CN116760636A - 一种未知威胁的主动防御系统和方法 - Google Patents

一种未知威胁的主动防御系统和方法 Download PDF

Info

Publication number
CN116760636A
CN116760636A CN202311028145.8A CN202311028145A CN116760636A CN 116760636 A CN116760636 A CN 116760636A CN 202311028145 A CN202311028145 A CN 202311028145A CN 116760636 A CN116760636 A CN 116760636A
Authority
CN
China
Prior art keywords
threat
data
information
early warning
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311028145.8A
Other languages
English (en)
Inventor
赵新建
李千目
夏飞
袁国泉
冒佳明
商林江
郭靓
张颂
陈石
徐晨维
窦昊翔
孟顺梅
刘剑
宋浒
金倩倩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Science and Technology
State Grid Jiangsu Electric Power Co Ltd
Nari Information and Communication Technology Co
Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Original Assignee
Nanjing University of Science and Technology
State Grid Jiangsu Electric Power Co Ltd
Nari Information and Communication Technology Co
Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Science and Technology, State Grid Jiangsu Electric Power Co Ltd, Nari Information and Communication Technology Co, Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd filed Critical Nanjing University of Science and Technology
Priority to CN202311028145.8A priority Critical patent/CN116760636A/zh
Publication of CN116760636A publication Critical patent/CN116760636A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种未知威胁的主动防御系统和方法,该系统包括:智能威胁预警模块、未知威胁检测模块和自适应防御处置模块;智能威胁预警模块,用于对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息,将威胁预警信息发送到未知威胁检测模块;未知威胁检测模块,用于在接收到威胁预警信息时,对采集到的未知威胁网络数据进行威胁检测和分析,生成威胁分析报告,并将威胁分析报告发送到自适应防御处置模块;自适应防御处置模块,用于根据威胁分析报告触发预设威胁防御策略对应的防御处置操作,形成了更加精细化和自适应的安全防护体系,提高了系统安全事件的监测预警能力,提升了整体电力网络防御水平。

Description

一种未知威胁的主动防御系统和方法
技术领域
本发明涉及电力系统技术领域,尤其涉及一种未知威胁的主动防御系统和方法。
背景技术
电力信息网络是指在电力系统中,为实现智能化、信息化及远程控制等功能,采用计算机技术和通信技术对电力设备进行互联互通的网络。
当下电力信息网络面临的网络安全风险有:(1)网络攻击,黑客可能通过各种方式进入电力信息网络,对系统进行攻击和破坏,例如DDoS攻击、恶意软件攻击、数据篡改等;这些攻击可能导致电网停电、数据泄露和信息安全问题;(2)人为操作失误,电力信息网络涉及到众多的人为操作,例如系统维护、网络管理等,如果发生操作失误,可能会导致系统故障或者信息泄露等问题;(3)社会工程学攻击,通过伪装、欺骗、信息收集等方式获取系统或者应用程序的信息,从而达到进入计算机系统或者网络的目的;(4)IoT设备安全问题,电力信息网络中常用的物联网设备存在着一些安全漏洞,例如默认密码、未及时升级等,这些问题容易被攻击者利用。针对上述网络安全风险,需要采取相应的安全措施来保障电力信息网络的安全运行。
现有的安全技术虽然应对一些传统的网络安全问题,但是对于电力信息网络的建设存在的不足主要表现在三个方面:第一,传统的电力网络安全防御系统大多是基于被动防御的基础上建立的,主要依靠杀毒软件,防火墙,身份认证等技术手段。比如防火墙技术,虽然通过配置一些安全访问规则,可以有效阻拦大部分非法入侵操作,但是这些配置规则都是静态的,一旦攻击手段多样化,就会使得安全防护的主动性方面有所欠缺,缺乏探测灵活性;第二,从技术层面的角度,电力网络的安全防御大多侧重于边界防御,没有全面分析威胁,缺乏对网络安全威胁全局态势的感知灵敏性,导致对变换后的攻击无法及时应对,防御效果降低。第三,传统的防御手段过多依赖运维工程师的手动操作,缺乏自主性。
发明内容
本发明提供了一种未知威胁的主动防御系统和方法,以解决电力信息网络现有的安全技术,缺乏主动性和自主性,防御不全面的问题,形成更加精细化和自适应的安全防护体系,提高系统安全事件的监测预警能力,提升整体电力网络防御水平。
根据本发明的一方面,提供了一种未知威胁的主动防御系统,应用于电力信息网络,所述系统包括:
智能威胁预警模块、未知威胁检测模块和自适应防御处置模块;
所述智能威胁预警模块,用于对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息,将所述威胁预警信息发送到所述未知威胁检测模块;
所述未知威胁检测模块,用于在接收到所述威胁预警信息时,对采集到的未知威胁网络数据进行威胁检测和分析,生成威胁分析报告,并将所述威胁分析报告发送到所述自适应防御处置模块;
所述自适应防御处置模块,用于根据所述威胁分析报告触发预设威胁防御策略对应的防御处置操作。
根据本发明的另一方面,提供了一种未知威胁的主动防御方法,应用于未知威胁的主动防御系统,所述方法包括:
通过智能威胁预警模块,对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息;
通过未知威胁检测模块,在接收到所述威胁预警信息时,根据所述未知威胁网络数据进行威胁分析,生成威胁分析报告;并将所述威胁分析报告发送到自适应防御处置模块;
通过所述自适应防御处置模块,根据所述威胁分析报告触发预设威胁防御策略对应的防御处置操作。
本发明实施例提供一种未知威胁的主动防御系统包括:智能威胁预警模块、未知威胁检测模块和自适应防御处置模块;智能威胁预警模块,用于对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息,将威胁预警信息发送到未知威胁检测模块;未知威胁检测模块,用于在接收到威胁预警信息时,对采集到的未知威胁网络数据进行威胁检测和分析,生成威胁分析报告,并将威胁分析报告发送到自适应防御处置模块;自适应防御处置模块,用于根据威胁分析报告触发预设威胁防御策略对应的防御处置操作,通过主动预警、及时检测和自动防御,解决了电力信息网络现有的安全技术,缺乏主动性和自主性,防御不全面的问题,形成了更加精细化和自适应的安全防护体系,提高了系统安全事件的监测预警能力,提升了整体电力网络防御水平。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的一种未知威胁的主动防御系统的结构示意图;
图2是本发明实施例一提供的一种示例的训练样本集的生成过程的示意图;
图3是本发明实施例一提供的一种基于大数据预测的预警单元的业务流程的示意图;
图4是本发明实施例一提供的一种日志数据采集过程的示意图;
图5是本发明实施例一提供的一种威胁情报在区块链中的共享流程的示意图;
图6是本发明实施例一提供的一种威胁情报在区块链中的共享流程的示意图;
图7是本发明实施例提供的一种流量加密安全检测方法的流程示意图;
图8是本发明实施一提供的一种自适应安全设备联动的执行过程的示意图;
图9是本发明实施例一提供的一种自动化处置单元的执行过程的示意图;
图10是本发明实施例二提供的一种未知威胁的主动防御系统的结构示意图;
图11是本发明实施例二提供的一种有限状态机的执行过程的示意图;
图12是本发明实施例二提供的一种基于异常行为关联的威胁链结构架构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1是本发明实施例一提供的一种未知威胁的主动防御系统的结构示意图。该主动防御系统可以应用于电力信息网络中,用于防御电力信息网络的未知威胁。如图1所示,该系统包括:智能威胁预警模块10、未知威胁检测模块20和自适应防御处置模块30;
智能威胁预警模块10,用于对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息,将威胁预警信息发送到未知威胁检测模块20;
未知威胁检测模块20,用于在接收到威胁预警信息时,对采集到的未知威胁网络数据进行威胁检测和分析,生成威胁分析报告,并将威胁分析报告发送到自适应防御处置模块30;
自适应防御处置模块30,用于根据威胁分析报告触发预设威胁防御策略对应的防御处置操作。
其中,智能威胁预警模块10用于在网络安全问题产生之前预测可能产生的威胁并发出预警的模块;未知威胁检测模块20用于在网络安全问题产生时,针对具有未知威胁的数据、行为或应用进行检测和分析;自适应防御处置模块30用于对于预警信息和网络安全威胁产生时的防护和处置。
具体的,智能威胁预警模块10根据预设的预警机制对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息,实现对未知威胁的主动预警。其中,预警机制可以包括但不限于:基于态势感知和网络模型的预测的预警机制、基于大数据预测的预警机制、基于联盟链情报共享的预警机制和其他预警机制。智能威胁预警模块10在获得威胁预警信息后,将威胁预警信息发送到未知威胁检测模块20。
未知威胁检测模块20在接收到威胁预警信息时,根据预设的检测和分析方法对采集到的未知威胁网络数据进行威胁检测和分析,生成威胁分析报告,实现对未知威胁的主动检测和全面分析。其中,检测方法包括但不限于基于深度学习模型的威胁检测方法、基于复杂事件处理框架的检测方法和基于加密流量的检测方法。未知威胁检测模块20在获得威胁分析报告发送到自适应防御处置模块。
自适应防御处置模块30在接收到威胁分析报告之后,根据威胁分析报告触发预设威胁防御策略对应的防御处置操作,实现对未知威胁的自动防御。
本发明实施例提供一种未知威胁的主动防御系统包括:智能威胁预警模块、未知威胁检测模块和自适应防御处置模块;智能威胁预警模块,用于对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息,将威胁预警信息发送到未知威胁检测模块;未知威胁检测模块,用于在接收到威胁预警信息时,对采集到的未知威胁网络数据进行威胁检测和分析,生成威胁分析报告,并将威胁分析报告发送到自适应防御处置模块;自适应防御处置模块,用于根据威胁分析报告触发预设威胁防御策略对应的防御处置操作,通过主动预警、及时检测和自动防御,解决了电力信息网络现有的安全技术,缺乏主动性和自主性,防御不全面的问题,形成了更加精细化和自适应的安全防护体系,提高了系统安全事件的监测预警能力,提升了整体电力网络防御水平。
在一个可选的实施例中,所述智能威胁预警模块包括:基于态势感知预测的预警单元、基于大数据预测的预警单元、基于联盟链情报共享的预警单元和联合预警单元;
所述基于态势感知预测的预警单元,用于通过预先训练完备的态势预测模型,对采集到的多源电网态势数据集进行预测得到态势预测结果,并根据所述态势预测结果生成第一威胁预警信息;
所述基于大数据预测的预警单元,用于通过预先训练完备的数据挖掘模型和特征提取模型对采集到的各设备的日志数据进行处理,得到威胁预测结果,根据威胁预测结果生成第二威胁预警信息;
所述基于联盟链情报共享的预警单元,用于通过联盟链获取所述电力信息网络中受威胁节点的威胁情报数据,根据所述威胁情报数据确定第三威胁预警信息;
所述联合预警单元,用于根据所述第一威胁预警信息、所述第二威胁预警信息和所述第三威胁预警信息生成联合预警信息,并将所述联合预警信息发送到所述未知威胁检测模块。
其中,第一威胁预警信息是由基于态势感知预测的预警单元预测得到的威胁预警信息;第二威胁预警信息是由基于大数据预测的预警单元预测得到的威胁预警信息;第三威胁预警信息是由基于联盟链情报共享的预警单元预测得到的威胁预警信息。
具体的,基于态势感知预测的预警单元通过预先训练完备的态势预测模型,对电力信息网络中的电力中多源异构的电网态势数据进行预测得到态势预测结果。根据态势预测结果生成第一威胁预警信息。
示例性的,获得训练完备的态势预测模型的主要步骤包括:构建训练样本集、构建初始态势预测模型、采用训练样本集对初始态势预测模型进行迭代训练。
构建训练样本集的方式可以为,对历史时间上采集到的电网态势数据集进行抽取、清洗、转换、加载等处理方式构建训练样本集。在本实施例中,为了使离散的多源电网态势数据集变得线性相关,可以使用滑动窗口对电网态势数据集进行处理,获得训练样本集。图2是本发明实施例一提供的一种示例的训练样本集的生成过程的示意图。如图2所示,设置滑动窗口的宽度为5,每次采集窗口内对应的5天时间的数据集,并以1为步长滑动窗口,采集滑动窗口后窗口内的5天时间的数据集,将每个窗口内采集到的数据集的处理结果作为一个训练样本集,从而获得线性相关的多个训练样本集。
构建初始态势预测模型的方式可以为:通过袋装算法(bagging算法)构建初始态势预测模型,该始态势预测模型由5个并列的v-SVM子模型构成。
采用训练样本集对初始态势预测模型进行迭代训练的过程可以为:将bagging方法的迭代最大次数设为5;将v-SVM定为弱学习方法,通过bagging方法构建v-SVM预测子模型,对v-SVM预测子模型序列集合参数初始化处理。用下式表示预测子模型序列集合为:
是第5个预测子模型的序列。初始化的集合参数包括子模型的核函数参数与序 列参数。在训练样本集中有放回的、重复、随机抽取一半训练样本,将抽取样本作为5个预测 子模型的对应预测样本实施训练。通过训练获取5个预测子模型的新序列集合为:是第5个预测子模型的新序列。
将新序列集合中输入其他训练样本,获取5个预测子模型的电网态势预测值集合。整合5个态势预测值,整合后的结果作为态势预测模型的态势预测结果。整合方式为取5个结果的平均值作为最终输出的训练样本集对应的态势预测结果。根据态势预测结果和训练样本中的标注结果计算损失函数,根据损失函数对初始态势预测模型的模型参数进行调整,直到获得态势预测模型。
基于大数据预测的预警单元,通过预先训练完备的数据挖掘模型和特征提取模型对采集到的各设备的日志数据进行处理,得到第二威胁预警信息。其中,设备包括但不限于主机设备、网络设备和安全设备等。
图3是本发明实施例一提供的一种基于大数据预测的预警单元的结构示意图。如图3所示,(1)数据采集子单元。可以从典型的主机设备、网络设备以及安全设备进行日志数据采集。图4是本发明实施例一提供的一种日志数据采集过程的示意图。如图4所示,日志内容不仅包含电网运行正常时段各资产的日志信息,还包括已发生网络安全事件的前、中、后时的日志信息。网络安全事件的日志信息能帮助威胁预测模型学习到网络安全事件发生时,各类设备间的关系和各类设备与网络安全事件之间的关系。日志数据的采集可以使用Syslog协议。Syslog使用了一个层级结构的日志消息格式,包括了优先级、时间戳、日志源和消息内容等信息,从而可以按照时间顺序,构建各类电网设备日志-安全事件数量的非结构化数据条目。
(2)数据预处理子单元。对日志数据的处理操作包括但不限于数据清洗、数据补齐和数据转换。数据清洗过程主要删除与威胁预测任务无关的数据列与存在大量缺失项的条目;数据补齐过程针对只缺少量项的条目,采用平均值补齐、就近补齐等方法;数据转换可以将采集到的非结构化数据转化为统一的结构化数据,以便于后续数据挖掘和特征提取模块的运行。针对字符串类非数值数据,使用Word2Vec、Doc2Vec方法,将其转换为向量。针对离散型数据,使取one-hot编码方法将其连续化,转换为多维向量。
(3)预测模型构建子单元。将基于采集到的、经过预处理后的数据,组成训练集,建立基于机器学习方法的数据挖掘模型与基于深度学习的威胁特征提取模型。在数据挖掘部分,选取LightGBM方法进行训练。
在经过多次交叉验证后,选取并保存参数最优模型。在威胁特征提取部分,选取深度神经网络DNN进行训练。在训练过程中,采用多批次梯度下降进行收敛优化,在经过多次交叉验证后,选取并保存参数最优模型。
(4)威胁预测子单元。根据所建立的数据挖掘模型和特征提取模型,每隔一定的时间间隔采集电网内部指定设备的日志信息。在对日志信息预处理后输入到数据挖掘模型和特征提取模型中,通过数据挖掘模型和特征提取模型的输出进行加权得到威胁预测结果,根据威胁预测结果生成第二威胁预警信息。
基于联盟链情报共享的预警单元,用于通过联盟链获取电力信息网络中受威胁节点的威胁情报数据,根据威胁情报数据确定第三威胁预警信息。
图5是基于联盟链情报共享的预警单元的结构示意图。如图5所示,基于联盟链情报共享的预警机制主要包括以下两个步骤:(1)构建应用交互层。在共享机制下,各个电力系统终端作为网络中的节点,每一个节点既可以作为信息贡献者来上传情报以供网络内的其它节点下载,又可以作为情报获取者通过区块链网络获取情报相关信息。当电力系统网络内的节点遭受到攻击后,将受到攻击的方式和类型,以及其它相关信息封装成若干条情报上传至区块链网络中去,此时,网络内的其他电力系统节点可以下载这些情报来更新现有的防御策略,达到威胁预警和主动防御的目的。应用交互层封装了一些基本功能来实现上述操作,如共享网络中常见的基本功能,如数据上传和数据查询等功能,这些功能以标准交易的形式进行封装,随后成为一条交易发送给请求的节点,最终完成请求后节点将数据存储在区块链上。
(2)区块链层主要包含了P2P网络和区块链,其中交易的传输和处理主要在P2P网络中完成,若想要把传输来的交易(情报)打包成区块进行存储,需要让这些交易通过共识协议后,再将这些交易打包进区块中,随后上传至区块链之中。该层需要整个联盟链网络内的电力系统节点共同维护,如果一个地区使用同一个区块链网络,那么网络内的节点根据系统类型不同可以分为不同类型的小组。整个共享机制没有专门的管理员,但根据电力系统行为及电力系统身份的不同,会对不被信任的电力系统节点进行访问控制,一些电力系统节点可以在一开始就给与一个比较高的可靠程度,其他电力系统节点会根据其行为动态调节可靠程度。对于可靠程度低的电力系统节点,禁止其参与到公共情报的维护中去,使其无法获得网络内共享的情报。
在联盟区块链中,每一个电力系统都可以看作是区块链中的一个节点。建立起区块链网络后,各个不同地区的电力系统可以通过区块链网络进行威胁情报资源共享。各地区的电力系统组织可根据本地区的情况选举出一个区域电力系统代表来代表自己的组织,去申请成为区块链中的一个节点,区域电力系统代表以区块链节点的形式,在区块链中负责维护区块链账本并通过区块链网络进行情报的共享。每个区域电力系统代表都代表各自的组织参与到一个统一的情报共享系统中,通过设置一种可以实现全网共识的规则(共识机制)以及预先部署好的程序来处理威胁情报共享。预定义的程序又被称为链码(chaincode),将链码(chaincode)部署到区块链中,为各个组织的代表成员节点提供一些基本的操作。情报的存储分为链下存储和链上存储两个部分:链下存储与传统中心化共享机制一样,组织电力系统将收集到的网络威胁情报上传到本地的数据库中,组织内的其他电力系统就可以通过本地数据库下载威胁情报;链上存储是各个组织的代表电力系统将各自组织的本地数据库中的威胁情报上传至区块链中,以供区块链内其他组织对威胁情报进行下载,代表电力系统也允许获取到别的组织存储在区块链上的情报,然后上传至本组织的本地数据库中,以供本组织的其他节点进行下载。
图6是本发明实施例一提供的一种威胁情报在区块链中的共享流程的示意图。如图6所示,情报的传输主要是以交易的形式来完成的。因此,在基于区块链的威胁情报共享机制中,每共享一条威胁情报都可以看成是发起一笔交易,一次标准的情报共享,具体流程如下:(1)交易背书。如果电力系统想要共享一条情报数据,该情报就会被电力系统封装成一条交易的形式,随后电力系统将该交易发送给网络内的背书节点,请求将该交易上传到区块链中。背书节点在收到请求后,先去本地中读取目前区块链的账本,将读取账本后得到的区块链状态与加入该交易后的区块链状态进行签名,最后将签名返回给该电力系统。
(2)组织为区块。电力系统程序在收到背书节点返回的数据后,将这些数据进行打包,随后网络内的组织节点都将收到该数据的广播,形成一个统一的交易池。组织节点收到数据后,开始执行已经设置好的可插拔的共识协议,通过共识协议的交易会被打包进一个区块中。
(3)确认与提交。组织节点将打包好的该区块广播给所有参与到此次共识的提交节点供其验证,如果多数提交节点都验证通过了该区块,就将该区块上传到区块链中。具体做法是:参加共识的节点首先对区块中的交易信息进行准确性和合法性验证,获得提交该交易时由背书节点读取区块链账本后获得的区块链状态,对比这个状态和当前状态是否一致,若一致则认为本次交易没有问题,并向其他参与共识的节点发送自己的决定。这些验证完成后,将该区块加入到区块链的尾部,账本的状态也随之更新。最后,提交节点回复一条信息通知电力系统提交成功。共识完成,区块链内的电力系统节点对该区块的上链达成共识,并保证区块链账本的同步。
在上述可选实施例的基础上,所述基于态势感知预测的预警单元包括:多源电网态势数据处理子单元、态势预测子单元和威胁预警子单元;
所述多源电网态势数据处理子单元,用于采集多源电网态势数据,对所述多源电网态势数据进行数据转换和数据预处理,获得多源电网态势数据集;
所述态势预测子单元,用于将所述多源电网态势数据集输入预先训练完备的态势预测模型,获得态势预测结果;
所述威胁预警子单元,用于比较所述态势预测结果和态势临界值,生成第一威胁预警信息。
具体的,多源电网态势数据处理子单元用于对采集到的多源电网态势数据进行数据转换和数据预处理,多源电网态势数据转换包括多源电网态势数据的平滑、缩放和泛化三个部分:
(1)多源电网态势数据的平滑。多源电网态势数据的平滑能够清除态势多源电网 态势数据中无关紧要的数据和噪声数据,使用的处理方法为滑动平均法。滑动平均法的核 心思想为把当前数据前后时刻的一共个观测值做平均,作为当前时刻数据的替代。 在各数据进行平滑处理,剔除处理后与大部分数据偏差较大的数据,即可完成多源电网态 势数据平滑处理。
(2)多源电网态势数据的缩放。多源电网态势数据缩放主要是对范围较大的同一属性值进行处理,使其落到一个特定的、较小的区间,具体公式如下:
为数据缩放结果,为数据指定缩放范围,为多源电网态势数据 在某项属性上的最大值,为多源电网态势数据在某项属性上的最小值。
(3)多源电网态势数据的泛化。多源电网态势数据泛化能够对某属性数据原始概 念层中的细节信息进行抽象,将其提升到较高的概念层。具体的泛化过程如下:①输入电网 态势某属性数据的数据表;②设置泛化参数;③对数据表的隐私保护阈值进行计算;④ 枚举数据表中的全部策略,在策略的枚举中将策略值大于阈值的策略直接过滤,生成剩 余策略的策略空间;⑤对于生成的策略空间,通过-近似Skyline实施过滤,获取候选策 略空间;⑥实施候选策略空间的Skyline,获取推荐策略集;⑦输出推荐策略集及其对应的 泛化。
态势预测子单元将多源电网态势数据集输入预先训练完备的态势预测模型中的5个预测子模型的进行态势预测,得到5个预测子模型的电网态势预测值,取5个电网态势预测值的平均值作为最终的态势预测结果。
威胁预警子单元依据先验知识,设定电网终端态势临界值。通过态势预测子单元输出的态势预测结果。当出现模型预测的态势预测结果超过预设的态势临界值时,生成第一威胁预警信息进行威胁预警。
在一个可选的实施例中,所述未知威胁检测模块,包括:基于加密流量的威胁检测单元、基于复杂事件处理框架的威胁检测单元和基于行为深度学习的威胁分析单元;
所述基于加密流量的威胁检测单元,用于对采集到的第一未知威胁网络数据进行威胁检测,获得第一威胁检测结果;所述第一未知威胁网络数据包括:加密通信的恶意流量数据、加密的攻击行为或者恶意应用;
所述基于复杂事件处理框架的威胁检测单元,用于根据基于复杂时间处理框架的威胁事件检测规则对采集到的第二未知威胁网络数进行威胁分析,获得第二威胁检测结果;所述第二未知威胁网络数据包括受威胁设备的日志数据;
基于行为深度学习的威胁分析单元,用于对所述第一威胁检测结果和所述第二威胁检测结果进行深度学习,获得威胁分析报告。
具体的,基于加密流量的威胁检测单元用于采用流量加密安全检测方法对采集到的第一未知威胁网络数据进行威胁检测,获得第一威胁检测结果。第一未知威胁网络数据包括:加密通信的恶意流量数据、加密的攻击行为或者恶意应用。加密流量安全检测方法通过对大量使用加密通信的恶意样本、各类加密通道的攻击行为、多种恶意或非法应用进行深度分析、数据观测,对多种检测手段进行探索、测试和验证。图7是本发明实施例提供的一种流量加密安全检测方法的流程示意图,如图7所示,流量加密安全检测方法具体包括:
(1)搜集实时恶意样本。保证检测引擎的准确性和时效性的关键在于数据搜集的准确度、覆盖面。数据搜集包括3个途径:实际网络环境、模拟测试数据和跟踪最新样本和最新攻击方式。所搜集的数据包括使用加密通信的恶意样本,超过200个家族,覆盖各类恶意行为、SSL版本和加密算法;可在加密通道发起攻击行为的各类攻击软件、以及实际环境的数据,攻击类型包括:扫描探测、暴力破解、CC攻击等以及各类恶意应用软件及实际环境数据,包括:Tor、自由门、无界浏览等。
(2)恶意样本的解析整理。确保数据集完整和无杂质,要对搜集的所有数据进行深度解析和整理,确保后期传输给AI模型训练的数据质量。分析任务包括:深度解析恶意样本的功能、加密机制、通联方式、危害等;分析攻击和恶意软件的攻击类型、数据格式、加密方式等。数据处理包括两个步骤,一是通过沙箱、虚拟机获取样本通信数据,二是将数据进行格式化处理。
(3)恶意行为分类。恶意加密流量是一个宽泛的概念,里面包括多种恶意行为,每一类数据特征均有细微的差别,要获取更高的准确率,就必须先区分每一类加密流量的背景及特性。通过对海量恶意加密流量的分析,可以将数据分为三大类:
第一,恶意代码使用加密通信的流量,其中包括超过200种家族,恶意代码类型包括:特洛伊木马、勒索软件、感染式病毒、蠕虫病毒、下载器、其它;其加密通联方式又包括六类:连接C&C服务器、检测主机联网环境、母体程序正常通信、白站隐蔽中转、蠕虫传播通信等。
第二,加密通道中的恶意攻击流量,攻击类型包括:探测扫描、暴力破解、信息窃取、CC攻击等。
第三,恶意或非法加密应用的通信流量,应用包括:Tor、翻墙软件、非法VPN等。
(4)构建特征工程。特征工程包括特征构建、特征提取、特征选择三个部分。为保证后期检测引擎准确率足够高,特征工程是关键。构建特征工程阶段,同时进行深度特征抽取,通过CNN、RNN方法对部分特征进行训练。
(5)训练检测模型。模型训练使用的方法包括线性回归(LinReg)、随机森林(RandomForest)、决策树(DecTree)、神经网络(MLP)、支持向量机(SVM)、逻辑回归(LogReg)、卷积神经网络(CNN)。
(6)模型迭代与优化。模型初步训练完成之后,要对模型进行不断优化,优化的方法包括对选定的模型进一步参数调优、验证和测试,实际网络流量数据测试与迭代训练。最终针对各类型的加密流量,根据实际测试结果,选用效果最佳的方法及参数,保证准确率。
(7)报告与响应。一旦检测到潜在的威胁,将生成相应的告警或报告。安全团队可以根据这些信息采取适当措施,如阻止恶意流量、隔离受感染设备或开始进一步调查。对于高级威胁,可能需要进行持续监控以确保威胁得到彻底消除。
(8)数据重新加密。在对解密流量进行分析和处理后,数据通常需要再次加密并发送到最终目的地。这有助于确保数据在整个传输过程中保持机密性和完整性。
下面给出一个具体实例来说明本发明中的基于加密流量的威胁分析:
步骤2.1.1:使用tcpdump在电网上捕获和保存网络数据包,将他们定义为
步骤2.1.2:接着使用Wireshark工具分析捕获到的电网上的数据包,通过行为标 签定义为
步骤2.1.3:利用CNN模型训练一个分类流量行为的分类器classifier,其 backbone采用ResNet-50,将其称为。任意一个输入进入,会输出对应的标签以及信 心分数。通过和设置的阈值进行比较来判断是否异常,小于则是异常。也可以换一个角 度,当输出概率比较集中,最高的分数比较高的时候就是正常;概率比较平均,最高分数比 较低就是异常。
步骤2.1.4:在模型评估与迭代阶段,定义一个混肴矩阵,分为四种情况:异常被检测出、异常未检测出、正常被当作异常、正常未被当作异常。每种情况定义一个cost值用来评判误判的严重程度。
通过上述操作,成功检测出加密流量中的异常威胁,异常流量可能表现为未知协议、非正常的数据包大小或频率、大量流量涌入等。需要将其完整的报告上去,提供尽可能详细的信息,包括时间、地点、影响范围等。报告完成后把数据重新加密。
基于复杂事件处理框架的威胁检测单元用于根据基于复杂时间处理框架的威胁事件检测规则对采集到的第二未知威胁网络数进行威胁分析,获得第二威胁检测结果。为了快速发现数据安全事件,需要实时处理设备日志,因此需要基于实时的流式大数据处理框架开发的复杂事件处理(Complex Event Processing,CEP)规则引擎。将一个数据安全事件监测场景部署到安全运营平台上,需要经历如下步骤:理解数据安全事件的表现特征,推理设备日志的字段特征,归纳事件检测逻辑,并转化成事件处理语言(EPL),将EPL集成到CEP规则引擎中并执行。经过上述步骤后,CEP规则引擎就可以加载该安全场景的事件检测规则,当符合该规则检测模式的设备日志进入CEP规则引擎后,即可触发生成事件。
通过基于复杂事件处理的实时威胁检测,可以灵活高效处理威胁场景的溯源分析,快速还原泄露过程的全貌,对责任定位、环境加固、安全预防起着重要作用。
在上述可选实施例的基础上,所述基于行为深度学习的威胁分析单元包括:告警日志生成子单元、解构子单元和分析子单元;
所述告警日志生成子单元,用于根据所述第一威胁检测结果和第二威胁检测结果生成告警信息,并根据所述告警信息生成告警日志;
所述解构子单元,用于将所述告警日志输入威胁链解构模块形成威胁链;
所述分析子单元,用于对所述威胁链进行负因果关联剪枝和非继发事件降噪形成威胁分析报告。
具体的,告警日志生成子单元用于根据第一威胁检测结果和第二威胁检测结果生成告警信息,并根据告警信息生成告警日志。具体过程为根据基于加密流量的威胁检测单元输出的第一未知威胁网络数据和基于复杂事件处理框架的威胁检测单元输出的第二未知威胁检测结果经过基于加密流量的威胁分析,并对复杂事件进行实时威胁监测,最终生成电网数据安全相关信息以及攻击类型的告警信息,对告警信息进行去重等预处理后形成可分析的单步攻击的告警日志,然后将告警日志送入解构子单元。
去重预处理的过程可以包括:首先从告警信息中提取出告警切片类型、告警业务类型、攻击类型、告警开始时间、告警结束时间、告警类型、源地址、目的地址、源端口、目的端口等数据,由于不同监测来源数据可能会产生多次冗余告警,需要在保留时间信息的基础上对告警日志进行去重,去重规则为:若一条告警记录的告警业务类型、告警切片类型、攻击类型、IP地址、端口号与单位时间内的另一条告警记录相同,则去除后一条告警记录。
在解构子单元中将告警日志输入威胁链解构模块形成威胁链。在威胁链中,一个节点代表一个告警信息,经过结构化节点信息,告警记录结构化为了数个树状图,此时告警信息还存在大量冗余,需要通过子节点聚合方法进一步去除冗余,使用广度搜索方法对当前树状图得到威胁结构链。
在分析子单元中,对威胁链进行负因果关联剪枝和非继发事件降噪形成威胁分析报告。电力监控系统的异常数据来源于多种不同的采集设备,往往前后两个告警事件是负因果关系,需要进行负因果规则剪枝。如“存在DDos事件”和“非法访问事件”无法构成因果关系,则将对两个告警事件对应的节点进行剪枝。当告警事件过多时会造成告警噪音,因此还需要非继发事件降噪形成威胁分析报告。
在一个可选的实施例中,所述自适应防御处置模块,包括:自适应设备联动单元和自动化处置单元,
所述自适应设备联动单元,用于根据所构建的网络拓扑模型确定设备节点和链路之间的关联信息,根据所述关联信息更新威胁防御策略;根据所述威胁分析报告触发威胁防御策略对应的处置操作;
所述自动化处置单元,用于根据所述威胁分析报告和预先构建的威胁事件的工作流,触发安全设备执行处置操作。
具体的,自适应设备联动单元用于根据网络拓扑模型对电力信息网络中的各设备进行联动,确定设备节点和链路之间的关联信息,然后根据关联信息更新威胁防御策略;根据威胁分析报告触发威胁防御策略对应的处置操作。
图8是本发明实施一提供的一种自适应安全设备联动的执行过程的示意图,如图8所示,自适应设备联动的过程具体包括:(1)电力信息网络拓扑整体建模。物理网络拓扑的自动发现通过简单网络管理协议(SNMP)读取设备MIB信息,通过联合分析各个设备的管理信息库,得到网元之间物理连接关系。然后自动构建反应网络安全威胁和网络攻防状态的逻辑拓扑模型。这个模型由网络中节点的描述、网络连接关系、攻击规则库和攻击者的属性组成。以攻击者角度生成攻击路径的过程是对网络状态空间正向搜索的过程,同时在搜索过程中要保证攻击者贪婪的特性,实现一种正向的、广度优先的攻击路径生成方法,用于自动生成网络攻击图。
(2)网络拓扑关联分析。确定网络节点和链路之间的关联度,将这一关联度更新到智能联动策略库的联动条件集合中去。当网络拓扑发生变化时,通过关联分析,可以发现哪些原有的联动策略受到影响以及需要增加或删除哪些联动策略,从而实现联动策略的实时更新。
为了更细粒度地对纷繁复杂的网络进行区分,分别研究了不同的网络关联特征,主要包括聚集(clustering)特性、混合(mixing)特性和自存(rich-club)特性。聚集特性用于刻画一个节点邻居之间的亲疏程度。本方法使用聚集系数,来刻画网络的聚集特性的参数。
在引入聚集系数之前,首先要计算局部聚集系数
其中,表示为节点度为的节点的邻居之间存在的平均连接数。
然后,计算平均聚集系数 (mean clustering):
其中,表示图中任意一个节点的度数为的概率,即节点的度的分布。
最后,计算聚集系数(clustering coefficient):
其中,表示节点度的二阶矩,而表示平均节点度数。
目前,在研究领域通常使用平均聚集系数来衡量聚集特性。但是这一刻画参数并 不总能正确地反映网络的真实情况。聚集系数是最准确地从全局来刻画网络的聚集特性的 参数。在某些情况下,平均聚集系数和聚集系数可能存在不一致性,即存在两个,满足,但。建议使用聚集系数而不是平均聚集系数来刻画网络的聚集特性。
(3)网络安全规则自适应学习。构建并更新网络拓扑模型,分析网络拓扑关联的最终目的是设计网络安全联动防御策略,更新策略库,生成具体的安全规则,并根据策略库的策略信息进行发布。这就实现了安全设备与网络安全规则的联动。当业务节点触发安全威胁或安全事件时,需要及时出台防御策略,控制安全问题的蔓延。大多数网络攻击的目标都是从端点开始,通过长期延迟、数据收集、人工智能等手段对端点进行渗透变化。这些终端节点大多是指服务器、工作站、监控主机等主机设备,结合网络设备、安全设备、代理程序等安全防护设备,对存在安全风险的主机设备进行主动防御控制,需要综合运用防御手段业务停用、逻辑阻断、物理隔离等措施。
主动防御策略库是网络拓扑与现有安全防御措施的联动或组合配置。在结合安全设备的防御功能和层次拓扑关系的基础上,增加了具体防御动作的触发条件,并根据防御策略的类型一一匹配,包括恶意代码防护策略、拒绝服务防护策略、网络攻击防护策略、控制相关敏感操作防护策略和非法访问防护策略等。
自动化处置单元32用于根据威胁分析报告和预先构建的威胁事件的工作流,触发安全设备执行处置操作。图9是本发明实施例一提供的一种自动化处置单元的执行过程的示意图,如图9所示,通过可视化编排将人员、安全技术、业务流程进行深度融合,通过Playbook剧本串并联构建安全事件处置的工作流,自动化触发不同安全设备执行响应动作。基于对安全事件上下文有更全面、端到端的理解,有助于将复杂的事件响应过程和任务转换为一致的、可重复的、可度量的和有效的工作流,变被动应急响应为自动化持续响应。发明自动化处置方法,可以分为下述的步骤:(1)告警预判。告警预判是一种流程化、持续化的调查分析与响应处置跟踪记录方法,适用于一组相关的行为事件。通过监测主机、网络设备、安防设备和业务应用等设备的日志事件,来识别攻击并进行预判。使用案例流程处理功能,并结合预判引擎来识别案例标签,将不同性质的案例指派到不同的Playbook剧本中。最后,将不同的处置结果记录并返回给事件研判。针对相同规则,将先后发生的同类型行为事件汇聚在同一规则下,规则种类包括但不局限于入侵、拒绝服务、非法外联、U盘插入、高危端口访问、恶意代码等。这种做法有利于以标签化方式调用相同的Playbooks进行系列化的响应和执行。同时,对相同事件类型的响应执行进行安全性能度量,以判定执行效率和准确度,并对执行策略进行统一调整。(2)剧本管理。Playbook是一个“剧本”,记录安全工程师的工作流程。剧本偏响应处置方面,通过可视化编排方式进行创建及保存,并为规则进行引用,常见的剧本包括研判取证、全局封堵、主机隔离、工单、邮件预警等。剧本在满足条件情况下被触发,同时调用响应设备执行响应动作。Soar引擎中,接受引擎触发剧本引擎,并进行处置引擎,为不同性质的案例指派不同的Playbook,再通过自定义规则和内置规则对Playbook进行修改管理。
(3)安全处置。自动编排的封禁由设备执行响应处置动作实现,通过Playbook调用触发不同设备执行处置动作,联动响应设备进行一键响应。响应设备包括加密设备、隔离装置、监测装备和网络设备等。接入到系统中的响应设备可实现灵活的设备管理功能,如:新增、编辑、启用、禁用。借助响应设备可完成威胁拦截,可疑访问源封杀,被攻陷主机的隔离、威胁消除及未攻陷主机的加固等封禁工作。
(4)工单通知。针对修补漏洞、终端清理病毒文件等目前暂不支持或需要人工参与的响应动作,可通过工单方式推送至责任人,责任人收到工单后,再进行相关处置。邮件预警包括重要事件生成通知和自动化响应处置结果通知。
实施例二
图10是本发明实施例二提供的一种未知威胁的主动防御方法的流程图,该方法可以适用于未知威胁的主动防御系统。如图10所示,该方法包括:
S1、通过智能威胁预警模块,对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息。
S2、通过未知威胁检测模块,在接收到威胁预警信息时,根据未知威胁网络数据进行威胁分析,生成威胁分析报告;并将威胁分析报告发送到自适应防御处置模块。
S3、通过自适应防御处置模块,根据威胁分析报告触发预设威胁防御策略对应的防御处置操作。
本发明实施例的技术方案,通过智能威胁预警模块,对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息;通过未知威胁检测模块,在接收到威胁预警信息时,根据未知威胁网络数据进行威胁分析,生成威胁分析报告;并将威胁分析报告发送到自适应防御处置模块;通过自适应防御处置模块,根据威胁分析报告触发预设威胁防御策略对应的防御处置操作,形成了更加精细化和自适应的安全防护体系,提高了系统安全事件的监测预警能力,提升了整体电力网络防御水平。
可选的,S1、所述对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息,包括:
步骤1.1、通过预先训练完备的态势预测模型,对采集到的多源电网态势数据集进行预测得到态势预测结果,并根据所述态势预测结果生成第一威胁预警信息;
步骤1.2、通过预先训练完备的数据挖掘模型和特征提取模型对采集到的各设备的日志数据进行处理,得到第二威胁预警信息;
步骤1.3、通过联盟链获取所述电力信息网络中受威胁节点的威胁情报数据,根据所述威胁情报数据确定第三威胁预警信息;
步骤1.4、根据所述第一威胁预警信息、所述第二威胁预警信息和所述第三威胁预警信息生成联合预警信息,并将所述联合预警信息发送到所述未知威胁检测模块。
具体的,步骤1.1、通过预先训练完备的态势预测模型,对采集到的多源电网态势数据集进行预测得到态势预测结果的过程具体包括:步骤1.1.1:收集历史多源电网态势数据集,并准备进行多源电网态势数据进行预处理操作,预处理操作可以包括:多源数据平滑、多源数据缩放、多源数据泛化和异构数据集成四步。
步骤1.1.2:对收集到的电网态势数据集,使用滑动平均法进行多源数据平滑,即 把当前数据前后时刻的一共个观测值做平均,作为当前时刻数据的替代。在各数据 进行平滑处理,剔除处理后与大部分数据偏差较大的数据,即可完成多源数据平滑处理。多 源数据平滑能够清除态势多源数据中无关紧要的数据和噪声数据,
步骤1.1.3:对得到的电网态势数据集,使用以下公式进行多源数据缩放。该步主要是对范围较大的同一属性值进行处理,使其落到一个特定的、较小的区间。
步骤1.1.4:对得到的电网态势数据集,进行以下步骤进行数据泛化:①输入电网 态势某属性数据的数据表;②设置泛化参数;③对数据表的隐私保护阈值进行计算;④ 枚举数据表中的全部策略,在策略的枚举中将策略值大于阈值的策略直接过滤,生成剩 余策略的策略空间;⑤对于生成的策略空间,通过-近似Skyline实施过滤,获取候选策 略空间;⑥实施候选策略空间的Skyline,获取推荐策略集;⑦输出推荐策略集及其对应的 泛化。
步骤1.1.5:对得到的电网态势数据集中的文本数据、XML数据、CSV数据、Hbase数据等进行异构数据集成。
步骤1.1.6:将得到的电网态势数据集作为初始训练样本集。使用滑动窗口对初始训练样本集进行构造,使离散的多源电网态势数据集变得线性相关。
步骤1.1.7:将每次训练预测的结果作为一个训练样本集,从而获得多个训练样本集。通过bagging方法构建态势预测模型,该模型由5个并列的v-SVM子模型构成。利用该模型可进行电网态势预测。
步骤1.2、通过预先训练完备的数据挖掘模型和特征提取模型对采集到的各设备的日志数据进行处理,得到第二威胁预警信息包括:
步骤1.2.1:选择典型的主机设备、网络设备以及安全设备进行日志数据采集。以入侵防御设备(IPS)的告警日志为例,入侵防御设备(IPS)-告警日志内容格式要求如表1和表2所示。
表1
表2
传送日志格式示例:
设备厂商|*设备类型|*日志类型|*设备IPV4|*设备IPV6|*告警级别|*标准类别|*告警名称|*告警时间|*源IP|*源端口|*目的IP|*目的端口|*传输协议|*告警次数|*策略动作|*是否启用IP封禁|*HTTP请求方法|*域名|*访问路径|*HTTP请求或响应信息|*网络流量包|*告警附加信息一|*告警附加信息二|*告警附加信息三|*告警附加信息四|*告警附加信息五。
步骤1.2.2:对步骤1.2.1所采集到的日志数据,主要删除与威胁预测任务无关的数据列与存在大量缺失项的条目,以完成数据清洗工作。
步骤1.2.3:对步骤1.2.2得到的日志数据,针对只缺少量项的条目,采用就近补齐等方法进行数据补齐。
步骤1.2.4:对步骤1.2.3得到的日志数据,针对其中字符串类非数值数据,使用Word2Vec、Doc2Vec方法,将其转换为向量。针对其中离散型数据,使取one-hot编码方法将其连续化,转换为多维向量。
步骤1.2.5:基于步骤1.2.4得到的日志数据,选取LightGBM方法进行基于机器学习方法的数据挖掘模型的训练。训练的重要参数如表3所示。在经过十折交叉验证后,选取并保存参数最优模型,得到基于机器学习方法的数据挖掘模型。
表3
步骤1.2.6:基于步骤1.2.4得到的日志数据,选取深度神经网络DNN进行训练。在训练过程中,采用多批次梯度下降进行收敛优化,在经过十折交叉验证后,选取并保存参数最优模型,得到基于深度学习的威胁特征提取模型。
步骤1.3、通过联盟链获取所述电力信息网络中受威胁节点的威胁情报数据,根据所述威胁情报数据确定第三威胁预警信息具体包括:
步骤1.3.1:国网各个地区的电力系统终端通过选举加入到区块链网络中,建立起情报共享区块链网络,其中每一个电力系统终端作为网络中的一个节点,负责维护区块链账本,通过设置可实现的共识机制以及预先部署好的程序来处理威胁情报共享。
步骤1.3.2:当某一个电力系统遭受到攻击后,其可以作为情报信息贡献者,将受到的攻击方式和类型等信息封装成若干条情报(记为情报Info),分别进行链上存储和链下存储。链上存储通过发起交易的形式,请求将情报Info上传到区块链网络中。
步骤1.3.3:背书节点收到请求后,先去本地读取区块链账本,将读取到的区块链状态和加入该交易后的区块链状态进行签名,并将签名返回给请求的电力系统。
步骤1.3.4:请求上传情报的电力系统接收到签名后,会将数据打包发送给组织节点,形成统一的交易池,并验证是否满足共识协议。
步骤1.3.5:通过共识协议的交易会被打包进同一个区块(记为区块Block)中,其它参与共识的电力系统节点此时可以作为信息获取者,通过区块链网络获取到威胁情报Info所在的区块Block,进行准确性和合法性验证,将区块Block加入到区块链尾部,更新账本状态,达到威胁预警和主动防御的目的。
基于电网态势数据进行训练,建立起基于电力终端态势感知的威胁预警模块,并 记该模块为;基于电网设备日志数据进行训练,建立起基于大数据预测模型融合业务特 点的预警模块,并记该模块为;安装基于区块链方法构建起用于情报共享的客户端应 用,并记该应用为
每间隔时刻,采集该时间间隔内的电网态势数据,输入到中,并得到电网态 势预测值。每间隔时刻,采集该时间间隔内的电网设备日志数据,输入到中,并得到 安全事件预测数量。每间隔时刻,查看该时间间隔内中其他电网节点共享的威胁情 报数量,记该数量为
步骤1.4、根据所述第一威胁预警信息、所述第二威胁预警信息和所述第三威胁预警信息生成联合预警信息,并将所述联合预警信息发送到所述未知威胁检测模块,具体包括:
通过对进行综合评估。评估公式为:
其中,为预设的电网态势阈值,为最后的评估结果,类型为布尔类型。当的时候,事前预警模块将认为无威胁;当的时候,事前预警模块将有产生 威胁的可能,生成联合预警信息,并将该联合预警信息传递给未知威胁检测模块,并进一步 为传递给自适应防御处置模块做预防。
可选的,S2、在接收到所述威胁预警信息时,根据所述未知威胁网络数据进行威胁分析,生成威胁分析报告,包括:
步骤2.1、对采集到的第一未知威胁网络数据进行威胁检测,获得第一威胁检测结果;所述第一未知威胁网络数据包括:加密通信的恶意流量数据、加密的攻击行为或者恶意应用;
步骤2.2、根据基于复杂时间处理框架的威胁事件检测规则对采集到的第二未知威胁网络数进行威胁分析,获得第二威胁检测结果;所述第二未知威胁网络数据包括受威胁设备的日志数据;
步骤2.3、对所述第一威胁检测结果和所述第二威胁检测结果进行深度学习,获得威胁分析报告。
具体的,以一个实际业务中的数据安全威胁检测场景为例,说明步骤2.1对采集到的第一未知威胁网络数据进行威胁检测,获得第一威胁检测结果的具体包括:
步骤2.1.1:使用tcpdump在电网上捕获和保存网络数据包,将他们定义为
步骤2.1.2:接着使用Wireshark工具分析捕获到的电网上的数据包,通过行为标 签定义为
步骤2.1.3:利用CNN模型训练一个分类流量行为的分类器classifier,其 backbone采用ResNet-50,将其称为。任意一个输入进入,会输出对应的标签以及信 心分数。通过和设置的阈值进行比较来判断是否异常,小于则是异常。也可以换一个角 度,当输出概率比较集中,最高的分数比较高的时候就是正常;概率比较平均,最高分数比 较低就是异常。
步骤2.1.4:在模型评估与迭代阶段,定义一个混肴矩阵,分为四种情况:异常被检测出、异常未检测出、正常被当作异常、正常未被当作异常。每种情况定义一个cost值用来评判误判的严重程度。
通过上述操作,成功检测出加密流量中的异常威胁,异常流量可能表现为未知协议、非正常的数据包大小或频率、大量流量涌入等。需要将其完整的报告上去,提供尽可能详细的信息,包括时间、地点、影响范围等。报告完成后把数据重新加密。
步骤2.2、根据基于复杂时间处理框架的威胁事件检测规则对采集到的第二未知威胁网络数进行威胁分析,获得第二威胁检测结果的具体包括:
步骤2.2.1:攻击者通过若干已知账号和通用密码尝试登陆(UEBA异常行为——单设备登陆多个不同账号),成功后登陆特定用户的管理与协同软件、邮箱等,翻阅并下载敏感信息(短时间内下载大量文件),如服务器密码、敏感文件等,进而攻陷了一批服务器,造成严重的数据泄露。该场景涉及三种日志:登陆认证、Web访问和文件传输。经过分析可知,该场景的日志具备如下特征:
登录认证日志:多次认证失败后突然成功。
Web访问日志:某设备突然登录若干不同的账号,偏离以往日常行为。
文件传输日志:短时间内下载大量文件。
步骤2.2.2:使用EPL将事件检测逻辑定义出来,然后将EPL加载到CEP规则引擎中,通过解析校验EPL等流程,最终得到一个物理执行流程图并分
发到集群的各个worker节点,开始执行上述事件检测规则。一般情况下,多数CEP引擎都提供了状态机的方案,按照事件检测规则对实时日志流进行模式匹配,在上述安全事件检测规则的具体执行过程中,有限状态机的执行过程如图11所示。
首先,CEP规则引擎持续检测第一步的登陆认证日志,如果检测到多次认证失败突然登陆成功的日志,则判定为异常,并将异常登陆认证日志缓存起来,记为集合A。同时,实时监控集合A中日志源/目的IP,若有Web访问日志短时间内登陆大量不同账号,且登陆账号的数量超过正常基线(或阈值)的情况,记为异常的Web访问日志集合B。至此,得到了两个日志集合A和B,并且将集合A和B中按源/目的IP条件关联得到的集合记为[A&B]模式序列。
同理,以[A&B]模式序列中集合A的目的IP持续监控文件传输日志是否有和关联条件相匹配的文件传输日志,并且在登陆成功后的一段时间内发生了大量的文件传输行为,于是得到集合C。并最终得到[A&B->C]模式序列。如果该模式序列[A&B->C]不为空,则说明日志触发该事件检测规则,即可生成最终的账号爆破成功后的数据泄露告警事件。
图12是本发明实施例二提供的一种基于异常行为关联的威胁链结构架构图。如图12所示,步骤2.3、对第一威胁检测结果和所述第二威胁检测结果进行深度学习,获得威胁分析报告的步骤包括:
步骤2.3.1:基于步骤2.1.4输出的第一威胁检测结果和和步骤2.2.2输出的第二威胁检测结果组合成原始告警。
步骤2.3.2:对原始告警信息中提取出告警切片类型、告警业务类型、攻击类型、告警开始时间、告警结束时间、告警类型、源地址、目的地址、源端口、目的端口等数据,在保留时间信息的基础上对告警日志进行去重得到告警信息。
步骤2.3.3:将告警信息结构化为数个树状图,使用广度搜索方法对当前树状图得到威胁结构链。
步骤2.3.4:对威胁结构链进行负因果规则剪枝,得到包含威胁结构和威胁类别等的威胁分析报告。
可选的,S130、根据所述威胁分析报告触发预设威胁防御策略对应的防御处置操作包括:
步骤3.1、根据所构建的网络拓扑模型确定设备节点和链路之间的关联信息,根据所述关联信息更新威胁防御策略;根据所述威胁分析报告触发威胁防御策略对应的处置操作;
步骤3.2、根据所述威胁分析报告和预先构建的威胁事件的工作流,触发安全设备执行处置操作。
具体的,步骤3.1根据所构建的网络拓扑模型确定设备节点和链路之间的关联信息,根据关联信息更新威胁防御策略的步骤包括:
步骤3.1.1:通过简单网络管理协议(SNMP)读取设备信息,通过联合分析各个设备的管理信息库,得到网元之间物理连接关系。然后自动构建反应网络安全威胁和网络攻防状态的逻辑拓扑模型。
步骤3.1.2:使用聚集系数来刻画网络的聚集特性,从而确定网络节点和链路之间的关联度,将这一关联度更新到智能联动策略库的联动条件集合中去。当网络拓扑发生变化时,通过关联分析,可以发现哪些原有的联动策略受到影响以及需要增加或删除哪些联动策略,从而实现联动策略的实时更新。
步骤3.1.3:构建并更新网络拓扑模型,分析网络拓扑关联的最终目的是设计网络安全联动防御策略,更新策略库,生成具体的安全规则,并根据策略库的策略信息进行发布。这里实现了安全设备与网络安全规则的联动。
步骤3.2、根据威胁分析报告和预先构建的威胁事件的工作流,触发安全设备执行处置操作的步骤,具体包括:
步骤3.2.1:处理智能威胁预警模块中的告警信息和未知威胁检测模块中的威胁类别,并进行告警预判,结合预判引擎来识别案例标签,将不同性质的案例指派到不同的Playbook剧本中。
步骤3.2.2:剧本在满足条件情况下被触发,同时调用响应设备执行响应动作。
步骤3.2.3:通过Playbook调用触发不同设备执行处置动作,联动响应设备进行一键响应,接入到系统中的响应设备可实现灵活的设备管理功能。
步骤3.2.4:针对修补漏洞、终端清理病毒文件等目前暂不支持或需要人工参与的响应动作,可通过工单方式推送至责任人,责任人收到工单后,再进行相关处置。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。

Claims (10)

1.一种未知威胁的主动防御系统,其特征在于,应用于电力信息网络,所述系统包括:智能威胁预警模块、未知威胁检测模块和自适应防御处置模块;
所述智能威胁预警模块,用于对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息,将所述威胁预警信息发送到所述未知威胁检测模块;
所述未知威胁检测模块,用于在接收到所述威胁预警信息时,对采集到的未知威胁网络数据进行威胁检测和分析,生成威胁分析报告,并将所述威胁分析报告发送到所述自适应防御处置模块;
所述自适应防御处置模块,用于根据所述威胁分析报告触发预设威胁防御策略对应的防御处置操作。
2.根据权利要求1所述的系统,其特征在于,所述智能威胁预警模块包括:基于态势感知预测的预警单元、基于大数据预测的预警单元、基于联盟链情报共享的预警单元和联合预警单元;
所述基于态势感知预测的预警单元,用于通过预先训练完备的态势预测模型,对采集到的多源电网态势数据集进行预测得到态势预测结果,并根据所述态势预测结果生成第一威胁预警信息;
所述基于大数据预测的预警单元,用于通过预先训练完备的数据挖掘模型和特征提取模型对采集到的各设备的日志数据进行处理,得到威胁预测结果,根据威胁预测结果生成第二威胁预警信息;
所述基于联盟链情报共享的预警单元,用于通过联盟链获取所述电力信息网络中受威胁节点的威胁情报数据,根据所述威胁情报数据确定第三威胁预警信息;
所述联合预警单元,用于根据所述第一威胁预警信息、所述第二威胁预警信息和所述第三威胁预警信息生成联合预警信息,并将所述联合预警信息发送到所述未知威胁检测模块。
3.根据权利要求2所述的系统,其特征在于,所述基于态势感知预测的预警单元包括:多源电网态势数据处理子单元、态势预测子单元和威胁预警子单元;
所述多源电网态势数据处理子单元,用于采集多源电网态势数据,对所述多源电网态势数据进行数据转换和数据预处理,获得多源电网态势数据集;
所述态势预测子单元,用于将所述多源电网态势数据集输入预先训练完备的态势预测模型,获得态势预测结果;
所述威胁预警子单元,用于比较所述态势预测结果和态势临界值,生成第一威胁预警信息。
4.根据权利要求1所述的系统,其特征在于,所述未知威胁检测模块,包括:基于加密流量的威胁检测单元、基于复杂事件处理框架的威胁检测单元和基于行为深度学习的威胁分析单元;
所述基于加密流量的威胁检测单元,用于对采集到的第一未知威胁网络数据进行威胁检测,获得第一威胁检测结果;所述第一未知威胁网络数据包括:加密通信的恶意流量数据、加密的攻击行为或者恶意应用;
所述基于复杂事件处理框架的威胁检测单元,用于根据基于复杂时间处理框架的威胁事件检测规则对采集到的第二未知威胁网络数进行威胁分析,获得第二威胁检测结果;所述第二未知威胁网络数据包括受威胁设备的日志数据;
基于行为深度学习的威胁分析单元,用于对所述第一威胁检测结果和所述第二威胁检测结果进行深度学习,获得威胁分析报告。
5.根据权利要求4所述的系统,其特征在于,所述基于行为深度学习的威胁分析单元包括:告警日志生成子单元、解构子单元和分析子单元;
所述告警日志生成子单元,用于根据所述第一威胁检测结果和第二威胁检测结果生成告警信息,并根据所述告警信息生成告警日志;
所述解构子单元,用于将所述告警日志输入威胁链解构模块形成威胁链;
所述分析子单元,用于对所述威胁链进行负因果关联剪枝和非继发事件降噪形成威胁分析报告。
6.根据权利要求1所述的系统,其特征在于,所述自适应防御处置模块,包括:自适应设备联动单元和自动化处置单元,
所述自适应设备联动单元,用于根据所构建的网络拓扑模型确定设备节点和链路之间的关联信息,根据所述关联信息更新威胁防御策略;根据所述威胁分析报告触发威胁防御策略对应的处置操作;
所述自动化处置单元,用于根据所述威胁分析报告和预先构建的威胁事件的工作流,触发安全设备执行处置操作。
7.一种未知威胁的主动防御方法,应用于未知威胁的主动防御系统,所述方法包括:
通过智能威胁预警模块,对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息;
通过未知威胁检测模块,在接收到所述威胁预警信息时,根据所述未知威胁网络数据进行威胁分析,生成威胁分析报告;并将所述威胁分析报告发送到自适应防御处置模块;
通过所述自适应防御处置模块,根据所述威胁分析报告触发预设威胁防御策略对应的防御处置操作。
8.根据权利要求7所述的方法,其特征在于,所述对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息,包括:
通过预先训练完备的态势预测模型,对采集到的多源电网态势数据集进行预测得到态势预测结果,并根据所述态势预测结果生成第一威胁预警信息;
通过预先训练完备的数据挖掘模型和特征提取模型对采集到的各设备的日志数据进行处理,得到第二威胁预警信息;
通过联盟链获取所述电力信息网络中受威胁节点的威胁情报数据,根据所述威胁情报数据确定第三威胁预警信息;
根据所述第一威胁预警信息、所述第二威胁预警信息和所述第三威胁预警信息生成联合预警信息,并将所述联合预警信息发送到所述未知威胁检测模块。
9.根据权利要求7所述的方法,其特征在于,在接收到所述威胁预警信息时,根据所述未知威胁网络数据进行威胁分析,生成威胁分析报告,包括:
对采集到的第一未知威胁网络数据进行威胁检测,获得第一威胁检测结果;所述第一未知威胁网络数据包括:加密通信的恶意流量数据、加密的攻击行为或者恶意应用;
根据基于复杂时间处理框架的威胁事件检测规则对采集到的第二未知威胁网络数进行威胁分析,获得第二威胁检测结果;所述第二未知威胁网络数据包括受威胁设备的日志数据;
对所述第一威胁检测结果和所述第二威胁检测结果进行深度学习,获得威胁分析报告。
10.根据权利要求7所述的方法,其特征在于,根据所述威胁分析报告触发预设威胁防御策略对应的防御处置操作,包括:
根据所构建的网络拓扑模型确定设备节点和链路之间的关联信息,根据所述关联信息更新威胁防御策略;根据所述威胁分析报告触发威胁防御策略对应的处置操作;
根据所述威胁分析报告和预先构建的威胁事件的工作流,触发安全设备执行处置操作。
CN202311028145.8A 2023-08-16 2023-08-16 一种未知威胁的主动防御系统和方法 Pending CN116760636A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311028145.8A CN116760636A (zh) 2023-08-16 2023-08-16 一种未知威胁的主动防御系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311028145.8A CN116760636A (zh) 2023-08-16 2023-08-16 一种未知威胁的主动防御系统和方法

Publications (1)

Publication Number Publication Date
CN116760636A true CN116760636A (zh) 2023-09-15

Family

ID=87951785

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311028145.8A Pending CN116760636A (zh) 2023-08-16 2023-08-16 一种未知威胁的主动防御系统和方法

Country Status (1)

Country Link
CN (1) CN116760636A (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106888196A (zh) * 2015-12-16 2017-06-23 国家电网公司 一种未知威胁检测的协同防御系统
CN108600275A (zh) * 2018-05-29 2018-09-28 广西电网有限责任公司 基于人工智能的威胁情景感知信息安全主动防御系统
CN110334155A (zh) * 2019-07-09 2019-10-15 佛山市伏宸区块链科技有限公司 一种基于大数据整合的区块链威胁情报分析方法及系统
CN111711599A (zh) * 2020-04-23 2020-09-25 北京凌云信安科技有限公司 基于多元海量数据融合关联分析的安全态势感知系统
CN112612669A (zh) * 2020-11-25 2021-04-06 中国大唐集团科学技术研究院有限公司 一种基于态势感知的基础设施监测预警方法及系统
CN113761070A (zh) * 2021-09-28 2021-12-07 中国电信股份有限公司 区块链情报数据共享激励方法、系统、设备和介质
CN114493338A (zh) * 2022-02-15 2022-05-13 国网河北省电力有限公司电力科学研究院 一种基于大数据的电力信息威胁情景感知和防御系统
CN115396182A (zh) * 2022-08-23 2022-11-25 湖南五凌电力科技有限公司 工控安全自动化编排与响应方法及系统
CN116155519A (zh) * 2021-11-23 2023-05-23 腾讯数码(天津)有限公司 威胁告警信息处理方法、装置、计算机设备和存储介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106888196A (zh) * 2015-12-16 2017-06-23 国家电网公司 一种未知威胁检测的协同防御系统
CN108600275A (zh) * 2018-05-29 2018-09-28 广西电网有限责任公司 基于人工智能的威胁情景感知信息安全主动防御系统
CN110334155A (zh) * 2019-07-09 2019-10-15 佛山市伏宸区块链科技有限公司 一种基于大数据整合的区块链威胁情报分析方法及系统
CN111711599A (zh) * 2020-04-23 2020-09-25 北京凌云信安科技有限公司 基于多元海量数据融合关联分析的安全态势感知系统
CN112612669A (zh) * 2020-11-25 2021-04-06 中国大唐集团科学技术研究院有限公司 一种基于态势感知的基础设施监测预警方法及系统
CN113761070A (zh) * 2021-09-28 2021-12-07 中国电信股份有限公司 区块链情报数据共享激励方法、系统、设备和介质
CN116155519A (zh) * 2021-11-23 2023-05-23 腾讯数码(天津)有限公司 威胁告警信息处理方法、装置、计算机设备和存储介质
CN114493338A (zh) * 2022-02-15 2022-05-13 国网河北省电力有限公司电力科学研究院 一种基于大数据的电力信息威胁情景感知和防御系统
CN115396182A (zh) * 2022-08-23 2022-11-25 湖南五凌电力科技有限公司 工控安全自动化编排与响应方法及系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
彭翠红: ""多源数据分析的电力信息物理系统安全态势预测研究"", 《能源与环保》 *
李莹: ""基于多步攻击检测的电力二次系统安全分析技术研究"", 《中国优秀硕士学位论文全文数据库》, pages 19 - 27 *
赵姗: ""网络安全主动防御体系浅析"", 《网络安全技术与应用》 *

Similar Documents

Publication Publication Date Title
US11689556B2 (en) Incorporating software-as-a-service data into a cyber threat defense system
Kumar et al. A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing
US20210273957A1 (en) Cyber security for software-as-a-service factoring risk
Wani et al. SDN‐based intrusion detection system for IoT using deep learning classifier (IDSIoT‐SDL)
US20210360027A1 (en) Cyber Security for Instant Messaging Across Platforms
CN111193719A (zh) 一种网络入侵防护系统
Mukhopadhyay et al. A comparative study of related technologies of intrusion detection & prevention systems
US20230012220A1 (en) Method for determining likely malicious behavior based on abnormal behavior pattern comparison
US20230095415A1 (en) Helper agent and system
Sperotto Flow-based intrusion detection
Zhu Attack pattern discovery in forensic investigation of network attacks
US20240031380A1 (en) Unifying of the network device entity and the user entity for better cyber security modeling along with ingesting firewall rules to determine pathways through a network
Rizvi et al. Application of artificial intelligence to network forensics: Survey, challenges and future directions
Wang et al. Using honeypots to model botnet attacks on the internet of medical things
Ghourabi et al. Data analyzer based on data mining for honeypot router
Hajamydeen et al. A refined filter for UHAD to improve anomaly detection
Bryant Hacking SIEMs to Catch Hackers: Decreasing the Mean Time to Respond to Network Security Events with a Novel Threat Ontology in SIEM Software
US11632393B2 (en) Detecting and mitigating malware by evaluating HTTP errors
Abudalfa et al. Evaluating performance of supervised learning techniques for developing real-time intrusion detection system
CN116760636A (zh) 一种未知威胁的主动防御系统和方法
Pelaez et al. TRIS: A Three-Rings IoT Sentinel to protect against cyber-threats
Mills Enhancing Anomaly Detection Techniques for Emerging Threats
Corvin A Feasibility Study on the Application of the ScriptGenE Framework as an Anomaly Detection System in Industrial Control Systems
US11997113B2 (en) Treating data flows differently based on level of interest
Petersen Detecting network intrusions

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination