[发明专利]一种基于多级联动方式的网络安全态势感知方法

说明书

本发明公开了一种基于多级联动方式的网络安全态势感知方法，包括：采集电厂I区和II区的流量和安全日志；对所采集的数据进行预处理并提取关键特征要素；基于所提取的关键特征要素，通过基线学习构建基线流量与日志模型，利用安全检测模型对所述基线流量与日志模型中异常信息进行实时分析与检测；当检测到异常信息时，利用安全专家知识对所述异常信息进行安全溯源分析，得到安全问题。本发明能够提前对存在的安全隐患进行实时地分析及预警，从而能够及时不安全的网络问题进行防护。

技术领域

本发明涉及网络安全态势感知的技术领域，尤其涉及一种基于多级联动方式的网络安全态势感知方法。

背景技术

电力集团包含多个发电厂，网络安全环境复杂，网络安全设备种类多，日志类型较多，缺乏统一信息收集汇总分析的平台及态势感知平台，对全局安全问题进行总体监管分析。

电厂与集团之间的通信能力有限，无法将全流量上送到区域级，利用集团侧的大计算集群进行安全建模分析，而电厂侧缺乏大计算集群及安全建模能力导致大量的安全数据没有被利用上。

网络安全检测能力需要实时更新，因此如何才能将实时更新的检测能力下放到各个电厂并形成统一的管理，区域级的安全专家如何有效的对电厂的出现的安全问题进行指导与解决，对存在的安全隐患进行分析并进行预警是亟待解决的问题。

发明内容

本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

鉴于上述现有存在的问题，提出了本发明。

因此，本发明解决的技术问题是：现有技术无法对存在的安全隐患进行实时地分析及预警，从而导致网络安全防护不及时。

为解决上述技术问题，本发明提供如下技术方案：采集电厂I区和II区的流量和安全日志；对所采集的数据进行预处理并提取关键特征要素；基于所提取的关键特征要素，通过基线学习构建基线流量与日志模型，利用安全检测模型对所述基线流量与日志模型中异常信息进行实时分析与检测；当检测到异常信息时，利用安全专家知识对所述异常信息进行安全溯源分析，得到安全问题。

作为本发明所述的基于多级联动方式的网络安全态势感知方法的一种优选方案，其中：利用厂站级态势感知设备采集所述电厂I区和II区的流量和安全日志。

作为本发明所述的基于多级联动方式的网络安全态势感知方法的一种优选方案，其中：对所采集的数据进行预处理并提取关键特征要素包括，对所采集的数据进行数据清洗、数据集成、数据变换和数据归约；利用主成分分析策略提取所述关键特征要素。

作为本发明所述的基于多级联动方式的网络安全态势感知方法的一种优选方案，其中：通过基线学习构建所述基线流量与日志模型包括，会话集合：f₁＝{目的端口目的IP地址源IP地址传输协议协议上行包数量下行包数量上行包大小下行包大小通信开始时间通信时长}；协议行为集合：f₂＝{目的端口目的IP地址源IP地址传输协议协议上行包数量下行包数量上行包大小下行包大小通信开始时间通信时长协议指令协议指令参数}。

作为本发明所述的基于多级联动方式的网络安全态势感知方法的一种优选方案，其中：还包括，基于所述会话集合和协议行为集合构建所述基线流量与日志模型：

其中，E(Y|X＝x)表示行为匹配度输出值，Y表示集合行为，X表示输入行为，τ₁表示抽取次数，τ₂表示行为概率。