一种基于电力信息网络安全事件挖掘的指标化安全度量方法
【技术领域】
[0001] 本发明涉及信息安全领域,具体涉及一种基于电力信息网络安全事件挖掘的指标 化安全度量方法。
【背景技术】
[0002] 电力系统是国民经济和人民生活的重要基础设施,其网络和应用系统的安全是电 力系统安全运行及对社会可靠供电的保证,直接关系到我国各行各业的发展、社会的安定 和人民的生活水平。电力系统安全防护的主要目标是防止关键业务信息系统数据或信息被 窃取或篡改,防止网络被恶意渗透或监听,确保不发生因信息安全引发的电网事故和大面 积停电事故,实现信息安全风险可控、能控、在控。国家非常重视电力系统的信息安全,建立 了电力系统信息安全纵深防御体系,采取了很多安全防护措施,其产生的安全效果和效率 往往并不为人所知。因此电力系统信息安全保障水平的度量就受到了越来越多的关注,研 宄电力系统安全度量体系是非常必要的。
[0003] 根据ISO/IEC27004[2]中的对安全度量的定义:度量是一种工具,它通过采集、 分析、报告与绩效相关的数据,用来推进决策并改善绩效和问责。安全度量主要解答了信 息系统是否足够安全、现在是否比以前更安全、信息安全投资是否适度和均衡、安全是否合 格、信息安全的工作的有效性如何、信息安全的工作效率怎样等方面的问题。
[0004] 目前安全度量主要依靠人员进行实施,度量的准确性往往依赖于人的技术能力、 实践经验、对相关标准的理解程度等,因此准确性差,实时性差,而且每次度量都需要翻阅 大量数据,没有一个统一的指标。随着电力系统安全防护方面的快速发展,急需一种具备自 动化、实时性、指标化特征的安全度量方法。另一个重要的方面,在复杂的安全度量指标体 系下,当发现网络整体指标出现异常时,目前并没有有效的手段辅助管理人员进行安全问 题定位。
【发明内容】
[0005] 为了解决上述问题,本发明提出了一种基于电力信息网络安全事件挖掘的指标化 安全度量方法,能够使得电力信息网络的安全度量实现自动化、实时性、指标化。
[0006] 为了达到上述目的,本发明提出了一种基于电力信息网络安全事件挖掘的指标化 安全度量方法,该方法包括以下步骤:
[0007]A、采集电力信息网络中的异构安全事件,基于预设的标准模板,采用可扩展安全 事件范化策略对该异构安全事件进行归一化,形成标准安全事件并缓存。
[0008] B、按照预设的维度参数Di对该标准安全事件进行分组,对每组标准安全事件按照 预定义的指标参数Vk提取反映网络安全运行态势的关键参数,获得网络安全指标参数Vk的 实时数据。
[0009]C、通过下式计算维度参数度量值Ei:
【主权项】
1. 一种基于电力信息网络安全事件挖掘的指标化安全度量方法,其特征在于,所述方 法包括W下步骤: A、 采集电力信息网络中的异构安全事件,基于预设的标准模板,采用可扩展安全事件 范化策略对所述异构安全事件进行归一化,形成标准安全事件并缓存; B、 按照预设的维度参数Dt对所述标准安全事件进行分组,对每组所述标准安全事件按 照预定义的指标参数Vk提取反映网络安全运行态势的关键参数,获得网络安全指标参数V k 的实时数据; C、 通过下式计算所述维度参数Dt的度量值E
其中,L是指标参数的个数,Wk是V k的配置系数,
通过下式计算整体网络安全度量指标H :
其中,Pt为所述维度参数Dt所对应的安全事件数量占总安全事件数量的比例,N为安 全度量维度的个数。
2. 如权利要求1所述的方法,其特征在于,所述方法还包括;将所述指标参数Vk的实时 数据与指标参数Vk的历史数据拟合,构建网络安全指标参数V k的数据基线; 将所述维度参数Dt的度量值Ei的实时数据与维度参数D t度量值E i的历史数据拟合, 构建网络安全维度参数Dt的数据基线。
3. 如权利要求2所述的方法,其特征在于,所述方法还包括;对网络整体状态进行判 断,根据所述整体网络安全度量指标判断网络整体状态是否出现异常,判断步骤包括: 根据所述维度参数Dt确定网络安全事件的类型; 根据所述网络安全指标参数Vk的实时数据和所述网络安全指标参数V k的数据基线计 算所述指标参数Vk的偏离度; 根据所述网络安全维度参数Dt的度量值E i的实时数据和所述网络安全维度参数D t的 度量值&的数据基线计算所述维度参数D t的度量值E i的偏离度; 根据所述指标参数Vk的偏离度获得偏离度最大的指标参数V k并根据所述维度参数D t 的度量值&的偏离度获得偏离度最大的维度参数D t的度量值E i; 根据所述偏离度最大的指标参数Vk和所述偏离度最大的维度参数D t的度量值E i确定 异常的网络安全事件。
4. 如权利要求3所述的方法,其特征在于,所述指标参数V k的偏离度和所述维度参数 Dt的度量值Ei的偏离度的计算方法如下; 指标参数Vk的偏离度;VP tk= (C tk-Btk) *l〇〇/Btk,其中,Ctk是维度D t的指标参数V k的 当前周期值,Btk是维度D t的指标参数V k的基线值; 维度参数Dt的度量值E i的偏离度;DP t= (C t-Bt) *100/8"其中,。是维度D t的度量值 Ei的当前周期值,B t是维度D t的度量值E i的基线值。
5. 如权利要求1所述的方法,其特征在于,在所述方法之前,预定义采集所述异构安全
事件的标准、安全指标度量参数和度量标准;其中, 预定义所述采集所述异构安全事件的标准包括;预定义所述异构安全事件的地址范围 和时间范围; 预定义所述安全指标度量参数包括;预定义所述维度参数Dt;预定义在不同的安全事 件场景下所述维度参数Dt和所述指标参数V k的标准模板; 预定义所述安全指标度量标准包括;预定义所述指标参数Vk的偏离度和所述维度参数 Dt的度量值E i的偏离度的阔值;预定义所述阔值代表的安全等级;预定义不同场景下或不 同需要下的所述Wk的值。
6. 如权利要求1所述的方法,其特征在于,所述维度参数D t对安全事件进行分组的步 骤包括:实时采集预定时间段内的所有安全事件,获取经过归一化后安全事件对象的事件 类型字段,根据攻击入侵类〇1、信息泄露类化、设备故障类〇3、认证授权与非法访问类〇4、恶 意代码类〇5、违规与误操作类化对安全事件进行分组。
7. 如权利要求1所述的方法,其特征在于,各个度量维度D t的指标参数V k的获取方法 分别是指: 安全事件量Vi的获取方法是从