[发明专利]一种电力工控终端在线安全态势评估方法及系统

说明书

本发明提供了一种电力工控终端在线安全态势评估方法及系统，首先围绕终端运行状态、业务流量以及异常行为三个方面建立监测指标体系，其中包括运行状态指标、业务流量指标和异常行为指标；然后分别对这三类指标进行相应的安全分析，得到相应评估指标；最后根据所得评估指标，按照AHP‑熵权法和灰色关联分析法结合的综合安全态势评估方法得到终端在线安全评估结果。本发明能有效且全面地感知电力工控终端的安全态势，提高系统整体的安全防护能力，而且可以提高运营维护人员的工作效率，并弥补终端层面的安全防护的不足。

技术领域

本发明属于电力工控终端安全技术领域，具体涉及一种基于终端监测指标体系的电力工控终端在线安全态势评估方法及系统。

背景技术

目前电力工控领域的安全防护工作以针对平台层的网络安全事件监测为主，缺乏针对终端有效的安全态势感知机制。电力工控系统业务终端及传感终端具有分布广、数量多、计算资源受限等特点，逐渐成为电力工控网络安全防护的薄弱点。攻击者非法控制终端后，可非法获取、篡改相关数据并执行恶意行为，进一步可能突破专业防护，发起全局攻击，同时通过远程控制大量终端，发动DDoS等攻击，造成服务中断。因此，加强电力工控终端的安全建设有助于提高电力工控网络的安全防护水平。

将安全态势感知技术应用于电力工控终端可以有效理解终端的安全态势，使电力工控系统管理者可以在攻击行为发生的早期发现网络中的异常行为以及可能遭受攻击的终端，对当前终端安全状态做出判断，进而采取相应的防护措施，从而保障电力工控系统的安全运行。

目前，虽然许多研究针对电力工控网络的入侵行为提出了一些检测和识别方案，但是均未对终端安全态势进行全面的感知，仅有网络入侵检测方面的研究，缺乏针对终端的态势感知目前电力工控领域的安全防护工作以针对平台层的网络安全事件监测为主，缺乏针对终端有效的安全态势感知机制。

发明内容

本发明针对电力工控终端安全态势感知不足的问题，提出一种基于终端监测指标体系的电力工控终端在线安全态势评估方法及系统，为全面感知终端安全态势，健全电力工控网络安全防护手段提供参考。

本发明的方法所采用的技术方案是：一种电力工控终端在线安全态势评估方法，其特征在于，包括以下步骤：

步骤1：根据监测指标体系提取终端监测指标，包括运行状态监测指标、业务流量监测指标以及异常行为监测指标；运行状态监测指标用于表征终端的软硬件运行状态和网络通信状态，业务流量监测指标用于表征终端通信流量特征，异常行为监测指标用于表征通信报文语义、语法特征和终端行为特征；

步骤2：获得表征终端安全状态的评估指标，包括运行状态安全评估指标、业务流量安全评估指标、异常行为安全评估指标；

步骤3：对各安全评估指标数据进行预处理；

步骤4：对终端安全状态进行全面评估，确定终端态势评估结果。

本发明的系统所采用的技术方案是：一种电力工控终端在线安全态势评估系统，其特征在于：包括终端监测指标提取模块、终端安全状态评估指标获取模块、安全评估指标数据预处理模块、终端安全状态评估模块；

所述终端监测指标提取模块，用于根据监测指标体系提取终端监测指标，包括运行状态监测指标、业务流量监测指标以及异常行为监测指标；运行状态监测指标用于表征终端的软硬件运行状态和网络通信状态，业务流量监测指标用于表征终端通信流量特征，异常行为监测指标用于表征通信报文语义、语法特征和终端行为特征；

所述终端安全状态评估指标获取模块，用于获得表征终端安全状态的评估指标，包括运行状态安全评估指标、业务流量安全评估指标、异常行为安全评估指标；

所述安全评估指标数据预处理模块，用于对各安全评估指标数据进行预处理；

所述终端安全状态评估模块，用于对终端安全状态进行全面评估，确定终端态势评估结果。