【技术实现步骤摘要】
多层异粒度智能聚合铁路系统运行行为安全风险识别方法
[0001]本专利技术属于铁路信息系统安全
,具体涉及一种多层异粒度智能聚合铁路系统运行行为安全风险识别方法。
技术介绍
[0002]铁路信息系统运维的主要功能是为确保铁路信息系统安全稳定地运行提供技术支撑和保障,铁路信息系统的运维工作日常监控对象主要包括机房环境,网络设备,安全设备,服务器,存储介质等基础设施,以及一些包含操作系统,数据库,中间件等业务系统的支撑层。目前我国已形成较为完善的运维标准规范以对运维工作进行有效的指导。经过多年的发展与探索,国铁集团、路局、站段三级运维体系建设取得了一定的成效,但是仍然在很多方面存在不足,特别是在网络安全方面。比如,现有的运维体系难以满足数据中心的大规模运维需求,安全风险检测与识别的自动化程度需要进一步提高。
[0003]日志是指系统所指定对象的一些操作以及其操作的结果根据时间顺序排列而成的有序集合,其中每条日志记录都是对一次独立系统事件的描述,它由一个日志ID唯一标识,多条日志记录组成了一个日志文件。防火墙装置,路...
【技术保护点】
【技术特征摘要】
1.一种多层异粒度的智能聚合铁路系统运行行为安全风险识别方法,其特征在于,包括以下步骤:步骤1、从铁路信息系统中获取网络设备和安全设备的平均性能统计数据作为静态阈值,利用静态阈值对网络设备和安全设备的性能数据进行检测,筛选出大于静态阈值的设备性能项目,作为异常设备性能项目;步骤2、由步骤1中得到的异常设备性能项目,基于网络攻击聚合规则判断网络攻击的类型,得到用于进一步分析的日志数据集合,根据网络攻击的类型为所得日志数据集合中的每条日志数据设置网络攻击权重q;步骤3、根据步骤1中得到的异常设备性能项目,基于网络拓扑聚合规则得到用于进一步分析的日志数据集合,并给日志集合中每条日志设置网络攻击权重q,每条日志的网络攻击权重q都设置为固定值1;步骤4、将步骤2基于网络攻击的聚合规则所得出的日志数据集合作为神经网络模型的输入,利用现有神经网络模型进行分析,神经网络的输出记为out1;将步骤3基于网络拓扑的聚合规则所得出的日志数据集合作为神经网络模型的输入,利用现有神经网络模型进行分析,神经网络的输出记为out2;步骤5、设置设备权重向量λ和方案权重向量μ,根据设备权重向量λ和方案权重向量μ对out1和out2进行加权平均化处理,得到风险等级预测数值pred;步骤6、对风险等级预测数值pred进行判断,得到风险等级。2.如权利要求1所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法,其特征在于,步骤1所述静态阈值基于网络设备和安全设备过去30天的平均性能数据统计数据得到,用于表示网络设备和安全设备在正常工作的状态下每种性能指标的平均数值。3.如权利要求1所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法,其特征在于,所述网络设备包括:交换机、路由器、Web服务器、DNS服务器;所述安全设备用于提供日志数据,具体包括:防火墙装置和入侵检测装置;所述设备性能项目包括:防火墙装置CPU占用率、路由器CPU占用率、交换机CPU占用率、Web服务器CPU占用率,路由器Ping状态、Web服务器Ping状态、DNS服务器Ping状态,防火墙装置温度信息和防火墙装置端口状态。4.如权利要求3所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法,其特征在于,步骤2所述网络攻击聚合规则包括以下几类,出现任意一种攻击类型则表示存在攻击行为:当出现路由器Ping状态异常和Web服务器CPU占用率高时;攻击类型为蠕虫病,需要聚合分析的日志包括:路由器日志、交换机日志和Web服务器操作系统日志;当出现防火墙装置温度过高、防火墙装置端口状态异常和Web服务器CPU占用率高时;攻击类型为木马攻击,需要聚合分析的日志包括:防火墙装置日志和Web服务器操作系统日志;当防火墙装置、路由器、交换机、Web服务器中任意一种设备出现CPU占用率高时;攻击类型为DoS攻击/DDoS攻击;需要聚合分析的日志包括:防火墙装置日志,路由器日志,交换机日志和Web服务器操作系统日...
【专利技术属性】
技术研发人员:刘吉强,王健,王凯崙,翟翟,袁恩泽,周琳,李蒙,
申请(专利权)人:中国国家铁路集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。