[发明专利]一种电力物联终端安全状态评估方法、装置及存储介质

说明书

本发明公开了一种电力物联终端安全状态评估方法、装置及存储介质，该方法包括：获取历史告警数据，生成预设格式的告警数据；对告警数据进行预处理，得到有效的告警数据；根据同源聚类分析和多源聚类分析对告警数据进行关联分析，得到告警对终端的威胁指数；根据威胁指数计算得到电力物联终端的安全指数。通过实施本发明，从数据预处理、告警事件威胁评估、安全指数计算的维度进行终端安全评估；计算电力物联终端动态运行时的异常指数，从而能够从海量重复无效告警中有效识别低安全终端。由此，该电力物联终端安全状态评估方法从客观上实现了对电力物联终端的安全评估。

技术领域

本发明涉及电力信息技术领域，具体涉及一种电力物联终端安全状态评估方法、装置及存储介质。

背景技术

近年来，电力物联网发展及安全形势变化，对网络安全尤其是物联终端安全提出新需求。针对终端的攻击类型复杂，而终端防护受限于自身条件和运行环境，难以做到万无一失，终端侧的安全防护能力尚未同步。物联网终端作为电力物联网的基层“信息采集者”和“指令执行者”，种类多数量大，风险暴露面广，极易遭受来自各方面的攻击。

目前，很多物联网终端操作系统、固件、业务应用等软件的设计和开发过程中并未做任何安全考虑，导致软件存在编码或者逻辑方面的安全漏洞和缺陷，可以使攻击者在未授权的情况下非法利用或破坏。电力物联终端中存储的用户身份、电力运维数据、电网管理数据等大量重要信息使其具有巨大的攻击价值。目前电力物联终端大多采用Linux操作系统，由于其开源性等特征在增强其功能和提升应用灵活性的同时也为系统漏洞、恶意应用等多种类型的攻击提供了渠道。

目前电力系统已有一些监测技术和手段支撑物联终端的数据采集与监测，但仍存在一些问题尚待解决：

(1)监测数据格式繁杂，统一存储处理难度加大。监测数据来源于不同的数据采集源，而这些数据往往具有完全不同的格式字段，这给数据的存储造成了很大的困难。并且原始数据中存在大量的噪声、大量的缺失字段如何处理、如何处理数据使得其适合于后续分析、从不同数据源采集来的不同的数据记录很可能是冗余记录等问题都对后续进一步的安全分析带来了巨大的挑战。

(2)大规模数据采集上传面临性能挑战，无效数据传输占比大。对于监测数据分析，现有的工作主要是面向终端监测产生的系统调用、信息流等数据进行分析，其所考虑的检测环境主要是在实验环境下发现一个或几个应用是否为恶意应用。而在电力物联安全监测的环境下，监测对象是全国各个省的海量实际运行终端，大规模的采集上传这些数据是不现实的，主要监测的是终端应用可能表现出来的一些违规或异常行为，以及终端安全监测模块自身产生的状态数据或异常事件。

(3)存在大量历史重复无效告警，依靠人工方式无法解决。安全监测告警数据大量重复，面对海量数据，依靠人工解决方式不现实，现有的分析方法无法基于这些告警数据进行分析，从而识别告警数据背后所隐含的恶意行为。

由此，如何实现电力物联网终端中告警数据的有效处理与分析，并根据对告警数据的分析对电力物联网终端进行安全评估成为电力信息技术领域一个亟待解决的技术难题。

发明内容

有鉴于此，本发明实施例提供了涉及一种电力物联终端安全状态评估方法、装置及存储介质，以解决现有技术中如何基于海量告警数据实现对电力物联终端的评估。

本发明提出的技术方案如下：

本发明实施例第一方面提供一种电力物联终端安全状态评估方法，包括：获取历史告警数据，生成预设格式的告警数据；对所述告警数据进行预处理，得到有效的告警数据；根据同源聚类分析和多源聚类分析对告警数据进行关联分析，得到告警对终端的威胁指数；根据所述威胁指数计算得到电力物联终端的安全指数。

可选地，对所述告警数据进行预处理，得到有效的告警数据，包括：对所述告警数据进行无效告警删除、误告警删除，得到有效的告警数据，所述无效告警删除包括不规范数据删除以及重复告警数据删除，所述误告警删除包括周期性告警删除以及频繁告警序列删除。