技术特征:
1.一种基于多级联动方式的网络安全态势感知方法,其特征在于,包括:采集电厂i区和ii区的流量和安全日志;对所采集的数据进行预处理并提取关键特征要素;基于所提取的关键特征要素,通过基线学习构建基线流量与日志模型,利用安全检测模型对所述基线流量与日志模型中异常信息进行实时分析与检测;当检测到异常信息时,利用安全专家知识对所述异常信息进行安全溯源分析,得到安全问题。2.如权利要求1所述的基于多级联动方式的网络安全态势感知方法,其特征在于:利用厂站级态势感知设备采集所述电厂i区和ii区的流量和安全日志。3.如权利要求1或2所述的基于多级联动方式的网络安全态势感知方法,其特征在于:对所采集的数据进行预处理并提取关键特征要素包括,对所采集的数据进行数据清洗、数据集成、数据变换和数据归约;利用主成分分析策略提取所述关键特征要素。4.如权利要求3所述的基于多级联动方式的网络安全态势感知方法,其特征在于:通过基线学习构建所述基线流量与日志模型包括,会话集合:f1={目的端口 目的ip地址 源ip地址 传输协议 协议 上行包数量 下行包数量 上行包大小 下行包大小 通信开始时间 通信时长};协议行为集合:f2={目的端口 目的ip地址 源ip地址 传输协议 协议 上行包数量 下行包数量 上行包大小 下行包大小 通信开始时间 通信时长 协议指令 协议指令参数}。5.如权利要求4所述的基于多级联动方式的网络安全态势感知方法,其特征在于:还包括,基于所述会话集合和协议行为集合构建所述基线流量与日志模型:其中,e(y|x=x)表示行为匹配度输出值,y表示集合行为,x表示输入行为,τ1表示抽取次数,τ2表示行为概率。6.如权利要求5所述的基于多级联动方式的网络安全态势感知方法,其特征在于:根据所述行为匹配度输出值判断是否存在异常流量或行为,包括,当0≤e(y|x=x)<0.83时,存在异常流量或行为;当0.83≤e(y|x=x)≤1时,流量或行为正常。7.如权利要求1、5、6任一所述的基于多级联动方式的网络安全态势感知方法,其特征在于:利用所述安全检测模型对所述基线流量与日志模型中异常信息进行实时分析与检测包括,根据历史信息建立异常信息特征库;采用深度学习网络构建所述安全检测模型,并进行数据训练,得到完善的安全检测模型;
将所述异常信息与所述异常信息特征库进行匹配,分析检测得到最终的安全漏洞。8.如权利要求7所述的基于多级联动方式的网络安全态势感知方法,其特征在于:所述异常信息包括异常流量和日志。9.如权利要求7所述的基于多级联动方式的网络安全态势感知方法,其特征在于:所述安全检测模型的包括,其中,[a,b]表示检测区间,x
k
表示子区间为k值时流量值,x
k
‑1表示子区间为k
‑
1值时流量值,δx
k
=x
k
‑
x
k
‑1表示子区间k的长度,n表示迭代次数。
技术总结
本发明公开了一种基于多级联动方式的网络安全态势感知方法,包括:采集电厂I区和II区的流量和安全日志;对所采集的数据进行预处理并提取关键特征要素;基于所提取的关键特征要素,通过基线学习构建基线流量与日志模型,利用安全检测模型对所述基线流量与日志模型中异常信息进行实时分析与检测;当检测到异常信息时,利用安全专家知识对所述异常信息进行安全溯源分析,得到安全问题。本发明能够提前对存在的安全隐患进行实时地分析及预警,从而能够及时不安全的网络问题进行防护。够及时不安全的网络问题进行防护。够及时不安全的网络问题进行防护。
技术研发人员:左天才 高英 曾体健 谢志奇 宋尔进 李林 杜泽新
受保护的技术使用者:贵州乌江水电开发有限责任公司
技术研发日:2021.08.27
技术公布日:2021/12/2
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
