CN115632821A

CN115632821A - 基于多种技术的变电站威胁安全检测及防护方法及装置

Info

Publication number: CN115632821A
Application number: CN202211175402.6A
Authority: CN
Inventors: 李国栋; 魏博文; 李鹏; 王硕; 程卫兵; 张苗苗
Original assignee: Bortala Power Supply Co Of State Grid Xinjiang Electric Power Co ltd; State Grid Corp of China SGCC
Current assignee: Bortala Power Supply Co Of State Grid Xinjiang Electric Power Co ltd; State Grid Corp of China SGCC
Priority date: 2022-09-26
Filing date: 2022-09-26
Publication date: 2023-01-20

Abstract

本发明涉及一种安全检测技术领域，是一种基于多种技术的变电站威胁安全检测及防护方法及装置，前者包括：获取网络流量数据，基于规则泛化和攻击重构得到异常关联数据；基于机器学习对异常关联数据进行威胁分级，和/或，基于用户行为分析及机器学习对异常关联数据进行攻击检测。本发明基于规则泛化的入侵检测技术，结合统计学方法，对已建立的snort规则库进行特征分析，通过数据挖掘算法和规则泛化方法建立规则泛化的入侵检测改进模型，实现对未知攻击行为的识别；并且利用机器学习和行为分析技术对异常关联数据进行威胁分级及攻击检测，实现对变电站电力系统的安全防护，并大量新型主体在电网的安全接入与互动提供有力支撑和客观依据。

Description

基于多种技术的变电站威胁安全检测及防护方法及装置

技术领域

本发明涉及一种安全检测技术领域，是一种基于多种技术的变电站威胁安全检测及防护方法及装置。

背景技术

目前在变电站中主要采用防火墙和入侵检测设备进行安全防护，基于误用或签名的系统维护与已知攻击相对应的预定义签名(模式)数据库，并通过将它们与审计数据流进行比较来执行检测。有许多基于签名的开源idss在企业领域中得到了广泛的应用，例如Snort、Bro和Suricata。此外，现有的各种安全解决方案包括已知供应商提供的网络入侵检测，例如AlienVault提供的统一安全管理(USM)、Cisco提供的下一代iPS(Ngips)和Fireye的network security。但这种检测方式只能检测已知攻击，严重依赖于特征库。并且极易容易绕过。

发明内容

本发明提供了一种基于多种技术的变电站威胁安全检测及防护方法及装置，克服了上述现有技术之不足，其能有效解决现有变电站威胁安全检测及防护方法存在的只能检测已知攻击，严重依赖于特征库的问题。

本发明的技术方案之一是通过以下措施来实现的：一种基于多种技术的变电站威胁安全检测及防护方法，包括：

获取网络流量数据，基于规则泛化和攻击重构得到异常关联数据；

基于机器学习对异常关联数据进行威胁分级，和/或，基于用户行为分析及机器学习对异常关联数据进行攻击检测。

下面是对上述发明技术方案的进一步优化或/和改进：

上述基于机器学习对异常关联数据进行威胁分级包括：

将异常关联数据带入强分类器，输出分类结果H(x)，其中强分类器是通过多组训练数据和Real Adaboost算法训练出来的，所述多组训练数据中的每一组训练数据均包括历史异常关联数据；

将分类结果H(x)以百分制的形式输出，并结合比较结果规则将其与转化为百分制的阈值b比较，输出威胁等级结果；

其中比较结果规则包括：

1、H(x)<b时判断为无威胁；

2、H(x)-b<[(100-b)/3]时判断为低威胁；

3、[(100-b)/3]<H(x)-b<[2(100-b)/3]时判断为为中等威胁；

4、H(x)-b>[2(100-b)/3]时判断为高威胁。

上述还包括在分类结果H(x)等于阈值b时，通过与FP-growth算法产生的关联规则相比对，共同决定该异常关联数据的分类结果。

上述基于用户行为分析及机器学习对异常关联数据进行攻击检测，包括：

提取异常关联数据中的异常行为特征；

利用异常行为分析模型对异常行为特征进行分析，输出异常用户行为，确定对应的攻击。

上述获取网络流量数据，基于规则泛化和攻击重构得到异常关联数据，包括：

获取网络流量数据；

利用入侵检测改进模型对网络流量数据进行低层次的单步攻击检测，输出低级警报，其中，入侵检测改进模型为对规则库进行泛化，根据泛化后的规则库和Snort入侵检测技术建立的入侵检测改进模型；

利用攻击重构技术，对低级警报进行关联及学习，重构出高层次的多步攻击场景，输出异常关联数据。

上述利用攻击重构技术，对低级警报进行关联及学习，重构出高层次的多步攻击场景，完成多步攻击检测，包括：

获取低级警报，并将低级警报关联组成候选攻击序列；

将候选攻击序列聚合形成超警报序列；

对超警报序列进行学习分析，从超警报序列中获取攻击模式；

利用交互式攻击链与顺序攻击链结合的方式构造攻击树，输出异常关联数据。

本发明的技术方案之二是通过以下措施来实现的：一种基于多种技术的变电站威胁安全检测及防护装置，包括：

数据获取单元，获取网络流量数据，基于规则泛化和攻击重构得到异常关联数据；

防护检测单元，基于机器学习对异常关联数据进行威胁分级，和/或，基于用户行为分析及机器学习对异常关联数据进行攻击检测。

本发明有益效果包括：

1、基于规则泛化的入侵检测技术，结合统计学方法，对已建立的snort规则库进行特征分析，通过数据挖掘算法和规则泛化方法建立规则泛化的入侵检测改进模型，实现对未知攻击行为的识别。

2、基于入侵检测系统警报的攻击重构技术，结合规则泛化的入侵检测改进模型的警报，利用统计和挖掘技术来关联捕获的数据，重构出高层次的多步攻击场景，得到异常关联数据。

3、利用机器学习和行为分析技术对异常关联数据进行威胁分级及攻击检测，实现对变电站电力系统的安全防护，并大量新型主体在电网的安全接入与互动提供有力支撑和客观依据。

附图说明

附图1为本发明的方法流程图。

附图2为本发明中威胁分级的方法流程图。

附图3为本发明中攻击检测的方法流程图。

附图4为本发明中获取异常关联数据的方法流程图。

附图5为本发明的装置结构示意图。

具体实施方式

本发明不受下述实施例的限制，可根据本发明的技术方案与实际情况来确定具体的实施方式。

下面结合实施例及附图对本发明作进一步描述：

实施例1：如附图1所示，本发明实施例公开了一种基于多种技术的变电站威胁安全检测及防护方法，包括：

步骤S101，获取网络流量数据，基于规则泛化和攻击重构得到异常关联数据；

步骤S102，基于机器学习对异常关联数据进行威胁分级，和/或，基于用户行为分析及机器学习对异常关联数据进行攻击检测。

实施例2：如附图2所示，本发明实施例公开了一种基于多种技术的变电站威胁安全检测及防护方法，其中基于机器学习对异常关联数据进行威胁分级进一步包括：

步骤S2011，将异常关联数据带入强分类器，输出分类结果H(x)，其中强分类器是通过多组训练数据和Real Adaboost算法训练出来的，所述多组训练数据中的每一组训练数据均包括历史异常关联数据；

这里Real Adaboost算法是在AdaboostM1算法的基础上增加了划分若干个不相交的子空间并给每个子空间分别计算并输出的功能，该算法的核心算法如下：

给定训练集：(x₁,y₁),…,(x_m,y_m)；

训练集样本的初始分布：

循环t＝1,2,..T：(T是若分类器的个数)；

将每一维特征的取值空间划分为若干个不相交的子空间bins(X₁,…,X_m)，计算每一个弱分类器的输出，

其中∈是一个很小的正常量用于平滑输出，通常取

h(x)是一个分段线性函数，在每个子空间上有不同的输出值；计算归一化因子，

即计算每个子空间上正负样本带权和的积，然后再加和选择Z最小的弱分类器h(x)作为该轮迭代选出的弱分类器Z_t＝minZ,h_t＝arg minZ；

更新样本分布D_t+1(i)＝D_t(i)exp[-y_ih_t(x_i)]；

最终的强分类器为:

其中b是阈值，由用户设定。

步骤S2012，将分类结果H(x)以百分制的形式输出，并结合比较结果规则将其与转化为百分制的阈值b比较，输出威胁等级结果；

其中比较结果规则包括：

1、H(x)<b时判断为无威胁；

2、H(x)-b<[(100-b)/3]时判断为低威胁；

3、[(100-b)/3]<H(x)-b<[2(100-b)/3]时判断为为中等威胁；

4、H(x)-b>[2(100-b)/3]时判断为高威胁。

这里强分类器的输出不需要减去阈值b，而是以百分制的形式输出，然后再与转化为百分制的阈值b比较。若分类结果H(x)等于阈值b时，通过与FP-growth算法产生的关联规则相比对，共同决定该异常关联数据的分类结果。

FP-growth算法是改进自Apriori算法的一种关联规则挖掘算法。FP-growth算法首先将扫描数据库的次数缩减为2次，第一次扫描数据库统计每个数据项的出现频率，第二次则创建FP树，接着通过FP树挖掘频繁项集，最后，通过频繁项集挖掘关联规则。

其中，构建FP树的算法如下所示：

输入：数据集、最小值尺度；

输出：FP树、头指针表；

遍历数据集，统计各元素项出现次数，创建头指针表；移除头指针表中不满足最小值尺度的元素项；第二次遍历数据集，创建FP树。

对每个数据集中的项集：

初始化空FP树；对每个项集进行过滤和重排序；使用这个项集更新FP树，从FP树的根节点开始：如果当前项集的第一个元素项存在于FP树当前节点的子节点中，则更新这个子节点的计数值；否则，创建新的子节点，更新头指针表；对当前项集的其余元素项和当前元素项的对应子节点递归更新FP树的过程。

创建了FP树之后可以根据FP树来发现其中的频繁项集，包括3个步骤：从FP树中获得条件模式基；利用条件模式基，构建一个条件FP树；迭代重复上述步骤，直到树包含一个元素项为止。

实施例3：如附图3所示，本发明实施例公开了一种基于多种技术的变电站威胁安全检测及防护方法，其中基于用户行为分析及机器学习对异常关联数据进行攻击检测，包括：

步骤S2021，提取异常关联数据中的异常行为特征；

步骤S2022，利用异常行为分析模型对异常行为特征进行分析，输出异常用户行为，确定对应的攻击。

本发明中异常行为特征提取如下所示：

根据用户几种主要异常操作数据，本发明按照不同维度来分片统计的方法进行异常行为特征提取，异常行为特征如下表所示。

本发明基于w-iForest无监督算法作为异常行为分析模型，针对不同的异常检测场景，设计了以下各类异常行为分析模型：

异常登陆设备指纹异常登录设备指纹异常登录包括同一个设备在一定时间段内，频繁注册、登录、修改或重置密码等操作设备指纹行为，非工作时间频繁登录等行为。根据发送指令字节数的不同，可以分析出用户登录的成功和失败。结合非侵入式软探针提供的用户日志数据，可以提炼出多种异常登录模型，如频繁登录、暴力破解、异地登录、撞库攻击等。暴力破设备指纹解和撞库攻击的共同点是同一个设备指纹有大量的登录操作，且每次登录的间隔时间很小或者设备指纹有固定的规律。不同点是暴力破解是同一用户名有很多次的密码尝试，且绝大部分都是登设备指纹录失败，成功次数较少。撞库攻击的特点是每个用户名基本上只实验一次，大部分是因为用户名不存在而失败。

频繁登录：把用户登录系统的日志记录，与用户设备指纹进行融合，并做聚合分析，计算访问量的熵，访问量之间满足幂率定律。针对超出幂率定律的访问量、存在异常的可能性以及超出数量等级做报警提示。

暴力破解：暴力破解的特点是程序执行，登录访问频率高，同一用户名，密码错误次数多。登录页面URL访问，根据学习建立时间序列模型，当访问与模型对比，出现异常，再根据登录URL成功与否、密码不正确错误登录次数、设备指纹用户性质判定频繁登录行为是否为暴力破解。如根据用户的允许错误密码最大次数、登录URL日志信息字节返回数来确定是否登录成功或失败等信息，对登录次数超过一定量(10次)的设备指纹进行分析。

敏感的配置项(关键字)操作：擅自修改数据库信息，擅自修改其他账号数据库权限等。

异地登录：客户登录不在用户注册地区登录，或者不在常用的访问区域登录。根据客户账号确定客户所在地区，IP登录信息获取客户登录所在地区，两者相互对比，不在同一地区即为异地登录。

异常访问：通过收集访问者和服务器不同维度的访问记录，对协议进行深度剖析)关联分析及对比，判断是否为异常行为或未知威胁，进行预警和提前防范。

高频操作：与其他用户频率相比，在一定时间段内，某人大量重复进行特定模式的操作，如在30分钟内频繁访问查询某信息系统超过100次。

跨地域操作：异地IP频繁跨地域访问本地业务系统，进行与工作无关的操作，如上海某人经常访问北京某应用系统。

敏感行为操作：某些正常的操作数量、频率异常，某些与实际工作无关或相关度低的操作。如一定时间内访问某业务系统次数激增，针对性地访问某些特定信息，大量模糊查询信息等。

敏感关键字(条件)操作：在工作需要之外，查询、访问敏感信息。如查询领导个人信息，行程安排，获取知名人物信息，热点事件相关信息等。

特殊的超低频操作：某些操作只有在特定的情况下才会出现，且出现频率很低。对于这类操作，出现时应引起关注。

高频操作：频繁的数据库授权和取消。

特殊的权限操作(提权)：提升权限后，意味着可以对数据库、业务系统做更多的修改，带来更多安全风险，需要重点监控。

数据导出操作：批量导出数据，大量的文件导出行为。

这里异常行为分析模型训练方式包括：

正向模型训练(正向推导法)：正向模型训练指根据用户提供的特征值，数据分析直接得到训练样本。从日志中抽取出来用户信息，以各种维度进行统计，以经验预设的技战术模型为过滤处理，最终推导出嫌疑人名单。正向模型训练的结果可以进行人工修正。

反向模型训练(反向挖掘法)：反向模型训练根据用户提供的样例查找原始日志记录，对日志进行各个角度的分析后得到训练样本。根据异常人员的名单，挖掘出相似行为人员名单。反向训练的结果也可以进行人工修正。

模型管理对模型训练得到的结果进行管理和维护。

模型实时检测:选择模型对日志进行挖掘和分析，得到分析结果。如果得到的结果与实际情况有所偏差，可以通过模型管理对模型进行调整和维护。

模型人工判定辅助：利用大数据可视化技术，系统提供数据分析的展示界面，作为人工判断的辅助手段。通过分析特征值，以直观的界面提供初步的分析结果，操作人员通过可视化结果，结合自身的业务经验对数据进行分析判断。

实施例4：如附图4所示，本发明实施例公开了一种基于多种技术的变电站威胁安全检测及防护方法，其中获取网络流量数据，基于规则泛化和攻击重构得到异常关联数据，包括：

步骤S1011，获取网络流量数据；

步骤S1012，利用入侵检测改进模型对网络流量数据进行低层次的单步攻击检测，输出低级警报，其中，入侵检测改进模型为对规则库进行泛化，根据泛化后的规则库和Snort入侵检测技术建立的入侵检测改进模型；

开源的Snort是目前最著名和使用最广泛的入侵检测系统，但是其检测能力依赖于规则库，如果规则都得不到及时更新，就无法识别新的入侵行为。Snort的每个规则对应一种入侵行为。在对网络数据进行检测时，只要触发了其中的任意一个规则，就会产生报警，所以Snort的不同规则之间可以看成时一种“或”的关系，要触发一个规则，则必须符合该规则中的所有条件，所以组成每个规则的条件选项之间是“与”的关系，表示为：

SnortRules＝rule₁∪rule₂∪…∪rule_j

rule_i＝attr_i,1∩attr_i,2∩…∩attr_i,n

其中rule_i为第i条规则，attr_i,1为第i条规则的第1个属性。其中每个规则都是按照固定格式编写的。Snort规则选项是按照扩大范围的趋势进行“进化”，因此，为了更加准确地检测入侵行为和能够检测新的攻击，本发明实施例将这种“进化”规律融合到规则泛化的过程中。即针对Snort不能检测新的入侵行为的缺点，本发明实施例提出基于规则泛化的入侵检测改进模型，该模型包括聚类泛化和最近邻泛化两个具体方法，通过改善原有规则来增强检测能力识别新的入侵行为。

为了方便定义模型，可假设一个规则有n个选项组成，所有规则组成的集合(能检测所有入侵行为的规则集)包括m个规则。

规则集关系：Snort的规则集只能检测部分的入侵行为，即S∈A，S为Snort的规则集，A为所有规则组成的集合。

因此，本发明实施例利用规则泛化来改善Snort规则集，即根据S的特征来改善Snort的规则，扩大其检测范围，识别更多的入侵行为，所以有：S∈Sg∈A，Sg为泛化后的规则集合。

上述入侵检测改进模型的具体建立过程包括：

1、聚类规则泛化

在聚类算法中：如果两个对象距离很近，则属于同一分类。将该思想应用到规则泛化中，在空间U中，如果两个规则点距离很近，连接成小的线段，则线段上的点加入到泛化规则集中；同理，如果属于规则集的多个规则点离得很近，则将它们包围的区域中的点加入泛化规则集；具体聚类泛化步骤包括：

添加Snort的规则集S；

设定K值，选择合适的关联值域；

遍历S中所有规则r；

判断规则是否符合规则更新条件，其中规则更新条件包括获取规则r中的port和icmp_id选项op，且op∈连续关联值域||op∈离散关联值域||op∈特殊格式值域；

响应于是，则使用值域中其它值建立新的规则n，将r和n都加入聚类泛化的规则集，响应于否，则将r加入聚类泛化的规则集；

输出聚类泛化的规则集。

2、最近邻规则泛化

采用最近邻的泛化方法：在空间U中，以孤立点RA为圆心，按照一个半径进行扩展，则在扩展后的圆形区域中的规则点加入泛化规则集中。

本实施例对于不能应用聚类泛化的规则点，采用最近邻泛化模型，以规则的选项值为基准，通过调整选项值进行泛化。具体最近邻规则泛化步骤包括：

结合Snort规则的“进化”规律，本发明提出了两种调整方法，一种是改变选项值，另一种是添加nocase选项：

a)改变选项值

基于Snort规则的进化规律，选项depth、within在增大的情况下能够扩大检测范围，假设选项原来的值是OldV，泛化后的值是NweV，调整参数是L，因此泛化公式为：

NweV＝OldV×L

而offset、distance选项在减小的情况下能扩大检测范围，因此泛化公式为：

b)添加nocase选项

基于Snort规则的进化规律，选项nocase会增加值域，从而扩大检测范围，所以首先遍历Snort的规则集，如果发现规则包含规则选项Content但是没有包含规则选项nocase，则将nocase选项添加到规则r中。

对于整个Snort检测模型，本实施例将聚类泛化与最近邻泛化结合，先进性聚类泛化，将聚类泛化的区域看成一个新的“大点”，然后进行最近邻泛化，通过两种泛化来将规则泛化区域增大，从而增强Snort检测系统的检测能力，能够对未知攻击进行感知识别。

步骤S1013，利用攻击重构技术，对低级警报进行关联及学习，重构出高层次的多步攻击场景，输出异常关联数据。

其中步骤S1013具体包括：

(1)获取低级警报，并将低级警报关联组成候选攻击序列。这里获取的低级警报可以临时存储在数据库中，然后将低级警报组成候选攻击序列。

(2)将候选攻击序列聚合形成超警报序列。

候选攻击序列由低级警报组成，低级警报由多个特征组成。警报最重要的特性用于警报关联，故而在聚合时删除相邻的类似警报，例如，在候选攻击序列中存在一个连续的警报序列{e1，e2，...，en}，假设e1(alertType)＝e2(alertType)＝...＝en(alertType)，并且e1(srcip)＝e2(srcip)＝...＝en(srcip)，e1(dstip)＝e2(dstip)＝...＝en(dstip)。这样一个连续的警报序列可以构成一个超警报序列。

(3)对超警报序列进行学习分析，从超警报序列中获取攻击模式，具体包括：

1、利用马尔可夫链将超警报序列中所有的超警报转换为元警报集；

马尔可夫过程是指在随机过程中，过去只影响现在而不影响未来。下式表示马尔可夫链，i₁,i₂,…,i_m+1∈I,I是{X(n),n>0}的状态空间。

P{X(t_m+1)＝i_m+1|X(t₁)＝i₁,…,X(t_m)＝i_m}＝P{X(t_m+1)＝i_m+1|X(t_m)＝i_m}

假设方程中的两个条件概率是有意义的，马尔可夫链被用来描述警报之间的因果关系。在马尔可夫链中，每个状态都是一种警报类型，因此状态之间的转换等价于警报类型之间的转换。0TPM用于描述从一种警报类型到另一种警报类型的转移概率。对于警报类型A₁,A₂,…,A_n，定义了A_i到A_j的过渡概率。但是，为了保证实时性，不需要计算关于的具体值，只需用0或1替换它。如果则可以说A_i可以转移到A_j。但在超警报序列中，相邻A_i型超警报和A_j型超警报分布在不同时间。因此，本实施例中将超警报转换为元警报以方便分析。

例如，A，B，C是三种不同类型的超警报。对于同一类型的超警报，不同的下标表示它出现在不同的时间。若A→B出现两次(包括A₁→B₁和A₃→B₄)，这两种类型的超警报可以聚合为一个类型的元警报A′(包括A1、A3)，两个超警报B型可聚合成元警报B′(包括B1和B4)。即将A→B被转换为A′→B′。由此在超警报序列中将所有的超警报转换为元警报。

本实施例中使用元警报而不是超警报来更新0TPM。0TPM中的每个元素都用

表示，其中A′_i和A′_j是两种元警报类型。其中

表示A′_i可以转移到A′_j。

2、设置元警报关联标准，根据元警报关联标准获取元警报集中的关键事件，其中关键事件包括两个相关联的元警报；

该步骤用于实现元报警分析，即通过两个元警报之间是否存在因果关系进行分析。本实施例中使用CCM描述元警报类型之间的因果关系，对于元警报类型A′₁,A′₂,…,A′_n，其中β(A′_i,A′_j)定义了元警报类型A′_i和A′_j间的因果关系，β(A′_i,A′_j)＝1表示A′_i与A′_j之间存在因果关系。

本实施例中利用元警报关联标准来确定两种元警报类型之间的因果相关性。如果a和b满足其中一个关联标准，则元警报a和b是相关的，这里元警报关联标准如下所示：

时，Feature₁(a,b)≥γ，Feature₂(a,b)≥γ，Feature₃(a,b)≥γ，和Feature₄(a,b)≥γ，或者Feature₁(a,b)≥δ并且Feature₂(a,b)≥δ，或者Feature₃(a,b)≥δ并且Feature₄(a,b)≥δ，则元警报a和元警报b相关联；或

时，Feature₁(a,b)≥δ，Feature₂(a,b)≥δ，或者Feature₃(a,b)≥δ和Feature₄(a,b)≥，则元警报a和元警报b相关联；

这里a和b均为元警报；Cor(a,b)为元警报a和元警报b之间的相关强度，

Feature_K(a,b)为第k个特征的值。

本实施例中设置上述元警报关联标准的原因是所挖掘的元警报必须是两个连续的入侵操作。这里满足两个元警报之间的一个元警报关联标准，则将CCM的相应位置标记为编号1，否则，标记为0，CCM中0元素的位置可能会根据收到的警报更新为1。进而两个相关联的元警报组成了一个关键事件。

这里还可以使用IPSim功能判断两种元警报类型中两个IP地址(如IP_i,IP_j)之间的相似性，IPSim功能如下述方程所示，其中k为两个IP地址匹配的最大高阶位数。

3、设置超警报关联标准，分别从两个关键事件提取超警报，根据超警报关联标准获取双成员集群，其中双成员集群包括两个相关的超警报；

元警报包括许多具有相同类型的超警报，本实施例主要根据地址相关性分析元警报中的超警报，并将两个相关的超警报组成双成员集群。

具体的，分别从两个关键事件提取超警报，分析两次超警报之间是否存在因果关系，即判断两个超警报是否符合超警报关联标准，若符合，则两个超警报之间存在相关性。然后将两个相关的超警报放在一个名为双成员集群的小集群中，形成一个双成员集群，每个双成员集群都有两个超警报，在处理完所有关键事件后，会得到许多双成员集群。这里因为双成员集群中的两个超警报是可转移的，所以两个超警报可以形成一个有向图，故而每个双成员集群可能包含两个连续的攻击操作。

上述超警报关联标准为一个超警报的srcip(源IP)与另一个超警报的srcip相同，且该超警报的dstip(目的IP)与另一个超警报的dstip相同，则两个超警报之间存在相关性；或一个超警报的srcip与另一个超警报的dstip相同，且该超警报的dstip与另一个超警报的srcip相同，则两个超警报之间存在相关性。

4、分析双成员集群中包含的IP地址，将相同IP地址的双成员集群组成因果集群，其中因果集群为被攻击的宿主的攻击模式。

如果入侵者闯入主机，它会对该主机执行一系列攻击操作。因此，需要明确每个主机上的攻击操作。故需要确定双成员集群中包含多少不同的IP地址，并根据不同的IP地址，将这些双成员集群分成更大的集群，称为因果集群，因果群集就是关于被攻击的宿主的攻击模式；这里每个双成员集群至少包含一个相同的IP地址。当然，一个双成员簇可能被聚成不同的因果簇，因此通过连接不同主机之间的攻击模式构建多步骤攻击场景。

上述步骤3和4实现关键事件分析，在关键事件中找出攻击模式。

(4)利用交互式攻击链与顺序攻击链结合的方式构造攻击树，完成多步攻击检测。

本实施例使用因果聚类来构建攻击树，通过结合不同主机之间的攻击模式来构建攻击树。攻击树是一个有向图，它由节点和边两部分组成。一个节点由三个元素组成(例如：告警类型、源IP地址、目的IP地址)；边表示两个节点之间的因果关系。

具体包括：

1、将因果集群的攻击模式与攻击链进行关联。

2、在因果簇中绘制每个双成员簇；每个双成员集群都有两种图形形式，包括顺序的和交互的两种。

3、将具有相同节点的不同双成员簇连接在一起形成顺序攻击链；该步骤针对于顺序双成员簇，不同的双成员簇只要具有相同的节点就可以连接在一起形成顺序攻击链.

4、将具有节点类型相同且第一个节点srcip地址相同的不同双成员簇连接在一起形成顺序攻击链。

这里交互式集群M_i和M_j，如果M_i的两个节点类型与M_i的两个节点类型是一样的，M_i的第一个节点的源IP地址与M_j的第一个节点的源IP地址相同，M_i和M_j可以合并在一起形成一个交互式攻击链。交互式双成员集群的组合不会改变攻击链的长度。这主要是为了达到减少攻击节点的目的。交互式攻击链通常是一个主机探测另一个主机，然后得到响应的过程。因此，交互攻击链中第一个节点的源IP地址是最重要的。假设存在交互攻击链T_i，将T_i的第一个节点的源IP地址与其他攻击链的每个节点进行比较。有如下两种方法：

T_i的第一个节点的源IP地址与另一个攻击链T_j的一个非叶节点的源IP地址相同。T_j的非叶节点的目的IP地址包含在T_i的第一个节点的目的IP地址中。

T_i的第一个节点的警报类型与另一个攻击链T_j的一个非叶节点的警报类型相同。T_i的第一个节点的源IP地址与T_j的非叶节点的源IP地址相同。

5、将不同因果簇的攻击链连接到攻击树中，通过添加提取的攻击模式来更新攻击树。

本发明实施例公开了一种基于规则泛化和攻击重构网络攻击检测方法，针对现有入侵检测系统在获取和分析信息方面具有的局限性，且只能根据规则库来检测已知的攻击的问题，通过研究基于规则泛化的入侵检测系统来实现对未知攻击的检测，能够发现新的入侵行为；其次，考虑到入侵检测系统只能检测单步，低层次的攻击，本实施例应用攻击重构技术，实现对高层次，多步攻击的完整重构，实现基于规则泛化和攻击重构技术的的网络攻击检测方法，为公专互动新型业务系统的多层次防御提供关键技术支持。

步骤S1013，利用攻击重构技术，对低级警报进行关联及学习，重构出高层次的多步攻击场景，完成多步攻击检测。

综上，本实施例基于规则泛化的入侵检测技术，结合统计学方法，对已建立的snort规则库进行特征分析，通过数据挖掘算法和规则泛化方法建立规则泛化的入侵检测改进模型，实现对新的攻击行为的识别。

实施例5：如附图5所示，本发明实施例公开了一种基于多种技术的变电站威胁安全检测及防护装置，包括：

实施例6：本发明实施例公开了一种存储介质，所述存储介质上存储有能被计算机读取的计算机程序，所述计算机程序被设置为运行时执行基于极端冰灾的电网薄弱环节识别方法。

上述存储介质可以包括但不限于：U盘、只读存储器、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。

实施例7：本发明实施例公开了一种电子设备，包括处理器和存储器，所述存储器中存储有计算机程序，计算机程序由处理器加载并执行以实现基于极端冰灾的电网薄弱环节识别方法。

处理器可以是中央处理器CPU，通用处理器，数字信号处理器DSP，ASIC，FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。

存储器可以包括但不限于：U盘、只读存储器、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本发明实施例中的方案可以采用各种计算机语言实现，例如，面向对象的程序设计语言Java和直译式脚本语言JavaScript等。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上技术特征构成了本发明的最佳实施例，其具有较强的适应性和最佳实施效果，可根据实际需要增减非必要的技术特征，来满足不同情况的需求。

Claims

1.一种基于多种技术的变电站威胁安全检测及防护方法，其特征在于，包括：

2.根据权利要求1所述的基于多种技术的变电站威胁安全检测及防护方法，其特征在于，所述基于机器学习对异常关联数据进行威胁分级包括：

其中比较结果规则包括：

1、H(x)<b时判断为无威胁；

2、H(x)-b<[(100-b)/3]时判断为低威胁；

3、[(100-b)/3]<H(x)-b<[2(100-b)/3]时判断为为中等威胁；

4、H(x)-b>[2(100-b)/3]时判断为高威胁。

3.根据权利要求2所述的基于多种技术的变电站威胁安全检测及防护方法，其特征在于，还包括在分类结果H(x)等于阈值b时，通过与FP-growth算法产生的关联规则相比对，共同决定该异常关联数据的分类结果。

4.根据权利要求1或2或3所述的基于多种技术的变电站威胁安全检测及防护方法，其特征在于，所述基于用户行为分析及机器学习对异常关联数据进行攻击检测，包括：

提取异常关联数据中的异常行为特征；

5.根据权利要求1至4中任意一项所述的基于多种技术的变电站威胁安全检测及防护方法，其特征在于，所述获取网络流量数据，基于规则泛化和攻击重构得到异常关联数据，包括：

获取网络流量数据；

6.根据权利要求5所述的基于多种技术的变电站威胁安全检测及防护方法，其特征在于，所述利用攻击重构技术，对低级警报进行关联及学习，重构出高层次的多步攻击场景，完成多步攻击检测，包括：

获取低级警报，并将低级警报关联组成候选攻击序列；

将候选攻击序列聚合形成超警报序列；

7.一种基于多种技术的变电站威胁安全检测及防护装置，所述基于多种技术的变电站威胁安全检测及防护装置使用如权利要求1至6中任意一项所述的基于多种技术的变电站威胁安全检测及防护方法，其特征在于，包括：

8.一种存储介质，其特征在于，所述存储介质上存储有能被计算机读取的计算机程序，所述计算机程序被设置为运行时执行如权利要求1至6任一项所述的基于多种技术的变电站威胁安全检测及防护方法。

9.一种电子设备，其特征在于，包括处理器和存储器，所述存储器中存储有计算机程序，计算机程序由处理器加载并执行以实现如权利要求1至6任一项所述的基于多种技术的变电站威胁安全检测及防护方法。