一种电力行业网络安全日志审计分析方法和系统技术方案

本发明专利技术实施例提供一种电力行业网络安全日志审计分析方法和系统，属于网络安全技术领域。所述方法包括：对日志审计分析模型进行预训练；获取正常的日志审计文件；将所述日志审计文件送入预训练后的所述日志审计分析模型中，以对有风险的所述日志审计文件进行警告。该方法可以防范多种来源的系统风险并能够发出警告。出警告。出警告。

【技术实现步骤摘要】
一种电力行业网络安全日志审计分析方法和系统


[0001]本专利技术涉及网络安全
，具体地涉及一种电力行业网络安全日志审计分析方法和系统。

技术介绍

[0002]随着信息技术在电力领域的不断深化应用，电力业务对信息系统的依赖度越来越高，信息系统已成为覆盖电力生产、经营、管理的中枢系统。电力行业信息系统的安全性、可用性关系到电力业务的安全性、可用性，事关国计民生和社会稳定，须得到充分重视。日志审计作为电力信息安全体系框架的重要建设内容之一，可以有效辅助对信息安全故障和安全事件的全面记录和事后追溯定位，同时日志审计系统是一种作用于整个信息管理体系的，以整体监控和审计为目标的，可为电力企业提供预警和客观决策依据信息安全保障系统，能够很好满足电力信息网络的上述要求。现有日志文件只有简单的风险防范，无法应对各种来源的威胁风险。

技术实现思路

[0003]本专利技术实施例的目的是提供一种电力行业网络安全日志审计分析方法和系统，该方法可以防范多种来源的系统风险并能够发出警告。
[0004]为了实现上述目的，一方面，本专利技术实施例提供一种电力行业网络安全日志审计分析方法，所述方法包括：
[0005]对日志审计分析模型进行预训练；
[0006]获取正常的日志审计文件；
[0007]将所述日志审计文件送入预训练后的所述日志审计分析模型中，以对有风险的所述日志审计文件进行警告。
[0008]可选的，所述对日志审计分析模型进行预训练包括：
[0009]通过漏洞测试工具收集常规的恶意URL；
[0010]将所述恶意URL进行解码后送入所述日志审计模型中；
[0011]所述日志审计模型训练识别包含所述恶意URL的文件并发出警告。
[0012]可选的，所述将所述日志审计文件送入预训练后的所述日志审计分析模型中，以对有风险的所述日志审计文件进行警告包括：
[0013]获取所述日志审计文件；
[0014]对不同的所述日志审计文件进行相异度计算；
[0015]归并低于设定相异度阈值的所述日志审计文件；
[0016]获取所述日志审计文件的属性；
[0017]对所述日志审计文件的属性分配不同的权重；
[0018]将不同的权重的所述属性进行排序；
[0019]获取所述日志审计文件中的权重大于一定阈值的所述属性；
[0020]将大于一定阈值的属性送入预训练后的所述日志审计分析模型中，以检测所述日志审计文件的风险性。
[0021]可选的，所述将所述日志审计文件送入预训练后的所述日志审计分析模型中，以对有风险的所述日志审计文件进行警告包括：
[0022]获取所述日志审计文件；
[0023]对所述日志审计文件中的日志信息进行切块；
[0024]将切块的所述日志信息进行格式化处理；
[0025]搜寻并截取包含需要的关键字的格式化后的所述日志信息；
[0026]对截取的所述日志信息进行渲染，以得到符合要求的日志信息；
[0027]所述日志审计分析模型对所述日志信息进行分析，在所述日志信息有风险时，发出警告。
[0028]可选的，截取的日志信息包括：远程服务器地址、访问日期、URL和用户代理。
[0029]可选的，所述将所述日志审计文件送入预训练后的所述日志审计分析模型中，以对有风险的所述日志审计文件进行警告包括：
[0030]获取渲染后的所述日志信息；
[0031]获取与渲染后的所述日志信息对应的正常的基准行为；
[0032]通过渲染后的所述日志信息和正常的基准行为对比确定可疑的信息并进行警告。
[0033]可选的，与渲染后的所述日志信息对应的场景包括：针对核心数据库的数据库密码猜解行为、违规登录行为、网页非法篡改、远程跳板访问、广播风暴、文件传播活动。
[0034]另一方面，本专利技术还提供一种电力行业网络安全日志审计分析系统，所述系统包括：
[0035]网络采集数据库，所述网络采集数据库用于收集已披露的网络指令流量数据；
[0036]日志审计分析模型模块，与所述网络采集数据库连接所述日志审计分析模型模块包括如权利要求1
‑
7所述的日志审计分析模型，以分析日志审计文件的风险性；
[0037]后台运行模块，与所述日志审计分析模型模块连接，以后台显示和操作需要认证的日志文件。
[0038]可选的，对所述日志文件认证包括设备认证和用户认证，用户认证对应设有用户状态防火墙，不同的所述用户认证对应设有不同的防火墙策略。
[0039]通过上述技术方案，本专利技术提供的一种电力行业网络安全日志审计分析方法和系统通过对日志审计分析模型进行预训练可以使得该日志审计分析模型能够识别有风险的日志文件，然后可以获取正常的日志审计文件，在得到该正常的日志审计文件后，可以将该日志审计文件送入预训练后的日志审计分析模型中，使得该训练后的日志审计分析模型可以对该日志审计文件进行分析和识别，在日志审计文件有风险时可以及时发出警告，以提醒工作人员注意。
[0040]本专利技术实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
[0041]附图是用来提供对本专利技术实施例的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本专利技术实施例，但并不构成对本专利技术实施例的限制。在附
图中：
[0042]图1是根据本专利技术的一个实施方式的一种电力行业网络安全日志审计分析方法的流程图；
[0043]图2是根据本专利技术的一个实施方式的一种电力行业网络安全日志审计分析方法的预训练的流程图；
[0044]图3是根据本专利技术的一个实施方式的一种电力行业网络安全日志审计分析方法的风险警告的第一流程图；
[0045]图4是根据本专利技术的一个实施方式的一种电力行业网络安全日志审计分析方法的风险警告的第二流程图；
[0046]图5是根据本专利技术的一个实施方式的一种电力行业网络安全日志审计分析方法的风险警告的第三流程图；
[0047]图6是根据本专利技术的一个实施方式的一种电力行业网络安全日志审计分析系统的连接图。
[0048]附图标记说明
[0049]1、网络采集数据库2、日志审计分析模型模块
[0050]3、后台运行模块
具体实施方式
[0051]以下结合附图对本专利技术实施例的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本专利技术实施例，并不用于限制本专利技术实施例。
[0052]图1是根据本专利技术的一个实施方式的一种电力行业网络安全日志审计分析方法的流程图。在本专利技术中该方法的流程可以包括：
[0053]在步骤S1中，对日志审计分析模型进行预训练。
[0054]在步骤S2中，获取正常的日志审计文件。
[0055]在步骤S3中，将日志审计文件送入预训练后的日志审计分析模型中本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种电力行业网络安全日志审计分析方法，其特征在于，所述方法包括：对日志审计分析模型进行预训练；获取正常的日志审计文件；将所述日志审计文件送入预训练后的所述日志审计分析模型中，以对有风险的所述日志审计文件进行警告。2.根据权利要求1所述的方法，其特征在于，所述对日志审计分析模型进行预训练包括：通过漏洞测试工具收集常规的恶意URL；将所述恶意URL进行解码后送入所述日志审计模型中；所述日志审计模型训练识别包含所述恶意URL的文件并发出警告。3.根据权利要求1所述的方法，其特征在于，所述将所述日志审计文件送入预训练后的所述日志审计分析模型中，以对有风险的所述日志审计文件进行警告包括：获取所述日志审计文件；对不同的所述日志审计文件进行相异度计算；归并低于设定相异度阈值的所述日志审计文件；获取所述日志审计文件的属性；对所述日志审计文件的属性分配不同的权重；将不同的权重的所述属性进行排序；获取所述日志审计文件中的权重大于一定阈值的所述属性；将大于一定阈值的属性送入预训练后的所述日志审计分析模型中，以检测所述日志审计文件的风险性。4.根据权利要求1所述的方法，其特征在于，所述将所述日志审计文件送入预训练后的所述日志审计分析模型中，以对有风险的所述日志审计文件进行警告包括：获取所述日志审计文件；对所述日志审计文件中的日志信息进行切块；将切块的所述日志信息进行格式化处理；搜寻并截取包含需要的关键字的格式化后的所述日志信息；对截取的所述日志信息进行渲染...

【专利技术属性】
技术研发人员：许尧，许旵鹏，臧伟，于和林，陈知丰，张行，穆云龙，余勇，刘显祖，常文婧，张亚峰，胡治家，郭婷，胡可维，马洪波，李骆，徐欢庆，丁宏伟，李宇星，郭振宇，郭龙刚，马欢，夏熠，
申请(专利权)人：国网安徽省电力有限公司超高压分公司，
类型：发明
国别省市：