CN114298558B

CN114298558B - 电力网络安全研判系统及其研判方法

Info

Publication number: CN114298558B
Application number: CN202111636527.XA
Authority: CN
Inventors: 林美玉; 郑威; 姜鼎; 舒首衡; 何升文
Original assignee: Shanghai Jiaweisi Information Technology Co ltd; China Academy of Information and Communications Technology CAICT
Current assignee: Shanghai Jiaweisi Information Technology Co ltd; China Academy of Information and Communications Technology CAICT
Priority date: 2021-12-29
Filing date: 2021-12-29
Publication date: 2024-07-12
Anticipated expiration: 2041-12-29
Also published as: CN114298558A

Abstract

本发明涉及一种电力网络安全研判系统，其包括接入源管理模块、应用管理模块、数据管理模块、风险研判模块、综合展示模块和用户管理模块，基于所述接入源管理模块和应用管理模块收集的若干信息，经所述数据管理模块进行统一化数据分析，由所述风险研判模块设定风险规则并进行自动化研判，通过所述综合展示模块进行安全风险统计展示，并基于此提出一种电力网络安全研判方法。本发明无需在网络应用上安装插件，可快速掌握网络应用目前的风险状况，解决了单一数据来源存在的误报率高、风险问题遗漏等问题，可有效提高风险识别的准确率、提高系统运维的安全性。

Description

电力网络安全研判系统及其研判方法

技术领域

本发明属于电力网络应用安全技术，具体涉及一种电力网络安全研判系统及其方法。

背景技术

在电力领域中一个研究方向就是建立满足电力需求的信息管理平台，而信息管理平台作为电力行业的核心Web应用，其网络安全性在保障系统平稳运行方面具有至关重要的作用。随着近些年Web技术的快速发展，电力行业也整合了越来越多的Web应用，如电网官网、电力管理系统等等，可以说越来越多的关键业务依赖于Web应用技术，伴随而来的是Web应用安全风险也受到了严重挑战，从安全层面来说，因为Web应用的交互性、开放性与Web设计过程中对系统安全性能与信息保密性缺乏考虑，Web应用破坏与攻击事件频繁发生，直接影响到业务系统和网站的正常安全运行，。

目前针对Web应用的安全风险分析更多采用的是把其应用当作一个信息系统，从物理、网络、主机、管理等方面采用风险评估的方法进行风险计算，在其本身应用安全风险判定上则采用了单一的引擎通过漏洞扫描和安全监测的方式，由于单一引擎更多的是基于特征库或规则库进行风险判定，从某种程度上考虑，此种风险判定为系统风险评估提供的证明过于片面性；同时单一的扫描和监测误报率较高，这也会给负责安全运维的人员带来安全验证问题的工作量，进而直接提高了人工成本。

因此，设计一种电力网络安全研判系统及其研判方法，以实现多引擎风险自动研判来提高风险识别的准确率、降低系统运维的可靠性不确定性因素是十分必要且又相当迫切的。

发明内容

针对以上情况，本发明提供一种电力网络安全研判系统，其包括接入源管理模块、应用管理模块、数据管理模块、风险研判模块、综合展示模块和用户管理模块，基于所述接入源管理模块和应用管理模块收集的若干信息，经所述数据管理模块进行统一化数据分析，由所述风险研判模块设定风险规则并进行自动化研判，通过所述综合展示模块进行安全风险统计展示，并基于此提出一种研判方法。本发明无需在网络应用上安装插件，能快速掌握网络应用目前的风险状况，解决了单一数据来源存在的误报率高、风险问题遗漏等问题，可有效提高风险识别的准确率、提高系统运维的安全性。

本发明提供一种电力网络安全研判系统，其包括接入源管理模块、应用管理模块、数据管理模块、风险研判模块、综合展示模块和用户管理模块，所述接入源管理模块针对接入源进行管理，所述应用管理模块针对所述接入源管理模块添加的网络应用进行统一化管理，所述数据管理模块针对执行完任务后从不同接口获取的数据源进行统一化数据分析，所述风险研判模块针对单个网络进行风险规则设定并进行自动化研判，所述综合展示模块针对网络应用检测的安全风险进行统计展示，所述用户管理模块针对使用该系统的安全运维管理员进行管理；

所述接入源管理模块包括接入源信息录入子模块、接口及参数获取子模块和任务下发及数据回收子模块，所述接入源信息录入子模块通过人工录入接入源信息，所述接口及参数获取子模块进行接入源接口配置的设定以及接入源接入数据参数的获取，所述任务下发及数据回收子模块通过单一开启该接入源进行任务下发并测试其返回监控数据；

所述应用管理模块包括网络应用录入子模块、监控管理设定子模块和任务下发子模块，所述网络应用录入子模块通过人工录入需要监控的网络应用，所述监控管理设定子模块进行包括监控类型、执行方式和监控频度在内的相关应用设定，所述任务下发子模块依据录入的应用及设定好的相关参数下发任务进行执行；

所述数据管理模块包括数据分类子模块、数据标准化子模块和数据存储子模块，所述数据分类子模块将所述接入源管理模块收集的多引擎数据进行分类整理，并通过所述数据标准化子模块对若干数据进行标准化和归一化处理，由所述数据存储子模块进行各类数据的存储；

所述风险研判模块包括风险规则设定子模块、风险评价指标计算子模块、数据融合及修正子模块和风险值计算子模块，所述风险规则设定子模块包括漏洞风险规则设定、可用性风险规则设定和内容安全风险规则设定；所述风险评价指标计算子模块在所述风险规则设定子模块设定的风险规则的基础上，采用主成分分析法计算主成分载荷量，计算风险评估指标的各变量主成分评定值情况；所述数据融合及修正子模块采用效益型处理方法对风险因素的风险值进行数据融合和数据修正，所述风险值计算子模块通过聚类算法计算每个故障点的风险值并进行标准化处理得到电力网络标准化风险值；

所述综合展示模块包括应用展示子模块、风险展示子模块和安全处理展示子模块，所述应用展示子模块展示所述应用管理模块的相关信息，所述风险展示子模块展示所述风险研判模块获得的电力网络标准化风险值并基于风险指数对网络应用进行排序，所述安全处理展示子模块展示待处理的安全事件相关信息。

进一步，所述接入源信息录入子模块中的所述接入源信息包括接入源名称、接入源的接入IP和开放端口；所述网络应用录入子模块中的所述网络应用包括访问地址、应用权重和所属单位；所述监控管理设定子模块的所述监控类型包括漏洞扫描、可用性探测和内容安全性探测。

可优选的，所述风险展示子模块中的所述风险指数为：

其中，R表示风险指数；W表示网络应用等级对应的应用权重；A代表可用性指数；C代表内容安全指数；L代表漏洞风险指数。

可优选的，所述风险规则设定子模块中的所述可用性风险规则设定为连续n次无法正常访问时单个网络应用扣除n1分且分数扣除上限为n_m分；所述内容安全风险规则设定为敏感词汇去重后单个扣除n_a分且扣除上限为n_am分，挂马单个扣除n_b分且扣除上限为n_bm分，应用篡改去重后单个扣除n_c分且扣除上限为n_cm分；所述漏洞风险规则设定为高危去重后单个扣除n_d分且扣除上限为n_dm分，中危去重后单个扣除n_e分且扣除上限为n_em分，低危去重后单个扣除n_fm分且扣除上限为n_fm分。

本发明的另一方面，提供一种利用前述的电力网络安全研判系统的电力网络安全研判方法，其包括以下步骤：

S1、在所述接入源管理模块中人工添加系统接入源{test 1,test 2,…,test n}，配置数据参数，测试任务下发及数据获取是否正常；

S2、在所述应用管理模块中人工录入网络应用，包括应用名称、访问地址、应用权重和单位名称；

S3、设定相关配置参数，选择监控类型、执行方式和监控频度，参数配置好后进行任务下发；

S4、基于所述风险研判模块构建网络安全评估模型，计算电力网络标准化风险值，识别潜在的风险；所述步骤S4具体包括以下步骤：

S41、基于网络应用获取的相关评价指标，运用主成分法计算主成分载荷量，根据特征向量和主成分载荷量，获得风险评估指标的各变量主成分评定值，对原始数据进行无量纲化处理：

其中，j表示威胁因子；Z_ij表示原始数据处理后的结果；X_i表示信息数据i的正常值；X_ij表示信息数据i和威胁因子j的安全价值；S表示威胁因子j造成的风险值；

S42、计算变量之间的相关系数，评估威胁因子的弱点贡献率，对指标变量进行变换，使其形成彼此相互独立的主成分，取风险中值以上的特征值为对应的主成分，威胁因子的方差贡献率k为：

其中，m表示威胁因子j的贡献总值；Z_ig表示信息数据i的第g个风险特征值；Z_ig表示威胁因子j的第g个贡献值；

S43、取威胁因子累积贡献率代表原变量的变差信息，判断威胁因子的弱点贡献率，计算贡献率和累积贡献率进行风险脆弱性识别，消除评价指标之间的相关影响，对威胁因子的系统脆弱点进行识别，至此获得模型的风险指标；

S44、根据风险指标，模型对每个风险因素的安全状态和暴露状态进行判断，当风险因素为暴露状态时，将威胁因素分为比较脆弱状态和非常脆弱状态两类，对风险因素所有脆弱性求加权平均值，进行网络标准化处理，得到风险因素的风险值V_i：

其中，n_V表示风险因素对应标准项数；V_j表示单个威胁因子的风险值；

S45、对风险因素的风险值进行数据融合以及数据修正，利用效益型处理方法，令量化脆弱性数值接近[1,n_V]固定区间，得到威胁集则风险值V_i的标准化变换为：

完成电力网络标准化风险值的计算。

可优选的，所述步骤S45中通过聚类算法计算脆弱值与相应权值的乘积得出每个故障点的风险值，得到威胁集T。

本发明的特点和有益效果是：

1、本发明提供的电力网络安全研判系统，多引擎获取的风险数据源通过规则自动研判的方式对其安全风险进行研判，相比传统的风险评估具有明显优势，可快速掌握网络应用目前的风险状况，解决了单一数据来源存在的误报率高、风险问题遗漏等问题。

2、本发明提供的电力网络安全研判系统，无需在网络应用上安装插件，可根据相关参数的设定在不影响系统正常运行的情况下主动发现，高效、正确地帮助系统运维管理员评判其应用存在的安全风险，发现问题并及时处置，及时避免安全事件的发生。

3、本发明提供的电力网络安全研判系统的研判方法，通过风险值量化可直观地监控到目前网络应用的风险指数，同时基于风险研判模块构建网络安全评估模型可有效提高风险识别的准确率。

附图说明

图1为本发明电力网络安全研判系统的原理示意图；

图2是本发明的电力网络安全研判系统的一个具体实施例的组成；

图3是本发明的风险规则设定子模块的组成；

图4是本发明的电力网络安全研判方法的流程图；

图5是本发明的网络安全评估模型流程图。

具体实施方式

为详尽本发明之技术内容、结构特征、所达成目的及功效，以下将结合说明书附图进行详细说明。

本发明提供的电力网络安全研判系统，如图1所示，其包括接入源管理模块、应用管理模块、数据管理模块、风险研判模块、综合展示模块和用户管理模块，接入源管理模块针对接入源进行管理，应用管理模块针对所述接入源管理模块添加的网络应用进行统一化管理，数据管理模块针对执行完任务后从不同接口获取的数据源进行统一化数据分析，风险研判模块针对单个网络进行风险规则设定并进行自动化研判，综合展示模块针对网络应用检测的安全风险进行统计展示，用户管理模块针对使用该系统的安全运维管理员进行管理。在一个具体实施例中，电力网络安全研判系统的组成如图2所示。

接入源管理模块包括接入源信息录入子模块、接口及参数获取子模块和任务下发及数据回收子模块，接入源信息录入子模块通过人工录入接入源信息，接入源信息包括接入源名称、接入源的接入IP和开放端口；接口及参数获取子模块进行接入源接口配置的设定以及接入源接入数据参数的获取，任务下发及数据回收子模块通过单一开启该接入源进行任务下发并测试其返回监控数据。

应用管理模块包括网络应用录入子模块、监控管理设定子模块和任务下发子模块，网络应用录入子模块通过人工录入需要监控的网络应用，网络应用包括访问地址、应用权重和所属单位；监控管理设定子模块进行包括监控类型、执行方式和监控频度在内的相关应用设定，监控类型包括漏洞扫描、可用性探测和内容安全性探测；任务下发子模块依据录入的应用及设定好的相关参数下发任务进行执行。

数据管理模块包括数据分类子模块、数据标准化子模块和数据存储子模块，数据分类子模块将所述接入源管理模块收集的多引擎数据进行分类整理，并通过数据标准化子模块对若干数据进行标准化和归一化处理，由数据存储子模块进行各类数据的存储。

风险研判模块包括风险规则设定子模块、风险评价指标计算子模块、数据融合及修正子模块和风险值计算子模块，风险规则设定子模块包括漏洞风险规则设定、可用性风险规则设定和内容安全风险规则设定，如图3所示；风险评价指标计算子模块在所述风险规则设定子模块设定的风险规则的基础上，采用主成分分析法计算主成分载荷量，计算风险评估指标的各变量主成分评定值情况；数据融合及修正子模块采用效益型处理方法对风险因素的风险值进行数据融合和数据修正，风险值计算子模块通过聚类算法计算每个故障点的风险值并进行标准化处理得到电力网络标准化风险值。

可用性风险规则设定为连续n次无法正常访问时单个网络应用扣除n1分且分数扣除上限为n_m分；内容安全风险规则设定为敏感词汇去重后单个扣除n_a分且扣除上限为n_am分，挂马单个扣除n_b分且扣除上限为n_bm分，应用篡改去重后单个扣除n_c分且扣除上限为n_cm分；漏洞风险规则设定为高危去重后单个扣除n_d分且扣除上限为n_dm分，中危去重后单个扣除n_e分且扣除上限为n_em分，低危去重后单个扣除n_fm分且扣除上限为n_fm分。

综合展示模块包括应用展示子模块、风险展示子模块和安全处理展示子模块，所述应用展示子模块展示所述应用管理模块的相关信息，所述风险展示子模块展示所述风险研判模块获得的电力网络标准化风险值并基于风险指数对网络应用进行排序，所述安全处理展示子模块展示待处理的安全事件相关信息。

风险指数为：

本发明的另一方面，如图4所示，提供一种利用前述的电力网络安全研判系统的研判方法，其包括以下步骤：

S1、在接入源管理模块中人工添加系统接入源{test 1,test 2,…,test n}，配置数据参数，测试任务下发及数据获取是否正常。

S2、在应用管理模块中人工录入网络应用，包括应用名称、访问地址、应用权重和单位名称。

S3、设定相关配置参数，选择监控类型、执行方式和监控频度，参数配置好后进行任务下发。

S4、基于风险研判模块构建网络安全评估模型，计算电力网络标准化风险值，识别潜在的风险，具体步骤如图5所示。

其中，j表示威胁因子；Z_ij表示原始数据处理后的结果；X_i表示信息数据i的正常值；X_ij表示信息数据i和威胁因子j的安全价值；S表示威胁因子j造成的风险值。

其中，m表示威胁因子j的贡献总值；Z_ig表示信息数据i的第g个风险特征值；Z_ig表示威胁因子j的第g个贡献值。

S43、取威胁因子累积贡献率代表原变量的变差信息，判断威胁因子的弱点贡献率，计算贡献率和累积贡献率进行风险脆弱性识别，消除评价指标之间的相关影响，对威胁因子的系统脆弱点进行识别，至此获得模型的风险指标。

其中，n_V表示风险因素对应标准项数；V_j表示单个威胁因子的风险值。

完成电力网络标准化风险值的计算。

下面结合一个具体实施例对本发明做进一步的详细说明。

S1、人工添加系统接入源test1、test2和test3，配置数据参数，测试任务下发及数据获取正常。

S2、在应用管理中人工录入Web应用，应用名称为XX网站，访问地址为www.xx.com，应用权重选择二级，单位名称为XXX分公司。

S3、设定相关配置参数，监控类型选择可用性、内容安全和漏洞扫描，执行方式选择立即执行，监控频度选择可用性为5分钟、内容安全为60分钟、漏洞扫描为24小时，参数配置好后进行任务下发。

S4、可用性风险规则设定为连续5次无法正常访问时单个网络应用扣除10分且分数扣除上限为100分；内容安全风险规则设定为敏感词汇去重后单个扣除2分且扣除上限为50分，挂马单个扣除50分且扣除上限为100分，应用篡改去重后单个扣除10分且扣除上限为50分；漏洞风险规则设定为高危去重后单个扣除50分且扣除上限为100分，中危去重后单个扣除5分且扣除上限为50分，低危去重后单个扣除1分且扣除上限为10分。

在全天的监控中，发现网站未出现可用性风险，因此对应风险指数为0；针对内容安全监控中，发现该网站存在5个敏感词汇，不存在挂马，另运行过程中疑似篡改链接1个，因此对应风险指数为20；针对漏洞扫描中，未发现高危漏洞，中危去重后为5个，低危去重后为10个，因此对应风险指数为35。

S5、综合任务研判并结合风险综合指数计算公式计算出的风险指数为7.3。

为验证风险计算模型的可行有效性，进行实验论证，与传统模型进行对比测试。实验对象采取单位某10个对外网站，基于该单位的网络环境进行测试，利用系统中接入的引擎并发进行主动发现，同时系统中设定的相关参数主动发现应用中存在的安全风险，整个测试持续了2h，通过传统未增加该风险计算模型方法与添加该风险计算模型方法进行对比，评判此方法应用于此系统后提供准确识别率的有效性。实验结果如表1所示。

表1

根据上表计算出的风险识别正确概率分别为89.1％和94.9％，相比之下通过风险研判中植入计算模型可使整体风险识别率提高5.8％，进行针对风险计算模型有效。

本发明提供的电力网络安全研判系统，多引擎获取的风险数据源通过规则自动研判的方式对其安全风险进行研判，相比传统的风险评估具有明显优势，可快速掌握网络应用目前的风险状况，解决了单一数据来源存在的误报率高、风险问题遗漏等问题；无需在网络应用上安装插件，可根据相关参数的设定在不影响系统正常运行的情况下主动发现，高效、正确地帮助系统运维管理员评判其应用存在的安全风险，发现问题并及时处置，及时避免安全事件的发生；所提出的研判方法通过风险值量化可直观地监控到目前网络应用的风险指数，同时基于风险研判模块构建网络安全评估模型可有效提高风险识别的准确率、降低系统运维的安全隐患。

以上所述的实施例仅是对本发明的优选实施方式进行描述，并非对本发明的范围进行限定，在不脱离本发明设计精神的前提下，本领域普通技术人员对本发明的技术方案做出的各种变形和改进，均应落入本发明权利要求书确定的保护范围内。

Claims

1.一种电力网络安全研判系统，其特征在于，其包括接入源管理模块、应用管理模块、数据管理模块、风险研判模块、综合展示模块和用户管理模块，所述接入源管理模块针对接入源进行管理，所述应用管理模块针对所述接入源管理模块添加的网络应用进行统一化管理，所述数据管理模块针对执行完任务后从不同接口获取的数据源进行统一化数据分析，所述风险研判模块针对单个网络进行风险规则设定并进行自动化研判，所述综合展示模块针对网络应用检测的安全风险进行统计展示，所述用户管理模块针对使用该系统的安全运维管理员进行管理；

所述综合展示模块包括应用展示子模块、风险展示子模块和安全处理展示子模块，所述应用展示子模块展示所述应用管理模块的信息，所述风险展示子模块展示所述风险研判模块获得的电力网络标准化风险值并基于风险指数对网络应用进行排序，所述安全处理展示子模块展示待处理的安全事件相关信息。

2.根据权利要求1所述的电力网络安全研判系统，其特征在于，所述接入源信息录入子模块中的所述接入源信息包括接入源名称、接入源的接入IP和开放端口；所述网络应用录入子模块中的所述网络应用包括访问地址、应用权重和所属单位；所述监控管理设定子模块的所述监控类型包括漏洞扫描、可用性探测和内容安全性探测。

3.根据权利要求1所述的电力网络安全研判系统，其特征在于，所述风险展示子模块中的所述风险指数为：

4.根据权利要求1所述的电力网络安全研判系统，其特征在于，所述风险规则设定子模块中的所述可用性风险规则设定为连续n次无法正常访问时单个网络应用扣除n1分且分数扣除上限为n_m分；所述内容安全风险规则设定为敏感词汇去重后单个扣除n_a分且扣除上限为n_am分，挂马单个扣除n_b分且扣除上限为n_bm分，应用篡改去重后单个扣除n_c分且扣除上限为n_cm分；所述漏洞风险规则设定为高危去重后单个扣除n_d分且扣除上限为n_dm分，中危去重后单个扣除n_e分且扣除上限为n_em分，低危去重后单个扣除n_fm分且扣除上限为n_fm分。

5.一种利用权利要求1至4之一所述的电力网络安全研判系统的电力网络安全研判方法，其特征在于，其包括以下步骤：

S4、基于所述风险研判模块构建网络安全评估模型，计算电力网络标准化风险值，识别潜在的风险，所述步骤S4具体包括以下步骤：

完成电力网络标准化风险值的计算。

6.根据权利要求5所述的电力网络安全研判方法，其特征在于，所述步骤S45中通过聚类算法计算脆弱值与相应权值的乘积得出每个故障点的风险值，得到威胁集T。