一种基于概率图模型的电力监控系统网络安全告警评估方法与流程

本发明涉及电力监控系统网络安全技术领域，具体为一种基于概率图模型的电力监控系统网络安全告警评估方法。

背景技术：

随着电网技术的发展，电力生产环境对自动化系统使用越来越广泛，电力监控系统在实际生产中发挥了越来越重要的作用，电力监控系统一旦发生网络安全事件可能会引起不可估量的损失，攻击伊朗核设施的震网事件、乌克兰西部地区遭受网络安全发生电网大面积停电事件和委内瑞拉电力系统受到网络安全事件而造成的多次大面积停电等，都在提醒我们电力监控系统正面临着严重的网络安全风险。因此各个电力企业逐步建立电力监控系统网络安全管理平台或者态势感知系统，但是这些类似的系统中每天都会产生海量的网络安全告警，这些告警远远超出了各个电力企业安全运维人员的排查能力，而在这些告警中，真正有威胁的(即代表系统真正被黑客攻击的)告警所占的比例却非常小。因此，为了减轻运维人员排查告警的压力，提高对安全威胁的发现能力，保障电力监控系统能够及时有效应对各类网络安全风险，需要对安全设备产生的告警日志进行进一步的分析，筛选出关键的具有高威胁度的告警。

技术实现要素：

有鉴于背景技术中上述缺陷，本发明提供一种基于概率图模型的电力监控系统网络安全告警评估方法以解决背景技术中的问题。

电力监控系统，为了从海量告警中筛选出真正具有高威胁度的告警，运维人员基于告警的特征制定了一系列的筛选策略，例如重点关注高中风险等级的告警、特定防护规则的告警、敏感业务系统的告警、恶意源ip触发的告警等。但是在真实的运维环境中，以上的筛选策略取得的效果都很有限。究其原因，主要是因为以上的筛选策略所参考的特征并不能有效描述告警的威胁度。在实际的运维场景中，运维人员在告警排查处置的过程中最关注的部分就是告警的攻击载荷。攻击行为信息包含在告警的攻击载荷中。因此为了筛选出具有高威胁度的告警，需要重点考虑攻击载荷中包含的特征信息。

告警的攻击载荷中包含着攻击者所使用的攻击手法，使用的攻击工具等特征，例如文件路径、ip、域名、url、操作系统命令、脚本函数、sql语句、系统表名称等。在实际的网络环境中，由于业务种类，通信协议等不同，告警的攻击载荷结构也千变万化。因此告警的攻击载荷是非结构化的文本数据。在现有的工作中，自然语言处理(nlp)技术为非结构化文本数据提供了多种处理方法。通过分词，doc2vec等技术，可以将攻击载荷转化为向量化表示。

在实践中，以上方法在处理告警的攻击载荷数据的过程中往往会失效，所得到的向量化表示仍然无法有效的表征告警的特征。其原因在于，自然语言处理技术无法真正“理解”攻击者的攻击意图和所采用的攻击技术。也就是说，基于nlp方法得到的告警的向量化表示更多的利用了原始攻击载荷的统计特征。这些统计特征不能有效的描述告警中所包含的攻击技术。因此，在提取特征的过程中要引入专家知识，使得特征提取算法能够真正“理解”告警。

在告警特征提取的过程中需要引入大量的安全专家知识，才能够有效提取出攻击载荷的特征。而引入专家知识需要由安全专家提供特征提取的正则式，正所谓人工智能还得人工来做。也就是说，特征提取过程相当于专家知识的引入过程。这一步对后续的告警评估效果影响巨大。专家知识引入的越多，准确度越高，后续告警评估的效果越好。

在真实的电力监控系统网络环境中，大部分的安全设备告警都是低危告警，真正有威胁的告警所占的比例非常小。低危告警往往是由扫描探测等行为产生。扫描探测一般会采用自动化工具来完成，因此这类工具对不同的主机进行扫描探测过程中所产生的告警往往具有相似的攻击载荷特征。而对于真正的攻击而言，攻击者为了攻破某一特定的主机，往往会采用一些比较独特的攻击技术。这样这类攻击所产生的告警，其攻击载荷的特征也会比较独特。因此根据告警攻击载荷特征的独特性可以对告警进行评估。告警特征越独特，其威胁度也就越高。

特征提取：如前所述，采用正则式匹配的方法提取每一条告警的攻击载荷特征，提取以后的特征经过编码，得到特征向量。

告警聚合：将告警按照源ip，目的ip，目的端口进行聚合，得到告警序列。每个序列中的告警代表着从一个源ip到一个目标ip攻击者所采取的攻击行为。这里可以认为攻击行为由一系列的特征向量所描述。

相似度分析：对聚合以后的每个告警序列之间进行相似度分析，检测序列之间的相似度的大小。这里需要选择一个测度，对任意两个告警序列进行相似度评估。根据测度找出与其他序列相似度较低的告警序列。这些告警序列中的告警被设定为高危告警。

在上述的第三步中，需要对告警序列的相似度进行评估。而每一个告警序列由一系列的特征向量组成，而且告警序列的长度各不相同，也就是说告警序列中特征向量的数量各不相同。因此需要一种能够比较两个告警序列相似度的方法。一种可行的方法是对于两个告警序列，分别对其中的特征向量进行相似度比较，记录特征向量相似度的值，然后取相似度的统计值，例如最小值，中位数，平均值等，作为告警序列的相似度。

由于图模型能够清晰地表征实体之间关联和相似的关系，因此在具体的告警评估的过程中，可以采用图模型来辅助告警序列相似度的评估。图模型由顶点和边构成。在本问题中，可以将告警序列设定为顶点，然后根据序列的相似度来构建边。选定一个相似度的阈值k，如果用上面的方法计算得到的两个序列之间的相似度大于该阈值，则在这两个序列对应的顶点之间建立一条边。

每个顶点的度是不相同的，这表示相应的告警序列之间相似性的差异。在实际的企业内网告警数据生成的图中，会有很多孤立的顶点，也就是度为0的顶点。这些顶点对应的告警序列与其他的序列的相似度非常低，因此可以认为这些序列中包含的告警具有更高的威胁度。另外，度比较低的顶点，其对应的告警序列中的告警同样具有较高的威胁度。通过以上方法，即可以筛选出具有较高威胁度的告警。

具体地，为实现上述目的，本发明提供一种基于概率图模型的电力监控系统网络安全告警评估方法，包括以下步骤：

s1、对电力监控系统网络安全管理平台原始警告进行分析；

s2、形成电力监控系统特征告警序列：使用聚类算法对告警信息的源ip地址、目的ip地址、目的端口、传输层协议和告警等级进行分级分类，同步结合电力监控系统网络安全管理平台及调控云平台设备资产台账得到ip对应的设备名称，进一步得到电力监控系统运行特性的告警序列；

s3、提取电力监控系统告警特征向量：使用正则表达式匹配的方法提取每一条电力监控系统网络安全告警的攻击载荷特征，经过编码后得到特征向量；

s4、对特征向量进行相似度比较；

s5、制作概率图模型：以告警序列为顶点，序列之间的相似度为边，设定相似度阈值为k，任意两个告警序列之间的相似度大于k则建立一条边；

s6、通过告警威胁的概率图模型判断告警威胁大小。

在本发明的另一实施例中，所述步骤s3包括：在告警特征提取的过程中需要引入安全专家知识。

在本发明的另一实施例中，所述步骤s2中：将告警按照源ip地址、目的ip地址、和目的端口进行聚合得到告警序列；每个所述告警序列中的告警代表着从一个源ip地址到一个目的ip地址的攻击者所采取的攻击行为。

在本发明的另一实施例中，取相似度的统计值作为告警序列的相似度。

相对于现有技术，本发明的优点在于：减轻了运维人员排查告警的压力，提高了对安全威胁的发现能力，保障了电力监控系统能够及时有效应对各类网络安全风险，能够筛选出关键的具有高威胁度的告警。

附图说明

图1是本发明实施例中一种基于概率图模型的电力监控系统网络安全告警评估方法的流程图。

图2是本发明具体实施例中的概率图模型。

具体实施方式

如图1所示，本发明提供一种基于概率图模型的电力监控系统网络安全告警评估方法，包括以下步骤：

s1、对电力监控系统网络安全管理平台原始警告进行分析；

包括对电力监控系统网络安全原始告警数据合并筛选；

s2、形成电力监控系统特征告警序列；

使用聚类算法对告警信息的源ip地址、目的ip地址、目的端口、传输层协议和告警等级进行分级分类，同步结合电力监控系统网络安全管理平台及调控云平台设备资产台账得到ip对应的设备名称，进一步得到电力监控系统运行特性的告警序列；

s3、提取电力监控系统告警特征向量；

使用正则表达式匹配的方法提取每一条电力监控系统网络安全告警的攻击载荷特征，经过编码后得到特征向量；

s4、对特征向量进行相似度比较；

记录特征向量相似度，值越低表明告警威胁越大；

s5、制作概率图模型，以告警序列为顶点，序列之间的相似度为边，设定相似度阈值为k，任意两个告警序列之间的相似度大于k则建立一条边；

使用概率图模型来表征各个告警序列的关联和相似度，

s6、通过告警威胁的概率图模型判断告警威胁大小。

孤立的点表示与其他电力监控系统网络安全告警特征向量相似度非常低，则认为其具有更高的威胁。

本发明减轻了运维人员排查告警的压力，提高了对安全威胁的发现能力，保障了电力监控系统能够及时有效应对各类网络安全风险，能够筛选出关键的具有高威胁度的告警。

在本发明的另一实施例中，所述步骤s2中：将告警按照源ip地址、目的ip地址、和目的端口进行聚合得到告警序列；每个所述告警序列中的告警代表着从一个源ip地址到一个目的ip地址的攻击者所采取的攻击行为。

在本发明的另一实施例中，取相似度的统计值作为告警序列的相似度。

在本发明的具体实施例中，如图2所示，从告警设备名称、源ip地址、目的ip地址、目的端口、传输层协议五个维度给出了7个告警序列：主机a，源ip1，目的ip1，2204，104；主机b，源ip2，目的ip2，3306，104；主机c，源ip3，目的ip3，1234，104；主机d，源ip4，目的ip4，2666，61850；主机e，源ip5，目的ip5，3223，61850；主机f，源ip6，目的ip6，3555，61850；主机g，源ip7，目的ip7，4455，61850。以告警序列为顶点，序列之间的相似度为边，绘制了图2中的概率图模型图。连接主机b，源ip2，目的ip2，3306，104和主机e，源ip5，目的ip5，3223，61850这2个告警序列的为两条边，连接其他5个告警序列为3条边以上；因此相对而言主机b，源ip2，目的ip2，3306，104和主机e，源ip5，目的ip5，3223，61850这2个告警序列具有较高的威胁。

以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术人员无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。