CN112966259A - 电力监控系统运维行为安全威胁评估方法及设备 - Google Patents
电力监控系统运维行为安全威胁评估方法及设备 Download PDFInfo
- Publication number
- CN112966259A CN112966259A CN202110233872.2A CN202110233872A CN112966259A CN 112966259 A CN112966259 A CN 112966259A CN 202110233872 A CN202110233872 A CN 202110233872A CN 112966259 A CN112966259 A CN 112966259A
- Authority
- CN
- China
- Prior art keywords
- maintenance
- transaction
- score
- behavior
- deviation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012423 maintenance Methods 0.000 title claims abstract description 147
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000012544 monitoring process Methods 0.000 title claims abstract description 19
- 238000001514 detection method Methods 0.000 claims abstract description 67
- 230000006399 behavior Effects 0.000 claims abstract description 65
- 230000002159 abnormal effect Effects 0.000 claims abstract description 30
- 238000004422 calculation algorithm Methods 0.000 claims description 16
- 230000005856 abnormality Effects 0.000 claims description 10
- 238000005065 mining Methods 0.000 claims description 6
- 238000003860 storage Methods 0.000 claims description 6
- 238000003064 k means clustering Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 15
- 238000011156 evaluation Methods 0.000 description 17
- 230000008569 process Effects 0.000 description 12
- 238000004364 calculation method Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000002474 experimental method Methods 0.000 description 10
- 238000012549 training Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000007781 pre-processing Methods 0.000 description 4
- 238000011160 research Methods 0.000 description 3
- 238000007636 ensemble learning method Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- FGUUSXIOTUKUDN-IBGZPJMESA-N C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 Chemical compound C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 FGUUSXIOTUKUDN-IBGZPJMESA-N 0.000 description 1
- 241000512668 Eunectes Species 0.000 description 1
- 235000013757 Juglans Nutrition 0.000 description 1
- 241000758789 Juglans Species 0.000 description 1
- YTAHJIFKAKIKAV-XNMGPUDCSA-N [(1R)-3-morpholin-4-yl-1-phenylpropyl] N-[(3S)-2-oxo-5-phenyl-1,3-dihydro-1,4-benzodiazepin-3-yl]carbamate Chemical compound O=C1[C@H](N=C(C2=C(N1)C=CC=C2)C1=CC=CC=C1)NC(O[C@H](CCN1CCOCC1)C1=CC=CC=C1)=O YTAHJIFKAKIKAV-XNMGPUDCSA-N 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000013450 outlier detection Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2465—Query processing support for facilitating data mining operations in structured databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Databases & Information Systems (AREA)
- Bioinformatics & Computational Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Probability & Statistics with Applications (AREA)
- Mathematical Physics (AREA)
- Evolutionary Biology (AREA)
- Fuzzy Systems (AREA)
- Computer Hardware Design (AREA)
- Computational Linguistics (AREA)
- Medical Informatics (AREA)
- Computing Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种电力监控系统运维行为安全威胁评估方法及设备,将运维日志记录的运维事务属性进行转化得到数值化后的运维事务特征集合;将运维事务特征集合中的运维事务进行运维角色分类;在每类运维角色内,根据运维事务与该类运维角色的人员画像特征属性的偏差计算人员画像偏差分数;在每类运维角色内,根据集成学习异常检测模型的检测结果,得到异常指令行为分数;根据人员画像偏差分数与异常指令行为分数确定总的行为分数,根据预先设定的行为分数与安全威胁等级之间的关系,确定运维事务的安全威胁等级。优点:能够得到较高检测的准确率;结合集成学习的相关原理,能够将多种不同检测方法的优点相结合,得到更好的威胁检测效果。
Description
技术领域
本发明涉及一种电力监控系统运维行为安全威胁评估方法及设备,属于网络安全技术领域。
背景技术
维护电网的安全与稳定,是人们幸福生活和社会经济正常运转的重要保障。电网安全面临的安全威胁主要包括外部威胁和内部威胁两大方面。对于外部威胁,已经有完善的检测防御机制;而电网内部威胁的检测防御技术目前不够成熟,需要继续深入研究。本文的研究是在电力监控系统中,对于现场运维人员行为的审计方法,有助于监控系统及时发现运维人员的威胁行为,避免涉密文件泄露和危及电网安全现象的发生。
随着大数据时代的到来,各种大数据,人工智能技术得到飞速发展,并且在各行各业都得到有效的应用,如何将其有效地应用到电网系统内部威胁的检测中来,成为相关研究专家关注的热点。郭渊博等人使用隐马尔可夫模型进行内部威胁检测,提出一种行为特征自动提取和局部全细节行为画像方法,对用户邮件收发情况、网页浏览情况和文件读写情况等行为细节进行画像,以此来判断是否存在文件窃取等异常行为,检测准确率得到提升;GAVAI G等人基于企业的在线活动和社交数据,利用孤独森林算法进行内部威胁检测;朱佳俊等人基于用户的鼠标行为,通过马氏距离和孤独森林算法检测效果对比,判断是否存在账户盗用的威胁行为;目前针对Linux系统中指令行为安全威胁的研究较少,对于电网内运维行为安全威胁评估还停留在规则匹配的方法,人员水平不同导致制定规则对检测结果影响较大,检测准确性较差。
发明内容
本发明所要解决的技术问题是克服现有技术的缺陷,提供一种电力监控系统运维行为安全威胁评估方法及设备。
为解决上述技术问题,本发明提供一种电力监控系统运维行为安全威胁评估方法,包括:
获取电网监控系统中的运维日志记录,将运维日志记录的运维事务属性转化为纯数值型属性的元组,得到数值化后的运维事务特征集合;
将运维事务特征集合中的运维事务进行运维角色分类;
在每类运维角色内,根据运维事务与该类运维角色的人员画像特征属性的偏差计算人员画像偏差分数;
在每类运维角色内,根据集成学习异常检测模型的检测结果,得到异常指令行为分数;
根据人员画像偏差分数与异常指令行为分数确定总的行为分数,根据预先设定的行为分数与安全威胁等级之间的关系,确定运维事务的安全威胁等级。
进一步的,所述运维事务属性包括运维日志中的登陆时间、源IP、目的IP和Linux系统中的操作指令。
进一步的,所述将运维日志记录的运维事务属性转化为纯数值型属性的元组,得到数值化后的运维事务特征集合的过程包括:
采用onehot编码及构建词袋模型将运维日志记录的字符型数据转换为数值型数据,对数值型数据进行归一化处理,得到运维事务特征集合D。
进一步的,所述将运维事务特征集合中的运维事务进行运维角色分类的过程包括:
根据系统运维的关键指令集O1、图形运维的关键指令集O2、网络运维的关键指令集O3和数据库运维的关键指令集O4对运维事务特征集D中操作指令的匹配情况进行分类;对于匹配不到的运维事务,将其设定为“其他”类型,根据Apriori算法挖掘的规则集Rc对“其他”类型的运维事务进行二次分类,得到最终的事务特征集Di(i=1,2,3,4,5)。
进一步的,所述在每类运维角色内,根据运维事务与该类运维角色的人员画像特征属性的偏差计算人员画像偏差分数的过程包括:
基于预先获得的人员画像的大数据知识,分别在最终的事务特征集Di内根据数理统计中的均值、方差原理构造“指令活跃曲线”,“常访问IP”,“指令序列基线”,“指令习惯”和“常登录时间段”这五个特征属性;根据运维事务特征与所属角色类型画像属性之间的偏差情况,得到各自的属性偏差分数ej,j=1,2,3,4,5;利用下式计算得到人员画像偏差分数e,
进一步的,所述在每类运维角色内,根据集成学习异常检测模型的检测结果,得到异常指令行为分数的过程包括:
对运维事务d在其所属Di内,构建LOF异常检测模型,根据运维事务d在模型中得到的局部离群因子值lof,计算LOF异常检测分数l;
对运维事务d在其所属Di内,构建iForest异常检测模型,根据运维事务d在模型中得到的异常值S(d),计算iForest异常检测分数f;
对运维事务d在其所属Di内,构建k-Means聚类模型,根据运维事务d在聚类结果中与所属簇及其他簇之间的欧式距离情况,计算k-Means异常检测分数k;
结合LOF异常检测分数l、iForest异常检测分数f和k-Means异常检测分数得到总的异常检测分数s。
一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行所述方法。
一种计算设备,包括,一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据所述方法中的指令。
本发明所达到的有益效果:
本发明能够实现多方面、全方位的威胁检测,能够得到较高检测的准确率;在计算异常指令行为分数时,结合了集成学习的相关原理,能够将多种不同检测方法的优点相结合,有利于得到更好的威胁检测效果;本发明所涉及的算法都是无监督算法,这对于运维现场无标签数据来说是十分有意义。
附图说明
图1是本发明方法的流程示意图;
图2是本发明中系统运维人员的指令活跃基线图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
为了更好地理解本发明,下面对本发明技术方案中的相关技术特征进行说明。
Apriori算法中,如果某个项集是频繁项集,那么它所有的子集也是频繁的如果一个项集是非频繁的,那么它的所有超集也是非频繁的。在寻找频繁项集时,需要计算项集的支持度,当支持度大于阈值时,则该项集就是频繁项集。支持度(support)指的是,数据集中包含该项集的记录所占的比例。根据数据集中包含项集X的样本数number(X)和数据集中样本的总数number(allsample)可得项集X支持度的计算方法如式(2)所示:
得到频繁项集后,要在频繁项集内进行关联规则的挖掘,需要计算项与项之间的置信度(confidence)。如根据同时含有项集X和项集Y的样本数number(X,Y),关联规则{X=>Y}的置信度计算方法如式(3)所示:
当所计算的置信度大于等于阈值时,则这条关联规则是有效的;若小于阈值,则认为这条关联规则是无效的。
人员画像是大数据的基础上的发展起来的。通过对人员历史数据的挖掘,总结出某个或者某一类人员的习惯特征并进行保存,从而实现对人员的刻画。该技术在电商推荐系统,金融反欺诈和账号失陷检测等方面都得有不俗表现。
集成学习的主要思想是:训练多个弱学习器,通过一定的方法结合这些弱学习器的结果得到总的预报结果。本文采用的集成学习方法中bagging的思想,即有放回地从训练集中抽样,同时训练多个弱分类器,对多个弱分类器的结果采用“投票”等方法,对结果进行综合,得到更为准确的预报结果。在本文集成学习异常检测部分,选用了LOF、iForest和K-means三种无监督的异常检测方法,基于bagging原理,将三种模型的结果进行综合分析。下面对LOF和iFoest两种算法进行简要描述。
LOF方法是一种典型的基于密度的高精度离群点检测方法。通过给每个数据点都分配一个依赖于邻域密度的离群因子LOF,进而判断该数据点是否为离群点。在计算LOF值之前首先需要计算局部可达距离lrd,该距离被描述为对于对象p,其MinPts邻域中其他元素平均可达距离的倒数,表达式如式(4)所示:
式中rd∞,MinPts(p,o)表示使得p从q密度可达的最小半径值,其中q必须是核心对象,并且p必须在q的领域内;|NMinPts(p)|表示MinPts邻域内数据点个数。
得到lrd的值后,对LOF值进行计算,该值表达式如式(5)所示:
若LOF>1,则该数据点为离群点;若LOF接近于1,则该数据点为正常数据点。
iForest方法的基本思想是:根据样本特征,对样本进行二叉树划分,构建多个iTree(Isolation Tree)组成iForest(Isolation Forest),根据iForest构造情况,越早被划分到叶子节点的样本越可能是异常点。对待测样本x其异常分值的计算过程如式(6)-(8)所示:
h(x)=e+C(n) (6)
式中e表示待测样本x从iTree的根节点到叶子节点过程中所经过的边的数目;C(n)表示一棵用n个样本构建的二叉树的平均路径长度,计算方式如式(7)所示。
式中H(n-1)用ln(n-1)+0.5772156估算,这里常数为欧拉常数。
待测样本x的异常分值S(x)综合了多棵iTree的结果,其计算方法如式(8)所示:
式中E(h(x))表示待测样本x在多棵iTree的路径长度的均值;ψ表示训练单棵iTree的样本数;C(ψ)表示用ψ个样本构建的iTree的平均路径长度;
若S(x)的值越接近于1,则表示待测样本在多棵iTree的平均路径越短,其异常的可能性较大;若S(x)的值越接近0,则待测样本为正常样本的可能性较大。
本发明构建的评估方案分为数据预处理,运维角色分类、行为分数计算三大阶段。
首先对于从电力监控系统中采集的数据进行数据清洗,排序等预处理;在运维角色分类阶段,根据不同运维角色指令序列中存在的关键指令的匹配情况对运维数据进行分类,并采用关联规则分析算法Apriori在分类结果的每类角色中挖掘出一些规则,并利用这些规则对“其他”角色类型进行二次分类;行为分数的计算包括两大部分,一是人员画像技术结合数理统计相关知识,构造特征属性,出计算人员画像偏差分数;二是在基于集基于集成学习中bagging原理,训练了多种异常指令检测模型,计算异常指令行为分数,根据两部分分数情况得到总分数,进而得出安全威胁评估等级。
本实施例提供了一种电力监控系统运维行为安全威胁评估方法,流程图见图1,包括以下步骤:
a)现场运维日志中采集的运维事务包括时间、源IP、目的IP和操作指令等字符型数据,产生由6个属性构成的的元组结构。
b)采用onehot编码结合词袋模型技术转化为数值型数据,对于数值型数据采取归一化处理;经过两步处理后得到运维事务特征集合D。
c)根据运维事务特征集合D与系统运维、图形运维、网络运维和数据库运维四种角色类型的关键指令集Qi(i=1,2,3,4)的匹配情况可以将各运维事务进行角色分类,得到各角色的事务特征集Gi(i=1,2,3,4),对于匹配较差的运维事务,本发明将其归到“其他”角色;
d)采用Apriori算法挖掘各事务特征集Gi(i=1,2,3,4)中源IP,目的IP和操作路径与角色之间的关联规则。
e)根据d)挖掘到的关联规则对于“其他”类型进行二次角色划分,最终得到各事务特征集为Di(i=1,2,3,4,5)。
f)基于人员画像的大数据知识,分别在Di内根据数理统计中的均值、方差等原理构造了“指令活跃曲线”,“常访问IP”,“指令序列基线”,“指令习惯”和“常登录时间段”这五个特征属性;根据运维事务特征与所属角色类型画像属性之间的偏差情况,得到各自的属性偏差分数ej(j=1,2,3,4,5),进而得到人员画像偏差分数e的值。
g)对运维事务d在其所属Di内,构建LOF异常检测模型,根据d在模型中得到的lof值,计算其LOF异常检测分数l。
h)对运维事务d在其所属Di内,构建iForest异常检测模型,根据d在模型中得到的S(d)值,计算其iForest异常检测分数i。
i)对运维事务d在其所属Di内,构建k-Means聚类模型,根据d在聚类结果中与所属簇及其他簇之间的欧式距离情况,计算其k-Means异常检测分数k。
j)基于集成学习中bagging的原理,结合LOF、iForest和k-Means三种异常检测模型构建集成学习异常检测模型,结合三部分分数计算出异常指令行为分数b。
k)根据步骤f)和步骤j)的两部分分数,最终得到总的行为分数s,根据行为分数s与威胁等级的关系即可得到对运维事务d的安全威胁评估的结果。
在本实施例中,数据预处理阶段,为了将运维日志内容转化为可以输入到机器学习算法中的数据格式,本发明构建了一种由六个字段构成的数据结构,由以下6个元组组成每一次的事务特征:
<OPERATION,REAL_ORDER,OPERATE_TIME,OPERATE_PATH,SIP,DIP>
表1样本各字段信息含义
例如对运维事务<'*_ctl start*,bin,ll,GE*login,GE*Login,*_console,warning','*_ctl,bin,ll,GE,GE,*_console,warning','6:20','/home/*/ningxia','192.*.*.*','192.*.*.*'>进行数值化后的事务特征为:
<[1,0(45),1,0(14),1,0(25),2,0,0,0,1,0,1],[0,0,0,1,0(14),2,0(25)1,1,0(7),1,0,1,0],11,3,15,37>
对运维事务进行数值化具体采用的方法为:对于OPERATION和REAL_ORDER采用onehot编码,构建词袋模型的形式,括号中的值为连续出现个数;对OPERATION_TIME将一天24小时以30分钟划分48个时间段,例中11表示的是“6:00”-“6:30”这个时间段;对OPERATION_PATH、SIP和DIP,对不同的值进行编码,取编码值作为该字段的特征值,例中3表示操作路径'/home/*/ningxia'的编号。
在本实施例的运维角色分类阶段,根据指令序列与各类角色的关键指令的匹配情况,对运维行为进行角色分类,各运维角色的指令序列中常包含的关键指令和如表2所示:
表2各运维角色的关键指令
在角色分类过程中发现有些指令序列中不包含关键指令,导致分类效果不够理想,于是本文设计一种二次分类方法,具体采用的方法是:利用关联分析算法Apriori在分类的结果的每一类内进行深度挖掘。得到源IP,目的IP和操作路径与角色之间的关联规则,利用这些规则对“其他”类型进行规则匹配,根据匹配的情况实现二次分类。
在实施例的行为分数计算阶段的人员画像偏差分数计算过程中,在每类角色内,根据数理统计,关联分析等方法,构造了“指令活跃曲线”,“常访问IP”,“指令序列基线”,“指令习惯”和“常登录时间段”这五个特征属性,保存这些特征属性值,以系统运维角色人员画像的结果为例,进行画像结果展示,“指令活跃基线”如图2所示;其余特征属性内容如表3所示:
表3系统运维人员画像特征属性
在评分时,将运维事务的IP信息,操作时间,指令序列等信息与所属类的人员画像特征属性进行比较,计算每个属性的偏差值,得到每项的评分,再将每一项评分求和得到人员画像偏差分数。
在实施例的行为分数计算阶段的异常指令行为分数计算过程中,基于的集成学习原理,对于每类角色的指令序列,在分别训练LOF、iForest和K-means三种异常指令检测模型;在评分时,运维事务特征输入训练得到的LOF、iForest和K-means异常检测模型中后,分别得到检测结果,综合三个检测结果得到指令异常行为评分。
将人员画像偏差评分和指令异常评分相加得到行为评分,根据专家设定的行为评分与安全威胁等级之间的对应关系,得到待评估行为的威胁等级,完成运维事务的评估。
相应的本发明还提供一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据所述方法中的任一方法。
一种计算设备,包括,一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行所述方法中的任一方法的指令。
以下给出实验结果及分析
实验环境为CPU Intel(R)Core(TM)i5-6300@2.30GHz,8内存,硬盘1T,操作系统为Windows 10的计算机。使用Python语言在Anaconda jupyter notebook中运行的。
本实验数据均来自与电网监控系统的实际数据,经过前文中所描述的数据预处理过程后,形成9651个有效样本,从有效样本中选择100个样本作为正常行为样本,人工模拟100个威胁行为样本,将这200个样本作为测试集。剩余9551个样本作为训练样本。每个样本中字段具体信息含义都如表1所示。
为了更全面地对本文所设计的行为评价方法进行评估,本文设计了包括准确度(System Accuracy,SAcc)、威胁样本精确度(Threat Sample Precision,TSPre)、威胁样本召回率(Threat Sample Recall Rate,TSRecall)和SF-measure(System F-measure,SF-measure)四个评估指标,其表达式分别如式(9)-(12)所示:
根据大量实验经验,本文设计的行为评价分数对应的威胁等级的如4表所示,基于这些对应关系,来对运维行为进行威胁定级:
表4行为评分与威胁等级对应关系
本文设定当实验结果在中威胁以下(包括中威胁)时判定为正常行为;结果为高威胁时判定为威胁行为。在接下来的实验部分,对各个实验的评估就按照这四个指标及分数与等级对应关系进行。
按照前文描述的行为评价三大阶段,在进行模型训练后,对该安全威胁评估方案进行性能分析。本文设计了几组对照实验,实验编号WOC表示没有进行运维角色分类的步骤,直接对整个数据集进行人员画像和指令序列异常检测模型构建;实验编号WOP表示没有进行人员画像的步骤,在进行了运维角色分类后,就进行序列异常检测的过程;实验编号CPLOF、CPiForest和CPKmeans分别表示在异常检测模型部分只用了LOF、iForest和Kmeans中的一种算法;实验编号LOF、Forest和Kmeans分别表示没有进行本文设计的方法流程,直接采用相应算法进行威胁检测。
综合多次实验,在各实验最优超参数情况下,各实验的评估指标结果如表5所示,根据表中所示的实验评估指标值可知,实验编号PRS,即本发明所设计的行为评价方法对内部威胁的检测效果最好。
表4各行为评价方法的评估结果对比
实验WOC的行为评价效果不如本发明所设计方法,该方法构建的人员画像信息模糊,不如将运维角色分类后再进行人员画像得到的特征属性精确,所以评分效果较差,说明本文进行运维角色分类的步骤是有必要的。
实验WOP效果较差。分析原因是操作时间,IP等维度的信息都在人员画像的特征属性中,没有进行人员画像的评分部分,实际只是指令序列一个维度进行评分,所以其效果较差,这也说明进行人员画像的重要性。
实验编号CPLOF、CPiForest和CPKmeans表示的三种异常检测方法各自有各自的优点:LOF能够有效利用样本密度信息进行检测;iForset能够基于较少出现的特征进行检测;K-means能够基于样本之间的距离信息,找出异常样本。集成学习方法能够有效利用三种算法的优点,综合分析它们的检测结果,所以要优于使用单一模型的检测效果。
在本发明所设计的方法模型中,通过对待评估行为进行角色分类后,在所属类内进行行为评分,这样对其评价更加精准,而在LOF、Forest和Kmeans这三个对照实验中,模型训练都是在整个指令序列数据集中进行,缺乏针对性,效果自然不如本文设计的方法。
综上所述,本发明设计的行为评价方法的每一部分都是有意义的,都有各自的特点,结合到一起能够有效地对内部威胁进行评分,并得到威胁等级,实现对运维行为安全威胁的评估。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (8)
1.一种电力监控系统运维行为安全威胁评估方法,其特征在于,包括:
获取电网监控系统中的运维日志记录,将运维日志记录的运维事务属性转化为纯数值型属性的元组,得到数值化后的运维事务特征集合;
将运维事务特征集合中的运维事务进行运维角色分类;
在每类运维角色内,根据运维事务与该类运维角色的人员画像特征属性的偏差计算人员画像偏差分数;
在每类运维角色内,根据集成学习异常检测模型的检测结果,得到异常指令行为分数;
根据人员画像偏差分数与异常指令行为分数确定总的行为分数,根据预先设定的行为分数与安全威胁等级之间的关系,确定运维事务的安全威胁等级。
2.根据权利要求1所述的电力监控系统运维行为安全威胁评估方法,其特征在于,所述运维事务属性包括运维日志中的登陆时间、源IP、目的IP和Linux系统中的操作指令。
3.根据权利要求1所述的电力监控系统运维行为安全威胁评估方法,其特征在于,所述将运维日志记录的运维事务属性转化为纯数值型属性的元组,得到数值化后的运维事务特征集合的过程包括:
采用onehot编码及构建词袋模型将运维日志记录的字符型数据转换为数值型数据,对数值型数据进行归一化处理,得到运维事务特征集合D。
4.根据权利要求1所述的电力监控系统运维行为安全威胁评估方法,其特征在于,所述将运维事务特征集合中的运维事务进行运维角色分类的过程包括:
根据系统运维的关键指令集O1、图形运维的关键指令集O2、网络运维的关键指令集O3和数据库运维的关键指令集O4对运维事务特征集D中操作指令的匹配情况进行分类;对于匹配不到的运维事务,将其设定为“其他”类型,根据Apriori算法挖掘的规则集Rc对“其他”类型的运维事务进行二次分类,得到最终的事务特征集Di(i=1,2,3,4,5)。
5.根据权利要求4所述的电力监控系统运维行为安全威胁评估方法,其特征在于,所述在每类运维角色内,根据运维事务与该类运维角色的人员画像特征属性的偏差计算人员画像偏差分数的过程包括:
基于预先获得的人员画像的大数据知识,分别在最终的事务特征集Di内根据数理统计中的均值、方差原理构造“指令活跃曲线”,“常访问IP”,“指令序列基线”,“指令习惯”和“常登录时间段”这五个特征属性;根据运维事务特征与所属角色类型画像属性之间的偏差情况,得到各自的属性偏差分数ej,j=1,2,3,4,5;利用下式计算得到人员画像偏差分数e,
6.根据权利要求1所述的电力监控系统运维行为安全威胁评估方法,其特征在于,所述在每类运维角色内,根据集成学习异常检测模型的检测结果,得到异常指令行为分数的过程包括:
对运维事务d在其所属Di内,构建LOF异常检测模型,根据运维事务d在模型中得到的局部离群因子值lof,计算LOF异常检测分数l;
对运维事务d在其所属Di内,构建iForest异常检测模型,根据运维事务d在模型中得到的异常值S(d),计算iForest异常检测分数f;
对运维事务d在其所属Di内,构建k-Means聚类模型,根据运维事务d在聚类结果中与所属簇及其他簇之间的欧式距离情况,计算k-Means异常检测分数k;
结合LOF异常检测分数l、iForest异常检测分数f和k-Means异常检测分数得到总的异常检测分数s。
7.一种存储一个或多个程序的计算机可读存储介质,其特征在于,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据权利要求1至6所述方法中的任一方法。
8.一种计算设备,其特征在于,包括,一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据权利要求1至6所述方法中的任一方法的指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110233872.2A CN112966259B (zh) | 2021-03-03 | 2021-03-03 | 电力监控系统运维行为安全威胁评估方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110233872.2A CN112966259B (zh) | 2021-03-03 | 2021-03-03 | 电力监控系统运维行为安全威胁评估方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112966259A true CN112966259A (zh) | 2021-06-15 |
| CN112966259B CN112966259B (zh) | 2024-06-21 |
Family
ID=76277491
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110233872.2A Active CN112966259B (zh) | 2021-03-03 | 2021-03-03 | 电力监控系统运维行为安全威胁评估方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112966259B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113496262A (zh) * | 2021-09-08 | 2021-10-12 | 山东大学 | 数据驱动的有源配电网异常状态感知方法及系统 |
| CN114039837A (zh) * | 2021-11-05 | 2022-02-11 | 奇安信科技集团股份有限公司 | 告警数据处理方法、装置、系统、设备和存储介质 |
| CN114372664A (zh) * | 2021-11-30 | 2022-04-19 | 中核核电运行管理有限公司 | 核电厂人员数据画像方法及装置 |
| CN117294492A (zh) * | 2023-09-21 | 2023-12-26 | 中移互联网有限公司 | 异常行为检测方法、装置、电子设备及存储介质 |
| CN117668844A (zh) * | 2024-01-30 | 2024-03-08 | 浙江御安信息技术有限公司 | 基于信息安全的威胁文件检测系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107276980A (zh) * | 2017-05-02 | 2017-10-20 | 广东电网有限责任公司信息中心 | 一种基于关联分析的用户异常行为检测方法及系统 |
| CN108270620A (zh) * | 2018-01-15 | 2018-07-10 | 深圳市联软科技股份有限公司 | 基于画像技术的网络异常检测方法、装置、设备及介质 |
| CN109934354A (zh) * | 2019-03-12 | 2019-06-25 | 北京信息科技大学 | 基于主动学习的异常数据检测方法 |
| CN110705873A (zh) * | 2019-09-30 | 2020-01-17 | 国网福建省电力有限公司 | 一种新型的配电网运行状态画像分析方法 |
| WO2020038353A1 (zh) * | 2018-08-21 | 2020-02-27 | 瀚思安信(北京)软件技术有限公司 | 异常行为检测方法及系统 |
| CN111143838A (zh) * | 2019-12-27 | 2020-05-12 | 北京科东电力控制系统有限责任公司 | 数据库用户异常行为检测方法 |
-
2021
- 2021-03-03 CN CN202110233872.2A patent/CN112966259B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107276980A (zh) * | 2017-05-02 | 2017-10-20 | 广东电网有限责任公司信息中心 | 一种基于关联分析的用户异常行为检测方法及系统 |
| CN108270620A (zh) * | 2018-01-15 | 2018-07-10 | 深圳市联软科技股份有限公司 | 基于画像技术的网络异常检测方法、装置、设备及介质 |
| WO2020038353A1 (zh) * | 2018-08-21 | 2020-02-27 | 瀚思安信(北京)软件技术有限公司 | 异常行为检测方法及系统 |
| CN109934354A (zh) * | 2019-03-12 | 2019-06-25 | 北京信息科技大学 | 基于主动学习的异常数据检测方法 |
| CN110705873A (zh) * | 2019-09-30 | 2020-01-17 | 国网福建省电力有限公司 | 一种新型的配电网运行状态画像分析方法 |
| CN111143838A (zh) * | 2019-12-27 | 2020-05-12 | 北京科东电力控制系统有限责任公司 | 数据库用户异常行为检测方法 |
Non-Patent Citations (3)
| Title |
|---|
| 夏火松;孙泽林;: "基于自编码器和集成学习的半监督异常检测算法", 计算机工程与科学, no. 08, 15 August 2020 (2020-08-15) * |
| 赵雅慧;刘芳霖;罗琳;: "大数据背景下的用户画像研究综述:知识体系与研究展望", 图书馆学研究, no. 24, 25 December 2019 (2019-12-25) * |
| 郝成亮;吕洪波;马旭东;: "基于日志分析的电力信息通信系统运维质量评估", 科学技术创新, no. 16, 5 June 2020 (2020-06-05) * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113496262A (zh) * | 2021-09-08 | 2021-10-12 | 山东大学 | 数据驱动的有源配电网异常状态感知方法及系统 |
| CN114039837A (zh) * | 2021-11-05 | 2022-02-11 | 奇安信科技集团股份有限公司 | 告警数据处理方法、装置、系统、设备和存储介质 |
| CN114039837B (zh) * | 2021-11-05 | 2023-10-31 | 奇安信科技集团股份有限公司 | 告警数据处理方法、装置、系统、设备和存储介质 |
| CN114372664A (zh) * | 2021-11-30 | 2022-04-19 | 中核核电运行管理有限公司 | 核电厂人员数据画像方法及装置 |
| CN117294492A (zh) * | 2023-09-21 | 2023-12-26 | 中移互联网有限公司 | 异常行为检测方法、装置、电子设备及存储介质 |
| CN117668844A (zh) * | 2024-01-30 | 2024-03-08 | 浙江御安信息技术有限公司 | 基于信息安全的威胁文件检测系统 |
| CN117668844B (zh) * | 2024-01-30 | 2024-05-28 | 浙江御安信息技术有限公司 | 基于信息安全的威胁文件检测系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112966259B (zh) | 2024-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112966259B (zh) | 电力监控系统运维行为安全威胁评估方法及设备 | |
| CN110636066B (zh) | 基于无监督生成推理的网络安全威胁态势评估方法 | |
| CN104851025A (zh) | 一种基于案例推理的电商网站商品的个性化推荐方法 | |
| CN113379313B (zh) | 一种具有智能化的预防性试验作业管控系统 | |
| Chen | Data mining applications in e-government information security | |
| CN112562863A (zh) | 流行病监测预警方法、装置、电子设备 | |
| Al-Luhaybi et al. | Predicting academic performance: A bootstrapping approach for learning dynamic bayesian networks | |
| CN107992613A (zh) | 一种基于机器学习的文本挖掘技术消费维权指标分析方法 | |
| Zhang et al. | Recognition of oil & gas pipelines operational states using graph network structural features | |
| CN113837266A (zh) | 一种基于特征提取和Stacking集成学习的软件缺陷预测方法 | |
| Yi-bin et al. | Improvement of ID3 algorithm based on simplified information entropy and coordination degree | |
| Ding et al. | A novel software defect prediction method based on isolation forest | |
| CN113657726B (zh) | 基于随机森林的人员的危险性分析方法 | |
| CN115018007A (zh) | 一种基于改进id3决策树的敏感数据分类方法 | |
| Cheng et al. | Double-weight LDA extracting keywords for financial fraud detection system | |
| Fu et al. | Prediction of hot topics of agricultural public opinion based on attention mechanism LSTM model | |
| Li et al. | University Students' behavior characteristics analysis and prediction method based on combined data mining model | |
| Du et al. | Unstructured log oriented fault diagnosis for operation and maintenance management | |
| Wu et al. | Interval type-2 fuzzy clustering based association rule mining method | |
| Rijayana et al. | Using Data Mining with C45 Algorithm for Student Data Classification | |
| Sun et al. | The use of neural network in defense audit nonlinear dynamic processing under the background of big data | |
| CN115831339B (zh) | 基于深度学习的医疗系统风险管控事前预测方法、系统 | |
| CN113377746B (zh) | 一种试验报告数据库构建和智能诊断分析系统 | |
| Wang et al. | Research on classified evaluation feedback algorithm for power network load identification | |
| CN113378560B (zh) | 一种基于自然语言处理的试验报告智能诊断分析方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |