陳益芳，宣羿，樊立波，孫智卿，屠永偉，張亦涵，蔡乾晨

(1.國網(wǎng)浙江省電力有限公司杭州供電公司，浙江 杭州 310016) (2.國網(wǎng)浙江省電力有限公司，浙江 杭州 310063) (3.深信服科技股份有限公司，廣東 深圳 518000)

電力企業(yè)網(wǎng)絡(luò)安全關(guān)系國家安全、經(jīng)濟命脈，網(wǎng)絡(luò)安全事件給國計民生帶來重大損失。而當今世界正處于信息時代，信息技術(shù)飛速發(fā)展，給社會、政治、經(jīng)濟、文化帶來重大影響。生產(chǎn)生活信息化和經(jīng)濟全球化相互促進，互聯(lián)網(wǎng)已經(jīng)融入社會生活的方方面面， 深刻地改變了人們的生產(chǎn)和生活方式[1-5]。2015年12月，烏克蘭電網(wǎng)遭到黑客的網(wǎng)絡(luò)攻擊，造成烏克蘭境內(nèi)多個區(qū)域停電數(shù)小時。2019年3月，委內(nèi)瑞拉發(fā)生大規(guī)模停電，嚴重影響到了委內(nèi)瑞拉整個國家的生產(chǎn)、交通、通訊系統(tǒng)。2019年7月，伊朗信息戰(zhàn)隊入侵美國紐約市電網(wǎng)控制中心，造成紐約市大規(guī)模停電數(shù)小時，引發(fā)了極大地混亂[6-10]。隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展和信息化與工業(yè)化的融合，網(wǎng)絡(luò)安全的重要性愈發(fā)凸顯。

基于某供電公司現(xiàn)有的網(wǎng)絡(luò)安全系統(tǒng)以及安全日志數(shù)據(jù)，為提升公司整體安全能力建設(shè)，圍繞“打造行業(yè)級網(wǎng)絡(luò)安全平臺和基礎(chǔ)設(shè)施、提升網(wǎng)絡(luò)安全技術(shù)防護能力、強化數(shù)據(jù)安全保障”三項重點目標，構(gòu)建網(wǎng)絡(luò)安全數(shù)據(jù)大平臺，具備可視化、可預(yù)警、可建模、可擴展的能力，極大提升電力公司內(nèi)部特定場景的安全檢測威脅發(fā)現(xiàn)能力。提高電網(wǎng)系統(tǒng)安全管理水平，降低電網(wǎng)系統(tǒng)所面臨的安全風(fēng)險威脅，保證電網(wǎng)系統(tǒng)安全、穩(wěn)定地運行。

1 研究思路

本文研究網(wǎng)絡(luò)安全大數(shù)據(jù)運營技術(shù)，運用大數(shù)據(jù)建立AI檢測模型，通過持續(xù)安全運營迭代檢測模型算法，構(gòu)建自進化AI威脅檢測引擎；推進自進化AI態(tài)勢感知平臺的試點部署及功能升級。研發(fā)屬于電力行業(yè)的網(wǎng)絡(luò)安全場景模型，搭建網(wǎng)絡(luò)安全仿真驗證環(huán)境基礎(chǔ)結(jié)構(gòu)，針對電力內(nèi)網(wǎng)環(huán)境的因子變化，以及日志分析做到安全問題定位與分析[11-12]。全面采集杭州電網(wǎng)安全風(fēng)險和接收來自各設(shè)備的安全信息，實現(xiàn)全網(wǎng)安全風(fēng)險分析和整體安全運營。安全大數(shù)據(jù)平臺打通安全運營人員和流程，并通過大數(shù)據(jù)、威脅情報、運營流程的交互界面，提升本地已部署的各類安全組件的聯(lián)動能力，實現(xiàn)對各類安全威脅深度檢測，安全風(fēng)險全面分析。

2 安全分析模型設(shè)計

網(wǎng)絡(luò)安全大數(shù)據(jù)平臺構(gòu)建包括平臺以及各類流程、日志采集探針，通過深度挖掘數(shù)據(jù)中存在的關(guān)聯(lián)價值與AI建模，其中計劃構(gòu)建的模型如圖1所示：

圖1 網(wǎng)絡(luò)安全大數(shù)據(jù)平臺模型Fig.1 Cyber security big data platform model

2.1 賬號越權(quán)模型

根據(jù)業(yè)務(wù)系統(tǒng)賬號的安全訪問需求，建立一套賬號越權(quán)訪問管理的規(guī)范和預(yù)警規(guī)則。通過對匯集的自助設(shè)備日志、柜臺終端日志、業(yè)務(wù)系統(tǒng)日志、流量數(shù)據(jù)等進行深度分析，以業(yè)務(wù)系統(tǒng)接入活動軌跡為主線，對業(yè)務(wù)系統(tǒng)連接訪問情況、終端訪問情況、客戶端活躍程度等多位信息進行深度挖掘和分析判別，并結(jié)合用戶實體行為分析(user and entity behavior analytics, UEBA)[13-16]技術(shù)進行持續(xù)的特征向量計算。對賬號的關(guān)系進行分析如常用的登錄設(shè)備、常用的登錄IP、常用的登錄地點，保障賬號安全維護賬號管控體系的安全，為賬號越權(quán)行為涉及的需審查終端進行分析判別時提供依據(jù)。

2.1.1 模型構(gòu)建思路

基于業(yè)務(wù)系統(tǒng)日志、流量訪問日志[17-21]進行分析，可通過對業(yè)務(wù)系統(tǒng)的連接訪問情況、對終端查詢源、賬號發(fā)起人、獲取訪問頻次進行綜合分析判別，建立賬號越權(quán)訪問的分析模型。具體可從以下維度進行分析：

(1)重點檢測目標端口為22或3389的流量日志，防范異常的遠程主機登錄行為。

(2)對于賬戶信息、網(wǎng)絡(luò)信息等信息搜集行為和其他憑證獲取行為，結(jié)合終端日志進行檢測與告警。

(3)分析關(guān)鍵賬號或IP的登錄次數(shù)、操作次數(shù)、訪問次數(shù)，進行登錄趨勢的記錄，當?shù)卿浕€異常進行告警。

(4)分析關(guān)鍵賬號的操作關(guān)系行為、登錄關(guān)系行為，根據(jù)歷史數(shù)據(jù)分析賬號常用的關(guān)系，比如登錄IP或地點，常用操作、常用登錄時間段。當業(yè)務(wù)系統(tǒng)出現(xiàn)新的登錄IP、多主機登陸同一賬號、同一主機登陸多個賬號、新的登錄地點或舊IP下出現(xiàn)新的高權(quán)限賬號，訪問新的敏感數(shù)據(jù)、出現(xiàn)新的數(shù)據(jù)操作等行為判斷為賬號越權(quán)訪問。

2.1.2 算法分析

賬號越權(quán)模型中采用的UEBA技術(shù)通過建立用戶風(fēng)險評分模型，體現(xiàn)用戶風(fēng)險程度。通過公式從失陷賬戶、內(nèi)部合規(guī)、數(shù)據(jù)泄露等多個維度計算風(fēng)險分值，異常行為越多則風(fēng)險分值越高。進行用戶行為建模、行為關(guān)聯(lián)分析、行為異常分析實現(xiàn)更加精確的電網(wǎng)系統(tǒng)安全威脅檢測。

采用異常點監(jiān)測算法[22-24]通過構(gòu)建賬號與IP的對應(yīng)關(guān)系進行異常點建模如：N1、N2區(qū)域代表正常點的數(shù)據(jù)集合，區(qū)域中的點代表了時間T之內(nèi)與賬號Z之間的對應(yīng)關(guān)系。而O1作為一個數(shù)據(jù)對象在建模的坐標系統(tǒng)明顯遠離其他的正常的N1、N2區(qū)域，因此標記為異常點(outlier)。如下圖2所示，假定N1、N2為兩個正常數(shù)據(jù)點集合。而距離集合N1、N2較遠的O1、O2、O3集合則標記為異常點集合。

圖2 異常點建模Fig.2 Anomaly modeling

移動平均(moving average)[25-28]常被用于時間序列分析，其本質(zhì)上是低頻濾波器，可以過濾時間序列中的高頻擾動和檢測序列數(shù)據(jù)中的異常點。本文通過利用移動平均原理計算某時間段內(nèi)的用戶行為風(fēng)險分值的移動均值，并與該時刻T的風(fēng)險分值進行對比，若兩者相差超過一定閾值則可檢測出該時刻T的用戶行為異常。

針對本次賬號越權(quán)的行為，經(jīng)過多次實驗從支持向量機、樸素貝葉斯、邏輯回歸算法中選擇最優(yōu)的算法進行建模，實驗結(jié)果是使用支持向量機的模型檢測準確率最高。支持向量機(support vector machines, SVM)[29]有如下優(yōu)點：

(1)適合解決小樣本的機器學(xué)習(xí)問題；

(2)SVM 模型可以有效地避免維數(shù)災(zāi)難；

(3)沒有局部極小值問題；

(4)能夠有效處理高維數(shù)據(jù)，具有較強的泛化能力。

鑒于上述分析，本節(jié)提出以SVM模型為核心的賬號越權(quán)模型。因此針對如何選擇有代表性，更好的特征提高SVM分類準確率的問題， 利用RFE算法[30]先選出部分優(yōu)秀的特征子集作為遺傳算法解空間的先驗知識，幫助遺傳算法更合理的初始化種群，引導(dǎo)算法進化，更快地選出優(yōu)秀的特征子集。通過改進后的特征選擇算法選出更好的特征子集來表達樣本，從而提高SVM分類的準確率。

SVM算法是一種二分類模型。其算法思想是將特征空間正確劃分為兩部分，并最大化被劃分的兩部分之間的間隔，SVM學(xué)習(xí)算法就是對特征空間超平面分類的凸二次規(guī)劃求解。建設(shè)一個基于所有基本賬號的特征權(quán)限，一旦有發(fā)生特征偏離的情況即會進行偏離的業(yè)務(wù)判定。

圖3 異常點排列圖Fig.3 Anomaly alignment chart

采用兩類平面的構(gòu)造式為：

(1)

同時為了解決離散點數(shù)據(jù)優(yōu)化問題，進來，引入拉格朗日公式：

(2)

當滿足w，b的偏導(dǎo)為0的時候，即可得到算法的最優(yōu)解。

aj≥0j=1,2,…,l

(3)

因此得到最優(yōu)分類超平面：

f(x)=sgn{(w*·x)+b*}=

(4)

根據(jù)上述離散點SVM向量的優(yōu)化特征不難得出整個基于最優(yōu)化的平面線，并可對出現(xiàn)的賬號業(yè)務(wù)偏差做相關(guān)的判定。可以針對同一賬號在不同時間點的登陸判定，事件只要有偏離f(x)的關(guān)聯(lián)性后就會產(chǎn)生相關(guān)告警。

2.2 設(shè)備仿冒模型

通過對設(shè)備以主機名、MAC地址、IP進行唯一標識結(jié)合流量識別建立設(shè)備資產(chǎn)指紋庫。對設(shè)備行為進行基線建立，如流量的基線、操作的基線、訪問頻次的基線，實現(xiàn)對設(shè)備活動異常行為的檢測和預(yù)警。當仿冒設(shè)備的攻擊者進行橫向移動，獲取信息或發(fā)起暴力破解、漏洞等攻擊手法展開惡意活動時，及時發(fā)現(xiàn)攻擊者的惡意程序、后門的活動軌跡。

2.2.1 設(shè)備仿冒模型構(gòu)建思路

(1)通過流量資產(chǎn)識別，識別新增的設(shè)備，如果識別到新違規(guī)設(shè)備則告警(搜集常見廠商攝像頭打印機的MAC地址。

(2)檢測同IP下的MAC地址變動活動，通過維護IP、MAC關(guān)系表，識別設(shè)備替換行為并調(diào)用資產(chǎn)識別系統(tǒng)對該設(shè)備進行指紋掃描和上報處理。

(3)通過流量監(jiān)測新增設(shè)備的活動軌跡(包括活動時間和流量路徑等)，根據(jù)常用業(yè)務(wù)場景或者結(jié)合UEBA技術(shù)建立白名單范圍并設(shè)置相應(yīng)告警規(guī)則，防止?jié)撛诘膬?nèi)網(wǎng)滲透攻擊。

(4)監(jiān)測攝像頭、打印機等設(shè)備的訪問源和訪問目的的流量，針對內(nèi)網(wǎng)資產(chǎn)建立白名單，對名單范圍之外的可疑流量進行告警。

(5)結(jié)合威脅情報對設(shè)備訪問流量進行審計，對出現(xiàn)過的風(fēng)險IP進行告警。

2.2.2 設(shè)備仿冒模型算法分析

設(shè)備仿冒模型的構(gòu)建亦可以根據(jù)UEBA的聚類場景進行分析。如可以采用異常角度點進行檢測。

圖4 基于角度異常點的時間檢測Fig.4 Time detection based on angular anomalies

(5)

假設(shè)D是點集，則對于任意不同的點Y,Z∈D，點X的所有角度的方差為：

(6)

理論上異常點所求出的所有角度的方差較小，通過這個算法可以求出序列中的異常點，而該算法的時間復(fù)雜度是O(N3)，非常適合數(shù)據(jù)量比較小的訓(xùn)練樣本進行使用。

2.3 自建小系統(tǒng)檢測模型

通過收集常用業(yè)務(wù)系統(tǒng)清單，根據(jù)常用業(yè)務(wù)系統(tǒng)關(guān)鍵屬性建立業(yè)務(wù)系統(tǒng)白名單；結(jié)合對主機的訪問日志、終端管理設(shè)備日志、傳輸文件樣本分析等數(shù)據(jù)構(gòu)建自建小系統(tǒng)分析模型，追蹤自建小系統(tǒng)上的操作執(zhí)行情況，并通過網(wǎng)絡(luò)流量數(shù)據(jù)分析網(wǎng)絡(luò)中敏感數(shù)據(jù)的訪問和外發(fā)情況從而進一步追溯對自建小系統(tǒng)的異常訪問行為。

2.3.1 自建小系統(tǒng)檢測模型構(gòu)建思路

(1)利用實時流式分析框架，構(gòu)建時間窗口內(nèi)的群體用戶訪問行為的特征向量，分析群體用戶外的個體用戶對業(yè)務(wù)系統(tǒng)的訪問行為特征向量，尋找差異。

(2)對網(wǎng)絡(luò)流量中識別的網(wǎng)站用戶訪問行為進行日志字段特征構(gòu)建，特征采集http flow和ftp flow匹配開放的端口，形成自建小系統(tǒng)URL模型。

(3)排除遠程登陸RPC的訪問，以及排除掉71000端口，13389端口,還有登記備案的URL以及域名。

基于自建系統(tǒng)的模型主要是實現(xiàn)數(shù)據(jù)的去噪與去重，對匹配上的數(shù)據(jù)進行集中統(tǒng)計，降低監(jiān)測的誤報。針對該場景，利用UEBA內(nèi)置模型，通過對篩選服務(wù)器的地址、端口、時間段、地點的異常監(jiān)控，判斷是否存在訪問異常，發(fā)現(xiàn)非常用地址和非常用時間通過高風(fēng)險協(xié)議如rdp/ftp/smtp/telnet等協(xié)議訪問業(yè)務(wù)服務(wù)器(黑客非法遠程控制或自建業(yè)務(wù)系統(tǒng))。

3 網(wǎng)絡(luò)安全大數(shù)據(jù)平臺架構(gòu)設(shè)計

“網(wǎng)絡(luò)安全大數(shù)據(jù)平臺”整體架構(gòu)如上圖所示，從數(shù)據(jù)源層采集數(shù)據(jù)，通過對數(shù)據(jù)進行解析和關(guān)聯(lián)分析形成主題數(shù)據(jù)。安全大網(wǎng)絡(luò)安全大數(shù)據(jù)平臺提供檢索引擎分析主題數(shù)據(jù)，支持利用數(shù)據(jù)開發(fā)工廠自定義數(shù)據(jù)解析和關(guān)聯(lián)分析規(guī)則。其中大數(shù)據(jù)平臺提供數(shù)據(jù)的存儲、處理和分析的基礎(chǔ)能力。本次平臺設(shè)計分成三個架構(gòu)層：數(shù)據(jù)源層、平臺層、應(yīng)用層。

圖5 網(wǎng)絡(luò)安全大數(shù)據(jù)平臺架構(gòu)Fig.5 Cybersecurity big data platform architecture

3.1 數(shù)據(jù)源層

安全大網(wǎng)絡(luò)安全大數(shù)據(jù)平臺支持接入流量探針采集的數(shù)據(jù)，基礎(chǔ)設(shè)施的日志數(shù)據(jù)和安全設(shè)備的日志數(shù)據(jù)。流量探針可以采集提取流量中的HTTP、UDP、TCP、DNS、POP3、FTP、HTTP文件傳輸、SSL、SSH、MySQL、Oracle等協(xié)議會話的關(guān)鍵數(shù)據(jù)以及PCAP包。基礎(chǔ)設(shè)施可以采集電網(wǎng)服務(wù)器、電網(wǎng)終端、電網(wǎng)網(wǎng)絡(luò)設(shè)備、電網(wǎng)應(yīng)用系統(tǒng)和電網(wǎng)業(yè)務(wù)日志數(shù)據(jù)，應(yīng)用系統(tǒng)日志主要包括用戶管理、認證系統(tǒng)、業(yè)務(wù)系統(tǒng)的操作日志、用戶信息、訪問信息等數(shù)據(jù)。網(wǎng)絡(luò)安全設(shè)備主要包括東軟防火墻、東軟WAF、路由器、交換機、APT檢測、IPS等網(wǎng)內(nèi)關(guān)鍵網(wǎng)絡(luò)安全設(shè)備。

3.2 平臺層

網(wǎng)絡(luò)安全大數(shù)據(jù)平臺由電網(wǎng)數(shù)據(jù)采集子系統(tǒng)、電網(wǎng)行為邏輯關(guān)聯(lián)分析子系統(tǒng)、機器學(xué)習(xí)子系統(tǒng)、大數(shù)據(jù)存儲和計算平臺軟件層、主題數(shù)據(jù)層、可視化開發(fā)子系統(tǒng)組成。

電網(wǎng)數(shù)據(jù)采集子系統(tǒng)包括數(shù)據(jù)提取、數(shù)據(jù)解析和數(shù)據(jù)映射三個主要功能。數(shù)據(jù)提取支持從多種異構(gòu)數(shù)據(jù)源(FTP服務(wù)器、本地目錄文件、syslog、外發(fā)數(shù)據(jù)等)采集數(shù)據(jù)到大數(shù)據(jù)體系中。

電網(wǎng)行為邏輯關(guān)聯(lián)分析子系統(tǒng)的核心是提供針對流式數(shù)據(jù)的復(fù)雜事件處理能力，同時支持多類型源數(shù)據(jù)融合處理分析。關(guān)聯(lián)規(guī)則分析[31]引擎預(yù)置多種安全事件定義模板和安全事件分析模型，同時支持可視化拖拽和參數(shù)配置的方式對數(shù)據(jù)進行關(guān)聯(lián)分析，進而提高實施和二次開發(fā)的效率。

機器學(xué)習(xí)子系統(tǒng)利用機器學(xué)習(xí)的方法構(gòu)建安全分析模型，并支持自定義機器學(xué)習(xí)模型，通過輸入任意指標類數(shù)據(jù)進行模型訓(xùn)練，發(fā)現(xiàn)異常行為并生成安全事件與告警，降低建模的難度，提高效率。

主題數(shù)據(jù)是通過對數(shù)據(jù)進行解析和泛化、多維關(guān)聯(lián)分析，數(shù)據(jù)建模分析后最終形成的主題數(shù)據(jù)庫，如流量元數(shù)據(jù)、日志數(shù)據(jù)、安全告警數(shù)據(jù)、安全事件數(shù)據(jù)、PCAP包和其他資產(chǎn)數(shù)據(jù)庫等。

可視化安全開發(fā)子系統(tǒng)[32-34]基于批流一體的數(shù)據(jù)融合分析引擎向上提供包括數(shù)據(jù)開發(fā)工廠(批流畫布)和搜索工具。批流畫布提供可視化開發(fā)方式對流數(shù)據(jù)流進行實時處理和分析，支持結(jié)合流數(shù)據(jù)和外部數(shù)據(jù)庫進行聯(lián)合分析。搜索工具提供類SQL的分析語法，同時批流一體數(shù)據(jù)融合分析引擎提供開放接口支持上層應(yīng)用利用其數(shù)據(jù)融合分析能力構(gòu)建安全應(yīng)用。

安全大網(wǎng)絡(luò)安全大數(shù)據(jù)平臺提供基礎(chǔ)的數(shù)據(jù)存儲和計算資源，主要包括HDFS、ES、SPARK和FLINK。HDFS能夠靈活存儲大小不一的數(shù)據(jù)文件，用來儲存例如電網(wǎng)網(wǎng)絡(luò)設(shè)備的日志文檔、監(jiān)控圖片。ES可以用來存儲電網(wǎng)信息系統(tǒng)的操作日志、告警信息、安全事件等，并支持快速檢索和分析功能。基于HDFS分布式文件系統(tǒng)和SPARK內(nèi)存計算引擎可以提供分布式離線分析能力。FLINK提供流式數(shù)據(jù)分析、統(tǒng)計和處理能力，向上支持批流一體的數(shù)據(jù)融合分析引擎。同時大數(shù)據(jù)基礎(chǔ)平臺通過安全多租戶子系統(tǒng)提供統(tǒng)一、可視化的多租戶資源管理服務(wù)。

3.3 應(yīng)用層

應(yīng)用層主要包括安全事件中心。安全事件中心主要提供安全事件的展示，查詢和溯源分析的功能。同時安全中臺提供標準的開放接口支持第三方構(gòu)建網(wǎng)絡(luò)安全應(yīng)用、信息安全應(yīng)用和業(yè)務(wù)安全應(yīng)用。開放接口主要包括大數(shù)據(jù)平臺存儲和計算引擎的訪問接口，SPL(搜索處理語言)和批流一體的數(shù)據(jù)融合分析引擎接口。

4 平臺資源部署設(shè)計

本次網(wǎng)絡(luò)安全大數(shù)據(jù)平臺共采用4臺一體機來構(gòu)建大數(shù)據(jù)平臺底座以及高性能的future X引擎，同時部署兩套臺流量探針(東湖供電所+杭州局)，針對管理平臺的縱向流量進行抓取。

圖6 網(wǎng)絡(luò)安全大數(shù)據(jù)平臺建設(shè)架構(gòu)Fig.6 Cybersecurity big data platform construction architecture

網(wǎng)絡(luò)安全大網(wǎng)絡(luò)安全大數(shù)據(jù)平臺部署在杭州局，用于歸集各探針的分析結(jié)果，網(wǎng)絡(luò)安全大數(shù)據(jù)平臺將從總部現(xiàn)有的各類已建其他安全系統(tǒng)(如IPS、WAF、日志審計、防火墻等)獲取數(shù)據(jù)，對各類重要信息系統(tǒng)的安全情況進行網(wǎng)絡(luò)安全監(jiān)控、風(fēng)險預(yù)警、事件通報。同時，網(wǎng)絡(luò)安全大數(shù)據(jù)平臺根據(jù)業(yè)務(wù)需要，實現(xiàn)關(guān)鍵業(yè)務(wù)模型的建設(shè)與業(yè)務(wù)風(fēng)險的匹配。整個集群部署配置如下。

按探針采集0.98Gbps×2和日志審計，IPS、WAF等syslog計算，平臺的規(guī)模與數(shù)據(jù)存量增量以及使用情況直接相關(guān)，根據(jù)統(tǒng)計，平均每秒產(chǎn)生3750條日志，每日產(chǎn)生3.24億條日志。每日所需存儲298GB,預(yù)留CPU比率30%。

整體方案設(shè)計需要約100顆物理核，1024 GB內(nèi)存。

需配置服務(wù)器4臺,單臺硬件配置為：存儲(SATA/SAS)8盤位×4 TB,CPU(>2.4GHz)20物理核，內(nèi)存256 GB，系統(tǒng)存儲(SSD)2 盤位×480GB,千兆網(wǎng)口>=2個,萬兆網(wǎng)口>=2個,其中：

分布式數(shù)據(jù)湖：存儲每天新增的元數(shù)據(jù)，根據(jù)數(shù)據(jù)的使用需求與方式，平臺依賴于不同的大數(shù)據(jù)組件對數(shù)據(jù)進行存儲，數(shù)據(jù)湖等存儲包括分布式文件系統(tǒng)HDFS、HIVE等。

從存儲角度出發(fā)：數(shù)據(jù)湖每節(jié)點存儲空間按照2×480GSSD系統(tǒng)盤，8×4TBSATA/SAS數(shù)據(jù)盤共8盤位設(shè)計。單節(jié)點數(shù)據(jù)磁盤空間32TB，考慮到多副本(按照兩副本加壓縮后數(shù)據(jù)冗余度大約1.5計算)及大數(shù)據(jù)組件自身占用(按照不高于10%計算)，單節(jié)點有效存儲不低于32TB×(1-0.1)/1.5=19.2TB空間。結(jié)構(gòu)化數(shù)據(jù)存儲周期是180天，故需要298×180/19.2×1024=3節(jié)點。

MPPDB分布式數(shù)據(jù)庫：存儲關(guān)鍵安全數(shù)據(jù)和配置數(shù)據(jù)，存儲周期三年，由于數(shù)據(jù)規(guī)模較小，建議使用3節(jié)點作為集群。

NOSQL存儲：主要存儲情報數(shù)據(jù)，配合實時流處理進行打標簽，數(shù)據(jù)規(guī)模不大，建議使用3節(jié)點作為存儲。

圖數(shù)據(jù)庫：主要是用來存儲畫像數(shù)據(jù)，包括黑客畫像、攻擊畫像等數(shù)據(jù)，數(shù)據(jù)規(guī)模不大，建議使用3節(jié)點作為存儲。

非結(jié)構(gòu)化存儲：目前并未有內(nèi)容解析的非結(jié)構(gòu)化數(shù)據(jù)需要存儲，暫不考慮。

5 結(jié)論

烏克蘭電網(wǎng)遭受網(wǎng)絡(luò)攻擊事件以及美國紐約遭伊朗信息戰(zhàn)隊攻擊事件等專門針對電網(wǎng)以及工控網(wǎng)絡(luò)系統(tǒng)的安全事件層出不窮，意味著工控網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全形勢越發(fā)嚴峻，電網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全事關(guān)國家安全、經(jīng)濟命脈，一旦遭受攻擊，將會是一場不可估量的災(zāi)難。

本文網(wǎng)絡(luò)安全大數(shù)據(jù)平臺建設(shè)規(guī)劃旨在利用云計算、大數(shù)據(jù)、AI建模、態(tài)勢感知等技術(shù)，建設(shè)集中統(tǒng)一的安全數(shù)據(jù)分析平臺，實現(xiàn)電網(wǎng)系統(tǒng)的實時監(jiān)測、威脅告警、入侵溯源、安全審計、閉環(huán)管控等能力，全面監(jiān)控電網(wǎng)系統(tǒng)各類設(shè)備的運行情況以及安全情況。通過大數(shù)據(jù)平臺建設(shè)，打破傳統(tǒng)電網(wǎng)數(shù)據(jù)孤島，推進“智慧電網(wǎng)”建設(shè)，加快杭州電網(wǎng)朝“三融三化”和“三條主線”數(shù)字化目標轉(zhuǎn)型，本平臺建設(shè)還對杭州電網(wǎng)網(wǎng)絡(luò)安全能力發(fā)展具有以下創(chuàng)新意義。

(1)聚焦挖掘沉睡數(shù)據(jù)，提升沉睡數(shù)據(jù)價值。運用大數(shù)據(jù)建立AI檢測模型，通過持續(xù)安全運營迭代檢測模型算法，構(gòu)建自進化AI威脅檢測引擎。

(2)研究電網(wǎng)業(yè)務(wù)模型，打造業(yè)務(wù)安全運行基準。以大數(shù)據(jù)、云計算技術(shù)為依托，結(jié)合終端安全日志和網(wǎng)絡(luò)UEBA行為分析技術(shù)，研發(fā)屬于電力行業(yè)網(wǎng)絡(luò)安全場景模型，搭建網(wǎng)絡(luò)安全仿真驗證環(huán)境基礎(chǔ)結(jié)構(gòu)，針對內(nèi)網(wǎng)環(huán)境的因子變化，以及日志分析做到安全問題定位與分析。建立監(jiān)控內(nèi)部違規(guī)行為(如試圖使用他人賬號登錄、越權(quán)訪問、異常行為等)和存在外部安全風(fēng)險(如自建小系統(tǒng)、設(shè)備仿冒等)的智能化風(fēng)險控制安全體系，防范違規(guī)行為、預(yù)警違規(guī)風(fēng)險。

(3)聯(lián)防聯(lián)控，打造電網(wǎng)內(nèi)部一體化安全中臺。采取“平臺統(tǒng)一、小步快跑、持續(xù)迭代”的演進策略，建立安全模型可視化展示，實時推送高風(fēng)險用戶告警信息、定期形成分析報告，打造電網(wǎng)行業(yè)級網(wǎng)絡(luò)安全展示中心。