一种电力信息网络安全告警信息误报判定方法和系统技术方案

本发明专利技术提供了一种电力信息网络安全告警信息误报判定方法和系统，包括：获取告警信息，该告警信息包括：当前告警信息和当前告警信息之前的历史告警信息；将历史告警信息输入预先建立的电力信息网络安全告警预判模型，得到预测告警信息；当预测告警信息和当前告警信息不一致时，则判定电力信息网络安全告警信息存在误报。与最接近的现有技术相比，该方法和系统不需要人工干预，效率高，并且能够以较高的准确度判定网络中产生的误报安全告警信息，具有较高的判定效率，可提升安全告警的有用性、稳定性。

A method and system for judging false alarm information in power information network security

The invention provides a method and system for judging false alarm information of electric power information network security, including acquiring alarm information, including current alarm information and historical alarm information before current alarm information, and inputting historical alarm information into pre-established electric power information network security alarm prediction model. When the forecasting alarm information is inconsistent with the current alarm information, it is judged that there is a false alarm in the power information network security alarm information. Compared with the nearest existing technology, this method and system do not need manual intervention, have high efficiency, and can determine the false alarm information generated in the network with high accuracy. It has high decision efficiency and can improve the usefulness and stability of the security alarm.

【技术实现步骤摘要】
一种电力信息网络安全告警信息误报判定方法和系统
本专利技术属于信息网络安全领域，具体讲涉及一种电力信息网络安全告警信息误报判定方法和系统。
技术介绍
从国家信息安全形势来说，信息系统的基础性、全局性、全员性作用日益增强，信息安全作为信息化深入推进的重要保障，已成为国家安全战略的重要组成部分。信息化安全建设随着网络安全技术的发展不断进步，网络安全威胁也在逐年增加。安全告警信息作为网络安全的一个重要子课题，具有广阔的应用前景，较高的学术价值和理论研究意义。当前不少学者在网络安全告警分析领域已经开展了许多研究工作，并取得了一定的成果。基于数据挖掘和机器学习的方法是一种比较精确的误告警去除方法，但是需要大量的人工干预，效率较低；基于关联分析的安全告警信息预测方法，需要考虑不同属性的相似度计算和需要确定多个阈值，算法不够灵活；基于统计的误报判定方法高效，但是存在突出的缺点，即漏报和误报。
技术实现思路
为克服上述现有技术的不足，本专利技术提出一种电力信息网络安全告警信息误报判定方法和系统。实现上述目的所采用的解决方案为：一种电力信息网络安全告警信息误报判定方法，其改进之处在于：获取告警信息，所述告警信息包括：当前告警信息和所述当前告警信息之前的历史告警信息；将所述历史告警信息输入预先建立的电力信息网络安全告警预判模型，得到预测告警信息；当所述预测告警信息和所述当前告警信息不一致时，则判定电力信息网络安全告警信息存在误报。本专利技术提供的第一优选技术方案，其改进之处在于，所述电力信息网络安全告警预判模型的建立，包括：根据电力信息网络，确定电力信息网络安全告警预判模型中状态空间数量和可能出现的观察值数量；采集电力信息网络的历史告警信息，作为所述告警预判模型中的观察值序列；基于所述状态空间数量、可能出现的观察值数量和观察值序列，采用隐马尔可夫模型进行训练和参数优化，建立电力信息网络安全告警预判模型。本专利技术提供的第二优选技术方案，其改进之处在于，所述基于所述状态空间数量、可能出现的观察值数量和观察值序列，采用隐马尔可夫模型进行训练和参数优化，建立电力信息网络安全告警预判模型，包括：基于隐马尔科夫模型，采用起始概率分布矢量表示电力信息网络初始的状态概率分布，采用状态转移矩阵表示电力信息网络状态转移的概率，采用观察值概率矩阵表示根据电力信息网络的状态得到告警信息的概率，并随机初始所述起始概率分布矢量和观察值概率矩阵，根据所述起始概率分布矢量计算状态转移矩阵；根据所述状态空间数量和可能出现的观察值数量，计算观察到所述观察值序列的概率；采用鲍姆韦尔奇算法以所述观察值序列的概率达到最大为目标优化调整概率分布矢量、状态转移矩阵和观察值概率矩阵；基于所述概率分布矢量、状态转移矩阵和观察值概率矩阵构建电力信息网络安全告警预判模型。本专利技术提供的第三优选技术方案，其改进之处在于，所述采集电力信息网络的历史告警信息，作为所述告警预判模型中的观察值序列，包括：采集从初始时刻到当前前一时刻的电力信息网络的历史告警数据，建立观察值序列O＝{O1O2…OT}，其中，O1，O2，…，OT为观察值，T表示当前前一时刻。本专利技术提供的第四优选技术方案，其改进之处在于，所述将所述历史告警信息输入预先建立的电力信息网络安全告警预判模型，得到预测告警信息，包括：设定预测观察值为OT+1，根据所述预测观察值OT+1，生成观察值序列OT+1＝{O1O2…OT+1}；根据预先建立的电力信息网络安全告警预判模型，结合多个不同的观察值序列OT+1，计算观察到各个观察值序列OT+1的概率；取概率最大的观察值序列OT+1对应的观察值OT+1作为预测告警信息。本专利技术提供的第五优选技术方案，其改进之处在于，所述根据所述状态空间数量和可能出现的观察值数量，计算观察到所述观察值序列的概率，包括：根据所述状态空间数量和可能出现的观察值数量，基于隐马尔科夫模型，采用前向后向算法计算观察到所述观察值序列的概率。一种电力信息网络安全告警信息误报判定系统，其改进之处在于，包括数据获取模块、预测模块和判断模块；所述数据获取模块，用于获取告警信息，所述告警信息包括：当前告警信息和所述当前告警信息之前的历史告警信息；所述预测模块，用于将所述历史告警信息输入预先建立的电力信息网络安全告警预判模型，得到预测告警信息；所述判断模块，用于当所述预测告警信息和所述当前告警信息不一致时，则判定电力信息网络安全告警信息存在误报。本专利技术提供的第六优选技术方案，其改进之处在于，还包括用于建立电力信息网络安全告警预判模型的建模模块，所述建模模块包括：数量单元、观察值序列单元和建模单元；所述数量单元，用于根据电力信息网络，确定电力信息网络安全告警预判模型中状态空间数量和可能出现的观察值数量；所述观察值序列单元，用于采集电力信息网络的历史告警信息，作为所述告警预判模型中的观察值序列；所述建模单元，用于基于所述状态空间数量、可能出现的观察值数量和观察值序列，采用隐马尔可夫模型进行训练和参数优化，建立电力信息网络安全告警预判模型。本专利技术提供的第七优选技术方案，其改进之处在于，所述建模单元包括初始化子单元、概率计算子单元、优化子单元和模型确定子单元；所述初始化子单元，用于基于隐马尔科夫模型，采用起始概率分布矢量表示电力信息网络初始的状态概率分布，采用状态转移矩阵表示电力信息网络状态转移的概率，采用观察值概率矩阵表示根据电力信息网络的状态得到告警信息的概率，并随机初始所述起始概率分布矢量和观察值概率矩阵，根据所述起始概率分布矢量计算状态转移矩阵；所述概率计算子单元，用于根据所述状态空间数量和可能出现的观察值数量，计算观察到所述观察值序列的概率；所述优化子单元，用于采用鲍姆韦尔奇算法以所述观察值序列的概率达到最大为目标优化调整概率分布矢量、状态转移矩阵和观察值概率矩阵；所述模型确定子单元，用于基于所述概率分布矢量、状态转移矩阵和观察值概率矩阵构建电力信息网络安全告警预判模型。本专利技术提供的第八优选技术方案，其改进之处在于，所述预测模块包括观察值设定单元、观察值序列计算单元和告警信息预测单元；所述观察值设定单元，用于设定下一时刻出现的预测观察值，并根据所述预测观察值，生成观察值序列；所述观察值序列计算单元，用于根据预先建立的电力信息网络安全告警预判模型，结合多个不同的观察值序列，计算观察到各个观察值序列的概率；所述告警信息预测单元，用于取概率最大的观察值序列对应的预测观察值作为预测告警信息。与最接近的现有技术相比，本专利技术具有的优异效果如下：本专利技术提供的电力信息网络安全告警信息误报判定方法和系统，将当前告警信息之前的历史告警信息输入电力信息网络安全告警预判模，得到预测告警信息，并对比预测告警信息和当前告警信息，当预测告警信息和当前告警信息不一致时，判定存在误报。相比现有技术，不需要人工干预，效率高，并且能够以较高的准确度判定网络中产生的误报安全告警信息，具有较高的判定效率，可提升安全告警的有用性、稳定性。附图说明图1为本专利技术提供的一种电力信息网络安全告警信息误报判定方法流程示意图；图2为本专利技术提供的一个电力信息网络安全告警信息误报判定方法的实施例流程示意图；图3为本专利技术提供的一种电力信息网络安全告警信息误报判定系统基本结构示意图；图4为本发本文档来自技高网...

【技术保护点】
1.一种电力信息网络安全告警信息误报判定方法，其特征在于：获取告警信息，所述告警信息包括：当前告警信息和所述当前告警信息之前的历史告警信息；将所述历史告警信息输入预先建立的电力信息网络安全告警预判模型，得到预测告警信息；当所述预测告警信息和所述当前告警信息不一致时，则判定电力信息网络安全告警信息存在误报。

【技术特征摘要】
1.一种电力信息网络安全告警信息误报判定方法，其特征在于：获取告警信息，所述告警信息包括：当前告警信息和所述当前告警信息之前的历史告警信息；将所述历史告警信息输入预先建立的电力信息网络安全告警预判模型，得到预测告警信息；当所述预测告警信息和所述当前告警信息不一致时，则判定电力信息网络安全告警信息存在误报。2.如权利要求1所述的方法，其特征在于，所述电力信息网络安全告警预判模型的建立，包括：根据电力信息网络，确定电力信息网络安全告警预判模型中状态空间数量和可能出现的观察值数量；采集电力信息网络的历史告警信息，作为所述告警预判模型中的观察值序列；基于所述状态空间数量、可能出现的观察值数量和观察值序列，采用隐马尔可夫模型进行训练和参数优化，建立电力信息网络安全告警预判模型。3.如权利要求2所述的方法，其特征在于，基于所述状态空间数量、可能出现的观察值数量和观察值序列，采用隐马尔可夫模型进行训练和参数优化，建立电力信息网络安全告警预判模型，包括：基于隐马尔科夫模型，采用起始概率分布矢量表示电力信息网络初始的状态概率分布，采用状态转移矩阵表示电力信息网络状态转移的概率，采用观察值概率矩阵表示根据电力信息网络的状态得到告警信息的概率，并随机初始所述起始概率分布矢量和观察值概率矩阵，根据所述起始概率分布矢量计算状态转移矩阵；根据所述状态空间数量和可能出现的观察值数量，计算观察到所述观察值序列的概率；采用鲍姆韦尔奇算法以所述观察值序列的概率达到最大为目标优化调整概率分布矢量、状态转移矩阵和观察值概率矩阵；基于所述概率分布矢量、状态转移矩阵和观察值概率矩阵构建电力信息网络安全告警预判模型。4.如权利要求2所述的方法，其特征在于，所述采集电力信息网络的历史告警信息，作为所述告警预判模型中的观察值序列，包括：采集从初始时刻到当前前一时刻的电力信息网络的历史告警数据，建立观察值序列O＝{O1O2…OT}，其中，O1，O2，…，OT为观察值，T表示当前前一时刻。5.如权利要求4所述的方法，其特征在于，所述将所述历史告警信息输入预先建立的电力信息网络安全告警预判模型，得到预测告警信息，包括：设定预测观察值为OT+1，根据所述预测观察值OT+1，生成观察值序列OT+1＝{O1O2…OT+1}；根据预先建立的电力信息网络安全告警预判模型，结合多个不同的观察值序列OT+1，计算观察到各个观察值序列OT+1的概率；取概率最大的观察值序列OT+1对应的观察值OT+1作为预测告警信息。6.如权利要求3所述的方法，其特征在于，所述根据所述状态空间数量和可能出现的观察值数量，计算观察到所述观察...

【专利技术属性】
技术研发人员：马媛媛，张涛，陈春霖，刘莹，管小娟，张波，费稼轩，周诚，张明扬，周晟，傅慧斌，黄秀丽，陈璐，李尼格，郭骞，李千目，
申请(专利权)人：全球能源互联网研究院有限公司，国家电网有限公司，国网福建省电力有限公司信息通信分公司，
类型：发明
国别省市：北京,11