电力监控系统运维行为安全威胁评估方法及设备

技术领域

本发明涉及一种电力监控系统运维行为安全威胁评估方法及设备，属于网络安全技术领域。

背景技术

维护电网的安全与稳定，是人们幸福生活和社会经济正常运转的重要保障。电网安全面临的安全威胁主要包括外部威胁和内部威胁两大方面。对于外部威胁，已经有完善的检测防御机制；而电网内部威胁的检测防御技术目前不够成熟，需要继续深入研究。本文的研究是在电力监控系统中，对于现场运维人员行为的审计方法，有助于监控系统及时发现运维人员的威胁行为，避免涉密文件泄露和危及电网安全现象的发生。

随着大数据时代的到来，各种大数据，人工智能技术得到飞速发展，并且在各行各业都得到有效的应用，如何将其有效地应用到电网系统内部威胁的检测中来，成为相关研究专家关注的热点。郭渊博等人使用隐马尔可夫模型进行内部威胁检测，提出一种行为特征自动提取和局部全细节行为画像方法，对用户邮件收发情况、网页浏览情况和文件读写情况等行为细节进行画像，以此来判断是否存在文件窃取等异常行为，检测准确率得到提升；GAVAI G等人基于企业的在线活动和社交数据，利用孤独森林算法进行内部威胁检测；朱佳俊等人基于用户的鼠标行为，通过马氏距离和孤独森林算法检测效果对比，判断是否存在账户盗用的威胁行为；目前针对Linux系统中指令行为安全威胁的研究较少，对于电网内运维行为安全威胁评估还停留在规则匹配的方法，人员水平不同导致制定规则对检测结果影响较大，检测准确性较差。

发明内容

本发明所要解决的技术问题是克服现有技术的缺陷，提供一种电力监控系统运维行为安全威胁评估方法及设备。

为解决上述技术问题，本发明提供一种电力监控系统运维行为安全威胁评估方法，包括：

获取电网监控系统中的运维日志记录，将运维日志记录的运维事务属性转化为纯数值型属性的元组，得到数值化后的运维事务特征集合；

将运维事务特征集合中的运维事务进行运维角色分类；

在每类运维角色内，根据运维事务与该类运维角色的人员画像特征属性的偏差计算人员画像偏差分数；

在每类运维角色内，根据集成学习异常检测模型的检测结果，得到异常指令行为分数；

根据人员画像偏差分数与异常指令行为分数确定总的行为分数，根据预先设定的行为分数与安全威胁等级之间的关系，确定运维事务的安全威胁等级。

进一步的，所述运维事务属性包括运维日志中的登陆时间、源IP、目的IP和Linux系统中的操作指令。

进一步的，所述将运维日志记录的运维事务属性转化为纯数值型属性的元组，得到数值化后的运维事务特征集合的过程包括：

采用onehot编码及构建词袋模型将运维日志记录的字符型数据转换为数值型数据，对数值型数据进行归一化处理，得到运维事务特征集合D。

进一步的，所述将运维事务特征集合中的运维事务进行运维角色分类的过程包括：

根据系统运维的关键指令集O

进一步的，所述在每类运维角色内，根据运维事务与该类运维角色的人员画像特征属性的偏差计算人员画像偏差分数的过程包括：

基于预先获得的人员画像的大数据知识，分别在最终的事务特征集D

进一步的，所述在每类运维角色内，根据集成学习异常检测模型的检测结果，得到异常指令行为分数的过程包括：

对运维事务d在其所属D

对运维事务d在其所属D

对运维事务d在其所属D

结合LOF异常检测分数l、iForest异常检测分数f和k-Means异常检测分数得到总的异常检测分数s。

一种存储一个或多个程序的计算机可读存储介质，所述一个或多个程序包括指令，所述指令当由计算设备执行时，使得所述计算设备执行所述方法。

一种计算设备，包括，一个或多个处理器、存储器以及一个或多个程序，其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序包括用于执行根据所述方法中的指令。

本发明所达到的有益效果：

本发明能够实现多方面、全方位的威胁检测，能够得到较高检测的准确率；在计算异常指令行为分数时，结合了集成学习的相关原理，能够将多种不同检测方法的优点相结合，有利于得到更好的威胁检测效果；本发明所涉及的算法都是无监督算法，这对于运维现场无标签数据来说是十分有意义。

附图说明

图1是本发明方法的流程示意图；

图2是本发明中系统运维人员的指令活跃基线图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

为了更好地理解本发明，下面对本发明技术方案中的相关技术特征进行说明。

Apriori算法中，如果某个项集是频繁项集，那么它所有的子集也是频繁的如果一个项集是非频繁的，那么它的所有超集也是非频繁的。在寻找频繁项集时，需要计算项集的支持度，当支持度大于阈值时，则该项集就是频繁项集。支持度(support)指的是，数据集中包含该项集的记录所占的比例。根据数据集中包含项集X的样本数number(X)和数据集中样本的总数number(allsample)可得项集X支持度的计算方法如式(2)所示：

得到频繁项集后，要在频繁项集内进行关联规则的挖掘，需要计算项与项之间的置信度(confidence)。如根据同时含有项集X和项集Y的样本数number(X,Y)，关联规则{X＝>Y}的置信度计算方法如式(3)所示：

当所计算的置信度大于等于阈值时，则这条关联规则是有效的；若小于阈值，则认为这条关联规则是无效的。

人员画像是大数据的基础上的发展起来的。通过对人员历史数据的挖掘，总结出某个或者某一类人员的习惯特征并进行保存，从而实现对人员的刻画。该技术在电商推荐系统，金融反欺诈和账号失陷检测等方面都得有不俗表现。

集成学习的主要思想是：训练多个弱学习器，通过一定的方法结合这些弱学习器的结果得到总的预报结果。本文采用的集成学习方法中bagging的思想，即有放回地从训练集中抽样，同时训练多个弱分类器，对多个弱分类器的结果采用“投票”等方法，对结果进行综合，得到更为准确的预报结果。在本文集成学习异常检测部分，选用了LOF、iForest和K-means三种无监督的异常检测方法，基于bagging原理，将三种模型的结果进行综合分析。下面对LOF和iFoest两种算法进行简要描述。

LOF方法是一种典型的基于密度的高精度离群点检测方法。通过给每个数据点都分配一个依赖于邻域密度的离群因子LOF，进而判断该数据点是否为离群点。在计算LOF值之前首先需要计算局部可达距离lrd，该距离被描述为对于对象p，其MinPts邻域中其他元素平均可达距离的倒数，表达式如式(4)所示：

式中rd

得到lrd的值后，对LOF值进行计算，该值表达式如式(5)所示：

若LOF＞1，则该数据点为离群点；若LOF接近于1，则该数据点为正常数据点。

iForest方法的基本思想是：根据样本特征，对样本进行二叉树划分，构建多个iTree(Isolation Tree)组成iForest(Isolation Forest)，根据iForest构造情况，越早被划分到叶子节点的样本越可能是异常点。对待测样本x其异常分值的计算过程如式(6)-(8)所示：

h(x)＝e+C(n) (6)

式中e表示待测样本x从iTree的根节点到叶子节点过程中所经过的边的数目；C(n)表示一棵用n个样本构建的二叉树的平均路径长度，计算方式如式(7)所示。

式中H(n-1)用ln(n-1)+0.5772156估算，这里常数为欧拉常数。

待测样本x的异常分值S(x)综合了多棵iTree的结果，其计算方法如式(8)所示：

式中E(h(x))表示待测样本x在多棵iTree的路径长度的均值；ψ表示训练单棵iTree的样本数；C(ψ)表示用ψ个样本构建的iTree的平均路径长度；

若S(x)的值越接近于1，则表示待测样本在多棵iTree的平均路径越短，其异常的可能性较大；若S(x)的值越接近0，则待测样本为正常样本的可能性较大。

本发明构建的评估方案分为数据预处理，运维角色分类、行为分数计算三大阶段。

首先对于从电力监控系统中采集的数据进行数据清洗，排序等预处理；在运维角色分类阶段，根据不同运维角色指令序列中存在的关键指令的匹配情况对运维数据进行分类，并采用关联规则分析算法Apriori在分类结果的每类角色中挖掘出一些规则，并利用这些规则对“其他”角色类型进行二次分类；行为分数的计算包括两大部分，一是人员画像技术结合数理统计相关知识，构造特征属性，出计算人员画像偏差分数；二是在基于集基于集成学习中bagging原理，训练了多种异常指令检测模型，计算异常指令行为分数，根据两部分分数情况得到总分数，进而得出安全威胁评估等级。

本实施例提供了一种电力监控系统运维行为安全威胁评估方法，流程图见图1，包括以下步骤：

a)现场运维日志中采集的运维事务包括时间、源IP、目的IP和操作指令等字符型数据，产生由6个属性构成的的元组结构。

b)采用onehot编码结合词袋模型技术转化为数值型数据，对于数值型数据采取归一化处理；经过两步处理后得到运维事务特征集合D。

c)根据运维事务特征集合D与系统运维、图形运维、网络运维和数据库运维四种角色类型的关键指令集Q

d)采用Apriori算法挖掘各事务特征集G

e)根据d)挖掘到的关联规则对于“其他”类型进行二次角色划分，最终得到各事务特征集为D

f)基于人员画像的大数据知识，分别在D

g)对运维事务d在其所属D

h)对运维事务d在其所属D

i)对运维事务d在其所属D

j)基于集成学习中bagging的原理，结合LOF、iForest和k-Means三种异常检测模型构建集成学习异常检测模型，结合三部分分数计算出异常指令行为分数b。

k)根据步骤f)和步骤j)的两部分分数，最终得到总的行为分数s，根据行为分数s与威胁等级的关系即可得到对运维事务d的安全威胁评估的结果。

在本实施例中，数据预处理阶段，为了将运维日志内容转化为可以输入到机器学习算法中的数据格式，本发明构建了一种由六个字段构成的数据结构，由以下6个元组组成每一次的事务特征：

表1样本各字段信息含义

例如对运维事务<'*_ctl start*,bin,ll,GE*login,GE*Login,*_console,warning','*_ctl,bin,ll,GE,GE,*_console,warning','6:20','/home/*/ningxia','192.*.*.*','192.*.*.*'>进行数值化后的事务特征为：

<[1,0(45),1,0(14),1,0(25),2,0,0,0,1,0,1],[0,0,0,1,0(14),2,0(25)1,1,0(7),1,0,1,0],11,3,15,37>

对运维事务进行数值化具体采用的方法为：对于OPERATION和REAL_ORDER采用onehot编码，构建词袋模型的形式，括号中的值为连续出现个数；对OPERATION_TIME将一天24小时以30分钟划分48个时间段，例中11表示的是“6：00”-“6：30”这个时间段；对OPERATION_PATH、SIP和DIP，对不同的值进行编码，取编码值作为该字段的特征值，例中3表示操作路径'/home/*/ningxia'的编号。

在本实施例的运维角色分类阶段，根据指令序列与各类角色的关键指令的匹配情况，对运维行为进行角色分类，各运维角色的指令序列中常包含的关键指令和如表2所示：

表2各运维角色的关键指令

在角色分类过程中发现有些指令序列中不包含关键指令，导致分类效果不够理想，于是本文设计一种二次分类方法，具体采用的方法是：利用关联分析算法Apriori在分类的结果的每一类内进行深度挖掘。得到源IP，目的IP和操作路径与角色之间的关联规则，利用这些规则对“其他”类型进行规则匹配，根据匹配的情况实现二次分类。

在实施例的行为分数计算阶段的人员画像偏差分数计算过程中，在每类角色内，根据数理统计，关联分析等方法，构造了“指令活跃曲线”，“常访问IP”，“指令序列基线”，“指令习惯”和“常登录时间段”这五个特征属性，保存这些特征属性值，以系统运维角色人员画像的结果为例，进行画像结果展示，“指令活跃基线”如图2所示；其余特征属性内容如表3所示：

表3系统运维人员画像特征属性

在评分时，将运维事务的IP信息，操作时间，指令序列等信息与所属类的人员画像特征属性进行比较，计算每个属性的偏差值，得到每项的评分，再将每一项评分求和得到人员画像偏差分数。

在实施例的行为分数计算阶段的异常指令行为分数计算过程中，基于的集成学习原理，对于每类角色的指令序列，在分别训练LOF、iForest和K-means三种异常指令检测模型；在评分时，运维事务特征输入训练得到的LOF、iForest和K-means异常检测模型中后，分别得到检测结果，综合三个检测结果得到指令异常行为评分。

将人员画像偏差评分和指令异常评分相加得到行为评分，根据专家设定的行为评分与安全威胁等级之间的对应关系，得到待评估行为的威胁等级，完成运维事务的评估。

相应的本发明还提供一种存储一个或多个程序的计算机可读存储介质，所述一个或多个程序包括指令，所述指令当由计算设备执行时，使得所述计算设备执行根据所述方法中的任一方法。

一种计算设备，包括，一个或多个处理器、存储器以及一个或多个程序，其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序包括用于执行所述方法中的任一方法的指令。

以下给出实验结果及分析

实验环境为CPU Intel(R)Core(TM)i5-6300@2.30GHz，8内存，硬盘1T，操作系统为Windows 10的计算机。使用Python语言在Anaconda jupyter notebook中运行的。

本实验数据均来自与电网监控系统的实际数据，经过前文中所描述的数据预处理过程后，形成9651个有效样本，从有效样本中选择100个样本作为正常行为样本，人工模拟100个威胁行为样本，将这200个样本作为测试集。剩余9551个样本作为训练样本。每个样本中字段具体信息含义都如表1所示。

为了更全面地对本文所设计的行为评价方法进行评估，本文设计了包括准确度(System Accuracy，SAcc)、威胁样本精确度(Threat Sample Precision,TSPre)、威胁样本召回率(Threat Sample Recall Rate,TSRecall)和SF-measure(System F-measure,SF-measure)四个评估指标，其表达式分别如式(9)-(12)所示：

根据大量实验经验，本文设计的行为评价分数对应的威胁等级的如4表所示，基于这些对应关系，来对运维行为进行威胁定级：

表4行为评分与威胁等级对应关系

本文设定当实验结果在中威胁以下(包括中威胁)时判定为正常行为；结果为高威胁时判定为威胁行为。在接下来的实验部分，对各个实验的评估就按照这四个指标及分数与等级对应关系进行。

按照前文描述的行为评价三大阶段，在进行模型训练后，对该安全威胁评估方案进行性能分析。本文设计了几组对照实验，实验编号WOC表示没有进行运维角色分类的步骤，直接对整个数据集进行人员画像和指令序列异常检测模型构建；实验编号WOP表示没有进行人员画像的步骤，在进行了运维角色分类后，就进行序列异常检测的过程；实验编号CPLOF、CPiForest和CPKmeans分别表示在异常检测模型部分只用了LOF、iForest和Kmeans中的一种算法；实验编号LOF、Forest和Kmeans分别表示没有进行本文设计的方法流程，直接采用相应算法进行威胁检测。

综合多次实验，在各实验最优超参数情况下，各实验的评估指标结果如表5所示，根据表中所示的实验评估指标值可知，实验编号PRS，即本发明所设计的行为评价方法对内部威胁的检测效果最好。

表4各行为评价方法的评估结果对比

实验WOC的行为评价效果不如本发明所设计方法，该方法构建的人员画像信息模糊，不如将运维角色分类后再进行人员画像得到的特征属性精确，所以评分效果较差，说明本文进行运维角色分类的步骤是有必要的。

实验WOP效果较差。分析原因是操作时间，IP等维度的信息都在人员画像的特征属性中，没有进行人员画像的评分部分，实际只是指令序列一个维度进行评分，所以其效果较差，这也说明进行人员画像的重要性。

实验编号CPLOF、CPiForest和CPKmeans表示的三种异常检测方法各自有各自的优点：LOF能够有效利用样本密度信息进行检测；iForset能够基于较少出现的特征进行检测；K-means能够基于样本之间的距离信息，找出异常样本。集成学习方法能够有效利用三种算法的优点，综合分析它们的检测结果，所以要优于使用单一模型的检测效果。

在本发明所设计的方法模型中，通过对待评估行为进行角色分类后，在所属类内进行行为评分，这样对其评价更加精准，而在LOF、Forest和Kmeans这三个对照实验中，模型训练都是在整个指令序列数据集中进行，缺乏针对性，效果自然不如本文设计的方法。

综上所述，本发明设计的行为评价方法的每一部分都是有意义的，都有各自的特点，结合到一起能够有效地对内部威胁进行评分，并得到威胁等级，实现对运维行为安全威胁的评估。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。