一種基于安全日志數(shù)據(jù)挖掘的電力信息網(wǎng)絡(luò)安全度量方法
【專利摘要】本發(fā)明提供了一種基于安全日志數(shù)據(jù)挖掘的電力信息網(wǎng)絡(luò)安全度量方法����,它包括:定義安全指標(biāo)度量模型參數(shù)和度量標(biāo)準(zhǔn)����;采集電力信息網(wǎng)絡(luò)異構(gòu)安全事件,采用基于模板定義的可擴(kuò)展安全事件范式化格式對安全事件進(jìn)行歸一化并緩存,形成標(biāo)準(zhǔn)化安全事件�����;從海量標(biāo)準(zhǔn)化安全事件中�,按照維度參數(shù)Di對安全事件進(jìn)行分組,按照指標(biāo)參數(shù)Vk提取反映網(wǎng)絡(luò)安全運(yùn)行態(tài)勢的參數(shù)����,獲得實(shí)時網(wǎng)絡(luò)安全指標(biāo)數(shù)據(jù)模型���;根據(jù)網(wǎng)絡(luò)安全指標(biāo)歷史數(shù)據(jù)與網(wǎng)絡(luò)安全指標(biāo)實(shí)時數(shù)據(jù)的擬合動態(tài)更新網(wǎng)絡(luò)安全指標(biāo)數(shù)據(jù)基線模型;計算網(wǎng)絡(luò)安全度量指標(biāo)���;通過網(wǎng)絡(luò)安全度量指標(biāo)得到網(wǎng)絡(luò)異常定位;解決了現(xiàn)有技術(shù)中準(zhǔn)確度低��,效率低�����,沒有有效的手段輔助管理人員進(jìn)行安全問題定位等技術(shù)問題���。
【專利說明】
一種基于安全日志數(shù)據(jù)挖掘的電力信息網(wǎng)絡(luò)安全度量方法
技術(shù)領(lǐng)域
[0001] 本發(fā)明屬于信息安全技術(shù)領(lǐng)域����,尤其涉及一種基于安全日志數(shù)據(jù)
[0002] 挖掘的電力信息網(wǎng)絡(luò)安全度量方法��。
【背景技術(shù)】
[0003] 電力系統(tǒng)是國民經(jīng)濟(jì)和人民生活的重要基礎(chǔ)設(shè)施���,其網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全是電 力系統(tǒng)安全運(yùn)行及對社會可靠供電的保證��,直接關(guān)系到我國各行各業(yè)的發(fā)展�����、社會的安定 和人民的生活水平�。電力系統(tǒng)安全防護(hù)的主要目標(biāo)是防止關(guān)鍵業(yè)務(wù)信息系統(tǒng)數(shù)據(jù)或信息被 竊取或篡改,防止網(wǎng)絡(luò)被惡意滲透或監(jiān)聽�����,確保不發(fā)生因信息安全引發(fā)的電網(wǎng)事故和大面 積停電事故���,實(shí)現(xiàn)信息安全風(fēng)險可控���、能控、在控����。國家非常重視電力系統(tǒng)的信息安全,建立 了電力系統(tǒng)信息安全縱深防御體系���,采取了很多安全防護(hù)措施����,其產(chǎn)生的安全效果和效率 往往并不為人所知�����。因此電力系統(tǒng)信息安全保障水平的度量就受到了越來越多的關(guān)注,研 究電力系統(tǒng)安全度量體系是非常必要的�����。
[0004] 根據(jù)IS0/IEC 27004[2]中的對安全度量的定義:度量是一種工具���,它通過采集、分 析��、報告與績效相關(guān)的數(shù)據(jù)�����,用來推進(jìn)決策并改善績效和問責(zé)��。安全度量主要解答了信息系 統(tǒng)是否足夠安全����、現(xiàn)在是否比以前更安全、信息安全投資是否適度和均衡����、安全是否合規(guī)�����、 信息安全的工作的有效性如何���、信息安全的工作效率怎樣等方面的問題。
[0005] 目前安全度量主要依靠人員進(jìn)行實(shí)施��,度量的準(zhǔn)確性往往依賴于人的技術(shù)能力���、 實(shí)踐經(jīng)驗(yàn)�����、對相關(guān)標(biāo)準(zhǔn)的理解程度等���,而且由于信息安全的動態(tài)性和相對性,真正有效��、能 輔助用戶決策的安全度量具備自動化����、實(shí)時性、指標(biāo)化的特征,而對這類安全度量的研究很 少��。另一個重要的方面�����,在復(fù)雜的安全度量指標(biāo)體系下����,當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)整體指標(biāo)出現(xiàn)異常時, 沒有有效的手段輔助管理人員進(jìn)行安全問題定位�。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明要解決的技術(shù)問題是:提供一種基于安全日志數(shù)據(jù)挖掘的電力信息網(wǎng)絡(luò)安 全度量方法,以解決現(xiàn)有技術(shù)中對電力信息網(wǎng)絡(luò)安全度量采用人員進(jìn)行實(shí)施����,度量的準(zhǔn)確 性往往依賴于人的技術(shù)能力�����、實(shí)踐經(jīng)驗(yàn)����、對相關(guān)標(biāo)準(zhǔn)的理解程度等,存在準(zhǔn)確度低�,效率低, 在復(fù)雜的安全度量指標(biāo)體系下,當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)整體指標(biāo)出現(xiàn)異常時����,沒有有效的手段輔助管 理人員進(jìn)行安全問題定位等技術(shù)問題。
[0007] 本發(fā)明技術(shù)方案:
[0008] -種基于安全日志數(shù)據(jù)挖掘的電力信息網(wǎng)絡(luò)安全度量方法��,它包括:
[0009] 步驟1�、定義安全指標(biāo)度量模型參數(shù)和度量標(biāo)準(zhǔn);
[0010]步驟2��、采集電力信息網(wǎng)絡(luò)異構(gòu)安全事件���,采用基于模板定義的可擴(kuò)展安全事件范 式化格式對安全事件進(jìn)行歸一化并緩存����,形成標(biāo)準(zhǔn)化安全事件�;
[0011]步驟3、從海量標(biāo)準(zhǔn)化安全事件中���,按照維度參數(shù)口:對安全事件進(jìn)行分組�����,按照指 標(biāo)參數(shù)vk提取反映網(wǎng)絡(luò)安全運(yùn)行態(tài)勢的參數(shù)����,獲得實(shí)時網(wǎng)絡(luò)安全指標(biāo)數(shù)據(jù)模型;
[0012] 步驟4��、根據(jù)網(wǎng)絡(luò)安全指標(biāo)歷史數(shù)據(jù)與網(wǎng)絡(luò)安全指標(biāo)實(shí)時數(shù)據(jù)的擬合動態(tài)更新網(wǎng) 絡(luò)安全指標(biāo)數(shù)據(jù)基線模型����;
[0013] 步驟5、計算網(wǎng)絡(luò)安全度量指標(biāo)���,維度參數(shù)認(rèn)的指標(biāo)值計算公式為:瑪以*%)�����, 式中L是指標(biāo)參數(shù)的個數(shù)���,=1:網(wǎng)絡(luò)安全整體度量指標(biāo)值H計算公式為: H = (巧* 式中P:為維度參數(shù)D:對應(yīng)的安全事件數(shù)量占比,N為安全度量維度的 個數(shù)�;
[0014] 步驟6�、通過網(wǎng)絡(luò)安全度量指標(biāo)得到網(wǎng)絡(luò)異常定位。
[0015] 步驟1所述定義安全指標(biāo)度量模型參數(shù)和度量標(biāo)準(zhǔn)�����,安全指標(biāo)度量模型參數(shù)包括 定義安全事件地址范圍、定義安全事件的時間范圍���、定義模型維度參數(shù)m�、定義指標(biāo)參數(shù)V k; 定義度量標(biāo)準(zhǔn)包括定義安全指標(biāo)分級和安全指標(biāo)變量占比�����。
[0016] 步驟2所述采用基于模板定義的可擴(kuò)展安全事件范式化格式對安全事件進(jìn)行歸一 化并緩存��,其基于模板定義的可擴(kuò)展安全事件范式化格式為:
[0017] 模板部分:
[0019] 表中:Template ID表示該事件范化模板的ID號;Option Field Type表示安全事 件的屬性字段類型�����,類型為源地址����、目的地址、源端口�����、目的端口和事件類型;Option Field Index表示該安全事件屬性字段在數(shù)據(jù)部分的索引��,Option Length N表示該安全事件屬性 字段長度�;
[0020] 數(shù)據(jù)部分:
[0023] 表中:EventSet ID表示一組采用相同事件范化模板的事件集的ID;Template ID 表示該事件集對應(yīng)的事件范化模板的ID; Length表示該事件集中包含事件記錄的個數(shù)��; Event Record 1-Field N Value表示事件記錄1中索引位置為N的屬性字段的值�。
[0024] 基于模板定義的可擴(kuò)展安全事件范式化格式模板包括下述字段:
[0025] Option Field 1 Type= "事件分類" index = 0;
[0026] Option Field 2 Type= "源地址" index = l;
[0027] Option Field 3 Type= "目的地址" index = 2;
[0028] Option Field 4 Type= "資產(chǎn)地址" index = 3;
[0029] Option Field 5 Type= "資產(chǎn)類型" index = 4;
[0030] Option Field 6 Type= "嚴(yán)重等級" index = 5;
[0031] Option Field 7 Type= "發(fā)生時間" index = 6〇
[0032] 維度參數(shù)01包括攻擊入侵類安全事件����、信息泄露類安全事件、設(shè)備故障類安全事 件��、認(rèn)證授權(quán)與非法訪問類安全事件��、惡意代碼類安全事件���、違規(guī)與誤操作類安全事件六個 維度參數(shù);指標(biāo)參數(shù)V k包括四元組數(shù)據(jù)�����,即安全事件量�、源地址個數(shù)��、目的地址個數(shù)和資產(chǎn) 地址個數(shù)����。
[0033]步驟3所述按照維度參數(shù)D:對安全事件進(jìn)行分組其分組方法為:實(shí)時采集60s內(nèi)的 所有安全事件��,獲取經(jīng)過歸一化后安全事件對象的事件類型字段,根據(jù)攻擊入侵類Di���、信息 泄露類D2����、設(shè)備故障類D 3��、認(rèn)證授權(quán)與非法訪問類D4�、惡意代碼類D5和違規(guī)與誤操作類D6對 安全事件進(jìn)行分組。
[0034] 指標(biāo)參數(shù)Vk的獲取方法為:^安全事件量的獲取方法是從安全事件組中獲取所有 安全事件的數(shù)量值;%源地址個數(shù)的獲取方法是從安全事件組中獲取所有獨(dú)立源IP的數(shù)量 值;V 3目的地址個數(shù)的獲取方法是從安全事件組中獲取所有獨(dú)立目的IP的數(shù)量值;V4資產(chǎn)地 址個數(shù)獲取方法是從安全事件組中獲取所有獨(dú)立資產(chǎn)IP的數(shù)量值�。
[0035] 步驟5所述安全事件數(shù)量占比的計算方法為:獲得60s內(nèi)所有安全事件的總數(shù)量T, 獲得維度參數(shù)Di維度安全事件分組的數(shù)量Si���,則維度參數(shù)Di對應(yīng)的安全事件數(shù)量占比為:Pi = S1/T��,最后一維參數(shù)Dl對應(yīng)的安全事件數(shù)量占比計算為= 1 - 步驟6 所述通過網(wǎng)絡(luò)安全度量指標(biāo)得到網(wǎng)絡(luò)異常定位的方法為:依據(jù)已定義的度量標(biāo)準(zhǔn)����,判斷網(wǎng) 絡(luò)整體狀態(tài)是否出現(xiàn)異常�����,當(dāng)出現(xiàn)異常時����,通過當(dāng)前實(shí)時網(wǎng)絡(luò)安全指標(biāo)數(shù)據(jù)模型與基線模 型進(jìn)行偏離度計算����,其偏離度計算方法為:
[0036]度量煒度偏離度DPi=(Ci-Bi)*100/Bi����,式中Ci是維度參數(shù)Di指標(biāo)值的當(dāng)前周期值, 是維度參數(shù)m指標(biāo)值的基線值�;
[0037] 指標(biāo)參數(shù)偏離度VPik=(Cik-Bik)*100/Bik,式中Cik是維度參數(shù)Di的指標(biāo)參數(shù)Vk的當(dāng) 前周期值��,Blk是維度參數(shù)Di的指標(biāo)參數(shù)Vk的基線值;獲得偏離度最大的模型維度參數(shù)�,然后 獲取偏離度最大的指標(biāo)參數(shù),從而實(shí)現(xiàn)網(wǎng)絡(luò)異常定位���。
[0038]步驟4所述根據(jù)網(wǎng)絡(luò)安全指標(biāo)歷史數(shù)據(jù)與網(wǎng)絡(luò)安全指標(biāo)實(shí)時數(shù)據(jù)的擬合動態(tài)更新 網(wǎng)絡(luò)安全指標(biāo)數(shù)據(jù)基線模型的方法為:當(dāng)該周期安全指標(biāo)數(shù)據(jù)出現(xiàn)異常時���,不更新基線模 型;當(dāng)該周期安全指標(biāo)數(shù)據(jù)正常時���,采用網(wǎng)絡(luò)安全指標(biāo)實(shí)時數(shù)據(jù)與基線指標(biāo)數(shù)據(jù)的算數(shù)平 均值作為新基線指標(biāo)值計算新的基線模型�����。
[0039]本發(fā)明有益效果:
[0040] 本發(fā)明依據(jù)宏觀網(wǎng)絡(luò)系統(tǒng)����,實(shí)時采集電力信息網(wǎng)絡(luò)異構(gòu)安全事件�����,對安全事件進(jìn) 行多維度數(shù)據(jù)挖掘����,采用可自定義的安全度量策略以適應(yīng)復(fù)雜的網(wǎng)絡(luò)需求,基于安全事件 數(shù)據(jù)的實(shí)時性����、機(jī)器化、全面性的特點(diǎn)����,構(gòu)建指標(biāo)化、智能化的安全度量體系�����,從而準(zhǔn)確評估 網(wǎng)絡(luò)安全的狀態(tài)和有效性����,并通過指標(biāo)體系的擾動對網(wǎng)絡(luò)整體狀態(tài)異常進(jìn)行定位���,輔助網(wǎng) 絡(luò)安全人員進(jìn)行決策,解決了現(xiàn)有技術(shù)中對電力信息網(wǎng)絡(luò)安全度量采用人員進(jìn)行實(shí)施�,度 量的準(zhǔn)確性往往依賴于人的技術(shù)能力、實(shí)踐經(jīng)驗(yàn)��、對相關(guān)標(biāo)準(zhǔn)的理解程度等�,存在準(zhǔn)確度 低,效率低�����,在復(fù)雜的安全度量指標(biāo)體系下���,當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)整體指標(biāo)出現(xiàn)異常時����,沒有有效的 手段輔助管理人員進(jìn)行安全問題定位等技術(shù)問題���。
【附圖說明】
[0041]
[0042]圖1為本發(fā)明方法流程示意圖����。
【具體實(shí)施方式】
[0043] -種基于安全日志數(shù)據(jù)挖掘的電力信息網(wǎng)絡(luò)安全度量方法,它包括:
[0044]步驟1�����、定義安全指標(biāo)度量模型參數(shù)和度量標(biāo)準(zhǔn);定義安全指標(biāo)度量模型參數(shù)和度 量標(biāo)準(zhǔn)�,安全指標(biāo)度量模型參數(shù)包括定義安全事件地址范圍��、定義安全事件的時間范圍�、定 義模型維度參數(shù)Di、定義指標(biāo)參數(shù)Vk;定義度量標(biāo)準(zhǔn)包括定義安全指標(biāo)分級和安全指標(biāo)變量 占比����。
[0045]步驟2、采集電力信息網(wǎng)絡(luò)異構(gòu)安全事件�,采用基于模板定義的可擴(kuò)展安全事件范 式化格式對安全事件進(jìn)行歸一化并緩存,形成標(biāo)準(zhǔn)化安全事件;步驟2所述采用基于模板定 義的可擴(kuò)展安全事件范式化格式對安全事件進(jìn)行歸一化并緩存����,其基于模板定義的可擴(kuò)展 安全事件范式化格式為:
[0046]模板部分:
[0048] 表中:Template ID表示該事件范化模板的ID號;Option Field Type表示安全事 件的屬性字段類型,類型為源地址�、目的地址、源端口���、目的端口和事件類型;Option Field Index表示該安全事件屬性字段在數(shù)據(jù)部分的索引��,Option Length N表示該安全事件屬性 字段長度����;
[0049] 數(shù)據(jù)部分:
[0052] 表中:EventSet ID表示一組采用相同事件范化模板的事件集的ID;Template ID 表示該事件集對應(yīng)的事件范化模板的ID; Length表示該事件集中包含事件記錄的個數(shù); Event Record 1-Field N Value表示事件記錄1中索引位置為N的屬性字段的值�����。
[0053] 基于模板定義的可擴(kuò)展安全事件范式化格式模板包括下述字段:
[0054] Option Field 1 Type= "事件分類" index = 0;
[0055] Option Field 2 Type= "源地址" index = l;
[0056] Option Field 3 Type= "目的地址" index = 2;
[0057] Option Field 4 Type= "資產(chǎn)地址" index = 3;
[0058] Option Field 5 Type= "資產(chǎn)類型" index = 4;
[0059] Option Field 6 Type= "嚴(yán)重等級" index = 5;
[0060] Option Field 7 Type= "發(fā)生時間" index = 6〇
[0061] 維度參數(shù)01包括攻擊入侵類安全事件��、信息泄露類安全事件�、設(shè)備故障類安全事 件、認(rèn)證授權(quán)與非法訪問類安全事件��、惡意代碼類安全事件�、違規(guī)與誤操作類安全事件六個 維度參數(shù);指標(biāo)參數(shù)V k包括四元組數(shù)據(jù),即安全事件量�����、源地址個數(shù)�����、目的地址個數(shù)和資產(chǎn) 地址個數(shù)。
[0062] 步驟3����、從海量標(biāo)準(zhǔn)化安全事件中,按照維度參數(shù)口:對安全事件進(jìn)行分組���,按照指 標(biāo)參數(shù)Vk提取反映網(wǎng)絡(luò)安全運(yùn)行態(tài)勢的參數(shù)�����,獲得實(shí)時網(wǎng)絡(luò)安全指標(biāo)數(shù)據(jù)模型;步驟3所述 按照維度參數(shù)D:對安全事件進(jìn)行分組其分組方法為:實(shí)時采集60s內(nèi)的所有安全事件,獲取 經(jīng)過歸一化后安全事件對象的事件類型字段�����,根據(jù)攻擊入侵類Di�����、信息泄露類D 2���、設(shè)備故障 類D3�、認(rèn)證授權(quán)與非法訪問類D4���、惡意代碼類D 5和違規(guī)與誤操作類D6對安全事件進(jìn)行分組����。
[0063] 指標(biāo)參數(shù)Vk的獲取方法為:^安全事件量的獲取方法是從安全事件組中獲取所有 安全事件的數(shù)量值;%源地址個數(shù)的獲取方法是從安全事件組中獲取所有獨(dú)立源IP的數(shù)量 值;V 3目的地址個數(shù)的獲取方法是從安全事件組中獲取所有獨(dú)立目的IP的數(shù)量值;V4資產(chǎn)地 址個數(shù)獲取方法是從安全事件組中獲取所有獨(dú)立資產(chǎn)IP的數(shù)量值。
[0064] 步驟4����、根據(jù)網(wǎng)絡(luò)安全指標(biāo)歷史數(shù)據(jù)與網(wǎng)絡(luò)安全指標(biāo)實(shí)時數(shù)據(jù)的擬合動態(tài)更新網(wǎng) 絡(luò)安全指標(biāo)數(shù)據(jù)基線模型;步驟4所述根據(jù)網(wǎng)絡(luò)安全指標(biāo)歷史數(shù)據(jù)與網(wǎng)絡(luò)安全指標(biāo)實(shí)時數(shù) 據(jù)的擬合動態(tài)更新網(wǎng)絡(luò)安全指標(biāo)數(shù)據(jù)基線模型的方法為:當(dāng)該周期安全指標(biāo)數(shù)據(jù)出現(xiàn)異常 時���,不更新基線模型�;當(dāng)該周期安全指標(biāo)數(shù)據(jù)正常時����,采用網(wǎng)絡(luò)安全指標(biāo)實(shí)時數(shù)據(jù)與基線指 標(biāo)數(shù)據(jù)的算數(shù)平均值作為新基線指標(biāo)值計算新的基線模型。
[0065] 步驟5�����、計算網(wǎng)絡(luò)安全度量指標(biāo)�����,維度參數(shù)m的指標(biāo)值計算公式為:瑪=鈦4(螂*%)�, 式中L是指標(biāo)參數(shù)的個數(shù)�����,Sill =1;網(wǎng)絡(luò)安全整體度量指標(biāo)值H計算公式為: 錢=Ht-^巧式中P:為維度參數(shù)Di對應(yīng)的安全事件數(shù)量占比�����,N為安全度量維度的 個數(shù)�����;
[0066] 步驟5所述安全事件數(shù)量占比的計算方法為:獲得60s內(nèi)所有安全事件的總數(shù)量T�����, 獲得維度參數(shù)Di維度安全事件分組的數(shù)量Si,則維度參數(shù)Di對應(yīng)的安全事件數(shù)量占比為:Pi = S1/T�����,最后一維參數(shù)Dl對應(yīng)的安全事件數(shù)量占比計算為:1| = 1 一 Efei(P&)�����。
[0067] 步驟6�����、通過網(wǎng)絡(luò)安全度量指標(biāo)得到網(wǎng)絡(luò)異常定位。
[0068] 步驟6所述通過網(wǎng)絡(luò)安全度量指標(biāo)得到網(wǎng)絡(luò)異常定位的方法為:
[0069] 依據(jù)已定義的度量標(biāo)準(zhǔn)�����,判斷網(wǎng)絡(luò)整體狀態(tài)是否出現(xiàn)異常��,當(dāng)出現(xiàn)異常時��,通過當(dāng) 前實(shí)時網(wǎng)絡(luò)安全指標(biāo)數(shù)據(jù)模型與基線模型進(jìn)行偏離度計算�,其偏離度計算方法為:
[0070] 度量煒度偏離度DPi=(Ci-Bi)*100/Bi,式中Ci是維度參數(shù)Di指標(biāo)值的當(dāng)前周期值�����, 是維度參數(shù)m指標(biāo)值的基線值�����;
[0071] 指標(biāo)參數(shù)偏離度VPik=(Cik-Bik)*100/Bik���,式中Cik是維度參數(shù)Di的指標(biāo)參數(shù)Vk的當(dāng) 前周期值�,B lk是維度參數(shù)Di的指標(biāo)參數(shù)Vk的基線值;獲得偏離度最大的模型維度參數(shù)��,然后 獲取偏離度最大的指標(biāo)參數(shù),從而實(shí)現(xiàn)網(wǎng)絡(luò)異常定位���。
【主權(quán)項(xiàng)】
1. 一種基于安全日志數(shù)據(jù)挖掘的電力信息網(wǎng)絡(luò)安全度量方法�,它包括: 步驟1����、定義安全指標(biāo)度量模型參數(shù)和度量標(biāo)準(zhǔn); 步驟2����、采集電力信息網(wǎng)絡(luò)異構(gòu)安全事件,采用基于模板定義的可擴(kuò)展安全事件范式化 格式對安全事件進(jìn)行歸一化并緩存�����,形成標(biāo)準(zhǔn)化安全事件�; 步驟3、從海量標(biāo)準(zhǔn)化安全事件中�,按照維度參數(shù)01對安全事件進(jìn)行分組���,按照指標(biāo)參數(shù) Vk提取反映網(wǎng)絡(luò)安全運(yùn)行態(tài)勢的參數(shù)��,獲得實(shí)時網(wǎng)絡(luò)安全指標(biāo)數(shù)據(jù)模型�����; 步驟4���、根據(jù)網(wǎng)絡(luò)安全指標(biāo)歷史數(shù)據(jù)與網(wǎng)絡(luò)安全指標(biāo)實(shí)時數(shù)據(jù)的擬合動態(tài)更新網(wǎng)絡(luò)安 全指標(biāo)數(shù)據(jù)基線模型����; 步驟5�、計算網(wǎng)絡(luò)安全度量指標(biāo),維度參數(shù)m的指標(biāo)值計算公式為:式中L是指標(biāo)參數(shù)的個數(shù)網(wǎng)絡(luò)安全整體度量指標(biāo)值Η計算公式為: �,式中Pi為維度參數(shù)Di對應(yīng)的安全事件數(shù)量占比,Ν為安全度量維度的 個數(shù)�;步驟6、通過網(wǎng)絡(luò)安全度量指標(biāo)得到網(wǎng)絡(luò)異常定位���。2. 根據(jù)權(quán)利要求1所述的一種基于安全日志數(shù)據(jù)挖掘的電力信息網(wǎng)絡(luò)安全度量方法�����, 其特征在于:步驟1所述定義安全指標(biāo)度量模型參數(shù)和度量標(biāo)準(zhǔn)����,安全指標(biāo)度量模型參數(shù)包 括定義安全事件地址范圍��、定義安全事件的時間范圍、定義模型維度參數(shù)Di�����、定義指標(biāo)參數(shù) Vk;定義度量標(biāo)準(zhǔn)包括定義安全指標(biāo)分級和安全指標(biāo)變量占比��。3. 根據(jù)權(quán)利要求1所述的一種基于安全日志數(shù)據(jù)挖掘的電力信息網(wǎng)絡(luò)安全度量方法���, 其特征在于:步驟2所述采用基于模板定義的可擴(kuò)展安全事件范式化格式對安全事件進(jìn)行 歸一化并緩存�,其基于模板定義的可擴(kuò)展安全事件范式化格式為: 模板部分:表中:Template 1U表不該爭仵范化模攸的1U虧��;Option Field Type表不安全爭仵的 屬性字段類型��,類型為源地址����、目的地址、源端口�、目的端口和事件類型;Option Field Index表示該安全事件屬性字段在數(shù)據(jù)部分的索引����,Option Length N表示該安全事件屬性 字段長度��; 數(shù)據(jù)部分:衣甲:EventSet 1U衣不一紐米用ffl冋爭懺范化悮懨的爭懺果的1U; Template 1U衣不 該事件集對應(yīng)的事件范化模板的ID; Length表示該事件集中包含事件記錄的個數(shù);Event Record 1-Field N Value表示事件記錄1中索引位置為N的屬性字段的值。4. 根據(jù)權(quán)利要求3所述的一種基于安全日志數(shù)據(jù)挖掘的電力信息網(wǎng)絡(luò)安全度量方法��, 其特征在于:基于模板定義的可擴(kuò)展安全事件范式化格式模板包括下述字段: Option Field 1 Type="事件分類"index = 0; Option Field 2 Type="源地址"index=l; Option Field 3 Type="目的地址"index = 2; Option Field 4 Type="資產(chǎn)地址"index = 3; Option Field 5 Type="資產(chǎn)類型"index = 4; Option Field 6 Type= "嚴(yán)重等級"index = 5; Option Field 7 Type= "發(fā)生時間"index = 6〇5. 根據(jù)權(quán)利要求1或2所述的一種基于安全日志數(shù)據(jù)挖掘的電力信息網(wǎng)絡(luò)安全度量方 法�,其特征在于:維度參數(shù)〇1包括攻擊入侵類安全事件、信息泄露類安全事件���、設(shè)備故障類 安全事件����、認(rèn)證授權(quán)與非法訪問類安全事件��、惡意代碼類安全事件�、違規(guī)與誤操作類安全事 件六個維度參數(shù);指標(biāo)參數(shù)V k包括四元組數(shù)據(jù),即安全事件量�����、源地址個數(shù)�、目的地址個數(shù) 和資產(chǎn)地址個數(shù)。6. 根據(jù)權(quán)利要求1所述的一種基于安全日志數(shù)據(jù)挖掘的電力信息網(wǎng)絡(luò)安全度量方法��, 其特征在于:步驟3所述按照維度參數(shù)Di對安全事件進(jìn)行分組其分組方法為:實(shí)時采集60s 內(nèi)的所有安全事件����,獲取經(jīng)過歸一化后安全事件對象的事件類型字段����,根據(jù)攻擊入侵類Di���、 信息泄露類D2�����、設(shè)備故障類D 3�、認(rèn)證授權(quán)與非法訪問類D4�、惡意代碼類D5和違規(guī)與誤操作類D6 對安全事件進(jìn)行分組。7. 根據(jù)權(quán)利要求1所述的一種基于安全日志數(shù)據(jù)挖掘的電力信息網(wǎng)絡(luò)安全度量方法��, 其特征在于:指標(biāo)參數(shù)Vk的獲取方法為:Vi安全事件量的獲取方法是從安全事件組中獲取所 有安全事件的數(shù)量值;%源地址個數(shù)的獲取方法是從安全事件組中獲取所有獨(dú)立源IP的數(shù) 量值;V3目的地址個數(shù)的獲取方法是從安全事件組中獲取所有獨(dú)立目的IP的數(shù)量值;V4資產(chǎn) 地址個數(shù)獲取方法是從安全事件組中獲取所有獨(dú)立資產(chǎn)IP的數(shù)量值��。8. 根據(jù)權(quán)利要求1所述的一種基于安全日志數(shù)據(jù)挖掘的電力信息網(wǎng)絡(luò)安全度量方法���, 其特征在于:步驟5所述安全事件數(shù)量占比的計算方法為:獲得60s內(nèi)所有安全事件的總數(shù) 量T��,獲得維度參數(shù)Di維度安全事件分組的數(shù)量Sn則維度參數(shù)仏對應(yīng)的安今車件數(shù)量占比 為:P1 = &/T�,最后一維參數(shù)IX對應(yīng)的安全事件數(shù)量占比計算為9. 根據(jù)權(quán)利要求1所述的一種基于安全日志數(shù)據(jù)挖掘的電力信息網(wǎng)絡(luò)安全度量方法�����, 其特征在于:步驟6所述通過網(wǎng)絡(luò)安全度量指標(biāo)得到網(wǎng)絡(luò)異常定位的方法為: 依據(jù)已定義的度量標(biāo)準(zhǔn),判斷網(wǎng)絡(luò)整體狀態(tài)是否出現(xiàn)異常�,當(dāng)出現(xiàn)異常時���,通過當(dāng)前實(shí) 時網(wǎng)絡(luò)安全指標(biāo)數(shù)據(jù)模型與基線模型進(jìn)行偏離度計算�����,其偏離度計算方法為: 度量煒度偏離度DPiiKi-BihlOO/Bi��,式中Ci是維度參數(shù)Di指標(biāo)值的當(dāng)前周期值����,Bi是 維度參數(shù)〇1指標(biāo)值的基線值�; 指標(biāo)參數(shù)偏離度VPik=(Cik-Bik)*100/Bik,式中Cik是維度參數(shù)Di的指標(biāo)參數(shù)Vk的當(dāng)前周 期值�,Blk是維度參數(shù)Di的指標(biāo)參數(shù)Vk的基線值;獲得偏離度最大的模型維度參數(shù),然后獲取 偏離度最大的指標(biāo)參數(shù)���,從而實(shí)現(xiàn)網(wǎng)絡(luò)異常定位�����。10. 根據(jù)權(quán)利要求1所述的一種基于安全日志數(shù)據(jù)挖掘的電力信息網(wǎng)絡(luò)安全度量方法�����, 其特征在于:步驟4所述根據(jù)網(wǎng)絡(luò)安全指標(biāo)歷史數(shù)據(jù)與網(wǎng)絡(luò)安全指標(biāo)實(shí)時數(shù)據(jù)的擬合動態(tài) 更新網(wǎng)絡(luò)安全指標(biāo)數(shù)據(jù)基線模型的方法為:當(dāng)該周期安全指標(biāo)數(shù)據(jù)出現(xiàn)異常時�,不更新基 線模型;當(dāng)該周期安全指標(biāo)數(shù)據(jù)正常時��,采用網(wǎng)絡(luò)安全指標(biāo)實(shí)時數(shù)據(jù)與基線指標(biāo)數(shù)據(jù)的算 數(shù)平均值作為新基線指標(biāo)值計算新的基線模型�����。
【文檔編號】H04L29/06GK105959131SQ201610236113
【公開日】2016年9月21日
【申請日】2016年4月15日
【發(fā)明人】王皓然, 羅念華, 龍玉江, 汪浩, 魏力鵬
【申請人】貴州電網(wǎng)有限責(zé)任公司信息中心