CN111147442A - 一种公安终端用户访问行为的数据传输与集中管控方法 - Google Patents

一种公安终端用户访问行为的数据传输与集中管控方法 Download PDF

Info

Publication number
CN111147442A
CN111147442A CN201911105568.9A CN201911105568A CN111147442A CN 111147442 A CN111147442 A CN 111147442A CN 201911105568 A CN201911105568 A CN 201911105568A CN 111147442 A CN111147442 A CN 111147442A
Authority
CN
China
Prior art keywords
data
public security
access
abnormal
information network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911105568.9A
Other languages
English (en)
Other versions
CN111147442B (zh
Inventor
陈�峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Fablesoft Co ltd
Original Assignee
Jiangsu Fablesoft Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Fablesoft Co ltd filed Critical Jiangsu Fablesoft Co ltd
Priority to CN201911105568.9A priority Critical patent/CN111147442B/zh
Publication of CN111147442A publication Critical patent/CN111147442A/zh
Application granted granted Critical
Publication of CN111147442B publication Critical patent/CN111147442B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种公安终端用户访问行为的数据传输与集中管控方法,该方案提供了公安系统终端用户访问行为链数据的采集,汇聚,分析,处理与策略管控方式。以解决现有技术中无法高效汇聚终端用户访问信息,并分辨违规信息,进而达到对违规访问用户进行管控的目的。

Description

一种公安终端用户访问行为的数据传输与集中管控方法
技术领域
本发明涉及一种管控方法,具体涉及公安终端用户访问行为的数据传输与集中管控方法,属于信息数据的采集、传输与分析技术领域。
背景技术
随着公安系统终端用户使用量的快速增长,使用的违规情况也会必然产生,所以需要发现违规使用终端访问的行为,才能加以制止,保证网络安全。
目前,终端用户的使用信息数据,存在着数据分散,无统计,无分析,无处理,无判定,无指示的状态,急需对终端用户的违规行为加以集中汇总,分析并管控。
然而,单纯依靠人工记录上报的方法,不仅隐患内容缺乏准确性判定标准,而且缺少对分散的安全隐患记录的融合分析,所以很难分辨出终端用户访问行为是否是违规异常行为,更别说加以管控了,同时,原始行为数据仅存在于终端管控系统中,未在核心信息网中进行集中管理与分析,需要进行一套完整的数据双向传输链,因此,迫切的需要一种新的方案解决上述技术问题。
发明内容
本发明正是针对现有技术中存在的问题,提供一种公安终端用户访问行为的数据传输与集中管控方法,该方案通过公安系统终端用户访问行为链数据的采集,汇聚,分析,处理与策略管控,以解决现有技术中无法高效汇聚终端用户访问信息,并分辨违规信息,进而达到对违规访问用户进行管控的目的。
为了实现上述目的,本发明的技术方案如下,一种公安终端用户访问行为的数据传输与集中管控方法,其特征在于,所述方法包括以下步骤:
步骤1)位于省级的公安移动信息网的采集系统,通过syslog方式获取同类网中的终端管控系统中的终端访问行为链数据;
步骤2)对获取的终端访问数据进行初步清洗,去除异常值,缺失值,并对数据流量单位进行规约;
步骤3)通过消息队列的方式将省级公安移动信息网中的数据传输至省级公安信息网;
步骤4)再通过VPN代理方式将数据从省级公安信息网传输至部级公安信息网中的安全管控中心;
步骤5)安全管控中心后台系统对终端访问行为数据进行汇总与分析;
步骤6)抽取具有访问行为特征的向量;
步骤7)通过数据统计,业务关联方式给原未标记是否异常的数据打上标签;
步骤8)对分类好是否异常的访问数据使用分类模型进行训练;
步骤9)对新产生的访问行为数据代入模型,得出二分类结果,即是否是异常行为;
步骤10)部级公安信息网中的安全管控系统将数据通过VPN代理再下发给省级公安信息网中的安全管控系统;
步骤11)省级公安移动信息网中的采集系统主动从省级公安信息网中的安全管控系统拉取分类出的异常行为;
步骤12)省级公安移动信息网中的采集系统将异常行为的操作人及关联信息下发给同网络中的终端管控系统,至此完成整套流程。
所述步骤(1)具体为:省级公安移动信息网中的终端管控系统作为数据源,开启SNMP协议,将终端行为数据通过SYSLOG方式在同网段中的数据进行广播,位于省级的公安移动信息网的采集系统接收此广播中的数据,即终端行为数据。
所述步骤(2)具体为:对获取的终端行为数据进行清洗,对缺失关键特征的数据进行删除,如缺失使用人员,访问对象的。对明显异常的与实际业务不符的数据进行删除,如超出业务管控范围的被访问应用。对流量大小值缺失的,进行拉格朗日拉插值取得平滑补全值。
所述步骤(3)具体为:在省级公安移动信息网中的采集系统与省级公安信息网中的安全管控系统之间建立消息队列管道,当采集系统接收到新的终端行为数据时,实时通过此管道传输至安全管控系统。
所述步骤(5)包括以下子步骤:
(51)安全管控中心后台系统对终端访问行为数据进行汇总,对所有获取的数据去除重复,删除业务上相悖的数据;通过数据统计分析与业务关联的方式给原未标记是否异常的数据打上是否异常的标签,并训练分类模型;
(52)先初步根据业务,从访问行为数据所有字段中提取关键访问行为特征向量。再使用PCA算法进行降维处理,得到核心特征。
(53)将其中没有是否异常标识的访问行为数据,将访问流量,访问时间的数据进行分布统计,
并进行聚类,将其中远离簇中心过远的数据打上异常标签。另一方面,根据实际系统情况,如访问时间在内部公告要求之外,来访IP地址在工作地范围之外的等数据打上异常标签。
(54)对上述分类好是否异常的访问数据使用分类算法进行训练,得到所需模型。并校验可知,准确率较高。
所述步骤(11)具体为:省级公安信息网中的安全管控系统采用restful接口,对外提供获取异常行为处理信息的功能。省级公安移动信息网中的采集系统通过主动调用此接口,获取异常行为的处理信息;
所述步骤(12)具体为:省级公安信息网中的终端管控系统采用restful接口,对外提供接收异常行为处理信息的功能。省级公安移动信息网中的采集系统通过主动调用此接口,向其发送异常行为的处理信息;
相对于现有技术,本发明的技术效果如下:该方案可通过一整条数据链,通过多次,多种传输方式,完成访问行为数据的采集,汇聚,分析与下发的完整过程。使得数据可以在省级、部级的公安移动信息网、公安信息网之间双向稳定传输。使终端用户的行为数据得到了集中管控,实时监测。同时对访问行为进行了有效甄别,包括未标识异常的数据也得到了甄别,并将对应处理指令及时进行了下发。
附图说明
图1为公安终端用户访问行为数据的采集汇总处理分析的正整套流程图。
具体实施方式:
为了加深对本发明的理解,下面结合实施例对本发明做详细的介绍。
实施例1:参见图1,一种公安终端用户访问行为的数据传输与集中管控方法,所述方法包括以下步骤:
步骤1)位于省级的公安移动信息网的采集系统,通过syslog方式获取同类网中的终端管控系统中的终端访问行为链数据;
步骤2)对获取的终端访问数据进行初步清洗,去除异常值,缺失值,并对数据流量单位进行规约;
步骤3)通过消息队列的方式将省级公安移动信息网中的数据传输至省级公安信息网;
步骤4)再通过VPN代理方式将数据从省级公安信息网传输至部级公安信息网中的安全管控中心;
步骤5)安全管控中心后台系统对终端访问行为数据进行汇总与分析;将终端访问行为数据进行清洗,去除异常值,缺失值,从数据中提取关键访问行为特征向量。通过数据统计分析与业务关联的方式给原未标记是否异常的数据打上是否异常的标签,并训练分类模型
步骤6)对分类好是否异常的访问数据使用分类模型进行训练;
步骤7)对新产生的访问行为数据代入模型,得出二分类结果,即是否是异常行为;
步骤8)部级公安信息网中的安全管控系统将数据通过VPN代理再下发给省级公安信息网中的安全管控系统;
步骤9)省级公安移动信息网中的采集系统主动从省级公安信息网中的安全管控系统拉取分类出的异常行为;
步骤10)省级公安移动信息网中的采集系统将异常行为的操作人及关联信息下发给同网络中的终端管控系统。至此完成整套流程。
所述步骤(1)具体为:省级公安移动信息网中的终端管控系统作为数据源,开启SNMP协议,将终端行为数据通过SYSLOG方式在同网段中的数据进行广播,位于省级的公安移动信息网的采集系统接收此广播中的数据,即终端行为数据。
所述步骤(2)具体为:对获取的终端行为数据进行清洗,对缺失关键特征的数据进行删除,如缺失使用人员,访问对象的。对明显异常的与实际业务不符的数据进行删除,如超出业务管控范围的被访问应用。对流量大小值缺失的,进行拉格朗日拉插值取得平滑补全值。
所述步骤(3)具体为:在省级公安移动信息网中的采集系统与省级公安信息网中的安全管控系统之间建立消息队列管道,当采集系统接收到新的终端行为数据时,实时通过此管道传输至安全管控系统。
所述步骤(5)包括以下子步骤:
(51)安全管控中心后台系统对终端访问行为数据进行汇总,对所有获取的数据去除重复,删除业务上相悖的数据;通过数据统计分析与业务关联的方式给原未标记是否异常的数据打上是否异常的标签,并训练分类模型;
(52)先初步根据业务,从访问行为数据所有字段中提取关键访问行为特征向量。再使用PCA算法进行降维处理,得到核心特征。
(53)将其中没有是否异常标识的访问行为数据,将访问流量,访问时间的数据进行分布统计,
并进行聚类,将其中远离簇中心过远的数据打上异常标签。另一方面,根据实际系统情况,如访问时间在内部公告要求之外,来访IP地址在工作地范围之外的等数据打上异常标签。
(54)对上述分类好是否异常的访问数据使用分类算法进行训练,得到所需模型。并校验可知,准确率较高;
所述步骤(11)具体为:省级公安信息网中的安全管控系统采用restful接口,对外提供获取异常行为处理信息的功能。省级公安移动信息网中的采集系统通过主动调用此接口,获取异常行为的处理信息;
所述步骤(12)具体为:省级公安信息网中的终端管控系统采用restful接口,对外提供接收异常行为处理信息的功能。省级公安移动信息网中的采集系统通过主动调用此接口,向其发送异常行为的处理信息。
需要说明的是上述实施例,并非用来限定本发明的保护范围,在上述技术方案的基础上所作出的等同变换或替代均落入本发明权利要求所保护的范围。

Claims (7)

1.一种公安终端用户访问行为的数据传输与集中管控方法,其特征在于,所述方法包括以下步骤:
步骤1)位于省级的公安移动信息网的采集系统,通过syslog方式获取同类网中的终端管控系统中的终端访问行为链数据;
步骤2)对获取的终端访问数据进行初步清洗,去除异常值,缺失值,并对数据流量单位进行规约;
步骤3)通过消息队列的方式将省级公安移动信息网中的数据传输至省级公安信息网;
步骤4)再通过VPN代理方式将数据从省级公安信息网传输至部级公安信息网中的安全管控中心;
步骤5)安全管控中心后台系统对终端访问行为数据进行汇总与分析;
步骤6)抽取具有访问行为特征的向量;
步骤7)通过数据统计,业务关联方式给原未标记是否异常的数据打上标签;
步骤8)对分类好是否异常的访问数据使用分类模型进行训练;
步骤9)对新产生的访问行为数据代入模型,得出二分类结果,即是否是异常行为;
步骤10)部级公安信息网中的安全管控系统将数据通过VPN代理再下发给省级公安信息网中的安全管控系统;
步骤11)省级公安移动信息网中的采集系统主动从省级公安信息网中的安全管控系统拉取分类出的异常行为;
步骤12)省级公安移动信息网中的采集系统将异常行为的操作人及关联信息下发给同网络中的终端管控系统,至此完成整套流程。
2.根据权利要求1所述的公安终端用户访问行为的数据传输与集中管控方法,其特征在于,
所述步骤(1)包括以下子步骤:所述步骤(1)具体为:省级公安移动信息网中的终端管控系统作为数据源,开启SNMP协议,将终端行为数据通过SYSLOG方式在同网段中的数据进行广播,位于省级的公安移动信息网的采集系统接收此广播中的数据,即终端行为数据。
3.根据权利要求1所述的公安终端用户访问行为的数据传输与集中管控方法,其特征在于,
所述步骤(2)具体为:对获取的终端行为数据进行清洗,对缺失关键特征的数据进行删除,如缺失使用人员,访问对象的。对明显异常的与实际业务不符的数据进行删除,如超出业务管控范围的被访问应用。对流量大小值缺失的,进行拉格朗日拉插值取得平滑补全值。
4.根据权利要求1所述的公安终端用户访问行为的数据传输与集中管控方法,其特征在于,
所述步骤(3)具体为:在省级公安移动信息网中的采集系统与省级公安信息网中的安全管控系统之间建立消息队列管道,当采集系统接收到新的终端行为数据时,实时通过此管道传输至安全管控系统。
5.根据权利要求1所述的公安终端用户访问行为的数据传输与集中管控方法,其特征在于,
所述步骤(5)包括以下子步骤:
(51)安全管控中心后台系统对终端访问行为数据进行汇总,对所有获取的数据去除重复,删除业务上相悖的数据;通过数据统计分析与业务关联的方式给原未标记是否异常的数据打上是否异常的标签,并训练分类模型;
(52)先初步根据业务,从访问行为数据所有字段中提取关键访问行为特征向量。再使用PCA算法进行降维处理,得到核心特征。
(53)将其中没有是否异常标识的访问行为数据,将访问流量,访问时间的数据进行分布统计,
并进行聚类,将其中远离簇中心过远的数据打上异常标签。另一方面,根据实际系统情况,如访问时间在内部公告要求之外,来访IP地址在工作地范围之外的等数据打上异常标签。
(54)对上述分类好是否异常的访问数据使用分类算法进行训练,得到所需模型。并校验可知,准确率较高。
6.根据权利要求1所述的公安终端用户访问行为的数据传输与集中管控方法,其特征在于,所述步骤(11)具体为:省级公安信息网中的安全管控系统采用restful接口,对外提供获取异常行为处理信息的功能,省级公安移动信息网中的采集系统通过主动调用此接口,获取异常行为的处理信息。
7.根据权利要求1所述的公安终端用户访问行为的数据传输与集中管控方法,其特征在于,所述步骤(12)具体为:省级公安信息网中的终端管控系统采用restful接口,对外提供接收异常行为处理信息的功能。省级公安移动信息网中的采集系统通过主动调用此接口,向其发送异常行为的处理信息。
CN201911105568.9A 2019-11-13 2019-11-13 一种公安终端用户访问行为的数据传输与集中管控方法 Active CN111147442B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911105568.9A CN111147442B (zh) 2019-11-13 2019-11-13 一种公安终端用户访问行为的数据传输与集中管控方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911105568.9A CN111147442B (zh) 2019-11-13 2019-11-13 一种公安终端用户访问行为的数据传输与集中管控方法

Publications (2)

Publication Number Publication Date
CN111147442A true CN111147442A (zh) 2020-05-12
CN111147442B CN111147442B (zh) 2021-11-12

Family

ID=70517066

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911105568.9A Active CN111147442B (zh) 2019-11-13 2019-11-13 一种公安终端用户访问行为的数据传输与集中管控方法

Country Status (1)

Country Link
CN (1) CN111147442B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080153514A1 (en) * 2006-12-04 2008-06-26 Samsung Electronics Co., Ltd. Apparatus and method for providing real-time information in portable communication system
CN104408613A (zh) * 2014-11-11 2015-03-11 东南大学 分布式违章信息优化处理方法及系统
CN106156917A (zh) * 2015-04-07 2016-11-23 中国联合网络通信有限公司广州市分公司 基于网格化管理方式的消防安全管理信息系统
CN109767618A (zh) * 2018-12-20 2019-05-17 北京航空航天大学 一种公安交管业务异常数据综合研判方法及系统
CN109995769A (zh) * 2019-03-18 2019-07-09 上海辰锐信息科技公司 一种多级异构跨区域的全实时安全管控方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080153514A1 (en) * 2006-12-04 2008-06-26 Samsung Electronics Co., Ltd. Apparatus and method for providing real-time information in portable communication system
CN104408613A (zh) * 2014-11-11 2015-03-11 东南大学 分布式违章信息优化处理方法及系统
CN106156917A (zh) * 2015-04-07 2016-11-23 中国联合网络通信有限公司广州市分公司 基于网格化管理方式的消防安全管理信息系统
CN109767618A (zh) * 2018-12-20 2019-05-17 北京航空航天大学 一种公安交管业务异常数据综合研判方法及系统
CN109995769A (zh) * 2019-03-18 2019-07-09 上海辰锐信息科技公司 一种多级异构跨区域的全实时安全管控方法

Also Published As

Publication number Publication date
CN111147442B (zh) 2021-11-12

Similar Documents

Publication Publication Date Title
CN110460594B (zh) 威胁情报数据采集处理方法、装置及存储介质
EP1764951B1 (en) Statistical trace-based method, apparatus, node and system for real-time traffic classification
EP0994602B1 (en) Computer system and network performance monitoring
CN100379208C (zh) 网络使用情况监视设备和相关方法
CN107040863B (zh) 实时业务推荐方法及系统
CN109271793B (zh) 物联网云平台设备类别识别方法及系统
US20140075557A1 (en) Streaming Method and System for Processing Network Metadata
CN109379390B (zh) 一种基于全流量的网络安全基线生成方法
CN103067192A (zh) 一种网络流量的分析系统及方法
CN113157994A (zh) 一种多源异构平台数据处理方法
CN113225339B (zh) 网络安全监测方法、装置、计算机设备及存储介质
CN113792308A (zh) 一种面向政务敏感数据安全行为风险分析方法
US20060149841A1 (en) Application session management for flow-based statistics
US11929904B2 (en) System and method for monitoring network performance
CN111654486A (zh) 一种服务器设备判定识别方法
CN112141832A (zh) 一种电梯物联网可视化运营平台
CN106506328A (zh) 消息的推送方法
WO2016101446A1 (zh) 数据分析方法、装置、系统及终端和服务器
US11122452B2 (en) System and method for load balancing of network packets received from a MME with smart filtering
CN111147442B (zh) 一种公安终端用户访问行为的数据传输与集中管控方法
CN102271331A (zh) 一种检测业务提供商sp站点可靠性的方法及系统
CN115766471B (zh) 一种基于组播流量的网络业务质量分析方法
CN102572746B (zh) 一种基于频次和用户发送行为特征识别垃圾短信源的方法
CN115297033A (zh) 一种物联网终端流量审计方法及系统
CN110706033B (zh) 一种分析互联网广告异常设备的方法、系统及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant