CN110995465A - 信通点位全景视图信息运维方法及系统 - Google Patents
信通点位全景视图信息运维方法及系统 Download PDFInfo
- Publication number
- CN110995465A CN110995465A CN201911074863.2A CN201911074863A CN110995465A CN 110995465 A CN110995465 A CN 110995465A CN 201911074863 A CN201911074863 A CN 201911074863A CN 110995465 A CN110995465 A CN 110995465A
- Authority
- CN
- China
- Prior art keywords
- equipment
- data
- information
- maintenance
- account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/0636—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis based on a decision tree analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/065—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving logical or physical relationship, e.g. grouping and hierarchies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Human Computer Interaction (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种信通点位全景视图信息运维方法及系统,方法包括如下步骤:采集包括信息点、交换机、设备、账号多个层面的运维数据;对信息点位进行重要性排序;计算获得拟合曲线,监测设备的使用情况并得出设备可使用期限;检测账号是否为越权操作;基于ID3算法构建决策树,从而对设备进行需求调整和维护;检测设备的不良行为并进行区分和排序;将上述步骤的结果显示在可视化界面;并公开了相应的系统。本发明以各级信通运维数据和各业务部门线上数据为基础支撑,监控粒度细化到基层终端信通点位,以人员、设备和业务三项属性定义信通点位,确保信通设备运维业务的可控、能控、在控,全面提升企业各类业务应用的信息安全水平。
Description
技术领域
本发明涉及信息通讯运维技术领域,尤其涉及一种信通点位全景视图信息运维方法及装置。
背景技术
信通专业部门为信通运检班,由于长期缺员导致班组重运维轻管理,设备台账更新滞后、遗漏时常发生,缺乏相应管控手段。尤其在公司员工岗位调动频繁时,经常出现人员调动就位,设备台账信息未更新的情况,导致员工调岗不调设备、设备混用和设备闲置等情况一直存在。
在实际工作中,各种信通设备(特别是终端设备)分布广而散,加之人员更替、职责变更。设备使用者的变更时往往会领先于设备台账的更新速度,造成设备使用人非法变更的情况出现。不良的行为习惯还在员工的日常工作中经常发生,如下班后电脑不关机、系统账号未注销、电脑中存在非法软件等。这些不良行为对信息安全构成严重威胁,需要信通运维人员及时对这些不良行为作出判定,并通知其改正不良习惯,降低因人员不良行为习惯所带来的信息安全风险。而整个网络下,设备的活动数据大而散,在大数据环境下面临人工规则提取限制、数据处理能力不足、难以精准定位等新问题。
发明内容
本发明提出一种信通点位全景视图信息运维方法及装置以解决上述技术问题。
为了达到上述目的,本发明所采用的技术方案为:
根据本发明实施例的第一方面,提供了一种信通点位全景视图信息运维方法,应用于运维管理平台,所述运维管理平台包括多个业务域子系统,包括如下步骤:
步骤101,采集包括信息点、交换机、设备、账号多个层面的运维数据;
步骤102,根据所采集的信息点、交换机、设备、账号多个层面的运维数据,对信通点位进行量化评价;
步骤103,将量化评价显示在可视化界面,以实现全景视图信息运维;
所述步骤102由以下步骤中的至少两种组合后依次进行或同时进行:
步骤1021,从运维数据中提取信息点位数据、交换机数据和与信息点位相关的业务域子系统数据,对信息点位进行重要性排序;
步骤1022,从运维数据中提取设备的实际使用时间和设备的维修数据,计算获得拟合曲线,监测设备的使用情况并得出设备可使用期限;
步骤1023,从运维数据中提取账号数据,检测账号是否为越权操作;
步骤1024,从运维数据中提取设备使用情况,基于ID3算法构建决策树,从而对设备进行需求调整和维护;
步骤1025,从运维数据中提取系统后台活动记录数据、交换机端口活动状态数据、桌面检测终端记录数据,检测设备的不良行为并进行区分和排序。
作为优选,所述步骤1021包括如下步骤:
步骤10211,根据信息点位数据,计算树图的逻辑连接度,生成信息点逻辑图;
步骤10212,根据交换机数据,计算该信息点位的实际连接度,生成实际连接图;
步骤10213,根据与该信息点位相关的各类业务域子系统的实时性数据和带宽需求数据,结合计算所得逻辑连接度、实际连接度,生成物理图。
作为优选,所述步骤1022包括如下步骤:
步骤10221,提取设备的实际使用时间和设备的维修数据,所述维修数据包括报修数量;
步骤10222,对预设周期内设备的实际使用时间和设备的报修数量进行拟合,得到拟合曲线;
步骤10223,根据拟合曲线判断设备的故障是否有周期化和随使用时间设备保修率的变化,得出设备可使用期限。
作为优选,所述步骤1023包括以下步骤:
步骤10231,当检测到有账号登录系统时,提取该账号的账号信息及该账号登录设备的设备信息;
步骤10232,对该账号是否是公用账号进行识别;
步骤10233,若该账号不是公用账号,计算该账号操作的风险值;
步骤10234,若所得风险值超过阈值,则将该账号注销或修改权限。
作为优选,所述步骤1024包括如下步骤:
步骤10241,获取设备使用情况数据库,并从中提取训练集D;
步骤10242,提取训练集D的特征集A,所述特征集A含有用于判定设备使用情况的特征;
步骤10243,基于ID3算法计算特征集A中各个特征对训练集D的经验条件熵和信息增益,以选定合适的根节点和中间节点;
步骤10244,根据选定的根节点和中间节点构建决策树;
步骤10245,基于决策树对设备进行需求调整以及对出现异常的设备进行维护。
作为优选,所述步骤1025包括如下步骤:
步骤10251,获取系统后台活动记录数据、交换机端口活动状态数据、桌面检测终端记录数据;
步骤10252,从系统后台活动记录数据中提取账号、时间,从交换机端口活动状态数据中提取端口UP信息、端口DOWN信息及MAC地址,从桌面检测终端记录数据提取软件名称;
步骤10253,根据所提取的账号、时间、端口UP信息、端口DOWN信息、 MAC地址和软件名称,对设备所对应的不良行为进行区分和排序。
根据本发明实施例的第二方面,提供了一种信通点位全景视图信息运维系统,应用于运维管理平台,所述运维管理平台包括多个业务域子系统,包括:
采集单元,用于采集包括信息点、交换机、设备、账号多个层面的运维数据;
量化评价单元,用于根据所采集的信息点、交换机、设备、账号多个层面的运维数据,对信通点位进行量化评价;
显示单元,用于将量化评价显示在可视化界面,以实现全景视图信息运维
所述量化评价单元包括以下的至少两种:
信息点位排序装置,用于从运维数据中提取信息点位数据、交换机数据和与信息点位相关的业务域子系统数据,对信息点位进行重要性排序;
设备运行情况监测装置,用于从运维数据中提取设备的实际使用时间和设备的维修数据,计算获得拟合曲线,监测设备的使用情况并得出设备可使用期限;
账号越权操作识别装置,用于从运维数据中提取账号数据,检测账号是否为越权操作;
基于设备使用情况的人机关系验证装置,用于从运维数据中提取设备使用情况,基于ID3算法构建决策树,从而对设备进行需求调整和维护;
人员与设备行为对应关系监测装置,用于从运维数据中提取系统后台活动记录数据、交换机端口活动状态数据、桌面检测终端记录数据,检测设备的不良行为并进行区分和排序。
与现有技术相比较,本发明以各级信通运维数据和各业务部门线上数据为基础支撑,监控粒度细化到基层终端信通点位,以人员、设备和业务三项属性定义信通点位,确保信通设备运维业务的可控、能控、在控,全面提升企业各类业务应用的信息安全水平。
附图说明
图1为本发明信通点位全景视图信息运维方法的一种流程图;
图2为本发明信通点位全景视图信息运维方法步骤1021的一种流程图;
图3为本发明信通点位全景视图信息运维方法步骤1022的一种流程图;
图4为本发明信通点位全景视图信息运维方法步骤1023的一种流程图;
图5为本发明信通点位全景视图信息运维方法步骤1024的一种流程图;
图6为本发明信通点位全景视图信息运维方法步骤1025的一种流程图;
图7为本发明信通点位全景视图信息运维装置的一种结构框图。
图8为本发明量化评价单元示意图;
图9为本发明信息点位排序装置示意图;
图10为本发明设备运行情况监测装置示意图;
图11为本发明账号越权操作识别装置示意图;
图12为本发明基于设备使用情况的人机关系验证装置示意图;
图13为本发明人员与设备行为对应关系监测装置示意图。
具体实施方式
以下将结合附图所示的具体实施方式对本发明进行详细描述。但这些实施方式并不限制本发明,本领域的普通技术人员根据这些实施方式所做出的结构、方法、或功能上的变换均包含在本发明的保护范围内。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
如图1所示,一种信通点位全景视图信息运维方法,应用于运维管理平台,所述运维管理平台包括多个业务域子系统,包括如下步骤:
步骤101,采集包括信息点、交换机、设备、账号多个层面的运维数据;
步骤102,根据所采集的信息点、交换机、设备、账号多个层面的运维数据,对信通点位进行量化评价;
步骤103,将量化评价显示在可视化界面,以实现全景视图信息运维;
所述步骤102由以下步骤中的至少两种组合后依次进行或同时进行:
步骤1021,从运维数据中提取信息点位数据、交换机数据和与信息点位相关的业务域子系统数据,对信息点位进行重要性排序;
步骤1022,从运维数据中提取设备的实际使用时间和设备的维修数据,计算获得拟合曲线,监测设备的使用情况并得出设备可使用期限;
步骤1023,从运维数据中提取账号数据,检测账号是否为越权操作;
步骤1024,从运维数据中提取设备使用情况,基于ID3算法构建决策树,从而对设备进行需求调整和维护;
步骤1025,从运维数据中提取系统后台活动记录数据、交换机端口活动状态数据、桌面检测终端记录数据,检测设备的不良行为并进行区分和排序。
上述步骤1021至步骤1025可以依次进行或同时进行。本发明以各级信通运维数据和各业务部门线上数据为基础支撑,监控粒度细化到基层终端信通点位,以人员、设备和业务三项属性定义信通点位,确保信通设备运维业务的可控、能控、在控,全面提升企业各类业务应用的信息安全水平。
下面对步骤1021至步骤1025进行进一步具体的展开描述。
所述步骤1021主要为信息点位排序,如图2所示,具体可以包括如下步骤:
步骤10211,根据信息点位数据,计算树图的逻辑连接度,生成信息点逻辑图。
以信息点为节点,设定各节点度数为a1,a2…an,则节点x的子树节点xi的数量即为该节点的逻辑连接度:
树图的逻辑连接度就是指该节点的子树的节点数,一个节点的逻辑连接度越大,就表示它与其他信息点的联系越多,在整个拓扑结构中的重要性越高。这是信息点逻辑图里最简单的重要性指标,也是一个局部性的指标。
步骤10212,根据交换机数据,计算该信息点位的实际连接度,生成实际连接图。
以信息点为节点,节点X的实际连接度为:
实际连接度是对这张网络实际业务数量支撑下的节点重要性的排序,这种排序考虑的是实际业务的重要性,类似于交通图中的连接度的分布,这种特征更接近于全局节点的分布特征,这反映了网络承载业务重要性的非均质性分布。
步骤10213,根据与该信息点位相关的各类业务域子系统的实时性数据和带宽需求数据,结合计算所得逻辑连接度、实际连接度,生成物理图。
这里的物理图,可以是任何形式的图形,以能够反映信息点位的重要性排序为重点,在逻辑连接度和实际连接度排序的基础上,结合与该信息点位相关的各类业务应用软件的实时性数据和带宽需求数据,构建节点重要性有序排列的信息网络。
通过上述分析计算,本发明可以系统性的梳理和解决信息流沿各个设备的流向问题,很大程度上缩短了运维中遇到故障时所需的故障定位时间,对节点重要性排序就可以指导我们确定日常运维巡视的重点设备位置,从而制定精益化的运维方案。因此,本发明可以及时找到最急需维护的信息点,从而避免发生重要信息点的运维被耽误。
另外,所述步骤10212和步骤10213之间还可以包含:
步骤10214,计算各节点的活力指标,删除活力指标低于预设值的节点。节点的活力指标反映了该节点的重要度,若移除某节点后路网性能降低越多则反映该节点在路网中越重要。活力指标的预设值可以根据实际需要进行设置。
步骤10214具体表现为:
将实际连接图转化成实值函数f(G),G为实际连接图构成的集合,则节点 x的活力指标为该函数在图中包含该节点x时的函数值与移除该节点x后的函数值的差:
所述步骤1022主要为基于设备使用情况的设备运行情况监测方法,如图3 所示,具体包括如下步骤:
步骤10221,提取设备的实际使用时间和设备的维修数据,所述维修数据包括报修数量。所述设备的维修数据还可包括设备每次报修的故障时间、故障类型、维修时间。
步骤10222,对预设周期内设备的实际使用时间和设备的报修数量进行拟合,得到拟合曲线。
所述预设周期为可以设定半个月。以半个月为周期,对具体某批次同种设备软件、硬件报修次数分别进行拟合,判断设备故障是否有周期性变化,和随投入时间设备保修率的曲线变化。当然,设备故障较为特殊时,可以将预设周期适当的延长,比如设为一个月甚至一个季度。
所述对预设周期内设备的实际使用时间和设备的报修数量进行拟合,得到拟合曲线,通过最小二乘法和极大似然估计法获得。
在两个观测量中,往往总有一个量精度比另一个高得多,为简单起见把精度较高的观测量看作没有误差,并把这个观测量选作x,而把所有的误差只认为是y的误差。因此,可以将较高精度的观测量时间选作x,将另一个观测量报修数量为y,x和y的函数关系设定为:
y=f(x;c1,c2,…,cm)
其中,c1,c2,…,cm是m个要通过实验确定的参数,对于每组观测数据(xi,yi),都对应于xy平面上一个点,其中i=1,2,…,N。
若不存在测量误差,则这些数据点都准确落在理论曲线上。只要选取m组测量值代入上式,便得到方程组:
yi=f(x;c1,c2,…,cm)
式中i=1,2,……,m,求m个方程的联立解即得m个参数的数值。
显然N<m时,参数不能确定。在N>m的情况下,上述方程组成为矛盾方程组,不能直接用解方程的方法求得m个参数值,只能用曲线拟合的方法来处理。设测量中不存在着系统误差,或者说已经修正,则y的观测值yi围绕着期望值<f(x;c1,c2,…,cm)>摆动,其分布为正态分布,则yi的概率密度为:
式中σi是分布的标准误差。为简便起见,下面用C代表(c1,c2,…,cm)。
考虑各次测量是相互独立的,故对观测值构建似然函数:
取似然函数L最大来估计参数C,应使
取最小值:对于y的分布不限于正态分布来说,似然函数式称为最小二乘法准则。若为正态分布的情况,则最大似然法与最小二乘法是一致的。因权重因子故用最小二乘法来估计参数,要求各测量值yi的偏差的加权平方和为最小。
根据似然函数的要求,应有
从而得到方程组
对拟合的结果还应给予合理的评价,所以拟合曲线获得后,还可以包括如下步骤:
步骤102221,对拟合曲线的近似度进行验证。
若yi服从正态分布,所述步骤102221中对拟合曲线的近似度进行验证的步骤如下:
引入拟合的x2量,
可以证明,服从自由度v=N-m的x2分布,由此可对拟合结果作x2检验。由x2分布得知,随机变量的期望值为N-m。如果由上式计算出接近N-m (例如),则认为拟合结果是可接受的;但是如果则认为拟合结果与观测值有显著的矛盾。
出现后者情况时,可使用线性回归的方法,对于n个特征的特征向量:
h0(x)=θ0+θ1x1+θ2x2+…+θnxn=θT(X)
设有M个样本,上标i表示第i个样本,得到平方损失函数:
J(θ)越小,拟合的直线就越接近样本。
步骤10223,根据拟合曲线判断设备的故障是否有周期化和随使用时间设备保修率的变化,得出设备可使用期限。
所述步骤1023主要为账号越权操作识别方法,如图4所示,具体包括以下步骤:
步骤10231,当检测到有账号登录系统时,提取该账号的账号信息及该账号登录设备的设备信息。
这里,所述账号信息可以包括:账号的权限,账号所有人的职责,账号对应设备的设备信息。具体的,通过账号信息和设备信息的采集,了解当前登陆的账号信息、所登陆设备的计算机连接端口、账号使用人及账号权限、所在物理位置等等,人员信息可以包括账号使用人的部门、职位、职责等。
步骤10232,对该账号是否是公用账号进行识别。
步骤10233,若该账号不是公用账号,计算该账号操作的风险值。
本发明的一种实现方式,所述计算该账号操作的风险值P1可以为物理风险值,该账号对应设备的设备信息为ID2(d2,f2,r2),ID2、d2、f2、r2分别代表该账号所登录设备的设备号、二级节点层级位置、二级节点下方层级位置和实际地理位置,该账号所登录设备的设备信息为ID1(d1,f1,r1),ID1、d1、f1、r1分别代表该账号所登录设备的设备号、二级节点层级位置、二级节点下方层级位置和实际地理位置,则物理风险值P1:
P1=|(d1-d2)*1000|+|(f1-f2)*100|+|(r1-r2)|。
其中,实际地理位置距离值可用实际数值计算,二级节点层级位置、二级节点下方层级位置的距离计算值通过设定值换算得到,1000是账号数据来源在二级节点层级上发生的改变时赋予风险值,100是在二级节点下发生赋予的风险值。P1的值越大,账号未注销,共有化风险越大。
本发明的一种实现方式,所述计算该账号操作的风险值P1可以为越权风险值,风险值越权,越级越多,部门相差越大,风险值会爆炸性增长。每个账号所有人超出原有权限的风险系数设定为b1,账号所有人登录设备该风险为b2:
特别的,账号显示有多次登陆时,可以将风险值进行累加:
其中,i、n均为整数且1≤i≤n。
步骤10234,若所得风险值超过阈值,则将该账号注销或修改权限。
风险值的阈值可以根据实际需要进行设置和调整。
所述步骤1024为基于设备使用情况的人机关系验证方法,如图5所示,具体可以包括如下步骤:
步骤10241,获取设备使用情况数据库,并从中提取训练集D。
为了数据具有代表性和准确性,所述步骤101中,获取设备使用情况数据库时仅选取平均周访问次数超过1的设备,从而将其他数据剔除。设备使用情况数据库包含的数据有:计算机交换机(防火墙)日志数据、字段、源地址、目的地址;目的地址与业务系统统计、网段地址、对应业务平台名称;IP绑定 MAC地址、P地址、设备使用人、设备用人部门等等。一般的,提取20组左右数据形成训练集D。
步骤10242,提取训练集D的特征集A,所述特征集A含有用于判定设备使用情况的特征。
特征集A,可以根据“设备使用人群是否变化”对训练集D进行分类,用于代表决策树的两种大方向:设备使用人群变化,设备使用人群没有变化。特征集A中的各个特征,用于标识设备上应用的各种业务平台,代表设备对各种业务平台的使用频繁程度,各个特征的值均包含四种:偶尔,频繁,有访问,无访问。
步骤10243,基于ID3算法计算特征集A中各个特征对训练集D的经验条件熵和信息增益,以选定合适的根节点和中间节点。
步骤10244,根据选定的根节点和中间节点构建决策树。
步骤10245,基于决策树对设备进行需求调整以及对出现异常的设备进行维护。
其中,步骤10243可以进一步展开,包括如下步骤:
步骤102431,根据“设备使用人群是否变化”对训练集D进行分类,计算训练集D的经验熵。
所述根据“设备使用人群是否变化”对训练集D进行分类,计算训练集D的经验熵的过程如下:
“设备使用人群是否变化”标记为特征C,C具有K个可能的取值 C={C1,C2,…,Ck},训练集D根据特征C分成K类,Ck出现的频率为pk,其中 1≤k≤K,k、K均为整数,则训练集D的经验熵:
其中,约定0log2 0=0。
步骤102432,基于ID3算法依次计算特征集A中每一个特征对训练集D的经验条件熵和信息增益。ID3分类决策树,具有可读性强、分类速度快的特点。采用ID3分类决策树展开大量数据的快速族群筛查,将筛查出的族群进行对聚类处理,利用不同属性的群体使用的不同业务平台的频率判别设备使用者的人群属性是否发生变化。
所述基于ID3算法依次计算特征集A中每一个特征对训练集D的经验条件熵和信息增益的过程如下:
步骤1024321,特征集A中的各个特征分别标记为A1、A2、…、Am,用于标识设备上应用的各种业务平台,m为大于或等于1的整数。
步骤1024322,特征集A1将训练集D划分为n个子集Di=[D1,D2,D3,…,Dn], n为大于或等于1的整数,每个子集根据特征C分成k类,则特征集A1对训练集D的经验条件熵:
其中,1≤i≤n,1≤k≤K,i、n、k、K均为整数,|Di|为样本子集Di中包含的样本数,|D|为训练集D中包含的样本数,|Dik|为样本子集Di中第k类包含的样本数。
步骤1024323,计算得到特征A1的信息增益:
g(D,A1)=H(D)-H(D|A1)。
步骤1024324,重复步骤50322和步骤50323,得到特征集A中其他特征对训练集D的经验条件熵和信息增益。
步骤102433,由于信息增益大的特征具有更强的分类能力,选择信息增益最大的特征为训练集D的根结点特征,并将其划分为多个子集。
步骤102434,分别计算特征集A中剩余特征对各个子集的经验条件熵和信息增益,选定叶节点。
本发明构建决策树,通过设备特征识别计算,可以及时发现设备是否经常使用以及是否出现擅自更换使用设备的行为,从而提高信息安全性、准确性,解决设备闲置、设备擅自更换使用人等问题。
下面举例计算说明,如表1所示的训练集D。
表1
训练集D有15个样本,根据“设备使用人群是否变化”对训练集D分类,取值为“是”的有9个样本,取值为“否”的有6个样本,训练集D的经验熵为:
然后计算各特征对数据集D的信用增益。
特征集A设定有以A1、A2、A3、A4分别表示的平台1、平台2、平台3和平台4四个特征。
“平台1”A1的取值有{偶尔,频繁,有访问,无访问},若使用该特征对训练集D进行划分,可得到4个样本子集,分别记为:D1(平台1=偶尔),D2(平台1=频繁),D3(平台1=有访问),D4(平台1=无访问)。
如表1,D1包含5个样本,其中“设备使用人群是否变化”取值为“是”的比例为“设备使用人群是否变化”取值为“否”的比例为D2包含5个样本,其中“设备使用人群是否变化”取值为“是”的比例为“设备使用人群是否变化”取值为“否”的比例为D3包含样本0个样本;D4包含样本5 个样本,其中“设备使用人群是否变化”取值为“是”的比例“设备使用人群是否变化”取值为“否”的比例为则其三个分支点的经验熵为:
H(D3)=0
特征A1对训练集D的经验条件熵:
特征A1的信息增益:
g(D,A1)=H(D)-H(D|A1)=0.971-0.888=0.083
同理,计算可得:
特征A2的信息增益g(D,A2)=0.324
特征A3的信息增益g(D,A3)=0.420
特征A4的信息增益g(D,A4)=0.363
比较各特征的信息增益值,可知特征A3的信息增益的值最大,所以可选择特征A3作为最优特征和根结点特征,并将其划分为两个子集D1和D2,对于D1只有一类的样本点,故为一个叶结点,对D2则需要从A1、A2、A4中选择新的特征。计算各个特征的信息增益如下:
g(D2,A1)=0.251
g(D2,A2)=0.918
g(D2,A4)=0.474
可知此时特征A2的信息增益最大,故选择特征A2作为下一层的中间结点的特征,由此引出两个子结点,一个对应“是”的子结点,另一个对应“否”的子结点,两个结点内各自的样本属于同一类,因此均属于叶结点。
以此类推,从而可构建完整的决策树,是的设备的使用情况一目了然,设备是否经常使用以及是否出现擅自更换使用设备的行为也可轻易得出。在此基础上,可以做出相关维护和调整,比如对相关设备可以进行功能调整,避免部分设备的闲置;进行相关设备和操作人员的功能配对,修改设备和人员的权限。
步骤1025主要为人员与设备行为对应关系监测方,如图6所示,具体可以包括如下步骤:
步骤10251,获取系统后台活动记录数据、交换机端口活动状态数据、桌面检测终端记录数据。
这里,获取系统后台活动记录数据,主要提取账号、时间,是为了进一步检测账号是否及时注销;获取交换机端口活动状态数据,如交换机端口的up和 down状态,主要提取端口UP信息、端口DOWN信息及MAC地址,是为了进一步检测电脑是否及时关闭,非工作时间发生的电脑开机行为;获取桌面检测终端记录数据,主要提取所安装的软件名称,是为了进一步检测电脑软件安装情况,识别非法软件。获取数据时,可以半个月或一个月为数据统计周期。
步骤10252,从系统后台活动记录数据中提取账号、时间,从交换机端口活动状态数据中提取端口UP信息、端口DOWN信息及MAC地址,从桌面检测终端记录数据提取软件名称。
这里,数据提取所用的方法可以为AC自动机算法或孤立森林算法。
AC自动机算法是一个经典的多模式匹配算法,可以保证对于给定的长度为 n的文本,和模式集合P{p1,p2,…,pm},在O(n)时间复杂度内,找到文本中的所有目标模式,而与模式集合的规模m无关。AC自动机算法可以说是KMP算法在多模式环境下的扩展。AC自动机算法通过对模式集合P的预处理,去除了模式集合的规模对匹配算法速度的影响。
经典的AC算法由三部分构成,goto表,fail表和output表,共包含四种具体的算法,分别是计算三张查找表的算法以及AC算法本身。goto表是由模式集合P中的所有模式构成的状态转移自动机;failure表作用是在goto表中匹配失败后状态跳转的依据;output表示输出,又称emits,即代表到达某个状态后某个模式串匹配。
孤立森林算法则需要对各个维度的数据构建一系列的随机二叉树,这些随机二叉树每个节点要么有两个孩子,要么就是叶子节点。通过在取值范围内随机取值,将该范围内的数据划分成两个分支,然后在两个分支中继续随机取值进行划分。不断重复这一过程,直到不可分割或者树的高度达到了限制。由于异常点是稀少的,在随机树中会很快被划分到叶子节点中,故而通过计算叶子节点到根节点之问的路径长度,可以快速判断一条记录是否为异常行为。
为了减轻计算量,对n个样本数据,样本点x的路径长度h(x)为从根节点到叶子节点所经过的边的数量,其平均路径的长度c(n)为:
其中H(i)是谐波数,等于In(i)+欧拉常数。
步骤603,根据所提取的账号、时间、端口UP信息、端口DOWN信息、 MAC地址和软件名称,对设备所对应的不良行为进行区分和排序。
所述对设备所对应的不良行为可以包括以下四种行为中的至少一种:账号未及时注销行为b1,电脑未及时关闭行为b2,安装非法软件行为b3,非工作时间登陆行为b4。
所述对设备所对应的不良行为进行区分和排序包括:
步骤102531,对四种行为分别赋予不同的权重;
步骤102532,对赋值后每个设备对应的各不良行为累加计算后进行排序。
具体的,所述步骤102531中对四种行为分别赋予不同的权重,是指:
若账号连续在线时间大于48小时,则账号未及时注销行为b1=4,否则账号未及时注销行为b1=0;
若端口连续up时间大于48小时,则电脑未及时关闭行为b2=2,否则电脑未及时关闭行为b2=0;
若桌面系统数据检测到非法软件安装,则安装非法软件行为b3=1,否则安装非法软件行为b3=0;
若从交换机端口日志查询到非工作时间的开机行为,则非工作时间登陆行为b4=0.5,否则非工作时间登陆行为b4=0。
步骤102532中,对赋值后每个设备对应的各不良行为B累加计算,即:
赋值和排序可按表2进行。
表2
基于上述方法,本发明还相应提出了一种信通点位全景视图信息运维系统,应用于运维管理平台,所述运维管理平台包括多个业务域子系统,如图7所示,包括:
采集单元201,用于采集包括信息点、交换机、设备、账号多个层面的运维数据;
量化评价单元202,用于根据所采集的信息点、交换机、设备、账号多个层面的运维数据,对信通点位进行量化评价;
显示单元203,用于将量化评价显示在可视化界面,以实现全景视图信息运维
所述量化评价单元202包括以下的至少两种,如图8所示,:
信息点位排序装置2021,用于从运维数据中提取信息点位数据、交换机数据和与信息点位相关的业务域子系统数据,对信息点位进行重要性排序;
设备运行情况监测装置2022,用于从运维数据中提取设备的实际使用时间和设备的维修数据,计算获得拟合曲线,监测设备的使用情况并得出设备可使用期限;
账号越权操作识别装置2023,用于从运维数据中提取账号数据,检测账号是否为越权操作;
基于设备使用情况的人机关系验证装置2024,用于从运维数据中提取设备使用情况,基于ID3算法构建决策树,从而对设备进行需求调整和维护;
人员与设备行为对应关系监测装置2025,用于从运维数据中提取系统后台活动记录数据、交换机端口活动状态数据、桌面检测终端记录数据,检测设备的不良行为并进行区分和排序。
具体的,信息点位排序装置2021,如图9所示,可以包括:
逻辑连接度计算模块20211,用于获取信息点位数据,计算树图的逻辑连接度,生成信息点逻辑图;
实际连接度计算模块20212,用于抓取交换机数据,计算该信息点位的实际连接度;
应用数据分析模块20213,用于获取与该信息点位相关的各类业务应用软件的实时性数据和带宽需求数据,结合计算所得逻辑连接度、实际连接度,生成物理图。
信息点位排序装置还可以包括:位于实际连接度计算模块20212和应用数据分析模块20213之间的节点活力指标计算模块20214,用于计算各节点的活力指标,删除活力指标低于预设值的节点。
设备运行情况监测装置2022,如图10所示,可以包括:
数据获取模块20221,用于获取设备的实际使用时间和设备的维修数据,所述维修数据包括报修数量;
曲线拟合模块20222,用于对预设周期内设备的实际使用时间和设备的报修数量进行拟合,得到拟合曲线;
计算判断模块20223,用于根据拟合曲线判断设备的故障是否有周期化和随使用时间设备保修率的变化,得出设备可使用期限。
其中,曲线拟合模块20222包括:曲线验证子模块,用于对拟合曲线的近似度进行验证。所述数据获取模块20221获取的所述设备的维修数据还包括设备每次报修的故障时间、故障类型、维修时间。
账号越权操作识别装置2023,如图11所示,可以包括:
账号检测模块20231,当检测到有账号登录系统时,获取该账号的账号信息及该账号登录设备的设备信息;
账号识别模块20232,对该账号是否是公用账号进行识别;
风险值计算模块20233,若该账号不是公用账号,计算该账号操作的风险值;
权限修改模块20234,若所得风险值超过阈值,则将该账号注销或修改权限。
其中,账号信息包括:账号的权限,账号所有人的职责,账号对应设备的设备信息。
基于设备使用情况的人机关系验证装置2024,如图12所示,可以包括:
数据提取模块20241,用于获取设备使用情况数据库,并从中提取训练集D;
特征提取模块20242,用于提取训练集D的特征集A,所述特征集A含有用于判定设备使用情况的特征;
信息增益计算模块20243,用于基于ID3算法计算特征集A中各个特征对训练集D的经验条件熵和信息增益,以选定合适的根节点和中间节点;
决策树构建模块20244,用于根据选定的根节点和中间节点构建决策树;
分析模块,用于基于决策树分析设备是否经常使用以及是否出现擅自更换使用设备的行为,从而对设备进行需求调整和维护。
其中,所述信息增益计算模块包括:
经验熵计算子模块,根据“设备使用人群是否变化”对训练集D进行分类,计算训练集D的经验熵;
信息增益计算子模块,基于ID3算法依次计算特征集A中每一个特征对训练集D的经验条件熵和信息增益;
根结点选择子模块,选择信息增益最大的特征为训练集D的根结点特征,并将其划分为多个子集;
叶节点选定子模块,分别计算特征集A中剩余特征对各个子集的经验条件熵和信息增益,选定叶节点。
其中,所述特征集A中的各个特征分别对应表示设备上所具有各种业务平台的使用频繁程度,各个特征的值均包含四种:频繁、偶尔、有访问、无访问。数据提取模块获取设备使用情况数据库时仅选取平均周访问次数超过1的设备。
人员与设备行为对应关系监测装置2025,如图13所示,可以包括:
数据获取模块20251,用于获取系统后台活动记录数据、交换机端口活动状态数据、桌面检测终端记录数据;
信息提取模块20252,用于从系统后台活动记录数据中提取账号、时间,从交换机端口活动状态数据中提取端口UP信息、端口DOWN信息及MAC地址,从桌面检测终端记录数据提取软件名称;
区分和排序模块20253,用于根据所提取的账号、时间、端口UP信息、端口DOWN信息、MAC地址和软件名称,对设备所对应的不良行为进行区分和排序。
其中,所述区分和排序模块20253包括:
权重赋予子模块,用于对四种行为分别赋予不同的权重;
计算排序子模块,用于对赋值后每个设备对应的各不良行为累加计算后进行排序。
关于上述实施例中的系统与装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由本申请的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (7)
1.一种信通点位全景视图信息运维方法,应用于运维管理平台,所述运维管理平台包括多个业务域子系统,其特征在于,包括如下步骤:
步骤101,采集包括信息点、交换机、设备、账号多个层面的运维数据;
步骤102,根据所采集的信息点、交换机、设备、账号多个层面的运维数据,对信通点位进行量化评价;
步骤103,将量化评价显示在可视化界面,以实现全景视图信息运维;
所述步骤102由以下步骤中的至少两种组合后依次进行或同时进行:
步骤1021,从运维数据中提取信息点位数据、交换机数据和与信息点位相关的业务域子系统数据,对信息点位进行重要性排序;
步骤1022,从运维数据中提取设备的实际使用时间和设备的维修数据,计算获得拟合曲线,监测设备的使用情况并得出设备可使用期限;
步骤1023,从运维数据中提取账号数据,检测账号是否为越权操作;
步骤1024,从运维数据中提取设备使用情况,基于ID3算法构建决策树,从而对设备进行需求调整和维护;
步骤1025,从运维数据中提取系统后台活动记录数据、交换机端口活动状态数据、桌面检测终端记录数据,检测设备的不良行为并进行区分和排序。
2.根据权利要求1所述的信通点位全景视图信息运维方法,其特征在于,所述步骤1021包括如下步骤:
步骤10211,根据信息点位数据,计算树图的逻辑连接度,生成信息点逻辑图;
步骤10212,根据交换机数据,计算该信息点位的实际连接度,生成实际连接图;
步骤10213,根据与该信息点位相关的各类业务域子系统的实时性数据和带宽需求数据,结合计算所得逻辑连接度、实际连接度,生成物理图。
3.根据权利要求1所述的信通点位全景视图信息运维方法,其特征在于,所述步骤1022包括如下步骤:
步骤10221,提取设备的实际使用时间和设备的维修数据,所述维修数据包括报修数量;
步骤10222,对预设周期内设备的实际使用时间和设备的报修数量进行拟合,得到拟合曲线;
步骤10223,根据拟合曲线判断设备的故障是否有周期化和随使用时间设备保修率的变化,得出设备可使用期限。
4.根据权利要求1所述的信通点位全景视图信息运维方法,其特征在于,所述步骤1023包括以下步骤:
步骤10231,当检测到有账号登录系统时,提取该账号的账号信息及该账号登录设备的设备信息;
步骤10232,对该账号是否是公用账号进行识别;
步骤10233,若该账号不是公用账号,计算该账号操作的风险值;
步骤10234,若所得风险值超过阈值,则将该账号注销或修改权限。
5.根据权利要求1所述的信通点位全景视图信息运维方法,其特征在于,所述步骤1024包括如下步骤:
步骤10241,获取设备使用情况数据库,并从中提取训练集D;
步骤10242,提取训练集D的特征集A,所述特征集A含有用于判定设备使用情况的特征;
步骤10243,基于ID3算法计算特征集A中各个特征对训练集D的经验条件熵和信息增益,以选定合适的根节点和中间节点;
步骤10244,根据选定的根节点和中间节点构建决策树;
步骤10245,基于决策树对设备进行需求调整以及对出现异常的设备进行维护。
6.根据权利要求1所述的信通点位全景视图信息运维方法,其特征在于,所述步骤1025包括如下步骤:
步骤10251,获取系统后台活动记录数据、交换机端口活动状态数据、桌面检测终端记录数据;
步骤10252,从系统后台活动记录数据中提取账号、时间,从交换机端口活动状态数据中提取端口UP信息、端口DOWN信息及MAC地址,从桌面检测终端记录数据提取软件名称;
步骤10253,根据所提取的账号、时间、端口UP信息、端口DOWN信息、MAC地址和软件名称,对设备所对应的不良行为进行区分和排序。
7.信通点位全景视图信息运维系统,应用于运维管理平台,所述运维管理平台包括多个业务域子系统,其特征在于,包括:
采集单元,用于采集包括信息点、交换机、设备、账号多个层面的运维数据;
量化评价单元,用于根据所采集的信息点、交换机、设备、账号多个层面的运维数据,对信通点位进行量化评价;
显示单元,用于将量化评价显示在可视化界面,以实现全景视图信息运维所述量化评价单元包括以下的至少两种:
信息点位排序装置,用于从运维数据中提取信息点位数据、交换机数据和与信息点位相关的业务域子系统数据,对信息点位进行重要性排序;
设备运行情况监测装置,用于从运维数据中提取设备的实际使用时间和设备的维修数据,计算获得拟合曲线,监测设备的使用情况并得出设备可使用期限;
账号越权操作识别装置,用于从运维数据中提取账号数据,检测账号是否为越权操作;
基于设备使用情况的人机关系验证装置,用于从运维数据中提取设备使用情况,基于ID3算法构建决策树,从而对设备进行需求调整和维护;
人员与设备行为对应关系监测装置,用于从运维数据中提取系统后台活动记录数据、交换机端口活动状态数据、桌面检测终端记录数据,检测设备的不良行为并进行区分和排序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911074863.2A CN110995465B (zh) | 2019-11-06 | 2019-11-06 | 信通点位全景视图信息运维方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911074863.2A CN110995465B (zh) | 2019-11-06 | 2019-11-06 | 信通点位全景视图信息运维方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110995465A true CN110995465A (zh) | 2020-04-10 |
CN110995465B CN110995465B (zh) | 2022-10-04 |
Family
ID=70083504
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911074863.2A Active CN110995465B (zh) | 2019-11-06 | 2019-11-06 | 信通点位全景视图信息运维方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110995465B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114513399A (zh) * | 2021-12-31 | 2022-05-17 | 锐捷网络股份有限公司 | 设备识别方法、装置和计算机可读存储介质及电子设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103645716A (zh) * | 2013-12-16 | 2014-03-19 | 国家电网公司 | 一种变电站倒闸系统中的数据处理方法及装置 |
CN103823900A (zh) * | 2014-03-17 | 2014-05-28 | 北京百度网讯科技有限公司 | 信息点重要性确定方法和装置 |
CN105119750A (zh) * | 2015-09-08 | 2015-12-02 | 南京联成科技发展有限公司 | 一种基于大数据的分布式信息安全运维管理平台 |
CN105763505A (zh) * | 2014-12-15 | 2016-07-13 | 阿里巴巴集团控股有限公司 | 基于用户账号的操作方法及装置 |
CN106650922A (zh) * | 2016-09-29 | 2017-05-10 | 清华大学 | 硬件神经网络转换方法、计算装置、编译方法和神经网络软硬件协作系统 |
CN107506863A (zh) * | 2017-08-25 | 2017-12-22 | 国家电网公司 | 一种基于大数据电网实物资产运维检修费用预测方法 |
CN108282026A (zh) * | 2017-12-27 | 2018-07-13 | 河南平高电气股份有限公司 | 一种高压开关设备远程运维系统 |
-
2019
- 2019-11-06 CN CN201911074863.2A patent/CN110995465B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103645716A (zh) * | 2013-12-16 | 2014-03-19 | 国家电网公司 | 一种变电站倒闸系统中的数据处理方法及装置 |
CN103823900A (zh) * | 2014-03-17 | 2014-05-28 | 北京百度网讯科技有限公司 | 信息点重要性确定方法和装置 |
CN105763505A (zh) * | 2014-12-15 | 2016-07-13 | 阿里巴巴集团控股有限公司 | 基于用户账号的操作方法及装置 |
CN105119750A (zh) * | 2015-09-08 | 2015-12-02 | 南京联成科技发展有限公司 | 一种基于大数据的分布式信息安全运维管理平台 |
CN106650922A (zh) * | 2016-09-29 | 2017-05-10 | 清华大学 | 硬件神经网络转换方法、计算装置、编译方法和神经网络软硬件协作系统 |
CN107506863A (zh) * | 2017-08-25 | 2017-12-22 | 国家电网公司 | 一种基于大数据电网实物资产运维检修费用预测方法 |
CN108282026A (zh) * | 2017-12-27 | 2018-07-13 | 河南平高电气股份有限公司 | 一种高压开关设备远程运维系统 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114513399A (zh) * | 2021-12-31 | 2022-05-17 | 锐捷网络股份有限公司 | 设备识别方法、装置和计算机可读存储介质及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN110995465B (zh) | 2022-10-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2021184630A1 (zh) | 基于知识图谱定位排污对象的方法及相关设备 | |
CN105677791B (zh) | 用于分析风力发电机组的运行数据的方法和系统 | |
CN107517216B (zh) | 一种网络安全事件关联方法 | |
CN109816031B (zh) | 一种基于数据不均衡度量的变压器状态评估聚类分析方法 | |
CN108809745A (zh) | 一种用户异常行为检测方法、装置及系统 | |
US20050086529A1 (en) | Detection of misuse or abuse of data by authorized access to database | |
CN106682079A (zh) | 一种基于聚类分析的用户用电行为检测方法 | |
EP1677213A2 (en) | Data object association based on graph theory techniques | |
CN110084326B (zh) | 一种基于模糊集的工业设备异常检测方法 | |
CN109472075B (zh) | 一种基站性能分析方法及系统 | |
US7716152B2 (en) | Use of sequential nearest neighbor clustering for instance selection in machine condition monitoring | |
CN113411303B (zh) | 基于层次聚类和层次分析法的评估指标体系构建方法 | |
CN113392426A (zh) | 用于增强工业系统或电功率系统的数据隐私的方法及系统 | |
CN117478441B (zh) | 基于用户行为智能分析的动态访问控制方法及系统 | |
CN109951499A (zh) | 一种基于网络结构特征的异常检测方法 | |
CN117041312A (zh) | 基于物联网的企业级信息技术监控系统 | |
CN115130578A (zh) | 一种基于增量式粗糙聚类的配电设备状态在线评估方法 | |
CN113205134A (zh) | 一种网络安全态势预测方法及系统 | |
CN116976318A (zh) | 基于深度学习和模型推理的电网倒闸操作票智能审核系统 | |
CN110995465B (zh) | 信通点位全景视图信息运维方法及系统 | |
CN109344913B (zh) | 一种基于改进MajorClust聚类的网络入侵行为检测方法 | |
CN113726558A (zh) | 基于随机森林算法的网络设备流量预测系统 | |
US20230156043A1 (en) | System and method of supporting decision-making for security management | |
CN105930430A (zh) | 一种基于非累积属性的实时欺诈检测方法及装置 | |
CN116205528A (zh) | 基于施工场地电力数据的违规施工辨识方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |