[发明专利]一种电网安全态势感知系统

权利要求书

1.一种电网安全态势感知系统，其特征在于，包括安全数据采集存储模块、入侵检测模块、态势智能分析模块和态势可视化模块；

所述安全数据采集存储模块，包括数据处理层和数据存储层；所述数据处理层用于采集电力工控系统中用于进行安全态势感知的网络安全数据作为原始数据，对原始数据进行预处理；所述数据存储层，用于将预处理后的网络安全数据进行存储；所述网络安全数据包括资产信息数据、网络流量数据、日志数据、运行状态数据、脆弱性数据和安全事件数据；

所述入侵检测模块，用于采用深度包监测技术对日志数据和网络流量数据中的网络报文进行实时安全检测；

所述态势智能分析模块，用于获取存储的网络安全数据和安全检测结果，并输入到预先构建的机器学习模型和知识库中，按照态势指标，进行多角度安全态势分析；

所述态势智能分析模块，按照安全态势分析角度，包括综合态势评估子模块、资产态势评估子模块、流量态势评估子模块、脆弱性态势评估子模块和行为态势评估子模块；

所述综合态势评估子模块用于综合其他任意两种或多种态势评估后，从时间维度和/或空间维度，对态势指标进行研判，按照态势指标进行综合评估；所述综合态势评估的可视化包括以下展示方式中的任意一种或多种仪表盘、计数器、雷达图、饼图、柱状图；

所述资产态势评估子模块，包括资产发现单元、资产属性单元、资产类型判断单元和资产态势评估单元；

所述资产发现单元，用于从资产信息数据中发现网络中的资产；

所述资产属性单元，用于补全所发现资产的属性；

所述资产类型判断单元，采用资产指纹识别库来判断发现资产的类型；

所述资产态势评估单元，用于从资产类型角度、网络区域角度和业务系统角度，按照预设指标分别进行全方位资产安全态势分析；所述全方位资产安全态势分析包括资产类型信息、资产受危害信息、资产弱点分布、资产受攻击分布和资产风险态势；

所述流量态势评估子模块，包括流量分析单元和流量态势评估单元；

所述流量分析单元用于对网络流量数据中的流量行为进行量化统计与实时关联分析；

所述流量态势评估单元，用于利用统计和关联分析后的数据，实现网络空间流量态势可视化呈现和网络空间流量异常智能化预测与异常预警；

所述脆弱性态势评估子模块，包括脆弱性数据处理单元和漏洞态势分析单元；

所述脆弱性数据处理单元，用于将脆弱性数据中不同类型的漏洞扫描工具、代码审计、渗透测试、风险评估、监管通告的原始漏洞数据进行去重合合并，并将漏洞信息进行自动标准化处理；

所述漏洞态势分析单元，利用预设知识库中的漏洞数据库，将标准化后的脆弱性数据，按照分析指标进行分析，并将分析结果进行可视化呈现；所述分析结果包括：漏洞严重性等级统计分析；漏洞类型统计分析；资产类型统计分析；漏洞分布影响和漏洞聚焦；

所述行为态势评估子模块用于采用阈值决策法、统计分析法、聚类分析法、时间序列方法、特征匹配方法、数据挖掘方法或基于图模型的分析方法对网络行为进行分析；所述网络行为包括用户行为、主机行为、业务行为、攻击行为、应用行为和全局网络行为；

所述态势可视化模块，用于将安全态势分析的结果可视化呈现。

2.根据权利要求1所述的电网安全态势感知系统，其特征在于，所述知识库包括包括内置数据库和外部数据库；所述内置数据库包括IP地址库、域名库、恶意IP地址库、恶意域名库、恶意URL库和漏洞信息库；所述外部数据库包括GIS地理信息库、威胁情报库、资产管理责任人信息库。

3.根据权利要求1所述的电网安全态势感知系统，其特征在于，所述数据处理层包括数据预处理子模块，所述数据预处理子模块包括标准化单元、轻度汇总单元和重度汇总单元；

所述标准化单元，用于获取原始数据中的非结构化数据至消息队列，通过流计算过程，对数据进行标准化；

所述轻度汇总单元，用于对标准化后的数据进行轻度汇总，将轻度汇总过程中产生的关联分析结果存储至Parquet中；

所述重度汇总单元，用于获取原始数据中的结构化数据至存储层，对存储层数据进行重度汇总，将重度汇总结果存储至分布式文件存储层。

4.根据权利要求3所述的电网安全态势感知系统，其特征在于，所述标准化单元包括数据解析子单元、数据清洗子单元、数据转换子单元和数据增强子单元；

所述数据解析子单元，用于对原始数据进行识别，分辨出所述原始数据的数据格式；

所述数据清洗子单元，用于对不同方式获得的相同数据进行去重；

所述数据转换子单元，用于根据格式要求对原始数据进行字段拆分，划分出不同的字段；

所述数据增强子单元；用于选择性对拆分的字段进行数据丰富，实现字段增强。