一种电力信息系统网络安全综合监测方法技术方案

本发明专利技术提供的电力信息系统网络安全综合监测方法，获取电力信息系统网络中安全设备内的安全监测数据,将所述安全监测数据进行预处理，所述预处理包括：数据过滤、规范处理以及报警信息归并处理,将归并处理后的报警信息进行灰色关联度分析、数据源可信度分析后，进行报警信息融合,对电力信息系统种的各资产的重要性进行量化评估，随后进行态势评估，对不同时间段进行安全态势值计算，获得最终的态势估计结果；该监测方法能够降低因网络攻击造成的损失，提高电力信息系统的监控能力，保障电力系统的稳定运行，杜绝小型网络安全隐患。杜绝小型网络安全隐患。杜绝小型网络安全隐患。

【技术实现步骤摘要】
一种电力信息系统网络安全综合监测方法


[0001]本专利技术公开涉及电力信息系统风险评估及网络安全态势感知的
，尤其涉及一种电力信息系统网络安全综合监测方法。

技术介绍

[0002]我国经济的快速发展离不开电力工业的稳定与安全运行，而电力工业安全稳定的运行则是依靠智能电网的建设推广。对电力信息系统进行可靠的网络安全监测是智能电网不可或缺的一部分，在智能电网运行的过程中众多的线路监测终端接入，电力系统拓扑日益复杂、信息化程度不断加深导致出现多个可被攻破的薄弱环节。为了应对不断出现的网络安全问题，新型监测技术也不断被研发出来，目前可以通过脆弱性检测技术、代码检测技术、入侵检测技术等进行安全问题处理，但是这些技术手段并不能完全涵盖所有的网络安全漏洞，因此如何高效多角度的进行安全信息处理，满足更多的网络安全需求，具有重要意义。
[0003]网络安全态势感知对于解决更多新型网络安全问题提供了崭新的思路，通过网络安全态势感知技术，可以从大量并且存在其他噪音的数据中，通过多种技术综合考虑网络安全问题，实现网络安全综合监测方法，预测网络安全态势发展的趋势，帮助电力信息系统降低因攻击而造成的损失，并且也能此技术应用于电力信息系统的网络安全管理工作上，帮助提高电力系统的监控能力和应急响应能力。
[0004]因此，是否可基于网络安全态势感知进行电力信息系统网络安全综合监测，以提高电力系统的监控能力和应急响应能力，成为人们亟待解决的问题。

技术实现思路

[0005]鉴于此，本专利技术提供了一种电力信息系统网络安全综合监测方法，以加大故障发生时及时发现问题的概率，保证电力系统可靠稳定的运行，降低系统故障出现的概率。
[0006]本专利技术提供的技术方案，具体为，一种电力信息系统网络安全综合监测方法，该监测方法，包括如下步骤：
[0007]获取电力信息系统网络中安全设备内的安全监测数据；
[0008]将所述安全监测数据进行预处理，所述预处理包括：数据过滤、规范处理以及报警信息归并处理；
[0009]将归并处理后的报警信息进行灰色关联度分析、数据源可信度分析后，进行报警信息融合；
[0010]对电力信息系统种的各资产的重要性进行量化评估，随后进行态势评估，对不同时间段进行安全态势值计算，获得最终的态势估计结果。
[0011]优选，所述安全监测数据包括：报警信息，系统运行日志。
[0012]进一步优选，所述数据过滤以及规范处理，具体为：
[0013]将所述安全监测数据中与网络安全分析无关的日志属性滤除，获得目标安全监测
数据；
[0014]提取所述目标安全监测数据中的安全要素，并进行一定的格式排列，所述安全要素包括：源IP地址、源端口、目标IP地址、目标端口、时间戳、异常类型优先级。
[0015]进一步优选，所述报警信息归并处理，具体为：
[0016]分别将来自同一个网络安全设备中的多个报警信息进行归并，其中，当两个报警信息相异度小于阈值时，将两个报警信息进行归并操作，当两个报警信息相异度大于阈值时，将后来的报警信息成为新报警信息；
[0017]将多个网络安全设备的归并报警信息进行统一归并；
[0018]其中，相异度D
ij
的计算公式为：
[0019]D
ij
＝ω
t
×
d
t
+ω
src_ip
×
d
sr_ip
+ω
dst_ip
×
d
sd_ip
；
[0020][0021][0022][0023]其中，D
ij
表示报警信息i与报警信息j的相异度，ω
t
为时间相异度的权重，d
t
为归一化后的时间差，ω
src_ip
为源IP地址的相异度权重，d
src_ip
为归一化后源IP地址的相异度，ω
dst_ip
为目标IP地址的相异度权重，d
dst_ip
归一化后目标IP地址的相异度，t
i
为报警信息i的时间，t
j
为报警信息j的时间，r为可以进行归并的最大时间差，index
src_+diff
为两个源地址转换成二进制位之后的第一位不同的位置下标，index
dst_+diff
为两个目的地址转换成二进制位之后的第一位不同的位置下标。
[0024]进一步优选，所述将归并处理后的报警信息进行灰色关联度分析，具体为：
[0025]获取每种报警数据源的信息序列，并将各组报警数据源的信息序列进行逐一比较，计算获得各信息系列之间的报警信息关联度ξ
i1
；
[0026]依据所述报警信息关联度ξ
i1
，计算获得灰色关联度r
i1
；
[0027]其中，各组报警数据源的信息序列具体为：
[0028]x1＝{x1(t)|t＝1,2,
…
,n}＝(x1(1),x1(2),
…
x1(n))；
[0029]x2＝{x2(t)|t＝1,2,
…
,n}＝(x2(1),x2(2),
…
x2(n))；
[0030]…
[0031]x
m
＝{x
m
(t)|t＝1,2,
…
,n}＝(x
m
(1),x
m
(2),
…
x
m
(n))；
[0032]n为总共时间，m为不同报警数据源的数量，x1,
…
x
m
为m种报警数据源的信息序列；
[0033]报警信息关联度ξ
i1
具体为：其中，Δ(min)为序列x1和序列x
t
在各个时刻中的最小差值，Δ(max)为序列x1和序列x
t
在各个时刻中的最大差值，ρ为分辨系数；
[0034]灰色关联度r
i1
具体为：
[0035]进一步优选，所述数据源可信度分析，具体为：
[0036]以数据源的关联度作为支持度，从而得到支持矩阵：
[0037][0038]若支持度矩阵为对称矩阵，则得到支持度矩阵需要进行m
×
(m
‑
1)次报警信息序列的灰色关联度计算，从而，根据支持度矩阵得到其他数据源对数据源i的总支持度S
i
为：
[0039]其中，数据源的总支持度越高，则改数据源的信息越准确，所以得到数据源的总支持度与可信度成正比，将各个数据源的可信度归一化得到数据源i的可信度C
i
为：且各数据源的可信度之和为1。
[0040]进一步优选，所述进行报警信息融合本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种电力信息系统网络安全综合监测方法，其特征在于，包括如下步骤：获取电力信息系统网络中安全设备内的安全监测数据；将所述安全监测数据进行预处理，所述预处理包括：数据过滤、规范处理以及报警信息归并处理；将归并处理后的报警信息进行灰色关联度分析、数据源可信度分析后，进行报警信息融合；对电力信息系统种的各资产的重要性进行量化评估，随后进行态势评估，对不同时间段进行安全态势值计算，获得最终的态势估计结果。2.根据权利要求1所述电力信息系统网络安全综合监测方法，其特征在于，所述安全监测数据包括：报警信息，系统运行日志。3.根据权利要求1所述电力信息系统网络安全综合监测方法，其特征在于，所述数据过滤以及规范处理，具体为：将所述安全监测数据中与网络安全分析无关的日志属性滤除，获得目标安全监测数据；提取所述目标安全监测数据中的安全要素，并进行一定的格式排列，所述安全要素包括：源IP地址、源端口、目标IP地址、目标端口、时间戳、异常类型优先级。4.根据权利要求1所述电力信息系统网络安全综合监测方法，其特征在于，所述报警信息归并处理，具体为：分别将来自同一个网络安全设备中的多个报警信息进行归并，其中，当两个报警信息相异度小于阈值时，将两个报警信息进行归并操作，当两个报警信息相异度大于阈值时，将后来的报警信息成为新报警信息；将多个网络安全设备的归并报警信息进行统一归并；其中，相异度D
ij
的计算公式为：D
ij
＝ω
t
×
d
t
+ω
src_ip
×
d
sr_ip
+ω
dst_ip
×
d
sd_ip
；；；其中，D
ij
表示报警信息i与报警信息j的相异度，ω
t
为时间相异度的权重，d
t
为归一化后的时间差，ω
src_ip
为源IP地址的相异度权重，d
src_ip
为归一化后源IP地址的相异度，ω
dst_ip
为目标IP地址的相异度权重，d
dst_ip
归一化后目标IP地址的相异度，t
i
为报警信息i的时间，t
j
为报警信息j的时间，r为可以进行归并的最大时间差，index
src_+diff
为两个源地址转换成二进制位之后的第一位不同的位置下标，index
dst_+diff
为两个目的地址转换成二进制位之后的第一位不同的位置下标。5.根据权利要求1所述电力信息系统网络安全综合监测方法，其特征在于，所述将归并处理后的报警信息进行灰色关联度分析，具体为：
获取每种报警数据源的信息序列，并将各组报警数据源的信息序列进行逐一比较，计算获得各信息系列之间的报警信息关联度ξ
i1
；依据所述报警信息关联度ξ
i1
，计算获得灰色关联度r
i1
；其中，各组报警数据源的信息序列具体为：x1＝{x1(t)|t＝1,2,
…
,n}＝(x1(1),x1(2),
…
x1(n))；x2＝{x2(t)|t＝1,2,
…
,n}＝(x2(1),x2(2),
…
x2(n))；
…
x
m
＝{x
m
(t)|t＝1,2,
…
,n}＝(x
m
(1),x
m
(2),
…
x
m
(n))；n为总共时间，m为不同报警数据源...

【专利技术属性】
技术研发人员：孙俊伟，李佳硕，曲英实，孙旭泽，周宁宁，
申请(专利权)人：国网辽宁省电力有限公司信息通信分公司，
类型：发明
国别省市：