分布式電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)的制作方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)了分布式電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)，包括：網(wǎng)絡(luò)安全監(jiān)控模塊，用于監(jiān)控電力企業(yè)信息網(wǎng)絡(luò)的主頁(yè)和各設(shè)備；網(wǎng)絡(luò)安全分析模塊，用于分析用戶(hù)網(wǎng)絡(luò)行為和網(wǎng)絡(luò)安全事件，包括用戶(hù)網(wǎng)絡(luò)行為分析子模塊和網(wǎng)絡(luò)安全事件評(píng)估子模塊；網(wǎng)絡(luò)安全報(bào)警模塊，用于基于網(wǎng)絡(luò)安全分析模塊的分析結(jié)果進(jìn)行選擇性報(bào)警；網(wǎng)絡(luò)安全運(yùn)維模塊，用于根據(jù)網(wǎng)絡(luò)安全報(bào)警模塊的報(bào)警信息進(jìn)行對(duì)應(yīng)的網(wǎng)絡(luò)維護(hù)。本發(fā)明實(shí)現(xiàn)了電力企業(yè)信息網(wǎng)絡(luò)的安全管理，有效性好，使IT及安全管理員脫離繁瑣的管理工作，提高了工作效率。
【專(zhuān)利說(shuō)明】
分布式電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)
技術(shù)領(lǐng)域
[0001] 本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及分布式電力企業(yè)信息網(wǎng)絡(luò)安全管 理系統(tǒng)。
【背景技術(shù)】
[0002] 隨著信息技術(shù)的快速發(fā)展和廣泛應(yīng)用，電力企業(yè)的網(wǎng)絡(luò)安全問(wèn)題更加突出。由于 其自身的"木桶效應(yīng)"，個(gè)別的網(wǎng)絡(luò)漏洞或隱患將影響全局的安全，傳統(tǒng)單一的網(wǎng)絡(luò)安全舉 措已經(jīng)很難應(yīng)對(duì)各種繁雜的安全問(wèn)題，急需一種分布式集成網(wǎng)絡(luò)安全技術(shù)的網(wǎng)絡(luò)安全管理 系統(tǒng)，進(jìn)行整體信息化監(jiān)測(cè)與管理。

【發(fā)明內(nèi)容】

[0003] 針對(duì)上述問(wèn)題，本發(fā)明提供分布式電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)。
[0004] 本發(fā)明的目的采用以下技術(shù)方案來(lái)實(shí)現(xiàn)：
[0005] 分布式電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)，包括網(wǎng)絡(luò)安全監(jiān)控模塊、網(wǎng)絡(luò)安全分析 模塊、網(wǎng)絡(luò)安全報(bào)警模塊和網(wǎng)絡(luò)安全運(yùn)維模塊：
[0006] 所述網(wǎng)絡(luò)安全監(jiān)控模塊用于監(jiān)控電力企業(yè)信息網(wǎng)絡(luò)的主頁(yè)和各設(shè)備；
[0007] 所述網(wǎng)絡(luò)安全分析模塊用于分析用戶(hù)網(wǎng)絡(luò)行為和網(wǎng)絡(luò)安全事件，包括用戶(hù)網(wǎng)絡(luò)行 為分析子模塊和網(wǎng)絡(luò)安全事件評(píng)估子模塊；
[0008] 所述網(wǎng)絡(luò)安全報(bào)警模塊用于基于網(wǎng)絡(luò)安全分析模塊的分析結(jié)果進(jìn)行選擇性報(bào)警；
[0009] 所述網(wǎng)絡(luò)安全運(yùn)維模塊用于根據(jù)網(wǎng)絡(luò)安全報(bào)警模塊的報(bào)警信息進(jìn)行對(duì)應(yīng)的網(wǎng)絡(luò) 維護(hù)。
[0010]其中，所述網(wǎng)絡(luò)安全事件評(píng)估子模塊用于評(píng)估網(wǎng)絡(luò)安全事件的風(fēng)險(xiǎn)度，并針對(duì)風(fēng) 險(xiǎn)度大于預(yù)設(shè)風(fēng)險(xiǎn)度閾值的安全事件，向網(wǎng)絡(luò)安全報(bào)警模塊發(fā)出告警信息;所述安全事件 通過(guò)網(wǎng)絡(luò)安全設(shè)備對(duì)安全日志進(jìn)行歸一化處理生成。
[0011] 其中，所述網(wǎng)絡(luò)安全設(shè)備包括:防火墻設(shè)備、防病毒設(shè)備、入侵檢測(cè)設(shè)備、漏洞掃描 設(shè)備中的一種或多種。
[0012] 優(yōu)選地，所述網(wǎng)絡(luò)安全事件的風(fēng)險(xiǎn)度基于模糊矩陣層次分析法進(jìn)行評(píng)估。
[0013] 其中，所述用戶(hù)網(wǎng)絡(luò)行為分析子模塊用于對(duì)用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行分析處理，并 針對(duì)非法的用戶(hù)網(wǎng)絡(luò)行為，向網(wǎng)絡(luò)安全報(bào)警模塊發(fā)出告警信息;所述用戶(hù)網(wǎng)絡(luò)行為分析子 模塊包括依次連接的數(shù)據(jù)預(yù)處理單元、數(shù)據(jù)挖掘單元和用戶(hù)網(wǎng)絡(luò)行為分析單元，所述數(shù)據(jù) 預(yù)處理單元用于剔除用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)中的缺失值和異常值，并進(jìn)一步進(jìn)行歸一化處理， 其中異常值采用統(tǒng)計(jì)學(xué)中的常用異常點(diǎn)判別方法GESR進(jìn)行判別;所述數(shù)據(jù)挖掘單元用于采 用改進(jìn)K-means聚類(lèi)方法對(duì)由數(shù)據(jù)預(yù)處理單元處理過(guò)的用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行聚類(lèi)，并建 立用戶(hù)分群模型;所述用戶(hù)網(wǎng)絡(luò)行為分析單元用于采用決策樹(shù)算法對(duì)所述分群模型進(jìn)行標(biāo) 識(shí)區(qū)分，識(shí)別用戶(hù)身份，并根據(jù)標(biāo)識(shí)區(qū)分識(shí)別結(jié)果建立人工神經(jīng)網(wǎng)絡(luò)模型，進(jìn)而對(duì)用戶(hù)網(wǎng)絡(luò) 行為進(jìn)行預(yù)測(cè)并判斷用戶(hù)網(wǎng)絡(luò)行為是否非法。
[0014] 其中，所述數(shù)據(jù)挖掘單元采用改進(jìn)K-means聚類(lèi)方法對(duì)由數(shù)據(jù)預(yù)處理單元處理過(guò) 的用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行聚類(lèi)，具體為：
[0015] 1)設(shè)所述用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)具有n個(gè)樣本，對(duì)n個(gè)樣本進(jìn)行向量化，通過(guò)夾角余弦 函數(shù)計(jì)算所有樣本兩兩之間的相似度，得到相似度矩陣XS;
[0016] 2)對(duì)相似度矩陣XS的每一行進(jìn)行求和，計(jì)算出每一個(gè)樣本與整個(gè)有效數(shù)據(jù)集的相 似度，設(shè)XS = [ sim(ai，aj) ]nxn，i，j = 1，…，n，其中sim(ai，aj)表示樣本ai，aj間的相似度，求 和公式為： n
[0017] XSp =工 sim{ai，a7), p = i, ...,n
[0018] 3)按降序排列XSP，p = 1，…，n，設(shè)XSP按從大到小排列的前4個(gè)值為XSmax，XSmax-i， XSmax-2，XSmax-3，若
選擇與最大值XSmax相對(duì)應(yīng)的樣本作 為第一個(gè)初始的聚簇中心，否則選擇與XSmax，XSmti，XSmax-2，XS max-3對(duì)應(yīng)的四個(gè)樣本的均值 作為第一個(gè)初始的簇中心，T為設(shè)定的比例值；
[0019] 4)將最大值為XSmax對(duì)應(yīng)的矩陣中行向量的元素進(jìn)行升序排列，假設(shè)前k-1個(gè)最小 的元素為XS Pq，q = l，…，k-1，選擇前k-1個(gè)最小的元素 XSPq相對(duì)應(yīng)的樣本aq作為剩余的k-1個(gè) 初始的聚簇中心，其中所述k值的設(shè)定方法為:設(shè)定k值可能取值的區(qū)間，通過(guò)測(cè)試k的不同 取值，并對(duì)區(qū)間內(nèi)的各個(gè)值進(jìn)行聚類(lèi)，通過(guò)比較協(xié)方差，確定聚類(lèi)之間的顯著性差異，從而 來(lái)探査聚類(lèi)的類(lèi)型信息，并最終確定合適的HI;
[0020] 5)計(jì)算剩余樣本與各初始的聚簇中心之間的相似度，將剩余樣本分發(fā)到相似度最 高的聚簇中，形成變化后的k個(gè)聚簇；
[0021] 6)計(jì)算變化后的聚簇中各樣本的均值，將其作為更新后的聚簇中心代替更新前的 聚簇中心；
[0022] 7)若更新前的聚簇中心與更新后的聚簇中心相同，或者目標(biāo)函數(shù)達(dá)到了最小值， 停止更新，所述目標(biāo)函數(shù)為：
[0024] 其中，Q表示k個(gè)聚簇中的第1個(gè)聚簇，ax為第1個(gè)聚簇中的樣本，◎?yàn)榈?個(gè)聚簇的 中心。
[0025] 其中，所述設(shè)定的比例值T的取值范圍為[1.4,1.8]。
[0026] 本發(fā)明的有益效果為：
[0027] 1、設(shè)置了網(wǎng)絡(luò)安全監(jiān)控模塊、網(wǎng)絡(luò)安全分析模塊、網(wǎng)絡(luò)安全報(bào)警模塊和網(wǎng)絡(luò)安全 運(yùn)維模塊，實(shí)現(xiàn)了電力企業(yè)信息網(wǎng)絡(luò)的安全管理，使IT及安全管理員脫離繁瑣的管理工作， 提高工作效率。
[0028] 2、設(shè)置基于改進(jìn)K-means聚類(lèi)方法的數(shù)據(jù)挖掘單元，有效避免單一采取隨機(jī)抽樣 方法所帶來(lái)的偶然性，解決原有算法在選取k值以及初始化聚類(lèi)中心時(shí)所存在的問(wèn)題，提高 了聚類(lèi)穩(wěn)定性，提高了用戶(hù)網(wǎng)絡(luò)行為分析精度，相對(duì)提高了網(wǎng)絡(luò)安全管理的有效度。
【附圖說(shuō)明】
[0029] 利用附圖對(duì)本發(fā)明作進(jìn)一步說(shuō)明，但附圖中的實(shí)施例不構(gòu)成對(duì)本發(fā)明的任何限 制，對(duì)于本領(lǐng)域的普通技術(shù)人員，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)以下附圖獲得 其它的附圖。
[0030] 圖1是本發(fā)明各模塊的連接示意圖；
[0031] 圖2是本發(fā)明用戶(hù)網(wǎng)絡(luò)行為分析子模塊的結(jié)構(gòu)示意圖。
[0032]附圖標(biāo)記：
[0033] 網(wǎng)絡(luò)安全監(jiān)控模塊1、網(wǎng)絡(luò)安全分析模塊2、網(wǎng)絡(luò)安全報(bào)警模塊3、網(wǎng)絡(luò)安全運(yùn)維模 塊4、用戶(hù)網(wǎng)絡(luò)行為分析子模塊10、網(wǎng)絡(luò)安全事件評(píng)估子模塊20。
【具體實(shí)施方式】
[0034] 結(jié)合以下實(shí)施例對(duì)本發(fā)明作進(jìn)一步描述。
[0035] 實(shí)施例1
[0036]參見(jiàn)圖1、圖2,本實(shí)施例的分布式電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)，包括網(wǎng)絡(luò)安全 監(jiān)控模塊1、網(wǎng)絡(luò)安全分析模塊2、網(wǎng)絡(luò)安全報(bào)警模塊3、網(wǎng)絡(luò)安全運(yùn)維模塊4:
[0037] 所述網(wǎng)絡(luò)安全監(jiān)控模塊1用于監(jiān)控電力企業(yè)信息網(wǎng)絡(luò)的主頁(yè)和各設(shè)備；
[0038] 所述網(wǎng)絡(luò)安全分析模塊2用于分析用戶(hù)網(wǎng)絡(luò)行為和網(wǎng)絡(luò)安全事件，包括用戶(hù)網(wǎng)絡(luò) 行為分析子模塊10和網(wǎng)絡(luò)安全事件評(píng)估子模塊20;
[0039] 所述網(wǎng)絡(luò)安全報(bào)警模塊3用于基于網(wǎng)絡(luò)安全分析模塊2的分析結(jié)果進(jìn)行選擇性報(bào) 警；
[0040] 所述網(wǎng)絡(luò)安全運(yùn)維模塊4用于根據(jù)網(wǎng)絡(luò)安全報(bào)警模塊3的報(bào)警信息進(jìn)行對(duì)應(yīng)的網(wǎng) 絡(luò)維護(hù)。
[0041] 其中，所述網(wǎng)絡(luò)安全事件評(píng)估子模塊20用于評(píng)估網(wǎng)絡(luò)安全事件的風(fēng)險(xiǎn)度，并針對(duì) 風(fēng)險(xiǎn)度大于預(yù)設(shè)風(fēng)險(xiǎn)度閾值的安全事件，向網(wǎng)絡(luò)安全報(bào)警模塊發(fā)出告警信息;所述安全事 件通過(guò)網(wǎng)絡(luò)安全設(shè)備對(duì)安全日志進(jìn)行歸一化處理生成。
[0042] 其中，所述網(wǎng)絡(luò)安全設(shè)備包括:防火墻設(shè)備、防病毒設(shè)備、入侵檢測(cè)設(shè)備、漏洞掃描 設(shè)備中的一種或多種。
[0043] 其中，所述網(wǎng)絡(luò)安全事件的風(fēng)險(xiǎn)度基于模糊矩陣層次分析法進(jìn)行評(píng)估。
[0044] 其中，所述用戶(hù)網(wǎng)絡(luò)行為分析子模塊10用于對(duì)用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行分析處理， 并針對(duì)非法的用戶(hù)網(wǎng)絡(luò)行為，向網(wǎng)絡(luò)安全報(bào)警模塊3發(fā)出告警信息;所述用戶(hù)網(wǎng)絡(luò)行為分析 子模塊10包括依次連接的數(shù)據(jù)預(yù)處理單元、數(shù)據(jù)挖掘單元和用戶(hù)網(wǎng)絡(luò)行為分析單元，所述 數(shù)據(jù)預(yù)處理單元用于剔除用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)中的缺失值和異常值，并進(jìn)一步進(jìn)行歸一化處 理，其中異常值采用統(tǒng)計(jì)學(xué)中的常用異常點(diǎn)判別方法GESR進(jìn)行判別；所述數(shù)據(jù)挖掘單元用 于采用改進(jìn)K-means聚類(lèi)方法對(duì)由數(shù)據(jù)預(yù)處理單元處理過(guò)的用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行聚類(lèi)， 并建立用戶(hù)分群模型;所述用戶(hù)網(wǎng)絡(luò)行為分析單元用于采用決策樹(shù)算法對(duì)所述分群模型進(jìn) 行標(biāo)識(shí)區(qū)分，識(shí)別用戶(hù)身份，并根據(jù)標(biāo)識(shí)區(qū)分識(shí)別結(jié)果建立人工神經(jīng)網(wǎng)絡(luò)模型，進(jìn)而對(duì)用戶(hù) 網(wǎng)絡(luò)行為進(jìn)行預(yù)測(cè)并判斷用戶(hù)網(wǎng)絡(luò)行為是否非法。
[0045] 其中，所述數(shù)據(jù)挖掘單元采用改進(jìn)K-means聚類(lèi)方法對(duì)由數(shù)據(jù)預(yù)處理單元處理過(guò) 的用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行聚類(lèi)，具體為：
[0046] 1)設(shè)所述用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)具有n個(gè)樣本，對(duì)n個(gè)樣本進(jìn)行向量化，通過(guò)夾角余弦 函數(shù)計(jì)算所有樣本兩兩之間的相似度，得到相似度矩陣XS;
[0047] 2)對(duì)相似度矩陣XS的每一行進(jìn)行求和，計(jì)算出每一個(gè)樣本與整個(gè)有效數(shù)據(jù)集的相 似度，設(shè)XS = [ sim(ai，aj) ]nxn，i，j = 1，…，n，其中sim(ai，aj)表示樣本ai，aj間的相似度，求 和公式為：
[。_ 1， j'=i
[0049] 3)按降序排列XSP,p = l,…，n，設(shè)XSP按從大到小排列的前4個(gè)值為XSmax，XSmax-i， XSmax-2，XSmax-3，若：
> 選擇與最大值XSmax相對(duì)應(yīng)的樣本作 為第一個(gè)初始的聚簇中心，否則選擇與XSmax，XSmti，XSmax-2，XS max-3對(duì)應(yīng)的四個(gè)樣本的均值 作為第一個(gè)初始的簇中心，T為設(shè)定的比例值；
[0050] 4)將最大值為XSmax對(duì)應(yīng)的矩陣中行向量的元素進(jìn)行升序排列，假設(shè)前k-1個(gè)最小 的元素為XSPq，q = l，…，k-1，選擇前k-1個(gè)最小的元素 XSPq相對(duì)應(yīng)的樣本aq作為剩余的k-1個(gè) 初始的聚簇中心，其中所述k值的設(shè)定方法為:設(shè)定k值可能取值的區(qū)間，通過(guò)測(cè)試k的不同 取值，并對(duì)區(qū)間內(nèi)的各個(gè)值進(jìn)行聚類(lèi)，通過(guò)比較協(xié)方差，確定聚類(lèi)之間的顯著性差異，從而 來(lái)探査聚類(lèi)的類(lèi)型信息，并最終確定合適的HI;
[0051] 5)計(jì)算剩余樣本與各初始的聚簇中心之間的相似度，將剩余樣本分發(fā)到相似度最 高的聚簇中，形成變化后的k個(gè)聚簇；
[0052] 6)計(jì)算變化后的聚簇中各樣本的均值，將其作為更新后的聚簇中心代替更新前的 聚簇中心；
[0053] 7)若更新前的聚簇中心與更新后的聚簇中心相同，或者目標(biāo)函數(shù)達(dá)到了最小值， 停止更新，所述目標(biāo)函數(shù)為：
[0055] 其中，Q表示k個(gè)聚簇中的第1個(gè)聚簇，ax為第1個(gè)聚簇中的樣本，^為第1個(gè)聚簇的 中心。
[0056] 本實(shí)施例設(shè)置了網(wǎng)絡(luò)安全監(jiān)控模塊1、網(wǎng)絡(luò)安全分析模塊2、網(wǎng)絡(luò)安全報(bào)警模塊3和 網(wǎng)絡(luò)安全運(yùn)維模塊4,實(shí)現(xiàn)了電力企業(yè)信息網(wǎng)絡(luò)的安全管理，使IT及安全管理員脫離繁瑣的 管理工作，提高工作效率，其中設(shè)置基于改進(jìn)K-means聚類(lèi)方法的數(shù)據(jù)挖掘單元，有效避免 單一采取隨機(jī)抽樣方法所帶來(lái)的偶然性，解決原有算法在選取k值以及初始化聚類(lèi)中心時(shí) 所存在的問(wèn)題，提高了聚類(lèi)穩(wěn)定性，提高了用戶(hù)網(wǎng)絡(luò)行為分析精度，相對(duì)提高了網(wǎng)絡(luò)安全管 理的有效度。其中T = l.4,用戶(hù)網(wǎng)絡(luò)行為分析精度相對(duì)提高了 4.7 %。
[0057] 實(shí)施例2
[0058]參見(jiàn)圖1、圖2,本實(shí)施例的分布式電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)，包括網(wǎng)絡(luò)安全 監(jiān)控模塊1、網(wǎng)絡(luò)安全分析模塊2、網(wǎng)絡(luò)安全報(bào)警模塊3、網(wǎng)絡(luò)安全運(yùn)維模塊4:
[0059]所述網(wǎng)絡(luò)安全監(jiān)控模塊1用于監(jiān)控電力企業(yè)信息網(wǎng)絡(luò)的主頁(yè)和各設(shè)備；
[0060] 所述網(wǎng)絡(luò)安全分析模塊2用于分析用戶(hù)網(wǎng)絡(luò)行為和網(wǎng)絡(luò)安全事件，包括用戶(hù)網(wǎng)絡(luò) 行為分析子模塊10和網(wǎng)絡(luò)安全事件評(píng)估子模塊20;
[0061] 所述網(wǎng)絡(luò)安全報(bào)警模塊3用于基于網(wǎng)絡(luò)安全分析模塊2的分析結(jié)果進(jìn)行選擇性報(bào) 警；
[0062] 所述網(wǎng)絡(luò)安全運(yùn)維模塊4用于根據(jù)網(wǎng)絡(luò)安全報(bào)警模塊3的報(bào)警信息進(jìn)行對(duì)應(yīng)的網(wǎng) 絡(luò)維護(hù)。
[0063] 其中，所述網(wǎng)絡(luò)安全事件評(píng)估子模塊20用于評(píng)估網(wǎng)絡(luò)安全事件的風(fēng)險(xiǎn)度，并針對(duì) 風(fēng)險(xiǎn)度大于預(yù)設(shè)風(fēng)險(xiǎn)度閾值的安全事件，向網(wǎng)絡(luò)安全報(bào)警模塊發(fā)出告警信息;所述安全事 件通過(guò)網(wǎng)絡(luò)安全設(shè)備對(duì)安全日志進(jìn)行歸一化處理生成。
[0064] 其中，所述網(wǎng)絡(luò)安全設(shè)備包括:防火墻設(shè)備、防病毒設(shè)備、入侵檢測(cè)設(shè)備、漏洞掃描 設(shè)備中的一種或多種。
[0065] 其中，所述網(wǎng)絡(luò)安全事件的風(fēng)險(xiǎn)度基于模糊矩陣層次分析法進(jìn)行評(píng)估。
[0066] 其中，所述用戶(hù)網(wǎng)絡(luò)行為分析子模塊10用于對(duì)用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行分析處理， 并針對(duì)非法的用戶(hù)網(wǎng)絡(luò)行為，向網(wǎng)絡(luò)安全報(bào)警模塊3發(fā)出告警信息;所述用戶(hù)網(wǎng)絡(luò)行為分析 子模塊10包括依次連接的數(shù)據(jù)預(yù)處理單元、數(shù)據(jù)挖掘單元和用戶(hù)網(wǎng)絡(luò)行為分析單元，所述 數(shù)據(jù)預(yù)處理單元用于剔除用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)中的缺失值和異常值，并進(jìn)一步進(jìn)行歸一化處 理，其中異常值采用統(tǒng)計(jì)學(xué)中的常用異常點(diǎn)判別方法GESR進(jìn)行判別；所述數(shù)據(jù)挖掘單元用 于采用改進(jìn)K-means聚類(lèi)方法對(duì)由數(shù)據(jù)預(yù)處理單元處理過(guò)的用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行聚類(lèi)， 并建立用戶(hù)分群模型;所述用戶(hù)網(wǎng)絡(luò)行為分析單元用于采用決策樹(shù)算法對(duì)所述分群模型進(jìn) 行標(biāo)識(shí)區(qū)分，識(shí)別用戶(hù)身份，并根據(jù)標(biāo)識(shí)區(qū)分識(shí)別結(jié)果建立人工神經(jīng)網(wǎng)絡(luò)模型，進(jìn)而對(duì)用戶(hù) 網(wǎng)絡(luò)行為進(jìn)行預(yù)測(cè)并判斷用戶(hù)網(wǎng)絡(luò)行為是否非法。
[0067] 其中，所述數(shù)據(jù)挖掘單元采用改進(jìn)K-means聚類(lèi)方法對(duì)由數(shù)據(jù)預(yù)處理單元處理過(guò) 的用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行聚類(lèi)，具體為：
[0068] 1)設(shè)所述用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)具有n個(gè)樣本，對(duì)n個(gè)樣本進(jìn)行向量化，通過(guò)夾角余弦 函數(shù)計(jì)算所有樣本兩兩之間的相似度，得到相似度矩陣XS;
[0069] 2)對(duì)相似度矩陣XS的每一行進(jìn)行求和，計(jì)算出每一個(gè)樣本與整個(gè)有效數(shù)據(jù)集的相 似度，設(shè)XS = [ sim(ai，aj) ]nxn，i，j = 1，…，n，其中sim(ai，aj)表示樣本ai，aj間的相似度，求 和公式為： n
[0070] XSp = ^ SLm(ai，aj), p - 1, ...,n
[0071] 3)按降序排列XSd，D = 1，…，n，設(shè)XSD按從大到小排列的前4個(gè)值為XSm^XSgH， XSmax-2，XSmax-3，若
.選擇與最大值XSmax相對(duì)應(yīng)的樣本作 為第一個(gè)初始的聚蔟中心，貪則選擇與XSmax，XSmax-i，XSmax-2，XS max-3對(duì)應(yīng)的四個(gè)樣本的均值 作為第一個(gè)初始的簇中心，T為設(shè)定的比例值；
[0072] 4)將最大值為XSmax對(duì)應(yīng)的矩陣中行向量的元素進(jìn)行升序排列，假設(shè)前k-1個(gè)最小 的元素為XS Pq，q = l，…，k-1，選擇前k-1個(gè)最小的元素 XSPq相對(duì)應(yīng)的樣本aq作為剩余的k-1個(gè) 初始的聚簇中心，其中所述k值的設(shè)定方法為:設(shè)定k值可能取值的區(qū)間，通過(guò)測(cè)試k的不同 取值，并對(duì)區(qū)間內(nèi)的各個(gè)值進(jìn)行聚類(lèi)，通過(guò)比較協(xié)方差，確定聚類(lèi)之間的顯著性差異，從而 來(lái)探査聚類(lèi)的類(lèi)型信息，并最終確定合適的HI;
[0073] 5)計(jì)算剩余樣本與各初始的聚簇中心之間的相似度，將剩余樣本分發(fā)到相似度最 高的聚簇中，形成變化后的k個(gè)聚簇；
[0074] 6)計(jì)算變化后的聚簇中各樣本的均值，將其作為更新后的聚簇中心代替更新前的 聚簇中心；
[0075] 7)若更新前的聚簇中心與更新后的聚簇中心相同，或者目標(biāo)函數(shù)達(dá)到了最小值， 停止更新，所述目標(biāo)函數(shù)為：
[0077] 其中，Q表示k個(gè)聚簇中的第1個(gè)聚簇，ax為第1個(gè)聚簇中的樣本，應(yīng)為第1個(gè)聚簇的 中心。
[0078] 本實(shí)施例設(shè)置了網(wǎng)絡(luò)安全監(jiān)控模塊1、網(wǎng)絡(luò)安全分析模塊2、網(wǎng)絡(luò)安全報(bào)警模塊3和 網(wǎng)絡(luò)安全運(yùn)維模塊4,實(shí)現(xiàn)了電力企業(yè)信息網(wǎng)絡(luò)的安全管理，使IT及安全管理員脫離繁瑣的 管理工作，提高工作效率，其中設(shè)置基于改進(jìn)K-means聚類(lèi)方法的數(shù)據(jù)挖掘單元，有效避免 單一采取隨機(jī)抽樣方法所帶來(lái)的偶然性，解決原有算法在選取k值以及初始化聚類(lèi)中心時(shí) 所存在的問(wèn)題，提高了聚類(lèi)穩(wěn)定性，提高了用戶(hù)網(wǎng)絡(luò)行為分析精度，相對(duì)提高了網(wǎng)絡(luò)安全管 理的有效度。其中T = 1.5，用戶(hù)網(wǎng)絡(luò)行為分析精度相對(duì)提高了 5 %。
[0079] 實(shí)施例3
[0080]參見(jiàn)圖1、圖2,本實(shí)施例的分布式電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)，包括網(wǎng)絡(luò)安全 監(jiān)控模塊1、網(wǎng)絡(luò)安全分析模塊2、網(wǎng)絡(luò)安全報(bào)警模塊3、網(wǎng)絡(luò)安全運(yùn)維模塊4:
[0081] 所述網(wǎng)絡(luò)安全監(jiān)控模塊1用于監(jiān)控電力企業(yè)信息網(wǎng)絡(luò)的主頁(yè)和各設(shè)備；
[0082] 所述網(wǎng)絡(luò)安全分析模塊2用于分析用戶(hù)網(wǎng)絡(luò)行為和網(wǎng)絡(luò)安全事件，包括用戶(hù)網(wǎng)絡(luò) 行為分析子模塊10和網(wǎng)絡(luò)安全事件評(píng)估子模塊20;
[0083] 所述網(wǎng)絡(luò)安全報(bào)警模塊3用于基于網(wǎng)絡(luò)安全分析模塊2的分析結(jié)果進(jìn)行選擇性報(bào) 警；
[0084] 所述網(wǎng)絡(luò)安全運(yùn)維模塊4用于根據(jù)網(wǎng)絡(luò)安全報(bào)警模塊3的報(bào)警信息進(jìn)行對(duì)應(yīng)的網(wǎng) 絡(luò)維護(hù)。
[0085] 其中，所述網(wǎng)絡(luò)安全事件評(píng)估子模塊20用于評(píng)估網(wǎng)絡(luò)安全事件的風(fēng)險(xiǎn)度，并針對(duì) 風(fēng)險(xiǎn)度大于預(yù)設(shè)風(fēng)險(xiǎn)度閾值的安全事件，向網(wǎng)絡(luò)安全報(bào)警模塊發(fā)出告警信息;所述安全事 件通過(guò)網(wǎng)絡(luò)安全設(shè)備對(duì)安全日志進(jìn)行歸一化處理生成。
[0086] 其中，所述網(wǎng)絡(luò)安全設(shè)備包括:防火墻設(shè)備、防病毒設(shè)備、入侵檢測(cè)設(shè)備、漏洞掃描 設(shè)備中的一種或多種。
[0087] 其中，所述網(wǎng)絡(luò)安全事件的風(fēng)險(xiǎn)度基于模糊矩陣層次分析法進(jìn)行評(píng)估。
[0088] 其中，所述用戶(hù)網(wǎng)絡(luò)行為分析子模塊10用于對(duì)用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行分析處理， 并針對(duì)非法的用戶(hù)網(wǎng)絡(luò)行為，向網(wǎng)絡(luò)安全報(bào)警模塊3發(fā)出告警信息;所述用戶(hù)網(wǎng)絡(luò)行為分析 子模塊10包括依次連接的數(shù)據(jù)預(yù)處理單元、數(shù)據(jù)挖掘單元和用戶(hù)網(wǎng)絡(luò)行為分析單元，所述 數(shù)據(jù)預(yù)處理單元用于剔除用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)中的缺失值和異常值，并進(jìn)一步進(jìn)行歸一化處 理，其中異常值采用統(tǒng)計(jì)學(xué)中的常用異常點(diǎn)判別方法GESR進(jìn)行判別；所述數(shù)據(jù)挖掘單元用 于采用改進(jìn)K-means聚類(lèi)方法對(duì)由數(shù)據(jù)預(yù)處理單元處理過(guò)的用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行聚類(lèi)， 并建立用戶(hù)分群模型;所述用戶(hù)網(wǎng)絡(luò)行為分析單元用于采用決策樹(shù)算法對(duì)所述分群模型進(jìn) 行標(biāo)識(shí)區(qū)分，識(shí)別用戶(hù)身份，并根據(jù)標(biāo)識(shí)區(qū)分識(shí)別結(jié)果建立人工神經(jīng)網(wǎng)絡(luò)模型，進(jìn)而對(duì)用戶(hù) 網(wǎng)絡(luò)行為進(jìn)行預(yù)測(cè)并判斷用戶(hù)網(wǎng)絡(luò)行為是否非法。
[0089] 其中，所述數(shù)據(jù)挖掘單元采用改進(jìn)K-means聚類(lèi)方法對(duì)由數(shù)據(jù)預(yù)處理單元處理過(guò) 的用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行聚類(lèi)，具體為：
[0090] 1)設(shè)所述用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)具有n個(gè)樣本，對(duì)n個(gè)樣本進(jìn)行向量化，通過(guò)夾角余弦 函數(shù)計(jì)算所有樣本兩兩之間的相似度，得到相似度矩陣XS;
[0091] 2)對(duì)相似度矩陣XS的每一行進(jìn)行求和，計(jì)算出每一個(gè)樣本與整個(gè)有效數(shù)據(jù)集的相 似度，設(shè)XS = [ sim(ai，aj) ]nxn，i，j = 1，…，n，其中sim(ai，aj)表示樣本ai，aj間的相似度，求 和公式為：
[0092] XSp = J,^(a,;,a〇,p = l,...,n y::i
[0093] 3)按降序排列XSP，p = l，…，n，設(shè)XSP按從大到小排列的前4個(gè)值為XSmax，XSmax-i， XSmax-2，XSmax-3，若：
選擇與最大值XSmax相對(duì)應(yīng)的樣本作 為第一個(gè)初始的聚簇中心，否則選擇與XSmax，XSmti，XSmax-2，XS max-3對(duì)應(yīng)的四個(gè)樣本的均值 作為第一個(gè)初始的簇中心，T為設(shè)定的比例值；
[0094] 4)將最大值為XSmax對(duì)應(yīng)的矩陣中行向量的元素進(jìn)行升序排列，假設(shè)前k-1個(gè)最小 的元素為XSPq，q = l，…，k-1，選擇前k-1個(gè)最小的元素 XSPq相對(duì)應(yīng)的樣本aq作為剩余的k-1個(gè) 初始的聚簇中心，其中所述k值的設(shè)定方法為:設(shè)定k值可能取值的區(qū)間，通過(guò)測(cè)試k的不同 取值，并對(duì)區(qū)間內(nèi)的各個(gè)值進(jìn)行聚類(lèi)，通過(guò)比較協(xié)方差，確定聚類(lèi)之間的顯著性差異，從而 來(lái)探査聚類(lèi)的類(lèi)型信息，并最終確定合適的HI;
[0095] 5)計(jì)算剩余樣本與各初始的聚簇中心之間的相似度，將剩余樣本分發(fā)到相似度最 高的聚簇中，形成變化后的k個(gè)聚簇；
[0096] 6)計(jì)算變化后的聚簇中各樣本的均值，將其作為更新后的聚簇中心代替更新前的 聚簇中心；
[0097] 7)若更新前的聚簇中心與更新后的聚簇中心相同，或者目標(biāo)函數(shù)達(dá)到了最小值， 停止更新，所述目標(biāo)函數(shù)為：
[0099] 其中，Q表示k個(gè)聚簇中的第1個(gè)聚簇，ax為第1個(gè)聚簇中的樣本，％為第1個(gè)聚簇的 中心。
[0100] 本實(shí)施例設(shè)置了網(wǎng)絡(luò)安全監(jiān)控模塊1、網(wǎng)絡(luò)安全分析模塊2、網(wǎng)絡(luò)安全報(bào)警模塊3和 網(wǎng)絡(luò)安全運(yùn)維模塊4,實(shí)現(xiàn)了電力企業(yè)信息網(wǎng)絡(luò)的安全管理，使IT及安全管理員脫離繁瑣的 管理工作，提高工作效率，其中設(shè)置基于改進(jìn)K-means聚類(lèi)方法的數(shù)據(jù)挖掘單元，有效避免 單一采取隨機(jī)抽樣方法所帶來(lái)的偶然性，解決原有算法在選取k值以及初始化聚類(lèi)中心時(shí) 所存在的問(wèn)題，提高了聚類(lèi)穩(wěn)定性，提高了用戶(hù)網(wǎng)絡(luò)行為分析精度，相對(duì)提高了網(wǎng)絡(luò)安全管 理的有效度。其中T = l.6,用戶(hù)網(wǎng)絡(luò)行為分析精度相對(duì)提高了 4.6 %。
[0101] 實(shí)施例4
[0102] 參見(jiàn)圖1、圖2,本實(shí)施例的分布式電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)，包括網(wǎng)絡(luò)安全 監(jiān)控模塊1、網(wǎng)絡(luò)安全分析模塊2、網(wǎng)絡(luò)安全報(bào)警模塊3、網(wǎng)絡(luò)安全運(yùn)維模塊4:
[0103] 所述網(wǎng)絡(luò)安全監(jiān)控模塊1用于監(jiān)控電力企業(yè)信息網(wǎng)絡(luò)的主頁(yè)和各設(shè)備；
[0104] 所述網(wǎng)絡(luò)安全分析模塊2用于分析用戶(hù)網(wǎng)絡(luò)行為和網(wǎng)絡(luò)安全事件，包括用戶(hù)網(wǎng)絡(luò) 行為分析子模塊10和網(wǎng)絡(luò)安全事件評(píng)估子模塊20;
[0105] 所述網(wǎng)絡(luò)安全報(bào)警模塊3用于基于網(wǎng)絡(luò)安全分析模塊2的分析結(jié)果進(jìn)行選擇性報(bào) 警；
[0106] 所述網(wǎng)絡(luò)安全運(yùn)維模塊4用于根據(jù)網(wǎng)絡(luò)安全報(bào)警模塊3的報(bào)警信息進(jìn)行對(duì)應(yīng)的網(wǎng) 絡(luò)維護(hù)。
[0107] 其中，所述網(wǎng)絡(luò)安全事件評(píng)估子模塊20用于評(píng)估網(wǎng)絡(luò)安全事件的風(fēng)險(xiǎn)度，并針對(duì) 風(fēng)險(xiǎn)度大于預(yù)設(shè)風(fēng)險(xiǎn)度閾值的安全事件，向網(wǎng)絡(luò)安全報(bào)警模塊發(fā)出告警信息;所述安全事 件通過(guò)網(wǎng)絡(luò)安全設(shè)備對(duì)安全日志進(jìn)行歸一化處理生成。
[0108] 其中，所述網(wǎng)絡(luò)安全設(shè)備包括:防火墻設(shè)備、防病毒設(shè)備、入侵檢測(cè)設(shè)備、漏洞掃描 設(shè)備中的一種或多種。
[0109] 其中，所述網(wǎng)絡(luò)安全事件的風(fēng)險(xiǎn)度基于模糊矩陣層次分析法進(jìn)行評(píng)估。
[0110] 其中，所述用戶(hù)網(wǎng)絡(luò)行為分析子模塊10用于對(duì)用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行分析處理， 并針對(duì)非法的用戶(hù)網(wǎng)絡(luò)行為，向網(wǎng)絡(luò)安全報(bào)警模塊3發(fā)出告警信息;所述用戶(hù)網(wǎng)絡(luò)行為分析 子模塊10包括依次連接的數(shù)據(jù)預(yù)處理單元、數(shù)據(jù)挖掘單元和用戶(hù)網(wǎng)絡(luò)行為分析單元，所述 數(shù)據(jù)預(yù)處理單元用于剔除用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)中的缺失值和異常值，并進(jìn)一步進(jìn)行歸一化處 理，其中異常值采用統(tǒng)計(jì)學(xué)中的常用異常點(diǎn)判別方法GESR進(jìn)行判別；所述數(shù)據(jù)挖掘單元用 于采用改進(jìn)K-means聚類(lèi)方法對(duì)由數(shù)據(jù)預(yù)處理單元處理過(guò)的用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行聚類(lèi)， 并建立用戶(hù)分群模型;所述用戶(hù)網(wǎng)絡(luò)行為分析單元用于采用決策樹(shù)算法對(duì)所述分群模型進(jìn) 行標(biāo)識(shí)區(qū)分，識(shí)別用戶(hù)身份，并根據(jù)標(biāo)識(shí)區(qū)分識(shí)別結(jié)果建立人工神經(jīng)網(wǎng)絡(luò)模型，進(jìn)而對(duì)用戶(hù) 網(wǎng)絡(luò)行為進(jìn)行預(yù)測(cè)并判斷用戶(hù)網(wǎng)絡(luò)行為是否非法。
[0111] 其中，所述數(shù)據(jù)挖掘單元采用改進(jìn)K-means聚類(lèi)方法對(duì)由數(shù)據(jù)預(yù)處理單元處理過(guò) 的用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行聚類(lèi)，具體為：
[0112] 1)設(shè)所述用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)具有n個(gè)樣本，對(duì)n個(gè)樣本進(jìn)行向量化，通過(guò)夾角余弦 函數(shù)計(jì)算所有樣本兩兩之間的相似度，得到相似度矩陣XS;
[0113] 2)對(duì)相似度矩陣XS的每一行進(jìn)行求和，計(jì)算出每一個(gè)樣本與整個(gè)有效數(shù)據(jù)集的相 似度，設(shè)XS = [ sim(ai，aj) ]nxn，i，j = 1，…，n，其中sim(ai，aj)表示樣本ai，aj間的相似度，求 和公式為： n
[0114] XSp = ^ sim^a^aj), p = 1, ,..,n ;=i
[0115] 3)按降序排列XSn.n = 1 . ??? .n ,設(shè)桉從女到小排列的前4個(gè)值為XSmax，XSmaH， XSmax-2，XSmax-3，若
，選擇與最大值XSmax相對(duì)應(yīng)的樣本作 為第一個(gè)初始的聚簇中心，否則選擇與XS max，XSmti，XSmax-2，XSmax- 3對(duì)應(yīng)的四個(gè)樣本的均值 作為第一個(gè)初始的簇中心，T為設(shè)定的比例值；
[0116] 4)將最大值為XSmax對(duì)應(yīng)的矩陣中行向量的元素進(jìn)行升序排列，假設(shè)前k-1個(gè)最小 的元素為XSPq，q = l，…，k-1，選擇前k-1個(gè)最小的元素 XSPq相對(duì)應(yīng)的樣本aq作為剩余的k-1個(gè) 初始的聚簇中心，其中所述k值的設(shè)定方法為:設(shè)定k值可能取值的區(qū)間，通過(guò)測(cè)試k的不同 取值，并對(duì)區(qū)間內(nèi)的各個(gè)值進(jìn)行聚類(lèi)，通過(guò)比較協(xié)方差，確定聚類(lèi)之間的顯著性差異，從而 來(lái)探査聚類(lèi)的類(lèi)型信息，并最終確定合適的HI;
[0117] 5)計(jì)算剩余樣本與各初始的聚簇中心之間的相似度，將剩余樣本分發(fā)到相似度最 高的聚簇中，形成變化后的k個(gè)聚簇；
[0118] 6)計(jì)算變化后的聚簇中各樣本的均值，將其作為更新后的聚簇中心代替更新前的 聚簇中心；
[0119] 7)若更新前的聚簇中心與更新后的聚簇中心相同，或者目標(biāo)函數(shù)達(dá)到了最小值， 停止更新，所述目標(biāo)函數(shù)為：
[0121] 其中，Q表示k個(gè)聚簇中的第1個(gè)聚簇，ax為第1個(gè)聚簇中的樣本，^為第1個(gè)聚簇的 中心。
[0122] 本實(shí)施例設(shè)置了網(wǎng)絡(luò)安全監(jiān)控模塊1、網(wǎng)絡(luò)安全分析模塊2、網(wǎng)絡(luò)安全報(bào)警模塊3和 網(wǎng)絡(luò)安全運(yùn)維模塊4,實(shí)現(xiàn)了電力企業(yè)信息網(wǎng)絡(luò)的安全管理，使IT及安全管理員脫離繁瑣的 管理工作，提高工作效率，其中設(shè)置基于改進(jìn)K-means聚類(lèi)方法的數(shù)據(jù)挖掘單元，有效避免 單一采取隨機(jī)抽樣方法所帶來(lái)的偶然性，解決原有算法在選取k值以及初始化聚類(lèi)中心時(shí) 所存在的問(wèn)題，提高了聚類(lèi)穩(wěn)定性，提高了用戶(hù)網(wǎng)絡(luò)行為分析精度，相對(duì)提高了網(wǎng)絡(luò)安全管 理的有效度。其中T = 1.7，用戶(hù)網(wǎng)絡(luò)行為分析精度相對(duì)提高了 4.7 %。
[0123] 實(shí)施例5
[0124] 參見(jiàn)圖1、圖2,本實(shí)施例的分布式電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)，包括網(wǎng)絡(luò)安全 監(jiān)控模塊1、網(wǎng)絡(luò)安全分析模塊2、網(wǎng)絡(luò)安全報(bào)警模塊3、網(wǎng)絡(luò)安全運(yùn)維模塊4:
[0125] 所述網(wǎng)絡(luò)安全監(jiān)控模塊1用于監(jiān)控電力企業(yè)信息網(wǎng)絡(luò)的主頁(yè)和各設(shè)備；
[0126] 所述網(wǎng)絡(luò)安全分析模塊2用于分析用戶(hù)網(wǎng)絡(luò)行為和網(wǎng)絡(luò)安全事件，包括用戶(hù)網(wǎng)絡(luò) 行為分析子模塊10和網(wǎng)絡(luò)安全事件評(píng)估子模塊20;
[0127] 所述網(wǎng)絡(luò)安全報(bào)警模塊3用于基于網(wǎng)絡(luò)安全分析模塊2的分析結(jié)果進(jìn)行選擇性報(bào) 警；
[0128] 所述網(wǎng)絡(luò)安全運(yùn)維模塊4用于根據(jù)網(wǎng)絡(luò)安全報(bào)警模塊3的報(bào)警信息進(jìn)行對(duì)應(yīng)的網(wǎng) 絡(luò)維護(hù)。
[0129] 其中，所述網(wǎng)絡(luò)安全事件評(píng)估子模塊20用于評(píng)估網(wǎng)絡(luò)安全事件的風(fēng)險(xiǎn)度，并針對(duì) 風(fēng)險(xiǎn)度大于預(yù)設(shè)風(fēng)險(xiǎn)度閾值的安全事件，向網(wǎng)絡(luò)安全報(bào)警模塊發(fā)出告警信息;所述安全事 件通過(guò)網(wǎng)絡(luò)安全設(shè)備對(duì)安全日志進(jìn)行歸一化處理生成。
[0130] 其中，所述網(wǎng)絡(luò)安全設(shè)備包括:防火墻設(shè)備、防病毒設(shè)備、入侵檢測(cè)設(shè)備、漏洞掃描 設(shè)備中的一種或多種。
[0131] 其中，所述網(wǎng)絡(luò)安全事件的風(fēng)險(xiǎn)度基于模糊矩陣層次分析法進(jìn)行評(píng)估。
[0132]其中，所述用戶(hù)網(wǎng)絡(luò)行為分析子模塊10用于對(duì)用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行分析處理， 并針對(duì)非法的用戶(hù)網(wǎng)絡(luò)行為，向網(wǎng)絡(luò)安全報(bào)警模塊3發(fā)出告警信息;所述用戶(hù)網(wǎng)絡(luò)行為分析 子模塊10包括依次連接的數(shù)據(jù)預(yù)處理單元、數(shù)據(jù)挖掘單元和用戶(hù)網(wǎng)絡(luò)行為分析單元，所述 數(shù)據(jù)預(yù)處理單元用于剔除用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)中的缺失值和異常值，并進(jìn)一步進(jìn)行歸一化處 理，其中異常值采用統(tǒng)計(jì)學(xué)中的常用異常點(diǎn)判別方法GESR進(jìn)行判別；所述數(shù)據(jù)挖掘單元用 于采用改進(jìn)K-means聚類(lèi)方法對(duì)由數(shù)據(jù)預(yù)處理單元處理過(guò)的用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行聚類(lèi)， 并建立用戶(hù)分群模型;所述用戶(hù)網(wǎng)絡(luò)行為分析單元用于采用決策樹(shù)算法對(duì)所述分群模型進(jìn) 行標(biāo)識(shí)區(qū)分，識(shí)別用戶(hù)身份，并根據(jù)標(biāo)識(shí)區(qū)分識(shí)別結(jié)果建立人工神經(jīng)網(wǎng)絡(luò)模型，進(jìn)而對(duì)用戶(hù) 網(wǎng)絡(luò)行為進(jìn)行預(yù)測(cè)并判斷用戶(hù)網(wǎng)絡(luò)行為是否非法。
[0133] 其中，所述數(shù)據(jù)挖掘單元采用改進(jìn)K-means聚類(lèi)方法對(duì)由數(shù)據(jù)預(yù)處理單元處理過(guò) 的用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行聚類(lèi)，具體為：
[0134] 1)設(shè)所述用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)具有n個(gè)樣本，對(duì)n個(gè)樣本進(jìn)行向量化，通過(guò)夾角余弦 函數(shù)計(jì)算所有樣本兩兩之間的相似度，得到相似度矩陣XS;
[0135] 2)對(duì)相似度矩陣XS的每一行進(jìn)行求和，計(jì)算出每一個(gè)樣本與整個(gè)有效數(shù)據(jù)集的相 似度，設(shè)XS = [ sim(ai，aj) ]nxn，i，j = 1，…，n，其中sim(ai，aj)表示樣本ai，aj間的相似度，求 和公式為： n
[0136] XSp = [ SLm(<ai,aj)l p - 1, .,, ,n j=t
[0137] 3)按降序排列XSP，p = 1，…，n，設(shè)XSP按從大到小排列的前4個(gè)值為XSmax，XSmax-i， XSmax-2，XSmax-3，若，選擇與最大值XS應(yīng)相對(duì)應(yīng)的樣本作
為第一個(gè)初始的聚簇中心，否則選擇與XSmax，XSmti，XSmax-2，XS max-3對(duì)應(yīng)的四個(gè)樣本的均值 作為第一個(gè)初始的簇中心，T為設(shè)定的比例值；
[0138] 4)將最大值為XSmax對(duì)應(yīng)的矩陣中行向量的元素進(jìn)行升序排列，假設(shè)前k-1個(gè)最小 的元素為XS Pq，q = l，…，k-1，選擇前k-1個(gè)最小的元素 XSPq相對(duì)應(yīng)的樣本aq作為剩余的k-1個(gè) 初始的聚簇中心，其中所述k值的設(shè)定方法為:設(shè)定k值可能取值的區(qū)間，通過(guò)測(cè)試k的不同 取值，并對(duì)區(qū)間內(nèi)的各個(gè)值進(jìn)行聚類(lèi)，通過(guò)比較協(xié)方差，確定聚類(lèi)之間的顯著性差異，從而 來(lái)探査聚類(lèi)的類(lèi)型信息，并最終確定合適的HI;
[0139] 5)計(jì)算剩余樣本與各初始的聚簇中心之間的相似度，將剩余樣本分發(fā)到相似度最 高的聚簇中，形成變化后的k個(gè)聚簇；
[0140] 6)計(jì)算變化后的聚簇中各樣本的均值，將其作為更新后的聚簇中心代替更新前的 聚簇中心；
[0141] 7)若更新前的聚簇中心與更新后的聚簇中心相同，或者目標(biāo)函數(shù)達(dá)到了最小值， 停止更新，所述目標(biāo)函數(shù)為：
[0143]其中，Q表示k個(gè)聚簇中的第1個(gè)聚簇，ax為第1個(gè)聚簇中的樣本，石I為第1個(gè)聚簇的 中心。
[0144] 本實(shí)施例設(shè)置了網(wǎng)絡(luò)安全監(jiān)控模塊1、網(wǎng)絡(luò)安全分析模塊2、網(wǎng)絡(luò)安全報(bào)警模塊3和 網(wǎng)絡(luò)安全運(yùn)維模塊4,實(shí)現(xiàn)了電力企業(yè)信息網(wǎng)絡(luò)的安全管理，使IT及安全管理員脫離繁瑣的 管理工作，提高工作效率，其中設(shè)置基于改進(jìn)K-means聚類(lèi)方法的數(shù)據(jù)挖掘單元，有效避免 單一采取隨機(jī)抽樣方法所帶來(lái)的偶然性，解決原有算法在選取k值以及初始化聚類(lèi)中心時(shí) 所存在的問(wèn)題，提高了聚類(lèi)穩(wěn)定性，提高了用戶(hù)網(wǎng)絡(luò)行為分析精度，相對(duì)提高了網(wǎng)絡(luò)安全管 理的有效度。其中T = 1.5，用戶(hù)網(wǎng)絡(luò)行為分析精度相對(duì)提高了 3 %。
[0145] 最后應(yīng)當(dāng)說(shuō)明的是，以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案，而非對(duì)本發(fā)明保 護(hù)范圍的限制，盡管參照較佳實(shí)施例對(duì)本發(fā)明作了詳細(xì)地說(shuō)明，本領(lǐng)域的普通技術(shù)人員應(yīng) 當(dāng)理解，可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換，而不脫離本發(fā)明技術(shù)方案的實(shí) 質(zhì)和范圍。
【主權(quán)項(xiàng)】
1. 分布式電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)，其特征在于，包括網(wǎng)絡(luò)安全監(jiān)控模塊、網(wǎng)絡(luò) 安全分析模塊、網(wǎng)絡(luò)安全報(bào)警模塊和網(wǎng)絡(luò)安全運(yùn)維模塊： 所述網(wǎng)絡(luò)安全監(jiān)控模塊用于監(jiān)控電力企業(yè)信息網(wǎng)絡(luò)的主頁(yè)和各設(shè)備； 所述網(wǎng)絡(luò)安全分析模塊用于分析用戶(hù)網(wǎng)絡(luò)行為和網(wǎng)絡(luò)安全事件，包括用戶(hù)網(wǎng)絡(luò)行為分 析子模塊和網(wǎng)絡(luò)安全事件評(píng)估子模塊； 所述網(wǎng)絡(luò)安全報(bào)警模塊用于基于網(wǎng)絡(luò)安全分析模塊的分析結(jié)果進(jìn)行選擇性報(bào)警； 所述網(wǎng)絡(luò)安全運(yùn)維模塊用于根據(jù)網(wǎng)絡(luò)安全報(bào)警模塊的報(bào)警信息進(jìn)行對(duì)應(yīng)的網(wǎng)絡(luò)維護(hù)。2. 根據(jù)權(quán)利要求1所述的分布式電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)，其特征在于，所述網(wǎng) 絡(luò)安全事件評(píng)估子模塊用于評(píng)估網(wǎng)絡(luò)安全事件的風(fēng)險(xiǎn)度，并針對(duì)風(fēng)險(xiǎn)度大于預(yù)設(shè)風(fēng)險(xiǎn)度閾 值的安全事件，向網(wǎng)絡(luò)安全報(bào)警模塊發(fā)出告警信息;所述安全事件通過(guò)網(wǎng)絡(luò)安全設(shè)備對(duì)安 全日志進(jìn)行歸一化處理生成。3. 根據(jù)權(quán)利要求2所述的分布式電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)，其特征在于，所述網(wǎng) 絡(luò)安全設(shè)備包括:防火墻設(shè)備、防病毒設(shè)備、入侵檢測(cè)設(shè)備、漏洞掃描設(shè)備中的一種或多種。4. 根據(jù)權(quán)利要求2所述的分布式電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)，其特征在于，所述網(wǎng) 絡(luò)安全事件的風(fēng)險(xiǎn)度基于模糊矩陣層次分析法進(jìn)行評(píng)估。5. 根據(jù)權(quán)利要求1所述的分布式電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)，其特征在于，所述用 戶(hù)網(wǎng)絡(luò)行為分析子模塊用于對(duì)用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行分析處理，并針對(duì)非法的用戶(hù)網(wǎng)絡(luò)行 為，向網(wǎng)絡(luò)安全報(bào)警模塊發(fā)出告警信息;所述用戶(hù)網(wǎng)絡(luò)行為分析子模塊包括依次連接的數(shù) 據(jù)預(yù)處理單元、數(shù)據(jù)挖掘單元和用戶(hù)網(wǎng)絡(luò)行為分析單元，所述數(shù)據(jù)預(yù)處理單元用于剔除用 戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)中的缺失值和異常值，并進(jìn)一步進(jìn)行歸一化處理，其中異常值采用統(tǒng)計(jì)學(xué) 中的常用異常點(diǎn)判別方法GESR進(jìn)行判別；所述數(shù)據(jù)挖掘單元用于采用改進(jìn)K-means聚類(lèi)方 法對(duì)由數(shù)據(jù)預(yù)處理單元處理過(guò)的用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行聚類(lèi)，并建立用戶(hù)分群模型；所述 用戶(hù)網(wǎng)絡(luò)行為分析單元用于采用決策樹(shù)算法對(duì)所述分群模型進(jìn)行標(biāo)識(shí)區(qū)分，識(shí)別用戶(hù)身 份，并根據(jù)標(biāo)識(shí)區(qū)分識(shí)別結(jié)果建立人工神經(jīng)網(wǎng)絡(luò)模型，進(jìn)而對(duì)用戶(hù)網(wǎng)絡(luò)行為進(jìn)行預(yù)測(cè)并判 斷用戶(hù)網(wǎng)絡(luò)行為是否非法。6. 根據(jù)權(quán)利要求5所述的分布式電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)，其特征在于，所述數(shù) 據(jù)挖掘單元采用改進(jìn)K-means聚類(lèi)方法對(duì)由數(shù)據(jù)預(yù)處理單元處理過(guò)的用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn) 行聚類(lèi)，具體為： 1) 設(shè)所述用戶(hù)網(wǎng)絡(luò)行為數(shù)據(jù)具有η個(gè)樣本，對(duì)η個(gè)樣本進(jìn)行向量化，通過(guò)夾角余弦函數(shù) 計(jì)算所有樣本兩兩之間的相似度，得到相似度矩陣XS; 2) 對(duì)相似度矩陣XS的每一行進(jìn)行求和，計(jì)算出每一個(gè)樣本與整個(gè)有效數(shù)據(jù)集的相似 度，設(shè)父3=[8；[111^而）]必11，；[，」=1，"，11，其中8；[111^而)表示樣本&1，&」間的相似度，求和 公式為：3 )技降序排列XSp，p = 1，…，η，設(shè)XSp技從大到小排列的如4個(gè)值為XSmax，XSmax-1，XSmax-2， XSmax-3,若I擇與最大值XSmax相對(duì)應(yīng)的樣本作為第一 個(gè)初始的聚簇中心，否則選擇與xsmax，XSmw，XSmax-2，XS max-3對(duì)應(yīng)的四個(gè)樣本的均值作為第 一個(gè)初始的簇中心，T為設(shè)定的比例值； 4) 將最大值為XSmax對(duì)應(yīng)的矩陣中行向量的元素進(jìn)行升序排列，假設(shè)前k-Ι個(gè)最小的元 素為XSPq，q = l，…，k-l，選擇前k-Ι個(gè)最小的元素 XSPq相對(duì)應(yīng)的樣本aq作為剩余的k-Ι個(gè)初始 的聚簇中心，其中所述k值的設(shè)定方法為:設(shè)定k值可能取值的區(qū)間，通過(guò)測(cè)試k的不同取值， 并對(duì)區(qū)間內(nèi)的各個(gè)值進(jìn)行聚類(lèi)，通過(guò)比較協(xié)方差，確定聚類(lèi)之間的顯著性差異，從而來(lái)探査 聚類(lèi)的類(lèi)型信息，并最終確定合適的HI; 5) 計(jì)算剩余樣本與各初始的聚簇中心之間的相似度，將剩余樣本分發(fā)到相似度最高的 聚簇中，形成變化后的k個(gè)聚簇； 6) 計(jì)算變化后的聚簇中各樣本的均值，將其作為更新后的聚簇中心代替更新前的聚簇 中心； 7) 若更新前的聚簇中心與更新后的聚簇中心相同，或者目標(biāo)函數(shù)達(dá)到了最小值，停止 更新，所述目標(biāo)函數(shù)為：其中，Q表示k個(gè)聚簇中的第1個(gè)聚簇，ax為第1個(gè)聚簇中的樣本，％為第1個(gè)聚簇的中 心。7.根據(jù)權(quán)利要求6所述的分布式電力企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)，其特征在于，所述設(shè) 定的比例值T的取值范圍為[1.4,1.8]。
【文檔編號(hào)】H04L12/24GK105959162SQ201610541002
【公開(kāi)日】2016年9月21日
【申請(qǐng)日】2016年7月6日
【發(fā)明人】不公告發(fā)明人
【申請(qǐng)人】吳本剛