一种调度数据网行为监测系统及方法技术方案

本申请实施例提供了一种调度数据网行为监测系统及方法，监测系统包括日志采集工具管理模块、临时日志库模块、综合分析模块、异常日志库、合规日志库和结果管理模块。日志采集工具管理模块用于采集调度数据网网络设备及安全设备的分散式日志和调度数据网安全审计系统的集中式日志；临时日志库模块用于范式化处理，得到范式化日志；综合分析模块用于将范式化日志与合规日志库、异常日志库进行模式匹配，形成合规日志或异常日志；结果管理模块，用于根据合规日志进行机器学习训练，或根据异常日志进行机器学习。本申请实施例能够在第一时间完成网络异常监测，有效防止事态扩大，从而避免发生调度数据网重大网络安全事件。

【技术实现步骤摘要】
一种调度数据网行为监测系统及方法
本申请涉及网络安全领域，尤其涉及一种调度数据网行为监测系统及方法。
技术介绍
调度数据网是用于传输电网自动化信息、调度指挥指令、继电保护与安全自动装置控制信息等电力生产实时信息的网络，承载着电力监控系统的实时生产业务，对调度数据网进行行为监测是保证电网安全、经济、稳定、可靠的运行，避免网络安全事件对调度数据网带来的经济损失、企业形象损坏和对民生的影响的重要举措。随着调度数据网和信息支撑系统的迅速发展和壮大，调度数据网呈现出规模大、地域广、厂站管理分散等特点，给调度数据网行为监测带来重大挑战。目前调度数据网各级主站及厂站I、II、III区仅部署IDS(IntrusionDetectionSystems，入侵检测系统)和防病毒中心来进行调度数据网行为监测，尚存在网络边界安全行为监测不足、无法对异常网络行为进行检测等缺点，蕴藏着极大的安全隐患。目前迫切需要一种能够及时、准确地发现调度数据网中存在的异常行为及安全威胁的技术手段。
技术实现思路
本申请提供了一种调度数据网行为监测系统及方法，以解决调度数据网行为监测的问题。第一方面，本申请提供了一种调度数据网行为监测系统，该系统包括：日志采集工具管理模块、临时日志库模块、综合分析模块、异常日志库、合规日志库和结果管理模块，其中，所述日志采集工具管理模块，用于采集调度数据网日志，并发送到所述临时日志库模块，所述调度数据网日志包括调度数据网网络设备及安全设备的分散式日志和调度数据网安全审计系统的集中式日志；所述临时日志库模块，用于对所述调度数据网日志进行范式化处理，得到范式化日志，并将所述范式化日志发送到所述综合分析模块；所述综合分析模块，用于将所述范式化日志与所述合规日志库中的历史合规日志样本、所述异常日志库中的历史异常日志样本进行模式匹配，形成合规日志或异常日志，将所述合规日志或异常日志发送到所述结果管理模块；所述结果管理模块，用于根据所述合规日志进行机器学习训练，得到实时合规日志样本，将所述实时合规日志样本发送到所述合规日志库，或根据所述异常日志进行机器学习，得到实时异常日志样本，将所述实时异常日志样本发送到所述异常日志库；所述合规日志库，用于存储所述历史合规日志样本和实时合规日志样本；所述异常日志库，用于存储所述历史异常日志样本和实时异常日志样本。优选地，还包括存储管理模块，所述存储管理模块用于存储来自所述结果管理模块发送的所述实时合规日志样本。第二方面，本申请还提供了一种调度数据网行为监测方法，该方法包括：采集调度数据网日志，所述调度数据网日志包括调度数据网网络设备及安全设备的分散式日志和调度数据网安全审计系统的集中式日志；将所述调度数据网日志进行范式化处理，得到范式化日志；将所述范式化日志与合规日志库和异常日志库进行模式匹配，形成合规日志或异常日志；基于隐马尔可夫模型的机器学习算法，对所述合规日志或异常日志进行机器学习训练，得到实时合规日志样本或实时异常日志样本；将所述实时合规日志样本或实时异常日志样本按类别进行存储。优选地，所述将所述范式化日志与历史合规日志样本和历史异常日志样本进行模式匹配，之前还包括：通过基于隐马尔可夫模型的机器学习算法，利用隐马尔可夫模型建立合规日志的正常样本轮廓，将调度数据网的历史合规日志样本和历史异常日志样本输入到所述正常样本轮廓并进行机器学习，建立合规日志库和异常日志库。优选地，所述基于隐马尔可夫模型的机器学习算法，对合规日志或异常日志进行机器学习，得到实时合规日志样本或实时异常日志样本，包括：建立隐马尔可夫模型；将所述范式化日志输入到所述隐马尔可夫模型；对所述隐马尔可夫模型进行数据处理，形成实时合规日志样本或实时异常日志样本，所述数据处理包括滑窗处理。优选地，所述范式化日志的信息结构包括：日志名称、产生该日志的设备类型、日志产生的设备地址、日志产生的时间、日志中的源设备、日志中的源地址、日志中的源端口、日志中的目的设备、日志中的目的地址、日志中的目的端口、日志中的网络连接类型、日志事件描述和行为状态。优选地，所述合规日志库和异常日志库的信息结构包括：日志对应的设备类型、检测样本类型、样本日志详细信息、样本日志创建或更新时间、样本日志状态。优选地，所述合规日志或异常日志的信息结构包括：检测时间、检测日志关联的设备类型、检测结果、检测样本来源、检测样本类型、结果状态和日志原始信息。优选地，所述合规日志库内存储有历史合规日志样本，所述异常日志库存储有历史异常日志样本，所述历史合规日志样本和历史异常日志样本的信息结构包括：日志状态、日志出现频率、日志异常类型、日志异常设备、日志异常设备地址、日志异常设备端口、异常日志状态、异常日志发现时间和日志原始信息。优选地，还包括：根据实时异常日志样本进行异常日志告警。本申请实施例提供的调度数据网行为监测系统及方法的有益效果包括：对于调度数据网的日志检测，通过多渠道日志采集，能够保证日志来源的有效性和一致性；通过不间断的机器学习，自动完善异常日志库和合规日志库，能够准确发现调度数据网日志异常情况；通过系统调配分析结果，得出调度数据网中存在的异常行为，并锁定其日志详细信息，及时发出告警，能够在第一时间完成网络异常监测，有效防止事态扩大，从而避免发生调度数据网重大网络安全事件。附图说明为了更清楚地说明本申请的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本申请实施例提供的一种调度数据网行为监测系统的结构示意图；图2为本申请实施例提供的一种调度数据网行为监测方法的流程示意图；图3为本申请实施例提供的一种机器学习训练算法的流程示意图。具体实施方式为了使本
的人员更好地理解本申请中的技术方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。参见图1，为本申请实施例提供的一种调度数据网行为监测系统的结构示意图，如图1所示，本申请实施例提供的调度网行为监测系统，包括：日志采集工具管理模块、临时日志库模块、综合分析模块、异常日志库、合规日志库、结果管理模块和存储管理模块。具体的，用户预先对日志采集工具进行配置，通过日志采集工具对调度数据网日志进行采集。本申请实施例中采集的调度数据网日志包括调度数据网网络设备及安全设备的分散式日志和调度数据网安全审计系统的集中式日志，分别通过不同渠道来采集。调度数据网网络设备及安全设备的日志为分散式日志，通过分类采集获得，具体可通过syslog(系统日志)方式发送给日志采集工具管理模块；调度数据网安全审计系统的日志为集中式日志，通过定时调用安全审计系统日志查询API(ApplicationProgrammingInterface,应用程序编程接口)将查询到的日志写入日志采集工具管理模块。日志采集工具管理模块将采集的调度数据网日志上报到临时日志库模块，临时日志库模块按照统一的数据库格式对采集得到的调度数本文档来自技高网...

【技术保护点】
1.一种调度数据网行为监测系统，其特征在于，包括日志采集工具管理模块、临时日志库模块、综合分析模块、异常日志库、合规日志库和结果管理模块，其中，所述日志采集工具管理模块，用于采集调度数据网日志，并发送到所述临时日志库模块，所述调度数据网日志包括调度数据网网络设备及安全设备的分散式日志和调度数据网安全审计系统的集中式日志；所述临时日志库模块，用于对所述调度数据网日志进行范式化处理，得到范式化日志，并将所述范式化日志发送到所述综合分析模块；所述综合分析模块，用于将所述范式化日志与所述合规日志库中的历史合规日志样本、所述异常日志库中的历史异常日志样本进行模式匹配，形成合规日志或异常日志，将所述合规日志或异常日志发送到所述结果管理模块；所述结果管理模块，用于根据所述合规日志进行机器学习训练，得到实时合规日志样本，将所述实时合规日志样本发送到所述合规日志库，或根据所述异常日志进行机器学习，得到实时异常日志样本，将所述实时异常日志样本发送到所述异常日志库；所述合规日志库，用于存储所述历史合规日志样本和实时合规日志样本；所述异常日志库，用于存储所述历史异常日志样本和实时异常日志样本。

【技术特征摘要】
1.一种调度数据网行为监测系统，其特征在于，包括日志采集工具管理模块、临时日志库模块、综合分析模块、异常日志库、合规日志库和结果管理模块，其中，所述日志采集工具管理模块，用于采集调度数据网日志，并发送到所述临时日志库模块，所述调度数据网日志包括调度数据网网络设备及安全设备的分散式日志和调度数据网安全审计系统的集中式日志；所述临时日志库模块，用于对所述调度数据网日志进行范式化处理，得到范式化日志，并将所述范式化日志发送到所述综合分析模块；所述综合分析模块，用于将所述范式化日志与所述合规日志库中的历史合规日志样本、所述异常日志库中的历史异常日志样本进行模式匹配，形成合规日志或异常日志，将所述合规日志或异常日志发送到所述结果管理模块；所述结果管理模块，用于根据所述合规日志进行机器学习训练，得到实时合规日志样本，将所述实时合规日志样本发送到所述合规日志库，或根据所述异常日志进行机器学习，得到实时异常日志样本，将所述实时异常日志样本发送到所述异常日志库；所述合规日志库，用于存储所述历史合规日志样本和实时合规日志样本；所述异常日志库，用于存储所述历史异常日志样本和实时异常日志样本。2.如权利要求1所述的调度数据网行为监测系统，其特征在于，还包括存储管理模块，所述存储管理模块用于存储来自所述结果管理模块发送的所述实时合规日志样本。3.一种调度数据网行为监测方法，其特征在于，包括：采集调度数据网日志，所述调度数据网日志包括调度数据网网络设备及安全设备的分散式日志和调度数据网安全审计系统的集中式日志；将所述调度数据网日志进行范式化处理，得到范式化日志；将所述范式化日志与合规日志库和异常日志库进行模式匹配，形成合规日志或异常日志；基于隐马尔可夫模型的机器学习算法，对所述合规日志或异常日志进行机器学习训练，得到实时合规日志样本或实时异常日志样本；将所述实时合规日志样本或实时异常日志样本按类别进行存储。4.如权利要求3所述的调度数据网行为监测方法，其特征在于，所述将所述范式化日志与历史合规日志...

【专利技术属性】
技术研发人员：王彬筌，赵明，蒋亚坤，韩校，李晓耕，王国平，赵川，
申请(专利权)人：云南电网有限责任公司，
类型：发明
国别省市：云南,53