5G数字电网系统网络安全态势的检测方法、装置和设备制造方法及图纸

本申请涉及一种5G数字电网系统网络安全态势的检测方法、装置、计算机设备、存储介质和计算机程序产品。方法包括：采集电网系统的内部安全数据和外部安全威胁数据；对内部安全数据和外部安全威胁数据进行预处理；从预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从预处理后的外部安全威胁数据提取出对应的第二关键数据特征；将第一关键数据特征和第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到各种预设威胁类型的威胁检测结果；根据各种预设威胁类型的威胁检测结果，确认针对电网系统的网络安全态势检测结果。采用本方法能够提高电网系统网络安全态势的检测准确率。系统网络安全态势的检测准确率。系统网络安全态势的检测准确率。

【技术实现步骤摘要】
5G数字电网系统网络安全态势的检测方法、装置和设备


[0001]本申请涉及网络安全
，特别是涉及一种5G数字电网系统网络安全态势检测方法、装置、计算机设备、存储介质和计算机程序产品。

技术介绍

[0002]随着互联网信息技术的发展，出现了层出不穷且快速演变的网络攻击手段，时刻威胁着生产经营和网络安全。为了降低网络安全事件的发生概率，需要增强对网络安全态势的监测力度。
[0003]相关技术中，由于电网系统网络安全积累数据的不断增加，对大量威胁情报的分析不足，缺乏对危险的感知能力；单纯依靠部署安全设备、安全软件以及少量兼职人员已难以抵御有组织、有预谋的网络攻击行为，导致电网系统网络安全态势的检测准确率较低。

技术实现思路

[0004]基于此，有必要针对上述技术问题，提供一种能够提高电网系统网络安全态势的检测准确率的5G数字电网系统网络安全态势的检测方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
[0005]第一方面，本申请提供了一种5G数字电网系统网络安全态势的检测方法。所述方法包括：
[0006]采集电网系统的内部安全数据和外部安全威胁数据；
[0007]对所述内部安全数据和所述外部安全威胁数据进行预处理，得到预处理后的内部安全数据和预处理后的外部安全威胁数据；
[0008]从所述预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从所述预处理后的外部安全威胁数据提取出对应的第二关键数据特征；
[0009]将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果；
[0010]根据所述各种预设威胁类型的威胁检测结果，确认针对所述电网系统的网络安全态势检测结果。
[0011]在其中一个实施例中，所述将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果包括：
[0012]将所述第一关键数据特征和所述第二关键数据特征，分别输入预设的异常通信对检测模型、异常登录检测模型、异常指令识别模型和畸形报文识别模型，得到所述电网系统的异常通信对检测结果、异常登录检测结果、异常指令识别结果和畸形报文识别结果，均作为威胁检测结果；
[0013]其中，所述异常通信对检测模型是通过分析样本通信对数据的数据特征而构建的检测模型；所述异常登录检测模型是通过分析样本用户的日常登录行为信息而构建的检测
模型；所述异常指令识别模型是通过分析正常用户的操作行为数据而构建的识别模型；所述畸形报文识别模型是通过分析样本数据报文的报文特征而构建的识别模型。
[0014]在其中一个实施例中，在将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果之前，还包括：
[0015]获取所述电网系统的网络设备和安全设备的日志数据和资产数据；
[0016]所述将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果，还包括：
[0017]将所述资产数据、所述第一关键数据特征和所述第二关键数据特征输入资产漏洞识别模型中，通过所述资产漏洞识别模型对所述日志数据和所述资产数据进行漏洞识别，得到所述电网系统中存在的漏洞列表信息；
[0018]根据所述第一关键数据特征、所述第二关键数据特征和所述漏洞列表信息，识别出漏洞所影响的资产列表，作为威胁检测结果。
[0019]在其中一个实施例中，所述将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果，还包括：
[0020]将所述日志数据、所述第一关键数据特征和所述第二关键数据特征输入攻击路径识别模型中，通过所述攻击路径识别模型对所述日志数据进行攻击路径识别，得到针对所述电网系统的攻击路径和攻击源；
[0021]提取所述攻击路径的特征属性；
[0022]根据所述第一关键数据特征、所述第二关键数据特征和所述特征属性，对所述攻击路径和所述攻击源进行分析，得到针对所述电网系统的攻击分析结果，作为威胁检测结果。
[0023]在其中一个实施例中，所述采集电网系统的内部安全数据和外部安全威胁数据，包括：
[0024]通过数据采集指令和数据监听指令，获取所述电网系统的全量数据；
[0025]通过应用程序接口，将所述全量数据上报至网络安全态势感知系统；所述网络安全态势感知系统用于对所述全量数据进行分类和归并，得到所述内部安全数据和所述外部安全威胁数据；
[0026]接收所述网络安全态势感知系统返回的所述内部安全数据和所述外部安全威胁数据。
[0027]在其中一个实施例中，所述对所述内部安全数据和所述外部安全威胁数据进行预处理，得到预处理后的内部安全数据和预处理后的外部安全威胁数据，包括：
[0028]对所述内部安全数据和所述外部安全威胁数进行数据清洗、数据融合和数据检测，得到预处理后的内部安全数据和预处理后的外部安全威胁数据。
[0029]第二方面，本申请还提供了一种5G数字电网系统网络安全态势的检测装置。所述装置包括：
[0030]数据采集模块，用于采集电网系统的内部安全数据和外部安全威胁数据；
[0031]预处理模块，用于对所述内部安全数据和所述外部安全威胁数据进行预处理，得到预处理后的内部安全数据和预处理后的外部安全威胁数据；
[0032]特征提取模块，用于从所述预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从所述预处理后的外部安全威胁数据提取出对应的第二关键数据特征；
[0033]威胁检测模块，用于将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果；
[0034]结果确认模块，用于根据所述各种预设威胁类型的威胁检测结果，确认针对所述电网系统的网络安全态势检测结果。
[0035]第三方面，本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
[0036]采集电网系统的内部安全数据和外部安全威胁数据；
[0037]对所述内部安全数据和所述外部安全威胁数据进行预处理，得到预处理后的内部安全数据和预处理后的外部安全威胁数据；
[0038]从所述预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从所述预处理后的外部安全威胁数据提取出对应的第二关键数据特征；
[0039]将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种5G数字电网系统网络安全态势的检测方法，其特征在于，所述方法包括：采集电网系统的内部安全数据和外部安全威胁数据；对所述内部安全数据和所述外部安全威胁数据进行预处理，得到预处理后的内部安全数据和预处理后的外部安全威胁数据；从所述预处理后的内部安全数据中提取出对应的第一关键数据特征，以及从所述预处理后的外部安全威胁数据提取出对应的第二关键数据特征；将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果；根据所述各种预设威胁类型的威胁检测结果，确认针对所述电网系统的网络安全态势检测结果。2.根据权利要求1所述的方法，其特征在于，所述将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果，包括：将所述第一关键数据特征和所述第二关键数据特征，分别输入预设的异常通信对检测模型、异常登录检测模型、异常指令识别模型和畸形报文识别模型，得到所述电网系统的异常通信对检测结果、异常登录检测结果、异常指令识别结果和畸形报文识别结果，均作为威胁检测结果；其中，所述异常通信对检测模型是通过分析样本通信对数据的数据特征而构建的检测模型；所述异常登录检测模型是通过分析样本用户的日常登录行为信息而构建的检测模型；所述异常指令识别模型是通过分析正常用户的操作行为数据而构建的识别模型；所述畸形报文识别模型是通过分析样本数据报文的报文特征而构建的识别模型。3.根据权利要求1所述的方法，其特征在于，在将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果之前，还包括：获取所述电网系统的网络设备和安全设备的日志数据和资产数据；所述将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威胁检测结果，还包括：将所述资产数据、所述第一关键数据特征和所述第二关键数据特征输入资产漏洞识别模型中，通过所述资产漏洞识别模型对所述资产数据进行漏洞识别，得到所述电网系统中存在的漏洞列表信息；根据所述第一关键数据特征、所述第二关键数据特征和所述漏洞列表信息，识别出漏洞所影响的资产列表，作为威胁检测结果。4.根据权利要求3所述的方法，其特征在于，所述将所述第一关键数据特征和所述第二关键数据特征，输入至各种预设威胁类型的威胁检测模型进行威胁行为检测，得到所述各种预设威胁类型的威...

【专利技术属性】
技术研发人员：曹扬，陶文伟，付志博，王健，庞晓健，张富川，张国翊，
申请(专利权)人：中国南方电网有限责任公司，
类型：发明
国别省市：