一种对潜在安全事件的预测方法、系统、设备及介质与流程

本申请涉及数据安全，特别是涉及一种对潜在安全事件的预测方法、系统、设备及介质。

背景技术：

1、随着日益壮大的互联网应用到人们的工作生活当中，在体会到便利的同时，工控安全事件报告数量呈逐年上升趋势，尤其是关乎国家命脉的能源安全。目前需要国家级能源工业互联网平台安全态势感知系统，对能源工业互联网实现全行业、全天候安全态势感知分析。对于安全运营，建立预警、预测和预报机制，基于全流量网络分析技术打造的工业控制网络安全运营指挥中心，能够实现工业控制网络安全态势预警网络威胁关联分析、网络事件响应处置的一体化安全运营平台。

2、在安全漏洞复盘进而提早发现并进行预防是重中之重，其中对于工控安全能源场站受到威胁攻击的提前预警是关键所在。但是目前针对工控安全能源场站安全事件预测还在处于探索阶段，在预测预警过程中还经常出现预警不及时，不准确的问题，因此尽可能提高预警的准确性和时效性是急需解决的问题。

技术实现思路

1、本申请提供了一种对潜在安全事件的预测方法、系统、设备及介质，利用时序模型算法预测了工控安全环境下各个场站所受安全事件攻击的情况，为能源安全提供了预警保障作用，尽可能提高预警的准确性和时效性。

2、第一方面，本申请提供了一种对潜在安全事件的预测方法，该方法包括：获取各个场站的流量日志数据；基于获取的所述流量日志数据进行预处理，得到格式统一的多元组数据；其中，所述多元组数据至少包括时间，场站名称，目的ip，安全事件类型以及安全事件攻击次数；基于所述多元组数据进行时序分析，判断每个所述场站出现的所述安全事件攻击次数在时间序列上是否平稳；若所述场站的所述安全事件攻击次数与时间呈平稳状态，预测所述场站在未来预设周期内出现的所述安全事件攻击次数，并保存预测结果；基于所述预测结果，形成安全报告并发送至对应的所述场站。

3、可选的是，所述基于获取的所述流量日志数据进行预处理，得到格式统一的多元组数据，包括：对所述流量日志数据中的时间按天进行处理，格式设置为yyyy-mm-dd；对所述流量日志数据中的场站名称、目的ip以及安全事件类型的格式统一设置为字符串；对所述流量日志数据中的所述安全事件攻击次数的格式统一设置为数字。

4、可选的是，所述基于所述多元组数据进行时序分析，确定每个所述场站出现的所述安全事件攻击次数在时间序列上是否平稳，包括：基于预处理后得到的所述多元组数据，确定每个所述场站在对应所述目的ip下的所述安全事件类型出现所述安全事件攻击次数的均值和方差是否随时间发生变化；若均值和方差不随时间发生变化，则表示所述场站在对应时间内获取的所述多元组数据出现的所述安全事件攻击次数与时间呈平稳状态；若均值和方差随时间发生变化，则表示所述场站在对应时间内出现的所述安全事件攻击次数与时间呈非平稳状态。

5、可选的是，若所述场站在预设周期内出现的所述安全事件攻击次数与时间呈非平稳状态则对其采用差分方式进行平稳化处理。

6、可选的是，所述在所述场站的所述安全事件攻击次数与时间呈平稳状态后，预测所述场站在未来预设周期内出现的所述安全事件攻击次数，并保存预测结果，包括：基于所述场站的所述安全事件攻击次数与时间呈平稳状态关系，根据armima算法预测出未来各个所述场站在对应目的ip下的所述安全事件类型在预设周期内出现的所述安全事件攻击次数，获得预测结果；将所述预测结果存储至数据库中。

7、可选的是，所述基于所述预测结果，形成安全报告并发送至对应所述场站，包括：基于所述预测结果，统计出各个所述场站在对应所述目的ip下出现触发所述安全事件攻击次数前十位的所述安全事件类型，并形成安全报告；其中，所述安全报告记录有相应的修复建议措施；将所述安全报告发送至对应的所述场站。

8、可选的是，所述安全报告中记录的修复建议措施包括：对数据库进行监控、对用户提交的数据信息进行多次筛选过滤以及对用户的数据内容进行加密处理。

9、第二方面，本申请提供了一种对潜在安全事件的预测系统，该系统包括：获取模块，用于获取各个场站的流量日志数据；预处理模块，用于基于获取的所述流量日志数据进行预处理，得到格式统一的多元组数据，其中，所述流量日志数据至少包括时间，场站名称，目的ip，安全事件类型以及安全事件攻击次数；处理模块，用于基于所述多元组数据进行时序分析，判断每个所述场站出现的所述安全事件攻击次数在时间序列上是否平稳；预测模块，用于在所述场站的所述安全事件攻击次数与时间呈平稳状态后，预测所述场站在未来预设周期内出现的所述安全事件攻击次数，并保存预测结果；发送模块，用于基于所述预测结果，形成安全报告并发送至对应的所述场站。

10、第三方面，本申请还提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现上述所述方法的步骤。

11、第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述所述方法的步骤。

12、本申请至少具有以下优点：

13、根据本申请实施例所提供的技术内容，通过获取各个场站的流量日志数据，对流量日志数据进行预处理，统一数据格式，得到多元组数据，便于后续数据分析；基于多元组数据进行时序分析，分析一周之内每个场站出现的安全事件攻击次数是否在时间序列上平稳，若呈平稳状态，则根据多元组数据来预测未来各个场站在对应目的ip下的安全事件类型在预设周期内出现的安全事件攻击次数，并将预测结果以及安全报告发送至对应场站，以使得场站可针对未来一周大概率出现的安全事件类型提前进行预警并提前准备修复措施，提高预警时效与准确性。

技术特征：

1.一种对潜在安全事件的预测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的对潜在安全事件的预测方法，其特征在于，所述基于获取的所述流量日志数据进行预处理，得到格式统一的多元组数据，包括：

3.根据权利要求2所述的对潜在安全事件的预测方法，其特征在于，所述基于所述多元组数据进行时序分析，确定每个所述场站出现的所述安全事件攻击次数在时间序列上是否平稳，包括：

4.根据权利要求3所述的对潜在安全事件的预测方法，其特征在于，若所述场站在预设周期内出现的所述安全事件攻击次数与时间呈非平稳状态，则对其采用差分方式进行平稳化处理。

5.根据权利要求3所述的对潜在安全事件的预测方法，其特征在于，所述在所述场站的所述安全事件攻击次数与时间呈平稳状态后，预测所述场站在未来预设周期内出现的所述安全事件攻击次数，并保存预测结果，包括：

6.根据权利要求5所述的对潜在安全事件的预测方法，其特征在于，所述基于所述预测结果，形成安全报告并发送至对应所述场站，包括：基于所述预测结果，统计出各个所述场站在对应所述目的ip下出现触发所述安全事件攻击次数前十位的所述安全事件类型，并形成安全报告；其中，所述安全报告记录有相应的修复建议措施；

7.根据权利要求6所述的对潜在安全事件的预测方法，其特征在于，所述安全报告中记录的修复建议措施包括：对数据库进行监控、对用户提交的数据信息进行多次筛选过滤以及对用户的数据内容进行加密处理。

8.一种对潜在安全事件的预测系统，其特征在于，所述系统包括：

9.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。

技术总结
本申请涉及一种对潜在安全事件的预测方法、系统、设备及介质，包括获取各个场站的流量日志数据；基于获取的所述流量日志数据进行预处理，得到格式统一的多元组数据；基于所述多元组数据进行时序分析，判断每个所述场站出现的所述安全事件攻击次数在时间序列上是否平稳；若所述场站的所述安全事件攻击次数与时间呈平稳状态，预测所述场站在未来预设周期内出现的所述安全事件攻击次数，并保存预测结果；基于所述预测结果，形成安全报告并发送至对应的所述场站，通过分析获取的多元组数据，可预测针对未来预设周期内出现的安全事件类型提前进行预警并提前准备修复措施，提高预警时效与准确性。

技术研发人员：韩硕,戚红建,李宏亮,张玺,郭炳峰,黄石海,云淑林
受保护的技术使用者：中能融合智慧科技有限公司
技术研发日：
技术公布日：2024/1/13