CN115796607A - 一种基于用电信息分析的采集终端安全画像评估方法 - Google Patents

Abstract

本发明提供一种基于用电信息分析的采集终端安全画像评估方法，属于采集终端安全画像评估技术领域；所要解决的技术问题为：提供一种基于用电信息分析的采集终端安全画像评估方法的改进；解决该技术问题采用的技术方案为：对采集终端采集到的原始数据进行清洗，通过数据样本分析各事件之间的关联程度，寻找频繁项集与关联规则，评估可能的安全风险并进行分级，采集终端安全画像，通过建立数据模型，选取特征，从基本信息、运行信息、安全事件、工单信息方面建立标签体系，对采集终端的标签体系进行分析，采用TF‑IDF指标权重算法，基于评分卡画像、知识图谱画像进行数据处理分析，建立画像模型；本发明应用于电网采集终端的安全画像评估。

Description

一种基于用电信息分析的采集终端安全画像评估方法

技术领域

本发明提供一种基于用电信息分析的采集终端安全画像评估方法，属于采集终端安全画像评估技术领域。

背景技术

采集终端作为电网用电采集系统组成的一部分，安装数量庞大，对电力公司的正常运营具有重要意义，目前针对采集终端的安全防护主要是通过在终端设备内嵌软件程序，实现终端安全事件实时上报，通过安全事件来了解现场终端的安全动态，但这种单一的上报安全事件无法准确判断终端是否安全运行，有时在现场进行正常的运维操作而触发安全事件时并不能有效识别这种行为是否异常。

考虑到对采集终端本体通过升级改造来实现安全事件上报，以提高终端运行的安全稳定性，但该手段并不能全面覆盖现场所有终端的安全动态和风险级别，只有建立多层分级事件预警和评测管理体系，才可以提高终端设备的运行安全、应用安全、通信安全和操作系统安全；作为对终端设备进行安全监测工作的一部分，目前尚缺乏一套完整的采集终端安全评估方法，只有通过收集采集终端在线安全防护事件信息，建立模型进行安全分析，实现对采集终端在线安全运行的画像评估，才能够及时发现安全问题，降低遭受安全攻击的风险和损失。

发明内容

本发明为了克服现有技术中存在的不足，所要解决的技术问题为：提供一种基于用电信息分析的采集终端安全画像评估方法的改进。

为了解决上述技术问题，本发明采用的技术方案为：一种基于用电信息分析的采集终端安全画像评估方法，包括如下评估步骤：

步骤一：对采集终端采集到的原始数据进行清洗，通过数据样本分析各事件之间的关联程度，寻找频繁项集与关联规则，根据采集终端设备和网络特点，评估可能的安全风险并进行分级，梳理风险的事件规则，根据经验给出相关事件与风险的关联因子；

步骤二：采集终端安全画像，通过建立数据模型，选取特征，从基本信息、运行信息、安全事件、工单信息方面建立标签体系；

步骤三：对采集终端的标签体系进行分析，采用TF-IDF指标权重算法，基于评分卡画像、知识图谱画像进行数据处理分析，建立画像模型，具体步骤为：

步骤3.1：计算标记次数在终端P所有标签中所占的比重TF（P,T），计算公式为：

；

式中：w（P,T）表示打在某终端上某个标签的个数；Σw（P,Ti）表示该终端上全部标签个数，Ti∈该用户全部标签；

步骤3.2：根据TF*IDF得到终端标签的权重值，计算公式为：

终端标签权重=行为类型权重*时间衰减*每个终端的标签权重*行为次数；

步骤四：通过获取标签权重，使用设备、时间、地点、事件要素进行评分卡计算，得到终端安全画像取值，对建立的画像模型进行反复训练与模型验证；

对每个终端进行画像，为终端打上安全标签，标签结果包含：安全、低危风险、中危风险、高危风险；

步骤五：基于评分卡和知识图谱建立采集终端画像模型，执行画像模型，对终端安全状态定期评估，得到终端安全画像，并通过滚动评估修正画像模型。

所述步骤二中建立标签体系采集的信息中：

所述基本信息包含厂家、型号、批次、终端编号、台区、安装位置、运行环境信息；

所述运行信息包含开盖记录、运行版本号、参数变更频率、初始化频度、停上电频率信息；

所述安全事件包含采集终端所有类型的安全事件；

所述工单信息包含工单结果、安全事件产生原因信息。

所述步骤三中采用的TF-IDF指标权重算法的具体步骤为：

输入信息：单词t，语料库C，特定文档D；

输出信息：TF_IDF；

步骤1：统计单词t在文档D中得出现次数lt；

步骤2：统计文档D中出现频率最高的单词次数lmax；

步骤3：计算单词t的词频tf = lt /lmax；

步骤4：统计语料库C当中所有包含单词t的文档总数N；

步骤5：计算单词t的逆文档频率：

；

步骤6：计算指标权重

。

所述步骤四打上的安全标签中：

所述高危风险具体为：高危漏洞CVE、CNNVD、关键目录文件变更、Root口令变更、文件被删除或复制、信息泄露风险；

所述中危风险具体为：采集终端远程和本地端口被非法使用风险；

所述低危风险具体为：USB设备非法接入风险。

本发明相对于现有技术具备的有益效果为：本发明提供一种通过采集分析用电信息建立采集终端安全画像的评估方法，主要通过制定采集终端安全画像标签体系，建立终端安全画像模型，实现采集终端安全画像，进而实现区域安全画像和终端厂家安全画像及安全态势可视化；本发明基于多维度，多层次的标签体系构成，对于描述终端设备的安全态势更加精准，并将知识图谱引入到采集终端安全画像分析，由于终端安全图谱的构建需要大量样本数据训练、抽取，考虑到落地实施的便利性，采用简单评分卡标签画像算法设计出了初步的采集终端安全画像评估模型；本发明通过建立终端安全画像分析模型，为终端打上安全标签，为终端安全管控提供支撑，方便管理人员全面掌握现场终端的安全态势及风险级别，避免现场终端运行发生安全事故，提升采集终端的安全防护水平。

附图说明

下面结合附图对本发明做进一步说明：

图1为本发明评估方法的步骤流程图；

图2为本发明多终端和多标签关系示意图。

具体实施方式

本发明具体提供一种基于用电信息分析的采集终端安全画像评估方法，其中进行信息采集的装置主要为采集终端，该装置对各信息采集点的用电信息进行采集，可以实现电能表数据的采集、数据管理、数据双向传输以及转发、执行控制命令等功能。

本发明采用的TFIDF算法是一种用于信息检索与数据挖掘的常用加权技术，具体表现为：如果某个词或短语在一篇文章中出现的TF词语频率高，并且在其他文章中很少出现，则认为此处的词语或者短语具有很好的类别区分能力，适合用来分类；TFIDF具体是TF*IDF的结合，即TF词频(Term Frequency)与IDF逆向文件频率(Inverse DocumentFrequency)，TF表示词条在文档d中出现的频率，IDF的主要原理是：如果包含词条t的文档越少，也就是n越小，IDF越大，则说明词条t具有很好的类别区分能力。

本发明提供的基于用电信息采集的安全画像评估方法，其主要步骤为：

1)通过建立采集终端安全画像标签体系，以采集终端安全的不同层次、信息的不同来源及不同用户的不同需求等多个角度的异构信息源为研究对象，结合信息安全的三级评价指标体系，构建采集终端安全三级标签体系；基于威胁情报，多标签、多安全事件关联构成采集终端安全画像，基于“安全事件/安全标签的关联关系的分析”，进而实现更精准的设备安全画像。

2)基于评分卡的安全画像模型的核心是挖掘分析得到不同标签的权重关系。通过TF-IDF算法来分析标签权重。

3)将知识图谱引入到采集终端安全画像分析，基于已构构建的设备行为属性安全知识图谱，结合采集终端“设备属性+时间属性+地点属性+行为属性”标签进行分析，利用图嵌入把不同维度的安全威胁评估映射到同一空间中，在考虑更多特征及威胁的影响情况下，在同一空间对不同实体进行威胁评估。

基于上述评估操作，无论在效率还是精度上都比传统的评估方法有很大提升，能够实现精准、动态的采集终端安全画像描述。

进一步的，如图1所示，本发明目的在于提供一种更准确、更全面、更有效的采集终端安全画像评估方法，为实现上述目的，具体包含以下五个评估步骤：

步骤一：采集清洗原始数据；

步骤二：建立标签体系，并建立数据模型，选取特征；

步骤三：建立画像模型；

步骤四：模型验证；

步骤五：清洗待分类终端数据，执行画像模型。

在步骤一中：通过数据样本分析各事件之间的关联程度，即寻找频繁项集与关联规则，根据采集终端设备和网络特点，评估可能的安全风险、分级（可进行五级分级、每级对应分值和评分公式），梳理风险的事件规则，根据经验给出相关事件与风险的关联因子，支持后续分类/溯源算法进行因子修正。

在步骤二中：需明确需求场景和最终实现的标签维度、标签类型，结合信息安全的三级评价指标体系，累计事件和规则数据，为算法模型提供体系化数据样本。

采集终端安全画像，是建立在采集终端安全标签体系基础上的画像服务，用于刻画一个终端的风险行为，以采集终端安全的不同层次、信息的不同来源及不同用户的不同需求等多个角度的异构信息源为研究对象，结合信息安全的三级评价指标体系，采集终端安全标签可以归纳提炼出三级标签体系。

从基本信息、运行信息、安全事件、工单信息等几个方面建立标签体系，其中基本信息包含厂家、型号、批次、终端编号、台区、安装位置、运行环境等；运行信息包含开盖记录、运行版本号、参数变更频率、初始化频度、停上电频率等；安全事件包含采集终端所有类型的安全事件；工单信息包含工单结果、安全事件产生原因等信息。

在步骤三中：首先对采集终端安全标签体系进行分析梳理，依托基础数据建立终端标签体系，采用TF-IDF指标权重算法中简单的评分卡画像、复杂的基于知识图谱画像两种方式进行数据处理分析，并对画像模型进行反复训练与验证。

其中，TF-IDF算法的具体步骤为：

输入信息：单词t，语料库C，特定文档D；

输出信息：TF_IDF；

步骤1：统计单词t在文档D中得出现次数lt；

步骤2：统计文档D中出现频率最高的单词次数lmax；

步骤3：计算单词t的词频tf = lt /lmax；

步骤4：统计语料库C当中所有包含单词t的文档总数N；

步骤5：计算单词t的逆文档频率：

；

步骤6：计算结果

；

通过上述步骤可知，一个词语的重要性随着它在该文章出现的次数成正比，随它在整个文档集中出现的次数成反比。

如图2所示，具体为多终端和多标签关系的一种实施例，设定包括3个设备终端和4个标签，标签和终端之间的关系在一定程度上反应出标签之间的关系，采用w（P,T）表示一个标签T被用于标记终端P的次数，TF（P,T）表示这个标记次数在终端P所有标签中所占的比重，公式表示为：

；

式中：w（P,T）表示打在某终端上某个标签的个数；Σw（P,Ti）表示该终端上全部标签个数，Ti∈该用户全部标签；

表现为在终端1身上打上的标签A有5个，标签B有2个，标签C有1个，那么终端1身上的A标签TF=5/（5+2+1）。

采用相应的IDF（P,T）表示标签T在全部标签中的稀缺程度，即这个标签的出现几率，如果一个标签T出现几率很小，并且同时被用于标记某终端，这就使得该终端与该标签T之间的关系更加紧密。

然后根据TF*IDF得到该终端标签的权重值，然而此时的权重是不考虑业务场景，仅考虑终端与标签之间的关系显然不够，还需要考虑到该标签所处的业务场景、发生的时间距今多久、终端产生该标签的行为次数等等因素，采用计算公式表达为：

终端标签权重=行为类型权重*时间衰减*每个终端的标签权重*行为次数；

式中：行为类型权重体现为：终端的不同行为对终端而言有着不同的重要性，不同行为的不同权重也不相同；时间衰减体现为：有些行为受时间影响，不断减弱，应乘以时间衰减函数，有些行为不受时间影响其客观性。

式中的行为类型权重和时间衰减因素代表该标签的客观重要程度，标签权重和行为次数因素代表该标签对该终端的重要程度。

在步骤四中：研究首次将知识图谱引入到采集终端安全画像分析，由于终端安全图谱的构建需要大量样本数据训练、抽取，考虑到落地实施的便利性，采用简单评分卡标签画像算法设计出了初步的采集终端安全画像系统，后续在采集终端安全画像系统部署运行一定时间之后，基于系统积累数据可以进一步挖掘、完善知识图谱，对系统功能进行迭代升级。

通过获取标签权重，然后使用设备、时间、地点、事件四个要素进行评分卡计算，勾勒出终端安全画像取值，基于此可以对模型进行反复训练与模型验证；对每个终端进行画像，为终端打上安全标签，标签结果可以包含：安全、低危风险、中危风险、高危风险等几种，为终端安全的管控提供直观可视化支撑。其中高危是指存在高危漏洞（CVE、CNNVD）、关键目录文件变更、Root口令变更、文件被删除/复制、信息泄露等安全风险。中危是指存在采集终端远程和本地端口被非法使用的风险。低危是指存在USB设备非法接入等风险。

在步骤五中：基于评分卡和知识图谱建立采集终端画像模型通过运行数据积累，对终端安全状态定期评估，实现终端安全画像，通过滚动评估修正画像模型，提高终端安全画像的精准度。

采集终端画像模型基于构建的采集终端标签体系，根据设备标签和设备行为，构建模型产出画像；一个安全事件的模型中具体包括时间、地点、设备等要素，每一次检测采集的设备行为本质上是一次随机事件，可以详细描述为什么设备、在什么时间、什么地点、做了什么事，各要素具体的含义如下：

（1）设备：

关键在于对设备的标识，设备标签目的是为了区分设备和单点定位。包括设备品牌、型号、操作系统、应用版本等。

（2）时间：

时间包括两个重要信息，时间戳+时间长度。

（3）地点：

设备接触点，这里特别指代设备部署的地理位置、归属机构。

（4）事件：

设备采集上传的安全事件，如非授权的远程登录、访问本地文件夹等。

因此设备画像数据模型的计算公式可以概括为：

数据模型=设备属性+时间属性+地点属性+行为属性。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (4)

1.一种基于用电信息分析的采集终端安全画像评估方法，其特征在于：包括如下评估步骤：

步骤一：对采集终端采集到的原始数据进行清洗，通过数据样本分析各事件之间的关联程度，寻找频繁项集与关联规则，根据采集终端设备和网络特点，评估可能的安全风险并进行分级，梳理风险的事件规则，根据经验给出相关事件与风险的关联因子；

步骤二：采集终端安全画像，通过建立数据模型，选取特征，从基本信息、运行信息、安全事件、工单信息方面建立标签体系；

步骤三：对采集终端的标签体系进行分析，采用TF-IDF指标权重算法，基于评分卡画像、知识图谱画像进行数据处理分析，建立画像模型，具体步骤为：

步骤3.1：计算标记次数在终端P所有标签中所占的比重TF（P,T），计算公式为：

；

式中：w（P,T）表示打在某终端上某个标签的个数；Σw（P,Ti）表示该终端上全部标签个数，Ti∈该用户全部标签；

步骤3.2：根据TF*IDF得到终端标签的权重值，计算公式为：

终端标签权重=行为类型权重*时间衰减*每个终端的标签权重*行为次数；

步骤四：通过获取标签权重，使用设备、时间、地点、事件要素进行评分卡计算，得到终端安全画像取值，对建立的画像模型进行反复训练与模型验证；

对每个终端进行画像，为终端打上安全标签，标签结果包含：安全、低危风险、中危风险、高危风险；

步骤五：基于评分卡和知识图谱建立采集终端画像模型，执行画像模型，对终端安全状态定期评估，得到终端安全画像，并通过滚动评估修正画像模型。

2.根据权利要求1所述的一种基于用电信息分析的采集终端安全画像评估方法，其特征在于：所述步骤二中建立标签体系采集的信息中：

所述基本信息包含厂家、型号、批次、终端编号、台区、安装位置、运行环境信息；

所述运行信息包含开盖记录、运行版本号、参数变更频率、初始化频度、停上电频率信息；

所述安全事件包含采集终端所有类型的安全事件；

所述工单信息包含工单结果、安全事件产生原因信息。

3.根据权利要求1所述的一种基于用电信息分析的采集终端安全画像评估方法，其特征在于：所述步骤三中采用的TF-IDF指标权重算法的具体步骤为：

输入信息：单词t，语料库C，特定文档D；

输出信息：TF_IDF；

步骤1：统计单词t在文档D中得出现次数lt；

步骤2：统计文档D中出现频率最高的单词次数lmax；

步骤3：计算单词t的词频tf = lt /lmax；

步骤4：统计语料库C当中所有包含单词t的文档总数N；

步骤5：计算单词t的逆文档频率：

；

步骤6：计算指标权重

。

4.根据权利要求1所述的一种基于用电信息分析的采集终端安全画像评估方法，其特征在于：所述步骤四打上的安全标签中：

所述高危风险具体为：高危漏洞CVE、CNNVD、关键目录文件变更、Root口令变更、文件被删除或复制、信息泄露风险；

所述中危风险具体为：采集终端远程和本地端口被非法使用风险；

所述低危风险具体为：USB设备非法接入风险。

Images