CN116405328B - 一种多级联动的电力监控***网络******及方法 - Google Patents
一种多级联动的电力监控***网络******及方法 Download PDFInfo
- Publication number
- CN116405328B CN116405328B CN202310673313.2A CN202310673313A CN116405328B CN 116405328 B CN116405328 B CN 116405328B CN 202310673313 A CN202310673313 A CN 202310673313A CN 116405328 B CN116405328 B CN 116405328B
- Authority
- CN
- China
- Prior art keywords
- module
- monitoring system
- network
- threat information
- linkage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 85
- 238000000034 method Methods 0.000 title claims abstract description 32
- 230000007123 defense Effects 0.000 claims abstract description 28
- 238000004088 simulation Methods 0.000 claims abstract description 19
- 238000004458 analytical method Methods 0.000 claims abstract description 16
- 238000011156 evaluation Methods 0.000 claims description 34
- 238000004364 calculation method Methods 0.000 claims description 29
- 230000006870 function Effects 0.000 claims description 10
- 239000004973 liquid crystal related substance Substances 0.000 claims description 8
- 230000003993 interaction Effects 0.000 claims description 7
- 230000004913 activation Effects 0.000 claims description 5
- 238000001994 activation Methods 0.000 claims description 5
- 230000008447 perception Effects 0.000 claims description 4
- 230000001186 cumulative effect Effects 0.000 claims 1
- 230000000694 effects Effects 0.000 description 7
- 230000001965 increasing effect Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000002708 enhancing effect Effects 0.000 description 3
- 230000001737 promoting effect Effects 0.000 description 3
- 238000004445 quantitative analysis Methods 0.000 description 3
- 101100001676 Emericella variicolor andK gene Proteins 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000007621 cluster analysis Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 230000007474 system interaction Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Alarm Systems (AREA)
Abstract
本发明涉及一种多级联动的电力监控***网络******和方法,***包括总部部分、网省部分和地市部分的三层架构;网省部分和地市部分至少配置有:流量监测模块、安全威胁感知模块、告警联动模块和可信防御联动模块;总部部分至少配置有:分析模块、推送模块和在线仿真模块。本发明能够实现多级联动,提升配电自动化监控***网络安全监控和处置的能力。
Description
技术领域
本发明涉及配电网络安全技术领域,特别是涉及一种多级联动的电力监控***网络******及方法。
背景技术
为应对日益突出的网络安全问题,多种安全防护设备被用来监测大量的风险事件,对网络进行安全防护,包括入侵检测***、防火墙和漏洞检测***等。这些设备仅限于对攻击行为采取局部的检测和防护措施,设备之间缺乏有效协作,使得网络管理员不能准确地定位网络脆弱点,无法及时地发现恶意攻击以及不能全面地把握网络安全状态。
网络安全态势感知过程是通过感知网络环境来提取网络数据,并通过理解这些数据来评估网络安全状态和预测未来发展趋势,得到评估和预测的数据用来制定决策,最后采取相应措施进行主动防御,反馈给网络环境实现安全防护,提高网络防御能力。
网络安全态势感知模型的构建分为网络环境感知、态势理解和态势预测三部分。
网络环境感知通过提取网络数据感知网络状态。对于复杂动态的网络环境和繁多冗杂的数据,研究者采用防病毒软件、漏洞扫描、渗透测试、网络扫描、密码破解工具、防火墙和入侵检测***等技术来收集网络数据,或通过资产列表、风险识别、调查、事件响应报告等方式来收集网络数据。为了获取全面且准确的网络数据,研究者常用条件随机场、进化神经网络和聚类分析等方法对原始数据进行预处理来提取网络数据。
态势理解是整合提取的网络数据,分析数据之间的相关性,定位网络脆弱点,评估安全事件发生的可能性,得到评估数据来制定决策,进行主动防御。这部分是网络安全态势感知的核心,研究人员对不同的数据采用不同的方法进行分析,其中有自适应共振理论模型、贝叶斯网络分类器和博弈模型等。
态势预测是基于态势理解输出的网络数据,预测网络安全状况,得到预测数据来制定决策,执行主动防御。这部分是网络安全态势感知的目标,不仅要预测网络威胁攻击以及攻击者的下一步行动,还要克服对数据完整性的依赖,预测网络安全状态的发展趋势。
现有专利公开文献CN112751927A公开了一种电力监控***中的网络安全监测***,其描述了电力监控***中网络安全监测***的主要功能点和模块功能及方法,其解决的问题是单一信息***的网络安全态势监测,无法解决多个***告警信息的联动、推送、动态启用的问题现状。现有专利公开文献CN115250191A公开了一种网络安全应急响应方法,该方法的特点是解决客户端编辑短消息后,***对用户权限的验证,并向封堵IP地址设备下发封堵指令,是网络安全防护手段中传统的封堵查杀方法,相较于本发明而言,此种方法所使用的技术手段较为普遍,封堵IP的行为并不能验证该IP的终端是否真正被入侵,也不能预见性的防御该IP附近的设备安全风险。
发明内容
本发明所要解决的技术问题是提供一种多级联动的电力监控***网络******及方法,能够实现多级联动,提升配电自动化监控***网络安全监控和处置的能力。
本发明解决其技术问题所采用的技术方案是:提供一种多级联动的电力监控***网络******,包括总部部分、网省部分和地市部分的三层架构;
所述网省部分和地市部分至少配置有:流量监测模块,用于监控配电自动化监控***网络流量;安全威胁感知模块,用于感知配电自动化监控***中主机、网络、终端和应用的威胁信息;告警联动模块,用于在感知到威胁信息时,产生告警信息,并将所述告警信息和威胁信息一起上传至所述总部部分;可信防御联动模块,用于在感知到威胁信息时基于可信计算方法自动触发可信防御功能;
所述总部部分至少配置有:分析模块,用于根据接收到的威胁信息进行分析,确定威胁信息所处的位置、威胁信息所处的电网网络的电压等级和线路位置、以及设备属性信息;推送模块,用于将分析后的威胁信息推送至与所述威胁信息所处的位置相接壤的网省部分,将接收到的告警信息推送至与所述威胁信息所处的电网网络的线路位置相连接的地市部分;在线仿真模块,用于基于接收到的威胁信息快速建立终端软硬件环境进行在线仿真。
所述总部部分还配置有:数量配置建议模块,用于根据地域范围内配电自动化监控***中的设备总资产价值f 1、地域范围内配电自动化监控***t时间内网络总流量f 2、地域范围内配电自动化监控***t时间内明文数据总流量f 3、地域范围内配电自动化监控***与其他***交互请求和被请求总次数f 4、地域范围内配电自动化监控***中使用可信计算认证交互次数f 5、地域范围内配电自动化监控***中网络安全风险事件发生次数f 6确定该地域范围内网省部分和地市部分启用的数量。
所述数量配置建议模块包括:得分计算单元,用于计算所述地域范围内的安全态势综合得分c,计算方式为:c=F(f 1,f 2,f 3,f 4,f 5,f 6),其中,F()表示将各指标进行归一化处理,对每个指标进行权重赋值并求和;对比单元,用于将安全态势综合得分c与正在启用的所述地域范围内组合样本集的计算分的中位数进行对比;数量确定模块,在安全态势综合得分c小于中位数时,计算网省部分和地市部分的增加数量。
所述数量确定模块通过计算网省部分和地市部分的启用数量,其中,U k 表示为数量确定模块所建议的启用数量,K 1,K 2和K 3分别表示增加数量值的强度系数,e k 表示当前时刻调整对象***启用数量与安全态势综合得分c为中位数的对象所启用的***数量偏差,/>表示为累计偏差,k表示偏差数量,e k -e k-1表示当前时刻偏差与上一时刻偏差的差值。
所述总部部分还配置有:多级联动评价模块,所述多级联动评价模块包括:第一评价单元,用于对安全监测点的动态覆盖率进行评价;第二评价单元,用于对终端可信防御密度进行评价;第三评价单元,用于对紧急告警联动的及时性进行评价。
所述第一评价单元通过计算安全监测点的动态覆盖率DCM。
所述第二评价单元通过计算终端可信防御密度T2D2,其中,T i 表示第i类终端的数量,n表示终端种类数量,w i 表示第i类终端的安全权重,S表示地域范围的面积。
所述第三评价单元通过计算紧急告警联动的及时性TCA,其中,d m 表示当月的日历天数,k表示当月的告警次数,t d 表示出现告警至告警上传至总部部分的小时数,t w 表示业务考核窗口时间。
本发明解决其技术问题所采用的技术方案是:一种多级联动的电力监控***网络***方法,应用于上述多级联动的电力监控***网络******,包括以下步骤:
网省部分或地市部分的安全威胁感知模块感知到威胁信息,将威胁信息传送至告警联动模块,并自动触发可信防御联动模块基于可信计算方法进行可信防御功能;
告警联动模块产生告警信息,并将告警信息和威胁信息上报至总部部分;
总部部分的分析模块对接收到的威胁信息进行分析,确定威胁信息所处的位置、威胁信息所处的电网网络的电压等级和线路位置、以及设备属性信息;
总部部分通过推送模块将威胁信息推送至与所述威胁信息所处的位置相接壤的网省部分,将告警信息推送至与所述威胁信息所处的电网网络的线路位置相连接的地市部分;
总部部分将威胁信息输入在线仿真模块,快速建立终端软硬件环境进行在线仿真。
有益效果
由于采用了上述的技术方案,本发明与现有技术相比,具有以下的优点和积极效果:本发明使用内部的多级联动机制,既能感知安全威胁,又可及时告警互动,还能将威胁信息快速建立在线仿真,形成威胁发现、威胁告警、威胁快速分析相结合的良好的创新效果,提升了配电自动化监控***网络安全监控和处置的能力。本发明所提出的多级联动评价指标和计算方法,可以动态评价各***的联动成效,从定量分析的角度给出了***间联动的方法和效能,有益于促进***间协调联动,增强互动性。本发明还能依据地域区域划分,评估安全态势综合得分,并给出网省部分和地市部分启用建议数量的计算方法,用户可自定义划分区域评估安全态势,提供更加灵活的地域划分方法,进一步地,本发明给出了建议增加网省部分和地市部分(即子***)启用数量的定量计算方法,可自动化实施调整过程。
附图说明
图1是本发明实施方式多级联动的电力监控***网络******的组织方式图;
图2是本发明实施方式中网省部分和地市部分的方框图;
图3是本发明实施方式中总部部分的方框图。
具体实施方式
下面结合具体实施例,进一步阐述本发明。应理解,这些实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解,在阅读了本发明讲授的内容之后,本领域技术人员可以对本发明作各种改动或修改,这些等价形式同样落于本申请所限定的保护范围。
本发明的实施方式涉及一种多级联动的电力监控***网络******,如图1所示,包括总部部分、网省部分和地市部分的三层架构。其中,网省部分和地市部分至少配置有:流量监测模块,用于监控配电自动化监控***网络流量;安全威胁感知模块,用于感知配电自动化监控***中主机、网络、终端和应用的威胁信息;告警联动模块,用于在感知到威胁信息时,产生告警信息,并将所述告警信息和威胁信息一起上传至所述总部部分;可信防御联动模块,用于在感知到威胁信息时基于可信计算方法自动触发可信防御功能;总部部分至少配置有:分析模块,用于根据接收到的威胁信息进行分析,确定威胁信息所处的位置、威胁信息所处的电网网络的电压等级和线路位置、以及设备属性信息;推送模块,用于将分析后的威胁信息推送至与所述威胁信息所处的位置相接壤的网省部分,将接收到的告警信息推送至与所述威胁信息所处的电网网络的线路位置相连接的地市部分;在线仿真模块,用于基于接收到的威胁信息快速建立终端软硬件环境进行在线仿真。
本实施方式的多级联动的电力监控***网络******建立了协同联动机制,达到威胁情报共享,总部统一汇聚,第一时间掌握威胁信息的目的,其能够只对威胁情报涉及的网省部分和地市部分发出推送信息,从而动态启用计算策略和方法,便于在兼顾成本的情况下,获得适度安全的收益。
以配电自动化监控***为例,本实施方式可以根据配电监控***的三级部署模式,构建总部-网省-地市三层的***结构连接方式,其通过将流量监控模块、安全威胁感知模块、告警联动模块、可信防御联动模块、分析模块、推送模块和在线仿真模块协同配合,实现多级联动功能,包括推送共享告警信息、启用可信验证、威胁信息推送等。
其中,流量监控模块用于监控配电自动化监控***网络流量,包括明文数据和密文数据,其中,终端设备与云端设备交互数据为IEC60870-101 104 协议,流量监控模块在原始业务报文协议的基础上,封装为E文本格式,将封装后的报文上送至总部部分。
安全威胁感知模块可以感知配电自动化监控***中主机、网络、终端、应用的安全威胁,包括漏洞状态、恶意程序访问行为、安全接入认证成功率、网络入侵行为、安全策略配置情况。
告警联动模块用于产生告警信息,并发送/接收告警信息,其能够将本地产生的告警信息发送至总部部分,同时接收总部部分推送的告警信息。
可信防御联动模块是一个基于可信计算方法的模块。当本地出现安全威胁时,可信防御联动模块会自动触发可信防御功能,具体地,针对出现安全威胁地理位置附近的区域范围内终端启用行为度量功能。
分析模块根据接收到的威胁信息进行分析,确定威胁信息所处的位置、威胁信息所处的电网网络的电压等级和线路位置、以及设备属性信息。
推送模块将分析后的威胁信息推送至与所述威胁信息所处的位置相接壤的网省部分,将接收到的告警信息推送至与所述威胁信息所处的电网网络的线路位置相连接的地市部分,从而实现个性化推送的目的。
在线仿真模块是一个可将终端软硬件环境建立快速在线仿真的模块,其能够将信息提供给安全分析专员进行快速分析。
本实施方式通过多个模块使用内部的联动机制,既能感知安全威胁,又可及时告警互动,还能将威胁信息快速建立在线仿真,形成威胁发现、威胁告警、威胁快速分析相结合的良好效果,提升了配电自动化监控***网络安全监控和处置的能力。
另外,总部部分配置有数量配置建议模块,该数量配置建议模块可以根据地域范围内配电自动化设备总资产价值、t时间内网络总流量、明文数据总流量、***交互请求次数、可信计算认证交互次数和安全风险事件发生次数,输出该地域范围内网省部分和地市部分启用的数量建议。
该数量配置建议模块包括:得分计算单元,用于计算所述地域范围内的安全态势综合得分c,计算方式为:c=F(f 1,f 2,f 3,f 4,f 5,f 6),其中,f 1为该地域范围内配电自动化***中的设备总资产价值,f 2为地域范围内配电自动化监控***t时间内的网络总流量,f 3为地域范围内配电自动化监控***t时间内的明文数据总流量,f 4为地域范围内配电自动化监控***与其他***交互请求和被请求的总次数,f 5为地域范围内配电自动化监控***中使用可信计算认证交互次数,f 6为地域范围内配电自动化监控***中网络安全风险事件发生次数,F()表示将各指标进行归一化处理,对每个指标进行权重赋值并求和;对比单元,用于将安全态势综合得分c与保存在***中的正在启用的所述地域范围内组合样本集的计算分的中位数进行对比,假设安全态势综合得分c大于或等于中位数,则保留网省部分和地市部分的当前数量;数量确定模块,在安全态势综合得分c小于中位数时,计算网省部分和地市部分的启用数量,具体启用数量U k 的计算方式为:
其中,U k 表示为数量确定模块所建议的启用数量,K 1,K 2和K 3分别表示增加数量值的强度系数,e k 表示当前时刻调整对象***启用数量与安全态势综合得分c为中位数的对象所启用的***数量偏差,表示为累计偏差,k表示偏差的数量,e k -e k-1表示当前时刻偏差与上一时刻偏差的差值。
本实施方式依据地域区域划分,评估安全态势综合得分,并给出***启用建议数量的计算方法,用户可自定义划分区域评估安全态势,提供更加灵活的地域划分方法,进一步地,本发明给出了建议增加子***启用数量的定量计算方法,可自动化实施调整过程。
总部部分还配置有多级联动评价模块,通过多级联动评价模块可以对安全监测点动态覆盖率DCM、终端可信防御密度T2D2、紧急告警联动及时性TCA进行评价,从而完成对***联动状态和联动水平的评价。
本实施方式中的多级联动评价模块包括:第一评价单元,用于对安全监测点的动态覆盖率DCM进行评价;第二评价单元,用于对终端可信防御密度T2D2进行评价;第三评价单元,用于对紧急告警联动的及时性TCA进行评价。
第一评价单元对安全监测点的动态覆盖率进行评价时,计算t时间范围内,安全监测点覆盖态势,具体计算方法为:
其中,重复启用的子***数量指在t时间范围内统计的重复样本。
第二评价单元对终端可信防御密度进行评价时,在t时间范围内,统计目标地域范围内,启用可信技术防御安全威胁的终端权重占目标地域范围内的比重,具体计算方法为:
其中,T i 表示第i类终端的数量,n表示终端种类数量,终端种类包括DTU、FTU、故障指示器等,w i 表示第i类终端的安全权重,S表示地域范围的面积。
第三评价单元对紧急告警联动的及时性TCA进行评价时,统计当月时间范围内,紧急告警事件推送至总部部分的时效性,具体计算方法为:
其中,d m 表示当月的日历天数,k表示当月的告警次数,t d 表示出现告警至告警上传至总部部分的小时数,t w 表示预设的业务考核窗口时间。
本实施方式提出的多级联动评价方式,可以动态评价各***的联动成效,从定量分析的角度给出了***间联动的方法和效能,有益于促进***间协调联动,增强互动性。
基于本实施方式的多级联动的电力监控***网络******,当发生网络安全风险事件时,模块多级联动,其方法主要包括如下:
S1,网省部分或地市部分的安全威胁感知模块感知到威胁信息,将威胁信息传送至告警联动模块,并自动触发可信防御联动模块基于可信计算方法执行可信防御功能;
S2,告警联动模块产生告警信息,并将告警信息和威胁信息上报至总部部分;
S3,总部部分的分析模块对接收到的威胁信息进行分析,确定威胁信息所处的位置、威胁信息所处的电网网络的电压等级和线路位置、以及设备属性信息;
S4,总部部分通过推送模块将威胁信息推送至与所述威胁信息所处的位置相接壤的网省部分,将告警信息推送至与所述威胁信息所处的电网网络的线路位置相连接的地市部分;
S5,总部部分将威胁信息输入在线仿真模块,快速建立终端软硬件环境进行在线仿真,并提供给安全分析专员进行快速分析。
不难发现,本发明使用内部的多级联动机制,既能感知安全威胁,又可及时告警互动,还能将威胁信息快速建立在线仿真,形成威胁发现、威胁告警、威胁快速分析相结合的良好的创新效果,提升了配电自动化监控***网络安全监控和处置的能力。本发明所提出的多级联动评价指标和计算方法,可以动态评价各***的联动成效,从定量分析的角度给出了***间联动的方法和效能,有益于促进***间协调联动,增强互动性。本发明还能依据地域区域划分,评估安全态势综合得分,并给出***启用建议数量的计算方法,用户可自定义划分区域评估安全态势,提供更加灵活的地域划分方法,进一步地,本发明给出了建议增加子***启用数量的定量计算方法,可自动化实施调整过程。
Claims (6)
1.一种多级联动的电力监控***网络******,其特征在于,包括总部部分、网省部分和地市部分的三层架构;
所述网省部分和地市部分至少配置有:流量监测模块,用于监控配电自动化监控***网络流量;安全威胁感知模块,用于感知配电自动化监控***中主机、网络、终端和应用的威胁信息;告警联动模块,用于在感知到威胁信息时,产生告警信息,并将所述告警信息和威胁信息一起上传至所述总部部分;可信防御联动模块,用于在感知到威胁信息时基于可信计算方法自动触发可信防御功能;
所述总部部分至少配置有:分析模块,用于根据接收到的威胁信息进行分析,确定威胁信息所处的位置、威胁信息所处的电网网络的电压等级和线路位置、以及设备属性信息;推送模块,用于将分析后的威胁信息推送至与所述威胁信息所处的位置相接壤的网省部分,将接收到的告警信息推送至与所述威胁信息所处的电网网络的线路位置相连接的地市部分;在线仿真模块,用于基于接收到的威胁信息快速建立终端软硬件环境进行在线仿真;
所述总部部分还配置有:数量配置建议模块,用于根据地域范围内配电自动化监控***中的设备总资产价值f1、地域范围内配电自动化监控***t时间内网络总流量f2、地域范围内配电自动化监控***t时间内明文数据总流量f3、地域范围内配电自动化监控***与其他***交互请求和被请求总次数f4、地域范围内配电自动化监控***中使用可信计算认证交互次数f5、地域范围内配电自动化监控***中网络安全风险事件发生次数f6确定该地域范围内网省部分和地市部分启用的子***的数量;
所述数量配置建议模块包括:得分计算单元,用于计算所述地域范围内的安全态势综合得分c,计算方式为:c=F(f1,f2,f3,f4,f5,f6),其中,F()表示将各指标进行归一化处理,对每个指标进行权重赋值并求和;对比单元,用于将安全态势综合得分c与正在启用的所述地域范围内组合样本集的计算分的中位数进行对比;数量确定模块,在安全态势综合得分c小于中位数时,计算网省部分和地市部分启用的子***的数量;所述数量确定模块通过计算网省部分和地市部分的启用的子***的数量,其中,Uk表示为数量确定模块所建议的启用数量,K1,K2和K3分别表示增加数量值的强度系数,ek表示当前时刻调整对象***启用数量与安全态势综合得分c为中位数的对象所启用的***数量偏差,/>表示为累计偏差,k表示偏差数量,ek-ek-1表示当前时刻偏差与上一时刻偏差的差值。
2.根据权利要求1所述的多级联动的电力监控***网络******,其特征在于,所述总部部分还配置有:多级联动评价模块,所述多级联动评价模块包括:第一评价单元,用于对安全监测点的动态覆盖率进行评价;第二评价单元,用于对终端可信防御密度进行评价;第三评价单元,用于对紧急告警联动的及时性进行评价。
3.根据权利要求2所述的多级联动的电力监控***网络******,其特征在于,所述第一评价单元通过计算安全监测点的动态覆盖率DCM。
4.根据权利要求2所述的多级联动的电力监控***网络******,其特征在于,所述第二评价单元通过计算终端可信防御密度T2D2,其中,Ti表示第i类终端的数量,n表示终端种类数量,wi表示第i类终端的安全权重,S表示地域范围的面积。
5.根据权利要求2所述的多级联动的电力监控***网络******,其特征在于,所述第三评价单元通过计算紧急告警联动的及时性TCA,其中,dm表示当月的日历天数,k表示当月的告警次数,td表示出现告警至告警上传至总部部分的小时数,tw表示业务考核窗口时间。
6.一种多级联动的电力监控***网络***方法,其特征在于,应用于如权利要求1-5任一所述多级联动的电力监控***网络******,包括以下步骤:
网省部分或地市部分的安全威胁感知模块感知到威胁信息,将威胁信息传送至告警联动模块,并自动触发可信防御联动模块基于可信计算方法进行可信防御功能;
告警联动模块产生告警信息,并将告警信息和威胁信息上报至总部部分;
总部部分的分析模块对接收到的威胁信息进行分析,确定威胁信息所处的位置、威胁信息所处的电网网络的电压等级和线路位置、以及设备属性信息;
总部部分通过推送模块将威胁信息推送至与所述威胁信息所处的位置相接壤的网省部分,将告警信息推送至与所述威胁信息所处的电网网络的线路位置相连接的地市部分;
总部部分将威胁信息输入在线仿真模块,快速建立终端软硬件环境进行在线仿真;
总部部分的数量配置建议模块根据地域范围内配电自动化监控***中的设备总资产价值f1、地域范围内配电自动化监控***t时间内网络总流量f2、地域范围内配电自动化监控***t时间内明文数据总流量f3、地域范围内配电自动化监控***与其他***交互请求和被请求总次数f4、地域范围内配电自动化监控***中使用可信计算认证交互次数f5、地域范围内配电自动化监控***中网络安全风险事件发生次数f6确定该地域范围内网省部分和地市部分启用的子***的数量;
所述数量配置建议模块通过得分计算单元计算所述地域范围内的安全态势综合得分c,计算方式为:c=F(f1,f2,f3,f4,f5,f6),其中,F()表示将各指标进行归一化处理,对每个指标进行权重赋值并求和;所述数量配置建议模块通过对比单元将安全态势综合得分c与正在启用的所述地域范围内组合样本集的计算分的中位数进行对比;所述数量配置建议模块通过数量确定模块,在安全态势综合得分c小于中位数时,计算网省部分和地市部分启用的子***的数量,计算方式为:其中,Uk表示为数量确定模块所建议的启用数量,K1,K2和K3分别表示增加数量值的强度系数,ek表示当前时刻调整对象***启用数量与安全态势综合得分c为中位数的对象所启用的***数量偏差,/>表示为累计偏差,k表示偏差数量,ek-ek-1表示当前时刻偏差与上一时刻偏差的差值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310673313.2A CN116405328B (zh) | 2023-06-08 | 2023-06-08 | 一种多级联动的电力监控***网络******及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310673313.2A CN116405328B (zh) | 2023-06-08 | 2023-06-08 | 一种多级联动的电力监控***网络******及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116405328A CN116405328A (zh) | 2023-07-07 |
CN116405328B true CN116405328B (zh) | 2023-08-08 |
Family
ID=87016527
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310673313.2A Active CN116405328B (zh) | 2023-06-08 | 2023-06-08 | 一种多级联动的电力监控***网络******及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116405328B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105187771A (zh) * | 2015-07-31 | 2015-12-23 | 山东创德软件技术有限公司 | 一种厂级综合监管平台 |
CN109587124A (zh) * | 2018-11-21 | 2019-04-05 | 国家电网有限公司 | 电力网络的处理方法、装置和*** |
CN112953005A (zh) * | 2021-02-20 | 2021-06-11 | 国网上海能源互联网研究院有限公司 | 一种适用于配电二次***的安全监测*** |
CN113037745A (zh) * | 2021-03-06 | 2021-06-25 | 国网河北省电力有限公司信息通信分公司 | 一种基于安全态势感知的智能变电站风险预警***及方法 |
CN114143348A (zh) * | 2021-11-30 | 2022-03-04 | 中国电力科学研究院有限公司 | 一种电力物联网安全防御方法、***、存储介质及服务器 |
CN115883236A (zh) * | 2022-12-10 | 2023-03-31 | 国网福建省电力有限公司 | 电网智能终端协同攻击监测*** |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8856936B2 (en) * | 2011-10-14 | 2014-10-07 | Albeado Inc. | Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security |
-
2023
- 2023-06-08 CN CN202310673313.2A patent/CN116405328B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105187771A (zh) * | 2015-07-31 | 2015-12-23 | 山东创德软件技术有限公司 | 一种厂级综合监管平台 |
CN109587124A (zh) * | 2018-11-21 | 2019-04-05 | 国家电网有限公司 | 电力网络的处理方法、装置和*** |
CN112953005A (zh) * | 2021-02-20 | 2021-06-11 | 国网上海能源互联网研究院有限公司 | 一种适用于配电二次***的安全监测*** |
CN113037745A (zh) * | 2021-03-06 | 2021-06-25 | 国网河北省电力有限公司信息通信分公司 | 一种基于安全态势感知的智能变电站风险预警***及方法 |
CN114143348A (zh) * | 2021-11-30 | 2022-03-04 | 中国电力科学研究院有限公司 | 一种电力物联网安全防御方法、***、存储介质及服务器 |
CN115883236A (zh) * | 2022-12-10 | 2023-03-31 | 国网福建省电力有限公司 | 电网智能终端协同攻击监测*** |
Also Published As
Publication number | Publication date |
---|---|
CN116405328A (zh) | 2023-07-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220124108A1 (en) | System and method for monitoring security attack chains | |
US20220078210A1 (en) | System and method for collaborative cybersecurity defensive strategy analysis utilizing virtual network spaces | |
CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其*** | |
US20220210200A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
CN114584405B (zh) | 一种电力终端安全防护方法及*** | |
CN112073389B (zh) | 云主机安全态势感知***、方法、设备及存储介质 | |
US7172118B2 (en) | System and method for overcoming decision making and communications errors to produce expedited and accurate group choices | |
CN102340485B (zh) | 基于信息关联的网络安全态势感知***及其方法 | |
CN112153047B (zh) | 一种基于区块链的网络安全运维及防御方法及*** | |
CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
Sathya et al. | Discriminant analysis based feature selection in kdd intrusion dataset | |
Baig | Multi-agent systems for protecting critical infrastructures: A survey | |
Li et al. | Time series association state analysis method for attacks on the smart internet of electric vehicle charging network | |
Sen et al. | On using contextual correlation to detect multi-stage cyber attacks in smart grids | |
CN115378711A (zh) | 一种工控网络的入侵检测方法和*** | |
CN113836564B (zh) | 一种基于区块链的网联汽车信息安全*** | |
CN116405328B (zh) | 一种多级联动的电力监控***网络******及方法 | |
CN115632884B (zh) | 基于事件分析的网络安全态势感知方法与*** | |
Madsen et al. | Evaluating the impact of intrusion sensitivity on securing collaborative intrusion detection networks against SOOA | |
Neshenko | Illuminating Cyber Threats for Smart Cities: A Data-Driven Approach for Cyber Attack Detection with Visual Capabilities | |
Zhang et al. | Network security situation awareness technology based on multi-source heterogeneous data | |
Cerullo et al. | Enabling convergence of physical and logical security through intelligent event correlation | |
Dai et al. | Research on power mobile Internet security situation awareness model based on zero trust | |
KR102307837B1 (ko) | 다세대 홈 네트워크 데이터의 중앙 집중형 수집 및 저장 방법 및 시스템 | |
WO2020255512A1 (ja) | 監視システム、および、監視方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |