1、平安设备在电力企业的运用 平安设备联动模型框架,是将不同厂家的平安设备数据进行整合、归并与关联分析,过滤事件中的误报、产生确定的平安警报,根据制定的联动策略对设备进行动态配置,使其产生联动响应。联动模型框架包括数据采集层、事件分析层和决策层三局部1,如以下图1所示。数据采集主要分为日志数据采集,数据清理和过滤,数据转换和归并三层结构。图2数据预处理的逻辑结构数据采集主要是采集电力企业网络中能反映网络平安态势信息的日志,包括防火墙、入侵防御系统、防病毒系统和漏洞扫描系统。不同的日志信息采用不同的采集方式。文件型日志的采集主要是读取日志文件,针对数据的结构对其进行拆分,并进行存储3。syslog格
2、式存储的日志采集主要是通过建立syslog效劳器,通过udp协议接收514端口上的数据,并进行存储。为保证数据的实时性,采集的周期要尽可能短。数据清理主要是通过一定的数据清理和过滤算法实现对网络平安设备日志的清理,去除其中错误、重复和不完整的数据。数据转换那么是通过建立数据转换模型将经过清理的各类设备日志进行标准化处理。数据归并是对转换完成的日志数据提取关键属性,合并同类型关键数据,得到精练的并能充分描述对象的属性集合。日志预处理模块是通过在各个网络平安设备上平安日志采集代理完成根本平安事件的采集,然后日志采集代理将各个设备的日志提交到事件管理器进行平安事件的分析与合并,将日志信息归类上升为平
3、安事件,添加到平安事件数据库。日志数据的预处理模块主要是为网络平安设备联动系统的数据访问提供一个公共的统一接口,使访问者不必考虑数据模型的异构性、数据抽取、数据合成等问题,只需指定想要的数据,而不必关心如何得到。 事件分析层主要是通过分析分析平安事件数据库中的数据,发现隐藏在这些看似独立的平安事件背后的逻辑和攻击信息,也就是开掘出这些网络平安事件之间的关联4。在平安事件数据库中,平安事件主要是以属性作为关键字进行存储的。本模型中事件分析层的关联算法主要是采用基于攻击属性相似性的关联方法。基于攻击属性相似性的关联方法通过以下几个步骤对报警进行关联:(1)计算平安事件不同属性之间的相似度;(2)当
4、新的平安事件到来时,与已存在的所有事件线程的相应属性值进行比较,计算它们之间的相似度;(3)将平安事件与事件线程相似度最大、并超过设定阈值的平安事件融合到事件线程中。假设不超过设定的阈值,那么生成一个新的事件线程。事件分析层主要是结合平安事件数据库,对当前出现的平安事件或系统漏洞进行关联规那么分析,分析当前时间产生的前提下,可能引发的其他平安事件,并对关联分析产生的平安事件进行预警,并触发联动模块,使系统设备和工作人员对即将发生的平安事件进行警戒状态,并进行一定的处理。事件分析层中事件管理器将源事件提交给策略判决点进行策略触发,管理控制端通过检索事件数据库中的事件源和策略库中事件源对应的相应处
5、理策略完成策略触发,并将触发策略返回给策略判决点。策略判决点再将平安事件处理策略下发给各个代理,通过代理执行策略的具体内容改变平安设备的相关配置完成平安事件的处理。从整体上构建基于联动策略的网络平安设备联动模型,通过平安事件触发的机制自动生成平安策略,通过自动化地将设备配置信息传送给相关设备到达应用平安策略的目的,实现从整体上协调一致,主动动态地保障网络平安,顺应电网智能化的开展趋势。 本文研究了构建网络平安设备联动系统及其在电力企业信息平安领域的应用,通过对信息系统原始日志信息进行标准要求和统一处理,并在大量的日志信息中找到高风险的平安事件,对平安事件进行关联分析,获取全面准确的系统潜在威胁,提供准确的平安风险分析报告和风险控制措施。最后从解决平安事件的角度提出应对平安事件的联动策略,为管理员发出相应的风险告警,有效处理内部违规操作和外部威胁等一系列网络平安问题。 第3页 共3页
