基于关联规则的电力监控系统主机基线核查算法

2023-12-30 00:35王树军常星曹帅付学良
电气自动化 2023年6期
关键词:核查基线关联

王树军, 常星, 曹帅, 付学良

(中国科学院沈阳计算技术研究所有限公司,辽宁 沈阳 110168)

0 引 言

电力监控系统是针对业务需求产生的,为了实现各种不同的功能,其构成复杂、庞大[1-3],在使用上很容易出现错误和漏洞[4]。电力监控系统负责用电和供电等业务,是保障用电安全的重要软件。为了消除系统内部可能存在的各种隐患,需要相应的安全防护措施来保护系统,基本的防护措施就是对系统主机基线的核查[5-6]。

一般情况下,电力监控系统在使用上容易受到逻辑和物理上的威胁。物理上威胁主要是非人为的意外对系统硬件的破坏,这种情况需要物理手段应对;逻辑上的威胁主要来自人员操作和网络,主机基线核查能够从逻辑上检查系统运行情况,降低系统运行风险。因此,提出基于关联规则的电力监控系统主机基线核查算法,利用关联规则挖掘信息逻辑,完善核查内容,解决常见的核查算法中存在的问题。

1 电力监控系统主机基线核查算法设计

1.1 核查任务执行架构

针对电力监控系统的主机基线核查,设计核查任务执行架构,通过在主机上部署Agent程序,实现前端与后台之间的联动,具体设计如图1所示。

图1 核查任务执行框架结构示意图

图1中,主机基线核查包含很多核查内容,Agent的使用能够为核查数据的存储和数据格式的管理提供便利,并且其高并发能力能够支持多线程工作的顺利进行。在Agent的支持下,部署主机基线核查所需要的算法和程序,通过执行模块完成核查任务下发、执行和上报过程。

在主机基线核查中,基线文件是xml文档,为了便于后续处理,统一基线数据格式,具体转换操作如图2所示。

图2 基线数据及格式转换

图2中,在核查任务执行架构的支持下,利用关联规则相关技术,扩展核查逻辑,使其满足电力监控系统主机基线核查需求。

1.2 基于关联规则的核查逻辑扩展

定义原有的核查逻辑表示形式为自然语言文本,存在于向量空间内,根据文本的特征,其数学表示形式为W=W(t1,r1,t2,r2,…,tn,rn)。式中:t为核查逻辑文本的特征项;r为每个文本特征项的权值。默认核查逻辑文本存在同一个空间内,特征项集合为多维坐标系,权值为坐标值,W为逻辑文本的向量。

通过上述定义,采用关联规则计算特征项权值,在此之前,引入组关键词概念,用于逻辑检索和查询扩展。在已知的关键词库中初始化一组关键词,以初始组关键词作为查询关键词,开始循环搜索,利用第i组关键词的出现频率进行加权计算。计算公式为:

ηij=e1η1ij+e2η2ij+e3η3ij

(1)

式中:ηij为第i组关键词的频率加权值;e1、η1分别为title标记的权重和频率和;e2、η2分别为强调类标记的权重和频率和;e3、η3分别为h类标记的权重和频率和;j为循环次数。利用关联规则量化每个组关键词,得到关联度,计算每个关键词的加权权重,用于衡量关键词的关联程度。计算公式为:

(2)

式中:Ki为关联程度;Ri为第i次循环得到的关键词权重;ηij为加权频率。Ri随着循环次数的增加而不断减小。为了更好地扩展核查逻辑,对初始查询语义进行补充和完善,在关联规则中,对于一个关联规则V:X⟹Y,同一个关键词可能出现在前件中,也可能出现在后件中。另外,在不同的频繁模式下,也可能出现同一个查询词,对于不同的情况,利用关联规则重新定义权重。

将初始查询的关键词权重设为R0,当挖掘到新的关键词时,判断该关键词出现位置,若出现在关联规则的前后,则以前件中的关键词权重为主,选择置信度最高的关联规则进行计算。具体定义如下:

(3)

式中:∑Ri为关联规则前件中各个关键词的权重和;nrelation为前件中项目的个数;awconf为置信度。由此可知,搜索次数越多关键词权重越小。此时,设定一个关联度阈值,经过计算后,将低于设定的关联度阈值的关键词删除掉,对余下得到关联度高的关键词进行逻辑判定,直到所有关键词遍历完成,将关联度高的逻辑关键词纳入到逻辑库中,完成核查逻辑的扩展。

核查逻辑的扩展证明对电力监控系统主机基线核查的可操作性增加,为了稳定核查状态,避免增加时间成本,采用快速加固的方式加固主机基线安防知识库,优化主机基线维护内容。

1.3 加固知识库

加固知识库的首要任务是构建指标库,基于核查逻辑库中的关键词和核查实际需求,从系统主要类型、网络连接方式、安全配置和数据安全四个方面入手,整理出符合规范的知识库,以便在实时核查主机基线过程中,实现基线数据的实时分析与逻辑判断,并根据分析结果进行快速地修复和加固。

具体内容为:构建指标库、配置各个指标下的检查点和确定多个核查列表的构成内容以及之间的逻辑关系。每个核查列表由五个方面组成,分别为基线名称、标号、操作、核查方法以及建议。其中前四项指标由相关文献确定,对于建议,必须是符合规定的,通过核查方式得到执行结果,最终与逻辑库中的内容进行比较和逻辑判断,对于不同的核查项目给出针对性的修复建议。至此,基于关联规则的核查算法设计完成。

2 试验

2.1 试验准备

在电力监控系统主机基线核查算法设计完成后,依托电力监控系统的正常运行环境,将核查算法应用到电力监控系统中,以试验验证该核查算法的有效性。电力监控系统主机基线核查有很多,从基本的核查内容入手,结合核查的标准要求,对电力监控系统主机基线内容进行查询和动态检测。通过电力监控系统对试验中选择的核查内容进行筛选,将获得的用例作为试验测试集,对主机基线核查算法进行验证。具体的试验案例信息如表1所示。

表1 自定义核查试验案例表

以表1作为试验案例,为了避免网络环境影响试验效果,利用多个计算机建立一个本地网络,如图3所示。

图3 本地网络构建示意图

图3中,确定合规用例与非合规用例之间的比例,将其作为试验条件。在完成以上准备后进行核查时间和跟踪检测试验分析。

2.2 核查时间试验结果及分析

在核查电力监控系统的主机基线时,以系统调用的痕迹长度作为试验指标,将所有核查用例中的合规用例与不合规用例之间的比例作为条件,比较不同的核查算法之间的性能。系统调用痕迹长度与核查时间成正比,痕迹越长,说明需要的时间越长。利用第三方软件统计试验结果,具体内容如表2所示。

表2 自定义核查试验用例表

通过表2显示的数据可知,提出的基于关联规则的主机基线核查算法核查所需运行时间更短,性能更好。

2.3 跟踪核查试验结果及分析

通过电力监控系统调用跟踪,收集核查行为的时间序列数据,借助上述中的系统调用痕迹收集核查算法的检测正常行为和异常行为,每次测量计算100点的数据长度,以递归百分数作为试验指标,递归百分数越低说明调用越少,核查越快。试验结果由第三方软件输出获得,各个算法试验结果的具体内容如图4所示。

图4 不同核查算法的跟踪核查试验结果

对比观察图中显示的三种不同核查算法的跟踪核查试验结果,可以明显看出:提出的基于关联规则的核查算法在数据异常的情况下,递归百分数的变化比较稳定,且水平较低,在数据正常的情况下,递归百分数同样处于稳定低水平。说明该方法调用少,核查快。

3 结束语

本文在分析电力监控系统的安全风险的基础上,利用关联规则相关理论与技术,设计了一种电力监控系统主机基线核查算法,重新制定了核查逻辑,扩充了检索内容,在多线程的支持下,实现了对电力监控系统的全面核查。

猜你喜欢
核查基线关联
对某企业重大危险源核查引发的思考
不惧于新,不困于形——一道函数“关联”题的剖析与拓展
适用于MAUV的变基线定位系统
关于设计保证系统适航独立核查的思考
基于无人机影像的营造林核查应用研究
航天技术与甚长基线阵的结合探索
“一带一路”递进,关联民生更紧
奇趣搭配
智趣
一种改进的干涉仪测向基线设计方法