(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211284766.8 (22)申请日 2022.10.20 (71)申请人 深圳供电局有限公司 地址 518000 广东省深圳市罗湖区深南 东 路4020号电力调度通信大楼 (72)发明人 孙文龙　何智帆　刘涛　姜和芳　 马越　梁洪浩　 (74)专利代理 机构 深圳汇智容达专利商标事务 所(普通合伙) 44238 专利代理师 熊贤卿 (51)Int.Cl. G06F 21/57(2013.01) G06F 16/22(2019.01) G06F 16/2457(2019.01) G06F 16/2458(2019.01) (54)发明名称 对计量自动化系统威胁情报进行安全性关 联分析的方法 (57)摘要 本发明公开了一种对计量自动化系统威胁 情报进行安全性关联分析的方法， 其包括如下步 骤： 获取多源异构威胁情报； 进行数据预处理， 构 建威胁情报事务数据集； 应用多算法融合进行关 联分析； 通过关联分析结果找出潜在风险。 实施 本发明， 提高了威胁情报 的聚合度， 并提高了关 联性分析效率， 能快速形成安全性分析以抵御 潜 在风险， 从而提高了 计量自动化系统的安全性。 权利要求书2页 说明书7页 附图4页 CN 115544519 A 2022.12.30 CN 115544519 A 1.一种对计量自动化系统威胁情报进行安全性关联分析的方法， 其特征在于， 至少包 括如下步骤： 步骤101， 对多源异构的威胁情报数据进行采集， 所述威胁情报包括内部来源威胁情报 或/及外部来源威胁情报； 所述内部来源威胁情报为关键基础设施数据； 所述外部来源威胁 情报包括来自不同OSI NT提供的安全 事件； 步骤102， 对 采集到的威胁情 报进行预处理， 构建威胁情 报事务数据库； 步骤103， 在事务数据库中选取需要分析的事务数据集， 利用FiDoop算法对选取的事务 数据集进行关联， 并进行剪枝处理， 产生频繁项集； 通过Apriori算法获得频繁项目集相应 的强关联规则， 形成关联分析 结果； 步骤104， 根据关联分析 结果发现潜在风险， 进行定位处 理， 以保证系统安全运行。 2.如权利要求1所述的方法， 其特 征在于， 所述 步骤102进一 步包括： 将采集到的威胁情报数据进行归一化处理， 将相同含义数据或项目统一为相同描述语 言； 将威胁描述语言提取 出能完整表述项目的关键词作为事务数据进行关联分析； 将重复的或对关联分析无意义的数据或项目去 除， 形成源事务数据集， 从而构建事务 数据库。 3.如权利要求1所述的方法， 其特 征在于， 所述 步骤103进一步包括： 步骤201， 在事务数据库中选取需要分析的事务数据集， 并按情报数据分类整理事务数 据集； 步骤202， 指定最小支持度与最小置信度； 步骤203， 采用FiDoop算法从事务数据 集中找到所有的频繁项集， 所述频繁项集为每次 迭代过程后大于最小支持度的非空子集； 步骤204， 在找出所有频繁项集后， 利用Apriori算法进行关联分析， 在所有长度大于1 的频繁项中利用Apr iori的子集关联规则， 获取关联规则置信度， 并与最小置信度阈值进 行 比较， 获取符合条件的强关联规则， 形成关联分析 结果。 4.如权利要求3所述的方法， 其特 征在于， 所述 步骤203进一步包括： 步骤301， 在事务数据集中， 采用第一个MapReduce作业发现所有频繁1 ‑项集； 步骤302， 采用第二个MapReduce作业， 找出 频繁k‑项集； 步骤303， 采用第三个MapReduce作业， 进行 频繁项集的挖掘， 获得全部频繁项集。 5.如权利要求 4所述的方法， 其特 征在于， 在所述 步骤S301中进一 步包括： 在第一个MapReduce作 业中负责发现所有的频繁1 ‑项集， 该阶段Map的任务事输入原始 事务数据集， Reduce任务为输出所有频繁1 ‑项集； 事务数据集被划为多个片段并存储在数 据节点中， 每一个Mapper从本地输入事务集片段， 并以键值对<offset,itemset>形式存储， 其中， offset指向事务的偏移值， item set表示事务本身； 然后， 每个Mapper分别计算本地每个项目的频繁度并生成局部频繁1 ‑项集， 具有相同 键值的1‑项集会被发送到指定Reducer并进行合并操作产生全局1 ‑项集， 再通过与最小支 持度比较， 通过裁剪非频繁项目以得到全局频繁1 ‑项集， 并以键值对<item,count>形式作 为第一次MapReduce输出。 6.如权利要求5所述的方法， 其特 征在于， 在所述 步骤S302中进一 步包括：权　利　要　求　书 1/2 页 2 CN 115544519 A 2在第二个MapReduce作业中再 次扫描数据库， 移除事务中的非频繁项集， 产 生频繁k‑项 集； 将第一次MapReduce作 业输出作为第二次作 业的输入， 对事务数据集进行二次扫描， 将 事务中的非频繁项剪掉， 若该事务中包含k个频繁项目， 则该项目集被成为k ‑项集， 其过程 与第一次作业操作一 致； 由之前生成的所有频繁1 ‑项集进行参照， 生成频繁k ‑项集； 在Mapper工作结束后会输出形 式为<k‑itemsets,1>的中间键值对， k ‑itemsets指明被 裁剪的剩余事务中频繁1 ‑项集的个数与项集内容； 并在Reducer中进 行归并操作， 统计其计 数值， 输出形式为<k,(k ‑itemsets,count)>的键值对， 该次作业产生的k ‑itemsets以字典 升序排列。 7.如权利要求6所述的方法， 其特 征在于， 在所述 步骤303中进一步包括： 在第三个MapReduce作业中， 将第二次作业产生的k ‑itemsets进行分解为更短项集， 并 根据相同长度项目集与本地内存中具有 同一k值的k ‑itemsets进行合并构建形成k ‑FIU‑ tree， 利用 MapReduce的分布式处理能力， 在此过程中Mapper产生一组新的键值对<k,k ‑ FIU‑tree>， 其含义为产生一组路径长度为k的本地FIU ‑tree； 具有相同长度的项目会被分 配到同一个Reducer中， 聚集各自Map中唯一长度的本地FIU ‑tree， 构建全局范围内的k ‑ FIU‑tree， FIU ‑tree叶子节点具有项目名和cou nt两个属性， 通过统计全局k ‑FIU‑tree叶子 节点的count值， 与Smi n进行比对获得全部频繁项集。 8.如权利要求1至7任一项所述的方法， 其特 征在于， 所述 步骤104进一 步包括： 通过基于FiDoop ‑Apriori融合算法的系统安全性关联分析模型， 对获取到的威胁情报 进行关联分析， 找出系统所存在漏洞信息， 发现潜在风险， 包括： 软硬件安全风险、 外部攻击 风险、 网络脆弱性等， 帮助分析人员对多源异构的威胁情报进行识别、 评估和分类， 对系统 漏洞进行定位与处 理。权　利　要　求　书 2/2 页 3 CN 115544519 A 3