[发明专利]一种适用于电力系统的网络安全态势感知系统

权利要求书

1.一种适用于电力系统的网络安全态势感知系统，其特征在于：包括服务器，所述服务器通过用户行为数据采集模块采集用户历史行为数据，并利用行为数据库构建模块基于用户历史行为数据构建行为数据库，所述服务器通过数据库关联分析模块对行为数据库进行关联分析，并利用行为特征集合构建模块基于关联分析结果，构建基于用户身份的行为特征集合，所述服务器通过行为特征库构建模块基于行为特征集合，构建基于角色授权的行为特征库，所述服务器通过用户行为识别模块基于行为数据库、行为特征库对用户行为进行识别判断；

所述服务器通过日志文件获取模块获取所有网络安全日志文件，并利用日志文件分区存储模块对网络安全日志文件进行分区存储，所述服务器通过日志文件过滤模块对分区存储的网络安全日志文件进行安全过滤，并利用日志文件分析模块对过滤得到的网络安全日志文件进行日志分析，所述服务器通过风险等级判定模块基于对用户行为的识别判断结果、日志分析结果判定当前网络安全风险等级。

2.根据权利要求1所述的适用于电力系统的网络安全态势感知系统，其特征在于：所述行为特征集合构建模块对关联分析结果进行抽象处理，提取用户日常行为的特征值，构建基于用户身份的行为特征集合。

3.根据权利要求2所述的适用于电力系统的网络安全态势感知系统，其特征在于：所述行为特征库构建模块结合用户角色的授权信息，对行为特征集合进行聚类分析，构建基于角色授权的行为特征库。

4.根据权利要求3所述的适用于电力系统的网络安全态势感知系统，其特征在于：所述行为特征库构建模块采用K-means算法或SVM算法对行为特征集合进行聚类分析。

5.根据权利要求3所述的适用于电力系统的网络安全态势感知系统，其特征在于：所述用户行为识别模块对用户行为与行为数据库进行对比，若未在行为数据库中发现类似用户行为时，则判断用户行为为高风险行为；

所述用户行为识别模块基于行为特征库判定用户行为对应的角色授权，若角色授权超出实际用户角色的授权信息，则判断用户行为为高风险行为。

6.根据权利要求5所述的适用于电力系统的网络安全态势感知系统，其特征在于：所述用户行为识别模块基于判定用户行为对应的角色授权对用户行为进行离群点分析，判断用户行为是否为高风险行为。

7.根据权利要求1所述的适用于电力系统的网络安全态势感知系统，其特征在于：所述日志文件分区存储模块通过采用Flume-Interceptor拦截器对获取的网络安全日志文件进行来源区分，并将区分来源的网络安全日志文件发送至不同的kafka数据缓存队列进行分区存储。

8.根据权利要求7所述的适用于电力系统的网络安全态势感知系统，其特征在于：所述日志文件过滤模块通过系统白名单对分区存储的网络安全日志文件进行安全过滤，并将符合安全过滤要求的网络安全日志文件发送至日志文件分析模块。

9.根据权利要求8所述的适用于电力系统的网络安全态势感知系统，其特征在于：所述日志文件分析模块基于用户自定义规则解析网络安全日志文件，根据解析结果预测攻击者的攻击路线，并构建日志文件分析模型对网络安全日志文件进行进一步日志分析。

10.根据权利要求9所述的适用于电力系统的网络安全态势感知系统，其特征在于：所述日志文件分析模型包括用于对网络安全日志文件进行提取并进行参数解析的抽取器，用于利用抽取器得到的解析参数进行模型训练的训练器，用于对日志文件分析模型进行持续迭代模型训练的重训练器，以及用于判定是否满足模型训练终止条件的检测器。