一种网络安全态势感知方法、装置及系统制造方法及图纸

本发明专利技术公开了一种网络安全态势感知方法、装置及系统。本发明专利技术通过解析网络攻击告警日志，分别从网络攻击告警日志中提取目标告警类型和非目标告警类型的告警事件的特征量，采用指数加权移动平均控制图算法，分别计算所有特征量的一步预测误差和控制边界，基于根据所有特征量的一步预测误差和控制边界所生成的网络安全态势感知矩阵，判断是否存在网络安全态势异常，以在判定存在网络安全态势异常时，将历史数据库中与网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端，能够排除海量低风险告警和误报的干扰，有效感知网络安全态势并及时发现网络安全态势异常，进一步保证网络安全。一步保证网络安全。一步保证网络安全。

【技术实现步骤摘要】
一种网络安全态势感知方法、装置及系统


[0001]本专利技术涉及网络安全
，尤其涉及一种网络安全态势感知方法、装置及系统。

技术介绍

[0002]工业互联网将传感量测技术、信息通信技术和自动控制技术与流程工业相结合，使用工业互联网感知流程工业的状态信息和参数数据，以及下发控制指令，实现工业流程的远程实时控制。工业互联网的应用提升了工业生产的能控性、能观性和实时性，并有着资源整合、远程控制、与门户网站和外网互联网互联的趋势。工业互联网的应用虽然提高了流程工业的生产效率，但也使传统互联网中的网络安全问题对工业生产造成威胁，典型的网络攻击类型如拒绝服务攻击、数据窃听、中间人攻击等，在工业互联网中同样有效且危害巨大。
[0003]为应对网络安全问题带来的威胁，工业互联网通常会部署入侵检测系统、网络应用防火墙等网络安全系统和设备，并雇佣网络安全分析人员实施监控、分析、处置网络安全系统和设备产生的网络安全事件告警。出于安全性考虑，工业互联网通常应用较为严格的流量检测规则，而网络的构建优先考虑生产效率而非安全需求，因此工业互联网中部署的网络安全系统和设备会产生海量的低风险告警和误报。工业互联网的网络流量中很大部分来自流程工业现场可控器件和分布式量测设备的网络行为，这些可控器件和分布式量测设备的网络行为由其负担的生产业务确定，可能会违反流量检测规则，产生大量持续不断的、随业务流程波动的误报。另外，工业互联网中的网络设备具有分布式的特点，且网络设备通过固件进行更新，更新周期很长，而网络安全系统和设备的更新周期较短，因此工业互联网中的网络设备可能会因为错误过时的网络配置触发网络安全系统和设备告警。
[0004]为保证生产流程正常运行，即使工业互联网中部署的网络安全系统和设备持续不断地产生大量误报，也不能封禁触发告警的网络设备。大量的低风险告警和误报与少量具有较大安全风险的告警相互混杂，给网络安全分析人员处理网络异常流量的工作带来巨大挑战，使得网络安全分析人员难以排除海量低风险告警和误报的干扰，无法有效感知网络安全态势并及时发现网络安全态势异常，这在一定程度上制约了网络安全。

技术实现思路

[0005]为了克服现有技术的缺陷，本专利技术提供一种网络安全态势感知方法、装置及系统，能够排除海量低风险告警和误报的干扰，有效感知网络安全态势并及时发现网络安全态势异常，进一步保证网络安全。
[0006]为了解决上述技术问题，第一方面，本专利技术一实施例提供一种网络安全态势感知方法，包括：
[0007]对获取的网络攻击告警日志进行解析，分别从所述网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量，得到所有特征量；
[0008]基于指数加权移动平均控制图算法，分别计算所有所述特征量的一步预测误差和控制边界，并根据所有所述特征量的一步预测误差和控制边界，生成网络安全态势感知矩阵；
[0009]根据所述网络安全态势感知矩阵，判断是否存在网络安全态势异常，并在判定存在网络安全态势异常时，将历史数据库中与所述网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端。
[0010]进一步地，在所述对获取的网络攻击告警日志进行解析，分别从所述网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量，得到所有特征量之前，还包括：
[0011]获取所述用户终端发送的所有所述目标告警类型；或者，
[0012]对获取的历史网络攻击告警日志进行解析，分别统计每一告警类型的告警事件的指标值，并在所述告警类型的告警事件的指标值大于预设阈值时，将所述告警类型作为所述目标告警类型，得到所有所述目标告警类型；其中，所述告警类型的告警事件的指标值包括所述告警类型的告警事件的发生总数、发生总数占比、发生频次中的至少一种。
[0013]进一步地，所述在判定存在网络安全态势异常时，将历史数据库中与所述网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端，还包括：
[0014]当无法从所述历史数据库中获取到与所述网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵时，将所述网络安全态势感知矩阵发送至所述用户终端，并接收所述用户终端针对所述网络安全态势感知矩阵反馈的研判结果，将所述研判结果存储于所述历史数据库。
[0015]进一步地，所述对获取的网络攻击告警日志进行解析，分别从所述网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量，得到所有特征量，具体为：
[0016]对所述网络攻击告警日志进行解析，分别统计当前采样周期内每一所述目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数，将每一所述目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数对应作为每一所述目标告警类型的告警事件的特征量，得到所有所述目标告警类型的告警事件的特征量；
[0017]统计当前采样周期内所述非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数，将所述非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数作为所述非目标告警类型的告警事件的特征量。
[0018]进一步地，所述基于指数加权移动平均控制图算法，分别计算所有所述特征量的一步预测误差和控制边界，具体为：
[0019]根据当前采样周期内所有所述目标告警类型的告警事件的特征量和所述非目标告警类型的告警事件的特征量，生成当前采样周期内所有所述特征量的特征量矩阵；
[0020]根据所述特征量矩阵，生成当前采样周期内所有所述特征量的指数加权移动平均值矩阵；
[0021]根据所述特征量矩阵和所述指数加权移动平均值矩阵，生成当前采样周期内所有所述特征量的一步预测误差值矩阵；
[0022]根据所述一步预测误差值矩阵，确定当前采样周期内所有所述特征量的一步预测误差；
[0023]分别根据每一所述特征量的一步预测误差，对应计算每一所述特征量的控制上界值和控制下界值，得到当前采样周期内所有所述特征量的控制边界。
[0024]进一步地，所述特征量矩阵为：
[0025][0026]其中，X(i)为在第i个采样周期内所有所述特征量的特征量矩阵，num
j
(i)为在第i个采样周期内第j种目标告警类型的告警事件的发生总数，src
j
(i)为在第i个采样周期内第j种目标告警类型的告警事件涉及的源IP地址总数，des
j
(i)为在第i个采样周期内第j种目标告警类型的告警事件涉及的目的IP地址总数，j＝1，2，...，n，n为所有所述目标告警类型的总数，num
n+1
(i)为在第i个采样周期内所述非目标告警类型的告警事件的发生总数，src
n+1
(i)为在第i个采样周期内所述非目标告警类型的告警事件涉及的源IP地址总数，des
n本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络安全态势感知方法，其特征在于，包括：对获取的网络攻击告警日志进行解析，分别从所述网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量，得到所有特征量；基于指数加权移动平均控制图算法，分别计算所有所述特征量的一步预测误差和控制边界，并根据所有所述特征量的一步预测误差和控制边界，生成网络安全态势感知矩阵；根据所述网络安全态势感知矩阵，判断是否存在网络安全态势异常，并在判定存在网络安全态势异常时，将历史数据库中与所述网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端。2.如权利要求1所述的网络安全态势感知方法，其特征在于，在所述对获取的网络攻击告警日志进行解析，分别从所述网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量，得到所有特征量之前，还包括：获取所述用户终端发送的所有所述目标告警类型；或者，对获取的历史网络攻击告警日志进行解析，分别统计每一告警类型的告警事件的指标值，并在所述告警类型的告警事件的指标值大于预设阈值时，将所述告警类型作为所述目标告警类型，得到所有所述目标告警类型；其中，所述告警类型的告警事件的指标值包括所述告警类型的告警事件的发生总数、发生总数占比、发生频次中的至少一种。3.如权利要求1所述的网络安全态势感知方法，其特征在于，所述在判定存在网络安全态势异常时，将历史数据库中与所述网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端，还包括：当无法从所述历史数据库中获取到与所述网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵时，将所述网络安全态势感知矩阵发送至所述用户终端，并接收所述用户终端针对所述网络安全态势感知矩阵反馈的研判结果，将所述研判结果存储于所述历史数据库。4.如权利要求1所述的网络安全态势感知方法，其特征在于，所述对获取的网络攻击告警日志进行解析，分别从所述网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量，得到所有特征量，具体为：对所述网络攻击告警日志进行解析，分别统计当前采样周期内每一所述目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数，将每一所述目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数对应作为每一所述目标告警类型的告警事件的特征量，得到所有所述目标告警类型的告警事件的特征量；统计当前采样周期内所述非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数，将所述非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数作为所述非目标告警类型的告警事件的特征量。5.如权利要求4所述的网络安全态势感知方法，其特征在于，所述基于指数加权移动平均控制图算法，分别计算所有所述特征量的一步预测误差和控制边界，具体为：根据当前采样周期内所有所述目标告警类型的告警事件的特征量和所述非目标告警类型的告警事件的特征量，生成当前采样周期内所有所述特征量的特征量矩阵；根据所述特征量矩阵，生成当前采样周期内所有所述特征量的指数加权移动平均值矩
阵；根据所述特征量矩阵和所述指数加权移动平均值矩阵，生成当前采样周期内所有所述特征量的一步预测误差值矩阵；根据所述一步预测误差值矩阵，确定当前采样周期内所有所述特征量的一步预测误差；分别根据每一所述特征量的一步预测误差，对应计算每一所述特征量的控制上界值和控制下界值，得到当前采样周期内所有所述特征量的控制边界。6.如权利要求5所述的网络安全态势感知方法，其特征在于，所述特征量矩阵为：其中，X(i)为在第i个采样周期内所有所述特征量的特征量矩阵，num
j
(i)为在第i个采样周期内第j种目标告警类型的告警事件的发生总数，src
j
(i)为在第i个采样周期内第j种目标告警类型的告警事件涉及的源IP地址总数，des
j
(i)为在第i个采样周期内第j种目标告警类型的告警事件涉及的目的IP地址总数，j＝1，2，...，n，n为所有所述目标告警类型的总数，num
n+1
(i)为在第i个采样周期内所述非目标告警类型的告警事...

【专利技术属性】
技术研发人员：杨银国，刘洋，于珍，陆秋瑜，伍双喜，朱誉，林英明，姜宝翔，刘杨，
申请(专利权)人：广东电网有限责任公司电力调度控制中心，
类型：发明
国别省市：