CN114331029A

CN114331029A - 一种电力监控系统运维风险分析方法及系统

Info

Publication number: CN114331029A
Application number: CN202111484025.XA
Authority: CN
Inventors: 徐志光; 李泽科; 余斯航; 陈郑平; 李宽宏; 李兆祥; 多志林; 梁野
Original assignee: Beijing Kedong Electric Power Control System Co Ltd; State Grid Fujian Electric Power Co Ltd; State Grid Electric Power Research Institute
Current assignee: Beijing Kedong Electric Power Control System Co Ltd; State Grid Fujian Electric Power Co Ltd; State Grid Electric Power Research Institute
Priority date: 2021-12-07
Filing date: 2021-12-07
Publication date: 2022-04-12

Abstract

本发明公开了一种电力监控系统运维风险分析方法，所述方法包括：获取设定时间段内的目标对象的操作行为的文本数据；采用预设的多层次分析模型和流处理计算框架对获取到的文本数据进行关联分析，得到目标对象的操作行为的实时评分；基于实时评分得到操作行为的威胁指数，根据威胁指数确定风险等级。本发明能够快速确认电力监控系统运维风险，大大降低了电力监控系统安全隐患。

Description

一种电力监控系统运维风险分析方法及系统

技术领域

本发明涉及一种电力监控系统运维风险分析方法及系统，属于电网电力技术领域。

背景技术

在网络安全对抗与攻击愈演愈烈的背景下，电力行业将面临诸多挑战与机遇；同时，国内的法律法规同样对电力行业网络安全提出了更高要求。安全防护专项检查发现当前的电力监控系统安全防护体系中越来越多的安全问题来自于内部，尤其是运维环节内部人员的非授权操作，或者非授权人员的运维操作都会将额外的风险引入到电力监控系统。例如移动介质和设备接入、主机被非法登入利用、关键目录文件被删除等。那么对人员行为、运维操作进行安全综合评估就显得十分重要。然而，现有的对人员行为、运维操作进行安全审计都是基于单一时刻、单条行为记录进行分析、研究。

目前电力监控系统安全防护体系对人员行为、运维操作能够按照一定的规则进行危险操作记录的收集与展示，在一定程度上提高了安全性，支撑了电力监控系统网络安全建设。但是随着业务的不断深入和拓展，操作行为变得频繁和复杂，随之而来的问题也日益突出，主要问题包括：对行为记录的分析还停留在单一层面上，没有对各个行为记录进行有效整合并作关联分析，未能对行为操作做出一个客观的安全综合评价；目标对象对于内部人员恶意行为，缺少快速、及时的发现手段，仅能通过操作日志后期审计发现，效率低、时间长，无法在初始阶段发现异常并阻断。

发明内容

本发明的目的在于克服现有技术中的不足，提供一种电力监控系统运维风险分析方法及系统，能够便于快速确认操作行为对电力监控系统运维风险的影响，大大降低了电力监控系统安全隐患。为达到上述目的，本发明是采用下述技术方案实现的：

第一方面，本发明提供了一种电力监控系统运维风险分析方法，所述方法包括：

获取设定时间段内的目标对象的操作行为的文本数据；

采用预设的多层次分析模型和流处理计算框架对获取到的文本数据进行关联分析，得到目标对象的操作行为的实时评分；

基于实时评分得到操作行为的威胁指数，根据威胁指数确定风险等级。

结合第一方面，进一步地，所述获取设定时间段内的目标对象的操作行为的文本数据，包括：

获取设定时间段内电力监控系统中主机、网络设备、安防设备和数据库响应于目标对象的操作行为生成的实时信号；

将获取到的实时信号进行解析和格式化处理，得到设定时间段内的目标对象的操作行为的文本数据。

结合第一方面，进一步地，所述流处理计算框架为Spark流处理框架，采用Spark滑动窗口的计算方式，所述Spark滑动窗口的窗口时间长度为10min，滑动时间间隔为10s。

结合第一方面，进一步地，所述得到目标对象的操作行为的实时评分，包括：

对获取到的目标对象的操作行为的文本数据与预设的多层次分析模型进行关联分析，确定目标对象的操作行为的类型；

基于目标对象的操作行为的类型从预设的多层次分析模型中匹配该类型对应的权重，利用预设公式计算目标对象的操作行为的实时评分。

结合第一方面，进一步地，所述预设公式，通过下式表示：

式(1)中，X_j表示类型j对应的操作行为，当目标对象的操作行为与类型j匹配时，则X_j＝1，否则X_j＝0；W_j表示类型j对应的权重；Z表示目标对象的操作行为的实时评分。

结合第一方面，进一步地，操作行为的类型对应的权重，通过以下步骤训练得到的：

初始化历史数据，包括m条数据，每条数据包括n个影响因素，得到矩阵A：

(2)中，矩阵A中包括m行历史数据，每行表示每条数据的n个操作行为；矩阵A中包括n列操作行为，每列表示某个操作行为的特征值；

取矩阵A的第i行j列元素x_ij，对元素x_ij进行归一化处理，且i∈{1,2,...m}、j∈{1,2,....n}；由归一化后的元素x’_ij得到归一化矩阵A’；

基于归一化矩阵A’，计算第j列操作行为中第i个数据所占比重P_ij，通过下式计算得到：

计算第j项指标的熵值，通过下式计算得到：

(4)中，E_j表示第j项指标的熵值；m表示样本总数，有m行记录；基于第j项指标的熵值，确定权重：

(5)中，W_j表示第j项指标的权重；

所述预设的多层次分析模型有j列操作行为，每列的操作行为的权重为W_j，得到操作行为的类型对应的权重。

结合第一方面，进一步地，所述根据威胁指数确定风险等级，包括：

将目标对象操作行为的实时评分映射到预设区间内，得到实时评分在区间内的映射结果，所述映射结果为操作行为的威胁指数，

当威胁指数在第一区间内，则设定时间段内所有操作行为对电力监控系统运维风险的影响为低危；

当威胁指数在第二区间内，则设定时间段内所有操作行为对电力监控系统运维风险的影响为中危；

当威胁指数在第三区间内，则设定时间段内所有操作行为对电力监控系统运维风险的影响为高危；

其中，第一区间的最小值为预设区间的最小值，第一区间的最大值小于第二区间最小值，第二区间的最大值小于第三区间的最小值，第三区间的最大值为预设区间的最大值。

结合第一方面，进一步地，所述方法还包括：

将历史操作行为数据和实时评分存储于分布式存储系统，将得到的风险等级存储于非关系型数据库Redis。

第二方面，本发明提供了一种电力监控系统运维风险分析系统，包括：

获取模块：用于获取设定时间段内的目标对象的操作行为的文本数据；

处理模块：用于采用预设的多层次分析模型和流处理计算框架对获取到的文本数据进行关联分析，得到目标对象的操作行为的实时评分；

判断模块：用于基于实时评分得到操作行为的威胁指数，根据威胁指数确定风险等级。

第三方面，本发明提供了一种计算机设备，包括处理器及存储介质；

所述存储介质用于存储指令；

所述处理器用于根据所述指令进行操作以执行第一方面所述方法的步骤。

第四方面，本发明提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现第一方面所述方法的步骤。

与现有技术相比，本发明实施例所提供的一种电力监控系统运维风险分析方法及系统所达到的有益效果包括：

本发明获取设定时间段内的目标对象的操作行为的文本数据；采用预设的多层次分析模型和流处理计算框架对获取到的文本数据进行关联分析，得到目标对象的操作行为的实时评分；本发明与多层次分析模型进行关联分析，能够对各个孤立的操作行为进行有效整合，基于多层次分析模型对目标对象的操作行为进行实时安全评估；

本发明基于实时评分得到操作行为的威胁指数，根据威胁指数确定风险等级；本发明能够得到操作行为的威胁指数的准确数值，能够快速确认电力监控系统运维风险等级，得到的风险等级能够客观反映操作行为的对电力监控系统运维风险的影响；本发明便于快速确认电力监控系统的异常，大大降低了电力监控系统安全隐患。

附图说明

图1是本发明实施例一提供的一种电力监控系统运维风险分析方法的流程图；

图2是本发明实施例一提供的一种电力监控系统运维风险分析方法中多层次分析模型的结构图；

图3是本发明实施例一提供的一种电力监控系统运维风险分析方法的网络架构图；

图4是本发明实施例一提供的一种电力监控系统运维风险分析方法的获取目标对象操作行为的网络架构图；

图5是本发明实施例一提供的一种电力监控系统运维风险分析方法的威胁指数趋势示意图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

实施例一：

如图1，本发明实施例提供了一种电力监控系统运维风险分析方法，包括：

获取设定时间段内的目标对象的操作行为的文本数据；

目标对象操作行为包括登录异常、外部设备插拔、访问异常、非法开放端口、修改配置、变更权限和下达重要操作指令。目标对象指实施操作行为的操作人员。

如图2所示，目标对象操作行为具体包括：

①登录异常指目标对象登录电力监控系统的主机、数据库、网络设备和安防设备中任何一个或多个时，存在登录异常，包括目标对象本地登录失败、目标对象远程登录失败和未授权的目标对象登录。

②外部设备插拔指目标对象对电力监控系统中主机的串口设备、USB设备进行非法插拔。

③访问异常指目标对象在电力监控系统中存在以下一种或多种操作行为，包括异常访问服务、异常访问数据、访问多端口、违规非法访问数据和使用SSH口令。

其中，异常访问包括异常访问SMB服务、异常访问SNMP服务和异常访问FTP服务。

其中，所述异常访问数据指非法访问敏感数据和非法导出数据。

其中，所述访问多端口指目标对象访问同时访问主机的多个端口。

其中，所述使用SSH口令指目标对象使用SSH病毒入侵电力监控系统进行大量异常访问，或目标对象处于业务需要使用SSH口令对电力监控系统进行大量访问，该异常操作行为需要操作人员进行现场确认。

④非法开放端口指目标对象在电力监控系统主机中非法开放端口，包括非法开放FTP协议端口、非法开放TELENT协议端口、非法开放TCP协议端口和非法开放其他端口，非法开放端口会导致网络入侵。

⑤修改配置指目标对象修改电力监控系统主机的配置文件、修改电力监控系统安防设备的配置项、修改电力监控系统网络设备的配置、修改电力监控系统数据库的配置。

⑥变更权限指目标对象变更主机的文件访问权限、变更主机的文件属主和变更用户权限，变更权限会导致系统崩溃；其中，变更主机的文件访问权限包括变更文件可执行权限、变更写入文件权限和更改读取文件权限。

⑦下达重要操作命令指目标对象对主机、数据库、网络设备下达危险的操作命令，包括下达删除关键文件的操作命令、下达恶意更改数据库数据的操作命令。

具体地，预设的多层次分析模型根据目标对象的操作行为，设置有7个模块，包括登录异常模块、外部设备插拔模块、访问异常模块、非法开放端口模块、修改配置模块、变更权限模块和下达重要操作指令模块。

如图4所示，获取设定时间段内的目标对象的操作行为的文本数据，包括：

如图3所示，通过Kafka数据管道进行文本数据的获取，Kafka数据管道搭载有agent采集程序，agent采集程序用于采集主机、网络设备、安防设备和数据库响应于目标对象的操作行为生成的实时信号，agent采集程序每隔固定时间执行采集命令或持续接收数据。

如图3所示，流处理计算框架为Spark流处理框架，Spark流处理框架搭载有计算逻辑，所述计算逻辑是得到目标对象的操作行为的实时评分的计算逻辑。Spark流处理框架采用Spark滑动窗口的计算方式，每隔10s对最近10min内的目标对象的所有操作行为作一次实时评分。

得到目标对象的操作行为的实时评分，包括：

具体的，预设公式，通过下式表示：

预设的多层次分析模型中操作行为的类型对应的权重，通过以下步骤训练得到的：

步骤1：初始化历史数据，包括m条数据，每条数据包括n个影响因素，得到矩阵A：

(2)中，矩阵A中包括m行历史数据，每行表示每条数据的n个操作行为；矩阵A中包括n列操作行为，每列表示某个操作行为的特征值。

步骤2：取矩阵A的第i行j列元素x_ij，对元素x_ij进行归一化处理，且i∈{1,2,...m}、j∈{1,2,....n}；根据熵值法，若元素x_ij之间离散化程度越大，则该元素对应的操作行为在预设的多层次分析模型中的影响越大，则为该元素赋予的权重越大。

具体的，归一化处理目的是消除各元素之间含义、度量方式及量级之间的差别，归一化处理包括：

当元素x_ij的特征值越大，与其他指标之间的差别越小，则归一化公式为：

当元素x_ij的特征值越小，与其他指标之间的差别越小，则归一化公式为：

(3)、(4)中，x’_ij表示归一化后的元素；x_j表示第j列操作行为的特征值，x_max表示历史数据中第j列操作行为的特征值的最大值，x_min表示历史数据中第j列操作行为的特征值的最小值。

步骤3：由归一化后的元素x’_ij得到归一化矩阵A’。

基于归一化矩阵A’，计算第j列操作行为中第i个数据所占比重P_ij，比重P_ij用于衡量x’_ij出现特定特征值的概率，与x’_ij的特征值大小无关。比重P_ij通过下式计算得到：

计算第j项指标的熵值，通过下式计算得到：

(6)中，E_j表示第j项指标的熵值；m表示样本总数，有m行记录；基于第j项指标的熵值，确定权重：

(7)中，W_j表示第j项指标的权重。

步骤4：预设的多层次分析模型有j列操作行为，每列的操作行为的权重为W_j，得到操作行为的类型对应的权重。

根据威胁指数确定风险等级，包括：

具体的，预设区间为[0，100]，则第一区间为[0，43]，第二区间为(43，76]，第三区间为(76，100]。

如图3所示，还包括：将历史操作行为数据和实时评分存储于分布式存储系统，将得到的风险等级存储于非关系型数据库Redis。

存储于分布式存储系统的历史操作行为数据和实时评分方便读取，用于为故障排查提供数据支撑。

实施例二：

本发明实施例提供了一种电力监控系统运维风险分析系统，包括：

电力监控系统运维风险分析系统还包括显示模块，用于显示设定时间段内目标对象操作行为对电力监控系统运维风险的影响。显示模块在风险等级为低危时，显示黄绿色图标；在风险等级为中危时，显示橘黄色图标；在风险等级为高危时，显示红色图标。

实施例三：

采用实施例一所述的方法和实施例二所述的系统，以国家电网公司相关运行单位于2019年11月23日上午09时25分06秒至12时20分21秒获取的目标对象的操作行为的文本数据为例，每隔10s对最近10min内的目标对象的所有操作行为作一次实时评分，并基于实时评分得到操作行为的威胁指数。

如图5所示，以时间为横轴，威胁指数为纵轴生成该时间段内威胁指数的折线图。

具体地，在09时26分到09时50分存在目标对象非法开放端口、非法导出数据和拔插USB设备的操作行为，在09时54分到10时15分存在目标对象同时访问主机的多个端口和主机的文件访问权限的操作行为，在10时20分到10时28分存在目标对象修改电力监控系统网络设备的配置的操作行为。从图5中看出以上时间段内威胁指数显著提高，当操作行为结束，威胁指数降低。在目标对象正常实施操作行为时，威胁指数稳定。威胁指数的折线图能够清晰直观的展现当前时间段内威胁指数的变化趋势。

实施例四：

本发明实施例提供了一种计算机设备，包括处理器及存储介质；

所述存储介质用于存储指令；

所述处理器用于根据所述指令进行操作以执行实施例一所述方法的步骤。

实施例五：

本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现实施例一所述方法的步骤。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。