CN114397842B

CN114397842B - 电力监控网络安全智能巡检加固方法

Info

Publication number: CN114397842B
Application number: CN202210016557.9A
Authority: CN
Inventors: 申晓杰; 黄宇; 廖华; 潘鹏; 梁阳; 袁卫义; 李更达; 邓朝翥; 邱可林; 夏梽珺; 程浩; 钟文明; 陈磊; 陈方之
Original assignee: Nanning Monitoring Center of Extra High Voltage Power Transmission Co
Current assignee: Nanning Monitoring Center of Extra High Voltage Power Transmission Co
Priority date: 2022-01-04
Filing date: 2022-01-04
Publication date: 2023-05-23
Anticipated expiration: 2042-01-04
Also published as: CN114397842A

Abstract

本发明公开了一种电力监控网络安全智能巡检加固方法，其采用了收集电力监控网络的安全信息数据、通过机器学习方法执行电力监控网络安全分析、基于配置周期性巡检电力监控网络、根据勘测到的安全风险触发补救措施、调整风险权值、更新攻击配置文件用于加固网络等步骤，通过对电力监控网络的信息收集，对风险入侵行为进行分类，当识别到安全风险后，通过出发补救措施阻断安全风险，并相应更新机器学习后调整出新的决策树，降低因补救措施发生，造成相应风险阻断后的相应信号减少而降低决策树的响应效率。因而本发明具有模型动态化、安全性好、识别效果好的优点。

Description

电力监控网络安全智能巡检加固方法

技术领域

本发明涉及网络安全监管及应用技术领域，尤其涉及电力监控网络安全智能巡检加固方法。

背景技术

电力系统作为国家关键信息基础设施，一旦遭受网络安全攻击将可能导致大面积停电事件，严重威胁企业和国家安全。但是，在实现过程中，发明人发现传统技术中至少存在如下问题：传统用于监控电力监控系统的网络安全的技术预警能力差，导致电力监控系统容易遭受攻击。现有技术如授权公告号为CN110460459B的中国发明专利，公开了一种电力监控系统网络安全态势感知方法，所示方法包括通过实时监控、历史审计、预测分析和展示处置四个方面对电力监控系统的网络安全外部威胁以及自身网络安全脆弱性进行数据采集、安全分析、安全处置以及安全管控，达到对网络安全风险数据获取、理解、预测以及展示处置等目的，从而，本申请电力监控系统网络安全态势感知方法能够全面地对电力监控系统的网络安全外部威胁以及自身网络安全脆弱性进行实时监控、历史审计、预测分析和展示处置，保证电力监控系统能够安全稳定的运行。

发明内容

本发明的目的在于针对现有技术提供一种能模型动态化、安全性好、识别效果好的电力监控网络安全智能巡检加固方法，其包括，以下步骤，

通过电力监控网络从多个设备和/或应用层收集安全信息数据；

基于所收集的安全信息数据，并基于预测函数和所收集的安全信息的风险权值，通过在机器学习方法中执行电力监控网络安全分析，从所收集的数据中识别一个或多个安全风险；以及基于风险权值和安全风险，触发补救措施；其中评估基于预配置库，周期性巡检，周期性改变管理和周期性重新配置；

补救措施触发后，相应的调整风险权值，以更行机器学习方法；

自主学习安全信息数据用于生成和/或修改安全策略配置文件；以及基于所学习到的行为配置文件，更新攻击配置文件用于针对电力监控网络、设备和应用层的加固。通过对电力监控网络的信息收集，对风险入侵行为进行分类，当识别到安全风险后，通过出发补救措施阻断安全风险，并相应更新机器学习后调整出新的决策树，降低因补救措施发生，造成相应风险阻断后的相应信号减少而降低决策树的响应效率。

为了进一步优化技术方案，采取的优化措施还包括：

安全信息数据包括：网络连接基本特征、网络连接内容特征、基于时间的网络流量特征、基于主机的网络流量特征。从多个维度对风险相关的信息进行收集，可以全面的评估电力监控网络的安全风险。

网络连接基本特征含有持续时间信息、协议类型信息、传输数据容量信息；网络连接内容特征含有登录失败的次数、访问敏感文件和目录次数；基于时间的网络流量特征为统计最近两秒的连接关系；基于主机的网络流量特征含有相同主机特征、相同服务特征。通过从数据记录内选择部分可能反映入侵行为的内容特征可以用来检测入侵，根据时间、内容、流量等多维度信息组成立体化的评价指标。

安全信息数据，在训练特征前需要标准化处理处理：首先将安全信息数据数值特征实施标准化处理，然后对其统一标准化处理到[0,1]区间。由于各种信号、信息的取值范围各不相同，在学习过程中需要进行标准化处理。

补救措施含有如下单个或多个操作：读取设备的安全配置策略、修改设备的安全配置策略、升级设备固件、修改设备权限、阻断设备网络连接。通过及时的执行补救措施，能有效阻断正在实施或即将实施的风险行为。在本发明算法是采取调整被触发了补救措施的相应风险权值，随着时间的推移，发生频次多的不同的安全风险会依次逐渐产生风险权值的上升，因此会产生此消彼长的过程，从而实现模型的动态化更新。

触发补救措施后，与该补救措施相关的安全信息风险权值进行上调设置；上调的范围是5％至20％。触发补救措施后，原有分类器相应的风险权值如果保持不变，仍能够进行决策树运算，但是，由于其突然缺少了原有被触发补救措施相应的安全风险信息，造成决策树特定叶节点在原有风险权值信息下并没有原有匹配数量多安全风险，梯度会出现很大的异常。经对比，通过降低可以获得效率更高的决策树T。

本发明还公开了实现上述电力监控网络安全智能巡检加固方法的计算机程序和存储有上述计算机程序的存储介质。

由于本发明采用了收集电力监控网络的安全信息数据、通过机器学习方法执行电力监控网络安全分析、基于配置周期性巡检电力监控网络、根据勘测到的安全风险触发补救措施、调整风险权值、更新攻击配置文件用于加固网络等步骤，通过对电力监控网络的信息收集，对风险入侵行为进行分类，当识别到安全风险后，通过出发补救措施阻断安全风险，并相应更新机器学习后调整出新的决策树，降低因补救措施发生，造成相应风险阻断后的相应信号减少而降低决策树的响应效率。因而本发明具有模型动态化、安全性好、识别效果好的的优点。

附图说明

图1为本发明实施例的步骤顺序示意图；

图2为本发明实施例的算法模型示意图；

图3为本发明实施例的识别效果示意图；

图4为本发明实施例的相应耗时比较示意图；

图5为本发明实施例的识别率比较示意图。

具体实施方式

以下结合附实施例对本发明作进一步详细描述。

实施例：

参照图1至图3，电力监控网络安全智能巡检加固方法，其包括，以下步骤，通过电力监控网络从多个设备和/或应用层收集安全信息数据；

补救措施含有如下单个或多个操作：读取设备的安全配置策略、修改设备的安全配置策略、升级设备固件、修改设备权限、阻断设备网络连接。通过及时的执行补救措施，能有效阻断正在实施或即将实施的风险行为。在本发明算法是采取调整被触发了补救措施的相应风险权值，随着时间的推移，发生频次多的不同的安全风险会依次逐渐产生风险权值的上升，因此会产生此消彼长的过程，保持决策树平衡，从而实现模型的动态化更新。

传统运维系统以监控与告警为核心，采集的都是系统和设备日志、流量信息，无法获取到系统和设备的安全配置策略，对实际系统和设备的安全策略配置是否有效无法进行审查和判别，更不能实现安全策略的具体配置来提升系统和设备的安全防护能力。针对电力监控系统安全漏洞解决难得问题，通过对常见漏洞的影响如：弱口令、缓冲区溢出、木马程序隐藏进程等攻击方式和手段进行分析、总结，通过本方法能够实现对系统的弱口令破解检测、暴力破解防护、反弹shell防护、程序运行保护等功能，实现对系统抗攻击能力，弥补安全策略对操作系统防护的不足。输入:训练数据集D，特征集A，最大循环次数K_max.，即构建K_max棵决策树。输出:K_max棵决策树合并后的最终决策树T。

(1)将训练样本特征集A初始化为M类，循环次数K＝0，m＝1。

(2)开始循环，循环次数K+1；

(3)对预测函数F(x)进行Logistic变换；

(4)开始内层循环，循环次数m+1，对于当前样本点对应M种分类；

(5)计算误差减小的梯度方向；

(6)构建当前节点以误差减小的梯度方向为划分标准的决策树；

(7)计算当前决策树每个叶子节点的风险权值；

(8)当m＝M，K＝K_max时循环结束，返回最终决策树T。

在每次迭代中增加上一轮梯度的更新值，梯度的方向即是误差减少的方向，使得每一次迭代都去拟合损失函数在当前模型下的负梯度，这样每次迭代训练都能使损失函数以最大速率减小，从而构建一个误差更小的新模型。本算法是以决策树作为弱分类器的Gradient boosting算法，是Gradient boosting和决策树的结合，其选择特征的过程就是决策树生成的过程。图3中浅色点是风险入侵行为，深色点是正常的访问操作。由图可知，单一通过风险权值的方式会误伤小概率的正常访问操作。因此，在巡检过程中安全信息数据的选取和优化是十分必要的，通过对模型的更新，再结合风险权值对隐患进行排查。

标准化处理方法如下，令任一入侵值特征数据X_ij标准化后得到X_ij′，X_ij′标准化处理后得到X_ij″，公式如下：

其中，

AVG_j表示X_ij的平均值(i＝1…n)，STD_j为X_ij的平均绝对离差。X_min，X_max分别表示X’_ij的最大值和最小值。

对预测函数F(x)进行Logistic变换采用如下方式处理：

F(x)＝∑^M _m＝1T(x；θ_m)

模型一共训练M轮，每轮产生一个弱分类器T(x_i；θ_m)，弱分类器的损失函数下式所示。

θ_m＝arg minθ_m∑^N _i＝1(y_i,F_m-1(x_i)+T(x_i；θ_m))

F_m-1(x_i)为当前的模型，通过经验风险极小化来设置下一个弱分类器的参数θ。函数L为平方损失函数。

触发补救措施后，与该补救措施相关的安全信息风险权值进行上调设置，上调的范围是5％至20％。采用评估分类的一下模型进行比较，

Acc＝(TP+TN)/(TP+TN+FP+FN)

其中TP表示攻击样本被分类正确的数目，FP表示正常样本被判断为攻击样本数目，FN表示攻击样本被判断为正常的样本数目，TN表示正常样本被分类正确的数目。通过实施自动的补救措施后，学习模型需要进行更新，否则，在算法进行到该节点时容易漏过或者不当的堵塞在节点，会导致效率下降、模型的正确率波动等一系列问题。图4比较了现有技术K-mean和本实施例在测试样例样本数逐渐增加的情况下，不同的识别出风险行为信息耗时。通过调整相应的权值，在模型更新后，决策树的识别效果有所提高。图5比较了现有技术与本实施例的识别准确性，本发明较现有技术有较高的优势。

尽管已结合优选的实施例描述了本发明，然其并非用以限定本发明，任何本领域技术人员，在不脱离本发明的精神和范围的情况下，能够对在这里列出的主题实施各种改变、同等物的置换和修改，因此本发明的保护范围当视所提出的权利要求限定的范围为准。

Claims

1.电力监控网络安全智能巡检加固方法，其特征是：包括以下步骤，

基于所收集的安全信息数据，并基于预测函数和所收集的安全信息的风险权值，通过在机器学习方法中执行电力监控网络安全分析，从所收集的数据中识别一个或多个安全风险；以及基于所述的风险权值和所述的安全风险，触发补救措施；评估基于预配置库，周期性巡检，周期性改变管理和周期性重新配置；

所述的补救措施触发后，相应的调整风险权值，以更新所述的机器学习方法；

自主学习所述安全信息数据用于生成和/或修改安全策略配置文件；以及基于所学习到的行为配置文件，更新攻击配置文件用于针对电力监控网络、设备和应用层的加固；

所述的安全信息数据，在训练特征前需要标准化处理：首先将安全信息数据数值特征实施标准化处理，然后对其统一标准化处理到[0,1]区间，具体包括：

令任一入侵值特征数据X_ij标准化后得到X_ij'，X_ij'标准化处理后得到X_ij”，公式如下：

其中，

AVG_j表示X_ij的平均值(i＝1…n)，STD_j为X_ij的平均绝对离差；X_min，X_max分别表示X_i’_j的最大值和最小值。

2.如权利要求1所述的电力监控网络安全智能巡检加固方法，其特征是：所述的安全信息数据包括：网络连接基本特征、网络连接内容特征、基于时间的网络流量特征、基于主机的网络流量特征。

3.如权利要求2所述的电力监控网络安全智能巡检加固方法，其特征是：

所述的网络连接基本特征含有持续时间信息、协议类型信息、传输数据容量信息；

所述的网络连接内容特征含有登录失败的次数、访问敏感文件和目录次数；

所述的基于时间的网络流量特征为统计最近两秒的连接关系；

所述的基于主机的网络流量特征含有相同主机特征、相同服务特征。

4.如权利要求1所述的电力监控网络安全智能巡检加固方法，其特征是：所述的补救措施含有如下单个或多个操作：读取设备的安全配置策略、修改设备的安全配置策略、升级设备固件、修改设备权限、阻断设备网络连接。

5.如权利要求1所述的电力监控网络安全智能巡检加固方法，其特征是：所述的触发补救措施后，与该补救措施相关的安全信息风险权值进行上调设置；所述的上调的范围是5％至20％。

6.实现如权利要求1所述的电力监控网络安全智能巡检加固方法的计算机程序。

7.存储有如权利要求6所述的计算机程序的存储介质。