本发明专利技术公开了一种电力信息网络安全联动防御的告警数据匹配方法,解决了最终规范类别判定不准确的问题,解决该问题的技术方案主要包括获取告警数据,并从所述告警数据中抽取告警内容的关键字;将告警内容中各个关键字分别与规范类别中的关键字进行语义匹配,获取告警内容中语义匹配成功的关键字;计算语义匹配成功的关键字对应的权重值;根据所述权重值计算所述告警内容中语义匹配成功的关键字与规范类别中的关键字的匹配度,并将匹配度最高对应的规范类别作为最终规范类别。
【技术实现步骤摘要】
一种电力信息网络安全联动防御的告警数据匹配方法
本专利技术涉及一种电力信息网络安全联动防御的告警数据匹配方法。
技术介绍
随着计算机等具有互联特性的终端设备的广泛应用,网络已经深入普及到社会的各行各业中,网络的迅速发展在为人们的生活、学习和工作提供了诸多方便的同时,网络信息安全问题已经成为诸多行业的焦点问题。其中,国家电网公司拥有大量的商业秘密数据、企业敏感数据以及个人敏感数据等需要进行安全保护的数据,这些数据一旦外泄,将会造成极大的安全隐患。现有技术提供了一种电力信息网络安全联动防御方法(CN106411562A),包括采集安全告警数据并进行预处理,采用已知攻击模式对安全告警数据进行关联分析,对安全告警数据进行序列挖掘,结合网络拓扑,自动确定参与联动防御的网络安全设备,向选定的网络安全设备下发防御规则,以实现联动防御,从而解决电力信息网络难以抵御复杂网络攻击的难题,上述安全警告数据进行预处理采用关键字匹配,选择与该安全告警内容关键字匹配度最高的类别作为最终规范类别,但是,安全告警内容中存在重复和无效的关键字,同时,每个关键字的匹配程度和重要程度不同,其匹配度的计算存在较大的误差,大大影响规范类别的确定。
技术实现思路
本专利技术所要达到的目的就是提供一种电力信息网络安全联动防御的告警数据匹配方法,可准确判定最终规范类别。为了达到上述目的,本专利技术采用如下技术方案:一种电力信息网络安全联动防御的告警数据匹配方法,包括:步骤1:获取告警数据,并从所述告警数据中抽取告警内容的关键字;步骤2:将告警内容中的各个关键字分别与规范类别中的关键字进行语义匹配,获取告警内容中语义匹配成功的关键字;步骤3:计算语义匹配成功的关键字对应的权重值;步骤4:根据所述权重值计算所述告警内容中语义匹配成功的关键字与规范类别中的关键字的匹配度,并将匹配度最高对应的规范类别作为最终规范类别。进一步的,所述步骤2中,语义匹配包括:计算告警内容中的关键字与规范类别中的关键字的语义相似程度,若语义相似程度小于预设的语义相似程度,该关键字匹配失败,否则,该关键字匹配成功。进一步的,所述步骤3中,计算语义匹配成功的关键字对应的权重值包括:步骤3-1,获取各个规范类别中各个关键字的初始权重;步骤3-2,获取语义匹配成功的关键字中与同一个规范类别的同一关键字一一对应且语义匹配成功的关键词并将其作为单一关键字,将单一关键字对应的规范类别中关键字的初始权重作为单一关键字权重;步骤3-3,获取语义匹配成功的关键字中与同一个规范类别的同一关键字语义匹配成功的多个关键字作为相似关键字组,计算相似关键字组内关键字的数量;步骤3-4,根据相似关键字组内关键字的数量和对应规范类别中对应关键字的初始权重,并利用预设的公差计算相似关键字组权重。进一步的,所述步骤4中,计算所述告警内容中语义匹配成功的关键字与规范类别的关键字的匹配度包括:步骤4-1,获得单一关键字的语义相似程度并将其作为单一关键字相似度;步骤4-2,计算相似关键字组的平均语义相似程度并将其作为关键字组相似度;步骤4-3,根据单一关键字权重、单一关键字相似度、相似关键字组权重和关键字组相似度计算匹配度。进一步的,所述步骤1中,抽取告警内容的关键字包括:从所述告警内容中去除无效字符,并从剩余的告警内容获取关键字。采用上述技术方案后,本专利技术具有如下优点:首先,通过对告警数据中的告警内容关键字进行分析匹配,从而确定当前告警数据所属的最终规范类别,并将其确定的最终规范类别作为告警记录的一部分存入数据库,利于后续将记录中的规范类别与攻击步骤相对应,填充根据已知攻击模式构建的规则层次结构,使规则层次结构进一步完善;其次,对关键字进行语义匹配,其相比于语音匹配识别度和准确度高,进一步保证最终规范类别确定的精准度;最后,根据所述权重值计算所述告警内容与规范类别的关键字的匹配度,弱化告警内容中次要关键字在对类别判定中的影响度,避免次要告警内容比重过大而引发类别的误判。附图说明下面结合附图对本专利技术作进一步说明:图1为实施例一中告警数据匹配的流程图;图2为实施例一中语义匹配成功的关键字权重值计算的流程图;图3为实施例一中匹配度计算的流程图。具体实施方式实施例一:本实施例提供一种电力信息网络安全联动防御的告警数据匹配方法,如图1所示,包括:步骤1:获取告警数据,并从所述告警数据中抽取告警内容的关键字;步骤2:将告警内容中的各个关键字分别与规范类别中的关键字进行语义匹配,获取告警内容中语义匹配成功的关键字;步骤3:计算语义匹配成功的关键字对应的权重值;步骤4:根据所述权重值计算所述告警内容中语义匹配成功的关键字与规范类别中的关键字的匹配度,并将匹配度最高对应的规范类别作为最终规范类别。首先,通过对告警数据中的告警内容关键字进行分析匹配,从而确定当前告警数据所属的最终规范类别,并将其确定的最终规范类别作为告警记录的一部分存入数据库,利于后续将记录中的规范类别与攻击步骤相对应,填充根据已知攻击模式构建的规则层次结构,使规则层次结构进一步完善;其次,对关键字进行语义匹配,其相比于语音匹配识别度和准确度高,进一步保证最终规范类别确定的精准度;最后,根据所述权重值计算所述告警内容与规范类别的关键字的匹配度,弱化告警内容中次要关键字在对类别判定中的影响度,避免次要告警内容比重过大而引发类别的误判。步骤2中,语义匹配包括:计算告警内容中的关键字与规范类别中的关键字的语义相似程度,若语义相似程度小于预设的语义相似程度,该关键字匹配失败,否则,该关键字匹配成功。关键字的语义相似程度低于预设的语义相似程度,则该关键字与规范类别中的关键值语义表述存在较大的差别,故确定为语义匹配不成功,避免影响后期匹配度的总体计算。所述步骤3中,如图2所示,计算语义匹配成功的关键字对应的权重值包括:步骤3-1,获取各个规范类别中各个关键字的初始权重;步骤3-2,获取语义匹配成功的关键字中与同一个规范类别的同一关键字一一对应且语义匹配成功的关键词并将其作为单一关键字,将单一关键字对应的规范类别中关键字的初始权重作为单一关键字权重;步骤3-3,获取语义匹配成功的关键字中与同一个规范类别的同一关键字语义匹配成功的多个关键字作为相似关键字组,计算相似关键字组内关键字的数量;步骤3-4,根据相似关键字组内关键字的数量和对应规范类别中对应关键字的初始权重,并利用预设的公差计算相似关键字组权重。单一关键字与规范类别中的关键字一一对应,则将规范类别中的关键字的初始权重作为单一关键字的权重,简化计算,而语义匹配成功的关键字中存在多个关键字与同一个规范类别的同一关键字匹配成功,从而告警内容中与该规范类别的关键字相似的关键字出现频率高,即告警内容对此关键字具有加强表述的效果,而对应规范类别中关键字的初始权重无法表述加强,需要根据相似关键字组内关键字的数量重新确定相似关键字组权重,从而准确把握告警内容的语义。步骤4中,如图3所示,计算所述告警内容中语义匹配成功的关键字与规范类别的关键字的匹配度包括:步骤4-1,获得单一关键字的语义相似程度并将其作为单一关键字相似度;步骤4-2,计算相似关键字组的平均语义相似程度并将其作为关键字组相似度;步骤4-3,根据单一关键字权重、单一关键字相似度、相似本文档来自技高网...
【技术保护点】
一种电力信息网络安全联动防御的告警数据匹配方法,其特征在于,包括:步骤1:获取告警数据,并从所述告警数据中抽取告警内容的关键字;步骤2:将告警内容中的各个关键字分别与规范类别中的关键字进行语义匹配,获取告警内容中语义匹配成功的关键字;步骤3:计算语义匹配成功的关键字对应的权重值;步骤4:根据所述权重值计算所述告警内容中语义匹配成功的关键字与规范类别中的关键字的匹配度,并将匹配度最高对应的规范类别作为最终规范类别。
【技术特征摘要】
1.一种电力信息网络安全联动防御的告警数据匹配方法,其特征在于,包括:步骤1:获取告警数据,并从所述告警数据中抽取告警内容的关键字;步骤2:将告警内容中的各个关键字分别与规范类别中的关键字进行语义匹配,获取告警内容中语义匹配成功的关键字;步骤3:计算语义匹配成功的关键字对应的权重值;步骤4:根据所述权重值计算所述告警内容中语义匹配成功的关键字与规范类别中的关键字的匹配度,并将匹配度最高对应的规范类别作为最终规范类别。2.根据权利要求1所述的电力信息网络安全联动防御的告警数据匹配方法,其特征在于,所述步骤2中,语义匹配包括:计算告警内容中的关键字与规范类别中的关键字的语义相似程度,若语义相似程度小于预设的语义相似程度,该关键字匹配失败,否则,该关键字匹配成功。3.根据权利要求2所述的电力信息网络安全联动防御的告警数据匹配方法,其特征在于,所述步骤3中,计算语义匹配成功的关键字对应的权重值包括:步骤3-1,获取各个规范类别中各个关键字的初始权重;步骤3-2,获取语义匹配成功的关键字中与同一个规范类别的同一关键字一一对应且语义匹配成功...
【专利技术属性】
技术研发人员:洪杰,
申请(专利权)人:国网浙江桐庐县供电公司,国家电网公司,国网浙江省电力公司杭州供电公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。