本申請提供了一種基于ELK日志采集分析的電力網絡安全監測方法及系統，所述方法包括：采用集中式的日志管理方法，采集電力監控系統網絡安全設備日志；對采集到的電力監控系統網絡安全設備日志進行過濾、范式化處理及存儲；采用分布式日志檢索方法，對存儲的日志進行檢索及統計；匯總展示日志數據。本申請提供的基于ELK日志采集分析的電力網絡安全監測方法及系統，采用集群的方式，數據存儲、查詢高效、快速，實現實時日志監視及存儲，滿足日志存儲要求；并通過可視化模式進行日志展示，界面友好、簡單易用，日志分析規則可自定義設置，便于工作人員實時監測網絡安全事件，提高電力監控系統網絡安全監測水平。

技術領域

本申請涉及電力系統信息安全技術領域，尤其涉及一種基于ELK日志采集分析的電力網絡安全監測方法及系統。

背景技術

電力監控系統采用通用網絡與信息技術，不可避免的引入了信息安全問題。盡管通過網絡隔離技術將電力監控系統的生產控制大區與管理信息大區隔離開來，使得電力監控系統處于相對封閉安全的環境；但隨著針對工業控制系統安全攻擊的增加，以及各界對工控系統信息安全問題的關注，使得包括電力監控系統在內的控制系統的產品信息獲取渠道更豐富，攻擊者學習各種控制系統軟件、固件和通信協議的機會增加。如隨著勒索病毒爆發，電力監控系統面臨了前所未有的安全挑戰。

目前，電力監控系統防護基本已按照“安全分區、網絡專用、橫向隔離、縱向認證”總體策略，建立了較為完備的安全防護技術體系，初步建成責任清晰、管理規范的管理體系。然而，隨著《中華人民共和國網絡安全法》的頒布施行，國家及行業對網絡安全的要求不斷提高。目前，仍然缺乏有力的網絡安全監視手段，防火墻、IDS、IPS、安全審計日志等安全設備日志留存時間不足、日志格式不統一、查看難度大、實時處理海量的日志等技術要求已成為公司亟待解決的問題。

發明內容

本申請提供了一種基于ELK日志采集分析的電力網絡安全監測方法及系統，解決了防火墻、IDS、IPS、安全審計日志等安全設備日志留存時間不足、日志格式不統一查看難度大、日志信息龐雜且難于理解、難以實現對安全事件實時監測等問題。

第一方面，本申請提供了一種基于ELK日志采集分析的電力網絡安全監測方法，所述方法包括：

采用集中式的日志管理方法，采集電力監控系統網絡安全設備日志；

對采集到的電力監控系統網絡安全設備日志進行過濾、范式化處理及存儲；

采用分布式日志檢索方法，對存儲的日志進行檢索及統計；

匯總展示日志數據。

可選的，上述基于ELK日志采集分析的電力網絡安全監測方法中，所述采用集中式的日志管理方法，采集電力監控系統網絡安全設備日志，包括：基于syslog協議，通過UDP514端口進行電力監控系統網絡安全設備日志的收集。

可選的，上述基于ELK日志采集分析的電力網絡安全監測方法中，所述過濾包括：根據設定的過濾規則對日志進行過濾，所述過濾規則包括源IP、目的IP、源端口、目的端口和事件類型。

可選的，上述基于ELK日志采集分析的電力網絡安全監測方法中，所述范式化包括：按照設定格式將不同廠商、不同型號、不同種類的設備日志進行整合。

可選的，上述基于ELK日志采集分析的電力網絡安全監測方法中，所述對存儲的日志進行檢索及統計包括：

采用分布式檢索技術，返回包含關鍵詞并符合預設限制條件的日志；

對所述日志進行字段內容計數統計或對日志數量變化趨勢進行統計。

第二方面，本申請還提供了一種基于ELK日志采集分析的電力網絡安全監測系統，所述系統包括：

日志采集模塊，用于采用集中式的日志管理方法，采集電力監控系統網絡安全設備日志；