【技术实现步骤摘要】
一种电力工控终端在线安全态势评估方法及系统
本专利技术属于电力工控终端安全
,具体涉及一种基于终端监测指标体系的电力工控终端在线安全态势评估方法及系统。
技术介绍
目前电力工控领域的安全防护工作以针对平台层的网络安全事件监测为主,缺乏针对终端有效的安全态势感知机制。电力工控系统业务终端及传感终端具有分布广、数量多、计算资源受限等特点,逐渐成为电力工控网络安全防护的薄弱点。攻击者非法控制终端后,可非法获取、篡改相关数据并执行恶意行为,进一步可能突破专业防护,发起全局攻击,同时通过远程控制大量终端,发动DDoS等攻击,造成服务中断。因此,加强电力工控终端的安全建设有助于提高电力工控网络的安全防护水平。将安全态势感知技术应用于电力工控终端可以有效理解终端的安全态势,使电力工控系统管理者可以在攻击行为发生的早期发现网络中的异常行为以及可能遭受攻击的终端,对当前终端安全状态做出判断,进而采取相应的防护措施,从而保障电力工控系统的安全运行。目前,虽然许多研究针对电力工控网络的入侵行为提出了一些检测和识别方案,但是均未对终端安全态势进行全面的感知,仅有网络入侵检测方面的研究,缺乏针对终端的态势感知目前电力工控领域的安全防护工作以针对平台层的网络安全事件监测为主,缺乏针对终端有效的安全态势感知机制。
技术实现思路
本专利技术针对电力工控终端安全态势感知不足的问题,提出一种基于终端监测指标体系的电力工控终端在线安全态势评估方法及系统,为全面感知终端安全态势,健全电力工控网络安全防护手段提供参考 ...
【技术保护点】
1.一种电力工控终端在线安全态势评估方法,其特征在于,包括以下步骤:/n步骤1:根据监测指标体系提取终端监测指标,包括运行状态监测指标、业务流量监测指标以及异常行为监测指标;运行状态监测指标用于表征终端的软硬件运行状态和网络通信状态,业务流量监测指标用于表征终端通信流量特征,异常行为监测指标用于表征通信报文语义、语法特征和终端行为特征;/n步骤2:获得表征终端安全状态的评估指标,包括运行状态安全评估指标、业务流量安全评估指标、异常行为安全评估指标;/n步骤3:对各安全评估指标数据进行预处理;/n步骤4:对终端安全状态进行全面评估,确定终端态势评估结果。/n
【技术特征摘要】 【专利技术属性】
1.一种电力工控终端在线安全态势评估方法,其特征在于,包括以下步骤:
步骤1:根据监测指标体系提取终端监测指标,包括运行状态监测指标、业务流量监测指标以及异常行为监测指标;运行状态监测指标用于表征终端的软硬件运行状态和网络通信状态,业务流量监测指标用于表征终端通信流量特征,异常行为监测指标用于表征通信报文语义、语法特征和终端行为特征;
步骤2:获得表征终端安全状态的评估指标,包括运行状态安全评估指标、业务流量安全评估指标、异常行为安全评估指标;
步骤3:对各安全评估指标数据进行预处理;
步骤4:对终端安全状态进行全面评估,确定终端态势评估结果。
2.根据权利要求1所述的电力工控终端在线安全态势评估方法,其特征在于:所述运行状态监测指标包括硬件运行状态、软件运行状态和网络通信状态;其中,所述硬件运行状态包括设备外联状态、本地接口状态、功耗;所述软件运行状态包括软件端口状态;所述网络通信状态包括联通性、时延。
3.根据权利要求1所述的电力工控终端在线安全态势评估方法,其特征在于:所述业务流量监测指标包括流量时域特征与流量带宽特征;其中,所述流量时域特征包括频率、周期、间隔。
4.根据权利要求1所述的电力工控终端在线安全态势评估方法,其特征在于:所述异常行为监测指标包括报文语法特征、报文语义特征、重要文件更改信息、系统调用时序状态、内核变量信息状态、系统调用频度状态、进程堆栈状态和内存使用状态。
5.根据权利要求1所述的电力工控终端在线安全态势评估方法,其特征在于:步骤2中,基于K-means的运行状态安全分析方法获得表征终端运行状态安全评估指标D;
基于机器学习的业务流量安全分析方法得到业务流量安全评估指标δ;
式(1)中δ表示流量波动率,Qnow表示当前时域频次,QNormal表示历史同期时域频次;
基于协议语法合规性检查、业务行为异常评估方法和基于机器学习的恶意代码检测方法的异常行为安全分析方法得到异常行为安全评估指标M1、M2、M3、M4和B;
其中,协议语法合规性检查通过对Tag长度、Length长度、Value长度以及实际数据长度进行严格的ASN.1语法检查,判断捕获报文是否合规;同时对此类攻击行为时域频次进行统计,统计值为M1;
业务行为异常评估方法包括基于IEC61850数据模型的上下文数据长度检查方法、基于业务源地址的白名单访问控制方法和GOOSE配置信息核查方法,分别对业务报文的上下文数据集、业务关联源地址和GOOSE配置数据集进行检查,判断终端通信报文是否异常,分别统计得到时域频次M2、M3和M4;
基于机器学习的恶意代码检测方法在构建的恶意代码训练集基础上进行特征提取,然后按照加权信息增益对提取特征降序排序,选取有效特征,进行分类学习;然后根据每个待测代码是否包含训练部分选择的有效特征,构成一个布尔向量空间,采用随即森林的分类算法对该向量空间进行分析,判断终端是否为遭受恶意代码,并统计恶意代码行为的时域频次B,将其用于终端的安全态势感知;
式(2)中,T为单位时间,N为T时间内检测恶意代码数量。
6.根据权利要求5所述的电力工控终端在线安全态势评估方法,其特征在于:步骤3中,正向指标为业务流量安全评估指标,即流量波动率δ;逆向指标为运行状态安全评估指标和异常行为安全评估指标,即D、M1、M2、M3、M4和B;
采用极差标准化变化法对各安全评估指标值进行标准化处理;
技术研发人员:夏宇,李俊娥,林海,王宇,罗嫚玲,
申请(专利权)人:武汉大学,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。