一种电力信息系统日志数据的安全态势感知方法,所述方法首先对电力信息系统日志数据进行过滤和规范化,完成对数据的预处理;然后基于人体免疫模型对电力信息系统的安全态势进行评估,得到其安全态势值;继而在安全态势值的基础上,使用多种预测方法预测电力信息系统接下来的安全态势走向,最后通过灰色关联度理论将多种态势预测结果进行融合,得到最终的态势预测结果。本发明专利技术以电力系统运行日志数据为依据,采用组合预测模型来预测CPPS系统未来的安全态势,得到的预测结果比传统的单一预测模型更为精确可靠。利用本方法可实现对电力信息系统风险等级的准确判定和预警,确保系统的安全运行。
A Security Situation Awareness Method for Log Data of Electric Power Information System
【技术实现步骤摘要】
一种电力信息系统日志数据的安全态势感知方法
本专利技术涉及一种以电力信息系统日志数据为依据的安全态势感知方法,本方法可实现对电力信息系统风险等级的准确判定和预警,属于数据处理
技术介绍
随着电力系统信息化的日趋加强,其运行效率也不断提高,在给用户带来便利的同时也增加了电力系统的安全隐患。震网病毒的出现让人们开始意识到信息系统和物理系统耦合存在的风险,同时CPPS存在的安全问题,引起了国内外学者的广泛关注。此外,随着电力系统复杂程度的逐渐加深,数据融合和安全态势感知技术逐渐成为电力系统安全领域的热点研究问题。因此,借助数据分析技术处理电力信息系统的海量异构日志数据成为了可行方案。在处理海量数据时,分布式计算比传统单一计算机具有明显优势,例如通过Hadoop可实现多台计算机同时完成数据的分析和挖掘工作。然而,目前的日志分析策略和工具依旧无法较好地应用于电力信息系统中。作为电力信息系统风险等级确定和预警的重要依据,态势感知同样是系统安全领域的重要一环。目前,电力信息通信系统的安全防御存在如下缺陷:第一,传统的安全产品都只能抵御来自某个方面的安全威胁,形成了一个个的“安全防御孤岛”,不能对海量多维度信息安全数据进行有效的融合关联分析,无法产生协同效应,不能使这些安全监测数据成为上层安全决策的有效资源。第二,传统的安全防御设施大多数都是通过分析某些安全设备的日志对已经发生的攻击行为进行分析和监测,基本都是被动防御的思路,缺乏网络安全态势感知与联动预警的能力,当检测到网络攻击事件之后再采取相应的应急措施,往往为时已晚,因为此时网络攻击已经发生,攻击已经造成了不可挽回的损失。第三,复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,形成了大量的“信息孤岛”,有限的安全管理人员面对这些数量巨大、彼此割裂的安全大数据,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。
技术实现思路
本专利技术的目的在于针对现有技术之弊端,提供一种电力信息系统日志数据的安全态势感知方法,以实现对电力信息系统风险等级的准确判定和预警,确保系统的安全运行。本专利技术所述问题是以下述技术方案解决的:一种电力信息系统日志数据的安全态势感知方法,所述方法首先对电力信息系统日志数据进行过滤和规范化,完成对数据的预处理;然后基于人体免疫模型对电力信息系统的安全态势进行评估,得到其安全态势值;继而在安全态势值的基础上,使用多种预测方法预测电力信息系统接下来的安全态势走向,最后通过灰色关联度理论将多种态势预测结果进行融合,得到最终的态势预测结果。上述电力信息系统日志数据的安全态势感知方法,所述方法包括以下步骤:a.数据预处理①数据过滤:首先根据日志的内容、时间戳、IP地址和优先级删除无用的日志,然后根据时间戳和IP地址分别将规定时间以外的和不关心的日志消息舍去,并剔除重复的冗余数据;②数据的规范化处理:针对常出现的字段,选择保留字段的时间戳、源IP地址、目标IP地址、源端口、目标端口、用户信息和优先级信息;b.态势评估设t为通过日志规范化后获得的一个时间戳的时间,αj(0≤αj≤1)为j类事件的危害程度,βi(0≤βi≤1)表示主机i的重要性,xi为电力信息系统正常运行时主机i事件的数量,ni为主机i时刻检测到的事件数量,xij为电力信息系统正常运行环境下主机i发生j类事件的数量,nij为主机i时刻发生j类事件的数量,ri(t)表示在t时刻主机i的安全态势值,rij(t)表示在t时刻主机i上发生j类事件的安全态势值,Rj(t)表示在t时刻电力信息系统发生了j类攻击的安全态势值,R(t)表示在t时刻电力信息系统的安全态势值,ri(t)、rij(t)、Rj(t)、R(t)的计算方法如下:c.多角度安全态势预测在上述安全态势值的基础上,依次采用灰色预测模型、神经网络预测模型、卡尔曼滤波算法,对网络安全进行预测,得到各自的安全态势预测值P1、P2和P3;d.组合态势预测取真实态势值为参考数列,分别计算灰色预测模型、神经网络预测模型、卡尔曼滤波算法三种预测算法所得安全态势预测值的灰色关联度,对三个灰色关联度的值进行归一化处理,即在比例不变的情况下使其和为1,得到三种预测算法在组合预测模型中的权重ω1、ω2和ω3,则组合的安全态势预测值P为:其中,上述电力信息系统日志数据的安全态势感知方法,进行组合态势预测时,关联度的计算方法如下:选取参考数列x0={x0(k)|k=1,2,…,n}=(x0(1),x0(2),…,x0(n))式中:k表示时刻,假设有m个比较数列xi={xi(k)|k=1,2,…,n}=(xi(1),xi(2),…,xi(n)),i=1,2,…,m则被选定数列xi相对于参考数列x0的关联度ri为:其中,ρ∈[0,1]为分辨系数,ξi(k)为被选定比较数列xi相对于对参考数列x0在k时刻的关联系数。本专利技术以电力系统运行日志数据为依据,采用组合预测模型来预测CPPS系统未来的安全态势,得到的预测结果比传统的单一预测模型更为精确可靠。利用本方法可实现对电力信息系统风险等级的准确判定和预警,确保系统的安全运行。附图说明下面结合附图对本专利技术作进一步详述。图1为本专利技术所采用的基于电力信息系统日志数据的安全态势感知模型。具体实施方式本专利技术提出的基于电力信息系统日志数据的安全态势感知模型如图1所示,该模型包含数据预处理、态势评估、多角度安全态势预测和组合态势预测四个步骤。步骤1.数据预处理电力信息系统日志记录了大量有价值的系统运行信息,但是,日志中存在着大量的冗余和重复数据,还有,不同的供应商选择不同的日志记录格式,这些都导致日志数据无法直接用于数据分析。因此,为了方便在态势评估中提取日志中重要信息,本专利技术首先对日志数据进行过滤和规范化。(1)过滤阶段:主要对规定时间内的重复数据进行合并和删除。根据日志的内容、时间戳、IP地址和优先级等信息删除无用的日志;然后根据时间戳和IP地址分别将过于久远的和不关心的日志消息舍去以及剔除掉重复的冗余数据。(2)规范化阶段:虽然不同的供应商没有统一日志格式,但是日志所记录的信息结构是相对固定的。即使不同类型日志的最终存储机制有所不同,其大部分字段基本上是通用的。因此,本专利技术针对常出现的字段,在规范化过程中选择保留字段的时间戳、源IP地址、目标IP地址、源端口、目标端口、用户信息、优先级等信息。步骤2.态势评估完成日志数据的过滤和规范化之后,对日志数据进行分析,并获取安全态势值。(1)日志分析本专利技术专利通过总结电力系统正常运行和正常用户的行为规律形成知识库,然后将当前得到的信息与知识库比对得到偏差,若偏差大于阈值,则将判断为系统出现异常行为。本方法适于捕捉尚不知晓的事物。(2)获取安全态势此处利用改进人体免疫网络安全模型获取安全态势。本专利技术根据一段时间内收集到的规范化日志提供的事件信息,提取其中相同事件的数量作为基线。在电力信息系统中,不同主机的重要性和网络攻击的效果均存在差异,本专利技术将主机和攻击类型的差异均纳入安全态势分析的考虑范围之内。然后根据时间戳,统计在指定时间段内发生的事件数量。其中,IP地址则用于代表某一特定主机。设t为通过日志规范化后获得的一个时间本文档来自技高网...
【技术保护点】
1.一种电力信息系统日志数据的安全态势感知方法,其特征是,所述方法首先对电力信息系统日志数据进行过滤和规范化,完成对数据的预处理;然后基于人体免疫模型对电力信息系统的安全态势进行评估,得到其安全态势值;继而在安全态势值的基础上,使用多种预测方法预测电力信息系统接下来的安全态势走向,最后通过灰色关联度理论将多种态势预测结果进行融合,得到最终的态势预测结果。
【技术特征摘要】
1.一种电力信息系统日志数据的安全态势感知方法,其特征是,所述方法首先对电力信息系统日志数据进行过滤和规范化,完成对数据的预处理;然后基于人体免疫模型对电力信息系统的安全态势进行评估,得到其安全态势值;继而在安全态势值的基础上,使用多种预测方法预测电力信息系统接下来的安全态势走向,最后通过灰色关联度理论将多种态势预测结果进行融合,得到最终的态势预测结果。2.根据权利要求1所述的一种电力信息系统日志数据的安全态势感知方法,其特征是,所述方法包括以下步骤:a.数据预处理①数据的过滤:首先根据日志的内容、时间戳、IP地址和优先级删除无用的日志,然后根据时间戳和IP地址分别将规定时间以外的和不关心的日志消息舍去,并剔除重复的冗余数据;②数据的规范化处理:针对常出现的字段,选择保留字段的时间戳、源IP地址、目标IP地址、源端口、目标端口、用户信息和优先级信息;b.态势评估设t为通过日志规范化后获得的一个时间戳的时间,αj(0≤αj≤1)为j类事件的危害程度,βi(0≤βi≤1)表示主机i的重要性,xi为电力信息系统正常运行时主机i事件的数量,ni为主机i时刻检测到的事件数量,xij为电力信息系统正常运行环境下主机i发生j类事件的数量,nij为主机i时刻发生j类事件的数量,ri(t)表示在t时刻主机i的安全态势值,rij(t)表示在t时刻主机i上发生j...
【专利技术属性】
技术研发人员:李洋,王栋,李刚,张丽霞,张建亮,赵文清,阎立,张诗满,薛泓林,
申请(专利权)人:国网山西省电力公司信息通信分公司,华北电力大学保定,
类型:发明
国别省市:山西,14
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。