CN115168604A - 一种基于知识图谱的电力监控系统处理方法及装置 - Google Patents
一种基于知识图谱的电力监控系统处理方法及装置 Download PDFInfo
- Publication number
- CN115168604A CN115168604A CN202210740373.7A CN202210740373A CN115168604A CN 115168604 A CN115168604 A CN 115168604A CN 202210740373 A CN202210740373 A CN 202210740373A CN 115168604 A CN115168604 A CN 115168604A
- Authority
- CN
- China
- Prior art keywords
- data
- knowledge
- monitoring system
- power monitoring
- safety data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 111
- 238000003672 processing method Methods 0.000 title claims abstract description 20
- 231100000279 safety data Toxicity 0.000 claims abstract description 124
- 238000012545 processing Methods 0.000 claims abstract description 40
- 238000000034 method Methods 0.000 claims abstract description 39
- 238000004364 calculation method Methods 0.000 claims abstract description 24
- 238000007499 fusion processing Methods 0.000 claims abstract description 23
- 230000002159 abnormal effect Effects 0.000 claims description 42
- 230000008569 process Effects 0.000 claims description 17
- 230000005856 abnormality Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 13
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 11
- 238000004458 analytical method Methods 0.000 claims description 10
- 230000008859 change Effects 0.000 claims description 10
- 238000000605 extraction Methods 0.000 claims description 8
- 230000006399 behavior Effects 0.000 claims description 7
- 230000010354 integration Effects 0.000 claims description 7
- 238000010219 correlation analysis Methods 0.000 claims description 5
- 230000008520 organization Effects 0.000 claims description 5
- 230000002093 peripheral effect Effects 0.000 claims description 5
- 238000010276 construction Methods 0.000 claims description 2
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 238000005065 mining Methods 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 6
- 241000700605 Viruses Species 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000004927 fusion Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000009412 basement excavation Methods 0.000 description 1
- 230000001149 cognitive effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/31—Indexing; Data structures therefor; Storage structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/33—Querying
- G06F16/335—Filtering based on additional data, e.g. user or group profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Economics (AREA)
- Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Public Health (AREA)
- Water Supply & Treatment (AREA)
- Animal Behavior & Ethology (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Software Systems (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种基于知识图谱的电力监控系统处理方法及装置,根据电力监控系统的数据分类,获取电力监控系统的安全数据;对电力监控系统的安全数据进行数据处理,生成三元组安全数据;对三元组安全数据进行知识融合处理,生成对安全数据的完整描述知识;基于对安全数据的完整描述知识,构建电力监控系统的知识图谱;根据电力监控系统的知识图谱,进行知识计算,获取安全数据的标签,根据标签生成安全数据画像。本发明有效地分析电力监控系统中的行为数据,构建知识图谱并进行高效存储,利用知识图谱构建客体画像,有助于深度挖掘攻击行为和威胁风险。
Description
技术领域
本发明涉及一种基于知识图谱的电力监控系统处理方法及装置,属于电力监控系统技术领域。
背景技术
近年来,随着通信技术的快速发展和终端设备硬件能力的飞速提升,互联网环境中的数据量以指数级的速度增长,进入了大数据时代。与此同时,网络攻击对于现代互联网的威胁也愈发严重,各种网络病毒感染计算机软件,窃取用户和企业数据,涉及个人、金融、能源和交通等多个领域。因此,为了解决网络攻击问题,基于大数据的网络威胁情报分析尤为重要。
威胁情报分析是通过对大数据、分布式系统或其他方式收集到的数据分析,这些数据包括安全攻击威胁、攻击者、恶意软件等危害指标,将分析结果用于新兴的或现有未解决的网络攻击,做出合适的决策和反应。自2014年起,威胁情报分析成为了网络安全领域的研究热点。
为了在电力系统中保证网络空间安全,电力监控系统通过部署防火墙、入侵检测等等多种业务系统实时监测网络中的各种安全威胁,会产生大量的告警信息、检测日志等网络安全数据。网络空间中也存在着海量的安全信息、病毒和漏洞信息等,这些数据之间碎片化严重,缺少一定的联系。
目前,电力监控系统中对于网络安全数据的知识图谱应用还较少,如何利用知识图谱强大的深度知识推理和扩展认知能力,有效地在电力监控系统中实现对网络流、安全日志等信息整合与抽取,构建客体画像是本领域技术人员急需要解决的技术问题。
发明内容
目的:为了克服现有技术中存在的不足,本发明提供一种基于知识图谱的电力监控系统处理方法及装置。
技术方案:为解决上述技术问题,本发明采用的技术方案为:
第一方面,一种基于知识图谱的电力监控系统处理方法,包括如下步骤:
根据电力监控系统的数据分类,获取电力监控系统的历史安全数据。
对电力监控系统的历史安全数据进行数据处理,生成三元组安全数据。
对三元组安全数据进行知识融合处理,生成对历史安全数据的完整描述知识。
基于完整描述知识,构建电力监控系统的知识图谱。
根据电力监控系统的知识图谱,进行知识计算,获取待处理安全数据的标签,根据标签生成安全数据画像。
作为可选方案,还包括:通过图查询语法对安全数据画像进行查询,获取异常行为、异常实体,并对异常行为、异常实体进行可视化展示。
作为可选方案,所述电力监控系统的数据分类,包括原始采集项、异常采集项。
作为可选方案,所述根据电力监控系统的数据分类,获取电力监控系统的历史安全数据,包括:
AGENT利用监视方式获取原始采集项的数据,至少包括以下其中之一,进程信息、网络信息、日志信息、文件完整性和访问行为信息、外设信息、自动运行信息、软件信息、硬件信息、服务信息、会话信息和用户信息。
AGENT利用威胁分析模块获取异常采集项的数据,至少包括以下其中之一,资源异常、账号变更、权限变更、关键目录异常、启动项异常、可疑文件、可疑进程启动、可疑服务注册、安装可疑软件。
作为可选方案,所述对电力监控系统的历史安全数据进行数据处理,生成三元组安全数据,包括:
根据原始采集项的数据的数据关系转换成RDF数据,即三元组安全数据。
根据异常采集项的数据,获取其异常规则,根据异常规则进行关系抽取,将关系抽取后的异常规则转换成RDF数据,即三元组安全数据。
作为可选方案,所述对三元组安全数据进行知识融合处理,生成对历史安全数据的完整描述知识,包括:
对三元组安全数据进行数据整合处理,生成与三元组安全数据对应的完整数据描述,对三元组安全数据的完整数据描述,进行实体对齐处理和属性对齐处理,生成标准知识表示,对标准知识表示进行数据融合处理,生成对安全数据的完整描述知识。
作为可选方案,所述基于对历史安全数据的完整描述知识,构建电力监控系统的知识图谱,包括:
基于对历史安全数据的完整描述知识,确定与三元组安全数据对应的安全数据信息库,再将安全数据信息库中数据采用Neo4j结构保存为电力监控系统的知识图谱。
所述安全数据信息库以json文件的形式进行存储,json文件包括根节点、根节点属性,所述根节点采用圆角矩形框的形式,圆角矩形框内设置有数据对象中的类。根节点通过直线连接与数据对象相关的根节点或者本根节点属性。
所述Neo4j结构包括节点、边、节点与节点的关系,其中,节点包括:“Graph” 客体画像、“Nodes”节点主体、“Relationships”节点关系、“Properties”属性,节点之间通过边相连接,边上显示有节点与节点的关系,包括:“records”记录、“organize”组织、“have”属于。
作为可选方案,所述根据电力监控系统的知识图谱,进行知识计算,获取待处理安全数据的标签,根据标签生成安全数据画像,包括:
根据电力监控系统的知识图谱,进行知识计算,获取待处理安全数据的标签,所述知识计算包括相似度计算和关联分析。
所述安全数据画像G=(V,E),其中V表示点集,E表示边集。安全数据画像G包括如下性质:
1)对任意节点n∈V,n有唯一id,n表示安全数据的对象,有若干条出边,有若干条入边,有若干个属性,其中每个属性都是一个key-value对。
2)对任意边e∈E,e有唯一id,e表示安全数据的对象之间有关联,有唯一头节点,有唯一尾节点,边上显示有唯一的标签,标签有若干个属性,其中每个属性都是一个key-value对。
第二方面,一种基于知识图谱的电力监控系统处理装置,包括如下模块:
安全数据获取模块:用于根据电力监控系统的数据分类,获取电力监控系统的历史安全数据。
三元组生成模块:用于对电力监控系统的历史安全数据进行数据处理,生成三元组安全数据。
完整描述知识生成模块:用于对三元组安全数据进行知识融合处理,生成对历史安全数据的完整描述知识。
知识图谱构建模块:用于基于完整描述知识,构建电力监控系统的知识图谱。
安全数据画像生成模块:用于根据电力监控系统的知识图谱,进行知识计算,获取待处理安全数据的标签,根据标签生成安全数据画像。
作为可选方案,还包括:异常数据获取模块:用于通过图查询语法对安全数据画像进行查询,获取异常行为、异常实体,并对异常行为、异常实体进行可视化展示。
作为可选方案,所述电力监控系统的数据分类,包括原始采集项、异常采集项。
作为可选方案,所述安全数据获取模块,包括:
AGENT利用监视方式获取原始采集项的数据,至少包括以下其中之一,进程信息、网络信息、日志信息、文件完整性和访问行为信息、外设信息、自动运行信息、软件信息、硬件信息、服务信息、会话信息和用户信息。
AGENT利用威胁分析模块获取异常采集项的数据,至少包括以下其中之一,资源异常、账号变更、权限变更、关键目录异常、启动项异常、可疑文件、可疑进程启动、可疑服务注册、安装可疑软件。
作为可选方案,所述三元组生成模块,包括:
根据原始采集项的数据的数据关系转换成RDF数据,即三元组安全数据。
根据异常采集项的数据,获取其异常规则,根据异常规则进行关系抽取,将关系抽取后的异常规则转换成RDF数据,即三元组安全数据。
作为可选方案,所述完整描述知识生成模块,包括:
对三元组安全数据进行数据整合处理,生成与三元组安全数据对应的完整数据描述,对三元组安全数据的完整数据描述,进行实体对齐处理和属性对齐处理,生成标准知识表示,对标准知识表示进行数据融合处理,生成对安全数据的完整描述知识。
作为可选方案,所述知识图谱构建模块,包括:
基于对历史安全数据的完整描述知识,确定与三元组安全数据对应的安全数据信息库,再将安全数据信息库中数据采用Neo4j结构保存为电力监控系统的知识图谱。
所述安全数据信息库以json文件的形式进行存储,json文件包括根节点、根节点属性,所述根节点采用圆角矩形框的形式,圆角矩形框内设置有数据对象中的类。根节点通过直线连接与数据对象相关的根节点或者本根节点属性。
所述Neo4j结构包括节点、边、节点与节点的关系,其中,节点包括:“Graph” 客体画像、“Nodes”节点主体、“Relationships”节点关系、“Properties”属性,节点之间通过边相连接,边上显示有节点与节点的关系,包括:“records”记录、“organize”组织、“have”属于。
作为可选方案,所述安全数据画像生成模块,包括:
根据电力监控系统的知识图谱,进行知识计算,获取待处理安全数据的标签,所述知识计算包括相似度计算和关联分析。
所述安全数据画像G=(V,E),其中V表示点集,E表示边集。安全数据画像G包括如下性质:
1)对任意节点n∈V,n有唯一id,n表示安全数据的对象,有若干条出边,有若干条入边,有若干个属性,其中每个属性都是一个key-value对。
2)对任意边e∈E,e有唯一id,e表示安全数据的对象之间有关联,有唯一头节点,有唯一尾节点,边上显示有唯一的标签,标签有若干个属性,其中每个属性都是一个key-value对。
第三方面,一种基于知识图谱的电力监控系统处理系统,包括网络接口、存储器和处理器,其中:
网络接口用于在与其它外部网元之间进行收发信息过程中,信号的接收和发送;
存储器用于存储能够在所述处理器上运行的计算机程序指令;
处理器用于在运行所述计算机程序指令时,执行第一方面所述的基于知识图谱的电力监控系统处理方法的步骤。
第四方面,一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时,实现如第一方面所述的基于知识图谱的电力监控系统处理方法。
有益效果:本发明提供的一种基于知识图谱的电力监控系统处理方法及装置,有效地分析电力监控系统中的行为数据,构建知识图谱并进行高效存储,利用知识图谱构建客体画像,有助于深度挖掘攻击行为和威胁风险。
另外,本发明通过利用智能分析语义网络对客体画像进行查询,获取异常行为,能够提高实时数据处理的效率,大大减轻工作量和节约人工成本。
附图说明
图1是第一种实施例本发明方法的流程示意图。
图2是安全数据信息库的json文件存储结构示意图。
图3是电力监控系统的知识图谱的Neo4j结构示意图。
图4是安全数据画像的结构示意图。
图5是第二种实施例本发明装置的结构示意图。
具体实施方式
下面结合具体实施例对本发明作更进一步的说明。
如图1所示,第一种实施例一种基于知识图谱的电力监控系统处理方法,包括如下步骤:
步骤1:根据电力监控系统的数据分类,获取电力监控系统的安全数据。
电力监控系统的数据分类,包括原始采集项、异常采集项。
AGENT利用“系统日志监视”、“文件完整性和访问监视”、“内置指令监视”、“进程监视”、“网络流量监视”、“会话监视”和“中间件监视”等多种监视方式获取原始采集项的数据,至少包括以下其中之一,进程信息、网络信息、日志信息、文件完整性和访问行为信息、外设信息、自动运行信息、软件信息、硬件信息、服务信息、会话信息和用户信息。
AGENT利用威胁分析模块获取异常采集项的数据,至少包括以下其中之一,资源异常、账号变更、权限变更、关键目录异常、启动项异常、可疑文件、可疑进程启动、可疑服务注册、安装可疑软件。
步骤2:对电力监控系统的安全数据进行数据处理,生成三元组安全数据。
原始采集项的数据,根据数据关系转换成RDF数据,即三元组安全数据。
异常采集项的数据,获取其异常规则,根据异常规则进行关系抽取,将关系抽取后的异常规则转换成RDF数据,即三元组安全数据。
步骤3:对三元组安全数据进行知识融合处理,生成对安全数据的完整描述知识。
对三元组安全数据进行知识融合处理,知识融合处理包括数据整合处理、知识消歧处理以及数据融合处理。通过对三元组安全数据进行数据整合处理,生成与三元组安全数据对应的完整数据描述,进而对三元组安全数据的完整数据描述,进行实体对齐处理和属性对齐处理,生成标准知识表示,从而可对标准知识表示进行数据融合处理,生成对安全数据的完整描述知识。知识融合表示将多个知识库中的知识进行整合,形成一个知识库的过程。
步骤4:基于对安全数据的完整描述知识,构建电力监控系统的知识图谱。
基于对安全数据的完整描述知识,确定与三元组安全数据对应的安全数据信息库,再将安全数据信息库中数据采用Neo4j结构保存为电力监控系统的知识图谱。
所述安全数据信息库以json文件的形式进行存储,json文件包括根节点、根节点属性,所述根节点采用圆角矩形框的形式,圆角矩形框内设置有数据对象中的类。根节点通过直线连接与数据对象相关的根节点或者本根节点属性。
如图2所示,根节点为“Root Object”包括的根节点属性包括“domain”域名、“port”端口、“level”层级。与“Root Object”相关联的根节点包括“web_data”网络数据、“servers”服务器,其中“web_data”作为数据对象的根节点属性包括“header”页眉、“index_url”地址索引、“index_page_title”页面标题索引、“emails”邮件、“device_type”设备类型,与该根节点相关联的根节点包括“outer_domains”外网域名、“relative_domains”关联域名、“web_componments”网络组件、“web_server”网络服务器,其中“web_componments”作为数据对象的根节点属性包括“name”名称、“version”版本,“web_server”作为数据对象的根节点属性包括“name”名称、“type”类型、“version”版本。其中,“servers”作为数据对象的根节点属性包括“ip”ip地址、“os”操作系统、“country”国家、“city”城市,与该根节点相关联的根节点包括“web_server”,其中,“web_server”作为数据对象的根节点属性包括“port”端口、“protocol”协议、“services”服务器。
如图3所示,Neo4j结构包括节点、边、节点与节点的关系,其中,节点包括:“Graph”客体画像、“Nodes”节点主体、“Relationships”节点关系、“Properties”属性,节点之间通过边相连接,边上显示有节点与节点的关系,包括:“records”记录、“organize”组织、“have”属于。
步骤5:根据电力监控系统的知识图谱,进行知识计算,获取安全数据的标签,根据标签生成安全数据画像。
根据电力监控系统的知识图谱,进行知识计算,获取安全数据的标签,所述知识计算包括相似度计算和关联分析。
所述安全数据画像G=(V,E),其中V表示点集,E表示边集。安全数据画像G包括如下性质:
1)对任意节点n∈V,n有唯一id,n表示安全数据的对象,有若干条出边,有若干条入边,有若干个属性,其中每个属性都是一个key-value对,如图4中id为1的对象,其属性包括:名称、类型、职能等。
2)对任意边e∈E,e有唯一id,e表示安全数据的对象之间有关联,有唯一头节点,有唯一尾节点,边上显示有唯一的标签,标签有若干个属性,其中每个属性都是一个key-value对,如图4中标签的属性包括:用途,获取时间。
步骤6:通过图查询语法对安全数据画像进行查询,获取异常行为、异常实体,并对异常行为、异常实体进行可视化展示。
如图5所示,第二种实施例一种基于知识图谱的电力监控系统处理装置,包括如下模块:
安全数据获取模块101:用于根据电力监控系统的数据分类,获取电力监控系统的安全数据。
电力监控系统的数据分类,包括原始采集项、异常采集项。
AGENT利用“系统日志监视”、“文件完整性和访问监视”、“内置指令监视”、“进程监视”、“网络流量监视”、“会话监视”和“中间件监视”等多种监视方式获取原始采集项的数据,至少包括以下其中之一,进程信息、网络信息、日志信息、文件完整性和访问行为信息、外设信息、自动运行信息、软件信息、硬件信息、服务信息、会话信息和用户信息。
AGENT利用威胁分析模块获取异常采集项的数据,至少包括以下其中之一,资源异常、账号变更、权限变更、关键目录异常、启动项异常、可疑文件、可疑进程启动、可疑服务注册、安装可疑软件。
三元组生成模块102:用于对电力监控系统的安全数据进行数据处理,生成三元组安全数据。
原始采集项的数据,根据数据关系转换成RDF数据,即三元组安全数据。
异常采集项的数据,获取其异常规则,根据异常规则进行关系抽取,将关系抽取后的异常规则转换成RDF数据,即三元组安全数据。
完整描述知识生成模块103:用于对三元组安全数据进行知识融合处理,生成对安全数据的完整描述知识。
对三元组安全数据进行知识融合处理,知识融合处理包括数据整合处理、知识消歧处理以及数据融合处理。通过对三元组安全数据进行数据整合处理,生成与三元组安全数据对应的完整数据描述,进而对三元组安全数据的完整数据描述,进行实体对齐处理和属性对齐处理,生成标准知识表示,从而可对标准知识表示进行数据融合处理,生成对安全数据的完整描述知识。知识融合表示将多个知识库中的知识进行整合,形成一个知识库的过程。
知识图谱构建模块104:用于基于对安全数据的完整描述知识,构建电力监控系统的知识图谱。
基于对安全数据的完整描述知识,确定与三元组安全数据对应的安全数据信息库,再将安全数据信息库中数据采用Neo4j结构保存为电力监控系统的知识图谱。
所述安全数据信息库以json文件的形式进行存储,json文件包括根节点、根节点属性,所述根节点采用圆角矩形框的形式,圆角矩形框内设置有数据对象中的类。根节点通过直线连接与数据对象相关的根节点或者本根节点属性。
如图2所示,根节点为“Root Object”包括的根节点属性包括“domain”域名、“port”端口、“level”层级。与“Root Object”相关联的根节点包括“web_data”网络数据、“servers”服务器,其中“web_data”作为数据对象的根节点属性包括“header”页眉、“index_url”地址索引、“index_page_title”页面标题索引、“emails”邮件、“device_type”设备类型,与该根节点相关联的根节点包括“outer_domains”外网域名、“relative_domains”关联域名、“web_componments”网络组件、“web_server”网络服务器,其中“web_componments”作为数据对象的根节点属性包括“name”名称、“version”版本,“web_server”作为数据对象的根节点属性包括“name”名称、“type”类型、“version”版本。其中,“servers”作为数据对象的根节点属性包括“ip”ip地址、“os”操作系统、“country”国家、“city”城市,与该根节点相关联的根节点包括“web_server”,其中,“web_server”作为数据对象的根节点属性包括“port”端口、“protocol”协议、“services”服务器。
如图3所示,Neo4j结构包括节点、边、节点与节点的关系,其中,节点包括:“Graph”客体画像、“Nodes”节点主体、“Relationships”节点关系、“Properties”属性,节点之间通过边相连接,边上显示有节点与节点的关系,包括:“records”记录、“organize”组织、“have”属于。
安全数据画像生成模块105:用于根据电力监控系统的知识图谱,进行知识计算,获取安全数据的标签,根据标签生成安全数据画像。
根据电力监控系统的知识图谱,进行知识计算,获取安全数据的标签,所述知识计算包括相似度计算和关联分析。
所述安全数据画像G=(V,E),其中V表示点集,E表示边集。安全数据画像G包括如下性质:
1)对任意节点n∈V,n有唯一id,n表示安全数据的对象,有若干条出边,有若干条入边,有若干个属性,其中每个属性都是一个key-value对,如图4中id为1的对象,其属性包括:名称、类型、职能等。
2)对任意边e∈E,e有唯一id,e表示安全数据的对象之间有关联,有唯一头节点,有唯一尾节点,边上显示有唯一的标签,标签有若干个属性,其中每个属性都是一个key-value对,如图4中标签的属性包括:用途,获取时间。
异常数据获取模块106:用于通过图查询语法对安全数据画像进行查询,获取异常行为、异常实体,并对异常行为、异常实体进行可视化展示。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (11)
1.一种基于知识图谱的电力监控系统处理方法,其特征在于:包括如下步骤:
根据电力监控系统的数据分类,获取电力监控系统的历史安全数据;
对电力监控系统的历史安全数据进行数据处理,生成三元组安全数据;
对三元组安全数据进行知识融合处理,生成对历史安全数据的完整描述知识;
基于完整描述知识,构建电力监控系统的知识图谱;
根据电力监控系统的知识图谱,进行知识计算,获取待处理安全数据的标签,根据标签生成安全数据画像。
2.根据权利要求1所述的一种基于知识图谱的电力监控系统处理方法,其特征在于:
还包括:通过图查询语法对安全数据画像进行查询,获取异常行为、异常实体,并对异常行为、异常实体进行可视化展示。
3.根据权利要求1所述的一种基于知识图谱的电力监控系统处理方法,其特征在于:所述电力监控系统的数据分类,包括原始采集项、异常采集项。
4.根据权利要求1所述的一种基于知识图谱的电力监控系统处理方法,其特征在于:所述根据电力监控系统的数据分类,获取电力监控系统的历史安全数据,包括:
AGENT利用监视方式获取原始采集项的数据,至少包括以下其中之一,进程信息、网络信息、日志信息、文件完整性和访问行为信息、外设信息、自动运行信息、软件信息、硬件信息、服务信息、会话信息和用户信息;
AGENT利用威胁分析模块获取异常采集项的数据,至少包括以下其中之一,资源异常、账号变更、权限变更、关键目录异常、启动项异常、可疑文件、可疑进程启动、可疑服务注册、安装可疑软件。
5.根据权利要求1所述的一种基于知识图谱的电力监控系统处理方法,其特征在于:所述对电力监控系统的历史安全数据进行数据处理,生成三元组安全数据,包括:
根据原始采集项的数据的数据关系转换成RDF数据;
根据异常采集项的数据,获取其异常规则,根据异常规则进行关系抽取,将关系抽取后的异常规则转换成RDF数据,将RDF数据作为三元组安全数据。
6.根据权利要求1所述的一种基于知识图谱的电力监控系统处理方法,其特征在于:所述对三元组安全数据进行知识融合处理,生成对历史安全数据的完整描述知识,包括:
对三元组安全数据进行数据整合处理,生成与三元组安全数据对应的完整数据描述,对三元组安全数据的完整数据描述,进行实体对齐处理和属性对齐处理,生成标准知识表示,对标准知识表示进行数据融合处理,生成对历史安全数据的完整描述知识。
7.根据权利要求1所述的一种基于知识图谱的电力监控系统处理方法,其特征在于:所述基于对历史安全数据的完整描述知识,构建电力监控系统的知识图谱,包括:
基于对历史安全数据的完整描述知识,确定与三元组安全数据对应的安全数据信息库,再将安全数据信息库中数据采用Neo4j结构保存为电力监控系统的知识图谱;
所述安全数据信息库以json文件的形式进行存储,json文件包括根节点、根节点属性,所述根节点采用圆角矩形框的形式,圆角矩形框内设置有数据对象中的类;根节点通过直线连接与数据对象相关的根节点或者本根节点属性;
所述Neo4j结构包括节点、边、节点与节点的关系,其中,节点包括:“Graph” 客体画像、“Nodes”节点主体、“Relationships”节点关系、“Properties”属性,节点之间通过边相连接,边上显示有节点与节点的关系,包括:“records”记录、“organize”组织、“have”属于。
8.根据权利要求1所述的一种基于知识图谱的电力监控系统处理方法,其特征在于:所述根据电力监控系统的知识图谱,进行知识计算,获取待处理安全数据的标签,根据标签生成安全数据画像,包括:
根据电力监控系统的知识图谱,进行知识计算,获取待处理安全数据的标签,所述知识计算包括相似度计算和关联分析;
所述安全数据画像G=(V,E),其中V表示点集,E表示边集;安全数据画像G包括如下性质:
1)对任意节点n∈V,n有唯一id,n表示安全数据的对象,有若干条出边,有若干条入边,有若干个属性,其中每个属性都是一个key-value对;
2)对任意边e∈E,e有唯一id,e表示安全数据的对象之间有关联,有唯一头节点,有唯一尾节点,边上显示有唯一的标签,标签有若干个属性,其中每个属性都是一个key-value对。
9.一种基于知识图谱的电力监控系统处理装置,其特征在于:包括如下模块:
安全数据获取模块:用于根据电力监控系统的数据分类,获取电力监控系统的历史安全数据;
三元组生成模块:用于对电力监控系统的历史安全数据进行数据处理,生成三元组安全数据;
完整描述知识生成模块:用于对三元组安全数据进行知识融合处理,生成对历史安全数据的完整描述知识;
知识图谱构建模块:用于基于完整描述知识,构建电力监控系统的知识图谱;
安全数据画像生成模块:用于根据电力监控系统的知识图谱,进行知识计算,获取待处理安全数据的标签,根据标签生成安全数据画像。
10.一种基于知识图谱的电力监控系统处理系统,其特征在于:包括网络接口、存储器和处理器,其中:
网络接口用于在与其它外部网元之间进行收发信息过程中,信号的接收和发送;
存储器用于存储能够在所述处理器上运行的计算机程序指令;
处理器用于在运行所述计算机程序指令时,执行权利要求1至8任一项所述的基于知识图谱的电力监控系统处理方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时,实现如权利要求1-8中任一所述的基于知识图谱的电力监控系统处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210740373.7A CN115168604A (zh) | 2022-06-28 | 2022-06-28 | 一种基于知识图谱的电力监控系统处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210740373.7A CN115168604A (zh) | 2022-06-28 | 2022-06-28 | 一种基于知识图谱的电力监控系统处理方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115168604A true CN115168604A (zh) | 2022-10-11 |
Family
ID=83487604
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210740373.7A Pending CN115168604A (zh) | 2022-06-28 | 2022-06-28 | 一种基于知识图谱的电力监控系统处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115168604A (zh) |
-
2022
- 2022-06-28 CN CN202210740373.7A patent/CN115168604A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
CN112738016A (zh) | 一种面向威胁场景的智能化安全事件关联分析系统 | |
US7624448B2 (en) | Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data | |
Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
Sikos | AI in digital forensics: Ontology engineering for cybercrime investigations | |
CN110351280A (zh) | 一种威胁情报提取的方法、系统、设备及可读存储介质 | |
CN109379390B (zh) | 一种基于全流量的网络安全基线生成方法 | |
Zhang et al. | A survey of security visualization for computer network logs | |
Vaarandi et al. | Using security logs for collecting and reporting technical security metrics | |
CN110708292A (zh) | Ip处理方法、装置、介质、电子设备 | |
Wang et al. | A centralized HIDS framework for private cloud | |
Grahn et al. | Analytics for network security: A survey and taxonomy | |
Ring et al. | A toolset for intrusion and insider threat detection | |
El Arass et al. | Smart SIEM: From big data logs and events to smart data alerts | |
CN113938401A (zh) | 一种舰艇网络安全可视化系统 | |
CN112714118B (zh) | 网络流量检测方法和装置 | |
CN113507461B (zh) | 基于大数据的网络监控系统及网络监控方法 | |
Skendžić et al. | Management and monitoring security events in a business organization-siem system | |
Lagraa et al. | A review on graph-based approaches for network security monitoring and botnet detection | |
CN115168604A (zh) | 一种基于知识图谱的电力监控系统处理方法及装置 | |
[Retracted] Design of a Network Security Audit System Based on Log Data Mining | ||
Garcia et al. | Towards a better labeling process for network security datasets | |
Lysenko et al. | Botnet Detection Approach Based on DNS. | |
CN104113841A (zh) | 一种针对移动互联网Botnet的虚拟化检测系统及检测方法 | |
Boonyopakorn | Applying Data Analytics to Findings of User Behaviour Usage in Network Systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |