基于行为的电力网络安全事件联动响应及协同处置方法_吴荣春.pdf
蜗牛文库
-高品质阅读,高比例分成-
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
基于
行为
电力
网络安全
事件
联动
响应
协同
处置
方法
吴荣春
,基金项目微型电脑应用 年第 卷第期基金项目:国家电网公司科技项目()作者简介:吴荣春(),男,本科,中级工程师,研究方向为网络安全、信息安全;蒋皓(),男,本科,高级工程师,研究方向为网络安全、信息安全、数据通信、雷电防护;刘欣东(),男,本科,中级工程师,研究方向为通信、网络安全。通信作者:张治兵(),男,硕士,高级工程师,研究方向为网络安全。文章编号:()基于行为的电力网络安全事件联动响应及协同处置方法吴荣春,张治兵,蒋皓,刘欣东(中国信息通信研究院,北京 )摘要:针对处理安全事件速度过慢且易出现错误,影响网络正常运行的问题,提出基于行为的电力网络安全事件联动响应及协同处置方法。该方法设置信息熵、字节数作为粗粒度的电力网络流量行为特征参数,利用 攻击检测方法,关联所有防御方式检测电力网络中的安全事件;根据攻击行为的具体 位置,启动联动响应及协同处置平台,实现电力网络安全事件联动响应及协同处置。实验结果表明,在出现 和 攻击行为时,提出的方法可快速启动安全事件联动响应及协同处置模式,有效检测电力网络中的攻击行为,令电力网络快速恢复正常运行状态。关键词:电力网络;安全事件;联动响应;处置方法中图分类号:文献标志码:,(,):,;,:;引言电力网 络 安 全 运 行 是 电 力 系 统 信 息 化 管 理 的 重 难点。网络攻击手段随着网络的高速发展逐渐增多,电力系统所设置的众多防御手段互相关联较少,容易出现错误及遗漏情况,无法抵抗大规模复杂的攻击行为。应急处置协同技术能够令电力网络受到攻击后快速恢复,受到众多电力网络安全研究学者的重视。文献 阐述了计算机网络安全的重要性,分析了电力系统计算网络存在的风险,提出了有针对性的计算机网络安全防护措施。文献 提出一种基于 和精确 的协同处置方法,能全流程精确处置 型网络攻击。文献 根据网络系统全局状态,选择网络安全感知所需的元素最佳组合来应对潜在攻击,将应急协同处置动态化、实时化、主动化。基于以上研究成果,本文提出基于行为的电力网络安全事件联动响应及协同处置方法,充分分析对电力网络安全存在威胁的攻击行为,针对所检测的电力网络攻击行为实施联动响应及协同处置,保障电力网络安全运行。基于行为的电力网络安全事件联动响应及协同处置基于行为的电力网络安全事件联动响应及协同处置方法充分结合了主动防御与被动防御方法。主动防御方法是指通过流量行为特征熵的 攻击检测方法检测电力网络中存在的攻击行为;被动防御方法是指通过联动响应及协同处置保障电力网络安全运行。流量行为特征熵的 攻击检测利用基于流量行为特征信息熵的 攻击检测 ,基金项目微型电脑应用 年第 卷第期方法,通常是获取电力网络中存在异常行为的具体 地址,提取电力网络中存在异常行为的流量信息,判断异常是否为安全事件中的 攻击行为和或 攻击行为。提取电力网络中所包含的字节数、源 地址、包流量、目的端口号等流量行为特征。利用随机过程表示不同时间段数据包的统计过程,利用信息熵获取电力网络中不同属性的分散程度和集中程度。统计不同时间段电力网络的流量信息,定义固定时间段属性信息熵公式如下:()()()式中,与分别表示电力网络属性内全部可能的取值数量和随机事件的概率,。分析电力网络中目的 的信息熵,搜寻电力网络流量行为特征信息和存在异常行为的时间。将粗粒度的电力网络流量行为特征参数设置为信息熵。异常行为时间输入以及输出的检测。通过比较不同时间点的目的 信息熵,信息熵高于已设定阈值时即为存在异常的时间点。电力网络中的 攻击和 攻击通常以发送无效请求的方 式 占 用 电 力 网 络 资 源,导 致 电 力 网 络 无 法 正 常运行。电力网络中,服务率能够体现 节点的用户请求是否无效,因此利用服务率搜寻存在攻击行为的 节点流量行为特征,服务率表达式如下:()()()()式中,()与()分别表示时间为时目的 发送和接收的数据包数量。节点服务率较低表示 和 攻击行为攻击该 节点的可能性较大。电力网络细粒度的流量特征行为结构图如图所示。图细粒度流量特征行为利用电力网络细粒度的五个流量特征行为比较异常时间点的细粒度流量行为,精准定位电力网络存在攻击行为的安全事件目的 位置。定义细粒度流量行为特征参数的变化比率公式如下:()()式中,表示异常时间点时,待检测电力网络 节点的流量行为特征参数值,表示历史时间窗内包含异常时间点的全部时间点中,待检测电力网络 节点相应子流的流量行为特征参数值均值,表示历史时间窗内包含异常时间点的全部时间点中,相应子流的流量行为特征参数值,表示不同流量行为特征参数值调整时的调节系数,值大于等于时,不同流量行为特征参数调整时,可通过参数值变化比率有效体现。利用以上公式所获取的特征参数变化比率评价流量行为特征参数。当流量行为特征参数在检测过程中存在明显提升或下降的趋势,所获取的参数变化比率高于所设定阈值时,判定该 节点为异常。依据异常时间点确定异常 节点的流程如图所示。图异常 节点检测流程图依据图可知,检测电 力网络异常 节点主要流 程如下:()依据大小排序检测异常时间点相应的 节点流量;()提取排名为前的 节点;()提取历史时间窗内不同时间点所获取前个目的 节点的相应子流;()计算所提取子流的流量行为特征参数值,利用子流的流量行为特征参数值计算子流变化比率;()依据所获取 节点相应流量的行为特征参数值和变化比率,确定电力网络中存在攻击行为的异常 节点。联动响应协同处置平台电力网络安全事件联动响应协同处置对所下达任务的可靠性、时间以及精度具有较高要求,协同处置的同时需改善带宽利用率低的缺陷。联动响应协同处置平台结构如图所示。由图可以看出联动响应协同处置应用了 架构。架构中所包含的协同处置单元自组织性能优越,满足了用户在不同协同处置单元的需求。安全事件联动响应安全事件联动响应需具备网络安全策略联合、功能统一及组织良好协作的功能,保障电力网络快速解决攻击行为。安全事件联动响应所包含机构如图所示。,基金项目微型电脑应用 年第 卷第期图联动响应协同处置结构图图安全事件联动响应机构联动响应中应包含专家顾问、研发机构、应急响应、信息管理、行为跟踪、信息联络个机构的联动。研发机构负责开发电力网络安全相关工具和技术,同时测试网络中所包含的漏洞;专家顾问负责提供网络攻击行为的解决策略;应急响应模块负责应对攻击行为;行为跟踪模块和信息管理模块是联动响应的核心,可实现安全信息的管理以及攻击行为的报告与决策。信息联络和应急响应两个模块令联动响应更加便捷。协同决策电力网络协同处置过程中,通过专家顾问、研发机构、应急响应、信息管理、行为跟踪、信息联络个机构共同实现协同决策。协同决策结构如图所示。图协同决策结构图由图可以看出,协同决策由多媒体通道、智能代理、通信引擎组成。联动响应协同处置平台利用通信引擎通过书写器、阅读器等方式实现决策。阅读器与书写器分别在共享白板中展示攻击行为的变化、知识源以及对于攻击行为的执行结果,众多信息利用通信引擎实现信息传送。通过众多专家实现攻击行为的协同决策,通过语音、文本等通信方式实现智能代理,专家可选取合适的通信方式协同处置。基于 的安全交互联动响应协同处置平台中共享数据库的安全机制如图所示。图共享数据库安全机制图中,联动响应协同处置平台运行过程中,需调用加密服务、身份认证等安全措施,其中,协同决策人员通过协同处置的专家体系处置攻击行为等事件前,通过协同处置单元的安全服务中心注册账号,获取授权后参与处置任务,安全基础设施以及密码基础设施分别提供授权管理、身份管理以及信息与数据传输的加密措施,保障电力网络联动响应协同处置过程中的服务为保密及安全状态。设置各协同处理单元均包含一个 ,利用 加密及解密交互数据,仅设置一个开放端口于不同的协同处置单元,避免电力网络中的防御单元受到攻击。实验分析为了验证本文提出的基于行为的电力网络安全事件联动响应及协同处置方法的有效性,选取某电力公司的通信网络作为实验对象。实验过程如下:提取关键策略数据,并进行大数据解析和分析,展示安全域基础架构;分析业务流程和组织职责,在安全域基础架构图上展示基于用户角色和业务流向的可视化关键业务合规基线策略和违规策略预警机制;在各个区域部署网络安全监测装置,结合告警信息和响应处置建议,快速实现响应处置;结合业务流程和运维机制,研究展示策略变更工作流,一旦运维人员提出变更请求,系统能够自动分析出与其关联的设备和策略,并进行影响分析。统计该电力网络于 年月 日运行 的随机 节点的信息熵结果,如图所示。图目的 信息熵序列结果 ,基金项目微型电脑应用 年第 卷第期由图可知,目的 信息熵值在 之间,采用本文方法可有效获取 节点的信息熵,为精准监测攻击行为提供依据。将本文方法检测攻击行为结果与实际攻击行为进行对比,对比结果如表所示。表攻击检测结果本文方法真实值 攻击数量个 攻击数量个 漏报率 误报率从表检测结果可以看出,采用本文方法可有效检测电力网络中的攻击行为,仅未检测出例 攻击行为,漏报率低至,误报率低至,验证本文方法具有较高的攻击行为检测精度。统计采用本文方法对于电力网络安全事件联动响应及协同处置结果,统计结果如表所示。表联动响应及协同处置结果序号攻击行为类型处置专家数量个处置时间 是否影响正常通信 否 否 否 否 否 否 否 否 否 否 否 否 否 否 否 否 否 否表实验结果可以看出,采用本文方法可有效检测电力网络中存在的攻击行为、攻击事件和攻击。本文方法采用联动响应协同决策方法具有极快的响应速率,处置时间均低于 ,可快速解决电力网络安全事件。利用电力网络误码率衡量电力网络运行性能,统计该电力网络采用本文方法前后的运行性能,统计结果如图所示。图电力网络运行性能变化图实验结果可以看出,应用本文方法联动响应及协同处置电力网络安全事件后,电力网络误码率降低明显,说明本文方法可快速检测电力网络中存在的攻击行为,提升了电力网络的运行性能。总结本文研究基于行为的电力网络安全事件联动响应及协同处置方法,实现安全信息交换以及共享,属于完整的网络安全策略,具有较高的实用价值以及理论意义。将该研究方法应用于电力系统实际应用中极为重要,可提升电力网络运行安全性。利用流量行为特征信息熵检测电力网络中所存在的攻击行为,精准监测网络中存在攻击行为的具体部位,针对检测结果实现联动响应以及协同处置,能使网络快速恢复正常,提升电力网络运行水平。参考文献陈碧云,丁晋,陈绍南基于关联规则挖掘的电力生产安全事故事件关键诱因筛选电力自动化设备,():,:宋佳翰,李婧娇,皮杰,等基于马尔可夫决策过程的变电站网络安全攻防策略电力建设,():,:,():张可,袁洋,程绍银,等基于 和精确 的 协同处置方法研究网络安全技术与应用,():张卓,陈毓端,唐伽佳,等基于威胁的网络安全动态防御研究保密科学技术,():徐青山,丁一帆,郑爱霞计及需求响应的电网安全优化调度模型 控 制与决策,():(收稿日期:)
