60,80)、[80, 100),结果表明2092台设备16:00时的安全指数分布为:98%的设备安全指数处于区间[80,100],设备安全状态表示为高安全;1.8%的设备安全指数处于 [40,80],设备安全状态表示为中安全;0.3%的设备安全指数处于[0,20],设备安全状态表示为低安全。这一结果表明多数设备处于安全状态,与实际情况是相符的。
2)设备安全指数与告警次数的关系
安全指数最低的5台设备的告警次数相差很大,而告警次数最多的设备其安全指数并不是最低的,也就是说高风险设备不一定产生大量的告警。表1中列出了4台低安全和中安全设备的告警统计情况,包括安全指数、告警次数(I、 II、III类告警的次数)和告警类型。其中,告警次数列中括号内的数字表示对应等级的告警次数,告警类型列中括号内的数字表示具体告警的次数。经过分析:1)设备192.168.27.253发生告警次数最多且被入侵者经过暴力破解等方式成功获取用户权限,因此设备的安全指数最低。2)设备192.168.202.68 虽然告警次数少,但是同样存在被成功获取用户权限的告警,因此该设备的安全指数略高于设备192.168.27.253。3)设备192.168.28.152发生的告警涉及 13种类型,说明攻击者针对该设备进行了多种类型的攻击。由于攻击者企图给该设备发送可执行的恶意代码或者木马病毒,从而达到控制设备的目的,所以该设备的安全指数偏低。4)设备192.168.206.44存在大量的安全告警,但其安全评估指数明显高于前3台设备,其主要原因在于这台设备存在大量的尝试攻击告警,但是并没有被攻击者成功入侵的痕迹且也没有危害级别较高的告警。
表1
Figure RE-GDA0003321199060000161
Figure RE-GDA0003321199060000171
3)设备的运行状态趋势分析
选取高安全设备192.168.24.254、低安全设备192.168.202.68计算安全指数。
高安全设备192.168.24.254安全指数持续呈现80分之上,没有遭受攻击。低安全设备192.168.202.68在12点-13点遭受了成功获取用户权限的攻击且针对攻击没有进行有效处理,低安全状态会持续影响后续周期的设备安全评估值。
本发明实施例提供的电力物联终端安全状态评估,在进行周期性删除时,提出在利用相关性分析、傅里叶变换和F分布模型进行告警周期计算,从而删除周期性误告警,避免由于终端正常网络活动引发的告警且易淹没真实攻击产生的告警,对终端的行为分析产生干扰。
本发明实施例提供的电力物联终端安全状态评估,结合告警数据的同源聚类分析和多源聚类分析进行终端安全指数计算,其中同源聚类是为了发现某一终端产生的与其历史行为差别较大的异常行为,而多源聚类是为了发现某些终端在使用应用时与其他使用相同应用终端差别较大的异常行为,从而综合评估告警事件对电力物联终端的危害程度。
本发明实施例提供的电力物联终端安全状态评估,计算的安全指数由两部分构成,一部分是终端i在t-T时刻的安全指数对下一个周期终端安全性评估的影响。另一部分是终端i在T时间内的安全指数。由于终端i在t-T前受到攻击并且网络维护管理员并没有采取有效措施,则终端的安全指数会持续影响下一个评估周期的安全指数。
本发明实施例还提供一种电力物联终端安全状态评估装置,如图8所示,该装置包括:
数据获取模块,用于获取历史告警数据,生成预设格式的告警数据;详细内容参见上述方法实施例中步骤S101的相关描述。
预处理模块,用于对所述告警数据进行预处理,得到有效的告警数据;详细内容参见上述方法实施例中步骤S102的相关描述。
威胁分析模块,用于根据同源聚类分析和多源聚类分析对告警数据进行关联分析,得到告警对终端的威胁指数;详细内容参见上述方法实施例中步骤 S103的相关描述。
安全评估模块,用于根据所述威胁指数计算得到电力物联终端的安全指数。详细内容参见上述方法实施例中步骤S104的相关描述。
本发明实施例提供的电力物联终端安全状态评估装置,从数据预处理、告警事件威胁评估、安全指数计算的维度进行终端安全评估;同时通过对历史告警数据进行关联分析,利用TF-IDF算法思想结合同源聚类关联和异源关联分析,计算电力物联终端动态运行时的异常指数,从而能够从海量重复无效告警中有效识别低安全终端。由此,该电力物联终端安全状态评估装置从客观上实现了对电力物联终端的安全评估。
本发明实施例提供的电力物联终端安全状态评估装置的功能描述详细参见上述实施例中电力物联终端安全状态评估方法描述。
本发明实施例还提供一种存储介质,如图9所示,其上存储有计算机程序 601,该指令被处理器执行时实现上述实施例中电力物联终端安全状态评估方法的步骤。该存储介质上还存储有音视频流数据,特征帧数据、交互请求信令、加密数据以及预设数据大小等。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory, RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)、随机存储记忆体(Random AccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive, SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
本发明实施例还提供了一种电子设备,如图10所示,该电子设备可以包括处理器51和存储器52,其中处理器51和存储器52可以通过总线或者其他方式连接,图10中以通过总线连接为例。
处理器51可以为中央处理器(Central Processing Unit,CPU)。处理器 51还可以为其他通用处理器、数字信号处理器(Digital Signal Processor, DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器52作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的对应的程序指令/ 模块。处理器51通过运行存储在存储器52中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的电力物联终端安全状态评估方法。
存储器52可以包括存储程序区和存储数据区,其中,存储程序区可存储操作装置、至少一个功能所需要的应用程序;存储数据区可存储处理器51所创建的数据等。此外,存储器52可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器52可选包括相对于处理器51远程设置的存储器,这些远程存储器可以通过网络连接至处理器51。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器52中,当被所述处理器51执行时,执行如图1-7所示实施例中的电力物联终端安全状态评估方法。
上述电子设备具体细节可以对应参阅图1至图7所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (10)

1.一种电力物联终端安全状态评估方法,其特征在于,包括:
获取历史告警数据,生成预设格式的告警数据;
对所述告警数据进行预处理,得到有效的告警数据;
根据同源聚类分析和多源聚类分析对告警数据进行关联分析,得到告警对终端的威胁指数;
根据所述威胁指数计算得到电力物联终端的安全指数。
2.根据权利要求1所述的电力物联终端安全状态评估方法,其特征在于,对所述告警数据进行预处理,得到有效的告警数据,包括:
对所述告警数据进行无效告警删除、误告警删除,得到有效的告警数据,所述无效告警删除包括不规范数据删除以及重复告警数据删除,所述误告警删除包括周期性告警删除以及频繁告警序列删除。
3.根据权利要求2所述的电力物联终端安全状态评估方法,其特征在于,所述周期性告警删除包括:
将有效的告警进行分类,确定大于阈值的告警类型和告警设备;
根据所述告警设备预设时间内产生的对应所述告警类型的告警数量构建时间序列;
对所述时间序列进行自相关分析和离散傅里叶变换,确定各个频率的能量密度函数;
根据所述能量密度函数确定所述时间序列的周期;
根据所述周期对所述告警类型和告警设备进行判断,当所述告警类型和告警设备间隔所述周期出现时,将所述告警类型和告警设备作为周期性告警删除。
4.根据权利要求2所述的电力物联终端安全状态评估方法,其特征在于,所述频繁告警序列删除包括:
获取预设个数的电力物联终端在预设时间内产生的最短告警序列;
根据所述最短告警序列中所有序列的子序列的并集计算存在子序列的电力物联终端占电力物联终端总数的比值;
当所述比值大于预设阈值时进行频繁告警序列删除。
5.根据权利要求2所述的电力物联终端安全状态评估方法,其特征在于,还包括:
根据不属于周期性告警的数据和属于频繁告警的数据形成规则库;
将预设格式的告警数据和所述规则库中的数据进行匹配;
根据匹配成功的数据形成有效的告警数据。
6.根据权利要求1所述的电力物联终端安全状态评估方法,其特征在于,根据同源聚类分析和多源聚类分析对告警数据进行关联分析,得到告警对终端的威胁指数,包括:
根据同源聚类分析,确定每个终端出现每种类型告警的数量;
根据多源聚类分析,确定出现每种类型告警的次数以及出现每种类型告警的终端数;
根据每个终端出现每种类型告警的数量、出现每种类型告警的次数以及出现每种类型告警的终端数计算告警对终端的威胁指数。
7.根据权利要求1所述的电力物联终端安全状态评估方法,其特征在于,根据所述威胁指数计算得到电力物联终端的安全指数,包括:
根据所述威胁指数计算得到电力物联终端在前一时刻和当前时刻的安全值;
根据前一时刻的安全值以及是否对安全威胁进行有效处理确定安全系数;
根据前一时刻和当前时刻的安全值以及安全系数计算得到电力物联终端当前时刻的安全指数。
8.一种电力物联终端安全状态评估装置,其特征在于,包括:
数据获取模块,用于获取历史告警数据,生成预设格式的告警数据;
预处理模块,用于对所述告警数据进行预处理,得到有效的告警数据;
威胁分析模块,用于根据同源聚类分析和多源聚类分析对告警数据进行关联分析,得到告警对终端的威胁指数;
安全评估模块,用于根据所述威胁指数计算得到电力物联终端的安全指数。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如权利要求1-7任一项所述的电力物联终端安全状态评估方法。
10.一种电子设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如权利要求1-7任一项所述的电力物联终端安全状态评估方法。
CN202110841157.7A 2021-07-23 2021-07-23 一种电力物联终端安全状态评估方法、装置及存储介质 Active CN113691498B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110841157.7A CN113691498B (zh) 2021-07-23 2021-07-23 一种电力物联终端安全状态评估方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110841157.7A CN113691498B (zh) 2021-07-23 2021-07-23 一种电力物联终端安全状态评估方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN113691498A true CN113691498A (zh) 2021-11-23
CN113691498B CN113691498B (zh) 2023-03-14

Family

ID=78577808

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110841157.7A Active CN113691498B (zh) 2021-07-23 2021-07-23 一种电力物联终端安全状态评估方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN113691498B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117201187A (zh) * 2023-11-01 2023-12-08 国网湖北省电力有限公司武汉供电公司 一种电力数据安全共享方法、系统及存储介质

Citations (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5457460A (en) * 1992-11-17 1995-10-10 Honeywell Inc. Embedded threat data recorder
CN101227331A (zh) * 2008-01-25 2008-07-23 华中科技大学 一种减少网络入侵检测系统误告警方法
CN105868629A (zh) * 2016-03-29 2016-08-17 全球能源互联网研究院 一种适用于电力信息物理系统的安全威胁态势评估方法
CN107465667A (zh) * 2017-07-17 2017-12-12 全球能源互联网研究院有限公司 基于规约深度解析的电网工控安全协同监测方法及装置
CN107888424A (zh) * 2017-11-27 2018-04-06 凌云天博光电科技股份有限公司 告警信息识别方法及装置、网络管理系统
US20180255080A1 (en) * 2017-03-02 2018-09-06 ResponSight Pty Ltd System and Method for Cyber Security Threat Detection
CN108880915A (zh) * 2018-08-20 2018-11-23 全球能源互联网研究院有限公司 一种电力信息网络安全告警信息误报判定方法和系统
CN108924084A (zh) * 2018-05-22 2018-11-30 全球能源互联网研究院有限公司 一种网络设备安全评估方法及装置
CN109120451A (zh) * 2018-08-31 2019-01-01 深圳市麦斯杰网络有限公司 基于物联网的设备评估方法、设备及计算机可读存储介质
CN110086649A (zh) * 2019-03-19 2019-08-02 深圳壹账通智能科技有限公司 异常流量的检测方法、装置、计算机设备及存储介质
CN110149327A (zh) * 2019-05-20 2019-08-20 中国南方电网有限责任公司 网络安全威胁的告警方法、装置、计算机设备和存储介质
CN110535702A (zh) * 2019-08-30 2019-12-03 北京神州绿盟信息安全科技股份有限公司 一种告警信息处理方法及装置
CN111294233A (zh) * 2018-12-11 2020-06-16 国网信息通信产业集团有限公司 网络告警统计分析方法、系统及计算机可读存储介质
CN111541661A (zh) * 2020-04-15 2020-08-14 全球能源互联网研究院有限公司 基于因果知识的电力信息网络攻击场景重构方法及系统
CN111770106A (zh) * 2020-07-07 2020-10-13 杭州安恒信息技术股份有限公司 数据威胁分析的方法、装置、系统、电子装置和存储介质
CN111898647A (zh) * 2020-07-07 2020-11-06 贵州电网有限责任公司 一种基于聚类分析的低压配电设备误告警识别方法
CN112615888A (zh) * 2020-12-30 2021-04-06 绿盟科技集团股份有限公司 一种网络攻击行为的威胁评估方法及装置
CN112738016A (zh) * 2020-11-16 2021-04-30 中国南方电网有限责任公司 一种面向威胁场景的智能化安全事件关联分析系统

Patent Citations (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5457460A (en) * 1992-11-17 1995-10-10 Honeywell Inc. Embedded threat data recorder
CN101227331A (zh) * 2008-01-25 2008-07-23 华中科技大学 一种减少网络入侵检测系统误告警方法
CN105868629A (zh) * 2016-03-29 2016-08-17 全球能源互联网研究院 一种适用于电力信息物理系统的安全威胁态势评估方法
US20180255080A1 (en) * 2017-03-02 2018-09-06 ResponSight Pty Ltd System and Method for Cyber Security Threat Detection
CN107465667A (zh) * 2017-07-17 2017-12-12 全球能源互联网研究院有限公司 基于规约深度解析的电网工控安全协同监测方法及装置
CN107888424A (zh) * 2017-11-27 2018-04-06 凌云天博光电科技股份有限公司 告警信息识别方法及装置、网络管理系统
CN108924084A (zh) * 2018-05-22 2018-11-30 全球能源互联网研究院有限公司 一种网络设备安全评估方法及装置
CN108880915A (zh) * 2018-08-20 2018-11-23 全球能源互联网研究院有限公司 一种电力信息网络安全告警信息误报判定方法和系统
CN109120451A (zh) * 2018-08-31 2019-01-01 深圳市麦斯杰网络有限公司 基于物联网的设备评估方法、设备及计算机可读存储介质
CN111294233A (zh) * 2018-12-11 2020-06-16 国网信息通信产业集团有限公司 网络告警统计分析方法、系统及计算机可读存储介质
CN110086649A (zh) * 2019-03-19 2019-08-02 深圳壹账通智能科技有限公司 异常流量的检测方法、装置、计算机设备及存储介质
CN110149327A (zh) * 2019-05-20 2019-08-20 中国南方电网有限责任公司 网络安全威胁的告警方法、装置、计算机设备和存储介质
CN110535702A (zh) * 2019-08-30 2019-12-03 北京神州绿盟信息安全科技股份有限公司 一种告警信息处理方法及装置
CN111541661A (zh) * 2020-04-15 2020-08-14 全球能源互联网研究院有限公司 基于因果知识的电力信息网络攻击场景重构方法及系统
CN111770106A (zh) * 2020-07-07 2020-10-13 杭州安恒信息技术股份有限公司 数据威胁分析的方法、装置、系统、电子装置和存储介质
CN111898647A (zh) * 2020-07-07 2020-11-06 贵州电网有限责任公司 一种基于聚类分析的低压配电设备误告警识别方法
CN112738016A (zh) * 2020-11-16 2021-04-30 中国南方电网有限责任公司 一种面向威胁场景的智能化安全事件关联分析系统
CN112615888A (zh) * 2020-12-30 2021-04-06 绿盟科技集团股份有限公司 一种网络攻击行为的威胁评估方法及装置

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
张羽等: "一种基于信息熵的IDS告警预处理方法", 《计算机与现代化》 *
李冬,李之棠,雷杰: "周期性误告警去除方法研究", 《小型微型计算机系统》 *
樊迪,刘静,庄俊玺,赖英旭: "基于因果知识发现的攻击场景重构研究", 《网络与信息安全学报》 *
陈兴蜀等: "基于告警属性聚类的攻击场景关联规则挖掘方法研究", 《工程科学与技术》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117201187A (zh) * 2023-11-01 2023-12-08 国网湖北省电力有限公司武汉供电公司 一种电力数据安全共享方法、系统及存储介质
CN117201187B (zh) * 2023-11-01 2024-01-05 国网湖北省电力有限公司武汉供电公司 一种电力数据安全共享方法、系统及存储介质

Also Published As

Publication number Publication date
CN113691498B (zh) 2023-03-14

Similar Documents

Publication Publication Date Title
Yang et al. Anomaly-based intrusion detection for SCADA systems
CN108429651B (zh) 流量数据检测方法、装置、电子设备及计算机可读介质
CN112787992B (zh) 一种敏感数据的检测与防护的方法、装置、设备和介质
CN111541661A (zh) 基于因果知识的电力信息网络攻击场景重构方法及系统
CN112073389B (zh) 云主机安全态势感知系统、方法、设备及存储介质
WO2009037333A2 (en) Intrusion detection method and system
Zhe et al. DoS attack detection model of smart grid based on machine learning method
US11258825B1 (en) Computer network monitoring with event prediction
Zhang et al. Intrusion detection in SCADA systems by traffic periodicity and telemetry analysis
CN117614745B (zh) 一种用于处理器网络防护的协同防御方法及系统
Apruzzese et al. Identifying malicious hosts involved in periodic communications
Xie et al. Seurat: A pointillist approach to anomaly detection
CN113518057A (zh) 分布式拒绝服务攻击的检测方法、装置及其计算机设备
WO2023163820A1 (en) Graph-based analysis of security incidents
CN116305155A (zh) 一种程序安全检测防护方法、装置、介质及电子设备
CN113691498B (zh) 一种电力物联终端安全状态评估方法、装置及存储介质
CN114070593A (zh) 一种基于多级告警和联动防御的虚拟网络安全管控方法
CN113672912A (zh) 基于计算机硬件指征和行为分析的网络安全监控系统
RU166348U1 (ru) Устройство корреляции событий информационной безопасности
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
CN112417434A (zh) 一种结合ueba机制的程序白名单防护方法
KR20200054495A (ko) 보안관제 서비스 방법 및 그를 위한 장치
WO2019113492A1 (en) Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform
CN117750467B (zh) 一种5g双域专网的零信任安全可信接入方法
Mu et al. ETA: A method of Dynamic Network Device Security Assessment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant