一種基于電力信息網(wǎng)絡(luò)安全事件挖掘的指標(biāo)化安全度量方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及信息安全領(lǐng)域��,具體涉及一種基于電力信息網(wǎng)絡(luò)安全事件挖掘的指標(biāo) 化安全度量方法���。
【背景技術(shù)】
[0002] 電力系統(tǒng)是國民經(jīng)濟和人民生活的重要基礎(chǔ)設(shè)施,其網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全是電 力系統(tǒng)安全運行及對社會可靠供電的保證����,直接關(guān)系到我國各行各業(yè)的發(fā)展���、社會的安定 和人民的生活水平。電力系統(tǒng)安全防護(hù)的主要目標(biāo)是防止關(guān)鍵業(yè)務(wù)信息系統(tǒng)數(shù)據(jù)或信息被 竊取或篡改�,防止網(wǎng)絡(luò)被惡意滲透或監(jiān)聽,確保不發(fā)生因信息安全引發(fā)的電網(wǎng)事故和大面 積停電事故�,實現(xiàn)信息安全風(fēng)險可控、能控�����、在控�����。國家非常重視電力系統(tǒng)的信息安全���,建立 了電力系統(tǒng)信息安全縱深防御體系�����,采取了很多安全防護(hù)措施���,其產(chǎn)生的安全效果和效率 往往并不為人所知。因此電力系統(tǒng)信息安全保障水平的度量就受到了越來越多的關(guān)注����,研 宄電力系統(tǒng)安全度量體系是非常必要的。
[0003] 根據(jù)ISO/IEC27004[2]中的對安全度量的定義:度量是一種工具��,它通過采集�、 分析、報告與績效相關(guān)的數(shù)據(jù)����,用來推進(jìn)決策并改善績效和問責(zé)。安全度量主要解答了信 息系統(tǒng)是否足夠安全����、現(xiàn)在是否比以前更安全、信息安全投資是否適度和均衡�����、安全是否合 格���、信息安全的工作的有效性如何����、信息安全的工作效率怎樣等方面的問題。
[0004] 目前安全度量主要依靠人員進(jìn)行實施��,度量的準(zhǔn)確性往往依賴于人的技術(shù)能力�、 實踐經(jīng)驗、對相關(guān)標(biāo)準(zhǔn)的理解程度等����,因此準(zhǔn)確性差,實時性差���,而且每次度量都需要翻閱 大量數(shù)據(jù)���,沒有一個統(tǒng)一的指標(biāo)。隨著電力系統(tǒng)安全防護(hù)方面的快速發(fā)展�,急需一種具備自 動化、實時性�����、指標(biāo)化特征的安全度量方法����。另一個重要的方面,在復(fù)雜的安全度量指標(biāo)體 系下,當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)整體指標(biāo)出現(xiàn)異常時���,目前并沒有有效的手段輔助管理人員進(jìn)行安全問 題定位����。
【發(fā)明內(nèi)容】
[0005] 為了解決上述問題�����,本發(fā)明提出了一種基于電力信息網(wǎng)絡(luò)安全事件挖掘的指標(biāo)化 安全度量方法���,能夠使得電力信息網(wǎng)絡(luò)的安全度量實現(xiàn)自動化、實時性�、指標(biāo)化。
[0006] 為了達(dá)到上述目的�����,本發(fā)明提出了一種基于電力信息網(wǎng)絡(luò)安全事件挖掘的指標(biāo)化 安全度量方法���,該方法包括以下步驟:
[0007]A�����、采集電力信息網(wǎng)絡(luò)中的異構(gòu)安全事件�,基于預(yù)設(shè)的標(biāo)準(zhǔn)模板,采用可擴展安全 事件范化策略對該異構(gòu)安全事件進(jìn)行歸一化�����,形成標(biāo)準(zhǔn)安全事件并緩存�����。
[0008] B����、按照預(yù)設(shè)的維度參數(shù)Di對該標(biāo)準(zhǔn)安全事件進(jìn)行分組,對每組標(biāo)準(zhǔn)安全事件按照 預(yù)定義的指標(biāo)參數(shù)Vk提取反映網(wǎng)絡(luò)安全運行態(tài)勢的關(guān)鍵參數(shù)����,獲得網(wǎng)絡(luò)安全指標(biāo)參數(shù)Vk的 實時數(shù)據(jù)。
[0009]C��、通過下式計算維度參數(shù)度量值Ei:
【主權(quán)項】
1. 一種基于電力信息網(wǎng)絡(luò)安全事件挖掘的指標(biāo)化安全度量方法��,其特征在于���,所述方 法包括W下步驟: A����、 采集電力信息網(wǎng)絡(luò)中的異構(gòu)安全事件,基于預(yù)設(shè)的標(biāo)準(zhǔn)模板���,采用可擴展安全事件 范化策略對所述異構(gòu)安全事件進(jìn)行歸一化����,形成標(biāo)準(zhǔn)安全事件并緩存�; B��、 按照預(yù)設(shè)的維度參數(shù)Dt對所述標(biāo)準(zhǔn)安全事件進(jìn)行分組���,對每組所述標(biāo)準(zhǔn)安全事件按 照預(yù)定義的指標(biāo)參數(shù)Vk提取反映網(wǎng)絡(luò)安全運行態(tài)勢的關(guān)鍵參數(shù)����,獲得網(wǎng)絡(luò)安全指標(biāo)參數(shù)V k 的實時數(shù)據(jù)�; C、 通過下式計算所述維度參數(shù)Dt的度量值E
其中����,L是指標(biāo)參數(shù)的個數(shù),Wk是V k的配置系數(shù)�,
通過下式計算整體網(wǎng)絡(luò)安全度量指標(biāo)H :
其中,Pt為所述維度參數(shù)Dt所對應(yīng)的安全事件數(shù)量占總安全事件數(shù)量的比例,N為安 全度量維度的個數(shù)��。
2. 如權(quán)利要求1所述的方法�,其特征在于,所述方法還包括���;將所述指標(biāo)參數(shù)Vk的實時 數(shù)據(jù)與指標(biāo)參數(shù)Vk的歷史數(shù)據(jù)擬合�����,構(gòu)建網(wǎng)絡(luò)安全指標(biāo)參數(shù)V k的數(shù)據(jù)基線��; 將所述維度參數(shù)Dt的度量值Ei的實時數(shù)據(jù)與維度參數(shù)D t度量值E i的歷史數(shù)據(jù)擬合�����, 構(gòu)建網(wǎng)絡(luò)安全維度參數(shù)Dt的數(shù)據(jù)基線����。
3. 如權(quán)利要求2所述的方法����,其特征在于,所述方法還包括�;對網(wǎng)絡(luò)整體狀態(tài)進(jìn)行判 斷��,根據(jù)所述整體網(wǎng)絡(luò)安全度量指標(biāo)判斷網(wǎng)絡(luò)整體狀態(tài)是否出現(xiàn)異常�����,判斷步驟包括: 根據(jù)所述維度參數(shù)Dt確定網(wǎng)絡(luò)安全事件的類型�����; 根據(jù)所述網(wǎng)絡(luò)安全指標(biāo)參數(shù)Vk的實時數(shù)據(jù)和所述網(wǎng)絡(luò)安全指標(biāo)參數(shù)V k的數(shù)據(jù)基線計 算所述指標(biāo)參數(shù)Vk的偏離度�; 根據(jù)所述網(wǎng)絡(luò)安全維度參數(shù)Dt的度量值E i的實時數(shù)據(jù)和所述網(wǎng)絡(luò)安全維度參數(shù)D t的 度量值&的數(shù)據(jù)基線計算所述維度參數(shù)D t的度量值E i的偏離度���; 根據(jù)所述指標(biāo)參數(shù)Vk的偏離度獲得偏離度最大的指標(biāo)參數(shù)V k并根據(jù)所述維度參數(shù)D t 的度量值&的偏離度獲得偏離度最大的維度參數(shù)D t的度量值E i; 根據(jù)所述偏離度最大的指標(biāo)參數(shù)Vk和所述偏離度最大的維度參數(shù)D t的度量值E i確定 異常的網(wǎng)絡(luò)安全事件。
4. 如權(quán)利要求3所述的方法��,其特征在于�����,所述指標(biāo)參數(shù)V k的偏離度和所述維度參數(shù) Dt的度量值Ei的偏離度的計算方法如下�; 指標(biāo)參數(shù)Vk的偏離度;VP tk= (C tk-Btk) *l〇〇/Btk��,其中�����,Ctk是維度D t的指標(biāo)參數(shù)V k的 當(dāng)前周期值,Btk是維度D t的指標(biāo)參數(shù)V k的基線值���; 維度參數(shù)Dt的度量值E i的偏離度��;DP t= (C t-Bt) *100/8"其中�����,�����。是維度D t的度量值 Ei的當(dāng)前周期值���,B t是維度D t的度量值E i的基線值。
5. 如權(quán)利要求1所述的方法��,其特征在于��,在所述方法之前��,預(yù)定義采集所述異構(gòu)安全
事件的標(biāo)準(zhǔn)�����、安全指標(biāo)度量參數(shù)和度量標(biāo)準(zhǔn);其中���, 預(yù)定義所述采集所述異構(gòu)安全事件的標(biāo)準(zhǔn)包括���;預(yù)定義所述異構(gòu)安全事件的地址范圍 和時間范圍; 預(yù)定義所述安全指標(biāo)度量參數(shù)包括��;預(yù)定義所述維度參數(shù)Dt;預(yù)定義在不同的安全事 件場景下所述維度參數(shù)Dt和所述指標(biāo)參數(shù)V k的標(biāo)準(zhǔn)模板����; 預(yù)定義所述安全指標(biāo)度量標(biāo)準(zhǔn)包括;預(yù)定義所述指標(biāo)參數(shù)Vk的偏離度和所述維度參數(shù) Dt的度量值E i的偏離度的闊值����;預(yù)定義所述闊值代表的安全等級�����;預(yù)定義不同場景下或不 同需要下的所述Wk的值�。
6. 如權(quán)利要求1所述的方法,其特征在于����,所述維度參數(shù)D t對安全事件進(jìn)行分組的步 驟包括:實時采集預(yù)定時間段內(nèi)的所有安全事件����,獲取經(jīng)過歸一化后安全事件對象的事件 類型字段����,根據(jù)攻擊入侵類〇1、信息泄露類化��、設(shè)備故障類〇3�����、認(rèn)證授權(quán)與非法訪問類〇4�����、惡 意代碼類〇5�����、違規(guī)與誤操作類化對安全事件進(jìn)行分組��。
7. 如權(quán)利要求1所述的方法�,其特征在于����,各個度量維度D t的指標(biāo)參數(shù)V k的獲取方法 分別是指: 安全事件量Vi的獲取方法是從