[发明专利]一种电力工控终端在线安全态势评估方法及系统

权利要求书

1.一种电力工控终端在线安全态势评估方法，其特征在于，包括以下步骤：

步骤1：根据监测指标体系提取终端监测指标，包括运行状态监测指标、业务流量监测指标以及异常行为监测指标；运行状态监测指标用于表征终端的软硬件运行状态和网络通信状态，业务流量监测指标用于表征终端通信流量特征，异常行为监测指标用于表征通信报文语义、语法特征和终端行为特征；

步骤2：获得表征终端安全状态的评估指标，包括运行状态安全评估指标、业务流量安全评估指标、异常行为安全评估指标；

其中，基于K-means的运行状态安全分析方法获得表征终端运行状态安全评估指标D；

基于机器学习的业务流量安全分析方法得到业务流量安全评估指标δ；

式(1)中δ表示流量波动率，Q_now表示当前某一时间段的业务流量大小，Q_nomal表示历史同期某一时间段的业务流量大小；

基于协议语法合规性检查、业务行为异常评估方法和基于机器学习的恶意代码检测方法的异常行为安全分析方法得到异常行为安全评估指标M1、M2、M3、M4和B；

其中，协议语法合规性检查通过对Tag长度、Length长度、Value长度以及实际数据长度进行严格的ASN.1语法检查，判断捕获报文是否合规；同时对此类攻击行为时域频次进行统计，统计值为M1；

业务行为异常评估方法包括基于IEC61850数据模型的上下文数据长度检查方法、基于业务源地址的白名单访问控制方法和GOOSE配置信息核查方法，分别对业务报文的上下文数据集、业务关联源地址和GOOSE配置数据集进行检查，判断终端通信报文是否异常，分别统计得到时域频次M2、M3和M4；

基于机器学习的恶意代码检测方法在构建的恶意代码训练集基础上进行特征提取，然后按照加权信息增益对提取特征降序排序，选取有效特征，进行分类学习；然后根据每个待测代码是否包含训练部分选择的有效特征，构成一个布尔向量空间，采用随机森林的分类算法对该向量空间进行分析，判断终端是否为遭受恶意代码，并统计恶意代码行为的时域频次B，将其用于终端的安全态势感知；

式(2)中，T为单位时间，N为T时间内检测恶意代码数量；

步骤3：对各安全评估指标数据进行预处理；

步骤4：对终端安全状态进行全面评估，确定终端态势评估结果。

2.根据权利要求1所述的电力工控终端在线安全态势评估方法，其特征在于：所述运行状态监测指标包括硬件运行状态、软件运行状态和网络通信状态；其中，所述硬件运行状态包括设备外联状态、本地接口状态、功耗；所述软件运行状态包括软件端口状态；所述网络通信状态包括联通性、时延。

3.根据权利要求1所述的电力工控终端在线安全态势评估方法，其特征在于：所述业务流量监测指标包括流量时域特征与流量带宽特征；其中，所述流量时域特征包括频率、周期、间隔。

4.根据权利要求1所述的电力工控终端在线安全态势评估方法，其特征在于：所述异常行为监测指标包括报文语法特征、报文语义特征、重要文件更改信息、系统调用时序状态、内核变量信息状态、系统调用频度状态、进程堆栈状态和内存使用状态。

5.根据权利要求1所述的电力工控终端在线安全态势评估方法，其特征在于：步骤3中，正向指标为业务流量安全评估指标，即流量波动率δ；逆向指标为运行状态安全评估指标和异常行为安全评估指标，即D、M1、M2、M3、M4和B；

采用极差标准化变化法对各安全评估指标值进行标准化处理；

对于正向指标：

对于逆向指标：

式(3)、(4)中，x′_i为第i个样本某个安全评估指标归一化后的数值，x_i为其归一化前的数值，x_max和x_min分别为所有样本中该安全评估指标的最大值和最小值。