技术摘要:
本发明公开了网络安全管理技术领域的一种基于大数据的网络安全行为识别方法及系统,旨在解决现有技术中制订风险行为判据主要通过运维人员手动配置黑名单的方式,既无科学依据,同时对于可能存在的风险行为无法穷尽,存在明显局限性,不利于保证电力系统安全的技术问题 全部
背景技术:
网络安全管理平台中,为避免用户错误操作或超权限操作,需要通过监测装置根 据风险行为判据对所采集到的操作日志进行判断,确认对应的操作行为是否为风险行为, 以便采取对应的保护措施。 目前,制订风险行为判据主要通过运维人员手动配置黑名单的方式,黑名单大多 采用出厂默认设置或者运维人员根据个人经验设置,既无科学依据,同时对于可能存在的 风险行为无法穷尽,存在明显局限性,不利于保证电力系统安全。
技术实现要素:
针对现有技术的不足,本发明的目的在于提供一种基于大数据的网络安全行为识 别方法及系统,以解决现有技术中制订风险行为判据主要通过运维人员手动配置黑名单的 方式,既无科学依据,同时对于可能存在的风险行为无法穷尽,存在明显局限性,不利于保 证电力系统安全的技术问题。 为解决上述技术问题,本发明所采用的技术方案是: 一种基于大数据的网络安全行为识别方法,包括如下步骤: 基于历史数据构建正常行为模型; 基于正常行为模型对用户的行为进行识别,生成对应的风险等级,所述风险等级 包括高风险行为。 进一步地,所述正常行为模型的构建方法包括K-means算法和SVM算法。 进一步地,基于历史数据构建正常行为模型,包括: 采集用户行为历史数据,构建用户行为数据库; 对用户行为数据库进行关联分析,构建基于用户身份的行为数据集合; 对行为数据集合进行抽象处理,提取用户的日常行为基本特征值,构建基于用户 身份的用户行为特征集合; 结合用户角色的授权信息,对不少于两个行为特征集合进行聚类分析,构建基于 用户角色的用户行为基准特征库。 进一步地,基于正常行为模型对用户的行为进行识别,包括: 对用户的行为与用户行为基准特征库进行比对,判定用户的角色类别。 进一步地,用户的行为包括操作目录或/和操作命令;基于正常行为模型对用户的 行为进行识别,还包括: 对用户的行为与用户行为数据库进行比对,如果用户的行为不符合用户行为数据 库中的任何操作目录或/和操作命令,判定为高风险行为。 4 CN 111597549 A 说 明 书 2/5 页 进一步地,基于正常行为模型对用户的行为进行识别,还包括: 对用户的行为与判定的角色类别所对应的授权信息进行比对,如果用户的行为超 出判定的角色类别所对应的授权信息,判定为高风险行为。 进一步地,基于正常行为模型对用户的行为进行识别,还包括:基于所判定的角色 类别对用户的行为进行离群点分析,根据分析结果判定风险等级。 进一步地,所述用户行为包括电力监控系统中的用户行为。 为达到上述目的,本发明还提供了一种基于大数据的网络安全行为识别系统,包 括: 正常行为模型构建模块:用于基于历史数据构建正常行为模型; 风险等级生成模块:用于基于正常行为模型对用户的行为进行识别,生成对应的 风险等级,所述风险等级包括高风险行为。 进一步地,用户的行为包括操作目录或/和操作命令,所述风险等级生成模块包 括: 角色类别判定子模块:用于对用户的行为与用户行为基准特征库进行比对,判定 用户的角色类别; 风险等级判定子模块:用于对用户的行为与用户行为数据库进行比对,如果用户 的行为不符合用户行为数据库中的任何操作目录或/和操作命令,判定为高风险行为;对用 户的行为与判定的角色类别所对应的授权信息进行比对,如果用户的行为超出判定的角色 类别所对应的授权信息,判定为高风险行为;基于所判定的角色类别对用户的行为进行离 群点分析,根据分析结果判定风险等级。 与现有技术相比,本发明所达到的有益效果:本发明方法及系统采用K-means算法 和SVM算法相结合方式进行大数据机器学习,充分利用了SVM算法在多数据集时分类效果比 较优秀的特性,同时在原有基础上做出部分调优的处理。通过大数据机器学习基于历史数 据构建正常行为模型,再由模型对用户的网络安全行为自动进行判别和分类,同时结合电 力监控系统特性不断进行学习与调整,显著提高了生产效率,简化了操作难度,减低了电力 监控系统相关人员的工作,有利于保证电力系统的安全运行。
本发明公开了网络安全管理技术领域的一种基于大数据的网络安全行为识别方法及系统,旨在解决现有技术中制订风险行为判据主要通过运维人员手动配置黑名单的方式,既无科学依据,同时对于可能存在的风险行为无法穷尽,存在明显局限性,不利于保证电力系统安全的技术问题 全部
背景技术:
网络安全管理平台中,为避免用户错误操作或超权限操作,需要通过监测装置根 据风险行为判据对所采集到的操作日志进行判断,确认对应的操作行为是否为风险行为, 以便采取对应的保护措施。 目前,制订风险行为判据主要通过运维人员手动配置黑名单的方式,黑名单大多 采用出厂默认设置或者运维人员根据个人经验设置,既无科学依据,同时对于可能存在的 风险行为无法穷尽,存在明显局限性,不利于保证电力系统安全。
技术实现要素:
针对现有技术的不足,本发明的目的在于提供一种基于大数据的网络安全行为识 别方法及系统,以解决现有技术中制订风险行为判据主要通过运维人员手动配置黑名单的 方式,既无科学依据,同时对于可能存在的风险行为无法穷尽,存在明显局限性,不利于保 证电力系统安全的技术问题。 为解决上述技术问题,本发明所采用的技术方案是: 一种基于大数据的网络安全行为识别方法,包括如下步骤: 基于历史数据构建正常行为模型; 基于正常行为模型对用户的行为进行识别,生成对应的风险等级,所述风险等级 包括高风险行为。 进一步地,所述正常行为模型的构建方法包括K-means算法和SVM算法。 进一步地,基于历史数据构建正常行为模型,包括: 采集用户行为历史数据,构建用户行为数据库; 对用户行为数据库进行关联分析,构建基于用户身份的行为数据集合; 对行为数据集合进行抽象处理,提取用户的日常行为基本特征值,构建基于用户 身份的用户行为特征集合; 结合用户角色的授权信息,对不少于两个行为特征集合进行聚类分析,构建基于 用户角色的用户行为基准特征库。 进一步地,基于正常行为模型对用户的行为进行识别,包括: 对用户的行为与用户行为基准特征库进行比对,判定用户的角色类别。 进一步地,用户的行为包括操作目录或/和操作命令;基于正常行为模型对用户的 行为进行识别,还包括: 对用户的行为与用户行为数据库进行比对,如果用户的行为不符合用户行为数据 库中的任何操作目录或/和操作命令,判定为高风险行为。 4 CN 111597549 A 说 明 书 2/5 页 进一步地,基于正常行为模型对用户的行为进行识别,还包括: 对用户的行为与判定的角色类别所对应的授权信息进行比对,如果用户的行为超 出判定的角色类别所对应的授权信息,判定为高风险行为。 进一步地,基于正常行为模型对用户的行为进行识别,还包括:基于所判定的角色 类别对用户的行为进行离群点分析,根据分析结果判定风险等级。 进一步地,所述用户行为包括电力监控系统中的用户行为。 为达到上述目的,本发明还提供了一种基于大数据的网络安全行为识别系统,包 括: 正常行为模型构建模块:用于基于历史数据构建正常行为模型; 风险等级生成模块:用于基于正常行为模型对用户的行为进行识别,生成对应的 风险等级,所述风险等级包括高风险行为。 进一步地,用户的行为包括操作目录或/和操作命令,所述风险等级生成模块包 括: 角色类别判定子模块:用于对用户的行为与用户行为基准特征库进行比对,判定 用户的角色类别; 风险等级判定子模块:用于对用户的行为与用户行为数据库进行比对,如果用户 的行为不符合用户行为数据库中的任何操作目录或/和操作命令,判定为高风险行为;对用 户的行为与判定的角色类别所对应的授权信息进行比对,如果用户的行为超出判定的角色 类别所对应的授权信息,判定为高风险行为;基于所判定的角色类别对用户的行为进行离 群点分析,根据分析结果判定风险等级。 与现有技术相比,本发明所达到的有益效果:本发明方法及系统采用K-means算法 和SVM算法相结合方式进行大数据机器学习,充分利用了SVM算法在多数据集时分类效果比 较优秀的特性,同时在原有基础上做出部分调优的处理。通过大数据机器学习基于历史数 据构建正常行为模型,再由模型对用户的网络安全行为自动进行判别和分类,同时结合电 力监控系统特性不断进行学习与调整,显著提高了生产效率,简化了操作难度,减低了电力 监控系统相关人员的工作,有利于保证电力系统的安全运行。
