CN114125848B - 一种电力移动互联业务安全防护方法及系统 - Google Patents
一种电力移动互联业务安全防护方法及系统 Download PDFInfo
- Publication number
- CN114125848B CN114125848B CN202111434595.8A CN202111434595A CN114125848B CN 114125848 B CN114125848 B CN 114125848B CN 202111434595 A CN202111434595 A CN 202111434595A CN 114125848 B CN114125848 B CN 114125848B
- Authority
- CN
- China
- Prior art keywords
- user
- access
- entity
- alarm
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 230000006399 behavior Effects 0.000 claims abstract description 82
- 238000004458 analytical method Methods 0.000 claims abstract description 30
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 27
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 20
- 230000015654 memory Effects 0.000 claims description 22
- 230000007246 mechanism Effects 0.000 claims description 19
- 239000011159 matrix material Substances 0.000 claims description 10
- 230000001960 triggered effect Effects 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 7
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000011156 evaluation Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 claims description 2
- 230000002401 inhibitory effect Effects 0.000 claims description 2
- 230000001629 suppression Effects 0.000 claims 1
- 238000001514 detection method Methods 0.000 abstract description 10
- 238000012544 monitoring process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000012098 association analyses Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000012512 characterization method Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 230000035945 sensitivity Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000001680 brushing effect Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Abstract
本发明提供的一种电力移动互联业务安全防护方法及系统,该方法包括:获取移动终端用户数据集;从所述数据集中提取行为特征,利用预设算法建立用户行为模型;根据所述用户行为模型实时对用户行为进行态势分析;根据态势分析的结果判断是否发出异常行为警告。通过从用户实体行为的角度实时进行态势分析,将内部威胁检测与全局预警有效衔接,解决了以人、资产、应用为维度的账号安全和数据安全问题。
Description
技术领域
本发明涉及网络安全态势感知技术领域,具体涉及一种电力移动互联业务安全防护方法及系统。
背景技术
目前,随着移动办公等业务的高速发展,电力移动互联业务架构和网络环境发生了重大的变化。传统基于边界防护的网络安全架构很难适应电力移动业务对安全的多样化需求,对于一些高级持续性威胁攻击无法有效防御,而且不能够帮助他们有效解决来自内部的安全问题。因为内部威胁通常难以检测,并且内部威胁攻击者一般为具有系统网络及数据访问权的组织员工(在职或离职)、信任的第三方平台以及商业伙伴等。由于攻击者来自安全边界内部,因此可以躲避防火墙等外部安全设备的检测,导致多数内部攻击难以被检测到。内部攻击者的恶意行为往往嵌入在海量的正常行为数据中,同时内部攻击者自身具有组织的相关知识,可以接触到组织的核心资产、敏感数据,从而对组织的资产、业务以及信誉进行攻击。因此,目前急需一种能及时发现和终止内部威胁的电力移动互联业务安全防护方法,从而有效解决来自内部的安全问题。
发明内容
因此,本发明要解决的技术问题在于克服现有技术中传统的安全防护方法无法解决电力移动互联网存在的内生安全威胁的缺陷,从而提供一种电力移动互联业务安全防护方法及系统。
第一方面,本发明实施例提供一种电力移动互联业务安全防护方法,包括:获取移动终端用户数据集;从所述数据集中提取行为特征,利用预设算法建立用户行为模型;根据所述用户行为模型实时对用户行为进行态势分析;根据态势分析的结果判断是否发出异常行为警告。
可选地,电力移动互联业务安全防护方法还包括:获取异常行为警告信息,根据异常行为警告信息判断是否为用户首次访问时触发的警报;当为用户首次访问警报时,启动首次访问评估机制,预测用户首次访问网络实体的推荐分数;根据所述推荐分数与预设阈值的关系判断是否抑制首次访问警报。
可选地,所述当为用户首次访问警报时,启动首次访问评估机制,预测用户首次访问网络实体的推荐分数,包括:建立用户实体访问矩阵,所述户实体访问矩阵包括多个用户和多个实体;获取用户的实体访问偏好以及实体的访问用户群画像;根据用户的实体访问偏好以及实体的访问用户群画像计算访问推荐分数。
可选地,通过如下公式计算访问推荐分数:
S(ui,ej)=S(ui)+S(ej)
其中,S(ui,ej)为访问推荐分数;S(ui)为根据用户的实体访问偏好计算的访问推荐分数,ui为用户,Q1为实体间的相似度,rij表示用户对网络实体的访问次数;S(ej)为根据实体的访问用户群画像计算的访问推荐分数,/>ei为实体,Q2表示用户间的相似度,i=1,2,3…,j=1,2,3…,m=1,2,3…,n=1,2,3…。
可选地,所述根据所述推荐分数与预设阈值的关系判断是否抑制首次访问警报,包括:当所述推荐分数大于预设阈值时,抑制首次访问警报,并将所述推荐分数添加至所述数据集,更新所述用户行为模型;当所述推荐分数不大于预设阈值时,发出首次访问警报。
可选地,在所述从所述数据集中提取行为特征,利用预设算法建立用户行为模型步骤之前,还包括:对所述数据集进行差分隐私保护计算。
可选地,当不是用户首次访问时触发的警报时,发出访问警报。
第二方面,本发明实施例提供一种电力移动互联业务安全防护系统,包括:采集模块,用于获取移动终端用户数据集;处理模块,用于从所述数据集中提取行为特征,利用预设算法建立用户行为模型;分析模块,用于根据所述用户行为模型实时对用户行为进行态势分析;判断模块,用于根据态势分析的结果判断是否发出异常行为警告。
第三方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行本发明实施例第一方面所述的电力移动互联业务安全防护方法。
第四方面,本发明实施例提供一种计算机设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行本发明实施例第一方面所述的电力移动互联业务安全防护方法。
本发明技术方案,具有如下优点:
本发明提供的一种电力移动互联业务安全防护方法,包括:获取移动终端用户数据集;从所述数据集中提取行为特征,利用预设算法建立用户行为模型;根据所述用户行为模型实时对用户行为进行态势分析;根据态势分析的结果判断是否发出异常行为警告。通过从用户实体行为的角度实时进行态势分析,将内部威胁检测与全局预警有效衔接,解决了以人、资产、应用为维度的账号安全和数据安全问题。
本发明提供的电力移动互联业务安全防护系统,通过从用户实体行为的角度实时进行态势分析,将内部威胁检测与全局预警有效衔接,解决了以人、资产、应用为维度的账号安全和数据安全问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中电力移动互联业务安全防护方法的一个具体示例的流程图;
图2为本发明实施例中系统模块中数据的流通示意图;
图3为本发明实施例中电力移动互联业务安全防护系统的一个具体示例的原理框图;
图4为本发明实施例提供的计算机设备一个具体示例的组成图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,还可以是两个元件内部的连通,可以是无线连接,也可以是有线连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
本发明实施例提供一种电力移动互联业务安全防护方法,如图1所示,包括如下步骤:
步骤S1:获取移动终端用户数据集。
在一具体实施例中,如图2所示,电力移动互联业务安全防护涉及两个平台与三个模块。两个平台即客户端、移动安全监测平台,三个模块即客户端的数据采集模块、隐私保护模块,移动安全监测平台的态势感知模块。其中,数据采集模块部署在客户端,用于采集移动终端用户数据。数据采集模块所采集数据包括用户身份数据、实体身份数据和用户行为数据。
具体地,用户身份数据包括注册资料、用户资产信息、VPN日志、OA日志、门禁刷脸日志、工单日志、安全日志等。实体身份数据包括IP地址、MAC地址、网络流量、威胁情报、应用系统日志等。用户行为数据分为网络行为信息和终端行为信息。通过深度包检测(DeepPacket Inspection,DPI)系统获取包括日志源地址、目的地址、源端口、目的端口以及协议类型,审计信息、应用程序会话识别信息、应用程序会话流量统计信息、网络传输层流量统计信息、应用层流量统计信息等网络行为信息。通过终端检测与响应(Endpoint Detectionand Response,EDR)系统采集终端的内存操作、磁盘操作、文件操作、系统调用、端口调用、网络操作、注册表操作等终端行为信息。
其中,用户身份数据与实体身份数据通过用户行为数据,即通过用户网络行为与终端行为信息的整合,可以完成用户与实体的关联,同时也还原了用户的网络会话和会话期间的用户行为。
进一步地,数据采集模块在采集移动终端用户数据后,使用基于深度学习卷积神经网络方法对采集的原始数据进行预处理,包括数据清洗、特征提取操作,然后统一数据格式进行数据标准化操作,构建数据集。
进一步地,数据采集模块完成构建数据集任务后,将数据集发送至隐私保护模块。隐私保护模块对采集的数据进行差分隐私保护计算。在差分隐私保护之前,定义相邻数据集D1和D2之间至多相差一条数据记录,给定随机算法K提供差分隐私,Range(K)表示随机算法K的取值范围,Pr[*]表示数据集加上同一随机噪音之后查询结果为S的概率,对于差别只有一条记录的两个数据集,要使得查询它们获得相同值的概率非常的接近,这样即使攻击者具有足够多的背景知识,也无法在最终的结果中找出个别用户隐私数据。算法K满足在D1,D2上的输出结果S∈Range(K)符合公式:
Pr[K(D1)=S]≤eε×Pr[K(D2)=S]
其中,ε为隐私保护预算因子,用于衡量隐私保护的强度。ε取值的大小与保护效果成正比,与数据失真程度成反比。
在本发明实施例中,隐私保护模块可采用指数机制、拉普拉斯机制和高斯机制等机制实现差分隐私保护。其中,对于数值型数据,采用Laplace机制,对得到的数据加入适量噪声即可实现差分隐私。对于非数值型数据,采用指数机制并引入一个打分函数,对每种可能的输出都得到一个分数,归一化之后作为查询返回的概率值。
由于本发明实施例中构建的为数据集,因此采用Laplace机制添加噪声来实现差分隐私。具体地,采用Laplace机制添加噪声来实现差分隐私的步骤如下:
步骤11、首先根据隐私保护的需求选取合适的隐私保护预算因子ε,范围0~1。
步骤12、定义敏感度Δf,它代表的意思是对于一个映射函数函数f:D→Rd表示数据集D到一个d维空间的映射,它最大的变化范围,比如查询数量,敏感度就是1。
步骤13、向f(D)中添加满足Laplace分布的随机变量x,其中,随机变量x的概率密度函数为
其中,μ代表位置参数,一般情况下默认为0;λ>0为尺度参数,满足:
步骤14、最后的返回结果A(D)满足:
最后,隐私保护模块完成隐私保护后,将经过差分隐私机制处理过后得到的数据集D′发送给移动安全监测平台。通过对客户端的数据在发送给移动安全监测平台前引用差分隐私机制,可有效防止用户隐私被窃取或泄露。
步骤S2:从数据集中提取行为特征,利用预设算法建立用户行为模型。
在一具体实施例中,部署于移动安全监测平台的态势感知模块接收到隐私保护模块发送的数据集后,先对数据集D′的数据提取行为特征,进行用户行为刻画、关联分析,建立持续的用户行为基线,形成用户行为模型。具体地,行为刻画即对所有用户和实体的行为基于时间序列进行持续不断的跟踪和画像。例如该用户都有哪些账号、访问哪些应用、使用哪些文件、都使用什么设备、什么时候在线、所在位置等属性信息。画像过程是建立基线的过程,通过画像将用户和实体的一切网络活动完全可视化。
关联分析是结合用户和实体的行为刻画数据对安全事件进行分析的自动化过程,需要从多维度考虑。具体地,从用户、设备、应用、数据4个维度做实时关联分析,形成一个自动化、持续化的分析过程。
具体地,在行为建模阶段,对个体行为从多维度在时间序列、地点区域进行分析,不仅分析个体,还要对群组行为分析,基于行为刻画和关联分析的数据,建立群组基线和个体基线。
步骤S3:根据用户行为模型实时对用户行为进行态势分析。
在一具体实施例中,通过先前数据已经训练好的用户行为模型,实时的对用户行为进行态势分析。具体地,对实时的用户行为数据借助平均值、方差、相似度等,对个体和群组行为对比,识别出偏离正常基线的行为。如果偏离了正常基线,则使用机器学习算法如孤立森林、SVM,K-Means聚类等进行异常行为分类检测,由于不同的算法有各自的局限性,很难有一个算法适用所有场景,需要对异常检测的结果进行验证和回馈;否则,将该数据添加至数据集,更新并训练用户行为模型。
步骤S4:根据态势分析的结果判断是否发出异常行为警告。
在一具体实施例中,通过态势分析实时对用户行为进行分析,当用户行为数据偏离正常基线时,判别为异常行为,进而应发出警报。当用户行为数据未偏离正常基线时,判别不存在异常行为,此时,将用户行为数据添加至数据集,更新用户行为模型。
本发明提供的一种电力移动互联业务安全防护方法,包括:获取移动终端用户数据集;从所述数据集中提取行为特征,利用预设算法建立用户行为模型;根据所述用户行为模型实时对用户行为进行态势分析;根据态势分析的结果判断是否发出异常行为警告。通过从用户实体行为的角度实时进行态势分析,将内部威胁检测与全局预警有效衔接,解决了以人、资产、应用为维度的账号安全和数据安全问题。除了考虑网络侧的安全问题,尤其要重视业务侧面临安全威胁的特点,即用户行为是符合访问控制规则的,相关操作都不带有明显的攻击特征。
在一实施例中,电力移动互联业务安全防护方法还包括如下步骤:
步骤S5:获取异常行为警告信息,根据异常行为警告信息判断是否为用户首次访问时触发的警报。
在一具体实施例中,当态势分析的结果为异常行为时,获取异常行为警告信息,根据异常行为警告信息判别是否为用户首次访问时触发的警报。
步骤S6:当为用户首次访问警报时,启动首次访问评估机制,预测用户首次访问网络实体的推荐分数。
在一具体实施例中,当结果是用户首次访问警报时,则启动首次访问评估机制。而当结果不是用户首次访问时触发的警报时,发出访问警报。
具体地,首次访问评估的具体步骤如下:
步骤61、建立用户实体访问矩阵,所述户实体访问矩阵包括多个用户和多个实体;
在本发明实施例中,假设一个访问推荐系统包含m个用户和n个实体,首先建立用户实体访问矩阵:
R={rij}m×n
其中rij表示用户对网络实体的访问次数,若果用户未访问过该网络实体,则rij的值为0,i=1,2,3…,j=1,2,3…,m=1,2,3…,n=1,2,3…。
步骤62、获取用户的实体访问偏好以及实体的访问用户群画像。
在本发明实施例中,从基于用户的实体访问偏好和实体的访问用户群画像两个角度来计算访问推荐分数。
步骤63、根据用户的实体访问偏好以及实体的访问用户群画像计算访问推荐分数。
在本发明实施例中,从用户的实体访问偏好角度计算推荐分数的方法包括:利用基于项目的协同过滤推荐算法思想,通过学习用户历史访问实体的数据,计算历史访问实体和本次访问目标实体的相似度,并以相似度作为权重,加权用户对各历史访问实体的访问次数,得到对目标实体的访问推荐分数S(ui)。
其中ui表示用户,Q1表示实体间的相似度,计算的方法可以选择使用余弦相似性算法、Pearso相似性算法进行计算。
从实体的访问用户群画像角度计算推荐分数的方法包括:通过学习过去访问过该实体的用户的数据,计算这些用户与当前用户的相似度,并以相似度作为权重,加权各用户对目标实体的访问次数,得到对目标实体的访问推荐分数S(ej)。
其中ei表示实体,Q2表示用户间的相似度。最终的访问推荐分数S(ui,ej)为
S(ui,ej)=S(ui)+S(ej)。
步骤S7:根据推荐分数与预设阈值的关系判断是否抑制首次访问警报。
在一具体实施例中,将访问推荐分数S(ui,ej)与预定阈值相比,如果大于预设阈值,则抑制首次访问警报,并且将该数据添加至数据集,更新并训练用户行为模型;如果不大于预设阈值,则仍然发出警报。
在本发明实施例中,理想的预设阈值通过前期选取几个不同的推荐分数在该机制中进行训练,得到结果后进行验证和回馈,最终选出准确率最高的推荐分数作为预设阈值。
在本发明实施例中,通过引入首次访问评估机制优化态势分析结果中首次访问预警,并基于推荐系统的方法预测用户与访问实体间的推荐分数,从而减少首次访问预警的误报率。
本发明实施例还提供一种电力移动互联业务安全防护系统,如图3所示,包括:
采集模块1,用于获取移动终端用户数据集。详细内容参见上述方法实施例中步骤S1的相关描述,在此不再赘述。
处理模块2,用于从数据集中提取行为特征,利用预设算法建立用户行为模型。详细内容参见上述方法实施例中步骤S2的相关描述,在此不再赘述。
分析模块3,用于根据用户行为模型实时对用户行为进行态势分析。详细内容参见上述方法实施例中步骤S3的相关描述,在此不再赘述。
判断模块4,用于根据态势分析的结果判断是否发出异常行为警告。详细内容参见上述方法实施例中步骤S4的相关描述,在此不再赘述。
本发明提供的电力移动互联业务安全防护系统,通过从用户实体行为的角度实时进行态势分析,将内部威胁检测与全局预警有效衔接,解决了以人、资产、应用为维度的账号安全和数据安全问题。
本发明实施例提供一种计算机设备,如图4所示,该设备可以包括处理器81和存储器82,其中处理器81和存储器82可以通过总线或者其他方式连接,图4以通过总线连接为例。
处理器81可以为中央处理器(Central Processing Unit,CPU)。处理器81还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器82作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的对应的程序指令/模块。处理器81通过运行存储在存储器82中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的电力移动互联业务安全防护方法。
存储器82可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器81所创建的数据等。此外,存储器82可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器82可选包括相对于处理器81远程设置的存储器,这些远程存储器可以通过网络连接至处理器81。上述网络的实例包括但不限于互联网、企业内部网、企业内网、移动通信网及其组合。
一个或者多个模块存储在存储器82中,当被处理器81执行时,执行如图1-2所示实施例中的电力移动互联业务安全防护方法。
上述计算机设备具体细节可以对应参阅图1-2所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-StateDrive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (7)
1.一种电力移动互联业务安全防护方法,其特征在于,包括:
获取移动终端用户数据集;
从所述数据集中提取行为特征,利用预设算法建立用户行为模型;
根据所述用户行为模型实时对用户行为进行态势分析;
根据态势分析的结果判断是否发出异常行为警告;
获取异常行为警告信息,根据异常行为警告信息判断是否为用户首次访问时触发的警报;
当为用户首次访问警报时,启动首次访问评估机制,预测用户首次访问网络实体的推荐分数;
根据所述推荐分数与预设阈值的关系判断是否抑制首次访问警报;
所述当为用户首次访问警报时,启动首次访问评估机制,预测用户首次访问网络实体的推荐分数,包括:
建立用户实体访问矩阵,所述户实体访问矩阵包括多个用户和多个实体;
获取用户的实体访问偏好以及实体的访问用户群画像;
根据用户的实体访问偏好以及实体的访问用户群画像计算访问推荐分数;
通过如下公式计算访问推荐分数:
S(ui,ej)=S(ui)+S(ej)
其中,S(ui,ej)为访问推荐分数;S(ui)为根据用户的实体访问偏好计算的访问推荐分数,ui为用户,Q1为实体间的相似度,rij表示用户对网络实体的访问次数;S(ej)为根据实体的访问用户群画像计算的访问推荐分数,ei为实体,Q2表示用户间的相似度,i=1,2,3.....,j=1,2,3.....,m=1,2,3.....,n=1,2,3.....。
2.根据权利要求1所述的电力移动互联业务安全防护方法,其特征在于,所述根据所述推荐分数与预设阈值的关系判断是否抑制首次访问警报,包括:
当所述推荐分数大于预设阈值时,抑制首次访问警报,并将所述推荐分数添加至所述数据集,更新所述用户行为模型;
当所述推荐分数不大于预设阈值时,发出首次访问警报。
3.根据权利要求1所述的电力移动互联业务安全防护方法,其特征在于,在所述从所述数据集中提取行为特征,利用预设算法建立用户行为模型步骤之前,还包括:对所述数据集进行差分隐私保护计算。
4.根据权利要求1所述的电力移动互联业务安全防护方法,其特征在于,当不是用户首次访问时触发的警报时,发出访问警报。
5.一种电力移动互联业务安全防护系统,其特征在于,包括:
采集模块,用于获取移动终端用户数据集;
处理模块,用于从所述数据集中提取行为特征,利用预设算法建立用户行为模型;
分析模块,用于根据所述用户行为模型实时对用户行为进行态势分析;
判断模块,用于根据态势分析的结果判断是否发出异常行为警告;
第一获取模块,用于获取异常行为警告信息,根据异常行为警告信息判断是否为用户首次访问时触发的警报;
预测模块,用于当为用户首次访问警报时,启动首次访问评估机制,预测用户首次访问网络实体的推荐分数;
抑制判断模块,用于根据所述推荐分数与预设阈值的关系判断是否抑制首次访问警报;
所述预测模块包括:
建立模块,用于建立用户实体访问矩阵,所述户实体访问矩阵包括多个用户和多个实体;
第二获取模块,用于获取用户的实体访问偏好以及实体的访问用户群画像;
分数计算模块,用于根据用户的实体访问偏好以及实体的访问用户群画像计算访问推荐分数;
通过如下公式计算访问推荐分数:
S(ui,ej)=S(ui)+S(ej)
其中,S(ui,ej)为访问推荐分数;S(ui)为根据用户的实体访问偏好计算的访问推荐分数,ui为用户,Q1为实体间的相似度,rij表示用户对网络实体的访问次数;S(ej)为根据实体的访问用户群画像计算的访问推荐分数,ei为实体,Q2表示用户间的相似度,i=1,2,3.....,j=1,2,3.....,m=1,2,3.....,n=1,2,3.....。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如权利要求1-4任一所述的电力移动互联业务安全防护方法。
7.一种计算机设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如权利要求1-4任一所述的电力移动互联业务安全防护方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111434595.8A CN114125848B (zh) | 2021-11-29 | 2021-11-29 | 一种电力移动互联业务安全防护方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111434595.8A CN114125848B (zh) | 2021-11-29 | 2021-11-29 | 一种电力移动互联业务安全防护方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114125848A CN114125848A (zh) | 2022-03-01 |
CN114125848B true CN114125848B (zh) | 2023-11-21 |
Family
ID=80371231
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111434595.8A Active CN114125848B (zh) | 2021-11-29 | 2021-11-29 | 一种电力移动互联业务安全防护方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114125848B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114884741A (zh) * | 2022-06-02 | 2022-08-09 | 江苏优集科技有限公司 | 一种分布式云环境下的安全访问与控制系统及方法 |
CN116015979B (zh) * | 2023-02-23 | 2023-06-16 | 网思科技股份有限公司 | 一种智能安全态势感知方法、系统和存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110020687A (zh) * | 2019-04-10 | 2019-07-16 | 北京神州泰岳软件股份有限公司 | 基于操作人员态势感知画像的异常行为分析方法及装置 |
US10887325B1 (en) * | 2017-02-13 | 2021-01-05 | Exabeam, Inc. | Behavior analytics system for determining the cybersecurity risk associated with first-time, user-to-entity access alerts |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11681965B2 (en) * | 2019-10-25 | 2023-06-20 | Georgetown University | Specialized computing environment for co-analysis of proprietary data |
-
2021
- 2021-11-29 CN CN202111434595.8A patent/CN114125848B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10887325B1 (en) * | 2017-02-13 | 2021-01-05 | Exabeam, Inc. | Behavior analytics system for determining the cybersecurity risk associated with first-time, user-to-entity access alerts |
CN110020687A (zh) * | 2019-04-10 | 2019-07-16 | 北京神州泰岳软件股份有限公司 | 基于操作人员态势感知画像的异常行为分析方法及装置 |
Non-Patent Citations (2)
Title |
---|
"支持告警序列差分隐私保护的网络入侵关联方法";李洪成、吴晓平;《计算机工程》;第1-5页 * |
基于机器学习的用户实体行为分析技术在账号异常检测中的应用;莫凡;何帅;孙佳;范渊;刘博;;通信技术(第05期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114125848A (zh) | 2022-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11948115B2 (en) | Systems and methods for monitoring information security effectiveness | |
US11848950B2 (en) | Method for protecting IoT devices from intrusions by performing statistical analysis | |
US20220124108A1 (en) | System and method for monitoring security attack chains | |
US10050985B2 (en) | System for implementing threat detection using threat and risk assessment of asset-actor interactions | |
CN114125848B (zh) | 一种电力移动互联业务安全防护方法及系统 | |
US10051349B2 (en) | Sensor based system and method for premises safety and operational profiling based on drift analysis | |
CN112019574B (zh) | 异常网络数据检测方法、装置、计算机设备和存储介质 | |
WO2016123522A1 (en) | Anomaly detection using adaptive behavioral profiles | |
CN110784470B (zh) | 一种用户异常登录的确定方法及装置 | |
CN112653678B (zh) | 一种网络安全态势感知分析方法及装置 | |
CN105009132A (zh) | 基于置信因子的事件关联 | |
US20210099484A1 (en) | Phishing website detection | |
US11606367B2 (en) | Systems and methods for network anomaly detection and resolution | |
GhasemiGol et al. | E‐correlator: an entropy‐based alert correlation system | |
CN110162958B (zh) | 用于计算设备的综合信用分的方法、装置和记录介质 | |
CN113067804A (zh) | 网络攻击的检测方法、装置、电子设备及存储介质 | |
WO2020210976A1 (en) | System and method for detecting anomaly | |
Aljably et al. | Preserving privacy in multimedia social networks using machine learning anomaly detection | |
Sajith et al. | Network intrusion detection system using ANFIS classifier | |
Tabash et al. | An Approach for Detecting and Preventing DoS Attacks in LA N | |
Matheu et al. | Federated Cyberattack Detection for Internet of Things-Enabled Smart Cities | |
CN111767571B (zh) | 一种医疗数据泄露的检测方法 | |
Gottschalk | The Data-Laundromat? Public-Private-Partnerships and Publicly Available Data in the Area of Law Enforcement | |
CN116405328B (zh) | 一种多级联动的电力监控系统网络安全监管系统及方法 | |
Antony et al. | Enhancing security in online social networks: introducing the DeepSybil model for Sybil attack detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |