一种电力信息系统网络安全综合监测方法

技术领域

本发明公开涉及电力信息系统风险评估及网络安全态势感知的技术领域，尤其涉及一种电力信息系统网络安全综合监测方法。

背景技术

我国经济的快速发展离不开电力工业的稳定与安全运行，而电力工业安全稳定的运行则是依靠智能电网的建设推广。对电力信息系统进行可靠的网络安全监测是智能电网不可或缺的一部分，在智能电网运行的过程中众多的线路监测终端接入，电力系统拓扑日益复杂、信息化程度不断加深导致出现多个可被攻破的薄弱环节。为了应对不断出现的网络安全问题，新型监测技术也不断被研发出来，目前可以通过脆弱性检测技术、代码检测技术、入侵检测技术等进行安全问题处理，但是这些技术手段并不能完全涵盖所有的网络安全漏洞，因此如何高效多角度的进行安全信息处理，满足更多的网络安全需求，具有重要意义。

网络安全态势感知对于解决更多新型网络安全问题提供了崭新的思路，通过网络安全态势感知技术，可以从大量并且存在其他噪音的数据中，通过多种技术综合考虑网络安全问题，实现网络安全综合监测方法，预测网络安全态势发展的趋势，帮助电力信息系统降低因攻击而造成的损失，并且也能此技术应用于电力信息系统的网络安全管理工作上，帮助提高电力系统的监控能力和应急响应能力。

因此，是否可基于网络安全态势感知进行电力信息系统网络安全综合监测，以提高电力系统的监控能力和应急响应能力，成为人们亟待解决的问题。

发明内容

鉴于此，本发明提供了一种电力信息系统网络安全综合监测方法，以加大故障发生时及时发现问题的概率，保证电力系统可靠稳定的运行，降低系统故障出现的概率。

本发明提供的技术方案，具体为，一种电力信息系统网络安全综合监测方法，该监测方法，包括如下步骤：

获取电力信息系统网络中安全设备内的安全监测数据；

将所述安全监测数据进行预处理，所述预处理包括：数据过滤、规范处理以及报警信息归并处理；

将归并处理后的报警信息进行灰色关联度分析、数据源可信度分析后，进行报警信息融合；

对电力信息系统种的各资产的重要性进行量化评估，随后进行态势评估，对不同时间段进行安全态势值计算，获得最终的态势估计结果。

优选，所述安全监测数据包括：报警信息，系统运行日志。

进一步优选，所述数据过滤以及规范处理，具体为：

将所述安全监测数据中与网络安全分析无关的日志属性滤除，获得目标安全监测数据；

提取所述目标安全监测数据中的安全要素，并进行一定的格式排列，所述安全要素包括：源IP地址、源端口、目标IP地址、目标端口、时间戳、异常类型优先级。

进一步优选，所述报警信息归并处理，具体为：

分别将来自同一个网络安全设备中的多个报警信息进行归并，其中，当两个报警信息相异度小于阈值时，将两个报警信息进行归并操作，当两个报警信息相异度大于阈值时，将后来的报警信息成为新报警信息；

将多个网络安全设备的归并报警信息进行统一归并；

其中，相异度D

D

其中，D

进一步优选，所述将归并处理后的报警信息进行灰色关联度分析，具体为：

获取每种报警数据源的信息序列，并将各组报警数据源的信息序列进行逐一比较，计算获得各信息系列之间的报警信息关联度ξ

依据所述报警信息关联度ξ

其中，各组报警数据源的信息序列具体为：

x

x

…

x

n为总共时间，m为不同报警数据源的数量，x

报警信息关联度ξ

灰色关联度r

进一步优选，所述数据源可信度分析，具体为：

以数据源的关联度作为支持度，从而得到支持矩阵：

若支持度矩阵为对称矩阵，则得到支持度矩阵需要进行m×(m-1)次报警信息序列的灰色关联度计算，从而，根据支持度矩阵得到其他数据源对数据源i的总支持度S

其中，数据源的总支持度越高，则改数据源的信息越准确，所以得到数据源的总支持度与可信度成正比，将各个数据源的可信度归一化得到数据源i的可信度C

进一步优选，所述进行报警信息融合，具体为：

将数据源的可信度作为该数据源的权重，并根据权重进行加权平均，得到各个时刻对应的威胁期望x

其中，所述威胁期望x

通过各个时刻对应的威胁期望x

x

采用三角模糊数建立威胁期望在四个威胁等级上的分布模型，得到的两个隶属函数交集部分代表为复合类别，进而进行融合，使用Dempster组合规则进行m-1次融合，得到各个时刻报警的最终融合结果；

若某一威胁的等级k的隶属度大于阈值a，则将该时刻的威胁等级定为k，若四个威胁等级的隶属度均小于a，则将该时刻的威胁等级定为0级。

进一步优选，所述对电力信息系统种的各资产的重要性进行量化评估，具体为：

使V

使A

其中，

F

进一步优选，所述进行态势评估，对不同时间段进行安全态势值计算，获得最终的态势估计结果，具体为：

基于改进威胁传播树的电力CPS态势评估算法，将节点分为活动节点、死节点、可激活节点，遵循威胁传播树生成规则，对威胁传播树进行编码，而后进行威胁期望计算，输出得到最终的态势估计结果。

本发明提供的电力信息系统网络安全综合监测方法，能够降低因网络攻击造成的损失，提高电力信息系统的监控能力，保障电力系统的稳定运行，杜绝小型网络安全隐患。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明的公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明公开实施例提供的一种电力信息系统网络安全综合监测方法的流程示意图；

图2为安全态势评估曲线图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的方法的例子。

为了加大故障发生时及时发现问题的概率，保证电力系统可靠稳定的运行，降低系统故障出现的概率，本实施方案提供了一种电力信息系统网络安全综合监测方法，该方法主要包括：数据处理和考虑威胁传播特性的电力CPS态势评估两个部分。

参见图1，具体步骤如下：

S1：获取电力信息系统网络中安全设备内的安全监测数据；

S2：将所述安全监测数据进行预处理，所述预处理包括：数据过滤、规范处理以及报警信息归并处理；

S3：将归并处理后的报警信息进行灰色关联度分析、数据源可信度分析后，进行报警信息融合；

S4：对电力信息系统种的各资产的重要性进行量化评估，随后进行态势评估，对不同时间段进行安全态势值计算，获得最终的态势估计结果。

其中，安全监测数据包括：报警信息，系统运行日志等。

步骤S2中，所述数据过滤以及规范处理，具体为：

将所述安全监测数据中与网络安全分析无关的日志属性滤除，获得目标安全监测数据；

提取所述目标安全监测数据中的安全要素，并进行一定的格式排列，所述安全要素包括：源IP地址、源端口、目标IP地址、目标端口、时间戳、异常类型优先级。

步骤S2中，所述报警信息归并处理，具体为：

分别将来自同一个网络安全设备中的多个报警信息进行归并，其中，当两个报警信息相异度小于阈值时，将两个报警信息进行归并操作，当两个报警信息相异度大于阈值时，将后来的报警信息成为新报警信息；

将多个网络安全设备的归并报警信息进行统一归并；

其中，相异度D

D

其中，D

步骤S3中，所述将归并处理后的报警信息进行灰色关联度分析，具体为：

获取每种报警数据源的信息序列，并将各组报警数据源的信息序列进行逐一比较，计算获得各信息系列之间的报警信息关联度ξ

依据所述报警信息关联度ξ

其中，各组报警数据源的信息序列具体为：

x

x

…

x

n为总共时间，m为不同报警数据源的数量，x

报警信息关联度ξ

灰色关联度r

步骤S3中，所述数据源可信度分析，具体为：

以数据源的关联度作为支持度，从而得到支持矩阵：

若支持度矩阵为对称矩阵，则得到支持度矩阵需要进行m×(m-1)次报警信息序列的灰色关联度计算，从而，根据支持度矩阵得到其他数据源对数据源i的总支持度S

其中，数据源的总支持度越高，则改数据源的信息越准确，所以得到数据源的总支持度与可信度成正比，将各个数据源的可信度归一化得到数据源i的可信度C

步骤S2中，所述进行报警信息融合，具体为：

将数据源的可信度作为该数据源的权重，并根据权重进行加权平均，得到各个时刻对应的威胁期望x

其中，所述威胁期望x

通过各个时刻对应的威胁期望x

x

采用三角模糊数建立威胁期望在四个威胁等级上的分布模型，得到的两个隶属函数交集部分代表为复合类别，进而进行融合，使用Dempster组合规则进行m-1次融合，得到各个时刻报警的最终融合结果；

若某一威胁的等级k的隶属度大于阈值a，则将该时刻的威胁等级定为k，若四个威胁等级的隶属度均小于a，则将该时刻的威胁等级定为0级。

本实施方案中将将数据源的状态划分为四种安全等级：0、1、2、3，由低到高分别表示为安全无异常，安全存在隐患，安全存在威胁，威胁等级最高。

步骤S4中，所述对电力信息系统种的各资产的重要性进行量化评估，具体为：

使V

使A

其中，

F

步骤S4中，所述进行态势评估，对不同时间段进行安全态势值计算，获得最终的态势估计结果，具体为：

基于改进威胁传播树的电力CPS态势评估算法，将节点分为活动节点、死节点、可激活节点，遵循威胁传播树生成规则，对威胁传播树进行编码，而后进行威胁期望计算，输出得到最终的态势估计结果。

为了验证上述实施方案提供方法的有效性，本实施方案使用数据库，并通过C#语言进行仿真实现，使用IEEE30节点电力系统，进行节点的重要性评估，计算电力信息系统节点权重，确定精确度与时效性折中的决策隶属度函数，在存在报警信息的基础上使用本发明所提方法进行态势评估，威胁期望结果为本发明的态势评估的最终结果，如图2所示，结果显示本本实施方案提供的方法精确度较高，解决目前对于电力系统的网络安全监测存在的不足，具有较高的报警信息准确性，避免了大运算量和小收益的矛盾。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述的内容，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。