[发明专利]一种适用于电力系统的网络安全态势感知系统

说明书

本发明涉及网络安全监测，具体涉及一种适用于电力系统的网络安全态势感知系统，包括服务器，服务器通过用户行为数据采集模块采集用户历史行为数据，并利用行为数据库构建模块基于用户历史行为数据构建行为数据库，服务器通过数据库关联分析模块对行为数据库进行关联分析，并利用行为特征集合构建模块基于关联分析结果，构建基于用户身份的行为特征集合，服务器通过行为特征库构建模块基于行为特征集合，构建基于角色授权的行为特征库；本发明提供的技术方案能够有效克服现有技术所存在的无法对多维用户行为数据进行融合关联分析、缺乏主动感知与被动防御相结合的网络安全感知体系的缺陷。

技术领域

本发明涉及网络安全监测，具体涉及一种适用于电力系统的网络安全态势感知系统。

背景技术

随着电力系统信息化的日趋发展，其运行效率也在不断提高，在给用户带来便利的同时也增加了电力系统的安全隐患。病毒的出现让人们开始意识到信息系统和物理系统耦合存在的风险，同时CPPS 存在的安全问题，引起了国内外学者的广泛关注。

此外，随着电力系统复杂程度的逐渐加深，数据融合和安全态势感知逐渐成为电力系统安全领域的热点研究问题。因此，借助数据分析技术处理电力系统海量的异构日志数据成为了可行方案。在处理海量数据时，分布式计算比传统单一计算机具有更加明显的优势，例如通过Hadoop可实现多台计算机同时完成数据的分析和挖掘工作。然而，目前的日志分析策略依旧无法较好地应用于电力信息系统中，作为电力信息系统风险等级确定和预警的重要依据，安全态势感知同样是系统安全领域的重要一环。

目前，电力信息系统的安全防御主要存在如下缺陷：第一，传统安全防御都只能抵御来自某个方面的安全威胁，形成了一个个“安全防御孤岛”，不能对海量多维信息数据进行融合关联分析，无法产生协同效应，不能使这些数据成为上层安全决策的有效依据；第二，传统的安全防御大多是通过分析某些安全设备的日志，对已经发生的攻击行为进行分析和监测，基本都是被动防御的思路，缺乏主动感知与联动预警的能力，当检测到网络攻击事件后再采取相应措施，往往为时已晚，攻击已经造成了不可挽回的损失。

发明内容

(一)解决的技术问题

针对现有技术所存在的上述缺点，本发明提供了一种适用于电力系统的网络安全态势感知系统，能够有效克服现有技术所存在的无法对多维用户行为数据进行融合关联分析、缺乏主动感知与被动防御相结合的网络安全感知体系的缺陷。

(二)技术方案

为实现以上目的，本发明通过以下技术方案予以实现：

一种适用于电力系统的网络安全态势感知系统，包括服务器，所述服务器通过用户行为数据采集模块采集用户历史行为数据，并利用行为数据库构建模块基于用户历史行为数据构建行为数据库，所述服务器通过数据库关联分析模块对行为数据库进行关联分析，并利用行为特征集合构建模块基于关联分析结果，构建基于用户身份的行为特征集合，所述服务器通过行为特征库构建模块基于行为特征集合，构建基于角色授权的行为特征库，所述服务器通过用户行为识别模块基于行为数据库、行为特征库对用户行为进行识别判断；

所述服务器通过日志文件获取模块获取所有网络安全日志文件，并利用日志文件分区存储模块对网络安全日志文件进行分区存储，所述服务器通过日志文件过滤模块对分区存储的网络安全日志文件进行安全过滤，并利用日志文件分析模块对过滤得到的网络安全日志文件进行日志分析，所述服务器通过风险等级判定模块基于对用户行为的识别判断结果、日志分析结果判定当前网络安全风险等级。

优选地，所述行为特征集合构建模块对关联分析结果进行抽象处理，提取用户日常行为的特征值，构建基于用户身份的行为特征集合。

优选地，所述行为特征库构建模块结合用户角色的授权信息，对行为特征集合进行聚类分析，构建基于角色授权的行为特征库。

优选地，所述行为特征库构建模块采用K-means算法或SVM算法对行为特征集合进行聚类分析。