CN115001877B - 一种基于大数据的信息安全运维管理系统及方法 - Google Patents

一种基于大数据的信息安全运维管理系统及方法 Download PDF

Info

Publication number
CN115001877B
CN115001877B CN202210941976.3A CN202210941976A CN115001877B CN 115001877 B CN115001877 B CN 115001877B CN 202210941976 A CN202210941976 A CN 202210941976A CN 115001877 B CN115001877 B CN 115001877B
Authority
CN
China
Prior art keywords
data
abnormal
trend
node equipment
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210941976.3A
Other languages
English (en)
Other versions
CN115001877A (zh
Inventor
王晓瑜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Hongshu Technology Co ltd
Original Assignee
Beijing Hongshu Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Hongshu Technology Co ltd filed Critical Beijing Hongshu Technology Co ltd
Priority to CN202210941976.3A priority Critical patent/CN115001877B/zh
Publication of CN115001877A publication Critical patent/CN115001877A/zh
Application granted granted Critical
Publication of CN115001877B publication Critical patent/CN115001877B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供一种基于大数据的信息安全运维管理系统及方法,采集业务系统中节点设备的运行状态数据和网络攻击数据,并标记运行状态数据和网络攻击数据的采集时间;将不同节点设备的运行状态数据中各个指标数据转换成随时间变化的运行趋势曲线;提取运行趋势曲线的趋势特征数据;将提取的趋势特征数据与标准趋势特征阈值进行比较分析,获取运行趋势曲线中的异常趋势特征数据,并生成包含异常趋势特征数据的趋势告警信息。本申请快速定位故障节点设备,评估节点设备的故障严重程度,对节点设备进行安全维护,提高系统安全性。

Description

一种基于大数据的信息安全运维管理系统及方法
技术领域
本申请涉及数据处理技术领域,尤其涉及一种基于大数据的信息安全运维管理系统及方法。
背景技术
大数据时代来临,各行业数据规模不断增长,拥有高价值数据源的企业在大数据产业链中占有至关重要的核心地位。如何确保网络数据不受到信息泄漏和非法篡改的安全威胁影响是目前需要考虑的问题。目前,越来越多的应用和业务在网络上运行,对网络的依赖越来越大,然而,现有的技术无法了解业务系统节点设备的运行趋势,对于故障无法快速定位,且无法获得节点设备的故障严重程度。
因此,目前亟需解决的技术问题是:如何采集业务系统节点设备进行运行状态数据,对采集的信息进行智能化分析,准确获得故障节点设备信息,评估节点设备的故障严重程度。
发明内容
本申请的目的在于提供一种基于大数据的信息安全运维管理系统及方法,采集业务系统中节点设备的运行状态数据和网络攻击数据,对采集的数据进行分析,快速定位故障节点设备,评估节点设备的故障严重程度,对故障较为严重的节点设备进行优先分配修复和防御升级,提高系统安全性和减少网络攻击造成的损失。
为达到上述目的,本申请提供一种基于大数据的信息安全运维管理系统,该系统包括:节点数据采集模块,与业务系统中节点设备通信连接,用于采集业务系统中节点设备的运行状态数据和网络攻击数据,并标记运行状态数据和网络攻击数据的采集时间;其中,运行状态数据包括运行电压、运行温度、运行功率、网络请求响应速度;数据管控中心,用于与节点数据采集模块通信连接,将节点数据采集模块采集的数据按照节点设备的不同进行分开存储;数据处理器,用于从数据管控中心获取运行状态数据,并将不同节点设备的运行状态数据中各个指标数据转换成随时间变化的运行趋势曲线;特征提取模块,用于提取运行趋势曲线的趋势特征数据;异常数据上报模块,用于将提取的趋势特征数据与标准趋势特征阈值进行比较分析,获取运行趋势曲线中的异常趋势特征数据,并生成包含异常趋势特征数据的趋势告警信息。
如上的,其中,数据处理器,还用于根据运行趋势曲线中的异常趋势特征数据,计算节点设备的运行异常严重值;异常数据上报模块,还用于将运行异常的节点设备按照运行异常严重值从大到小进行排序,将排序后的异常节点设备发送给安全运维修复模块。
如上的,其中,所述的基于大数据的信息安全运维管理系统还包括:通信通道切断模块,用于切断运行异常严重值超过预设阈值和带有网络攻击数据的节点设备与业务系统内其他节点设备的通信通道。
如上的,其中,数据处理器,还用于根据网络攻击数据,计算节点设备的攻击风险值;异常数据上报模块,还用于将节点设备的攻击风险值按照从大到小进行排序,发送给安全运维修复模块。
如上的,其中,所述的基于大数据的信息安全运维管理系统还包括安全运维修复模块,与异常数据上报模块通信连接,用于接收异常数据上报模块上报的数据,并根据异常数据上报模块上报的数据对相应的节点设备进行修复或防御升级。
一种基于大数据的信息安全运维管理方法,该方法包括:采集业务系统中节点设备的运行状态数据和网络攻击数据,并标记运行状态数据和网络攻击数据的采集时间;其中,运行状态数据包括运行电压、运行温度、运行功率、网络请求响应速度;将不同节点设备的运行状态数据中各个指标数据转换成随时间变化的运行趋势曲线;提取运行趋势曲线的趋势特征数据;将提取的趋势特征数据与标准趋势特征阈值进行比较分析,获取运行趋势曲线中的异常趋势特征数据,并生成包含异常趋势特征数据的趋势告警信息。
如上的,其中,所述的基于大数据的信息安全运维管理方法还包括:根据运行趋势曲线中的异常趋势特征数据,计算节点设备的运行异常严重值;将运行异常的节点设备按照运行异常严重值从大到小进行排序,将排序后的异常节点设备发送给安全运维修复模块。
如上的,其中,所述的基于大数据的信息安全运维管理方法还包括:切断运行异常严重值超过预设阈值和带有网络攻击数据的节点设备与业务系统内其他节点设备的通信通道。
如上的,其中,所述的基于大数据的信息安全运维管理方法还包括:根据网络攻击数据,计算节点设备的攻击风险值;将节点设备的攻击风险值按照从大到小进行排序,发送给安全运维修复模块。
如上的,其中,接收异常数据上报模块上报的数据,并根据异常数据上报模块上报的数据对相应的节点设备进行修复或防御升级。
本申请实现的有益效果如下:
(1)本申请采集业务系统中节点设备的运行状态数据,对采集的运行状态数据进行分析,快速定位运行异常节点设备,对运行异常节点设备进行修复,提高系统安全性。
(2)本申请采集业务系统中节点设备的网络攻击数据,对采集的网络攻击数据进行分析,快速定位被攻击节点设备,评估节点设备的攻击风险值,对攻击风险值较大的节点设备进行优先分配修复和防御升级,提高系统安全性和减少网络攻击造成的损失。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本申请实施例的一种基于大数据的信息安全运维管理方法的流程图。
图2为本申请实施例的一种基于大数据的信息安全运维管理系统的结构示意图。
附图标记:10-节点数据采集模块;20-数据管控中心;30-数据处理器;40-特征提取模块;50-异常数据上报模块;60-通信通道切断模块;70-安全运维修复模块;100-信息安全运维管理系统。
具体实施方式
下面结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例一
如图2所示,本申请提供一种基于大数据的信息安全运维管理系统100,包括:
节点数据采集模块10,与业务系统中节点设备通信连接,用于采集业务系统中节点设备的运行状态数据和网络数据流,并标记运行状态数据和网络数据流的采集时间。
数据管控中心20,用于与节点数据采集模块10通信连接,将节点数据采集模块采集的数据按照节点设备的不同进行分开存储。数据管控中心20,可实现对节点设备的统一管理、对节点设备的管理和资源的调度、对用户以及权限的管理。
其中,数据管控中心20对节点数据采集模块10进行安全认证成功后,与节点数据采集模块10通信连接。节点数据采集模块10将其采集的节点设备的名称、IP地址、认证证书和标识信息等认证信息发送给数据管控中心20,以进行安全认证,数据管控中心20判断节点数据采集模块10发送的认证信息是否为授权数据,若是,则允许节点数据采集模块10与数据管控中心20通信连接,否则,不允许该节点数据采集模块10与数据管控中心20通信连接。节点设备预先从数据管控中心达成管控协议后,数据管控中心20获取节点设备的名称、IP地址和标识信息等,并向节点设备发送认证证书。
数据处理器30,用于从数据管控中心20获取运行状态数据,并将不同节点设备的运行状态数据中各个指标数据转换成随时间变化的运行趋势曲线。
特征提取模块40,用于提取运行趋势曲线的趋势特征数据;
异常数据上报模块50,用于将提取的趋势特征数据与标准趋势特征阈值进行比较分析,获取运行趋势曲线中的异常趋势特征数据,并生成包含异常趋势特征数据的趋势告警信息。
数据处理器30,还用于根据运行趋势曲线中的异常趋势特征数据,计算节点设备的运行异常严重值;
异常数据上报模块50,还用于将运行异常的节点设备按照运行异常严重值从大到小进行排序,将排序后的异常节点设备发送给安全运维修复模块。
通信通道切断模块60,用于切断运行异常严重值超过预设阈值和带有网络攻击数据的节点设备与业务系统内其他节点设备的通信通道。
数据处理器30,还用于根据网络攻击数据,计算节点设备的攻击风险值;
异常数据上报模块50,还用于将节点设备的攻击风险值按照从大到小进行排序,发送给安全运维修复模块。
安全运维修复模块70,与异常数据上报模块50通信连接,用于接收异常数据上报模块50上报的数据,并根据异常数据上报模块50上报的数据对相应的节点设备进行修复或防御升级。
其中,安全运维修复模块70连接有多个运维修复节点,安全运维修复模块70向运维修复节点发送运行异常严重值较大或攻击风险值较大的节点设备对应的修复策略和防御策略,运维修复节点基于修复策略和防御策略对相应的节点设备进行修复和防御升级。
实施例二
如图1所示,本申请提供一种基于大数据的信息安全运维管理方法,该方法包括如下步骤:
步骤S1,采集业务系统中节点设备的运行状态数据和网络攻击数据,并标记运行状态数据和网络攻击数据的采集时间。
其中,通过获取日志的方式,采集网络设备、安全设备、存储设备、服务器、视频摄像头和中间件的运行状态数据。运行状态数据包括设备运行电压、温度、功率、网络请求响应速度等多个指标数据。
通过入侵检测系统检测网络攻击数据,网络攻击数据包括恶意链接、恶意域名、恶意IP、恶意代码、恶意插件和漏洞等。
步骤S2,将不同节点设备的运行状态数据中各个指标数据转换成随时间变化的运行趋势曲线。
具体的,将采集的每一个节点设备的每一个指标数据生成随时间变化的曲线。直观反映节点设备的指标数据的变化情况。
步骤S3,提取运行趋势曲线的趋势特征数据。
其中,趋势特征数据包括一段时间内(例如5分钟内、10分钟内)各个时间点与前一时刻相比的趋势上限值、趋势下限值、增长斜率和下降斜率等。
步骤S4,将提取的趋势特征数据与标准趋势特征阈值进行比较分析,获取运行趋势曲线中的异常趋势特征数据,并生成包含异常趋势特征数据的趋势告警信息。
具体的,判断提取的趋势特征数据是否在标准趋势特征阈值的范围内,若是,则表示运行趋势曲线不存在异常,若否,则表示运行趋势曲线存在异常,获取运行趋势曲线中的异常趋势特征数据(即不在标准趋势特征阈值的范围内的数据),并生成包含异常趋势特征数据的趋势预警信息。
其中,趋势告警信息包括异常节点设备信息(包括设备名称、设备类型和IP地址等)、节点设备的异常指标数据、异常的运行趋势曲线和异常趋势特征数据。从而定位异常节点设备的信息,对该节点设备的通信通道进行阻断,提高节点设备内存储信息的安全性。
标准趋势特征阈值为根据节点设备的正常运行趋势曲线提取获得,提取节点设备的多段时间内的正常运行趋势曲线的正常趋势特征值,将提取的正常趋势特征值进行整理,记录单位时间内的趋势上限值、趋势下限值、增长斜率和下降斜率,获取趋势上限值、趋势下限值、增长斜率和下降斜率等趋势特征的最大值和最小值分别作为标准趋势特征阈值的最大值和最小值。
步骤S5,根据运行趋势曲线中的异常趋势特征数据,计算节点设备的运行异常严重值。
具体的,节点设备的运行异常严重值的计算方法为:
Figure 293395DEST_PATH_IMAGE001
;
其中,
Figure 63904DEST_PATH_IMAGE002
表示节点设备的运行异常严重值;
Figure 155970DEST_PATH_IMAGE003
表示采集的节点设备的运行指标总种类数;
Figure 277510DEST_PATH_IMAGE004
表示节点设备第
Figure 116153DEST_PATH_IMAGE004
个运行指标;
Figure 741169DEST_PATH_IMAGE005
表示节点设备第
Figure 272644DEST_PATH_IMAGE004
个运行指标对其运行的影响权重;
Figure 615901DEST_PATH_IMAGE006
表示节点设备第
Figure 523814DEST_PATH_IMAGE004
个运行指标的异常趋势特征数据异常连续值;
Figure 268916DEST_PATH_IMAGE007
表示节点设备第
Figure 971293DEST_PATH_IMAGE004
个运行指标的异常趋势特征数据的总种类数量;
Figure 801846DEST_PATH_IMAGE008
表示节点设备第
Figure 247871DEST_PATH_IMAGE004
个运行指标的第
Figure 581900DEST_PATH_IMAGE008
种异常趋势特征数据;
Figure 720757DEST_PATH_IMAGE009
表示节点设备第
Figure 38606DEST_PATH_IMAGE004
个运行指标的第
Figure 22743DEST_PATH_IMAGE008
种异常趋势特征数据与标准趋势特征阈值的差值,若第
Figure 742437DEST_PATH_IMAGE008
种异常趋势特征数据小于标准趋势特征阈值的最小值,则
Figure 786616DEST_PATH_IMAGE009
=标准趋势特征阈值的最小值-第
Figure 591761DEST_PATH_IMAGE008
种异常趋势特征数据的实测值;若第
Figure 379589DEST_PATH_IMAGE008
种异常趋势特征数据大于标准趋势特征阈值的最小值,则
Figure 953790DEST_PATH_IMAGE009
=第
Figure 168870DEST_PATH_IMAGE008
种异常趋势特征数据的实测值-标准趋势特征阈值的最大值。
其中:节点设备第
Figure 195732DEST_PATH_IMAGE004
个运行指标的异常趋势特征数据异常连续值
Figure 787251DEST_PATH_IMAGE006
的计算方法为:
Figure 215958DEST_PATH_IMAGE010
其中,
Figure 601940DEST_PATH_IMAGE011
表示采样时间段内(例如5分钟内、10分钟内)中数据异常的时间点的数量;
Figure 381677DEST_PATH_IMAGE012
表示采样时间段内(例如5分钟内、10分钟内)中时间点的总数量,按照秒级划分时间点;
Figure 511307DEST_PATH_IMAGE013
表示包含连续异常趋势特征数据的时间段的总数量,连续异常趋势特征数据的时间段指的是在两个或两个以上时间点的区间内趋势特征数据均为异常;
Figure 794521DEST_PATH_IMAGE014
表示产生连续异常趋势特征数据的时长。
步骤S6,将运行异常的节点设备按照运行异常严重值从大到小进行排序,将排序后的异常节点设备发送给安全运维修复模块。
安全运维修复模块按照运行异常严重值从大到小的顺序对节点设备进行修复。
步骤S7,切断运行异常严重值超过预设阈值和带有网络攻击数据的节点设备与业务系统内其他节点设备的通信通道。
具体的,切断运行异常严重值超过预设阈值和带有网络攻击数据的节点设备与业务系统内其他节点设备的通信通道,并对运行异常严重值超过预设阈值和带有网络攻击数据的节点设备进行修复和防御升级操作。
安全运维修复模块切断带有网络攻击数据的网络数据流的传输通道,防止节点设备处于不安全的状态与其他节点设备进行数据交互,对带有网络攻击数据的被攻击节点设备进行防御升级操作,提高节点设备的安全性。
步骤S8,根据网络攻击数据,计算节点设备的攻击风险值。
其中,节点设备的攻击风险值的计算方法为:
Figure 882563DEST_PATH_IMAGE015
其中,
Figure 884017DEST_PATH_IMAGE016
表示节点设备的攻击风险值;
Figure 817338DEST_PATH_IMAGE017
表示网络攻击数据的总种类数;
Figure 955058DEST_PATH_IMAGE018
表示第
Figure 945492DEST_PATH_IMAGE019
种网络攻击数据的危险权重因子;
Figure 434242DEST_PATH_IMAGE020
表示第
Figure 905675DEST_PATH_IMAGE019
种网络攻击数据的数量;
Figure 163481DEST_PATH_IMAGE021
表示第
Figure 327746DEST_PATH_IMAGE019
种网络攻击数据的危险值。
步骤S9,将节点设备的攻击风险值按照从大到小进行排序,发送给安全运维修复模块。
安全运维修复模块依次对攻击风险值从大到小排序后的节点设备进行防御等级升级操作。
安全运维修复模块根据现有的修复方法对节点设备进行修复,或工作人员对安全运维修复模块中的节点设备进行修复。
本申请实现的有益效果如下:
(1)本申请采集业务系统中节点设备的运行状态数据,对采集的运行状态数据进行分析,快速定位运行异常节点设备,对运行异常节点设备进行修复,提高系统安全性。
(2)本申请采集业务系统中节点设备的网络攻击数据,对采集的网络攻击数据进行分析,快速定位被攻击节点设备,评估节点设备的攻击风险值,对攻击风险值较大的节点设备进行优先分配修复和防御升级,提高系统安全性和减少网络攻击造成的损失。
以上所述仅为本发明的实施方式而已,并不用于限制本发明。对于本领域技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原理内所做的任何修改、等同替换、改进等,均应包括在本发明的权利要求范围之内。

Claims (8)

1.一种基于大数据的信息安全运维管理系统,其特征在于,该系统包括:
节点数据采集模块,与业务系统中节点设备通信连接,用于采集业务系统中节点设备的运行状态数据和网络攻击数据,并标记运行状态数据和网络攻击数据的采集时间;
其中,运行状态数据包括运行电压、运行温度、运行功率、网络请求响应速度;
数据管控中心,用于与节点数据采集模块通信连接,将节点数据采集模块采集的数据按照节点设备的不同进行分开存储;
数据处理器,用于从数据管控中心获取运行状态数据,并将不同节点设备的运行状态数据中各个指标数据转换成随时间变化的运行趋势曲线;
特征提取模块,用于提取运行趋势曲线的趋势特征数据;
异常数据上报模块,用于将提取的趋势特征数据与标准趋势特征阈值进行比较分析,获取运行趋势曲线中的异常趋势特征数据,并生成包含异常趋势特征数据的趋势告警信息;
数据处理器,还用于根据运行趋势曲线中的异常趋势特征数据,计算节点设备的运行异常严重值;
其中,趋势特征数据包括各个时间点与前一时刻之间的趋势上限值、趋势下限值、增长斜率和下降斜率;
异常数据上报模块,还用于将运行异常的节点设备按照运行异常严重值从大到小进行排序,将排序后的异常节点设备发送给安全运维修复模块;
其中,节点设备的运行异常严重值的计算方法为:
Figure 992885DEST_PATH_IMAGE001
其中,
Figure 995476DEST_PATH_IMAGE002
表示节点设备的运行异常严重值;
Figure 518862DEST_PATH_IMAGE003
表示采集的节点设备的运行指标总种类数;
Figure 683127DEST_PATH_IMAGE004
表示节点设备第
Figure 393594DEST_PATH_IMAGE004
个运行指标;
Figure 934297DEST_PATH_IMAGE005
表示节点设备第
Figure 312188DEST_PATH_IMAGE004
个运行指标对其运行的影响权重;
Figure 709672DEST_PATH_IMAGE006
表示节点设备第
Figure 173014DEST_PATH_IMAGE004
个运行指标的异常趋势特征数据异常连续值;
Figure 517408DEST_PATH_IMAGE007
表示节点设备第
Figure 15385DEST_PATH_IMAGE004
个运行指标的异常趋势特征数据的总种类数量;
Figure 380507DEST_PATH_IMAGE008
表示节点设备第
Figure 596725DEST_PATH_IMAGE004
个运行指标的第
Figure 479230DEST_PATH_IMAGE008
种异常趋势特征数据;
Figure 831714DEST_PATH_IMAGE009
表示节点设备第
Figure 977525DEST_PATH_IMAGE004
个运行指标的第
Figure 415459DEST_PATH_IMAGE008
种异常趋势特征数据与标准趋势特征阈值的差值,若第
Figure 101656DEST_PATH_IMAGE008
种异常趋势特征数据小于标准趋势特征阈值的最小值,则
Figure 105384DEST_PATH_IMAGE009
=标准趋势特征阈值的最小值-第
Figure 218833DEST_PATH_IMAGE008
种异常趋势特征数据的实测值;若第
Figure 144064DEST_PATH_IMAGE008
种异常趋势特征数据大于标准趋势特征阈值的最小值,则
Figure 368372DEST_PATH_IMAGE009
=第
Figure 291853DEST_PATH_IMAGE008
种异常趋势特征数据的实测值-标准趋势特征阈值的最大值。
2.根据权利要求1所述的基于大数据的信息安全运维管理系统,其特征在于,该系统还包括:
通信通道切断模块,用于切断运行异常严重值超过预设阈值和带有网络攻击数据的节点设备与业务系统内其他节点设备的通信通道。
3.根据权利要求2所述的基于大数据的信息安全运维管理系统,其特征在于,
数据处理器,还用于根据网络攻击数据,计算节点设备的攻击风险值;
异常数据上报模块,还用于将节点设备的攻击风险值按照从大到小进行排序,发送给安全运维修复模块。
4.根据权利要求3所述的基于大数据的信息安全运维管理系统,其特征在于,该系统还包括安全运维修复模块,与异常数据上报模块通信连接,用于接收异常数据上报模块上报的数据,并根据异常数据上报模块上报的数据对相应的节点设备进行修复或防御升级。
5.一种基于大数据的信息安全运维管理方法,其特征在于,该方法包括:
采集业务系统中节点设备的运行状态数据和网络攻击数据,并标记运行状态数据和网络攻击数据的采集时间;
其中,运行状态数据包括运行电压、运行温度、运行功率、网络请求响应速度;
将不同节点设备的运行状态数据中各个指标数据转换成随时间变化的运行趋势曲线;
提取运行趋势曲线的趋势特征数据;
将提取的趋势特征数据与标准趋势特征阈值进行比较分析,获取运行趋势曲线中的异常趋势特征数据,并生成包含异常趋势特征数据的趋势告警信息;
根据运行趋势曲线中的异常趋势特征数据,计算节点设备的运行异常严重值;
其中,趋势特征数据包括各个时间点与前一时刻之间的趋势上限值、趋势下限值、增长斜率和下降斜率;
将运行异常的节点设备按照运行异常严重值从大到小进行排序,将排序后的异常节点设备发送给安全运维修复模块;
其中,节点设备的运行异常严重值的计算方法为:
Figure 576204DEST_PATH_IMAGE001
其中,
Figure 723152DEST_PATH_IMAGE002
表示节点设备的运行异常严重值;
Figure 485571DEST_PATH_IMAGE003
表示采集的节点设备的运行指标总种类数;
Figure 667154DEST_PATH_IMAGE004
表示节点设备第
Figure 122406DEST_PATH_IMAGE004
个运行指标;
Figure 615704DEST_PATH_IMAGE005
表示节点设备第
Figure 181815DEST_PATH_IMAGE004
个运行指标对其运行的影响权重;
Figure 217904DEST_PATH_IMAGE006
表示节点设备第
Figure 844057DEST_PATH_IMAGE004
个运行指标的异常趋势特征数据异常连续值;
Figure 762335DEST_PATH_IMAGE007
表示节点设备第
Figure 132136DEST_PATH_IMAGE004
个运行指标的异常趋势特征数据的总种类数量;
Figure 288311DEST_PATH_IMAGE008
表示节点设备第
Figure 85366DEST_PATH_IMAGE004
个运行指标的第
Figure 163043DEST_PATH_IMAGE008
种异常趋势特征数据;
Figure 70956DEST_PATH_IMAGE009
表示节点设备第
Figure 81638DEST_PATH_IMAGE004
个运行指标的第
Figure 908648DEST_PATH_IMAGE008
种异常趋势特征数据与标准趋势特征阈值的差值,若第
Figure 4780DEST_PATH_IMAGE008
种异常趋势特征数据小于标准趋势特征阈值的最小值,则
Figure 716384DEST_PATH_IMAGE009
=标准趋势特征阈值的最小值-第
Figure 847151DEST_PATH_IMAGE008
种异常趋势特征数据的实测值;若第
Figure 782746DEST_PATH_IMAGE008
种异常趋势特征数据大于标准趋势特征阈值的最小值,则
Figure 100595DEST_PATH_IMAGE009
=第
Figure 615890DEST_PATH_IMAGE008
种异常趋势特征数据的实测值-标准趋势特征阈值的最大值。
6.根据权利要求5所述的基于大数据的信息安全运维管理方法,其特征在于,该方法还包括:
切断运行异常严重值超过预设阈值和带有网络攻击数据的节点设备与业务系统内其他节点设备的通信通道。
7.根据权利要求6所述的基于大数据的信息安全运维管理方法,其特征在于,该方法还包括:
根据网络攻击数据,计算节点设备的攻击风险值;
将节点设备的攻击风险值按照从大到小进行排序,发送给安全运维修复模块。
8.根据权利要求7所述的基于大数据的信息安全运维管理方法,其特征在于,接收异常数据上报模块上报的数据,并根据异常数据上报模块上报的数据对相应的节点设备进行修复或防御升级。
CN202210941976.3A 2022-08-08 2022-08-08 一种基于大数据的信息安全运维管理系统及方法 Active CN115001877B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210941976.3A CN115001877B (zh) 2022-08-08 2022-08-08 一种基于大数据的信息安全运维管理系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210941976.3A CN115001877B (zh) 2022-08-08 2022-08-08 一种基于大数据的信息安全运维管理系统及方法

Publications (2)

Publication Number Publication Date
CN115001877A CN115001877A (zh) 2022-09-02
CN115001877B true CN115001877B (zh) 2022-12-09

Family

ID=83023183

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210941976.3A Active CN115001877B (zh) 2022-08-08 2022-08-08 一种基于大数据的信息安全运维管理系统及方法

Country Status (1)

Country Link
CN (1) CN115001877B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115622055B (zh) * 2022-12-19 2023-04-25 睿至科技集团有限公司 一种能源系统的故障识别恢复方法及系统
CN116389304B (zh) * 2023-04-12 2024-05-24 国网湖北省电力有限公司荆州供电公司 基于sg-tms的网络运行状态趋势分析系统
CN116707874B (zh) * 2023-05-25 2023-12-15 杭州金诚信息安全科技有限公司 一种网上信息安全综合分析与监控系统及方法
CN116503054B (zh) * 2023-06-26 2023-10-13 睿至科技集团有限公司 一种基于大数据的设备统一运维平台及方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107493265A (zh) * 2017-07-24 2017-12-19 南京南瑞集团公司 一种面向工业控制系统的网络安全监控方法
CN109634801A (zh) * 2018-10-31 2019-04-16 深圳壹账通智能科技有限公司 数据趋势分析方法、系统、计算机装置及可读存储介质
WO2020093637A1 (zh) * 2018-11-09 2020-05-14 平安科技(深圳)有限公司 设备状态预测方法、系统、计算机装置及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11561960B2 (en) * 2019-08-13 2023-01-24 T-Mobile Usa, Inc. Key performance indicator-based anomaly detection

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107493265A (zh) * 2017-07-24 2017-12-19 南京南瑞集团公司 一种面向工业控制系统的网络安全监控方法
CN109634801A (zh) * 2018-10-31 2019-04-16 深圳壹账通智能科技有限公司 数据趋势分析方法、系统、计算机装置及可读存储介质
WO2020087829A1 (zh) * 2018-10-31 2020-05-07 深圳壹账通智能科技有限公司 数据趋势分析方法、系统、计算机装置及可读存储介质
WO2020093637A1 (zh) * 2018-11-09 2020-05-14 平安科技(深圳)有限公司 设备状态预测方法、系统、计算机装置及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于状态评估的智能配电网态势感知方法研究;金明辉;《电网与清洁能源》;20200525(第05期);全文 *

Also Published As

Publication number Publication date
CN115001877A (zh) 2022-09-02

Similar Documents

Publication Publication Date Title
CN115001877B (zh) 一种基于大数据的信息安全运维管理系统及方法
CN112651006B (zh) 一种电网安全态势感知系统
CN110222525B (zh) 数据库操作审计方法、装置、电子设备及存储介质
CN104937886B (zh) 日志分析装置、信息处理方法
CN114978770B (zh) 基于大数据的物联网安全风险预警管控方法及系统
KR100561628B1 (ko) 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법
US7752663B2 (en) Log analysis system, method and apparatus
KR100838799B1 (ko) 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
KR101375813B1 (ko) 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법
CN106953833A (zh) 一种DDoS攻击检测系统
CN103607291A (zh) 用于电力二次系统内网安全监视平台的告警解析归并方法
CN114553537A (zh) 一种面向工业互联网的异常流量监测方法和系统
KR101281456B1 (ko) 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법
CN114640548A (zh) 一种基于大数据的网络安全感知和预警的方法及系统
Aminanto et al. Automated threat-alert screening for battling alert fatigue with temporal isolation forest
CN114125083B (zh) 工业网络分布式数据采集方法、装置、电子设备及介质
CN117395076A (zh) 基于大数据的网络感知异常检测系统与方法
KR20080079767A (ko) 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법
CN116866012A (zh) 电力设施管理平台的网络风险监测方法及系统
CN102104606B (zh) 一种内网蠕虫主机检测方法
CN117560196A (zh) 一种智慧变电站二次系统测试系统及方法
CN111865951A (zh) 一种基于数据包特征提取的网络数据流异常检测方法
CN116614258A (zh) 一种安全态势感知系统的网络危险预测模型
CN115525897A (zh) 终端设备的系统检测方法、装置、电子装置和存储介质
CN115706669A (zh) 网络安全态势预测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant