CN114037286A - 一种基于大数据电力调度自动化敏感数据检测方法及系统 - Google Patents
一种基于大数据电力调度自动化敏感数据检测方法及系统 Download PDFInfo
- Publication number
- CN114037286A CN114037286A CN202111329772.6A CN202111329772A CN114037286A CN 114037286 A CN114037286 A CN 114037286A CN 202111329772 A CN202111329772 A CN 202111329772A CN 114037286 A CN114037286 A CN 114037286A
- Authority
- CN
- China
- Prior art keywords
- data
- abnormal
- numerical
- baseline
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 37
- 230000006399 behavior Effects 0.000 claims abstract description 37
- 238000004458 analytical method Methods 0.000 claims abstract description 35
- 238000012544 monitoring process Methods 0.000 claims abstract description 27
- 238000012502 risk assessment Methods 0.000 claims abstract description 13
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 12
- 238000012731 temporal analysis Methods 0.000 claims abstract description 7
- 238000000700 time series analysis Methods 0.000 claims abstract description 7
- 230000002159 abnormal effect Effects 0.000 claims description 48
- 238000000034 method Methods 0.000 claims description 43
- 239000011159 matrix material Substances 0.000 claims description 26
- 238000005315 distribution function Methods 0.000 claims description 20
- 238000012423 maintenance Methods 0.000 claims description 20
- 230000000694 effects Effects 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 13
- 238000012300 Sequence Analysis Methods 0.000 claims description 6
- 230000003542 behavioural effect Effects 0.000 claims description 6
- 230000004083 survival effect Effects 0.000 claims description 6
- 230000005856 abnormality Effects 0.000 claims description 5
- 238000013475 authorization Methods 0.000 claims description 5
- 230000002596 correlated effect Effects 0.000 claims description 5
- 230000007123 defense Effects 0.000 claims description 5
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 3
- 238000010801 machine learning Methods 0.000 abstract description 3
- 230000009471 action Effects 0.000 abstract description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000000875 corresponding effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0631—Resource planning, allocation, distributing or scheduling for enterprises or organisations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0639—Performance analysis of employees; Performance analysis of enterprise or organisation operations
- G06Q10/06393—Score-carding, benchmarking or key performance indicator [KPI] analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/80—Management or planning
- Y02P90/82—Energy audits or management systems therefor
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Theoretical Computer Science (AREA)
- Economics (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Entrepreneurship & Innovation (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Marketing (AREA)
- Development Economics (AREA)
- Educational Administration (AREA)
- General Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Operations Research (AREA)
- Game Theory and Decision Science (AREA)
- Bioethics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- Computing Systems (AREA)
- Primary Health Care (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Water Supply & Treatment (AREA)
- Public Health (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于大数据电力调度自动化敏感数据检测方法及系统,属于电力调度技术领域,其特征在于,基于大数据电力调度自动化敏感数据检测方法包括如下步骤:S1、获取下列数据源:网络全流量数据、业务系统数据、设备告警数据和自定义数据;S2、行为分析;具体包括基线分析、时间序列分析和风险评估;S3、行为异常事件判定;S4、场景预测告警。通过上述技术方案,本发明通过大数据和机器学习手段,通过持续的对用户用电数据进行监控,学习用户正常用电行为,同时做到及时发现系统内部的对铭感数据的异常行为,对偏离正常行为的动作进行及时告警。
Description
技术领域
本发明属于电力调度技术领域,特别是涉及一种基于大数据电力调度自动化敏感数据检测方法及系统。
背景技术
随着电网规模的逐渐扩大以及电网自动化程度越来越高,电网企业尤其是电力调度自动化专业已经步入了数据化的新时代。信息化伴随而来的就是企业存在敏感信息泄露的风险,特别是企业电力习惯、客户信息以及企业隐私行为等。
电力调度自动化主要通过电力调度数据网以及电力办公网同外界进行信息交换,电力调度自动化数据在内网上留下信息,这些信息如果被分析和利用,将对用户隐私以及电网安全形成极大的威胁,同时海量数据也增加了信息保护的难度。
电网信息化的推进尤其是电力调度自动化数据与公网间接交换逐渐增多,与电信、金融、政府等不同平台存在对接接口,这就要求加速推进对电力调度自动化数据安全和隐私保护需求。在保障业务正常的前提下,以合理成本,保护电力调度自动化数据的安全。业务需求与风险并存,防护要在业务需求与风险之间寻求平衡,对不同价值和属性的数据,在不同业务需求下,实施不同级别的防护措施,控制防护成本。
发明内容
技术方案,为了解决上述背景技术中的技术问题:提出一种基于大数据电力调度自动化敏感数据检测方法及系统,通过大数据和机器学习手段,通过持续的对用户用电数据进行监控,学习用户正常用电行为,同时做到及时发现系统内部的对铭感数据的异常行为,对偏离正常行为的动作进行及时告警。
本发明的第一目的是提供一种基于大数据电力调度自动化敏感数据检测方法,包括:
S1、获取下列数据源:网络全流量数据、业务系统数据、设备告警数据和自定义数据;
S2、行为分析;具体包括基线分析、时间序列分析和风险评估,其中:
所述基线分析包括数值型基线和标称型基线;
所述数值型基线对于可量化的指标,使用数值型基线,可量化的指标包括历史流入流出流量、历史访问端口行为和历史访问主机行为;所述标称型基线对于不能量化的指标,使用标称型基线,不能量化的指标包括账号常用登录区域、账号惯常登录时间、账号常用IP和主机历史开放端口;
所述时间序列分析通过对访问数据的时间戳,对比访问历史时间,对访活跃时间段、存活情况,判定是否是异常时间异常操作;
所述风险评估通过矩阵特征给出判定,敏感数据是否存在异常;
S3、行为异常事件判定;行为异常事件包括:
读取防火墙、入侵检测系统系统日志是否存在非法外接设备;
数据库非法访问:检测用户是否对数据库非法访问和操作;
敏感数据外传异常:检测数据库数据是否被截屏,重点数据是否被复制;
S4、场景预测告警。
优选地:所述网络全流量数据为:整个调度数据网以及和电力调度自动化系统对外接口的请求-响应协议内容、用户对话信息以及文件信息流;
所述业务系统数据为:为习得账号的正常行为基线,发现其异常行为,采集身份认证、授权、记账和审计系统账号,企业办公账号账号以及其他业务系统账号的活动数据。
所述设备告警数据为:主机终端的进程活动日志、网络活动日志、文件操作日志;防火墙、入侵检测系统、网站应用级防御系统通过系统日志传送;
所述自定义数据为包括维护员自定义的终端、终端端口以及维护人员自定义的敏感服务。
优选地:所述S2具体为:
定义1数值型异常基线监测法;
定义1.1单元数值型监测法;
待监测数值型数据组X={x1,x2,x3…xn},其中xn∈Rn,i,n∈正整数,R表示实数;
定义1.2多元数值型监测法;
待监测数值型数据组Xi={x1,x2,x3…xn},其中xi,Xi∈Rn,i,n∈正整数,R表示实数,Σ∈Rn×n;
若q(X)<ε2则认为异常,其中,ε2为维护人员设定的边界值ε2∈(0,1);
定义2时序异常分析基线;
待监测时序行为数据组Xi={x1,x2,x3…xn},xn表示第n种访问行为,定义m表示xi出现m次,n∈正整数,m∈非负整数;
若Hi(x)<ε3则认为异常,其中ε3为维护人员设定的边界值ε3∈(0,1);
定义3,
将定义2中不同属性的d个特征值Hd(x),构建风险监测矩阵B,特征值包括IP端口,数据包大小;
待监测数据特征矩阵为{HK(1)…HK(d)},与风险监测矩阵B的每一列做定义3.1的计算生成新的矩阵C;
定义3.1
C=[θ1…θn],表示各维度特征的异常情况;
若θn<ε4则认为异常,其中ε为维护人员设定的边界值ε4∈(0,1),C中异常θn越多,被监测对象风险值越高。
优选地:所述S4具体为:通过异常事件特征分析结果,构建敏感数据事件场景,包括:离职人员窃取敏感数据,内部人员过失性破坏,账号失窃导致敏感数据泄露以及敏感数据被截屏。
本发明的第二目的是提供一种基于大数据电力调度自动化敏感数据检测系统,包括:
数据获取模块,获取下列数据源:网络全流量数据、业务系统数据、设备告警数据和自定义数据;
分析模块,行为分析;具体包括基线分析、时间序列分析和风险评估,其中:
所述基线分析包括数值型基线和标称型基线;
所述数值型基线对于可量化的指标,使用数值型基线,可量化的指标包括历史流入流出流量、历史访问端口行为和历史访问主机行为;所述标称型基线对于不能量化的指标,使用标称型基线,不能量化的指标包括账号常用登录区域、账号惯常登录时间、账号常用IP和主机历史开放端口;
所述时间序列分析通过对访问数据的时间戳,对比访问历史时间,对访活跃时间段、存活情况,判定是否是异常时间异常操作;
所述风险评估通过矩阵特征给出判定,敏感数据是否存在异常;
判定模块,行为异常事件判定;行为异常事件包括:
读取防火墙、入侵检测系统系统日志是否存在非法外接设备;
数据库非法访问:检测用户是否对数据库非法访问和操作;
敏感数据外传异常:检测数据库数据是否被截屏,重点数据是否被复制;
预警模块,场景预测告警。
优选地:所述网络全流量数据为:整个调度数据网以及和电力调度自动化系统对外接口的请求-响应协议内容、用户对话信息以及文件信息流;
所述业务系统数据为:为习得账号的正常行为基线,发现其异常行为,采集身份认证、授权、记账和审计系统账号,企业办公账号账号以及其他业务系统账号的活动数据。
所述设备告警数据为:主机终端的进程活动日志、网络活动日志、文件操作日志;防火墙、入侵检测系统、网站应用级防御系统通过系统日志传送;
所述自定义数据为包括维护员自定义的终端、终端端口以及维护人员自定义的敏感服务。
优选地:所述分析模块的具体分析过程为:
定义1数值型异常基线监测法;
定义1.1单元数值型监测法;
待监测数值型数据组X={x1,x2,x3…xn},其中xn∈Rn,i,n∈正整数,R表示实数;
定义1.2多元数值型监测法;
待监测数值型数据组Xi={x1,x2,x3…xn},其中xi,Xi∈Rn,i,n∈正整数,R表示实数,Σ∈Rn×n;
若q(X)<ε2则认为异常,其中,ε2为维护人员设定的边界值ε2∈(0,1);
定义2时序异常分析基线;
待监测时序行为数据组Xi={x1,x2,x3…xn},xn表示第n种访问行为,定义m表示xi出现m次,n∈正整数,m∈非负整数;
若Hi(x)<ε3则认为异常,其中ε3为维护人员设定的边界值ε3∈(0,1);
定义3,
将定义2中不同属性的d个特征值Hd(x),构建风险监测矩阵B,特征值包括IP端口,数据包大小;
待监测数据特征矩阵为{HK(1)…HK(d)},与风险监测矩阵B的每一列做定义3.1的计算生成新的矩阵C;
定义3.1
C=[θ1…θn],表示各维度特征的异常情况;
若θn<ε4则认为异常,其中ε为维护人员设定的边界值ε4∈(0,1),C中异常θn越多,被监测对象风险值越高。
优选地:所述预警模块具体为:通过异常事件特征分析结果,构建敏感数据事件场景,包括:离职人员窃取敏感数据,内部人员过失性破坏,账号失窃导致敏感数据泄露以及敏感数据被截屏。
本专利的第三发明目的是提供一种实现上述基于大数据电力调度自动化敏感数据检测方法的计算机程序。
本专利的第四发明目的是提供一种实现上述基于大数据电力调度自动化敏感数据检测方法的信息数据处理终端。
本专利的第五发明目的是提供一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行上述的基于大数据电力调度自动化敏感数据检测方法。
本发明的优点及积极效果为:
本发明基于大数据电力调度自动化敏感数据检测方法及系统,利用机器学习的方法进行基线检测,在训练过程中先描摹出账号的正常行为,从而实时鉴别出账号的异常行为,做出相应的告警。将这些告警串接起来,可以为鉴高危事故提供相应的线索与证据,形成一条完整的故事线。
附图说明
图1为本发明优选实例的系统结构示意图;
具体实施方式
为能进一步了解本发明的发明内容、特点及功效,兹例举以下实施例,并配合附图详细说明如下。
请参阅图1,具体方案为:
一种基于大数据电力调度自动化敏感数据检测方法,包含下列步骤:
S1、获取下列数据源:网络全流量数据、业务系统数据、设备告警数据和自定义数据;其中数据源包括:
网络全流量数据:主要采集整个调度数据网以及和电力调度自动化系统对外接口的请求-响应协议内容(HTTP)、用户对话信息(SEESION)以及文件信息流。
业务系统数据:为习得账号的正常行为基线,发现其异常行为,采集身份认证、授权、记账和审计系统账号(4A),企业办公账号(OA)账号以及其他业务系统账号的活动数据(DPI)。
设备告警数据:为了学习主机的正常模式,发现其异常行为,采集如主机终端的进程活动日志、网络活动日志、文件操作日志等。防火墙(Firewalls)、入侵检测系统(IDS)、网站应用级防御系统(WAF)通过系统日志传送(SYSLOG)
自定义数据;主要包括维护员自定义的终端以及终端端口以及维护人员自定义的敏感服务。
S2、行为分析;具体包括基线分析、时间序列分析和风险评估,其中:
所述基线分析包括数值型基线和标称型基线;
所述数值型基线对于可量化的指标,使用数值型基线,可量化的指标包括历史流入流出流量、历史访问端口行为和历史访问主机行为;所述标称型基线对于不能量化的指标,使用标称型基线,不能量化的指标包括账号常用登录区域、账号惯常登录时间、账号常用IP和主机历史开放端口;
所述时间序列分析通过对访问数据的时间戳,对比访问历史时间,对访活跃时间段、存活情况,判定是否是异常时间异常操作;
所述风险评估通过矩阵特征给出判定,敏感数据是否存在异常;
在本优选实施例中,行为分析具体为:
定义1数值型异常基线监测法;
定义1.1单元数值型监测法;
待监测数值型数据组X={x1,x2,x3…xn},其中xn∈Rn,i,n∈正整数,R表示实数;
定义1.2多元数值型监测法;
待监测数值型数据组Xi={x1,x2,x3…xn},其中xi,Xi∈Rn,i,n∈正整数,R表示实数,Σ∈Rn×n;
若q(X)<ε2则认为异常,其中,ε2为维护人员设定的边界值ε2∈(0,1);
定义2时序异常分析基线;
待监测时序行为数据组Xi={x1,x2,x3…xn},xn表示第n种访问行为,定义m表示xi出现m次,n∈正整数,m∈非负整数;
若Hi(x)<ε3则认为异常,其中ε3为维护人员设定的边界值ε3∈(0,1);
定义3,
将定义2中不同属性的d个特征值Hd(x),构建风险监测矩阵B,特征值包括IP端口,数据包大小;
待监测数据特征矩阵为{HK(1)…HK(d)},与风险监测矩阵B的每一列做定义3.1的计算生成新的矩阵C;
定义3.1
C=[θ1…θn],表示各维度特征的异常情况;
若θn<ε4则认为异常,其中ε为维护人员设定的边界值ε4∈(0,1),C中异常θn越多,被监测对象风险值越高;
S3、行为异常事件判定;行为异常事件包括:
是读取防火墙(Firewalls)、入侵检测系统(IDS)系统日志是否存在非法外接设备。
数据库非法访问:检测用户是否对数据库非法访问和操作;
敏感数据外传异常:检测数据库数据是否被截屏,重点数据是否被复制;
读取防火墙、入侵检测系统系统日志是否存在非法外接设备;
S4、场景预测告警,主要通过异常事件特征分析结果,构建敏感数据事件场景,包括:离职人员窃取敏感数据,内部人员过失性破坏,账号失窃导致敏感数据泄露以及敏感数据被截屏。
一种基于大数据电力调度自动化敏感数据检测系统,包括:
数据获取模块,获取下列数据源:网络全流量数据、业务系统数据、设备告警数据和自定义数据;
分析模块,行为分析;具体包括基线分析、时间序列分析和风险评估,其中:
所述基线分析包括数值型基线和标称型基线;
所述数值型基线对于可量化的指标,使用数值型基线,可量化的指标包括历史流入流出流量、历史访问端口行为和历史访问主机行为;所述标称型基线对于不能量化的指标,使用标称型基线,不能量化的指标包括账号常用登录区域、账号惯常登录时间、账号常用IP和主机历史开放端口;
所述时间序列分析通过对访问数据的时间戳,对比访问历史时间,对访活跃时间段、存活情况,判定是否是异常时间异常操作;
所述风险评估通过矩阵特征给出判定,敏感数据是否存在异常;
判定模块,行为异常事件判定;行为异常事件包括:
读取防火墙、入侵检测系统系统日志是否存在非法外接设备;
数据库非法访问:检测用户是否对数据库非法访问和操作;
敏感数据外传异常:检测数据库数据是否被截屏,重点数据是否被复制;
预警模块,场景预测告警。
一种实现上述基于大数据电力调度自动化敏感数据检测方法的信息数据处理终端。
一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行上述的基于大数据电力调度自动化敏感数据检测方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用全部或部分地以计算机程序产品的形式实现,所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输)。所述计算机可读取存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘SolidState Disk(SSD))等。
以上所述仅是对本发明的较佳实施例而已,并非对本发明作任何形式上的限制,凡是依据本发明的技术实质对以上实施例所做的任何简单修改,等同变化与修饰,均属于本发明技术方案的范围内。
Claims (10)
1.一种基于大数据电力调度自动化敏感数据检测方法,其特征在于,包括如下步骤:
S1、获取下列数据源:网络全流量数据、业务系统数据、设备告警数据和自定义数据;
S2、行为分析;具体包括基线分析、时间序列分析和风险评估,其中:
所述基线分析包括数值型基线和标称型基线;
所述数值型基线对于可量化的指标,使用数值型基线,可量化的指标包括历史流入流出流量、历史访问端口行为和历史访问主机行为;所述标称型基线对于不能量化的指标,使用标称型基线,不能量化的指标包括账号常用登录区域、账号惯常登录时间、账号常用IP和主机历史开放端口;
所述时间序列分析通过对访问数据的时间戳,对比访问历史时间,对访活跃时间段、存活情况,判定是否是异常时间异常操作;
所述风险评估通过矩阵特征给出判定,敏感数据是否存在异常;
S3、行为异常事件判定;行为异常事件包括:
读取防火墙、入侵检测系统系统日志是否存在非法外接设备;
数据库非法访问:检测用户是否对数据库非法访问和操作;
敏感数据外传异常:检测数据库数据是否被截屏,重点数据是否被复制;
S4、场景预测告警。
2.根据权利要求1所述基于大数据电力调度自动化敏感数据检测方法,其特征在于:
所述网络全流量数据为:整个调度数据网以及和电力调度自动化系统对外接口的请求-响应协议内容、用户对话信息以及文件信息流;
所述业务系统数据为:为习得账号的正常行为基线,发现其异常行为,采集身份认证、授权、记账和审计系统账号,企业办公账号账号以及其他业务系统账号的活动数据。
所述设备告警数据为:主机终端的进程活动日志、网络活动日志、文件操作日志;防火墙、入侵检测系统、网站应用级防御系统通过系统日志传送;
所述自定义数据为包括维护员自定义的终端、终端端口以及维护人员自定义的敏感服务。
3.根据权利要求2所述基于大数据电力调度自动化敏感数据检测方法,其特征在于,所述S2具体为:
定义1数值型异常基线监测法;
定义1.1单元数值型监测法;
待监测数值型数据组X={x1,x2,x3…xn},其中xn∈Rn,i,n∈正整数,R表示实数;
定义1.2多元数值型监测法;
待监测数值型数据组Xi={x1,x2,x3…xn},其中xi,Xi∈Rn,i,n∈正整数,R表示实数,Σ∈Rn×n;
若q(X)<ε2则认为异常,其中,ε2为维护人员设定的边界值ε2∈(0,1);
定义2时序异常分析基线;
待监测时序行为数据组Xi={x1,x2,x3…xn},xn表示第n种访问行为,定义m表示xi出现m次,n∈正整数,m∈非负整数;
若Hi(x)<ε3则认为异常,其中ε3为维护人员设定的边界值ε3∈(0,1);
定义3,
将定义2中不同属性的d个特征值Hd(x),构建风险监测矩阵B,特征值包括IP端口,数据包大小;
待监测数据特征矩阵为{HK(1)…HK(d)},与风险监测矩阵B的每一列做定义3.1的计算生成新的矩阵C;
定义3.1
C=[θ1…θn],表示各维度特征的异常情况;
若θn<ε4则认为异常,其中ε为维护人员设定的边界值ε4∈(0,1),C中异常θn越多,被监测对象风险值越高。
4.根据权利要求3所述基于大数据电力调度自动化敏感数据检测方法,其特征在于,所述S4具体为:通过异常事件特征分析结果,构建敏感数据事件场景,包括:离职人员窃取敏感数据,内部人员过失性破坏,账号失窃导致敏感数据泄露以及敏感数据被截屏。
5.一种基于大数据电力调度自动化敏感数据检测系统,其特征在于:包括:
数据获取模块,获取下列数据源:网络全流量数据、业务系统数据、设备告警数据和自定义数据;
分析模块,行为分析;具体包括基线分析、时间序列分析和风险评估,其中:
所述基线分析包括数值型基线和标称型基线;
所述数值型基线对于可量化的指标,使用数值型基线,可量化的指标包括历史流入流出流量、历史访问端口行为和历史访问主机行为;所述标称型基线对于不能量化的指标,使用标称型基线,不能量化的指标包括账号常用登录区域、账号惯常登录时间、账号常用IP和主机历史开放端口;
所述时间序列分析通过对访问数据的时间戳,对比访问历史时间,对访活跃时间段、存活情况,判定是否是异常时间异常操作;
所述风险评估通过矩阵特征给出判定,敏感数据是否存在异常;
判定模块,行为异常事件判定;行为异常事件包括:
读取防火墙、入侵检测系统系统日志是否存在非法外接设备;
数据库非法访问:检测用户是否对数据库非法访问和操作;
敏感数据外传异常:检测数据库数据是否被截屏,重点数据是否被复制;
预警模块,场景预测告警。
6.根据权利要求5所述基于大数据电力调度自动化敏感数据检测系统,其特征在于:
所述网络全流量数据为:整个调度数据网以及和电力调度自动化系统对外接口的请求-响应协议内容、用户对话信息以及文件信息流;
所述业务系统数据为:为习得账号的正常行为基线,发现其异常行为,采集身份认证、授权、记账和审计系统账号,企业办公账号账号以及其他业务系统账号的活动数据。
所述设备告警数据为:主机终端的进程活动日志、网络活动日志、文件操作日志;防火墙、入侵检测系统、网站应用级防御系统通过系统日志传送;
所述自定义数据为包括维护员自定义的终端、终端端口以及维护人员自定义的敏感服务。
7.根据权利要求6所述基于大数据电力调度自动化敏感数据检测系统,其特征在于:
所述分析模块的具体分析过程为:
定义1数值型异常基线监测法;
定义1.1单元数值型监测法;
待监测数值型数据组X={x1,x2,x3…xn},其中xn∈Rn,i,n∈正整数,R表示实数;
定义1.2多元数值型监测法;
待监测数值型数据组Xi={x1,x2,x3…xn},其中xi,Xi∈Rn,i,n∈正整数,R表示实数,Σ∈Rn×n;
若q(X)<ε2则认为异常,其中,ε2为维护人员设定的边界值ε2∈(0,1);
定义2时序异常分析基线;
待监测时序行为数据组Xi={x1,x2,x3…xn},xn表示第n种访问行为,定义m表示xi出现m次,n∈正整数,m∈非负整数;
若Hi(x)<ε3则认为异常,其中ε3为维护人员设定的边界值ε3∈(0,1);
定义3,
将定义2中不同属性的d个特征值Hd(x),构建风险监测矩阵B,特征值包括IP端口,数据包大小;
待监测数据特征矩阵为{HK(1)…HK(d)},与风险监测矩阵B的每一列做定义3.1的计算生成新的矩阵C;
定义3.1
C=[θ1…θn],表示各维度特征的异常情况;
若θn<ε4则认为异常,其中ε为维护人员设定的边界值ε4∈(0,1),C中异常θn越多,被监测对象风险值越高。
8.根据权利要求7所述基于大数据电力调度自动化敏感数据检测系统,其特征在于,所述预警模块具体为:通过异常事件特征分析结果,构建敏感数据事件场景,包括:离职人员窃取敏感数据,内部人员过失性破坏,账号失窃导致敏感数据泄露以及敏感数据被截屏。
9.一种实现权利要求1-4任一项所述基于大数据电力调度自动化敏感数据检测方法的信息数据处理终端。
10.一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求1-4任一项所述的基于大数据电力调度自动化敏感数据检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111329772.6A CN114037286A (zh) | 2021-11-10 | 2021-11-10 | 一种基于大数据电力调度自动化敏感数据检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111329772.6A CN114037286A (zh) | 2021-11-10 | 2021-11-10 | 一种基于大数据电力调度自动化敏感数据检测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114037286A true CN114037286A (zh) | 2022-02-11 |
Family
ID=80143899
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111329772.6A Pending CN114037286A (zh) | 2021-11-10 | 2021-11-10 | 一种基于大数据电力调度自动化敏感数据检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114037286A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116861419A (zh) * | 2023-09-05 | 2023-10-10 | 国网江西省电力有限公司信息通信分公司 | 一种ssr上主动防御日志告警方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
CN108616529A (zh) * | 2018-04-24 | 2018-10-02 | 成都信息工程大学 | 一种基于业务流的异常检测方法及系统 |
CN109446817A (zh) * | 2018-10-29 | 2019-03-08 | 成都思维世纪科技有限责任公司 | 一种大数据检测与审计系统 |
CN111818097A (zh) * | 2020-09-01 | 2020-10-23 | 北京安帝科技有限公司 | 基于行为的流量监测方法及装置 |
CN112491877A (zh) * | 2020-11-26 | 2021-03-12 | 中孚安全技术有限公司 | 一种用户行为序列异常检测方法、终端及存储介质 |
CN112600828A (zh) * | 2020-12-07 | 2021-04-02 | 中国南方电网有限责任公司超高压输电公司 | 基于数据报文的电力控制系统攻击检测防护方法及装置 |
CN112787992A (zh) * | 2020-12-17 | 2021-05-11 | 福建新大陆软件工程有限公司 | 一种敏感数据的检测与防护的方法、装置、设备和介质 |
US20210203605A1 (en) * | 2019-12-31 | 2021-07-01 | Ajou University Industry-Academic Cooperation Foundation | Method and apparatus for detecting abnormal traffic pattern |
-
2021
- 2021-11-10 CN CN202111329772.6A patent/CN114037286A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
CN108616529A (zh) * | 2018-04-24 | 2018-10-02 | 成都信息工程大学 | 一种基于业务流的异常检测方法及系统 |
CN109446817A (zh) * | 2018-10-29 | 2019-03-08 | 成都思维世纪科技有限责任公司 | 一种大数据检测与审计系统 |
US20210203605A1 (en) * | 2019-12-31 | 2021-07-01 | Ajou University Industry-Academic Cooperation Foundation | Method and apparatus for detecting abnormal traffic pattern |
CN111818097A (zh) * | 2020-09-01 | 2020-10-23 | 北京安帝科技有限公司 | 基于行为的流量监测方法及装置 |
CN112491877A (zh) * | 2020-11-26 | 2021-03-12 | 中孚安全技术有限公司 | 一种用户行为序列异常检测方法、终端及存储介质 |
CN112600828A (zh) * | 2020-12-07 | 2021-04-02 | 中国南方电网有限责任公司超高压输电公司 | 基于数据报文的电力控制系统攻击检测防护方法及装置 |
CN112787992A (zh) * | 2020-12-17 | 2021-05-11 | 福建新大陆软件工程有限公司 | 一种敏感数据的检测与防护的方法、装置、设备和介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116861419A (zh) * | 2023-09-05 | 2023-10-10 | 国网江西省电力有限公司信息通信分公司 | 一种ssr上主动防御日志告警方法 |
CN116861419B (zh) * | 2023-09-05 | 2023-12-08 | 国网江西省电力有限公司信息通信分公司 | 一种ssr上主动防御日志告警方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
CN113168470B (zh) | 用于行为威胁检测的系统及方法 | |
Yang et al. | Anomaly-based intrusion detection for SCADA systems | |
US10140453B1 (en) | Vulnerability management using taxonomy-based normalization | |
Ye et al. | Multivariate statistical analysis of audit trails for host-based intrusion detection | |
CN104283889B (zh) | 基于网络架构的电力系统内部apt攻击检测及预警系统 | |
CN111800395A (zh) | 一种威胁情报防御方法和系统 | |
CN115733681A (zh) | 一种防止数据丢失的数据安全管理平台 | |
US20190109875A1 (en) | System and method for providing data-driven user authentication misuse detection | |
US20210084062A1 (en) | Method and Apparatus for Network Fraud Detection and Remediation Through Analytics | |
CN111683157B (zh) | 一种物联网设备的网络安全防护方法 | |
JP2005526311A (ja) | データベースシステムを監視するための方法および装置 | |
Pradhan et al. | Intrusion detection system (IDS) and their types | |
CN113168469B (zh) | 用于行为威胁检测的系统及方法 | |
CN117708880A (zh) | 一种银行业务数据智能安全处理方法及系统 | |
Ferencz et al. | Review of industry 4.0 security challenges | |
CN118101250A (zh) | 一种网络安全检测方法及系统 | |
CN113691498B (zh) | 一种电力物联终端安全状态评估方法、装置及存储介质 | |
CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
CN114037286A (zh) | 一种基于大数据电力调度自动化敏感数据检测方法及系统 | |
CN117879887A (zh) | 一种基于人工智能的电脑主机信息传输监管系统 | |
CN114070641A (zh) | 一种网络入侵检测方法、装置、设备和存储介质 | |
JP4843546B2 (ja) | 情報漏洩監視システムおよび情報漏洩監視方法 | |
CN109241769A (zh) | 一种电子设备隐私安全预警方法和系统 | |
CN117454373A (zh) | 一种软件登录身份管理及访问安全控制方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |