基于全流量监测技术的业务动态感知系统技术方案

本发明专利技术涉及业务监测技术领域，具体地说，涉及基于全流量监测技术的业务动态感知系统。包括技术框架单元、业务识别单元、动态感知单元和功能管理单元；技术框架单元用于以多种智能算法技术为基础构建业务全流程动态监测感知技术框架模型；业务识别单元用于构建业务识别体系来对业务全流程进行识别分析；动态感知单元用于对业务流程进行动态感知的管理及工作量分配；功能管理单元用于扩展完善系统的功能性。本发明专利技术设计基于全流量监测技术构建业务动态感知系统，使业务流程可视化，并关注“人”的行为；针对内网安全威胁进行可视化研究与应用，促进业务模式智能学习，并提供内网安全威胁预警能力；具有自学习、自建模功能，无需过多人工干预。人工干预。人工干预。

【技术实现步骤摘要】
基于全流量监测技术的业务动态感知系统


[0001]本专利技术涉及业务监测
，具体地说，涉及基于全流量监测技术的业务动态感知系统。

技术介绍

[0002]内部威胁主要是指现在或前雇员、承包商、合作伙伴等有合法身份而有意、无意或误用方式来对公司或组织的员工、客户、资产、信誉或利益产生伤害。常规的安全防护手段，如防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等基于已知特征或快照性记录技术的内容感知，对于大部分内部威胁无能为力。传统的解决内部威胁的方法是，通过将IPS、IDS和FW等设备的安全日志进行汇总，实现安全事件管理，提供统一的视图呈现收集自各个来源的数据并进行关联处理，以期望在海量的日志中发现内部威胁的蛛丝马迹。但是该种方法具备十分明显的缺点；如过程复杂，工作繁复艰巨、对威胁判断困难等。业务流程审计/监测是当前技术发展热点之一，若能以全流量监测技术为基础，对业务进行动态感知，则能更快速且更准确地发现以“人”为主导的内部威胁问题。然而，目前却没有可以实现这种方法的监管系统。

技术实现思路

[0003]本专利技术的目的在于提供了基于全流量监测技术的业务动态感知系统，以解决上述
技术介绍
中提出的问题。
[0004]为实现上述技术问题的解决，本专利技术的目的之一在于，提供了基于全流量监测技术的业务动态感知系统，包括
[0005]技术框架单元、业务识别单元、动态感知单元和功能管理单元；所述技术框架单元的信号输出端与所述业务识别单元的信号输入端连接，所述业务识别单元的信号输出端与所述动态感知单元的信号输入端连接，所述动态感知单元的信号输出端与所述功能管理单元的信号输入端连接；所述技术框架单元用于以多种智能算法技术为基础构建由点到面、由单因素到多因素递进关联的业务全流程动态监测感知技术框架模型；所述业务识别单元用于在分析技术框架的基础上构建业务识别体系来对业务全流程进行识别分析；所述动态感知单元用于以业务识别体系为基础对业务流程进行动态感知的管理及工作量分配；所述功能管理单元用于在对业务流程进行动态感知的基础上扩展完善系统的功能性；
[0006]所述技术框架单元包括技术支持模块、数据处理模块、行为分析模块和算法调优模块；
[0007]所述业务识别单元包括业务克隆模块、业务映射模块、业务权重模块和违规检测模块；
[0008]所述动态感知单元包括账号管理模块、业务梳理模块、业务建模模块和敏感检测模块；
[0009]所述功能管理单元包括智能学习模块、行为监测模块、安全预警模块和效果体现
模块。
[0010]作为本技术方案的进一步改进，所述技术支持模块、所述数据处理模块、所述行为分析模块与所述算法调优模块依次通过以太网通讯连接；所述技术支持模块用于载入多种智能技术及智能算法来支持系统的运行过程；所述数据处理模块用于在大数据技术的基础上对业务流量数据进行集成、丰富、分类整合等处理以便进行后续分析；所述行为分析模块用于以技术框架模型及业务流量数据为基础来对用户的行为进行分析；所述算法调优模块用于针对机器学习技术的算法进行持续的适配和调优以达到良好的学习效果。
[0011]其中，智能技术包括但不限于机器学习技术、网络流量分析技术、业务关联审计技术、大数据技术、全流量监测分析技术、行为分析技术等。
[0012]其中，数据处理的类型包括但不限于数据采集、数据清洗、数据分类、数据整合等。
[0013]作为本技术方案的进一步改进，所述业务克隆模块的信号输出端与所述业务映射模块的信号输入端连接，所述业务映射模块的信号输出端与所述业务权重模块的信号输入端连接，所述业务权重模块的信号输出端与所述违规检测模块的信号输入端连接；所述业务克隆模块用于利用旁路镜像对不同用户访问web业务系统的流量进行全流量采集、还原，提取web业务系统交互的http请求序列，并通过对业务系统操作过程产生的网络流量进行逆向解析以还原各个http请求，再通过聚类分析将相关请求序列归为一个业务模块；所述业务映射模块用于以业务克隆为基础根据同一业务再不同办理人员的办理过程中出现并使用到的业务数据进行数据挖掘分析，对同一业务模块的http请求序列进行聚类分析、统计，通过正表达式、关键字等匹配数据流中出现过的业务数据类型、数量以计算出业务数据和业务模块的映射关系；所述业务权重模块用于根据业务系统类型、办理业务特点，将不同的业务模块根据功能的重要程度，使用业务权重算法，将涉及审批、金额、客户资料、业务流程的业务模块识别分类，进而计算出各个业务模块的权重值以为监测策略提供不同权重的监测对象；所述违规检测模块用于根据用户使用业务数据的频率、数量、时间、操作业务模块的重要程度，结合用户操作行为监测走势，并根据业务操作规范，用采集到的用户行为数据作为输入来判断其行为是否违规。
[0014]作为本技术方案的进一步改进，所述业务克隆模块中，对http请求序列进行聚类分析采用K
‑
Means均值聚类算法，该算法步骤如下：
[0015]Step1、选K个初始聚类中心(各聚类中心均分布在业务主线上)，Z
1I
，Z
2I
，∧Z
KI
，其中，(1,2，...，k)为寻找聚类中心的迭代运算的次序号；
[0016]Step2、逐个将需分类模式样本{X}按最小距离准则分配给K个聚类中心中的某一个Z
j(1)
；对所有的i≠j，j＝1，2，...，K，如果Z
1I
，Z
2I
，∧Z
KI
,则X∈S
jk
，其中，k为迭代运算的次序号，第一次迭代k＝1，S
j
表示第j个聚类，其聚类中心为Z
j
；
[0017]Step3、计算各个聚类中心的新的向量值Z
j(k+1)
，j＝1,2，...，K，求各聚类域中所包含样本的均值向量：
[0018][0019]其中，N
j
为第j个聚类域S
j
中所包含的样本个数；
[0020]其中，以均值向量作为新的聚类中心，可使如下聚类准则函数J最小：
[0021][0022]Step4、若Z
j(k+1)
≠Z
j(k+1)
，j＝1,2，...，K，则返回S2，将模式样本逐个重新分类，重复迭代运算；若Z
j(k+1)
＝Z
j(k+1)
，j＝1,2，...，K，则算法收敛，计算结束。
[0023]作为本技术方案的进一步改进，所述业务映射模块中，关键词的提取采用TextRank算法，其计算表达式为：
[0024][0025]式中，V
i
表示某个网页，V
j
表示链接到V
i
的网页(即V
i
的入链)，S(V
i
)表示网页V
i
的PR值，In(V
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于全流量监测技术的业务动态感知系统，其特征在于：包括技术框架单元(100)、业务识别单元(200)、动态感知单元(300)和功能管理单元(400)；所述技术框架单元(100)的信号输出端与所述业务识别单元(200)的信号输入端连接，所述业务识别单元(200)的信号输出端与所述动态感知单元(300)的信号输入端连接，所述动态感知单元(300)的信号输出端与所述功能管理单元(400)的信号输入端连接；所述技术框架单元(100)用于以多种智能算法技术为基础构建由点到面、由单因素到多因素递进关联的业务全流程动态监测感知技术框架模型；所述业务识别单元(200)用于在分析技术框架的基础上构建业务识别体系来对业务全流程进行识别分析；所述动态感知单元(300)用于以业务识别体系为基础对业务流程进行动态感知的管理及工作量分配；所述功能管理单元(400)用于在对业务流程进行动态感知的基础上扩展完善系统的功能性；所述技术框架单元(100)包括技术支持模块(101)、数据处理模块(102)、行为分析模块(103)和算法调优模块(104)；所述业务识别单元(200)包括业务克隆模块(201)、业务映射模块(202)、业务权重模块(203)和违规检测模块(204)；所述动态感知单元(300)包括账号管理模块(301)、业务梳理模块(302)、业务建模模块(303)和敏感检测模块(304)；所述功能管理单元(400)包括智能学习模块(401)、行为监测模块(402)、安全预警模块(403)和效果体现模块(404)。2.根据权利要求1所述的基于全流量监测技术的业务动态感知系统，其特征在于：所述技术支持模块(101)、所述数据处理模块(102)、所述行为分析模块(103)与所述算法调优模块(104)依次通过以太网通讯连接；所述技术支持模块(101)用于载入多种智能技术及智能算法来支持系统的运行过程；所述数据处理模块(102)用于在大数据技术的基础上对业务流量数据进行集成、丰富、分类整合等处理以便进行后续分析；所述行为分析模块(103)用于以技术框架模型及业务流量数据为基础来对用户的行为进行分析；所述算法调优模块(104)用于针对机器学习技术的算法进行持续的适配和调优以达到良好的学习效果。3.根据权利要求1所述的基于全流量监测技术的业务动态感知系统，其特征在于：所述业务克隆模块(201)的信号输出端与所述业务映射模块(202)的信号输入端连接，所述业务映射模块(202)的信号输出端与所述业务权重模块(203)的信号输入端连接，所述业务权重模块(203)的信号输出端与所述违规检测模块(204)的信号输入端连接；所述业务克隆模块(201)用于利用旁路镜像对不同用户访问web业务系统的流量进行全流量采集、还原，提取web业务系统交互的http请求序列，并通过对业务系统操作过程产生的网络流量进行逆向解析以还原各个http请求，再通过聚类分析将相关请求序列归为一个业务模块；所述业务映射模块(202)用于以业务克隆为基础根据同一业务再不同办理人员的办理过程中出现并使用到的业务数据进行数据挖掘分析，对同一业务模块的http请求序列进行聚类分析、统计，通过正表达式、关键字等匹配数据流中出现过的业务数据类型、数量以计算出业务数据和业务模块的映射关系；所述业务权重模块(203)用于根据业务系统类型、办理业务特点，将不同的业务模块根据功能的重要程度，使用业务权重算法，将涉及审批、金额、客户资料、业务流程的业务模块识别分类，进而计算出各个业务模块的权重值以为监测策略提供不同权重的监测对象；所述违规检测模块(204)用于根据用户使用业务数据的频率、数量、时间、
操作业务模块的重要程度，结合用户操作行为监测走势，并根据业务操作规范，用采集到的用户行为数据作为输入来判断其行为是否违规。4.根据权利要求3所述的基于全流量监测技术的业务动态感知系统，其特征在于：所述业务克隆模块(201)中，对http请求序列进行聚类分析采用K
‑
Means均值聚类算法，该算法步骤如下：Step1、选K个初始聚类中心(各聚类中心均分布在业务主线上)，Z
1I
，Z
2I
，∧Z
KI
，其中，(1,2，...，k)为寻找聚类中心的迭代运算的次序号；Step2、逐个将需分类模式样本{X}按最小距离准则分配给K个聚类中心中的某一个Z
j(1)
；对所有的i≠j，j＝1，2，...，K，如果Z
1I
，Z
2I
，∧Z
KI
,则X∈S
jk
，其中，k为迭代运算的次序号，第一次迭代k＝1，S
j
表示第j个聚类，其聚类中心为Z
j
；Step3、计算各个聚类中心的新的向量值Z
j(k+1)
，j＝1,2，...，K，求各聚类域中所包含样本的均值向量：其中，N
j
为第j个聚类域S
j
中所包含的样本个数；其中，以均值向量作为新的聚类中心，可使如下聚类准则函数J最小：Step4、若Z
j(k+1)
≠Z
j(k+1)
，j＝1,2，...，K，则返回S2，将模式样本逐个重新分类，重复迭代运算；若Z
j(k+1)
＝Z
j(k+1)
，j＝1,2，...，K，则算法收敛，计算结束。5.根据权利要求3所述的基于全流量监测技术的业务动态感知系统，其特征在于：所述业务映射模块(202)中，关键词的提取采用TextRank算法，其计算表达式为：式中，V
i
表示某个网页，V
j
表示链接到V
i
的网页(即V
i
的入链)，S(V
i
)表示网页V

【专利技术属性】
技术研发人员：秦丞，贺渝镔，王杭，田昊，高伟鹏，徐佳，殷军，张倩，唐源磊，柏瑞，颜丽渊，李云冬，李士涛，
申请(专利权)人：云南电网有限责任公司昆明供电局，
类型：发明
国别省市：