【技术实现步骤摘要】
一种确定电力监控系统安全事件的方法、装置及系统
本专利技术属于电力监控系统
,具体涉及一种确定电力监控系统安全事件的方法、装置及系统。
技术介绍
现有安全事件的分析主要包括告警预处理和告警关联。告警预处理主要包括误报去除和告警聚合。安全设备的告警中经常存在着大量的误报,因此通常的安全分析系统为了提高攻击检测的准确率,会对其认为的低级别或误报告警进行去除。然而,电力系统生产环境需要很高的可靠性,去除误报实际上有可能将真正的告警去除。在进行告警聚合时,通常的做法是将具有相同告警内容源、目的IP进行聚合,形成超级告警,或者将具有相同源、目的IP的告警事件进行聚合,或者利用聚类的方式利用相似性聚合告警。以上的告警聚合方法都不能在电力监控系统中完全适用。通过告警内容进行聚合会隐藏IP信息,通过IP进行聚合隐藏了攻击沿IP跳转的路径,而利用聚类的方式则更是将告警聚合交给了无监督学习,单纯通过告警相似性进行聚合很有可能将不同的攻击聚合在一起。告警关联通常分为:基于相似度的关联方法、基于攻击序列的关联方法和基于攻击样例的关联方法;所述基于相似度的关联方法之的是设计算法计算告...
【技术保护点】
1.一种确定电力监控系统安全事件的方法,其特征在于,包括:获取告警日志,所述告警日志中包含若干条告警记录;基于各条告警记录之间的关联对告警日志进行树状图建模,获得攻击树;对所述攻击树进行聚合处理后得到初始的攻击链集合;分别对所述初始的攻击链集合中的各个初始的攻击链进行剪枝,形成最终的攻击链集合,确定出电力监控系统安全事件。
【技术特征摘要】
1.一种确定电力监控系统安全事件的方法,其特征在于,包括:获取告警日志,所述告警日志中包含若干条告警记录;基于各条告警记录之间的关联对告警日志进行树状图建模,获得攻击树;对所述攻击树进行聚合处理后得到初始的攻击链集合;分别对所述初始的攻击链集合中的各个初始的攻击链进行剪枝,形成最终的攻击链集合,确定出电力监控系统安全事件。2.根据权利要求1所述的一种确定电力监控系统安全事件的方法,其特征在于:所述获取告警日志,具体包括以下子步骤:获取源告警日志;对源告警日志中告警记录的告警字段进行重构形成告警日志,其中重构后的告警记录表示为Alert(Starttime,Endtime,Content,Type,SrcIP,DstIP,SrcPort,DstPort,Times,Level),其中,Starttime代表告警开始时间,Endtime代表告警结束时间,Content代表告警内容,Type代表告警类型,SrcIP代表源IP,DstIP代表目的IP,SrcPort代表源端口,DstPort代表目的端口,Times代表告警重复次数,Level代表告警等级。3.根据权利要求2所述的一种确定电力监控系统安全事件的方法,其特征在于:所述对源告警日志中的各条告警记录的告警字段进行重构步骤之后还包括:若某条告警记录的告警类型、IP信息、端口信息与前两条告警记录中的任一个相同,则去除后一条告警,并更新重复告警的结束时间和重复次数。4.根据权利要求2所述的一种确定电力监控系统安全事件的方法,其特征在于:采用节点表示IP,采用边表示从源IP到目的IP的告警;所述基于各条告警记录之间的关联对告警日志进行树状图建模,获得攻击树,具体包括以下子步骤:设每一个节点为一个TNode类:TNode={SelfIP,ParentsIP,ChildrenInfo},其中SelfIP为节点自身IP,ParentsIP为其父节点的IP集合,ChildrenInfo为其子节点及其相对应的告警信息;用TNode对每一个节点进行建模实现了树状图的建模,构建出攻击树。5.根据权利要求1或4所述的一种确定电力监控系统安全事件的方法,其特征在于:所述对所述攻击树进行聚合处理后得到初始的攻击链集合,具体包括以下子步骤:从攻击树中无双亲的节点开始深度遍历,得到初始的攻击链集合,所述初始的攻击链集合中包含了若干条初始的攻击链。6.根据权利要求5所述的一种确定电力监控系统安全事件的方法,其特征在于:所述对所述攻击树进行聚合处理后得到初始的攻击链集合,具体包括以下子步骤:对于攻击树中的每一个节点,遍历其子节点集合,若确定后一个子节点与前一个子节点的告警类型、源IP、目的IP均相同,则对二者进行聚合操作...
【专利技术属性】
技术研发人员:梁野,邵立嵩,王景,张华,金正平,李莹,蒋正威,金学奇,肖艳炜,陈国恩,张磊,王跃强,董宁,徐浩,王超,任天宇,王黎明,
申请(专利权)人:国家电网有限公司,北京科东电力控制系统有限责任公司,国网浙江省电力有限公司,国网浙江省电力有限公司嘉兴供电公司,国网北京市电力公司,国网江苏省电力有限公司,北京邮电大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。