一种基于用电信息分析的采集终端安全画像评估方法技术

本发明专利技术提供一种基于用电信息分析的采集终端安全画像评估方法，属于采集终端安全画像评估技术领域；所要解决的技术问题为：提供一种基于用电信息分析的采集终端安全画像评估方法的改进；解决该技术问题采用的技术方案为：对采集终端采集到的原始数据进行清洗，通过数据样本分析各事件之间的关联程度，寻找频繁项集与关联规则，评估可能的安全风险并进行分级，采集终端安全画像，通过建立数据模型，选取特征，从基本信息、运行信息、安全事件、工单信息方面建立标签体系，对采集终端的标签体系进行分析，采用TF

【技术实现步骤摘要】
一种基于用电信息分析的采集终端安全画像评估方法


[0001]本专利技术提供一种基于用电信息分析的采集终端安全画像评估方法，属于采集终端安全画像评估


技术介绍

[0002]采集终端作为电网用电采集系统组成的一部分，安装数量庞大，对电力公司的正常运营具有重要意义，目前针对采集终端的安全防护主要是通过在终端设备内嵌软件程序，实现终端安全事件实时上报，通过安全事件来了解现场终端的安全动态，但这种单一的上报安全事件无法准确判断终端是否安全运行，有时在现场进行正常的运维操作而触发安全事件时并不能有效识别这种行为是否异常。
[0003]考虑到对采集终端本体通过升级改造来实现安全事件上报，以提高终端运行的安全稳定性，但该手段并不能全面覆盖现场所有终端的安全动态和风险级别，只有建立多层分级事件预警和评测管理体系，才可以提高终端设备的运行安全、应用安全、通信安全和操作系统安全；作为对终端设备进行安全监测工作的一部分，目前尚缺乏一套完整的采集终端安全评估方法，只有通过收集采集终端在线安全防护事件信息，建立模型进行安全分析，实现对采集终端在线安全运行的画像评估，才能够及时发现安全问题，降低遭受安全攻击的风险和损失。

技术实现思路

[0004]本专利技术为了克服现有技术中存在的不足，所要解决的技术问题为：提供一种基于用电信息分析的采集终端安全画像评估方法的改进。
[0005]为了解决上述技术问题，本专利技术采用的技术方案为：一种基于用电信息分析的采集终端安全画像评估方法，包括如下评估步骤：步骤一：对采集终端采集到的原始数据进行清洗，通过数据样本分析各事件之间的关联程度，寻找频繁项集与关联规则，根据采集终端设备和网络特点，评估可能的安全风险并进行分级，梳理风险的事件规则，根据经验给出相关事件与风险的关联因子；步骤二：采集终端安全画像，通过建立数据模型，选取特征，从基本信息、运行信息、安全事件、工单信息方面建立标签体系；步骤三：对采集终端的标签体系进行分析，采用TF
‑
IDF指标权重算法，基于评分卡画像、知识图谱画像进行数据处理分析，建立画像模型，具体步骤为：步骤3.1：计算标记次数在终端P所有标签中所占的比重TF（P,T），计算公式为：；式中：w（P,T）表示打在某终端上某个标签的个数；Σw（P,Ti）表示该终端上全部标签个数，Ti∈该用户全部标签；
步骤3.2：根据TF*IDF得到终端标签的权重值，计算公式为：终端标签权重=行为类型权重*时间衰减*每个终端的标签权重*行为次数；步骤四：通过获取标签权重，使用设备、时间、地点、事件要素进行评分卡计算，得到终端安全画像取值，对建立的画像模型进行反复训练与模型验证；对每个终端进行画像，为终端打上安全标签，标签结果包含：安全、低危风险、中危风险、高危风险；步骤五：基于评分卡和知识图谱建立采集终端画像模型，执行画像模型，对终端安全状态定期评估，得到终端安全画像，并通过滚动评估修正画像模型。
[0006]所述步骤二中建立标签体系采集的信息中：所述基本信息包含厂家、型号、批次、终端编号、台区、安装位置、运行环境信息；所述运行信息包含开盖记录、运行版本号、参数变更频率、初始化频度、停上电频率信息；所述安全事件包含采集终端所有类型的安全事件；所述工单信息包含工单结果、安全事件产生原因信息。
[0007]所述步骤三中采用的TF
‑
IDF指标权重算法的具体步骤为：输入信息：单词t，语料库C，特定文档D；输出信息：TF_IDF；步骤1：统计单词t在文档D中得出现次数lt；步骤2：统计文档D中出现频率最高的单词次数lmax；步骤3：计算单词t的词频tf = lt /lmax；步骤4：统计语料库C当中所有包含单词t的文档总数N；步骤5：计算单词t的逆文档频率：；步骤6：计算指标权重。
[0008]所述步骤四打上的安全标签中：所述高危风险具体为：高危漏洞CVE、CNNVD、关键目录文件变更、Root口令变更、文件被删除或复制、信息泄露风险；所述中危风险具体为：采集终端远程和本地端口被非法使用风险；所述低危风险具体为：USB设备非法接入风险。
[0009]本专利技术相对于现有技术具备的有益效果为：本专利技术提供一种通过采集分析用电信息建立采集终端安全画像的评估方法，主要通过制定采集终端安全画像标签体系，建立终端安全画像模型，实现采集终端安全画像，进而实现区域安全画像和终端厂家安全画像及安全态势可视化；本专利技术基于多维度，多层次的标签体系构成，对于描述终端设备的安全态势更加精准，并将知识图谱引入到采集终端安全画像分析，由于终端安全图谱的构建需要大量样本数据训练、抽取，考虑到落地实施的便利性，采用简单评分卡标签画像算法设计出了初步的采集终端安全画像评估模型；本专利技术通过建立终端安全画像分析模型，为终端打上安全标签，为终端安全管控提供支撑，方便管理人员全面掌握现场终端的安全态势及风险级别，避免现场终端运行发生安全事故，提升采集终端的安全防护水平。
附图说明
[0010]下面结合附图对本专利技术做进一步说明：图1为本专利技术评估方法的步骤流程图；图2为本专利技术多终端和多标签关系示意图。
具体实施方式
[0011]本专利技术具体提供一种基于用电信息分析的采集终端安全画像评估方法，其中进行信息采集的装置主要为采集终端，该装置对各信息采集点的用电信息进行采集，可以实现电能表数据的采集、数据管理、数据双向传输以及转发、执行控制命令等功能。
[0012]本专利技术采用的TFIDF算法是一种用于信息检索与数据挖掘的常用加权技术，具体表现为：如果某个词或短语在一篇文章中出现的TF词语频率高，并且在其他文章中很少出现，则认为此处的词语或者短语具有很好的类别区分能力，适合用来分类；TFIDF具体是TF*IDF的结合，即TF词频(Term Frequency)与IDF逆向文件频率(Inverse Document Frequency)，TF表示词条在文档d中出现的频率，IDF的主要原理是：如果包含词条t的文档越少，也就是n越小，IDF越大，则说明词条t具有很好的类别区分能力。
[0013]本专利技术提供的基于用电信息采集的安全画像评估方法，其主要步骤为：1)通过建立采集终端安全画像标签体系，以采集终端安全的不同层次、信息的不同来源及不同用户的不同需求等多个角度的异构信息源为研究对象，结合信息安全的三级评价指标体系，构建采集终端安全三级标签体系；基于威胁情报，多标签、多安全事件关联构成采集终端安全画像，基于“安全事件/安全标签的关联关系的分析”，进而实现更精准的设备安全画像。
[0014]2)基于评分卡的安全画像模型的核心是挖掘分析得到不同标签的权重关系。通过TF
‑
IDF算法来分析标签权重。
[0015]3)将知识图谱引入到采集终端安全画像分析，基于已构构建的设备行为属性安全知识图谱，结合采集终端“设备属性+时间属性+地点属性+行为属性”标签进行分析，利用图嵌入把不同维度的安全威胁评估映射到同一空间中，在考虑更多特征及威胁的影响情况本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于用电信息分析的采集终端安全画像评估方法，其特征在于：包括如下评估步骤：步骤一：对采集终端采集到的原始数据进行清洗，通过数据样本分析各事件之间的关联程度，寻找频繁项集与关联规则，根据采集终端设备和网络特点，评估可能的安全风险并进行分级，梳理风险的事件规则，根据经验给出相关事件与风险的关联因子；步骤二：采集终端安全画像，通过建立数据模型，选取特征，从基本信息、运行信息、安全事件、工单信息方面建立标签体系；步骤三：对采集终端的标签体系进行分析，采用TF
‑
IDF指标权重算法，基于评分卡画像、知识图谱画像进行数据处理分析，建立画像模型，具体步骤为：步骤3.1：计算标记次数在终端P所有标签中所占的比重TF（P,T），计算公式为：；式中：w（P,T）表示打在某终端上某个标签的个数；Σw（P,Ti）表示该终端上全部标签个数，Ti∈该用户全部标签；步骤3.2：根据TF*IDF得到终端标签的权重值，计算公式为：终端标签权重=行为类型权重*时间衰减*每个终端的标签权重*行为次数；步骤四：通过获取标签权重，使用设备、时间、地点、事件要素进行评分卡计算，得到终端安全画像取值，对建立的画像模型进行反复训练与模型验证；对每个终端进行画像，为终端打上安全标签，标签结果包含：安全、低危风险、中危风险、高危风险；步骤五：基于评分卡和知识图谱建立采集终端画像模型，执行画像模型，对终端安全状态定期评估，得到终端安全画像，...

【专利技术属性】
技术研发人员：姚俊峰，高晋峰，梁中豪，肖春，郝俊博，赵金，陈晓芳，张美玲，杨艳芳，索思远，
申请(专利权)人：国网山西省电力公司运城供电公司，
类型：发明
国别省市：