CN112651006B - 一种电网安全态势感知系统 - Google Patents

Abstract

本发明提供一种电网安全态势感知平台架构，包括安全数据采集存储模块、入侵检测模块、态势智能分析模块和态势可视化模块；通过主动监测、流量分析、企业侧采集等技术，形成电力物联网安全威胁感知、攻击发现、违规行为监测、威胁告警等能力，针对电力物联网环境下感知节点多、类型不同、连接多样、信息动态多变等特点，为电力行业提供安全态势感知服务，形成电力物联网安全态势感知解决方案。

Description

一种电网安全态势感知系统

技术领域

本发明涉及大数据应用技术领域，尤其涉及一种电网安全态势感知系统。

背景技术

随着风电、太阳能等新能源发电量的快速增长，智慧能源和电力物联网时代正呼啸而来，能源系统正向碎片化能源时代转型，碎片化能源将以万物互联、高度智能的形态存在并使其价值最大化。电力物联网环境是采集、存储、分析计算、共享使用大数据的网络环境，属于一个庞大的非线性复杂系统，其复杂性主要表现在节点数目巨大、节点多样性、连接多样性、信息多样性、动力学复杂性、网络结构复杂多变、多重复杂性融合，因此电力物联网环境中网络面临更多的安全风险。

电力物联网还处于起步阶段，电力物联网的建设对提升用户体验、提升电网运营水平、促进新能源消纳和培育新兴业务有明显的积极意义。目前还没有电力物联网环境下完整的一套态势感知系统，能对自身工业控制网络信息安全风险进行有效监测、评估。另外，整个电力系统在生产、传输、存储、交易、运维、消费等环节将产生大量数据。推进这些数据安全监测与防护保障能力建设已迫在眉睫。

然而现有的网络安全态势感知模型普遍存在以下问题：

1、现有的网络安全态势感知模型多是单源或多源同质模型，难以适应电力物联网中复杂的网络环境。电力物联网环境的安全信息具有数据种类多和格式丰富等特点，并且海量的历史数据中存在大量错误和冗余，不能直接作为网络安全态势感知的分析对象，需要进行数据预处理；

2、电力物联网环境下影响网络安全状态的因素复杂多样,海量复杂数据影响数据融合和事件关联分析的实时性。

大数据环境下，各安全特征要素之间存在关联关系，互相影响，实时变化，信息的融合处理存在很大难度；融合大量的网络安全特征数据时可能造成特征数据提取不完整，特征空间降维效果难以评价，最终可能导致从数据集中归纳出不准确的特征信息。

电力物联网环境中网络安全感知的数据包含大量的不确定性信息，在一定程度上是不完整的、不精确的、矛盾的，需解决态势评估过程的不确定信息问题；目前研究网络安全态势指标往往针对某一方面或某一应用场景，缺少刻画电力物联网环境下全局网络安全态势评估的指标体系，没有统一评价的标准。

3、现有网络安全态势感知模型仍然存在负荷重、响应延迟大，完整性、稳定性和准确性差等缺点。

4、目前国内还没有电力物联网环境下完整的一套态势感知系统，能对自身工业控制网络信息安全风险进行有效监测、评估。所以需要针对电力工控系统的自身特点，研究适用于电力工控系统的态势感知系统。缺乏面向电力物联网环境的网络安全态势动态预测模型，无法实现对电力物联网环境下对全局网络安全态势实时、准确的预测；现有的网络安全态势预测强烈依赖数据预处理和人工介入，对历史经验知识学习还缺乏智能化；网络安全预测方法在提高学习效率、收敛速度、预测准确度方面未来还有待进一步研究；现有网络安全态势预测方法难以预见到电力物联网环境中网络攻击发生的时间、节点位置和攻击类型，无法有效支撑电力物联网环境中网络安全主动防御的精准决策。

发明内容

为解决以上问题，本发明提供一种电网安全态势感知系统，将建设电力物联网环境的安全态势感知平台，支撑我国关键信息基础设施甚至全国在线监测网络的建设，提升工业领域态势感知、隐患排查、攻击发现等技术能力。

本发明实施例提供一种电网安全态势感知系统，包括安全数据采集存储模块、入侵检测模块、态势智能分析模块和态势可视化模块；

所述安全数据采集存储模块，包括数据处理层和数据存储层；所述数据处理层用于采集电力工控系统中用于进行安全态势感知的网络安全数据作为原始数据，对原始数据进行预处理；所述数据存储层，用于将预处理后的网络安全数据进行存储；所述网络安全数据包括资产信息数据、网络流量数据、日志数据、运行状态数据、脆弱性数据和安全事件数据；

所述入侵检测模块，用于采用深度包监测技术对日志数据和网络流量数据中的网络报文进行实时安全检测；

所述态势智能分析模块，用于获取存储的网络安全数据和安全检测结果，并输入到预先构建的机器学习模型，按照态势指标，进行多角度安全态势分析；

所述态势可视化模块，用于将安全态势分析的结果可视化呈现。

本发明实施例提供的电网安全态势感知系统，通过构建的机器学习模型与实测数据相结合，通过对数据进行预处理，实现数据修正模型，用模型验证数据的自主化良性学习过程，通过主动监测、流量分析、企业侧采集等技术，形成电力物联网安全威胁感知、攻击发现、违规行为监测、威胁告警等能力，针对电力物联网环境下感知节点多、类型不同、连接多样、信息动态多变等特点，为电力行业提供安全态势感知服务，形成电力物联网安全态势感知解决方案。

优选的，所述知识库包括内置数据库和外部数据库；所述内置数据库包括IP地址库、域名库、恶意IP地址库、恶意域名库、恶意URL库、漏洞信息库；所述外部数据库包括GIS地理信息库、威胁情报库、资产管理责任人信息库。

在本实施例中，通过内置全面细致的地址库、域名库和外部数据库等，有利于电力物联网安全威胁及时感知、攻击及时发现、违规行为及时监测，实现了对电力物联网的安全态势进行精准、快速预测。

优选的，所述数据处理层包括数据预处理子模块，所述数据预处理子模块包括标准化单元、轻度汇总单元和重度汇总单元；所述标准化单元，用于获取原始数据中的非结构化数据至消息队列，通过流计算过程，对数据进行标准化；所述轻度汇总单元，用于对标准化后的数据进行轻度汇总，将轻度汇总过程中产生的关联分析结果存储至Parquet中；所述重度汇总单元，用于获取原始数据中的结构化数据至存储层，对存储层数据进行重度汇总，将重度汇总结果存储至分布式文件存储层。

在上述任意一项实施例中优选的，所述标准化单元包括数据解析子单元、数据清洗子单元、数据转换子单元和数据增强子单元；所述数据解析子单元，用于对原始数据进行识别，分辨出所述原始数据的数据格式；所述数据清洗子单元，用于对不同方式获得的相同数据进行去重；所述数据转换子单元，用于根据格式要求对原始数据进行字段拆分，划分出不同的字段；所述数据增强子单元；用于选择性对拆分的字段进行数据丰富，实现字段增强。

在本实施例中通过对海量数据的统一标准化处理和针对不同类型数据进行的轻度汇总和重度汇总，有利于进行数据融合以及相应计算实现复杂场景下的分析处理，实现了快速从海量PMU数据中获取真正有用的信息、以及根据海量的PMU数据记录提取每类事件的典型特性从而作为样本数据集的基础。预处理后的增强数据首先存入实时索引层，便于用户的快速搜索，其次进入分布式文件存储层，便于态势分析计算。

在上述任意一项实施例中优选的，所述态势智能分析模块，按照安全态势分析角度，包括综合态势评估子模块、资产态势评估子模块、流量态势评估子模块、脆弱性态势评估子模块和行为态势评估子模块。

在上述任意一项实施例中优选的，所述综合态势评估子模块用于综合其他任意两种或多种态势评估后，从时间维度和/或空间维度，对态势指标进行研判，按照态势指标进行综合评估；所述综合态势评估的可视化包括以下展示方式中的任意一种或多种仪表盘、计数器、雷达图、饼图、柱状图。

在本实施例中，综合态势评估时，综合了多种态势，通过实时获取的数据，对态势指标进行研判，构建了指标度量的方法，满足态势量化计算的可行性；针对电力物联网环境下海量安全数据变化快的特点，安全评估方法的选取能够及时、准确地反映安全态势。

在上述任意一项实施例中优选的，所述资产态势评估子模块，包括资产发现单元、资产属性单元、资产类型判断单元和资产态势评估单元；所述资产发现单元，用于从资产信息数据中发现网络中的资产；所述资产属性单元，用于补全所发现资产的属性；所述资产类型判断单元，采用资产指纹识别库来判断发现资产的类型；所述资产态势评估单元，用于从资产类型角度、网络区域角度和业务系统角度，按照预设指标分别进行全方位资产安全态势分析；所述全方位资产安全态势分析包括资产类型信息、资产受危害信息、资产弱点分布、资产受攻击分布和资产风险态势。

在本实施例中，资产态势评估通过主动发现、导入或创建的方式来识别和梳理目标网络中要被防护的资产及业务对象。所获得并维护的被防护对象信息将在整个态势分析呈现过程中，被其他维度的感知所利用，成为面向安全对象安全态势分析的基础。在资产发现及安全对象信息维护的基础上，资产感知也融合各类攻击威胁信息、脆弱性信息、运行信息等，形成被保护资产及业务对象视角的安全态势。

在上述任意一项实施例中优选的，所述流量态势评估子模块，包括流量分析单元和流量态势评估单元；所述流量分析单元用于对网络流量数据中的流量行为进行量化统计与实时关联分析；所述流量态势评估单元，用于利用统计和关联分析后的数据，实现网络空间流量态势可视化呈现和网络空间流量异常智能化预测与异常预警。

在本实施例中，通过对网络流量数据的采集，借助大数据存储能力与多种分析手段来可视化呈现流量分布情况，自动发现网络访问关系，从而认知、理解、建立、完善、预测网络流量秩序，满足对网络空间流量监控和异常感知的需求，形成网络安全态势中的流量态势。

在上述任意一项实施例中优选的，所述脆弱性态势评估子模块，包括脆弱性数据处理单元和漏洞态势分析单元；所述脆弱性数据处理单元，用于将脆弱性数据中不同类型的漏洞扫描工具、代码审计、渗透测试、风险评估、监管通告的原始漏洞数据进行去重合合并，并将漏洞信息进行自动标准化处理；所述漏洞态势分析单元，利用预设知识库中的漏洞数据库，将标准化后的脆弱性数据，按照分析指标进行分析，并将分析结果进行可视化呈现；所述分析结果包括：漏洞严重性等级统计分析；漏洞类型统计分析；资产类型统计分析；漏洞分布影响和漏洞聚焦。

在本实施例中，通过漏洞扫描数据以及内置数据库，结合信息安全漏洞技术和数据挖掘技术，提供多维度的安全漏洞态势感知，以不同维度的动态图标和数据清单展现。通过进行多维度漏洞分析，对每个维度构建了指标度量的方法，满足态势量化计算的可行性，实现了网络安全脆弱性的多维度态势的详细捕捉。

在上述任意一项实施例中优选的，所述行为态势评估子模块用于采用阈值决策法、统计分析法、聚类分析法、时间序列方法、特征匹配方法、数据挖掘方法或基于图模型的分析方法对网络行为进行分析；所述网络行为包括用户行为、主机行为、业务行为、攻击行为、应用行为和全局网络行为。

在本实施例中在网络流量的监测中，采用行为态势评估，进行异常行为监测不仅可以及时发现攻击行为(例如DDoS)、检测网络故障(例如路由问题)，还能探测非法行为(例如超大文件的P2P传送)。更重要的是与误用检测技术相比，异常检测不仅能够检测未知的新攻击，而且还可探测到内部威胁。

附图说明

构成本申请的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明一种电网安全态势感知系统的总体框架图；

图2(a)为本发明一种电网安全态势感知系统中深度包检测探针体系架构图；

图2(b)为本发明一种电网安全态势感知系统的DPI技术图；

图3为本发明一种电网安全态势感知系统中安全数据采集存储模块中数据处理层的整体框架；

图4为本发明数据处理整体流程图；

图5为本发明数据收集流程图；

图6为本发明数据预处理流程图；

图7为本发明数据轻度汇总流程图；

图8为本发明数据重度汇总流程图；

图9为本发明数据存储流程图；

图10为本发明资产指纹库技术图；

图11为本发明漏洞数量统计分析图；

图12为本发明漏洞数量占比分析图；

图13为本发明风险值统计分析图；

图14为本发明风险值占比分析图；

图15为本发明漏洞数量平均值统计分析图；

图16为本发明风险平均值统计分析图；

图17为本发明漏洞排序图；

图18为本发明漏洞占比分析图；

图19为本发明异常漏洞清单图。

具体实施方式

下面将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

以下详细说明均是示例性的说明，旨在对本发明提供进一步的详细说明。除非另有指明，本发明所采用的所有技术术语与本申请所属领域的一般技术人员的通常理解的含义相同。本发明所使用的术语仅是为了描述具体实施方式，而并非意图限制根据本发明的示例性实施方式。

如图1所示，本发明实施例提供一种电网安全态势感知系统，包括安全数据采集存储模块、入侵检测模块、态势智能分析模块和态势可视化模块；

所述安全数据采集存储模块，包括数据处理层和数据存储层；所述数据处理层用于采集电力工控系统中用于进行安全态势感知的网络安全数据作为原始数据，对原始数据进行预处理；所述数据存储层，用于将预处理后的网络安全数据进行存储；所述网络安全数据包括资产信息数据、网络流量数据、日志数据、运行状态数据、脆弱性数据和安全事件数据；

所述入侵检测模块，用于采用深度包监测技术对日志数据和网络流量数据中的网络报文进行实时安全检测；

所述态势智能分析模块，用于获取存储的网络安全数据和安全检测结果，并输入到预先构建的机器学习模型，按照态势指标，进行多角度安全态势分析；

所述态势可视化模块，用于将安全态势分析的结果可视化呈现。

本发明实施例提供的电网安全态势感知系统，通过构建的机器学习模型与实测数据相结合，通过对数据进行预处理，实现数据修正模型，用模型验证数据的自主化良性学习过程，通过主动监测、流量分析、企业侧采集等技术，形成电力物联网安全威胁感知、攻击发现、违规行为监测、威胁告警等能力，针对电力物联网环境下感知节点多、类型不同、连接多样、信息动态多变等特点，为电力行业提供安全态势感知服务，形成电力物联网安全态势感知解决方案。

态势感知系统是指通过对数据的采集和处理，达到理想分析目标，从而满足态势感知的系统的相关要求，为实现分析，需要采集的数据源包含但不限定于以下内容：

资产信息：资产等级、资产归属、资产IP、资产类型等。

网络流量数据：网络流量五元组、TCP、UDP、ICMP、HTTP、FTP、TFTP、IMAP、SNMP等，还包括异常流量等。

日志内容：业务日志、操作日志、登录日志、系统日志和告警日志。

运行状态数据：各类安全设备、服务器等资产的在线情况、CPU及使用情况、内存及使用情况、网络使用情况、进程、连续运行时间等。

脆弱性数据：包括资产存在漏洞的设备IP/域名、漏洞名称、漏洞编号、影响的操作系统和应用版本、漏洞详细描述、漏洞危害级别、修补建议，以及资产的脆弱性配置信息，包括脆弱性名称、类型、关联资产、危害程度等，其中脆弱性配置信息包括弱口令、开放异常端口等。

安全事件数据：网络攻击事件应包括：DDoS攻击、漏洞攻击、网络扫描窃听、干扰事件等；主机层安全事件应包括：暴力破解、端口扫描、漏扫扫描与利用、异常主机行为、异常进程、异常账号行为等。

如图2(a)和(b)所示，深度包检测探针提供动态的、深度的、主动的安全检测，为应对新型攻击带来的威胁，从智能识别、环境感知、行为分析三方面加强了对应用协议、异常行为、恶意文件的检测能力。

深度包检测探针通过IP碎片重组、TCP流汇聚，以及数据流状态跟踪等能力，对黑客采用任意分片方式进行的攻击进行检测。深度包检测采用智能协议识别技术，通过动态分析网络报文中包含的协议特征，发现其所在协议，然后递交给相应的协议分析引擎进行处理，能够在不需要管理员参与的情况下，高速、准确地检测出通过动态端口或者智能隧道实施的恶意入侵，可以准确发现绑定在任意端口的各种恶意流量、漏洞攻击，对于运用SmartTunnel技术的软件也能准确捕获和分析。

如图3所示，为了方便调用采集的数据源，数据预处理层采用大数据技术为基础，以多元化数据采集、标准化、存储、高速读取、关联调用为一体的多功能化数据处理集群。数据处理层设计主要包括数据处理过程和数据存储两大部分内容。

大数据处理的原则包括以下几点：

网络报文、日志数据，采用被动获取方式，即态势感知平台本身不主动获取这些数据，而是由各个数据采集探针主动将数据推送到平台中。

监测预警系统、分析场景模型及环境数据，采用主动获取方式，即态势感知平台会定期收集这些数据，并纳入平台中使用。

对于数据源系统由于数据模型(结构)不符合态势感知平台标准，导致不能与态势感知平台对接的问题，需要在数据源端进行数据转化，然后再推送到数据处理层。

对于推送过来的数据，收集频度由数据源的发送频度所决定。

如图4-8所示，数据处理的过程如下：

如图4和图5，数据处理层包括数据预处理子模块，数据预处理子模块包括标准化单元、轻度汇总单元和重度汇总单元；

所述标准化单元，用于获取原始数据中的非结构化数据至消息队列，通过流计算过程，对数据进行标准化；

如图6其中，所述标准化单元包括数据解析子单元、数据清洗子单元、数据转换子单元和数据增强子单元；所述数据解析子单元，用于对原始数据进行识别，分辨出所述原始数据的数据格式；所述数据清洗子单元，用于对不同方式获得的相同数据进行去重；所述数据转换子单元，用于根据格式要求对原始数据进行字段拆分，划分出不同的字段；所述数据增强子单元；用于选择性对拆分的字段进行数据丰富，实现字段增强。此处理为非必须环节，仅针对需要进行处理的数据执行，如为某些数据增加地理信息或为某些数据增加资产信息等。

网络报文主要针对网络设备产生的网络数据信息，如Flow流等。日志数据主要针对数据源系统产生的各种日志数据，这类数据采用Syslog协议进行传输。态势感知平台收集到的流数据，送入消息队列，再经过标准化及增强后，产生告警。

如图7所述轻度汇总单元，用于对标准化后的数据进行轻度汇总，将轻度汇总过程中产生的关联分析结果存储至Parquet中；轻度汇总是对增强数据进行过滤及关联分析后的结果进行汇总的过程，轻度汇总的关联分析过程中会结合情报系统、场景模型及环境数据进行关联分析。

如图8，所述重度汇总单元，用于获取原始数据中的结构化数据至存储层，对存储层数据进行重度汇总，将重度汇总结果存储至分布式文件存储层。

重度汇总是对存入存储层的数据，通过融合平台进行融合、关联分析，产生的结果称为重度汇总结果，这些数据会再次流入分布式文件存储层进行存储，以备后用。重度汇总的原因是：离线数据分别存储在不同位置，如Hadoop、Parquet、PostgreSQL等，通过重度汇总工具进行数据融合以及相应计算实现复杂场景下的分析处理。

态势感知平台收集到的采集数据、经过预处理的数据，重度汇总数据以及一些集成数据都会汇入大数据存储平台进行统一存储。

在本实施例中通过对海量数据的统一标准化处理和针对不同类型数据进行的轻度汇总和重度汇总，有利于进行数据融合以及相应计算实现复杂场景下的分析处理，实现了快速从海量PMU数据中获取真正有用的信息、以及根据海量的PMU数据记录提取每类事件的典型特性从而作为样本数据集的基础。预处理后的增强数据首先存入实时索引层，便于用户的快速搜索，其次进入分布式文件存储层，便于态势分析计算。

优选的，所述知识库包括内置数据库和外部数据库；所述内置数据库包括IP地址库、域名库、恶意IP地址库、恶意域名库、恶意URL库、漏洞信息库；所述外部数据库包括GIS地理信息库、威胁情报库、资产管理责任人信息库。

平台中存储的数据包括采集得来的原始数据、经过平台分析得到的结果数据、管理数据以及知识库数据，其中前两者统称平台业务大数据。

平台提供知识库的存储和管理，在数据分析过程中可以调用系统内置的一些IP库、漏洞库、特征事件库。通过数据采集功能，实现知识库数据的汇入，最终实现对安全事件的关联分析。知识库数据包括IP地址库、域名库、恶意IP地址库、恶意域名库、恶意URL库、漏洞信息库、威胁情报库等。

管理数据包括：平台管理相关的策略数据、组件间调用过程管理数据、平台自身运行数据、用户信息及审计数据等，采用结构化数据库对这些数据进行高效结构化存储和读取使用。

知识库数据主要是指基于应用层和呈现层的实际展现考虑需要加入的外部数据库，如GIS地理信息库、威胁情报库、资产管理责任人信息库以及其他展现所需要用到的外部元素数据，这些数据在进行数据增强时需要频繁使用，在存储时，主要使用结构化数据库为主。

在本实施例中，通过内置全面细致的地址库、域名库和外部数据库等，有利于电力物联网安全威胁及时感知、攻击及时发现、违规行为及时监测，实现了对电力物联网的安全态势进行精准、快速预测。

所述态势智能分析模块，按照安全态势分析角度，包括综合态势评估子模块、资产态势评估子模块、流量态势评估子模块、脆弱性态势评估子模块和行为态势评估子模块。

所述综合态势评估子模块用于综合其他任意两种或多种态势评估后，从时间维度和/或空间维度，对态势指标进行研判，按照态势指标进行综合评估；所述综合态势评估的可视化包括以下展示方式中的任意一种或多种仪表盘、计数器、雷达图、饼图、柱状图。

具体的，综合态势评估指的是通过对两个以上态势分析子类型的态势分析的综合，从而对网络内总体的态势数据进行获取，对态势指标进行研判，并进行综合的态势呈现。

在目前相关的态势感知技术和产品中，由于技术和产品的特点，所涵盖的具体的安全要素和类型不尽相同，一般来说，都需至少综合资产态势评估、流量态势评估、运行态势评估、脆弱性态势评估、攻击态势评估、行为态势评估、安全事件态势评估等评估子类型的两种或多种，并此基础上进行综合评估。

此外，在综合之后可以从过去、现在和未来等不同的时间维度进行综合态势评估；可从地理位置等不同的空间维度进行综合态势评估，可对网络边界内的网络实体按照不同类型进行综合态势评估。

在本实施例中，综合态势评估时，综合了多种态势，通过实时获取的数据，对态势指标进行研判，构建了指标度量的方法，满足态势量化计算的可行性；针对电力物联网环境下海量安全数据变化快的特点，安全评估方法的选取能够及时、准确地反映安全态势。

作为优选的实施例，所述资产态势评估子模块，包括资产发现单元、资产属性单元、资产类型判断单元和资产态势评估单元；所述资产发现单元，用于从资产信息数据中发现网络中的资产；包括基于网络扫描探测的资产发现技术和基于日志和流量采集的被动资产发现技术。

其中，基于网络扫描探测的资产发现技术通过主动探测扫描技术，主动发现网络中的资产，如互联网上的WEB资产、各单位或企业中的IT资产、工业互联网及物联网上的资产等。主动扫描探测分为主机探测、端口扫描、版本检查、系统检测等多种探测方法。

基于日志和流量采集的被动资产发现技术，由于态势感知平台会采集日志数据和网络中的流量数据，资产态势会解析日志和流量中的元数据，找出元数据中的IP、端口、域名等相关信息，作为资产被动方式进行资产数据的保存。配合资产主动资产发现方式，进一步确认资产的真实性及存活状态。

所述资产属性单元，用于补全所发现资产的属性；通过资产发现功能可发现未知的资产和存活的设备，但对设备的管理还需要更多可用的信息，包括资产基本属性、资产特有属性、漏洞属性、基本配置属性、资产上的数据库及组件部署情况等更有价值的信息。资产态势可通过深度的扫描来完成对以上属性的自动采集，如自动补全主机的进程、启动项、开放的端口、补丁属性；安全设备的配置变更情况、网络设备接口状态；应用系统、数据库、中间件的版本信息、安装路径等信息。

如图10所示，所述资产类型判断单元，采用资产指纹识别库来判断发现资产的类型；资产态势采用资产指纹识别库来判断发现资产的类型，资产指纹库是包含了资产端口信息、操作系统信息、厂商信息等多种信息的集合，是识别资产的关键。通过强大的资产指纹库建立各类型资产的特征，包括网络设备、安全设备、各类操作系统、数据库、应用中间件，指纹库主要包括：

端口指纹：开放的端口信息、各厂商设备的特定端口信息；

OS指纹：操作系统的版本信息、设备类型信息、系统名称、厂商信息；

Web指纹：HTML信息、Header信息、URI信息、File信息。

所述资产态势评估单元，用于从资产类型角度、网络区域角度和业务系统角度，按照预设指标分别进行全方位资产安全态势分析；所述全方位资产安全态势分析包括资产类型信息、资产受危害信息、资产弱点分布、资产受攻击分布和资产风险态势。

资产态势呈现：

资产视角的安全态势将从资产类型角度、网络区域角度和业务系统角度来审视资产的整体安全防护状态。从每个视角维度都可以提供资产受危害概览、资产弱点情况、资产受攻击情况以及资产风险的相关态势信息：

资产类型的概要信息：可以监视每类资产类型中的几个主要统计指标，包括告警数量、产生的漏洞总数、配置弱点总数以及安全事件数。

资产受危害概览：包括每个资产类型的高危告警影响度，高危漏洞影响程度，高危攻击影响度以及告警在各资产类型中的总覆盖率和随时间变化趋势。

资产弱点情况：包括各资产类型的漏洞检出率和随时间的漏洞量变化趋势。

资产受攻击情况：包括各资产类型中受攻击的主要类型，安全日志的接入情况，攻击相关事件所利用资产端口的比例分布。

资产风险态势：包括各资产类型的风险等级，在风险态势矩阵上的风险值分布以及风险趋势。

在本实施例中，资产态势评估通过主动发现、导入或创建的方式来识别和梳理目标网络中要被防护的资产及业务对象。所获得并维护的被防护对象信息将在整个态势分析呈现过程中，被其他维度的感知所利用，成为面向安全对象安全态势分析的基础。在资产发现及安全对象信息维护的基础上，资产感知也融合各类攻击威胁信息、脆弱性信息、运行信息等，形成被保护资产及业务对象视角的安全态势。

流量数据是态势感知系统采集的基础数据之一，通过对网络流量数据的采集，借助大数据存储能力与多种分析手段来可视化呈现流量分布情况，自动发现网络访问关系，从而认知、理解、建立、完善、预测网络流量秩序，满足对网络空间流量监控和异常感知的需求，形成网络安全态势中的流量态势。

所述流量态势评估子模块，包括流量分析单元和流量态势评估单元；

所述流量分析单元用于对网络流量数据中的流量行为进行量化统计与实时关联分析；

所述流量态势评估单元，用于利用统计和关联分析后的数据，实现网络空间流量态势可视化呈现和网络空间流量异常智能化预测与异常预警。

网络流量数据基本包括三个层次：应用协议元数据，会话连接数据(FLOW数据)，原始全封数据包，通过对这三个层次数据的记录、索引、分类、关联，为流量态势的评估提供可靠的数据基础。应用协议元数据是当前的主流协议应用层负载中关键字段的解析，应用协议包括HTTP协议、DNS协议、SMTP协议、TELNET协议、FTP协议等；支持旁路端口镜像采集原始流量的pcap格式报文包。

在获取到网络流量数据后，能够通过对网络空间的流量行为进行量化统计与实时关联分析，将监控网络区域的流量分布、异常攻击、TCP地址、TCP协议、安全总体态势等信息进行动态可视化呈现，形成一个可视化的流量态势。

2)网络空间流量态势可视化呈现技术：

基于时间，空间，流量特征值对网络流量和网络行为进行多维度、细粒度的分析，展示用户流量分布情况，网络连接情况，业务交互情况，监控重要主机、关键业务系统流量。从概要到具体，从宏观到微观梳理网络秩序，通过形象化的图表和曲线来了解网络运行情况。

基于区域、时序、技术特征的全网流量分析：

区域分析：对于监控的网络设备与业务系统，可以根据总流量、TCP地址、TCP应用、TCP协议等角度进行分析展现。

时序分析：可按照时间范围进行查询，可按设备、业务场景、以折线加列表的形式进行流量宏观趋势展现和分析，可设置多种时间周期，也可支持自定义时间区间。

技术特征分析：分为按会话分析、数据包个数分析和流量大小分析，展现具体内容可包括总流量、上下行流量、总数据包个数、上下行数据包数、总会话个数，上下行会话个数等。

3)网络空间流量异常智能化预测与异常预警：

网络空间的流量智能化分析与检测的技术包括经典的关联分析技术，新兴的威胁情报预警技术，基于自适应算法的异常流量检测基线等。这些算法依托于深度流检测和深度包检测(DPI)技术。

基于规则、情境的关联分析：

基于规则的关联分析是指通过流量事件关联引擎进行规则匹配，识别已知模式的攻击和违规。而规则的表达能力依赖于流量事件的属性字段的个数与规则的逻辑表达式丰富程度。

基于威胁情报的威胁预警：

将威胁情报与流量日志中的相应属性字段(URL，域名，IP地址,Email地址)进行碰撞对比，形成威胁预警态势。

基于异常流量基线的威胁攻击预测：

异常流量基线包括特征基线、行为基线、周期性基线，移动窗口基线，自定义基线。通过指定时间窗内历史流量数据的学习，获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度，建立自适应流量基线，形成异常流量检测模型。基于流量行为的建模与分析，可以识别流敏感的异常行为检测，比如DDOS类攻击，网络误用等。

对于流量攻击态势而言，可以快捷地掌握安全攻击的来源，手段等信息，形成有效的问题追溯与网络取证机制尤为重要，通过高性能的检索和分析能力，可回溯任意时间段内的历史流量信息，从而捕捉攻击上下文原始报文、还原真实攻击过程，也将成为流量态势评估的重要一环。

还包括运行态势评估，所述，运行态势评估从传统的IT三大基础架构到现在的多种IT基础设施，由于IT基础架构变化，软硬件产品的多种多样，对于在当前复杂多变的环境下，需要监测IT基础设施和应用系统的运行状态是一个挑战。

通过对IT基础设施和应用系统架构的分析，能够清楚的了解到全网中的运行状态，可以清楚了解知道应用系统的业务稳定性和风险，通过对运行状态的监控，能发现存在隐患，如潜伏的木马，未发现的内鬼。在IT架构中主要分析以下运行状态数据：

资产、操作系统、应用系统等的在线情况、CPU及使用情况、内存及使用情况、网络使用情况、进程、连续运行时间等。

在本实施例中，通过对网络流量数据的采集，借助大数据存储能力与多种分析手段来可视化呈现流量分布情况，自动发现网络访问关系，从而认知、理解、建立、完善、预测网络流量秩序，满足对网络空间流量监控和异常感知的需求，形成网络安全态势中的流量态势。

所述脆弱性态势评估子模块，包括脆弱性数据处理单元和漏洞态势分析单元；所述脆弱性数据处理单元，用于将脆弱性数据中不同类型的漏洞扫描工具、代码审计、渗透测试、风险评估、监管通告的原始漏洞数据进行去重合合并，并将漏洞信息进行自动标准化处理。

具体为，通过脆弱性态势评估可实现以下功能：

1)多种漏洞检测工具和平台集中管理：

通过API接口和漏洞扫描器设备进行集中管理，包括自动化漏洞扫描任务下发，漏洞扫描策略配置，实现漏洞扫描工作自动执行、漏洞数据自动化采集，将多来源的漏洞数据作为脆弱性态势感知分析基础数据。

2)异构漏洞数据解析和标准化处理：

通过脆弱性数据范式化处理，将不同类型的漏洞扫描工具、代码审计、渗透测试、风险评估、监管通告的原始漏洞数据进行去重合合并，并且将漏洞信息进行自动标准化处理，将不规范、原始漏洞数据标准化成符合国家标准的漏洞数据。

3)标准漏洞数据库：

核心漏洞数据库资产应涵盖：网络设备，安全设备，操作系统，数据库，中间件，Web应用，应用程序，BYOD设备。漏洞属性应包括；漏洞名称，漏洞编号，漏洞等级，公开日期，漏洞介绍，影响产品，修复建议，验证工具，CNVD编号，CNNVD编号，BID编号，CWE编号，CVE编号，引用信息，漏洞类型，CVSS向量，CVSS分值，整改类型。

4)漏洞状态可视化管理：

将漏洞运维管理划分为发现阶段，验证阶段，处置阶段，然后对不同阶段的漏洞进行可视化的状态管理，并对漏洞在不同阶段的状态进行标识。可对不同阶段的漏洞状态进行状态标签的变更。

5)分析内容与展现：

通过保存周期性漏洞扫描数据以及内置分析模型，结合信息安全漏洞技术和数据挖掘技术，提供多维度的安全漏洞态势感知，以不同维度的动态图标和数据清单展现，分析维度包括：统计分析、对比分析、趋势分析、差异化分析、聚焦分析、验证分析、漏洞影响。

所述漏洞态势分析单元，利用预设知识库中的漏洞数据库，将标准化后的脆弱性数据，按照分析指标进行分析，并将分析结果进行可视化呈现；所述分析结果包括：漏洞严重性等级统计分析；漏洞类型统计分析；资产类型统计分析；漏洞分布影响和漏洞聚焦。

在具体的态势分析指标及结果方面包括以下部分：

1)基于漏洞严重性等级的统计分析；

a)基于严重性等级的漏洞统计分析如图11所示：

分析内容：对当前资产范围内的高危漏洞数量、中危漏洞数量、低危漏洞数量分别进行统计，分析出当前资产范围内的漏洞分布情况，以漏洞严重性等级进行统计。该脆弱性分析指标所对应的数据类型包括：资产数量、漏洞数量、漏洞严重性等级。

分析指标：高危漏洞数量、中危漏洞数量、低危漏洞数量。

分析方法：选定分析资产范围，分别计算出再该资产范围内当前的高危漏洞数量和、中危漏洞数量和、低危漏洞数量和。

资产数*高危漏洞数＝高危漏洞数量；

资产数*中危漏洞数＝中危漏洞数量；

资产数*低危漏洞数＝低危漏洞数量。

b)基于严重性等级的漏洞占比分析如图12所示：

分析内容：对当前资产范围内的高危漏洞数量、中危漏洞数量、低危漏洞数量分别进行占比计算，分析出当前资产范围内的不同严重性等级漏洞对漏洞总数的占比情况。该脆弱性分析指标所对应的数据类型包括：资产数量、漏洞数量、漏洞严重性等级。

分析指标：高危漏洞百分比、中危漏洞百分比、低危漏洞百分比。

分析方法：选定分析资产范围，分别计算出再该资产范围内当前的高危漏洞占比、中危漏洞占比、低危漏洞占比。

(高危漏洞数量/漏洞总数)*100＝高危漏洞数量百分比；

(中危漏洞数量/漏洞总数)*100＝中危漏洞数量百分比；

(低危漏洞数量/漏洞总数)*100＝低危漏洞数量百分比；

c)基于严重性等级的风险值统计分析，如图13所示：

分析内容：对当前资产范围内的高危漏洞风险值、中危漏洞风险值、低危漏洞风险值分别进行统计，分析出当前资产范围内的不同严重性级别的漏洞风险值分布情况。该脆弱性分析指标所对应的数据类型包括：资产数量、漏洞数量、漏洞严重性等级、漏洞风险值。

分析指标：高危漏洞风险值、中危漏洞风险值、低危漏洞风险值。

分析方法：选定分析资产范围，分别计算出再该资产范围内当前的高危漏洞风险值和、中危漏洞风险值和、低危漏洞风险值和。

资产数*(高危漏洞1风险值+高危漏洞2风险值+高危漏洞N风险值...)＝高危漏洞风险值；

资产数*(中危漏洞1风险值+中危漏洞2风险值+中危漏洞N风险值...)＝中危漏洞风险值；

资产数*(低危漏洞1风险值+低危漏洞2风险值+低危漏洞N风险值...)＝低危漏洞风险值。

d)基于严重性等级的风险值占比分析，如图14所示：

分析内容：对当前资产范围内的高危漏洞风险值、中危漏洞风险值、低危漏洞风险值分别进行占比计算，分析出当前资产范围内的不同严重性等级漏洞风险值对漏洞风险值总数的占比情况。该脆弱性分析指标所对应的数据类型包括：资产数量、漏洞数量、漏洞严重性等级、漏洞风险值。

分析指标：高危漏洞百分比、中危漏洞百分比、低危漏洞百分比。

分析方法：选定分析资产范围，分别计算出再该资产范围内当前的高危漏洞风险值占比、中危漏洞风险值占比、低危漏洞风险值占比。

(高危漏洞风险值/漏洞风险值总数)*100＝高危漏洞风险值百分比；

(中危漏洞风险值/漏洞风险值总数)*100＝中危漏洞风险值百分比；

(低危漏洞风险值/漏洞风险值总数)*100＝低危漏洞风险值百分比。

e)基于严重性等级的漏洞数量平均值分析，如图15所示：

分析内容：对当前资产范围内的高危漏洞数量平均值、中危漏洞数量平均值、低危漏洞数量平均值分别进行统计，分析出当前资产范围内的不同严重性级别的漏洞数量平均值情况。该脆弱性分析指标所对应的数据类型包括：资产数量、漏洞数量、漏洞严重性等级。

分析指标：高危漏洞平均数、中危漏洞平均数、低危漏洞平均数。

分析方法：选定分析资产范围，分别计算出再该资产范围内当前的高危漏洞数量和、中危漏洞数量和、低危漏洞数量和，然后除以资产数量。

高危漏洞数量和/资产数＝高危漏洞平均数；

中危漏洞数量和/资产数＝中危漏洞平均数；

低危漏洞数量和/资产数＝低危漏洞平均数。

f)基于严重性等级的漏洞风险平均值分析，如图16所示：

分析内容：对当前资产范围内的高危漏洞风险平均值、中危漏洞风险平均值、低危漏洞风险平均值分别进行统计，分析出当前资产范围内的不同严重性级别的漏洞数量平均值情况。该脆弱性分析指标所对应的数据类型包括：资产数量、漏洞数量、漏洞严重性等级、漏洞风险值。

分析指标：高危漏洞风险平均数、中危漏洞风险平均数、低危漏洞风险平均数。

分析方法：选定分析资产范围，分别计算出再该资产范围内当前的高危漏洞风险值、中危漏洞风险值、低危漏洞风险值，然后除以资产数量。

高危漏洞风险值/资产数＝高危漏洞风险平均数；

中危漏洞风险值/资产数＝中危漏洞风险平均数；

低危漏洞风险值/资产数＝低危漏洞风险平均数。

2)基于漏洞类型的统计分析；

a)基于漏洞类型的统计分析；

分析内容：对当前资产范围内的不同漏洞类型的漏洞数量分别进行统计，分析出当前资产范围内的不同漏洞类型的漏洞分布情况。该脆弱性分析指标所对应的数据类型包括：资产数量、漏洞数量、漏洞类型。

分析指标：漏洞类型、漏洞数量。

分析方法：选定分析资产范围，分别计算出再该资产范围内不同漏洞类型的漏洞数量。

b)基于漏洞类型的占比分析；

分析内容：对当前资产范围内的不同类型的漏洞数量分别进行占比计算，分析出当前资产范围内的不同类型漏洞数量的占比情况。该脆弱性分析指标所对应的数据类型包括：资产数量、漏洞数量、漏洞类型。

分析指标：不同类型漏洞百分比。

分析方法：选定分析资产范围，分别计算出再该资产范围内不同类型漏洞数量百分比。

c)基于漏洞类型的风险值统计分析；

分析内容：对当前资产范围内的不同类型漏洞风险值分别进行统计，分析出当前资产范围内的不同漏洞类型的漏洞风险值分布情况。该脆弱性分析指标所对应的数据类型包括：资产数量、漏洞数量、漏洞类型、漏洞风险值。

分析指标：不同漏洞类型风险值。

分析方法：选定分析资产范围，分别计算出再该资产范围内当前的漏洞类型风险值。

d)基于漏洞类型的风险值占比分析；

分析内容：对当前资产范围内的不同类型漏洞的风险值分别进行占比计算，分析出当前资产范围内的不同类型漏洞风险值对漏洞风险值总数的占比情况。该脆弱性分析指标所对应的数据类型包括：资产数量、漏洞数量、漏洞类型、漏洞风险值。

分析指标：不同类型漏洞百分比。

分析方法：选定分析资产范围，分别计算出再该资产范围内当前的不同类型漏洞风险值占比。

3)基于资产类型的统计分析；

a)基于资产类型的漏洞统计分析；

分析内容：对当前资产范围内的不同资产类型的漏洞数量分别进行统计，分析出当前资产范围内的不同资产类型的漏洞分布情况。该脆弱性分析指标所对应的数据类型包括：资产数量、资产类型、漏洞数量、漏洞严重性等级。

分析指标：资产类型、漏洞数量、漏洞严重性等级。

分析方法：选定分析资产范围，分别计算出再该资产范围内不同资产类型的漏洞数量。

b)基于资产类型的占比分析；

分析内容：对当前资产范围内的不同资产类型的漏洞数量分别进行占比计算，分析出当前资产范围内的不同资产类型漏洞数量的占比情况。该脆弱性分析指标所对应的数据类型包括：资产类型、漏洞数量、漏洞严重性等级。

分析指标：不同资产类型漏洞百分比。

分析方法：选定分析资产范围，分别计算出再该资产范围内不同资产类型漏洞数量百分比。

c)基于资产类型的风险值统计分析；

分析内容：对当前资产范围内的不同类型漏洞风险值分别进行统计，分析出当前资产范围内的不同资产类型的漏洞风险值分布情况。该脆弱性分析指标所对应的数据类型包括：资产类型、漏洞数量、漏洞风险值。

分析指标：不同资产类型风险值。

分析方法：选定分析资产范围，分别计算出再该资产范围内当前的不同资产类型风险值。

d)基于资产类型的风险值占比分析；

分析内容：对当前资产范围内的不同类型资产的风险值分别进行占比计算，分析出当前资产范围内的不同资产类型风险值对漏洞风险值总数的占比情况。该脆弱性分析指标所对应的数据类型包括：资产类型、漏洞数量、漏洞风险值。

分析指标：不同资产类型漏洞百分比。

分析方法：选定分析资产范围，分别计算出再该资产范围内当前的不同资产类型漏洞风险值占比。

4)分布及影响如图17所示：

以漏洞查看资产，通过漏洞影响资产范围进行降序排列，提供影响范围最广泛的漏洞排序清单，可以根据漏洞等级、风险值、影响资产端口数量进行动态排序。

将验证状态是成功的漏洞，有加固异常的漏洞，未处理的漏洞进行自动化的筛选，将符合条件的漏洞数据以数据清单的形式进行展现。帮助用户在海量漏洞数据中过滤出最需要关注和处理的漏洞数据。并且通过饼状图，展现出需要关注的漏洞和原始漏洞数量的占比分布情况如图18所示。

在本实施例中，通过漏洞扫描数据以及内置数据库，结合信息安全漏洞技术和数据挖掘技术，提供多维度的安全漏洞态势感知，以不同维度的动态图标和数据清单展现。通过进行多维度漏洞分析，对每个维度构建了指标度量的方法，满足态势量化计算的可行性，实现了网络安全脆弱性的多维度态势的详细捕捉。

在上述任意一项实施例中优选的，所述行为态势评估子模块用于采用阈值决策法、统计分析法、聚类分析法、时间序列方法、特征匹配方法、数据挖掘方法或基于图模型的分析方法对网络行为进行分析；所述网络行为包括用户行为、主机行为、业务行为、攻击行为、应用行为和全局网络行为。

网络行为指行为主体为实现某种特定的目标，采用计算机网络应用作为手段和方法而进行的有意识的活动。网络行为分析(NetworkBehaviorAnalysis，NBA)是一种通过监测流量并关注异常行为或偏离正常操作来增强网络安全性的方法。传统的入侵检测系统解决方案通过使用数据包检测、特征匹配和实时阻断的方式在网络边界实施防护，NBA解决方案观察网络内部发生的情况，汇总来自多个观测点的数据，以支持离线分析。在纵深防卫和多层次的网络安全保护机制中，行为分析与异常检测是一项不可或缺的技术，扮演着非常重要的角色。异常行为检测建立系统、用户、网络、应用或某个主体的正常行为模型，待检测的行为如果在一定程度上偏离了该模型就判断它为异常。在网络流量的监测中，异常行为检测不仅可以及时发现攻击行为(例如DDoS)、检测网络故障(例如路由问题)，还能探测非法行为(例如超大文件的P2P传送)。更重要的是，与误用检测技术相比，异常检测不仅能够检测未知的新攻击，而且还可探测到内部威胁。

对象不同，网络行为分析的方法以及构建的模型也不一样。网络行为分析的对象可以分为以下几种类型：

(1)用户行为分析：对用户或角色的上网数据进行统计、分析，从中发现网络用户行为的规律性，并根据这种规律性对异常用户或异常操作进行检测和审计。

(2)主机行为分析：从主机视角对终端、服务器等设备的网络传输过程进行监测，发现信息泄露、恶意代理等内部威胁。

(3)业务行为分析：根据各类网络业务特点、场景和目标，针对性地建立对应的业务行为模型，常见的业务行为分析包括邮件业务行为分析、DNS业务行为分析、Web业务行为分析等。

(4)攻击行为分析：建立各类攻击的行为模型，实现对攻击行为的检查，如扫描探测类攻击、DoS类攻击、APT等。

(5)应用行为分析：基于应用的网络行为分析实现对应用的分类，如P2P、HTTP、FTP等。

(6)全局网络行为分析：将所有流量汇总在一起，对网络的全局状态进行分析。

网络行为分析及异常行为检测的常用分析方法主要包括：阈值决策方法、统计分析法、聚类分析法、时间序列方法、特征匹配方法、数据挖掘方法、基于图模型的分析方法等。

(1)阈值决策方法：包括恒定阈值方法和自适应阈值方法。恒定阈值检测方法是对某个网络参数给出不变的阈值，如果在某个采样时刻发现采集的该参数值超过预定的阈值，则发出行为异常告警。自适应阈值方法不设置固定阈值，而是建立正常网络参数范围，是对恒定阈值检测的一种改进，这样更符合异常行为检测的实际需求，增加了检测的准确性。

(2)统计分析法：统计分析法采用统计变量来描述网络行为，所有的统计检测点组成统计模型，当观测数值的统计值偏离模型时，可以判定为异常行为。这类方法思想是通过一定的时间间隔对网络行为的数据进行采样，对每次采集的样本数据进行计算，从而通过一系列的参数变量对网络行为进行描述，构建网络行为模型。常用的统计指标包括：总量指标、相对指标(同比、环比)、平均指标(算数平均数、几何平均数、众数、中位数、)、变异指标(全距、标准差、变异系数、偏度、峰度)、相关指标(Pearson简单相关系数)等。统计分析方法的理论研究成熟，算法的完善，用于异常行为检测时不需要很多的先验知识，并且能自适应地检测对象的行为特征。

(3)聚类分析法：将网络行为相关的指标作为特征，实现距离或相似性度量，然后基于各类聚类算法对网络行为进行群体划分或对离群点进行检测。常见的聚类分析方法包括基于划分的聚类、层次聚类、基于密度的聚类、基于模型的聚类、模糊聚类等。基于划分的聚类方法首先需要确定聚类数量K，然后通过循环定位将对象从一个划分转移到另一划分来改善划分质量，K-means算法是典型的基于划分的聚类算法。层次聚类包括凝聚层次聚类和分裂层次聚类两种类型。凝聚层次聚类是以每个对象为单点簇，从单点簇开始每一步合并两个最近的簇，直到所有的对象被合并为一个簇；分裂层次聚类是从包含所有对象的簇开始，每一步分裂一个簇，直到剩下最后一个单点簇。基于密度的聚类算法主要的目标是寻找被低密度区域分离的高密度区域。与基于距离的聚类算法不同的是，基于距离的聚类算法的聚类结果是球状的簇，而基于密度的聚类算法可以发现任意形状的聚类，这对于带有噪音点的数据起着重要的作用，DBSCAN算法是典型的密度聚类算法。此外，还有以EM算法为代表的基于模型的聚类方法和以FCM算法为代表的模糊聚类算法。

(4)时间序列方法：

这种方法通过利用时间序列来分析网络行为的正常/异常情况。网络流量中的一些特征在时间上存在一定的相关性。研究网络流量的特征属性(比如IP地址的变化等)随时间的变化趋势，计算正常流量的时间序列模型，然后利用此模型对测试的流量进行检测，从而判断被测试的流量是否正常。同样地，也可以模拟出异常流量模型，用于判断发生网络异常行为时所表现的网络流量异常。

(5)特征匹配方法：特征匹配方法可分为两类。一类是统计偏差检测，即把历史数据用统计的方法建立基线，假定用户和网络的行为是可预测的，符合一定的模式，当前特征与所期望的特征有明显偏差时产生告警。二是模式匹配检测，将已知攻击类型及相应网络配置模型化，当检测到匹配某种模式时，就认为存在相应网络攻击。

(6)数据挖掘方法：

数据挖掘方法无需过多的领域知识，适用于复杂的数据源。网络异常行为检测可应用数据挖掘技术从大量的网络数据包中构建简洁而精确的模型，作为判断的依据。数据挖掘可以分为以下几种类型：关联分析、数据分类、序列模式挖掘等。

(7)基于图模型的分析方法：

在网络行为分析中，可用图分析技术(GraphAnalysis，GA)发现的通信行为关系的本质，可以挖掘来自网络流量的网络通信的信息，发现网络通信中最有影响力的主机节点。如流量行为图方法(TrafficActivityGraph，TAG)、谱聚类方法、基于图理论的特征抽取等。

在本实施例中在网络流量的监测中，采用行为态势评估，进行异常行为监测不仅可以及时发现攻击行为(例如DDoS)、检测网络故障(例如路由问题)，还能探测非法行为(例如超大文件的P2P传送)。更重要的是与误用检测技术相比，异常检测不仅能够检测未知的新攻击，而且还可探测到内部威胁。

Claims (4)

1.一种电网安全态势感知系统，其特征在于，包括安全数据采集存储模块、入侵检测模块、态势智能分析模块和态势可视化模块；

所述安全数据采集存储模块，包括数据处理层和数据存储层；所述数据处理层用于采集电力工控系统中用于进行安全态势感知的网络安全数据作为原始数据，对原始数据进行预处理；所述数据存储层，用于将预处理后的网络安全数据进行存储；所述网络安全数据包括资产信息数据、网络流量数据、日志数据、运行状态数据、脆弱性数据和安全事件数据；

所述入侵检测模块，用于采用深度包监测技术对日志数据和网络流量数据中的网络报文进行实时安全检测；

所述态势智能分析模块，用于获取存储的网络安全数据和安全检测结果，并输入到预先构建的机器学习模型和知识库中，按照态势指标，进行多角度安全态势分析；

所述态势智能分析模块，按照安全态势分析角度，包括综合态势评估子模块、资产态势评估子模块、流量态势评估子模块、脆弱性态势评估子模块和行为态势评估子模块；

所述综合态势评估子模块用于综合其他任意两种或多种态势评估后，从时间维度和/或空间维度，对态势指标进行研判，按照态势指标进行综合评估；所述综合态势评估的可视化包括以下展示方式中的任意一种或多种仪表盘、计数器、雷达图、饼图、柱状图；

所述资产态势评估子模块，包括资产发现单元、资产属性单元、资产类型判断单元和资产态势评估单元；

所述资产发现单元，用于从资产信息数据中发现网络中的资产；

所述资产属性单元，用于补全所发现资产的属性；

所述资产类型判断单元，采用资产指纹识别库来判断发现资产的类型；

所述资产态势评估单元，用于从资产类型角度、网络区域角度和业务系统角度，按照预设指标分别进行全方位资产安全态势分析；所述全方位资产安全态势分析包括资产类型信息、资产受危害信息、资产弱点分布、资产受攻击分布和资产风险态势；

所述流量态势评估子模块，包括流量分析单元和流量态势评估单元；

所述流量分析单元用于对网络流量数据中的流量行为进行量化统计与实时关联分析；

所述流量态势评估单元，用于利用统计和关联分析后的数据，实现网络空间流量态势可视化呈现和网络空间流量异常智能化预测与异常预警；

所述脆弱性态势评估子模块，包括脆弱性数据处理单元和漏洞态势分析单元；

所述脆弱性数据处理单元，用于将脆弱性数据中不同类型的漏洞扫描工具、代码审计、渗透测试、风险评估、监管通告的原始漏洞数据进行去重合合并，并将漏洞信息进行自动标准化处理；

所述漏洞态势分析单元，利用预设知识库中的漏洞数据库，将标准化后的脆弱性数据，按照分析指标进行分析，并将分析结果进行可视化呈现；所述分析结果包括：漏洞严重性等级统计分析；漏洞类型统计分析；资产类型统计分析；漏洞分布影响和漏洞聚焦；

所述行为态势评估子模块用于采用阈值决策法、统计分析法、聚类分析法、时间序列方法、特征匹配方法、数据挖掘方法或基于图模型的分析方法对网络行为进行分析；所述网络行为包括用户行为、主机行为、业务行为、攻击行为、应用行为和全局网络行为；

所述态势可视化模块，用于将安全态势分析的结果可视化呈现。

2.根据权利要求1所述的电网安全态势感知系统，其特征在于，所述知识库包括包括内置数据库和外部数据库；所述内置数据库包括IP地址库、域名库、恶意IP地址库、恶意域名库、恶意URL库和漏洞信息库；所述外部数据库包括GIS地理信息库、威胁情报库、资产管理责任人信息库。

3.根据权利要求1所述的电网安全态势感知系统，其特征在于，所述数据处理层包括数据预处理子模块，所述数据预处理子模块包括标准化单元、轻度汇总单元和重度汇总单元；

所述标准化单元，用于获取原始数据中的非结构化数据至消息队列，通过流计算过程，对数据进行标准化；

所述轻度汇总单元，用于对标准化后的数据进行轻度汇总，将轻度汇总过程中产生的关联分析结果存储至Parquet中；

所述重度汇总单元，用于获取原始数据中的结构化数据至存储层，对存储层数据进行重度汇总，将重度汇总结果存储至分布式文件存储层。

4.根据权利要求3所述的电网安全态势感知系统，其特征在于，所述标准化单元包括数据解析子单元、数据清洗子单元、数据转换子单元和数据增强子单元；

所述数据解析子单元，用于对原始数据进行识别，分辨出所述原始数据的数据格式；

所述数据清洗子单元，用于对不同方式获得的相同数据进行去重；

所述数据转换子单元，用于根据格式要求对原始数据进行字段拆分，划分出不同的字段；

所述数据增强子单元；用于选择性对拆分的字段进行数据丰富，实现字段增强。