电力监控系统网络安全策略编排及处置方法和系统与流程

1.本发明涉及电力监控系统网络安全策略编排及处置方法和系统，属于网络安全控制领域。


背景技术：

2.对于电力监控系统而言，信息化资产数量日益增多、系统的关联性和复杂度不断增大，当前电力监控系统虽已具备一定的主动防御、纵深防御、韧性防御的能力，但在体系化建设转型方面仍面临挑战：网络安全事件告警过多，有效告警被淹没，无法对安全运维及研判人员起到有效的帮助；缺乏专业的安全攻防、分析能力，处置人员在安全分析研判上的经验难固化；安全响应、处置时间过长，效率低下；缺少规范化响应、处置流程；安全运营及处置效率缺乏可量化的指标；缺少全盘的设计与规划，设备与平台间联动关系有限等。


技术实现要素：

3.本发明针对目前电力监控系统缺少规范化响应、处置流程，提供电力监控系统网络安全策略编排及处置方法和系统。
4.为实现上述目的，本发明采用以下技术方案。
5.第一方面，本发明提供电力监控系统网络安全策略编排及处置方法，包括：监测电力监控系统内部设备的安全事件；
6.匹配安全事件与预设策略库，匹配成功则从预设策略库中获取安全事件对应的安全处置策略，匹配不成功则基于遗传算法计算安全事件对应的策略近似解，并根据策略近似解采用可视化编排得到安全事件对应的安全处置策略；
7.基于获得的安全处置策略对电力监控系统内部设备进行安全处置。
8.进一步地，所述电力监控系统内部设备包括服务器、工作站设备、数据库设备、网络设备和安全防护设备中的至少一种。
9.进一步地，根据策略近似解采用可视化编排得到安全事件对应的安全处置策略，包括：
10.通过可视化界面对安全事件的策略近似解进行人工决策编排，并将人工决策编排得到的编排结果作为安全事件对应的安全处置策略，以及将人工决策编排得到的编排结果存入预设策略库。
11.进一步地，基于遗传算法计算安全事件对应的策略近似解，包括：
12.根据安全事件的事件内容字段匹配预设策略库内已有的安全处置策略，根据匹配的相似度大小排序设置各已有安全处置策略对应的单个基因染色体个体的基因等级，并设置各单个基因染色体个体的权重，所有的基因染色体个体权重之和为1；
13.根据基因染色体个体的权重和基因等级确定基因染色体个体的适应度函数，利用所述适应度函数确定基因染色体个体的适应度；
14.根据基因染色体个体的适应度对各基因染色体个体进行选择操作，以及对各基因
染色体个体进行杂交和变异操作，进化到下一代；对下一代循环进行选择、杂交和变异操作至满足终止条件则停止进化，输出最优基因染色体个体，并将最优基因染色体个体确定为该安全事件对应的策略近似解。
15.再进一步地，所述适应度函数表示如下：
[0016][0017]
其中为第i个基因染色体个体的适应度，nk为第k代种群数量，k＝1,
…
,km，km为最大迭代次数，为第k代第i个基因染色体个体；wi为第i个基因染色体个体的权重，ci为第i个基因染色体个体的基因等级。
[0018]
基于以上技术方案，在其它实施例中所述适应度函数表示如下：
[0019][0020]
其中为第k代种群单基因染色体个体的适应度，k＝1,
…
,km，km为最大迭代次数，wi为第i个基因染色体个体的权重，ci为第i个基因染色体个体的基因等级，nk为第k代种群数量。
[0021]
第二方面，本发明还提供了电力监控系统网络安全策略编排及处置系统，包括攻击识别模块、策略自适应编排模块、可视化编排模块和处置模块；其中：
[0022]
所述攻击识别模块用于监测电力监控系统内部设备的安全事件；
[0023]
所述策略自适应编排模块，用于匹配安全事件与预设策略库，匹配成功则从预设策略库中获取安全事件对应的安全处置策略，匹配不成功则基于遗传算法计算安全事件对应的策略近似解；
[0024]
所述可视化编排模块，用于根据策略近似解采用可视化编排得到安全事件对应的安全处置策略；
[0025]
所述处置模块，用于基于获得的安全处置策略对电力监控系统内部设备进行安全处置。
[0026]
进一步地，所述策略自适应编排模块包括遗传算法计算模块，所述遗传算法计算模块用于：
[0027]
根据安全事件的事件内容字段匹配预设策略库内已有的安全处置策略，根据匹配的相似度大小排序设置各已有安全处置策略对应的单个基因染色体个体的基因等级，并设置各单个基因染色体个体的权重，所有的基因染色体个体权重之和为1；
[0028]
根据基因染色体个体的权重和基因等级确定基因染色体个体的适应度函数，利用所述适应度函数确定基因染色体个体的适应度；
[0029]
根据基因染色体个体的适应度对各基因染色体个体进行选择，以及对各基因染色体个体进行杂交和变异操作，进化到下一代；对下一代循环进行选择、杂交和变异操作至满足终止条件则停止进化，输出最优基因染色体个体，并将最优基因染色体个体确定为该安全事件对应的策略近似解。
[0030]
进一步地，所述遗传算法计算模块采用的适应度函数表示如下：
[0031][0032]
其中为第i个基因染色体个体的适应度，nk为第k代种群数量，k＝1,
…
,km，km为最大迭代次数，为第k代第i个基因染色体个体；wi为第i个基因染色体个体的权重，ci为第i个基因染色体个体的基因等级。
[0033]
基于以上技术方案，在其它实施例中所述遗传算法计算模块采用的适应度函数表示如下：
[0034][0035]
其中为第k代种群单基因染色体个体的适应度，wi为第i个基因染色体个体的权重，ci为第i个基因染色体个体的基因等级，nk为第k代种群数量，k＝1,
…
,km，km为最大迭代次数。
[0036]
本发明所达到的有益效果：
[0037]
本发明提供的电力监控系统网络安全策略编排及处置方法和系统，实现对电力监控系统内部设备的行为分析与监测预警，基于遗传算法的匹配方法从海量告警中高效计算近似处置策略，真正实现电力监控系统的主动防御，从监测预警和应急处置的角度解决当前电力监控系统面临的主要安全威胁。
[0038]
本发明通过监控电力监控系统内部设备安全事件，串并联构建起安全事件处置工作流，通过自适应编排技术将人、安全技术、流程进行深度融合，自动化触发不同安全设备执行响应动作，实现对安全事件上下文更全面、端到端的理解，有助于将复杂的事件响应过程和任务转换为一致的、可重复的、可度量的和有效的工作流，变被动应急响应为自动化持续响应；可视化操作保证策略匹配的准确性，提高安全应急处置的清晰度与实时性。
附图说明
[0039]
图1为本发明实施例提供的安全策略自适应编排及处置系统流程示意图；
[0040]
图2为本发明实施例提供的基于遗传算法计算策略近似解流程示意图；
[0041]
图3为本发明实施例提供的安全处置策略的可视化编排流程示意图；
[0042]
图4为本发明实施例提供的安全策略自适应编排及处置方法流程示意图。
具体实施方式
[0043]
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。
[0044]
实施例1：电力监控系统网络安全策略编排及处置系统，包括攻击识别引擎(即攻击识别模块)、策略自适应编排引擎(即策略自适应编排模块)、可视化编排引擎(即可视化编排模块)和处置引擎(即处置模块)，该系统执行如图1所示的安全策略自适应编排及处置流程，包括：
[0045]
步骤一、攻击识别引擎监测电力监控系统内部设备安全事件。
[0046]
监测由网络安全监测装置采集的电力监控系统内各设备安全事件，实现对安全事
件的解析，明确数据来源以及数据类型等。
[0047]
采集对象的种类及安全事件内容主要有：服务器、工作站设备监测登录退出、cpu内存使用率、usb插入拔出等；数据库设备监测数据库表空间使用情况、数据库操作状态等；网络设备监测ip连接信息、mac地址冲突等；安全防护设备监测攻击告警、不符合安全策略访问等。
[0048]
安全事件解析格式为：《级别》《空格》日期《空格》时间《空格》设备或系统《空格》行为《空格》原因。其中“级别”字段以数字表示告警等级，对应关系为：1代表紧急、2代表重要、3代表监视、4代表一般、5代表告知；“设备或系统”字段表示产生事件的设备标识，可以为设备的主机名、ip地址或ip地址加主机名，具体由不同采集对象决定；“行为”字段定义为产生或上传该事件的设备类型，对应关系见表1；“原因”字段定义为具体的事件内容，构成为：《事件类型》《空格》《事件子类型》《空格》《内容》，依照网络安全监测装置技术规范，“内容”字段将安全事件分为四类：设备故障类、安全事件类、运行异常类、人员操作类。示例：《1》2021-08-12 20:12:23 svr01 svr 5 25 tcp 10.1.1.1 4099 10.2.2.2 80，svr01为服务器名称标识。
[0049]
表1设备类型值定义表
[0050]
fw防火墙fid横向正向隔离装置bid横向反向隔离装置svr服务器sw交换机vead纵向加密装置av防病毒系统ids入侵检测系统db数据库dcd网络安全监测装置
[0051]
攻击识别引擎明确事件来源、事件类型以及事件内容等详情后，推送至策略自适应编排引擎。
[0052]
步骤二、策略自适应编排引擎匹配安全事件与预设策略库，匹配成功则从预设策略库中获取安全事件对应的安全处置策略，将安全处置策略推送至处置引擎，匹配失败则基于遗传算法计算策略近似解并将策略近似解推送可视化编排引擎。
[0053]
以攻击识别引擎推送来的安全事件类事件为例，策略自适应编排引擎根据安全事件的事件来源、事件类型、事件等级、事件内容等字段信息，采用轮询方式与预设策略库(见表2)内已有的安全处置策略的告警等级、告警内容等字段进行匹配。匹配成功，表示该安全事件在预设策略库中存在对应处置策略，从预设策略库中获取安全事件对应的安全处置策略，可将安全处置策略推送至处置引擎进行处置；匹配失败，表示该安全事件在预设策略库中不存在对应安全处置策略，需基于遗传算法计算该安全事件对应的策略近似解，推送至可视化编排引擎进行人工决策编排。
[0054]
表2安全事件类告警描述
[0055][0056][0057]
以攻击识别引擎推送来的安全事件类事件为例，基于遗传算法计算预设策略库内与该安全事件对应的策略近似解，按照以下步骤(见图2)：
[0058]
step1)预设策略库内共有n个基因染色体个体(一条处置策略即对应一个基因染色体个体，设定单个基因染色体个体的权重，单个基因染色体个体权重为从0开始的随机递增序列且总和为1)，将该安全事件的事件内容字段匹配预设策略库内策略的相似告警内容字段获得匹配相似度，根据匹配相似度大小按从0开始的递增序列设置各基因染色体个体的基因等级。
[0059]
step2)根据基因染色体个体的权重和基因等级确定基因染色体个体的适应度函数，利用所述适应度函数确定基因染色体个体的适应度；
[0060]
具体实施例中适应度函数可以按下面公式(1)计算：
[0061][0062]
其中wi为第i个基因染色体个体的权重，ci为第i个基因染色体个体的基因等级，为第k代第i个基因染色体个体。
[0063]
根据以上个体适应度函数能够计算各基因染色体个体的适应度。在其他的实施例中，将基因染色体个体的相对适应度作为各基因染色体个体的适应度，根据公式(2)计算第k代种群单个基因染色体个体的适应度:
[0064][0065]
其中为第i个基因染色体个体的适应度，nk为第k代种群数量，k＝1,
…
,km，km为最大迭代次数，为第k代第i个基因染色体个体；
[0066]
step3)选择操作：将父种群中所有基因染色体个体的适应度从高到低排列，淘汰适应度最低20个个体。
[0067]
step4)交叉和变异操作：交叉运算从相同或者近似适应度选出多组个体对，两个个体之间以事先给定的概率70％执行重组运算，产生两个新个体，对新个体权重进行适当调整，确保个体内基因权重之和为1，重复这一过程。变异运算根据一定的变异率pm随机地对一个个体的实现进行多点翻转，产生一个新的个体，变异率pm是服从正态分布的随机数，当迭代次数小于等于15时，pm＝normrnd(0.2,0.1)，normrnd表示正态分布随机数，当迭代次数大于15时，pm＝normrnd(0.3,0.3)，重复这一过程。之后并入step2)确定最高适应度的个体最终形成新一代群体记录具有最高适应度的个体
[0068]
step5)若遗传代数满足终止条件，则停止进化，输出作为近似最优基因染色体个体，否则令k＝k 1，转step2)。
[0069]
终止条件：算法仅在第15代后对终止条件进行验证。第k代迭代终止条件由三个参数：标准差、适应度最大值和适应度最小值进行评估。种群样本标准差小于0.025，k代种群的最大适应度等于前面k-8代最大适应度数值，k代种群的最小适应度与前k-5代种群的最小适应度之差不大于10％。
[0070]
基于遗传算法计算出的最优个体，即为该安全事件对应的策略近似解，推送至可视化编排引擎。
[0071]
步骤三、可视化编排引擎通过人工决策方式进行策略近似解的编排，得到安全事件对应的安全处置策略；将安全处置策略存入预设策略库。
[0072]
可视化编排引擎基于步骤二中遗传算法计算的策略近似解，通过人工决策的方式，结合可视化界面，对策略近似解进行直观编排、修改和完善，编排完成后存入预设策略库。后续即可认为该安全事件对应的处置策略即为可视化编排后存入预设策略库的策略，以此达到不断丰富预设策略库的目的，以应对不同类型的安全事件。如图3所示，可视化编排引擎包括策略组件库和策略编排器，策略组件库是具有可编辑属性的图形化策略组件集
合，策略编排器通过可视化界面采用拖拽方式对策略组件进行静态编辑，包括属性编辑和位置顺序编辑，对研判所涉及到的日志来源、安全规则、取证工具、响应方式进行选择。同时，每个节点还可自定义派生出新的策略流程，比如可以增加一个二次认证业务流程，可以使用鼠标操作添加策略组件以及设置组件执行的先后顺序，从而形成一个二次认证策略。
[0073]
步骤四、处置引擎调用安全处置策略实现自动化处置。
[0074]
处置引擎从预设策略库内调用安全事件相对应的处置策略进行自动化安全处置，对于不同的监测对象，采用不同的处置方式，包括动作指令下发、工单及邮件通知等。
[0075]
不同的处置对象采用不同的处置方式，下发不同的动作指令内容。主要有：对于安全设备，通过自定义专有协议下发阻止非法访问等指令；对于网络设备，通过网络管理协议方式下发关闭可疑连接端口等指令；对于主机设备，通过自定义专有协议下发断开连接、禁用端口等指令。
[0076]
安全处置还可通过工单通知，将目前暂不支持或需要人工参与的响应动作推送至责任人，如修补漏洞、终端清理病毒文件等，责任人收到工单后，再进行相关处置。邮件预警包括重要事件生成通知和自动化响应处置结果通知。
[0077]
与以上是实施例提供的电力监控系统网络安全策略编排及处置系统，相对应地，本实施例还提供了电力监控系统网络安全策略编排及处置方法，如图4所示，包括：
[0078]
监测电力监控系统内部设备的安全事件；
[0079]
匹配安全事件与预设策略库，匹配成功获取安全事件对应的安全处置策略，匹配不成功则基于遗传算法计算安全事件对应的策略近似解，并根据策略近似解采用可视化编排得到安全事件对应的安全处置策略；
[0080]
基于获得的安全处置策略对电力监控系统内部设备进行安全处置。
[0081]
具体实施例中所述电力监控系统内部设备包括服务器、工作站设备、数据库设备、网络设备和安全防护设备中的至少一种。
[0082]
根据策略近似解采用可视化编排得到安全事件对应的安全处置策略，包括：
[0083]
通过可视化界面对安全事件的策略近似解进行人工决策编排，并将人工决策编排得到的编排结果作为安全事件对应的安全处置策略，以及将人工决策编排得到的编排结果存入预设策略库。
[0084]
基于遗传算法计算安全事件对应的策略近似解，包括：
[0085]
根据安全事件的事件内容字段匹配预设策略库内已有的安全处置策略，根据匹配的相似度大小排序设置各已有安全处置策略对应的单个基因染色体个体的基因等级，并设置各单个基因染色体个体的权重，所有的基因染色体个体权重之和为1；
[0086]
根据基因染色体个体的权重和基因等级确定基因染色体个体的适应度函数，利用所述适应度函数确定基因染色体个体的适应度；
[0087]
根据基因染色体个体的适应度对各基因染色体个体进行选择，以及对各基因染色体个体进行杂交和变异操作，进化到下一代；对下一代循环进行选择、杂交和变异操作至满足终止条件则停止进化，输出最优基因染色体个体，并将最优基因染色体个体确定为该安全事件对应的策略近似解。
[0088]
该实施例中，适应度函数表示如下：
[0089][0090]
其中wi为第i个基因染色体个体的权重，ci为第i个基因染色体个体的基因等级，为第k代种群单基因染色体个体的适应度，k＝1,
…
,km，km为最大迭代次数。
[0091]
在其它实施例中，适应度函数表示如下：
[0092][0093]
其中为第i个基因染色体个体的适应度，nk为第k代种群数量，k＝1,
…
,km，km为最大迭代次数，为第k代第i个基因染色体个体。
[0094]
所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的方法中实施例中的对应过程可参照前述系统中各模块的具体工作过程，在此不再赘述。
[0095]
上述方法通过将监控电力监控系统内部设备安全事件，与预设策略库匹配，匹配成功则从预设策略库中获取安全事件对应的安全处置策略，实现串并联构建起安全事件处置工作流。
[0096]
对于没有安全事件对应的安全处置策略，则基于遗传算法计算安全事件对应的策略近似解，并根据策略近似解采用可视化编排得到安全事件对应的安全处置策略；真正实现电力监控系统的主动防御，从监测预警和应急处置的角度解决当前电力监控系统面临的主要安全威胁。
[0097]
以上方法中采用了可视化界面对安全事件的策略近似解进行人工决策编排，通过自适应编排技术将人、安全技术、流程进行深度融合，自动化触发不同安全设备执行响应动作，实现对安全事件上下文更全面、端到端的理解，有助于将复杂的事件响应过程和任务转换为一致的、可重复的、可度量的和有效的工作流，变被动应急响应为自动化持续响应；可视化操作保证策略匹配的准确性，提高安全应急处置的清晰度与实时性。
[0098]
上述方法对当前电力监控系统的监测预警和应急响应水平有显著的提高，能够有效提高管理水平，降低安全风险。此外，该方法通用性强，可适用于石化、化工、交通、冶金等多个行业，满足差异化的工业控制系统监测预警、可视化编排及安全处置需求。
[0099]
基于同一发明构思，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时以上实施例提供的所述电力监控系统网络安全策略编排及处置方法的步骤。
[0100]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0101]
本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产
生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0102]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0103]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0104]
以上结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护之内。