一种配电主站主机微隔离自动生成方法和装置制造方法及图纸

本发明专利技术涉及一种配电主站主机微隔离自动生成方法和装置，其中，方法包括：通过审计机制监控主机的活动并获取相应的审计记录，从所述审计记录中提取出日志信息，并基于所述日志信息生成溯源信息；对所述溯源信息进行预处理；对预处理后的溯源信息进行特征提取，通过构造特征向量形成数据集；采用训练好的检测模型对所述数据集进行检测，依次对进程进行异常判定，当判定结果为正常时，则将所述数据集加入所述检测模型的训练集以完善正常的特征向量，当判定结果为异常，则以广播的方式向所维护的所有主机发送被入侵主机的地址信息。本发明专利技术使得微隔离方案可靠性更高，且不占用过多主机资源。源。源。

【技术实现步骤摘要】
一种配电主站主机微隔离自动生成方法和装置


[0001]本专利技术涉及网络安全
，特别是涉及一种配电主站主机微隔离自动生成方法和装置。

技术介绍

[0002]随着云计算的快速发展，配电主站的架构也随之发生转变以适应多样的需求，提升配电主站业务系统可用性、可靠性。相比传统基于服务器的部署方式，云计算技术的应用使得配电主站系统中虚拟机(包括容器)大规模部署、资源按需分配、逻辑架构与物理架构无关等业务需求得以实现，同时也引入了安全问题。在传统配电主站中，会在SCADA、供电服务指挥平台等不同业务系统间部署防火墙等安全设备进行安全隔离，但在虚拟化云计算环境中，各业务系统边界已经不再清晰，攻击者一旦突破外围防御，就可以此为跳板，肆意攻击内网中的其他主机，原有的安全防护机制对内不再有效。
[0003]为应对此类问题，在原有以防火墙为代表的网络隔离技术基础上衍生出一种新的隔离手段：微隔离。其定义为：一种在云计算环境中创建安全域起到隔离工作负载并进行个别防护效果的技术。其目标是实现更细粒度的网络防护。
[0004]当前具有代表性的微隔离方案有三种，分别是基于主机代理的微隔离方案、基于引流的微隔离方案以及基于虚拟交换机的微隔离方案。其中，基于主机代理的微隔离方案会在每台(虚拟)主机中安装监控软件，软件运行于高特权级，可以截获所有出入的流量，方案通过将截获的流量与白名单匹配来进行访问控制。该方案可以有效阻止攻击者入侵内部业务网络后的肆意破坏，但是仍然存在以下两点不足之处：一是该方案无法感知被入侵节点的位置，导致与其有合法通信联系的其他节点被破坏；二是若出于安全考虑在主机中安装的软件功能太过复杂会占用较多主机资源，影响正常程序的执行。

技术实现思路

[0005]本专利技术所要解决的技术问题是提供一种配电主站主机微隔离自动生成方法和装置，使得微隔离方案可靠性更高，占用主机资源更少。
[0006]本专利技术解决其技术问题所采用的技术方案是：提供一种配电主站主机微隔离自动生成方法，包括以下步骤：
[0007]通过审计机制监控主机的活动并获取相应的审计记录，从所述审计记录中提取出日志信息，并基于所述日志信息生成溯源信息；
[0008]对所述溯源信息进行预处理；
[0009]对预处理后的溯源信息进行特征提取，通过构造特征向量形成数据集；
[0010]采用训练好的检测模型对所述数据集进行检测，依次对进程进行异常判定，当判定结果为正常时，则将所述数据集加入所述检测模型的训练集以完善正常的特征向量，当判定结果为异常，则以广播的方式向所维护的所有主机发送被入侵主机的地址信息。
[0011]所述对所述溯源信息进行预处理是指将溯源信息中与入侵检测无关的属性进行
过滤，使得过滤后的信息包括进程识别号、名称、资源利用率和依赖关系类型。
[0012]所述对预处理后的溯源信息进行特征提取，通过构造特征向量形成数据集具体为：对预处理后的所述溯源信息中的字段进行排序，并统计与进程节点相关的依赖关系类型的频次。
[0013]所述检测模型采用LSTM神经网络，在检测时具体包括以下步骤：
[0014]基于当前时刻的输入、上一时刻的输出和遗忘门的偏置项计算出当前时刻遗忘门的激活值；
[0015]计算当前时刻可能添加到单元状态的候选值和当前时刻输入门的激活值；
[0016]根据所述当前时刻遗忘门的激活值、当前时刻可能添加到单元状态的候选值和当前时刻输入门的激活值计算更新的单元状态；
[0017]根据所述更新的单元状态和当前时刻输出门的激活值计算当前时刻的输出。
[0018]通过f
t
＝sigmoid(W
f,x
x
t
+W
f,h
h
t
‑1+b
f
)计算出当前时刻遗忘门的激活值，其中，f
t
为当前时刻遗忘门的激活值，W
f,x
和W
f,h
一起构成遗忘门的权重矩阵，x
t
表示当前时刻的输入，h
t
‑1表示上一时刻的输出，b
f
表示遗忘门的偏置项。
[0019]通过计算当前时刻可能添加到单元状态的候选值，通过i
t
＝sigmoid(W
i,x
x
t
+W
i,h
h
t
‑1+b
i
)计算当前时刻输入门的激活值，其中，表示当前时刻可能添加到单元状态的候选值，和一起构成单元状态的权重矩阵，x
t
表示当前时刻的输入，h
t
‑1表示上一时刻的输出，表示单元状态的偏置项，i
t
表示当前时刻输入门的激活值，W
i,x
和W
i,h
一起构成输入门的权重矩阵，b
i
表示输入门的偏置项。
[0020]通过计算更新的单元状态，其中，s
t
表示更新的单元状态，f
t
为当前时刻遗忘门的激活值，s
t
‑1为上一时刻的单元状态，i
t
表示当前时刻输入门的激活值，表示当前时刻可能添加到单元状态的候选值。
[0021]通过计算当前时刻的输出，其中，h
t
为当前时刻的输出，s
t
为更新的单元状态，o
t
＝sigmoid(W
o,x
x
t
+W
o,h
h
t
‑1+b
o
)，表示输出门的激活值，W
o,x
和W
o,h
一起构成输出门的权重矩阵，x
t
表示当前时刻的输入，h
t
‑1表示上一时刻的输出，b
o
表示输出门的偏置项。
[0022]本专利技术解决其技术问题所采用的技术方案是：还提供一种配电主站主机微隔离自动生成装置，包括工作于各主机的代理和策略计算服务器；所述代理包括：溯源收集单元，用于通过审计机制监控主机的活动并获取相应的审计记录，从所述审计记录中提取出日志信息，并基于所述日志信息生成溯源信息；溯源数据预处理单元，用于对所述溯源信息进行预处理；构造数据集单元，用于对预处理后的溯源信息进行特征提取，通过构造特征向量形成数据集；策略配置单元，用于在系统启动之前对防火墙规则进行初始化，并设置进出站白名单，以及根据所述策略计算服务器广播的入侵主机的地址信息更新白名单；所述策略计算服务器包括：入侵检测引擎，用于采用训练好的检测模型对所述数据集进行检测，依次对进程进行异常判定，并在判定结果为正常时，则将所述数据集加入所述检测模型的训练集以完善正常的特征向量；策略更新单元，用于在判定结果为异常时，以广播的方式向所维护的所有主机发送被入侵主机的地址信息。
[0023]本专利技术解决其技本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种配电主站主机微隔离自动生成方法，其特征在于，包括以下步骤：通过审计机制监控主机的活动并获取相应的审计记录，从所述审计记录中提取出日志信息，并基于所述日志信息生成溯源信息；对所述溯源信息进行预处理；对预处理后的溯源信息进行特征提取，通过构造特征向量形成数据集；采用训练好的检测模型对所述数据集进行检测，依次对进程进行异常判定，当判定结果为正常时，则将所述数据集加入所述检测模型的训练集以完善正常的特征向量，当判定结果为异常，则以广播的方式向所维护的所有主机发送被入侵主机的地址信息。2.根据权利要求1所述的配电主站主机微隔离自动生成方法，其特征在于，所述对所述溯源信息进行预处理是指将溯源信息中与入侵检测无关的属性进行过滤，使得过滤后的信息包括进程识别号、名称、资源利用率和依赖关系类型。3.根据权利要求1所述的配电主站主机微隔离自动生成方法，其特征在于，所述对预处理后的溯源信息进行特征提取，通过构造特征向量形成数据集具体为：对预处理后的所述溯源信息中的字段进行排序，并统计与进程节点相关的依赖关系类型的频次。4.根据权利要求1所述的配电主站主机微隔离自动生成方法，其特征在于，所述检测模型采用LSTM神经网络，在检测时具体包括以下步骤：基于当前时刻的输入、上一时刻的输出和遗忘门的偏置项计算出当前时刻遗忘门的激活值；计算当前时刻可能添加到单元状态的候选值和当前时刻输入门的激活值；根据所述当前时刻遗忘门的激活值、当前时刻可能添加到单元状态的候选值和当前时刻输入门的激活值计算更新的单元状态；根据所述更新的单元状态和当前时刻输出门的激活值计算当前时刻的输出。5.根据权利要求4所述的配电主站主机微隔离自动生成方法，其特征在于，通过f
t
＝sigmoid(W
f,x
x
t
+W
f,h
h
t
‑1+b
f
)计算出当前时刻遗忘门的激活值，其中，f
t
为当前时刻遗忘门的激活值，W
f,x
和W
f,h
一起构成遗忘门的权重矩阵，x
t
表示当前时刻的输入，h
t
‑1表示上一时刻的输出，b
f
表示遗忘门的偏置项。6.根据权利要求4所述的配电主站主机微隔离自动生成方法，其特征在于，通过计算当前时刻可能添加到单元状态的候选值，通过i
t
＝sigmoid(W
i,x
x
t
+W
i,h
h
t
‑1+b
i
)计算当前时刻输入门的激活值，其中，表示当前时刻可能添加到单元状态的候选值，和一起...

【专利技术属性】
技术研发人员：亢超群，李二霞，高露露，侯子晗，高雅丽，李小勇，李玉凌，朱克琪，王利，杜金陵，许保平，樊勇华，韩子龙，刘芸杉，刘海涛，吕广宪，孙国齐，周振华，
申请(专利权)人：国网江苏省电力有限公司国网江苏省电力有限公司电力科学研究院国家电网有限公司北京邮电大学，
类型：发明
国别省市：