5G数字电网系统网络安全态势的检测方法、装置和设备与流程

5g数字电网系统网络安全态势的检测方法、装置和设备
技术领域
1.本技术涉及网络安全技术领域，特别是涉及一种5g数字电网系统网络安全态势检测方法、装置、计算机设备、存储介质和计算机程序产品。


背景技术：

2.随着互联网信息技术的发展，出现了层出不穷且快速演变的网络攻击手段，时刻威胁着生产经营和网络安全。为了降低网络安全事件的发生概率，需要增强对网络安全态势的监测力度。
3.相关技术中，由于电网系统网络安全积累数据的不断增加，对大量威胁情报的分析不足，缺乏对危险的感知能力；单纯依靠部署安全设备、安全软件以及少量兼职人员已难以抵御有组织、有预谋的网络攻击行为，导致电网系统网络安全态势的检测准确率较低。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种能够提高电网系统网络安全态势的检测准确率的5g数字电网系统网络安全态势的检测方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
5.第一方面，本技术提供了一种5g数字电网系统网络安全态势的检测方法。所述方法包括：
6.采集电网系统的内部安全数据和外部安全威胁数据；
7.对所述内部安全数据和所述外部安全威胁数据进行预处理，得到预处理后的内部安全数据和预处理后的外部安全威胁数据；
8.从所述预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从所述预处理后的外部安全威胁数据提取出对应的第二关键数据特征；
9.将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果；
10.根据所述各种预设威胁类型的威胁检测结果，确认针对所述电网系统的网络安全态势检测结果。
11.在其中一个实施例中，所述将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果包括：
12.将所述第一关键数据特征和所述第二关键数据特征，分别输入预设的异常通信对检测模型、异常登录检测模型、异常指令识别模型和畸形报文识别模型，得到所述电网系统的异常通信对检测结果、异常登录检测结果、异常指令识别结果和畸形报文识别结果，均作为威胁检测结果；
13.其中，所述异常通信对检测模型是通过分析样本通信对数据的数据特征而构建的检测模型；所述异常登录检测模型是通过分析样本用户的日常登录行为信息而构建的检测
模型；所述异常指令识别模型是通过分析正常用户的操作行为数据而构建的识别模型；所述畸形报文识别模型是通过分析样本数据报文的报文特征而构建的识别模型。
14.在其中一个实施例中，在将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果之前，还包括：
15.获取所述电网系统的网络设备和安全设备的日志数据和资产数据；
16.所述将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果，还包括：
17.将所述资产数据、所述第一关键数据特征和所述第二关键数据特征输入资产漏洞识别模型中，通过所述资产漏洞识别模型对所述日志数据和所述资产数据进行漏洞识别，得到所述电网系统中存在的漏洞列表信息；
18.根据所述第一关键数据特征、所述第二关键数据特征和所述漏洞列表信息，识别出漏洞所影响的资产列表，作为威胁检测结果。
19.在其中一个实施例中，所述将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果，还包括：
20.将所述日志数据、所述第一关键数据特征和所述第二关键数据特征输入攻击路径识别模型中，通过所述攻击路径识别模型对所述日志数据进行攻击路径识别，得到针对所述电网系统的攻击路径和攻击源；
21.提取所述攻击路径的特征属性；
22.根据所述第一关键数据特征、所述第二关键数据特征和所述特征属性，对所述攻击路径和所述攻击源进行分析，得到针对所述电网系统的攻击分析结果，作为威胁检测结果。
23.在其中一个实施例中，所述采集电网系统的内部安全数据和外部安全威胁数据，包括：
24.通过数据采集指令和数据监听指令，获取所述电网系统的全量数据；
25.通过应用程序接口，将所述全量数据上报至网络安全态势感知系统；所述网络安全态势感知系统用于对所述全量数据进行分类和归并，得到所述内部安全数据和所述外部安全威胁数据；
26.接收所述网络安全态势感知系统返回的所述内部安全数据和所述外部安全威胁数据。
27.在其中一个实施例中，所述对所述内部安全数据和所述外部安全威胁数据进行预处理，得到预处理后的内部安全数据和预处理后的外部安全威胁数据，包括：
28.对所述内部安全数据和所述外部安全威胁数进行数据清洗、数据融合和数据检测，得到预处理后的内部安全数据和预处理后的外部安全威胁数据。
29.第二方面，本技术还提供了一种5g数字电网系统网络安全态势的检测装置。所述装置包括：
30.数据采集模块，用于采集电网系统的内部安全数据和外部安全威胁数据；
31.预处理模块，用于对所述内部安全数据和所述外部安全威胁数据进行预处理，得到预处理后的内部安全数据和预处理后的外部安全威胁数据；
32.特征提取模块，用于从所述预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从所述预处理后的外部安全威胁数据提取出对应的第二关键数据特征；
33.威胁检测模块，用于将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果；
34.结果确认模块，用于根据所述各种预设威胁类型的威胁检测结果，确认针对所述电网系统的网络安全态势检测结果。
35.第三方面，本技术还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
36.采集电网系统的内部安全数据和外部安全威胁数据；
37.对所述内部安全数据和所述外部安全威胁数据进行预处理，得到预处理后的内部安全数据和预处理后的外部安全威胁数据；
38.从所述预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从所述预处理后的外部安全威胁数据提取出对应的第二关键数据特征；
39.将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果；
40.根据所述各种预设威胁类型的威胁检测结果，确认针对所述电网系统的网络安全态势检测结果。
41.第四方面，本技术还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
42.采集电网系统的内部安全数据和外部安全威胁数据；
43.对所述内部安全数据和所述外部安全威胁数据进行预处理，得到预处理后的内部安全数据和预处理后的外部安全威胁数据；
44.从所述预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从所述预处理后的外部安全威胁数据提取出对应的第二关键数据特征；
45.将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果；
46.根据所述各种预设威胁类型的威胁检测结果，确认针对所述电网系统的网络安全态势检测结果。
47.第五方面，本技术还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：
48.采集电网系统的内部安全数据和外部安全威胁数据；
49.对所述内部安全数据和所述外部安全威胁数据进行预处理，得到预处理后的内部安全数据和预处理后的外部安全威胁数据；
50.从所述预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从所述预处理后的外部安全威胁数据提取出对应的第二关键数据特征；
51.将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的
威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果；
52.根据所述各种预设威胁类型的威胁检测结果，确认针对所述电网系统的网络安全态势检测结果。
53.上述5g数字电网系统网络安全态势的检测方法、装置、计算机设备、存储介质和计算机程序产品，通过采集电网系统的内部安全数据和外部安全威胁数据；然后对所述内部安全数据和所述外部安全威胁数据进行预处理，得到预处理后的内部安全数据和预处理后的外部安全威胁数据；从所述预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从所述预处理后的外部安全威胁数据提取出对应的第二关键数据特征；再将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果；最后根据所述各种预设威胁类型的威胁检测结果，确认针对所述电网系统的网络安全态势检测结果。这样，在检测电网系统网络安全态势的时候，将电网系统的全量数据区分为内部安全数据和外部安全威胁数据，利用多种威胁检测模型分别对内部安全数据和外部安全威胁数据进行多角度的检测和分析，从而提高电网系统网络安全态势的检测准确率。
附图说明
54.图1为一个实施例中5g数字电网系统网络安全态势的检测方法的应用环境图；
55.图2为一个实施例中5g数字电网系统网络安全态势的检测方法的流程示意图；
56.图3为一个实施例中采集电网系统的数据步骤的流程示意图；
57.图4为另一个实施例中5g数字电网系统网络安全态势的检测方法的流程示意图；
58.图5为又一个实施例中5g数字电网系统网络安全态势的检测方法的流程示意图；
59.图6为一个实施例中系统数据对接情况的流程示意图；
60.图7为一个实施例中可疑文件在线上报分析模块的数据处理架构的示意图；
61.图8为一个实施例中人工智能应用模块数据处理的流程示意图；
62.图9为一个实施例中电网系统网络安全态势的检测装置的结构框图；
63.图10为一个实施例中计算机设备的内部结构图。
具体实施方式
64.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
65.本技术实施例提供的5g数字电网系统网络安全态势的检测方法，可以应用于如图1所示的应用环境中。其中，安全态势检测系统102通过网络与数据采集装置101和显示设备103进行通信。具体地，参考图1，数据采集装置101采集全量数据并将全量数据发送至安全态势检测系统102，安全态势检测系统102对全量数据进行分类和归并，得到内部安全数据和外部安全威胁数据；再对内部安全数据和外部安全威胁数进行数据清洗、数据融合和数据检测，得到预处理后的内部安全数据和预处理后的外部安全威胁数据；然后从预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从预处理后的外部安全威胁数据提取出对应的第二关键数据特征；并将第一关键数据特征和第二关键数据特征，输入至各
种预设威胁类型的威胁检测模型进行威胁行为检测，得到各种预设威胁类型的威胁检测结果；最后将得到的威胁检测结果发送至显示设备103进行展示。其中，数据采集装置101可以但不限于基于流量的态势感知装置、基于siem(security information and event management，安全信息和事件管理)的态势感知装置和基于产品集成的态势感知装置；安全态势检测系统102包括网络安全态势感知系统、外部安全威胁预处理模块、内部数据安全预处理模块、人工智能应用模块和综合展示模块；显示设备103可以但不限于是投影仪、笔记本电脑、智能手机、平板电脑等。
66.在一个实施例中，如图2所示，提供了一种5g数字电网系统网络安全态势的检测方法，以该方法应用于图1中的安全态势检测系统为例进行说明，包括以下步骤：
67.步骤s201，采集电网系统的内部安全数据和外部安全威胁数据。
68.其中，内部安全数据指的是网络中的安全设备(纵向加密认证装置、正反向隔离装置、硬件防火墙等)，网络设备(路由器、交换机)以及通用主机服务器和工作站状态类、日志类和配置类数据；外部安全威胁数据指的是电网系统的漏洞利用数据、病毒数据和攻击匹配数据等。
69.具体地，安全态势检测系统接收到数据采集指令，并根据数据采集指令，采集电网系统的内部安全数据和外部安全威胁数据。
70.举例说明，安全态势检测系统接收到数据采集指令，并根据指令要求，采集得到电网系统的工作站日志类、配置类数据和攻击匹配数据。
71.步骤s202，对内部安全数据和外部安全威胁数据进行预处理，得到预处理后的内部安全数据和预处理后的外部安全威胁数据。
72.其中，预处理指的是对数据进行数据清洗、数据融合和数据检测等操作。
73.具体地，安全态势检测系统接收到预处理指令，并根据预处理指令，对内部安全数据和外部安全威胁数据进行预处理操作，得到预处理后的内部安全数据和预处理后的外部安全威胁数据。
74.举例说明，安全态势检测系统接收到预处理指令，对内部安全数据和外部安全威胁数据进行数据清洗、数据融合和数据检测等操作，得到新的内部安全数据和外部安全威胁数据。
75.步骤s203，从预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从预处理后的外部安全威胁数据提取出对应的第二关键数据特征。
76.其中，第一关键数据特征和第二关键数据特征是经过特征构建而得到的数据特征，特征构建指的是从原始数据中人工地找出一些具有物理意义的特征，对实际样本数据进行观察处理，思考问题的潜在形式和数据结构，基于数据敏感性来进行构建并将特征数据输入预测算法中来预测可能的威胁。
77.具体地，安全态势检测系统接收到特征提取指令，并根据特征提取指令，从预处理后的内部安全数据中提取出对应的第一关键数据特征，并从预处理后的外部安全威胁数据提取出对应的第二关键数据特征。
78.举例说明，安全态势检测系统接收到特征提取指令，对预处理后的内部安全数据和预处理后的外部安全威胁数据进行属性分割和结合，得到第一关键数据特征和第二关键数据特征。
79.步骤s204，将第一关键数据特征和第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到各种预设威胁类型的威胁检测结果。
80.其中，威胁检测模型指的是通过采用智能分析算法，结合系统网络安全监视的需求而建立检测模型，威胁检测模型可以快速检测各种威胁行为，并对通信流数据进行分析，深度解析、溯源和查证任何可疑或异常行为，辅助高效调查处理网络威胁。
81.具体地，安全态势检测系统接收到威胁检测指令，并根据威胁检测指令，将第一关键数据特征和第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到各种预设威胁类型的威胁检测结果。
82.举例说明，安全态势检测系统接收到非法通信对检测指令，将第一关键数据特征输入异常通信对智能识别模型，从而自动识别网络中的非法通信对。
83.步骤s205，根据各种预设威胁类型的威胁检测结果，确认针对电网系统的网络安全态势检测结果。
84.其中，网络安全态势检测结果指的是由电网系统的各种网络安全指标组合形成的检测结果。
85.具体地，安全态势检测系统接收到结果确认指令，并根据结果确认指令，根据各种预设威胁类型的威胁检测结果，确认针对电网系统的网络安全态势检测结果。
86.举例说明，安全态势检测系统通过从各类威胁检测模型中抽取数据，进行主题整合，从而形成对公司网络安全概括、外部网络安全威胁、内部网络安全脆弱性的全景展示。
87.上述5g数字电网系统网络安全态势的检测方法，通过采集电网系统的内部安全数据和外部安全威胁数据；然后对内部安全数据和外部安全威胁数据进行预处理，得到预处理后的内部安全数据和预处理后的外部安全威胁数据；从预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从预处理后的外部安全威胁数据提取出对应的第二关键数据特征；再将第一关键数据特征和第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到各种预设威胁类型的威胁检测结果；最后根据各种预设威胁类型的威胁检测结果，确认针对电网系统的网络安全态势检测结果。这样，在检测电网系统网络安全态势的时候，将电网系统的全量数据区分为内部安全数据和外部安全威胁数据，利用多种威胁检测模型分别对内部安全数据和外部安全威胁数据进行多角度的检测和分析，从而提高电网系统网络安全态势的检测准确率。
88.在一个实施例中，上述步骤s204，将第一关键数据特征和第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到各种预设威胁类型的威胁检测结果，具体包括如下内容：将第一关键数据特征和第二关键数据特征，分别输入预设的异常通信对检测模型、异常登录检测模型、异常指令识别模型和畸形报文识别模型，得到电网系统的异常通信对检测结果、异常登录检测结果、异常指令识别结果和畸形报文识别结果，均作为威胁检测结果。
89.其中，所述异常通信对检测模型是通过分析样本通信对数据的数据特征而构建的检测模型；所述异常登录检测模型是通过分析样本用户的日常登录行为信息而构建的检测模型；所述异常指令识别模型是通过分析正常用户的操作行为数据而构建的识别模型；所述畸形报文识别模型是通过分析样本数据报文的报文特征而构建的识别模型。
90.具体地，安全态势检测系统接收到威胁检测指令，并根据威胁检测指令，将第一关
键数据特征和第二关键数据特征，分别输入预设的异常通信对检测模型、异常登录检测模型、异常指令识别模型和畸形报文识别模型，得到电网系统的异常通信对检测结果、异常登录检测结果、异常指令识别结果和畸形报文识别结果，均作为威胁检测结果。
91.举例说明，安全态势检测系统接收到异常通信对检测指令和异常指令识别指令，并根据指令要求，将第一关键数据特征和第二关键数据特征，分别输入预设的异常通信对检测模型和异常指令识别模型，检测和识别出电网系统中存在的非法通信对和异常操作指令。
92.本实施例中，通过将所述第一关键数据特征和所述第二关键数据特征，分别输入预设的异常通信对检测模型、异常登录检测模型、异常指令识别模型和畸形报文识别模型，得到电网系统的异常通信对检测结果、异常登录检测结果、异常指令识别结果和畸形报文识别结果。这样，在检测电网系统网络安全态势的时候，利用多种威胁检测模型对数据进行人工智能分析和威胁行为检测，有助于提高电网系统网络安全态势的检测准确率。
93.在一个实施例中，上述步骤s204，将第一关键数据特征和第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到各种预设威胁类型的威胁检测结果，具体还包括如下内容：获取电网系统的网络设备和安全设备的日志数据和资产数据；将资产数据、第一关键数据特征和第二关键数据特征输入资产漏洞识别模型中，通过资产漏洞识别模型对资产数据进行漏洞识别，得到电网系统中存在的漏洞列表信息；根据第一关键数据特征、第二关键数据特征和漏洞列表信息，识别出漏洞所影响的资产列表，作为威胁检测结果。
94.其中，资产数据指的是网络设备和安全设备等的资产信息；日志数据指的是网络设备和安全设备等的日志信息；资产漏洞识别模型指的是，利用指纹识别和漏洞扫描的功能识别出内外网服务和操作系统中存在的漏洞列表信息的检测模型。
95.具体地，安全态势检测系统接收到威胁检测指令，并根据威胁检测指令，获取电网系统的网络设备和安全设备的日志数据和资产数据；将资产数据、第一关键数据特征和第二关键数据特征输入资产漏洞识别模型中，通过资产漏洞识别模型对资产数据进行漏洞识别，得到电网系统中存在的漏洞列表信息；根据第一关键数据特征、第二关键数据特征和漏洞列表信息，识别出漏洞所影响的资产列表，作为威胁检测结果。
96.举例说明，安全态势检测系统接收到威胁检测指令，获取电网系统的网络设备和安全设备的日志数据和资产数据；将资产数据、第一关键数据特征和第二关键数据特征输入资产漏洞识别模型中，通过资产漏洞识别模型对资产数据进行漏洞识别，得到电网系统中存在的漏洞列表信息为列表a，并识别出漏洞所影响的资产列表为列表b。
97.本实施例中，通过获取电网系统的网络设备和安全设备的日志数据和资产数据；将资产数据、第一关键数据特征和第二关键数据特征输入资产漏洞识别模型中，通过资产漏洞识别模型对资产数据进行漏洞识别，得到电网系统中存在的漏洞列表信息；根据第一关键数据特征、第二关键数据特征和漏洞列表信息，识别出漏洞所影响的资产列表，作为威胁检测结果。这样，在检测电网系统网络安全态势的时候，利用资产漏洞识别模型对数据进行人工智能分析和威胁行为检测，有助于提高电网系统网络安全态势的检测准确率。
98.在一个实施例中，上述步骤s204，将第一关键数据特征和第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到各种预设威胁类型的威胁检
测结果，具体还包括如下内容：将日志数据、第一关键数据特征和第二关键数据特征输入攻击路径识别模型中，通过攻击路径识别模型对日志数据进行攻击路径识别，得到针对电网系统的攻击路径和攻击源；提取攻击路径的特征属性；根据第一关键数据特征、第二关键数据特征和特征属性，对攻击路径和攻击源进行分析，得到针对电网系统的攻击分析结果，作为威胁检测结果。
99.其中，攻击路径识别模型指的是，利用深度关联分析技术和数据挖掘技术分析得出攻击路径并提取出该攻击的特征属性的检测模型；攻击源指的是发起网络攻击的对象。
100.具体地，安全态势检测系统接收到威胁检测指令，并根据威胁检测指令，将日志数据、第一关键数据特征和第二关键数据特征输入攻击路径识别模型中，通过攻击路径识别模型对日志数据进行攻击路径识别，得到针对电网系统的攻击路径和攻击源；提取攻击路径的特征属性；根据第一关键数据特征、第二关键数据特征和特征属性，对攻击路径和攻击源进行分析，得到针对电网系统的攻击分析结果，作为威胁检测结果。
101.举例说明，安全态势检测系统接收到威胁检测指令，根据指令要求，将日志数据、第一关键数据特征和第二关键数据特征输入攻击路径识别模型中，通过攻击路径识别模型对日志数据进行攻击路径识别，得到针对电网系统的攻击路径c和攻击源d；对攻击路径c和攻击源d进行分析，得到针对电网系统的攻击分析结果，作为威胁检测结果。
102.本实施例中，通过将日志数据、第一关键数据特征和第二关键数据特征输入攻击路径识别模型中，通过攻击路径识别模型对日志数据进行攻击路径识别，得到针对电网系统的攻击路径和攻击源；提取攻击路径的特征属性；根据第一关键数据特征、第二关键数据特征和特征属性，对攻击路径和攻击源进行分析，得到针对电网系统的攻击分析结果，作为威胁检测结果。这样，在检测电网系统网络安全态势的时候，利用攻击路径识别模型对数据进行人工智能分析和威胁行为检测，有助于提高电网系统网络安全态势的检测准确率。
103.在一个实施例中，如图3所示，上述步骤s201，采集电网系统的内部安全数据和外部安全威胁数据，具体包括如下内容：
104.步骤s301，通过数据采集指令和数据监听指令，获取电网系统的全量数据。
105.步骤s302，通过应用程序接口，将全量数据上报至网络安全态势感知系统；网络安全态势感知系统用于对全量数据进行分类和归并，得到内部安全数据和外部安全威胁数据。
106.步骤s303，接收网络安全态势感知系统返回的内部安全数据和外部安全威胁数据。
107.其中，数据采集指令指的是利用主动探测的数据采集技术的指令，数据监听指令指的是利用被动监听的数据采集技术的指令；应用程序接口指的是api接口(application programming interface,应用程序编程接口)，其中api接口认证有多种方式，如token身份认证、token+签名验证等。
108.具体地，数据采集装置接收到数据采集指令，根据数据采集指令，通过数据采集指令和数据监听指令，获取电网系统的全量数据；通过应用程序接口，将全量数据上报至网络安全态势感知系统；网络安全态势感知系统用于对全量数据进行分类和归并，得到内部安全数据和外部安全威胁数据；接收网络安全态势感知系统返回的内部安全数据和外部安全威胁数据。
109.举例说明，数据采集装置接收到数据采集指令，根据指令要求，通过数据采集指令和数据监听指令，利用主动探测和被动监听的数据采集技术获取电网系统的全量数据；通过api接口，将全量数据上报至网络安全态势感知系统；网络安全态势感知系统用于对全量数据进行分类和归并，得到内部安全数据和外部安全威胁数据。
110.本实施例中，通过数据采集指令和数据监听指令，获取电网系统的全量数据；通过应用程序接口，将全量数据上报至网络安全态势感知系统；网络安全态势感知系统用于对全量数据进行分类和归并，得到内部安全数据和外部安全威胁数据；接收网络安全态势感知系统返回的内部安全数据和外部安全威胁数据。这样，可以准确有效地将多种多样的电网系统数据，区分为内部安全数据和外部安全威胁数据，有助于提高威胁行为检测的准确率。
111.在一个实施例中，上述步骤s202，对内部安全数据和外部安全威胁数据进行预处理，得到预处理后的内部安全数据和预处理后的外部安全威胁数据，具体包括如下内容：对内部安全数据和外部安全威胁数进行数据清洗、数据融合和数据检测，得到预处理后的内部安全数据和预处理后的外部安全威胁数据。
112.其中，数据清洗是由于采集的数据多含有噪声，或者有数据缺失的问题，因此需要对这些数据进行清洗，去掉噪声影响；数据融合是由于采集数据来源于网络中的安全设备、网络设备(如路由器、交换机)等。因此需要将这些不同来源的数据进行融合，提高智能分析的效率。
113.具体地，安全态势检测系统接收到预处理指令，并根据预处理指令，对内部安全数据和外部安全威胁数进行数据清洗、数据融合和数据检测，得到预处理后的内部安全数据和预处理后的外部安全威胁数据。
114.本实施例中，通过对内部安全数据和外部安全威胁数进行数据清洗、数据融合和数据检测，得到预处理后的内部安全数据和预处理后的外部安全威胁数据。这样，可以有效地去掉数据中的噪声影响，提高智能分析的效率，并有助于提高威胁行为检测的准确率。
115.在一个实施例中，如图4所示，提供了另一种5g数字电网系统网络安全态势的检测方法，以该方法应用于图1中的安全态势检测系统为例进行说明，包括以下步骤：
116.步骤s401，通过数据采集指令和数据监听指令，获取电网系统的全量数据；通过应用程序接口，将全量数据上报至网络安全态势感知系统；网络安全态势感知系统用于对全量数据进行分类和归并，得到内部安全数据和外部安全威胁数据。
117.步骤s402，接收网络安全态势感知系统返回的所述内部安全数据和外部安全威胁数据；对内部安全数据和外部安全威胁数进行数据清洗、数据融合和数据检测，得到预处理后的内部安全数据和预处理后的外部安全威胁数据。
118.步骤s403，从预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从预处理后的外部安全威胁数据提取出对应的第二关键数据特征。
119.步骤s404，将第一关键数据特征和第二关键数据特征，分别输入预设的异常通信对检测模型、异常登录检测模型、异常指令识别模型和畸形报文识别模型，得到电网系统的异常通信对检测结果、异常登录检测结果、异常指令识别结果和畸形报文识别结果，均作为威胁检测结果。
120.步骤s405，获取电网系统的网络设备和安全设备的日志数据和资产数据；将日志
数据、资产数据、第一关键数据特征和第二关键数据特征输入资产漏洞识别模型中，通过资产漏洞识别模型对日志数据和资产数据进行漏洞识别，得到电网系统中存在的漏洞列表信息；根据第一关键数据特征、第二关键数据特征和漏洞列表信息，识别出漏洞所影响的资产列表，作为威胁检测结果。
121.步骤s406，将日志数据、第一关键数据特征和第二关键数据特征输入攻击路径识别模型中，通过攻击路径识别模型对日志数据进行攻击路径识别，得到针对电网系统的攻击路径和攻击源；提取攻击路径的特征属性；根据第一关键数据特征、第二关键数据特征和特征属性，对攻击路径和攻击源进行分析，得到针对电网系统的攻击分析结果，作为威胁检测结果。
122.步骤s407，根据各种预设威胁类型的威胁检测结果，确认针对电网系统的网络安全态势检测结果。
123.上述5g数字电网系统网络安全态势的检测方法，通过数据采集指令和数据监听指令，获取电网系统的全量数据；并对全量数据进行分类和归并，得到内部安全数据和外部安全威胁数据。通过接收电网系统的内部安全数据和外部安全威胁数据；然后对所述内部安全数据和所述外部安全威胁数据进行数据清洗、数据融合和数据检测，得到预处理后的内部安全数据和预处理后的外部安全威胁数据；从所述预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从预处理后的外部安全威胁数据提取出对应的第二关键数据特征；再将第一关键数据特征和第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到各种预设威胁类型的威胁检测结果；最后根据各种预设威胁类型的威胁检测结果，确认针对电网系统的网络安全态势检测结果。这样，在检测电网系统网络安全态势的时候，将电网系统的全量数据区分为内部安全数据和外部安全威胁数据，利用多种威胁检测模型分别对内部安全数据和外部安全威胁数据进行多角度的检测和分析，从而提高电网系统网络安全态势的检测准确率。
124.为了更清晰阐明本技术实施例提供的访问请求处理方法，以下以一个具体的实施例对该访问请求处理方法进行具体说明。在一个实施例中，如图5所示，本技术还提供了又一种访问请求处理方法，具体包括以下步骤：
125.步骤1：数据采集装置采用了主动探测和被动采集监听等数据采集关键技术，实现了网络、安全、认证等设备的全量数据采集；通过api认证方式，将5g电力切片的日志、告警等重要信息上报至网络安全态势感知系统，态势感知系统对安全威胁情报进行归并、融合等预处理操作，将全量数据区分为内部安全数据和外部安全威胁数据(如图6所示，展示了系统数据对接情况的流程示意图)。数据源层作为系统智能分析的数据支撑，包括安全威胁情报源和内部安全数据两部分，分别作为外安全威胁预处理模块与内部安全数据预处理模块的输入。
126.步骤2：数据预处理层包括外部安全威胁预处理模块和内部安全数据预处理模块两大部分，其中外部安全威胁预处理模块负责对外部安全威胁数据进行采集、降噪、融合等预处理操作形成可供上层模块使用的统一安全情报，并支持对可疑文件在线上报功能(如图7所示为可疑文件在线上报分析模块的数据处理架构的示意图)，且通过防病毒沙箱分析，形成内部威胁情报供上层模块使用；内部安全数据预处理模块对来自syslog日志、实时监控数据等内部安全数据进行采集、清洗、融合等预处理操作，形成标准化、结构化的数据
供上层模块使用。经过预处理后的数据被存入智能分析层，供后续人工智能分析使用。
127.步骤3：对数据进行特征提取、特征构建等过程后将数据输入到人工智能应用模块中，人工智能应用模块采用智能分析算法，结合系统网络安全监视的需求，建立威胁检测模型，快速检测各种威胁行为，并对通信流数据进行分析，深度解析、溯源和查证任何可疑或异常行为，辅助高效调查处理网络威胁。对数据分别进行通信行为智能识别、畸形报文智能识别、用户异常行为智能识别和异常指令智能发现等人工智能检测，最终形成智能评估结果(如图8所示为人工智能应用模块数据处理的流程示意图)。步骤4：展示层包括全景网络安全威胁综合展示模块，基于人工智能分析的结果，实现对网络攻击行为等的可视化展示；需要展示的信息主要存储在服务中，展示主要由终端登录到管理页面查看，也可以投屏到大屏显示器。
128.上述5g数字电网系统网络安全态势的检测方法，通过数据采集指令和数据监听指令，获取电网系统的全量数据；并对全量数据进行分类和归并，得到内部安全数据和外部安全威胁数据。通过接收电网系统的内部安全数据和外部安全威胁数据；然后对所述内部安全数据和所述外部安全威胁数据进行数据清洗、数据融合和数据检测，得到预处理后的内部安全数据和预处理后的外部安全威胁数据；从所述预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从预处理后的外部安全威胁数据提取出对应的第二关键数据特征；再将第一关键数据特征和第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到各种预设威胁类型的威胁检测结果；最后根据各种预设威胁类型的威胁检测结果，确认针对电网系统的网络安全态势检测结果。这样，在检测电网系统网络安全态势的时候，将电网系统的全量数据区分为内部安全数据和外部安全威胁数据，利用多种威胁检测模型分别对内部安全数据和外部安全威胁数据进行多角度的检测和分析，从而提高电网系统网络安全态势的检测准确率。
129.应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
130.基于同样的发明构思，本技术实施例还提供了一种用于实现上述所涉及的5g数字电网系统网络安全态势的检测方法的电网系统网络安全态势的检测装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个电网系统网络安全态势的检测装置实施例中的具体限定可以参见上文中对于5g数字电网系统网络安全态势的检测方法的限定，在此不再赘述。
131.在一个实施例中，如图9所示，提供了一种5g数字电网系统网络安全态势的检测装置，包括：数据采集模块901、预处理模块902、特征提取模块903、威胁检测模块904和结果确认模块905，其中：
132.数据采集模块901，用于采集电网系统的内部安全数据和外部安全威胁数据。
133.预处理模块902，用于对内部安全数据和外部安全威胁数据进行预处理，得到预处
理后的内部安全数据和预处理后的外部安全威胁数据。
134.特征提取模块903，用于从预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从预处理后的外部安全威胁数据提取出对应的第二关键数据特征。
135.威胁检测模块904，用于将第一关键数据特征和第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到各种预设威胁类型的威胁检测结果。
136.结果确认模块905，用于根据各种预设威胁类型的威胁检测结果，确认针对电网系统的网络安全态势检测结果。
137.在一个实施例中，威胁检测模块904，还用于将第一关键数据特征和第二关键数据特征，分别输入预设的异常通信对检测模型、异常登录检测模型、异常指令识别模型和畸形报文识别模型，得到电网系统的异常通信对检测结果、异常登录检测结果、异常指令识别结果和畸形报文识别结果，均作为威胁检测结果。
138.在一个实施例中，威胁检测模块904，还用于获取电网系统的网络设备和安全设备的日志数据和资产数据；将资产数据、第一关键数据特征和第二关键数据特征输入资产漏洞识别模型中，通过资产漏洞识别模型对资产数据进行漏洞识别，得到电网系统中存在的漏洞列表信息；根据第一关键数据特征、第二关键数据特征和漏洞列表信息，识别出漏洞所影响的资产列表，作为威胁检测结果。
139.在一个实施例中，威胁检测模块904，还用于将日志数据、第一关键数据特征和第二关键数据特征输入攻击路径识别模型中，通过攻击路径识别模型对日志数据进行攻击路径识别，得到针对电网系统的攻击路径和攻击源；提取攻击路径的特征属性；根据第一关键数据特征、第二关键数据特征和特征属性，对攻击路径和攻击源进行分析，得到针对电网系统的攻击分析结果，作为威胁检测结果。
140.在一个实施例中，数据采集模块901，还用于通过数据采集指令和数据监听指令，获取电网系统的全量数据；通过应用程序接口，将全量数据上报至网络安全态势感知系统；网络安全态势感知系统用于对全量数据进行分类和归并，得到内部安全数据和外部安全威胁数据；接收网络安全态势感知系统返回的内部安全数据和外部安全威胁数据。
141.在一个实施例中，预处理模块902，还用于对内部安全数据和外部安全威胁数进行数据清洗、数据融合和数据检测，得到预处理后的内部安全数据和预处理后的外部安全威胁数据。
142.上述5g数字电网系统网络安全态势的检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
143.在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图10所示。该计算机设备包括处理器、存储器、输入/输出接口、通信接口、显示单元和输入装置。其中，处理器、存储器和输入/输出接口通过系统总线连接，通信接口、显示单元和输入装置通过输入/输出接口连接到系统总线。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的输入/输出接口用于处理器与外部设备之
间交换信息。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过wifi、移动蜂窝网络、nfc(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种5g数字电网系统网络安全态势的检测方法。该计算机设备的显示单元用于形成视觉可见的画面，可以是显示屏、投影装置或虚拟现实成像装置。显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
144.本领域技术人员可以理解，图10中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
145.在一个实施例中，还提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各方法实施例中的步骤。
146.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
147.在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
148.需要说明的是，本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
149.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(reram)、磁变存储器(magnetoresistive random access memory，mram)、铁电存储器(ferroelectric random access memory，fram)、相变存储器(phase change memory，pcm)、石墨烯存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器等。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。
150.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
151.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并
不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。