[发明专利]一种改进的网络安全事件关联分析方法

摘要

本发明设计涉及一种电力网络安全事件关联分析方法，基于包括数据采集层、分析决策层及界面显示层的电力网络安全事件关联分析系统，该方法通过将实时发生的网络安全事件与样本报警安全事件和样本绿色安全事件作对比，确定实时发生的网络安全事件的发展趋势，保证网络信息安全。

主权项

一种对实时安全事件进行处理的方法，其特征在于包括以下步骤：S000，提供一种网络安全事件关联分析系统，包括数据采集层、集群数据库系统、分析决策层及界面显示层；数据采集层包括多个状态采集设备、多个网络数据包采集设备和封装处理器；集群数据库系统包括监控数据库、关联分析策略数据库、关联分析结果数据库、安全事件样本数据库；分析决策层包括关联分析模块和关联分析策略模块；界面显示层包括参数设定模块、结果展示模块、查询模块、逻辑中间件；所述安全事件样本数据库存储有样本报警安全事件和样本绿色安全事件；S100，使用关联分析策略模块(320)从关联分析策略数据库(220)中读取关联分析策略，确定要使用的性能参数；S110，从安全事件样本数据库(240)中读取关联分析策略所要求的样本安全事件的相应性能参数序列；S120，将数据采集层(100)的封装处理器(130)传输来的采集数据实时存储到监控数据库(210)中，同时获取关联分析策略所要求的实时安全事件的相应性能参数；S200，获取样本报警安全事件的相应性能参数时间序列集合为{Si|i∈[1,N]}，其中N为关联分析策略中选定的性能参数个数；其中S1＝{S1(t1),S1(t2),…,S1(tm)}为样本报警安全事件的第1个性能参数时间序列，t1、t2到tm为m段间隔相等的时间间隔；以此类推，S2为样本报警安全事件的第2个性能参数时间序列，直到SN为样本报警安全事件的第N个性能参数时间序列；获取实时安全事件的相应性能参数时间序列集合为{Ri|i∈[1,N]}，R1＝{R1(t1),R1(t2),…R1(tm)}为实时安全事件的第1个性能参数时间序列；以此类推，R2为实时安全事件的第2个性能参数时间序列，直到RN为实时安全事件的第N个性能参数时间序列；S300，计算S1(t1)与R1(t1)的差值Δo1，计算S1(t2)与R1(t2)的差值Δo2，以此类推，得到Δom；获取Δo1到Δom中的最大值Δmax和最小值Δmin并由此计算出均值S310，获取S1与R1关联度为r1，则其中为S1与R1第k个性能参数的关联系数，ρ为分辨系数，在0～1之间；以此类推，得到S2与R2的关联度r2，最终得到{Si|i∈[1,N]}与{Ri|i∈[1,N]}关联度序列{ri|i∈[1,N]}；S400，根据以下公式计算关联度序列{ri|i∈[1,N]}的关联因子K，K标识了实时安全事件和样本报警安全事件的关联度；K=1N(Σk=1Nrk-Σk=1N(rk-Σk=1NrkN)2)]]>S500，若K大于等于第一阈值D1，则通知界面显示层向用户提示报警，将其存入关联分析结果数据库(230)，并标记为报警安全事件；第一阈值D1的经验参数为0.8，并结束处理；否则继续执行步骤S600；S600，从安全事件样本数据库(240)获取样本绿色安全事件的相应性能参数时间序列集合为{Gi|i∈[1,N]}，其中N为关联分析策略中选定的性能参数个数；其中G1＝{G1(t1),G1(t2),…,G1(tm)}为样本绿色安全事件的第1个性能参数时间序列，t1、t2到tm为m段间隔相等的时间间隔；为以此类推，G2为样本绿色安全事件的第2个性能参数时间序列，直到GN为样本绿色安全事件的第N个性能参数时间序列；S700，计算G1(t1)与R1(t1)的差值Δo′1，计算G1(t2)与R1(t2)的差值Δo′2，以此类推，得到Δo′m；获取Δo′1到Δo′m中的最大值Δmax′和最小值Δmin′并由此计算出均值S710，获取G1与R1关联度为r1′，则其中为G1与R1第k个性能参数的关联系数，ρ′为分辨系数，在0～1之间；以此类推，得到G2与R2的关联度r2′，最终得到{Gi|i∈[1,N]}与{Ri|i∈[1,N]}关联度序列{ri′|i∈[1,N]}；S800，根据以下公式计算关联度序列{ri′|i∈[1,N]}的关联因子K′，K′标识了实时安全事件和样本绿色安全事件的关联度；K′=1N(Σk=1Nrk′-Σk=1N(rk′-Σk=1Nrk′N)2)]]>S900，若K′大于等于第二阈值D2，将其存入关联分析结果数据库(230)，并标记为绿色安全事件，D2的经验参数为0.8。