一种电力工控终端在线安全态势评估方法及系统技术方案

本发明专利技术提供了一种电力工控终端在线安全态势评估方法及系统，首先围绕终端运行状态、业务流量以及异常行为三个方面建立监测指标体系，其中包括运行状态指标、业务流量指标和异常行为指标；然后分别对这三类指标进行相应的安全分析，得到相应评估指标；最后根据所得评估指标，按照AHP‑熵权法和灰色关联分析法结合的综合安全态势评估方法得到终端在线安全评估结果。本发明专利技术能有效且全面地感知电力工控终端的安全态势，提高系统整体的安全防护能力，而且可以提高运营维护人员的工作效率，并弥补终端层面的安全防护的不足。

【技术实现步骤摘要】
一种电力工控终端在线安全态势评估方法及系统
本专利技术属于电力工控终端安全
，具体涉及一种基于终端监测指标体系的电力工控终端在线安全态势评估方法及系统。
技术介绍
目前电力工控领域的安全防护工作以针对平台层的网络安全事件监测为主，缺乏针对终端有效的安全态势感知机制。电力工控系统业务终端及传感终端具有分布广、数量多、计算资源受限等特点，逐渐成为电力工控网络安全防护的薄弱点。攻击者非法控制终端后，可非法获取、篡改相关数据并执行恶意行为，进一步可能突破专业防护，发起全局攻击，同时通过远程控制大量终端，发动DDoS等攻击，造成服务中断。因此，加强电力工控终端的安全建设有助于提高电力工控网络的安全防护水平。将安全态势感知技术应用于电力工控终端可以有效理解终端的安全态势，使电力工控系统管理者可以在攻击行为发生的早期发现网络中的异常行为以及可能遭受攻击的终端，对当前终端安全状态做出判断，进而采取相应的防护措施，从而保障电力工控系统的安全运行。目前，虽然许多研究针对电力工控网络的入侵行为提出了一些检测和识别方案，但是均未对终端安全态势进行全面的感知，仅有网络入侵检测方面的研究，缺乏针对终端的态势感知目前电力工控领域的安全防护工作以针对平台层的网络安全事件监测为主，缺乏针对终端有效的安全态势感知机制。
技术实现思路
本专利技术针对电力工控终端安全态势感知不足的问题，提出一种基于终端监测指标体系的电力工控终端在线安全态势评估方法及系统，为全面感知终端安全态势，健全电力工控网络安全防护手段提供参考。本专利技术的方法所采用的技术方案是：一种电力工控终端在线安全态势评估方法，其特征在于，包括以下步骤：步骤1：根据监测指标体系提取终端监测指标，包括运行状态监测指标、业务流量监测指标以及异常行为监测指标；运行状态监测指标用于表征终端的软硬件运行状态和网络通信状态，业务流量监测指标用于表征终端通信流量特征，异常行为监测指标用于表征通信报文语义、语法特征和终端行为特征；步骤2：获得表征终端安全状态的评估指标，包括运行状态安全评估指标、业务流量安全评估指标、异常行为安全评估指标；步骤3：对各安全评估指标数据进行预处理；步骤4：对终端安全状态进行全面评估，确定终端态势评估结果。本专利技术的系统所采用的技术方案是：一种电力工控终端在线安全态势评估系统，其特征在于：包括终端监测指标提取模块、终端安全状态评估指标获取模块、安全评估指标数据预处理模块、终端安全状态评估模块；所述终端监测指标提取模块，用于根据监测指标体系提取终端监测指标，包括运行状态监测指标、业务流量监测指标以及异常行为监测指标；运行状态监测指标用于表征终端的软硬件运行状态和网络通信状态，业务流量监测指标用于表征终端通信流量特征，异常行为监测指标用于表征通信报文语义、语法特征和终端行为特征；所述终端安全状态评估指标获取模块，用于获得表征终端安全状态的评估指标，包括运行状态安全评估指标、业务流量安全评估指标、异常行为安全评估指标；所述安全评估指标数据预处理模块，用于对各安全评估指标数据进行预处理；所述终端安全状态评估模块，用于对终端安全状态进行全面评估，确定终端态势评估结果。本专利技术的创新点在于：1、建立了电力工控终端在线安全监测指标体系；2、提出了针对监测指标可行的安全分析方法；3、建立了终端综合安全态势评估模型，能够全面感知终端安全态势；4、引入熵权法和层次分析法使得各评估指标权重符合工程实际。相对于现有技术，本专利技术的有益效果是：本专利技术能有效且全面地感知电力工控终端的安全态势，提高系统整体的安全防护能力，而且可以提高运营维护人员的工作效率，并弥补终端层面的安全防护的不足。针对当前电力工控系统业务终端及传感终端具有分布广、数量多、计算资源受限的特点，该专利技术建立的监测指标体系可以全面感知电力工控终端安全要素。目前电力工控领域的安全防护工作以针对平台层的网络安全事件监测为主，缺乏针对终端有效的安全态势感知机制，该专利技术可以弥补终端层面的安全防护不足。该专利技术可以有效理解终端的安全态势，使电力工控系统管理者可以在攻击行为发生的早期发现网络中的异常行为以及可能遭受攻击的终端，对当前终端安全状态做出判断，进而采取相应的防护措施，从而保障电力工控系统的安全运行。附图说明图1为本专利技术实施例的电力工控终端在线安全态势评估方法流程图；图2为本专利技术实施例的电力工控终端在线安全监测指标体系；图3为本专利技术实施例的终端安全状态全面评估流程图。具体实施方式为了便于本领域普通技术人员理解和实施本专利技术，下面结合附图及实施例对本专利技术作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本专利技术，并不用于限定本专利技术。请见图1，本专利技术提供的一种电力工控终端在线安全态势评估方法，包括以下步骤：步骤1：根据监测指标体系提取终端监测指标，包括运行状态监测指标、业务流量监测指标以及异常行为监测指标；运行状态监测指标用于表征终端的软硬件运行状态和网络通信状态，业务流量监测指标用于表征终端通信流量特征，异常行为监测指标用于表征通信报文语义、语法特征和终端行为特征；请见图2，本实施例围绕运行状态监测指标、业务流量监测指标以及异常行为监测指标三个方面建立监测指标体系。电力工控终端运行状态监测主要考虑终端软硬件环境及通信环境，终端运行状态监测指标具体包括硬件运行状态、软件运行状态和网络通信状态。其中，硬件运行状态主要包括设备外联状态、本地接口状态、功耗；软件运行状态主要包括软件端口状态；网络通信状态包括联通性、时延。电力工控终端业务流量监测主要从网络侧考虑终端通信流量。业务流量监测指标具体包括流量时域特征与流量带宽特征，如频率、周期、间隔。电力工控网络异常的行为监测基于网络侧的通信报文和终端侧的行为特征。异常行为监测指标具体包括报文语法特征、报文语义特征、重要文件更改信息、系统调用时序状态、内核变量信息状态、系统调用频度状态、进程堆栈状态和内存使用状态。步骤2：获得表征终端安全状态的评估指标，包括运行状态安全评估指标、业务流量安全评估指标、异常行为安全评估指标；本实施例中，基于K-means的运行状态安全分析方法得到运行状态安全评估指标D。在建立终端运行状态指标样本库的基础上，结合电力工控终端工程应用实际，考虑到运行状态安全结果量化需求以及便于进一步进行终端安全态势感知，在K-means聚类分析中，将K值设为11，分别对应安全分析结果中0到10的运行状态评估结果，确定11个初始质心，分别构建11种不同程度的安全状态质点。分析结果表现为终端运行状态安全风险值D，其取值范围为[0，10]，运行状态安全风险值从0到10即表示终端从正常运行状态向不同程度非正常运行状态的变化趋势。本实施例中，基于机器学习的业务流量安全分析方法得到业务流量安全评估指标δ。由于电力工控网络环境通信流量报文具有极强的周期性特征本文档来自技高网...

【技术保护点】
1.一种电力工控终端在线安全态势评估方法，其特征在于，包括以下步骤：/n步骤1：根据监测指标体系提取终端监测指标，包括运行状态监测指标、业务流量监测指标以及异常行为监测指标；运行状态监测指标用于表征终端的软硬件运行状态和网络通信状态，业务流量监测指标用于表征终端通信流量特征，异常行为监测指标用于表征通信报文语义、语法特征和终端行为特征；/n步骤2：获得表征终端安全状态的评估指标，包括运行状态安全评估指标、业务流量安全评估指标、异常行为安全评估指标；/n步骤3：对各安全评估指标数据进行预处理；/n步骤4：对终端安全状态进行全面评估，确定终端态势评估结果。/n

【技术特征摘要】
1.一种电力工控终端在线安全态势评估方法，其特征在于，包括以下步骤：
步骤1：根据监测指标体系提取终端监测指标，包括运行状态监测指标、业务流量监测指标以及异常行为监测指标；运行状态监测指标用于表征终端的软硬件运行状态和网络通信状态，业务流量监测指标用于表征终端通信流量特征，异常行为监测指标用于表征通信报文语义、语法特征和终端行为特征；
步骤2：获得表征终端安全状态的评估指标，包括运行状态安全评估指标、业务流量安全评估指标、异常行为安全评估指标；
步骤3：对各安全评估指标数据进行预处理；
步骤4：对终端安全状态进行全面评估，确定终端态势评估结果。


2.根据权利要求1所述的电力工控终端在线安全态势评估方法，其特征在于：所述运行状态监测指标包括硬件运行状态、软件运行状态和网络通信状态；其中，所述硬件运行状态包括设备外联状态、本地接口状态、功耗；所述软件运行状态包括软件端口状态；所述网络通信状态包括联通性、时延。


3.根据权利要求1所述的电力工控终端在线安全态势评估方法，其特征在于：所述业务流量监测指标包括流量时域特征与流量带宽特征；其中，所述流量时域特征包括频率、周期、间隔。


4.根据权利要求1所述的电力工控终端在线安全态势评估方法，其特征在于：所述异常行为监测指标包括报文语法特征、报文语义特征、重要文件更改信息、系统调用时序状态、内核变量信息状态、系统调用频度状态、进程堆栈状态和内存使用状态。


5.根据权利要求1所述的电力工控终端在线安全态势评估方法，其特征在于：步骤2中，基于K-means的运行状态安全分析方法获得表征终端运行状态安全评估指标D；
基于机器学习的业务流量安全分析方法得到业务流量安全评估指标δ；



式(1)中δ表示流量波动率，Qnow表示当前时域频次，QNormal表示历史同期时域频次；
基于协议语法合规性检查、业务行为异常评估方法和基于机器学习的恶意代码检测方法的异常行为安全分析方法得到异常行为安全评估指标M1、M2、M3、M4和B；
其中，协议语法合规性检查通过对Tag长度、Length长度、Value长度以及实际数据长度进行严格的ASN.1语法检查，判断捕获报文是否合规；同时对此类攻击行为时域频次进行统计，统计值为M1；
业务行为异常评估方法包括基于IEC61850数据模型的上下文数据长度检查方法、基于业务源地址的白名单访问控制方法和GOOSE配置信息核查方法，分别对业务报文的上下文数据集、业务关联源地址和GOOSE配置数据集进行检查，判断终端通信报文是否异常，分别统计得到时域频次M2、M3和M4；
基于机器学习的恶意代码检测方法在构建的恶意代码训练集基础上进行特征提取，然后按照加权信息增益对提取特征降序排序，选取有效特征，进行分类学习；然后根据每个待测代码是否包含训练部分选择的有效特征，构成一个布尔向量空间，采用随即森林的分类算法对该向量空间进行分析，判断终端是否为遭受恶意代码，并统计恶意代码行为的时域频次B，将其用于终端的安全态势感知；



式(2)中，T为单位时间，N为T时间内检测恶意代码数量。


6.根据权利要求5所述的电力工控终端在线安全态势评估方法，其特征在于：步骤3中，正向指标为业务流量安全评估指标，即流量波动率δ；逆向指标为运行状态安全评估指标和异常行为安全评估指标，即D、M1、M2、M3、M4和B；
采用极差标准化变化法对各安全评估指标值进行标准化处理；

【专利技术属性】
技术研发人员：夏宇，李俊娥，林海，王宇，罗嫚玲，
申请(专利权)人：武汉大学，
类型：发明
国别省市：湖北;42