CN116684116A - 一种电力监控系统核心脆弱点发掘方法 - Google Patents

一种电力监控系统核心脆弱点发掘方法 Download PDF

Info

Publication number
CN116684116A
CN116684116A CN202310312652.8A CN202310312652A CN116684116A CN 116684116 A CN116684116 A CN 116684116A CN 202310312652 A CN202310312652 A CN 202310312652A CN 116684116 A CN116684116 A CN 116684116A
Authority
CN
China
Prior art keywords
data
knowledge graph
alarm
analysis
monitoring system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310312652.8A
Other languages
English (en)
Inventor
陶文伟
曹扬
苏扬
郭舒扬
张文哲
江泽铭
陆力瑜
王昊
李勃
梁野
白洁音
邵立嵩
王景
廖陆林
吴群
王炎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kedong Electric Power Control System Co Ltd
China Southern Power Grid Co Ltd
Original Assignee
Beijing Kedong Electric Power Control System Co Ltd
China Southern Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kedong Electric Power Control System Co Ltd, China Southern Power Grid Co Ltd filed Critical Beijing Kedong Electric Power Control System Co Ltd
Publication of CN116684116A publication Critical patent/CN116684116A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Probability & Statistics with Applications (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Pure & Applied Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Optimization (AREA)
  • Animal Behavior & Ethology (AREA)
  • Computational Linguistics (AREA)
  • Mathematical Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种电力监控系统核心脆弱点发掘方法,属于电力交易技术领域,包括获取原始数据;根据预设的初步统计方法对原始数据进行初步统计,得到初步统计数据;对初步统计数据和原始数据进行整合分析,得到整合分析数据;根据整合分析数据构建静态知识图谱;在静态知识图谱中加入时间信息,得到时态知识图谱;根据时态知识图谱中的告警信息发掘电力监控系统中的核心脆弱点;本发明使时态知识图谱技术能够有效的结合在典型电力监控系统的脆弱性分析的应用中,提高核心脆弱点发掘的准确性和全面性。

Description

一种电力监控系统核心脆弱点发掘方法
技术领域
本发明涉及一种电力监控系统核心脆弱点发掘方法,属于电力交易技术领域。
背景技术
针对电力监控系统的网络攻击,攻击手段正在向分布式、复杂化、智能化方向发展,攻击技术正从初级的窃取干扰向高效智能定向摧毁的网络武器升级。在这种情况下,发掘电力监控系统的核心脆弱点,评估突发安事件对其可能的破坏效果,以制定有效的预防和防护应急方案,就成为迫切需要解决的问题。
系统脆弱性分析与评估是当今计算机网络安全领域所研究的一个重要部分,目前国内外在网络系统的脆弱性分析与评估方面已经取得了一些显著的阶段性研究成果,同时也产生了一些脆弱性分析与评估的标准与方法,但是在提高电力监控系统脆弱性分析评估结果的准确性和全面性方面,还没有比较有效的解决方法。
发明内容
本发明的目的在于提供一种电力监控系统核心脆弱点发掘方法,解决现有技术中准确性和全面性较差的问题。
为实现以上目的,本发明是采用下述技术方案实现的:
本发明提供了一种电力监控系统核心脆弱点发掘方法,包括:
获取原始数据;
根据预设的初步统计方法对所述原始数据进行初步统计,得到初步统计数据;
对所述初步统计数据和所述原始数据进行整合分析,得到整合分析数据;
根据所述整合分析数据构建静态知识图谱;
在所述静态知识图谱中加入时间信息,得到时态知识图谱;
根据时态知识图谱中的告警信息发掘电力监控系统中的核心脆弱点。
进一步的,所述原始数据包括告警次数、告警开始时间、设备IP、告警级别、日志类型、设备名称、日志子类型、详细内容、解决概述、解决人、解决时间、告警状态、地域、核查时间、漏洞名称、危险级别和包含告警关键词的内容数据。
进一步的,所述根据预设的初步统计方法对所述原始数据进行初步统计,包括:
将告警开始时间分为上午与下午两个时间段,所述上午为0:00-12:00,所述下午为12:00-24:00,在上午和下午两个时间段分别进行告警次数的统计,将得到的初步统计的告警次数作为初步统计数据。
进一步的,所述整合分析包括风险等级分析、聚类类别分析和异常分析;
所述风险等级分析包括:将包含高危操作和外设接入的数据划分为第一类风险等级,将包含设备异常的数据划分为第二类风险等级,将包含异常访问和异常登录的数据划分为第三类风险等级,将包含可信计算、堡垒机告警和感染恶意代码的数据划分为第四类风险等级;
所述聚类类别分析包括:将所述初步统计数据和所述原始数据输入到k-means模型中,k-means模型中的k值采用手肘法的拐点位置,输出所有的聚类类别;
所述异常分析包括:所述初步统计数据和所述原始数据中的网段中,聚类类别数量最少的一类是异常聚类类别,包含所述异常聚类类别对应ip地址的告警信息的异常分析结果为:是,其他告警信息的异常分析结果为:否。
进一步的,所述根据所述数据分析结果构建静态知识图谱,包括:
将所述整合分析数据作为数据源,通过数据脱敏技术对数据源进行脱敏,实现静态知识图谱中各层级数据的融合与预处理,并设计静态知识图谱中实体、关系和属性间的映射关系;
从脱敏后的数据源中抽取静态知识图谱中的实体、关系和属性,实现静态知识图谱的构建。
进一步的,所述时间信息包括核查时间和时间刻度。
进一步的,还包括将所述时态知识图谱的刷新间隔设定为预设时间的步骤。
与现有技术相比,本发明所达到的有益效果是:
本发明提供的一种电力监控系统核心脆弱点发掘方法,基于电力监控系统采集的原始数据,给出构建时态知识图谱的方法,使时态知识图谱技术能够有效的结合在典型电力监控系统的脆弱性分析的应用中,提高核心脆弱点发掘的准确性和全面性。
附图说明
图1是本发明实施例提供的一种电力监控系统核心脆弱点发掘方法的流程图;
图2是本发明实施例提供的时态知识图谱的示意图。
具体实施方式
下面结合附图对本发明作进一步描述,以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
如图1所示,本发明实施例提供了一种电力监控系统核心脆弱点发掘方法,包括以下步骤:
S1、获取原始数据。
原始数据包括:告警次数,告警开始时间,设备IP,告警级别,日志类型,设备名称,日志子类型,详细内容,解决概述,解决人,解决时间,告警状态,地域,核查时间,漏洞名称,危险级别。以及下表中包含告警关键词的内容数据。
表1-内容数据表
S2、根据预设的初步统计方法对所述原始数据进行初步统计,得到初步统计数据。
对原始数据进行初步统计,包括:“时间刻度”是综合原始数据中的“告警次数”和“告警开始时间”综合分析得出,其中,将“告警开始时间”分为上午0:00-12:00与下午12:00-24:00时间段,对应的“告警次数”统计,如此划分的原因是,通常操作人员工作时间段为9:00-17:00,而维护人员,则集中于17:00-22:00,因此,上午时间段出现的告警,更多为外部原因造成的异常状况,这些告警状况关注价值更高,而反之,下午时间段所产生的告警,更多是由于操作人员的误操作,或者维护人员的测试,造成的异常状况,属于内部原因造成的告警居多,此部分异常状况多数为可控且关注价值低的。因此,依据电力系统实际关注强弱上的需求,包括需要观察告警信息的数量少而精,而需要对来自外部未知的异常状况进行重点关注和处理。因此上述原因而设计此初步统计方法。
S3、对所述初步统计数据和所述原始数据进行整合分析,得到整合分析数据。
将初步统计数据和原始数据进行整合分析,得到以下数据:风险等级分析结果为第一/二/三/四类、异常分析结果为是/否、告警级别为重要/紧急/一般的告警次数、告警内容、告警总数、时间刻度“上午告警次数”与“下午告警次数”、聚类类别;其中,多数数据来自原始数据和初步统计数据,分析数据通过以下方法产生:
S3.1、风险等级分析:规划了四类风险等级,从第一类至第四类风险等级逐渐降低,分类内容如下:
第一类风险等级:['高危操作-关键目录下文件变更','高危操作-开放危险端口','高危操作-用户权限变更','高危操作-监测装置非法命令','高危操作-危险操作','高危操作-开放高危端口','外设接入-工作站USB存储设备接入/拔出','外设接入-工作站未知USB设备接入/拔出','外设接入-工作站串口接入/拔出','外设接入-监测装置USB存储设备接入/拔出','外设接入-非法IPMAC接入','外设接入-IP地址冲突','外设接入-工作站通信外设接入/拔出','外设接入-工作站光驱加载/弹出光盘','外设接入-MAC地址冲突','外设接入-工作站并口接入/拔出']。
第二类风险等级:['设备异常-开启新网络接口','设备异常-隧道建立错误','设备异常-主备状态异常']。
第三类风险等级:['异常访问-外部危险端口访问','异常访问-数据网危险端口访问','异常访问-外部高危端口访问','异常登录-攻击告警','异常登录-服务器普通账号口令爆破','异常访问-扫描事件','异常登录-监测装置普通账号非法尝试登录','异常访问-IP扫描事件','异常访问-端口扫描事件','异常登录-服务器管理员账号口令爆破','异常访问-局域网危险端口访问','异常访问-数据网高危端口访问','异常登录-防火墙非法尝试登录']。
第四类风险等级:['可信计算-服务器可信验证未通过','堡垒机告警-高风险操作','感染恶意代码-紧急病毒日志']。
S3.2、聚类类别分析:采用了['ID值','ip','事件内容','告警级别','网段','告警开始时间']这些原始数据与统计数据,作为k-means模型输入,根据手肘法的图像特点,其中关于确定k的取值,采用已公开的手肘法的拐点位置为优选k值,输入数据中,ip地址的网段作为核心分析的内容和聚类输出时分析聚类类别的依据,此网段少于10条记录不参与聚类,聚类类别输出为X类聚类,当该网段记录条数多于10时参与聚类,根据实际数据,得到了5类输出,分别为A、B、C、D、E型聚类,每一类输出内容可以明显观察得到,某个网段的信息,该网段对应记录的告警事件内容条数,例如:A型聚类,多为ip中10.XXX.XXX.XXX网段所产生的告警,不同网段在电力系统中关注程度不同,有些网段是包含了关键安全重点设备,而一些网段则是外围设备,而具体对应告警信息则是某种值得关注的告警信息类型。
S3.3、异常分析:所述初步统计数据和所述原始数据中的网段中,聚类类别数量最少的一类是异常聚类类别,包含所述异常聚类类别对应ip地址的告警信息的异常分析结果为:是,其他告警信息的异常分析结果为:否。
例如:重要网段10.xxx.xxx.xxx,IP有100个,聚类分析会有A类聚类80个,B类聚类10个,C类聚类5个,D类聚类4个,X类聚类1个。那么重要网段,同时最小数量的聚类的IP地址,包含此ip地址的告警信息,为“是”异常,反之的其他情况,全为“否”,就是全体非重要网段,无论多少聚类,都是否。重要网段中,包含多数聚类的IP地址也是“否”。
S4、根据所述整合分析数据构建静态知识图谱。
将上述各类采集信息作为数据源,主要包括安全告警、安全核查、日志审计、开放服务等,并结合数据脱敏技术实现各层级数据融合与预处理,设计知识图谱中实体、关系、属性间的映射关系,本专利的实验部分,采用了某个地调的实际数据,完成知识图谱中:114695个实体的抽取、168743个关系的抽取、54050个属性的抽取。实体的抽取包括预处理后的数据及关键词:IP地址、具体风险、具体漏洞、具体开放服务,具体端口;关系的抽取包括预处理后的数据及关键词:分析结果是...,属性为...,次数是...,所属地域在...,总告警数小于...;属性的抽取包括预处理后的数据及关键词:缺陷等级、风险等级、聚类类别、是否异常、设备名称、核查时间。
S5、在所述静态知识图谱中加入时间信息,得到时态知识图谱。
将“核查时间”与“时间刻度”结合到静态知识图谱当中,考虑到员工在观察到知识图谱所提示的风险,及处置风险后的反馈时间等诸多现实因素,整个时间动态知识图谱刷新间隔目前设定为10分钟,并且显示具体“核查时间”与“时间刻度”中上午和下午的告警次数,本实施例构建的时态知识图谱的部分图谱如图2所示。
S6、根据时态知识图谱中的告警信息发掘电力监控系统中的核心脆弱点。
时态知识图谱可以提示操作人员,具体漏洞或告警是否具有值得关注和进一步处理的特殊性,当具有极大安全威胁时,时态知识图谱可以快速提示监控人员,具体漏洞或告警发生在哪里,并且及时通报或处置,而且,可以大幅度降低操作人员的工作量。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (7)

1.一种电力监控系统核心脆弱点发掘方法,其特征在于,包括:
获取原始数据;
根据预设的初步统计方法对所述原始数据进行初步统计,得到初步统计数据;
对所述初步统计数据和所述原始数据进行整合分析,得到整合分析数据;
根据所述整合分析数据构建静态知识图谱;
在所述静态知识图谱中加入时间信息,得到时态知识图谱;
根据时态知识图谱中的告警信息发掘电力监控系统中的核心脆弱点。
2.根据权利要求1所述的一种电力监控系统核心脆弱点发掘方法,其特征在于,所述原始数据包括告警次数、告警开始时间、设备IP、告警级别、日志类型、设备名称、日志子类型、详细内容、解决概述、解决人、解决时间、告警状态、地域、核查时间、漏洞名称、危险级别和包含告警关键词的内容数据。
3.根据权利要求2所述的一种电力监控系统核心脆弱点发掘方法,其特征在于,所述根据预设的初步统计方法对所述原始数据进行初步统计,包括:
将告警开始时间分为上午与下午两个时间段,所述上午为0:00-12:00,所述下午为12:00-24:00,在上午和下午两个时间段分别进行告警次数的统计,将得到的初步统计的告警次数作为初步统计数据。
4.根据权利要求1所述的一种电力监控系统核心脆弱点发掘方法,其特征在于,所述整合分析包括风险等级分析、聚类类别分析和异常分析;
所述风险等级分析包括:将包含高危操作和外设接入的数据划分为第一类风险等级,将包含设备异常的数据划分为第二类风险等级,将包含异常访问和异常登录的数据划分为第三类风险等级,将包含可信计算、堡垒机告警和感染恶意代码的数据划分为第四类风险等级;
所述聚类类别分析包括:将所述初步统计数据和所述原始数据输入到k-means模型中,k-means模型中的k值采用手肘法的拐点位置,输出所有的聚类类别;
所述异常分析包括:所述初步统计数据和所述原始数据中的网段中,聚类类别数量最少的一类是异常聚类类别,包含所述异常聚类类别对应ip地址的告警信息的异常分析结果为:是,其他告警信息的异常分析结果为:否。
5.根据权利要求1所述的一种电力监控系统核心脆弱点发掘方法,其特征在于,所述根据所述数据分析结果构建静态知识图谱,包括:
将所述整合分析数据作为数据源,通过数据脱敏技术对数据源进行脱敏,实现静态知识图谱中各层级数据的融合与预处理,并设计静态知识图谱中实体、关系和属性间的映射关系;
从脱敏后的数据源中抽取静态知识图谱中的实体、关系和属性,实现静态知识图谱的构建。
6.根据权利要求1所述的一种电力监控系统核心脆弱点发掘方法,其特征在于,所述时间信息包括核查时间和时间刻度。
7.根据权利要求1所述的一种电力监控系统核心脆弱点发掘方法,其特征在于,还包括将所述时态知识图谱的刷新间隔设定为预设时间的步骤。
CN202310312652.8A 2023-03-27 2023-03-28 一种电力监控系统核心脆弱点发掘方法 Pending CN116684116A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2023103059044 2023-03-27
CN202310305904 2023-03-27

Publications (1)

Publication Number Publication Date
CN116684116A true CN116684116A (zh) 2023-09-01

Family

ID=87789697

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310312652.8A Pending CN116684116A (zh) 2023-03-27 2023-03-28 一种电力监控系统核心脆弱点发掘方法

Country Status (1)

Country Link
CN (1) CN116684116A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117294023A (zh) * 2023-11-24 2023-12-26 成都汉度科技有限公司 一种运行设备的远程监控方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117294023A (zh) * 2023-11-24 2023-12-26 成都汉度科技有限公司 一种运行设备的远程监控方法及系统
CN117294023B (zh) * 2023-11-24 2024-02-02 成都汉度科技有限公司 一种运行设备的远程监控方法及系统

Similar Documents

Publication Publication Date Title
CN104283889B (zh) 基于网络架构的电力系统内部apt攻击检测及预警系统
KR100732789B1 (ko) 데이터 베이스 시스템을 모니터링하기 위한 방법 및 장치
CN115733681A (zh) 一种防止数据丢失的数据安全管理平台
US7356545B2 (en) Enabling relational databases to incorporate customized intrusion prevention policies
CN112115482A (zh) 一种基于大数据的用于保护数据的数据安全监控系统
CN114372286A (zh) 数据安全管理方法、装置、计算机设备及存储介质
CN114584405A (zh) 一种电力终端安全防护方法及系统
CN116684116A (zh) 一种电力监控系统核心脆弱点发掘方法
CN114418263A (zh) 一种用于火电厂电力监控装置的防御系统
CN113032793A (zh) 数据安全智能加固系统及方法
KR20210083607A (ko) 위험 분석을 위한 보안요소 지수화 시스템 및 방법
CN110119629A (zh) 隐私数据管理与数据安全一体化平台
CN113709170A (zh) 资产安全运营系统、方法和装置
JP4843546B2 (ja) 情報漏洩監視システムおよび情報漏洩監視方法
CN107169354A (zh) 多层级Android系统恶意行为监控方法
CN111600890A (zh) 基于大数据的网络安全感知系统
CN115361182B (zh) 一种僵尸网络行为分析方法、装置、电子设备及介质
CN114037286A (zh) 一种基于大数据电力调度自动化敏感数据检测方法及系统
Lunt Using statistics to track intruders
Xu et al. Method of cumulative anomaly identification for security database based on discrete markov chain
Wei et al. Fusing Security Alerts Improves Cyber-Security: An Alert Normalization Framework for Heterogeneous Devices
Cao et al. Design of network security situation awareness analysis module for electric power dispatching and control system
CN117785843A (zh) 基于语义分析的数据库安全管控方法及系统
Du et al. Research and Application of Information System Vulnerability Control Technology Based on Runtime Self-Protection Technology
CN112583848A (zh) 一种远程安全日志分析系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination