CN105959162A - 分布式电力企业信息网络安全管理系统 - Google Patents

Abstract

本发明公开了分布式电力企业信息网络安全管理系统，包括：网络安全监控模块，用于监控电力企业信息网络的主页和各设备；网络安全分析模块，用于分析用户网络行为和网络安全事件，包括用户网络行为分析子模块和网络安全事件评估子模块；网络安全报警模块，用于基于网络安全分析模块的分析结果进行选择性报警；网络安全运维模块，用于根据网络安全报警模块的报警信息进行对应的网络维护。本发明实现了电力企业信息网络的安全管理，有效性好，使IT及安全管理员脱离繁琐的管理工作，提高了工作效率。

Description

分布式电力企业信息网络安全管理系统

技术领域

本发明涉及计算机网络安全技术领域，具体涉及分布式电力企业信息网络安全管理系统。

背景技术

随着信息技术的快速发展和广泛应用，电力企业的网络安全问题更加突出。由于其自身的“木桶效应”，个别的网络漏洞或隐患将影响全局的安全，传统单一的网络安全举措已经很难应对各种繁杂的安全问题，急需一种分布式集成网络安全技术的网络安全管理系统，进行整体信息化监测与管理。

发明内容

针对上述问题，本发明提供分布式电力企业信息网络安全管理系统。

本发明的目的采用以下技术方案来实现：

分布式电力企业信息网络安全管理系统，包括网络安全监控模块、网络安全分析模块、网络安全报警模块和网络安全运维模块：

所述网络安全监控模块用于监控电力企业信息网络的主页和各设备；

所述网络安全分析模块用于分析用户网络行为和网络安全事件，包括用户网络行为分析子模块和网络安全事件评估子模块；

所述网络安全报警模块用于基于网络安全分析模块的分析结果进行选择性报警；

所述网络安全运维模块用于根据网络安全报警模块的报警信息进行对应的网络维护。

其中，所述网络安全事件评估子模块用于评估网络安全事件的风险度，并针对风险度大于预设风险度阈值的安全事件，向网络安全报警模块发出告警信息；所述安全事件通过网络安全设备对安全日志进行归一化处理生成。

其中，所述网络安全设备包括：防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。

优选地，所述网络安全事件的风险度基于模糊矩阵层次分析法进行评估。

其中，所述用户网络行为分析子模块用于对用户网络行为数据进行分析处理，并针对非法的用户网络行为，向网络安全报警模块发出告警信息；所述用户网络行为分析子模块包括依次连接的数据预处理单元、数据挖掘单元和用户网络行为分析单元，所述数据预处理单元用于剔除用户网络行为数据中的缺失值和异常值，并进一步进行归一化处理，其中异常值采用统计学中的常用异常点判别方法GESR进行判别；所述数据挖掘单元用于采用改进K-means聚类方法对由数据预处理单元处理过的用户网络行为数据进行聚类，并建立用户分群模型；所述用户网络行为分析单元用于采用决策树算法对所述分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户网络行为进行预测并判断用户网络行为是否非法。

其中，所述数据挖掘单元采用改进K-means聚类方法对由数据预处理单元处理过的用户网络行为数据进行聚类，具体为：

1)设所述用户网络行为数据具有n个样本，对n个样本进行向量化，通过夹角余弦函数计算所有样本两两之间的相似度，得到相似度矩阵XS；

2)对相似度矩阵XS的每一行进行求和，计算出每一个样本与整个有效数据集的相似度，设XS＝[sim(a_i,a_j)]_n×n，i,j＝1,…,n，其中sim(a_i,a_j)表示样本a_i,a_j间的相似度，求和公式为：

${\mathrm{XS}}_p=\underset{j=1}{\overset{n}{\Σ}}\sin (a_i,a_j),p=1,\mathrm{...},n$

3)按降序排列XS_p,p＝1,…,n，设XS_p按从大到小排列的前4个值为XS_max,XS_max-1,XS_max-2,XS_max-3，若选择与最大值XS_max相对应的样本作为第一个初始的聚簇中心,否则选择与XS_max,XS_max-1,XS_max-2,XS_max-3对应的四个样本的均值作为第一个初始的簇中心，T为设定的比例值；

4)将最大值为XS_max对应的矩阵中行向量的元素进行升序排列，假设前k-1个最小的元素为XS_pq,q＝1,…,k-1，选择前k-1个最小的元素XS_pq相对应的样本a_q作为剩余的k-1个初始的聚簇中心，其中所述k值的设定方法为：设定k值可能取值的区间，通过测试k的不同取值，并对区间内的各个值进行聚类，通过比较协方差,确定聚类之间的显著性差异,从而来探査聚类的类型信息,并最终确定合适的k值；

5)计算剩余样本与各初始的聚簇中心之间的相似度，将剩余样本分发到相似度最高的聚簇中，形成变化后的k个聚簇；

6)计算变化后的聚簇中各样本的均值，将其作为更新后的聚簇中心代替更新前的聚簇中心；

7)若更新前的聚簇中心与更新后的聚簇中心相同，或者目标函数达到了最小值，停止更新，所述目标函数为：

$J=\underset{l=1}{\overset{k}{\Σ}}\underset{a_x\∈C_l}{\Σ}\left|\right|a_x-\stackrel{\‾}{a_{xl}}|{|}^2$

其中，C_l表示k个聚簇中的第l个聚簇，a_x为第l个聚簇中的样本，为第l个聚簇的中心。

其中，所述设定的比例值T的取值范围为[1.4,1.8]。

本发明的有益效果为：

1、设置了网络安全监控模块、网络安全分析模块、网络安全报警模块和网络安全运维模块，实现了电力企业信息网络的安全管理，使IT及安全管理员脱离繁琐的管理工作，提高工作效率。

2、设置基于改进K-means聚类方法的数据挖掘单元，有效避免单一采取随机抽样方法所带来的偶然性,解决原有算法在选取k值以及初始化聚类中心时所存在的问题，提高了聚类稳定性，提高了用户网络行为分析精度，相对提高了网络安全管理的有效度。

附图说明

利用附图对本发明作进一步说明，但附图中的实施例不构成对本发明的任何限制，对于本领域的普通技术人员，在不付出创造性劳动的前提下，还可以根据以下附图获得其它的附图。

图1是本发明各模块的连接示意图；

图2是本发明用户网络行为分析子模块的结构示意图。

附图标记：

网络安全监控模块1、网络安全分析模块2、网络安全报警模块3、网络安全运维模块4、用户网络行为分析子模块10、网络安全事件评估子模块20。

具体实施方式

结合以下实施例对本发明作进一步描述。

实施例1

参见图1、图2，本实施例的分布式电力企业信息网络安全管理系统，包括网络安全监控模块1、网络安全分析模块2、网络安全报警模块3、网络安全运维模块4：

所述网络安全监控模块1用于监控电力企业信息网络的主页和各设备；

所述网络安全分析模块2用于分析用户网络行为和网络安全事件，包括用户网络行为分析子模块10和网络安全事件评估子模块20；

所述网络安全报警模块3用于基于网络安全分析模块2的分析结果进行选择性报警；

所述网络安全运维模块4用于根据网络安全报警模块3的报警信息进行对应的网络维护。

其中，所述网络安全事件评估子模块20用于评估网络安全事件的风险度，并针对风险度大于预设风险度阈值的安全事件，向网络安全报警模块发出告警信息；所述安全事件通过网络安全设备对安全日志进行归一化处理生成。

其中，所述网络安全设备包括：防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。

其中，所述网络安全事件的风险度基于模糊矩阵层次分析法进行评估。

其中，所述用户网络行为分析子模块10用于对用户网络行为数据进行分析处理，并针对非法的用户网络行为，向网络安全报警模块3发出告警信息；所述用户网络行为分析子模块10包括依次连接的数据预处理单元、数据挖掘单元和用户网络行为分析单元，所述数据预处理单元用于剔除用户网络行为数据中的缺失值和异常值，并进一步进行归一化处理，其中异常值采用统计学中的常用异常点判别方法GESR进行判别；所述数据挖掘单元用于采用改进K-means聚类方法对由数据预处理单元处理过的用户网络行为数据进行聚类，并建立用户分群模型；所述用户网络行为分析单元用于采用决策树算法对所述分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户网络行为进行预测并判断用户网络行为是否非法。

其中，所述数据挖掘单元采用改进K-means聚类方法对由数据预处理单元处理过的用户网络行为数据进行聚类，具体为：

1)设所述用户网络行为数据具有n个样本，对n个样本进行向量化，通过夹角余弦函数计算所有样本两两之间的相似度，得到相似度矩阵XS；

2)对相似度矩阵XS的每一行进行求和，计算出每一个样本与整个有效数据集的相似度，设XS＝[sim(a_i,a_j)]_n×n，i,j＝1,…,n，其中sim(a_i,a_j)表示样本a_i,a_j间的相似度，求和公式为：

${\mathrm{XS}}_p=\underset{j=1}{\overset{n}{\Σ}}sim(a_i,a_j),p=1,\mathrm{...},n$

3)按降序排列XS_p,p＝1,…,n，设XS_p按从大到小排列的前4个值为XS_max,XS_max-1,XS_max-2,XS_max-3，若选择与最大值XS_max相对应的样本作为第一个初始的聚簇中心,否则选择与XS_max,XS_max-1,XS_max-2,XS_max-3对应的四个样本的均值作为第一个初始的簇中心，T为设定的比例值；

4)将最大值为XS_max对应的矩阵中行向量的元素进行升序排列，假设前k-1个最小的元素为XS_pq,q＝1,…,k-1，选择前k-1个最小的元素XS_pq相对应的样本a_q作为剩余的k-1个初始的聚簇中心，其中所述k值的设定方法为：设定k值可能取值的区间，通过测试k的不同取值，并对区间内的各个值进行聚类，通过比较协方差,确定聚类之间的显著性差异,从而来探査聚类的类型信息,并最终确定合适的k值；

5)计算剩余样本与各初始的聚簇中心之间的相似度，将剩余样本分发到相似度最高的聚簇中，形成变化后的k个聚簇；

6)计算变化后的聚簇中各样本的均值，将其作为更新后的聚簇中心代替更新前的聚簇中心；

7)若更新前的聚簇中心与更新后的聚簇中心相同，或者目标函数达到了最小值，停止更新，所述目标函数为：

$J=\underset{l=1}{\overset{k}{\Σ}}\underset{a_x\∈C_l}{\Σ}\left|\right|a_x-\stackrel{\‾}{a_{xl}}|{|}^2$

其中，C_l表示k个聚簇中的第l个聚簇，a_x为第l个聚簇中的样本，为第l个聚簇的中心。

本实施例设置了网络安全监控模块1、网络安全分析模块2、网络安全报警模块3和网络安全运维模块4，实现了电力企业信息网络的安全管理，使IT及安全管理员脱离繁琐的管理工作，提高工作效率，其中设置基于改进K-means聚类方法的数据挖掘单元，有效避免单一采取随机抽样方法所带来的偶然性,解决原有算法在选取k值以及初始化聚类中心时所存在的问题，提高了聚类稳定性，提高了用户网络行为分析精度，相对提高了网络安全管理的有效度。其中T＝1.4，用户网络行为分析精度相对提高了4.7％。

实施例2

参见图1、图2，本实施例的分布式电力企业信息网络安全管理系统，包括网络安全监控模块1、网络安全分析模块2、网络安全报警模块3、网络安全运维模块4：

所述网络安全监控模块1用于监控电力企业信息网络的主页和各设备；

所述网络安全分析模块2用于分析用户网络行为和网络安全事件，包括用户网络行为分析子模块10和网络安全事件评估子模块20；

所述网络安全报警模块3用于基于网络安全分析模块2的分析结果进行选择性报警；

所述网络安全运维模块4用于根据网络安全报警模块3的报警信息进行对应的网络维护。

其中，所述网络安全事件评估子模块20用于评估网络安全事件的风险度，并针对风险度大于预设风险度阈值的安全事件，向网络安全报警模块发出告警信息；所述安全事件通过网络安全设备对安全日志进行归一化处理生成。

其中，所述网络安全设备包括：防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。

其中，所述网络安全事件的风险度基于模糊矩阵层次分析法进行评估。

其中，所述用户网络行为分析子模块10用于对用户网络行为数据进行分析处理，并针对非法的用户网络行为，向网络安全报警模块3发出告警信息；所述用户网络行为分析子模块10包括依次连接的数据预处理单元、数据挖掘单元和用户网络行为分析单元，所述数据预处理单元用于剔除用户网络行为数据中的缺失值和异常值，并进一步进行归一化处理，其中异常值采用统计学中的常用异常点判别方法GESR进行判别；所述数据挖掘单元用于采用改进K-means聚类方法对由数据预处理单元处理过的用户网络行为数据进行聚类，并建立用户分群模型；所述用户网络行为分析单元用于采用决策树算法对所述分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户网络行为进行预测并判断用户网络行为是否非法。

其中，所述数据挖掘单元采用改进K-means聚类方法对由数据预处理单元处理过的用户网络行为数据进行聚类，具体为：

1)设所述用户网络行为数据具有n个样本，对n个样本进行向量化，通过夹角余弦函数计算所有样本两两之间的相似度，得到相似度矩阵XS；

2)对相似度矩阵XS的每一行进行求和，计算出每一个样本与整个有效数据集的相似度，设XS＝[sim(a_i,a_j)]_n×n，i,j＝1,…,n，其中sim(a_i,a_j)表示样本a_i,a_j间的相似度，求和公式为：

${\mathrm{XS}}_p=\underset{j=1}{\overset{n}{\Σ}}\mathrm{si}m(a_i,a_j),p=1,\mathrm{...},n$

3)按降序排列XS_p,p＝1,…,n，设XS_p按从大到小排列的前4个值为XS_max,XS_max-1,XS_max-2,XS_max-3，若选择与最大值XS_max相对应的样本作为第一个初始的聚簇中心,否则选择与XS_max,XS_max-1,XS_max-2,XS_max-3对应的四个样本的均值作为第一个初始的簇中心，T为设定的比例值；

4)将最大值为XS_max对应的矩阵中行向量的元素进行升序排列，假设前k-1个最小的元素为XS_pq,q＝1,…,k-1，选择前k-1个最小的元素XS_pq相对应的样本a_q作为剩余的k-1个初始的聚簇中心，其中所述k值的设定方法为：设定k值可能取值的区间，通过测试k的不同取值，并对区间内的各个值进行聚类，通过比较协方差,确定聚类之间的显著性差异,从而来探査聚类的类型信息,并最终确定合适的k值；

5)计算剩余样本与各初始的聚簇中心之间的相似度，将剩余样本分发到相似度最高的聚簇中，形成变化后的k个聚簇；

6)计算变化后的聚簇中各样本的均值，将其作为更新后的聚簇中心代替更新前的聚簇中心；

7)若更新前的聚簇中心与更新后的聚簇中心相同，或者目标函数达到了最小值，停止更新，所述目标函数为：

$J=\underset{l=1}{\overset{k}{\Σ}}\underset{a_x\∈C_l}{\Σ}\left|\right|a_x-\stackrel{\‾}{a_{xl}}|{|}^2$

其中，C_l表示k个聚簇中的第l个聚簇，a_x为第l个聚簇中的样本，为第l个聚簇的中心。

本实施例设置了网络安全监控模块1、网络安全分析模块2、网络安全报警模块3和网络安全运维模块4，实现了电力企业信息网络的安全管理，使IT及安全管理员脱离繁琐的管理工作，提高工作效率，其中设置基于改进K-means聚类方法的数据挖掘单元，有效避免单一采取随机抽样方法所带来的偶然性,解决原有算法在选取k值以及初始化聚类中心时所存在的问题，提高了聚类稳定性，提高了用户网络行为分析精度，相对提高了网络安全管理的有效度。其中T＝1.5，用户网络行为分析精度相对提高了5％。

实施例3

参见图1、图2，本实施例的分布式电力企业信息网络安全管理系统，包括网络安全监控模块1、网络安全分析模块2、网络安全报警模块3、网络安全运维模块4：

所述网络安全监控模块1用于监控电力企业信息网络的主页和各设备；

所述网络安全分析模块2用于分析用户网络行为和网络安全事件，包括用户网络行为分析子模块10和网络安全事件评估子模块20；

所述网络安全报警模块3用于基于网络安全分析模块2的分析结果进行选择性报警；

所述网络安全运维模块4用于根据网络安全报警模块3的报警信息进行对应的网络维护。

其中，所述网络安全事件评估子模块20用于评估网络安全事件的风险度，并针对风险度大于预设风险度阈值的安全事件，向网络安全报警模块发出告警信息；所述安全事件通过网络安全设备对安全日志进行归一化处理生成。

其中，所述网络安全设备包括：防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。

其中，所述网络安全事件的风险度基于模糊矩阵层次分析法进行评估。

其中，所述用户网络行为分析子模块10用于对用户网络行为数据进行分析处理，并针对非法的用户网络行为，向网络安全报警模块3发出告警信息；所述用户网络行为分析子模块10包括依次连接的数据预处理单元、数据挖掘单元和用户网络行为分析单元，所述数据预处理单元用于剔除用户网络行为数据中的缺失值和异常值，并进一步进行归一化处理，其中异常值采用统计学中的常用异常点判别方法GESR进行判别；所述数据挖掘单元用于采用改进K-means聚类方法对由数据预处理单元处理过的用户网络行为数据进行聚类，并建立用户分群模型；所述用户网络行为分析单元用于采用决策树算法对所述分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户网络行为进行预测并判断用户网络行为是否非法。

其中，所述数据挖掘单元采用改进K-means聚类方法对由数据预处理单元处理过的用户网络行为数据进行聚类，具体为：

1)设所述用户网络行为数据具有n个样本，对n个样本进行向量化，通过夹角余弦函数计算所有样本两两之间的相似度，得到相似度矩阵XS；

2)对相似度矩阵XS的每一行进行求和，计算出每一个样本与整个有效数据集的相似度，设XS＝[sim(a_i,a_j)]_n×n，i,j＝1,…,n，其中sim(a_i,a_j)表示样本a_i,a_j间的相似度，求和公式为：

${\mathrm{XS}}_p=\underset{j=1}{\overset{n}{\Σ}}sim(a_i,a_j),p=1,\mathrm{...},n$

3)按降序排列XS_p,p＝1,…,n，设XS_p按从大到小排列的前4个值为XS_max,XS_max-1,XS_max-2,XS_max-3，若选择与最大值XS_max相对应的样本作为第一个初始的聚簇中心,否则选择与XS_max,XS_max-1,XS_max-2,XS_max-3对应的四个样本的均值作为第一个初始的簇中心，T为设定的比例值；

4)将最大值为XS_max对应的矩阵中行向量的元素进行升序排列，假设前k-1个最小的元素为XS_pq,q＝1,…,k-1，选择前k-1个最小的元素XS_pq相对应的样本a_q作为剩余的k-1个初始的聚簇中心，其中所述k值的设定方法为：设定k值可能取值的区间，通过测试k的不同取值，并对区间内的各个值进行聚类，通过比较协方差,确定聚类之间的显著性差异,从而来探査聚类的类型信息,并最终确定合适的k值；

5)计算剩余样本与各初始的聚簇中心之间的相似度，将剩余样本分发到相似度最高的聚簇中，形成变化后的k个聚簇；

6)计算变化后的聚簇中各样本的均值，将其作为更新后的聚簇中心代替更新前的聚簇中心；

7)若更新前的聚簇中心与更新后的聚簇中心相同，或者目标函数达到了最小值，停止更新，所述目标函数为：

$J=\underset{l=1}{\overset{k}{\Σ}}\underset{a_x\∈C_l}{\Σ}\left|\right|a_x-\stackrel{\‾}{a_{xl}}|{|}^2$

其中，C_l表示k个聚簇中的第l个聚簇，a_x为第l个聚簇中的样本，为第l个聚簇的中心。

本实施例设置了网络安全监控模块1、网络安全分析模块2、网络安全报警模块3和网络安全运维模块4，实现了电力企业信息网络的安全管理，使IT及安全管理员脱离繁琐的管理工作，提高工作效率，其中设置基于改进K-means聚类方法的数据挖掘单元，有效避免单一采取随机抽样方法所带来的偶然性,解决原有算法在选取k值以及初始化聚类中心时所存在的问题，提高了聚类稳定性，提高了用户网络行为分析精度，相对提高了网络安全管理的有效度。其中T＝1.6，用户网络行为分析精度相对提高了4.6％。

实施例4

参见图1、图2，本实施例的分布式电力企业信息网络安全管理系统，包括网络安全监控模块1、网络安全分析模块2、网络安全报警模块3、网络安全运维模块4：

所述网络安全监控模块1用于监控电力企业信息网络的主页和各设备；

所述网络安全分析模块2用于分析用户网络行为和网络安全事件，包括用户网络行为分析子模块10和网络安全事件评估子模块20；

所述网络安全报警模块3用于基于网络安全分析模块2的分析结果进行选择性报警；

所述网络安全运维模块4用于根据网络安全报警模块3的报警信息进行对应的网络维护。

其中，所述网络安全事件评估子模块20用于评估网络安全事件的风险度，并针对风险度大于预设风险度阈值的安全事件，向网络安全报警模块发出告警信息；所述安全事件通过网络安全设备对安全日志进行归一化处理生成。

其中，所述网络安全设备包括：防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。

其中，所述网络安全事件的风险度基于模糊矩阵层次分析法进行评估。

其中，所述用户网络行为分析子模块10用于对用户网络行为数据进行分析处理，并针对非法的用户网络行为，向网络安全报警模块3发出告警信息；所述用户网络行为分析子模块10包括依次连接的数据预处理单元、数据挖掘单元和用户网络行为分析单元，所述数据预处理单元用于剔除用户网络行为数据中的缺失值和异常值，并进一步进行归一化处理，其中异常值采用统计学中的常用异常点判别方法GESR进行判别；所述数据挖掘单元用于采用改进K-means聚类方法对由数据预处理单元处理过的用户网络行为数据进行聚类，并建立用户分群模型；所述用户网络行为分析单元用于采用决策树算法对所述分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户网络行为进行预测并判断用户网络行为是否非法。

其中，所述数据挖掘单元采用改进K-means聚类方法对由数据预处理单元处理过的用户网络行为数据进行聚类，具体为：

1)设所述用户网络行为数据具有n个样本，对n个样本进行向量化，通过夹角余弦函数计算所有样本两两之间的相似度，得到相似度矩阵XS；

2)对相似度矩阵XS的每一行进行求和，计算出每一个样本与整个有效数据集的相似度，设XS＝[sim(a_i,a_j)]_n×n，i,j＝1,…,n，其中sim(a_i,a_j)表示样本a_i,a_j间的相似度，求和公式为：

${\mathrm{XS}}_p=\underset{j=1}{\overset{n}{\Σ}}sim(a_i,a_j),p=1,\mathrm{...},n$

3)按降序排列XS_p,p＝1,…,n，设XS_p按从大到小排列的前4个值为XS_max,XS_max-1,XS_max-2,XS_max-3，若选择与最大值XS_max相对应的样本作为第一个初始的聚簇中心,否则选择与XS_max,XS_max-1,XS_max-2,XS_max-3对应的四个样本的均值作为第一个初始的簇中心，T为设定的比例值；

4)将最大值为XS_max对应的矩阵中行向量的元素进行升序排列，假设前k-1个最小的元素为XS_pq,q＝1,…,k-1，选择前k-1个最小的元素XS_pq相对应的样本a_q作为剩余的k-1个初始的聚簇中心，其中所述k值的设定方法为：设定k值可能取值的区间，通过测试k的不同取值，并对区间内的各个值进行聚类，通过比较协方差,确定聚类之间的显著性差异,从而来探査聚类的类型信息,并最终确定合适的k值；

5)计算剩余样本与各初始的聚簇中心之间的相似度，将剩余样本分发到相似度最高的聚簇中，形成变化后的k个聚簇；

6)计算变化后的聚簇中各样本的均值，将其作为更新后的聚簇中心代替更新前的聚簇中心；

7)若更新前的聚簇中心与更新后的聚簇中心相同，或者目标函数达到了最小值，停止更新，所述目标函数为：

$J=\underset{l=1}{\overset{k}{\Σ}}\underset{a_x\∈C_l}{\Σ}\left|\right|a_x-\stackrel{\‾}{a_{xl}}|{|}^2$

其中，C_l表示k个聚簇中的第l个聚簇，a_x为第l个聚簇中的样本，为第l个聚簇的中心。

本实施例设置了网络安全监控模块1、网络安全分析模块2、网络安全报警模块3和网络安全运维模块4，实现了电力企业信息网络的安全管理，使IT及安全管理员脱离繁琐的管理工作，提高工作效率，其中设置基于改进K-means聚类方法的数据挖掘单元，有效避免单一采取随机抽样方法所带来的偶然性,解决原有算法在选取k值以及初始化聚类中心时所存在的问题，提高了聚类稳定性，提高了用户网络行为分析精度，相对提高了网络安全管理的有效度。其中T＝1.7，用户网络行为分析精度相对提高了4.7％。

实施例5

参见图1、图2，本实施例的分布式电力企业信息网络安全管理系统，包括网络安全监控模块1、网络安全分析模块2、网络安全报警模块3、网络安全运维模块4：

所述网络安全监控模块1用于监控电力企业信息网络的主页和各设备；

所述网络安全分析模块2用于分析用户网络行为和网络安全事件，包括用户网络行为分析子模块10和网络安全事件评估子模块20；

所述网络安全报警模块3用于基于网络安全分析模块2的分析结果进行选择性报警；

所述网络安全运维模块4用于根据网络安全报警模块3的报警信息进行对应的网络维护。

其中，所述网络安全事件评估子模块20用于评估网络安全事件的风险度，并针对风险度大于预设风险度阈值的安全事件，向网络安全报警模块发出告警信息；所述安全事件通过网络安全设备对安全日志进行归一化处理生成。

其中，所述网络安全设备包括：防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。

其中，所述网络安全事件的风险度基于模糊矩阵层次分析法进行评估。

其中，所述用户网络行为分析子模块10用于对用户网络行为数据进行分析处理，并针对非法的用户网络行为，向网络安全报警模块3发出告警信息；所述用户网络行为分析子模块10包括依次连接的数据预处理单元、数据挖掘单元和用户网络行为分析单元，所述数据预处理单元用于剔除用户网络行为数据中的缺失值和异常值，并进一步进行归一化处理，其中异常值采用统计学中的常用异常点判别方法GESR进行判别；所述数据挖掘单元用于采用改进K-means聚类方法对由数据预处理单元处理过的用户网络行为数据进行聚类，并建立用户分群模型；所述用户网络行为分析单元用于采用决策树算法对所述分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户网络行为进行预测并判断用户网络行为是否非法。

其中，所述数据挖掘单元采用改进K-means聚类方法对由数据预处理单元处理过的用户网络行为数据进行聚类，具体为：

1)设所述用户网络行为数据具有n个样本，对n个样本进行向量化，通过夹角余弦函数计算所有样本两两之间的相似度，得到相似度矩阵XS；

2)对相似度矩阵XS的每一行进行求和，计算出每一个样本与整个有效数据集的相似度，设XS＝[sim(a_i,a_j)]_n×n，i,j＝1,…,n，其中sim(a_i,a_j)表示样本a_i,a_j间的相似度，求和公式为：

${\mathrm{XS}}_p=\underset{j=1}{\overset{n}{\Σ}}sim(a_i,a_j),p=1,\mathrm{...},n$

3)按降序排列XS_p,p＝1,…,n，设XS_p按从大到小排列的前4个值为XS_max,XS_max-1,XS_max-2,XS_max-3，若选择与最大值XS_max相对应的样本作为第一个初始的聚簇中心,否则选择与XS_max,XS_max-1,XS_max-2,XS_max-3对应的四个样本的均值作为第一个初始的簇中心，T为设定的比例值；

4)将最大值为XS_max对应的矩阵中行向量的元素进行升序排列，假设前k-1个最小的元素为XS_pq,q＝1,…,k-1，选择前k-1个最小的元素XS_pq相对应的样本a_q作为剩余的k-1个初始的聚簇中心，其中所述k值的设定方法为：设定k值可能取值的区间，通过测试k的不同取值，并对区间内的各个值进行聚类，通过比较协方差,确定聚类之间的显著性差异,从而来探査聚类的类型信息,并最终确定合适的k值；

5)计算剩余样本与各初始的聚簇中心之间的相似度，将剩余样本分发到相似度最高的聚簇中，形成变化后的k个聚簇；

6)计算变化后的聚簇中各样本的均值，将其作为更新后的聚簇中心代替更新前的聚簇中心；

7)若更新前的聚簇中心与更新后的聚簇中心相同，或者目标函数达到了最小值，停止更新，所述目标函数为：

$J=\underset{l=1}{\overset{k}{\Σ}}\underset{a_x\∈C_l}{\Σ}\left|\right|a_x-\stackrel{\‾}{a_{xl}}|{|}^2$

其中，C_l表示k个聚簇中的第l个聚簇，a_x为第l个聚簇中的样本，为第l个聚簇的中心。

本实施例设置了网络安全监控模块1、网络安全分析模块2、网络安全报警模块3和网络安全运维模块4，实现了电力企业信息网络的安全管理，使IT及安全管理员脱离繁琐的管理工作，提高工作效率，其中设置基于改进K-means聚类方法的数据挖掘单元，有效避免单一采取随机抽样方法所带来的偶然性,解决原有算法在选取k值以及初始化聚类中心时所存在的问题，提高了聚类稳定性，提高了用户网络行为分析精度，相对提高了网络安全管理的有效度。其中T＝1.5，用户网络行为分析精度相对提高了3％。

最后应当说明的是，以上实施例仅用以说明本发明的技术方案，而非对本发明保护范围的限制，尽管参照较佳实施例对本发明作了详细地说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的实质和范围。

Claims (7)

1.分布式电力企业信息网络安全管理系统，其特征在于，包括网络安全监控模块、网络安全分析模块、网络安全报警模块和网络安全运维模块：

所述网络安全监控模块用于监控电力企业信息网络的主页和各设备；

所述网络安全分析模块用于分析用户网络行为和网络安全事件，包括用户网络行为分析子模块和网络安全事件评估子模块；

所述网络安全报警模块用于基于网络安全分析模块的分析结果进行选择性报警；

所述网络安全运维模块用于根据网络安全报警模块的报警信息进行对应的网络维护。

2.根据权利要求1所述的分布式电力企业信息网络安全管理系统，其特征在于，所述网络安全事件评估子模块用于评估网络安全事件的风险度，并针对风险度大于预设风险度阈值的安全事件，向网络安全报警模块发出告警信息；所述安全事件通过网络安全设备对安全日志进行归一化处理生成。

3.根据权利要求2所述的分布式电力企业信息网络安全管理系统，其特征在于，所述网络安全设备包括：防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。

4.根据权利要求2所述的分布式电力企业信息网络安全管理系统，其特征在于，所述网络安全事件的风险度基于模糊矩阵层次分析法进行评估。

5.根据权利要求1所述的分布式电力企业信息网络安全管理系统，其特征在于，所述用户网络行为分析子模块用于对用户网络行为数据进行分析处理，并针对非法的用户网络行为，向网络安全报警模块发出告警信息；所述用户网络行为分析子模块包括依次连接的数据预处理单元、数据挖掘单元和用户网络行为分析单元，所述数据预处理单元用于剔除用户网络行为数据中的缺失值和异常值，并进一步进行归一化处理，其中异常值采用统计学中的常用异常点判别方法GESR进行判别；所述数据挖掘单元用于采用改进K-means聚类方法对由数据预处理单元处理过的用户网络行为数据进行聚类，并建立用户分群模型；所述用户网络行为分析单元用于采用决策树算法对所述分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户网络行为进行预测并判断用户网络行为是否非法。

6.根据权利要求5所述的分布式电力企业信息网络安全管理系统，其特征在于，所述数据挖掘单元采用改进K-means聚类方法对由数据预处理单元处理过的用户网络行为数据进行聚类，具体为：

1)设所述用户网络行为数据具有n个样本，对n个样本进行向量化，通过夹角余弦函数计算所有样本两两之间的相似度，得到相似度矩阵XS；

2)对相似度矩阵XS的每一行进行求和，计算出每一个样本与整个有效数据集的相似度，设XS＝[sim(a_i,a_j)]_n×n，i,j＝1,…,n，其中sim(a_i,a_j)表示样本a_i,a_j间的相似度，求和公式为：

${\mathrm{XS}}_p=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}sim(a_i,a_j),p=1,\mathrm{...},n$

3)按降序排列XS_p,p＝1,…,n，设XS_p按从大到小排列的前4个值为XS_max,XS_max-1,XS_max-2,XS_max-3，若选择与最大值XS_max相对应的样本作为第一个初始的聚簇中心,否则选择与XS_max,XS_max-1,XS_max-2,XS_max-3对应的四个样本的均值作为第一个初始的簇中心，T为设定的比例值；

4)将最大值为XS_max对应的矩阵中行向量的元素进行升序排列，假设前k-1个最小的元素为XS_pq,q＝1,…,k-1，选择前k-1个最小的元素XS_pq相对应的样本a_q作为剩余的k-1个初始的聚簇中心，其中所述k值的设定方法为：设定k值可能取值的区间，通过测试k的不同取值，并对区间内的各个值进行聚类，通过比较协方差,确定聚类之间的显著性差异,从而来探査聚类的类型信息,并最终确定合适的k值；

5)计算剩余样本与各初始的聚簇中心之间的相似度，将剩余样本分发到相似度最高的聚簇中，形成变化后的k个聚簇；

6)计算变化后的聚簇中各样本的均值，将其作为更新后的聚簇中心代替更新前的聚簇中心；

7)若更新前的聚簇中心与更新后的聚簇中心相同，或者目标函数达到了最小值，停止更新，所述目标函数为：

$J=\underset{l=1}{\overset{k}{\mathrm{\Σ}}}\underset{a_x\∈C_l}{\mathrm{\Σ}}\left|\right|a_x-\stackrel{\‾}{a_{xl}}|{|}^2$

其中，C_l表示k个聚簇中的第l个聚簇，a_x为第l个聚簇中的样本，为第l个聚簇的中心。

7.根据权利要求6所述的分布式电力企业信息网络安全管理系统，其特征在于，所述设定的比例值T的取值范围为[1.4,1.8]。