一种跨域数据全链路安全画像分析方法与流程

1.本发明涉及电力系统分析技术领域，具体为一种跨域数据全链路安全画像分析方法。


背景技术：

2.随着社会的发展，电力系统的建设越来越普及，电力系统的建设体系也越来越庞大，随之而来，新型电力系统中会产生越来越多的问题，尤其是电力系统数据跨域交互过程中。
3.新型电力系统中数据跨域交互中，已有安全防护手段多为分区防护手段，无法做到全链路数据实时采集、用户行为建模分析、跨域安全数据关联，不能及时进行攻击路径及攻击链的分析和跨域安全风险快速发现，难以进行跨域全链路关联风险感知和预警。


技术实现要素：

4.（一）解决的技术问题针对现有技术的不足，本发明提供了一种跨域数据全链路安全画像分析方法，具备能够通过基于系统调用与用户访问的大数据分析和深度学习技术完成安全画像，实现全链路数据实时采集、用户行为建模分析、跨域安全数据关联，并且能够对攻击路径及攻击链进行分析，可以进行跨域全链路关联风险感知和预警，快速发现跨域安全风险，快速进行用户行为审计的优点。
5.（二）技术方案为实现上述目的，本发明提供如下技术方案：一种跨域数据全链路安全画像分析方法，设备画像以不同的数据维度对终端的刻画，通过不同的数据来源进行分析后并且给设备打上对应的能够让人理解的语义标签，将设备的具体行为以及兴趣偏好抽象成一个多元化的标签，通过标签来组成一个设备实体，建立统计模型，分析设备画像业务行为的异常情况，进而识别异常设备。
6.优选的，所述设备画像可以通过语义化表示的形式，基于设备的状态属性给设备打标签分为固定设备和移动设备；可以从业务属性将设备划分为语音终端、视频终端、传感终端；可以根据应用类型属性划分为用电采集终端、配电调度终端、充电管理终端等，也可以利用抽象的数学模型对终端进行描述，终端画像可以用标签的集合进行表示，从计算机的角度而言，终端画像特征化，标签是某一种终端特征的符号表示，方便计算机进行计算，其中标签是特征空间的维度变量。
7.优选的，包含有设备管理和分析中心，其中设备管理管理包含授权管理、系统管理，权限管理和审计优选的，所述分析中心首先对有数据流，日志数据，用户信息，以及漏扫和威胁情报数据进行接入加工。
8.优选的，所述分析中心其次对用户管理，实体管理，数据管理，配置管理，进行统一
的数据综合管理。
9.优选的，所述分析中心继而开始通过用户识别并画像；实体识别和画像；异常发现算法模型；专题分析模型，以及情报碰撞这些模型分析数据。
10.优选的，所述分析中心进一步进行用户分析，实体分析，事件分析，情报分析，从而生成报表。
11.优选的，所述分析中心最终发现top事件，top异常用户，top异常实体，失陷主机，网络访问异常，vpn接入异常等问题。
12.优选的，异常行为检测可分为：点异常、上下文异常和集合异常。
13.优选的，系统构架包含有：系统层、存储层、计算层和应用层；系统层采用docker容器技术，支持硬件、云主机方式；存储层包括消息总线、内存缓存、关系数据库、文件系统；计算层包括实时计算、历史计算、机器学习，以及建立在它们之上的调度引擎和调度任务。
14.应用层完成功能架构中各个功能模块：数据接入，数据加工，数据管理，数据分析等。
15.（三）有益效果与现有技术相比，本发明提供了一种跨域数据全链路安全画像分析方法，具备以下有益效果：该一种跨域数据全链路安全画像分析方法，通过设备管理和分析中心对，进行数据的采集，对接和分析，具备能够通过基于系统调用与用户访问的大数据分析和深度学习技术完成安全画像，实现全链路数据实时采集、用户行为建模分析、跨域安全数据关联，并且能够对攻击路径及攻击链进行分析，可以进行跨域全链路关联风险感知和预警，快速发现跨域安全风险，快速进行用户行为审计的优点。
附图说明
16.图1为本发明理论构架图；图2为本发明实现构架图；
具体实施方式
17.为了更好地了解本发明的目的、结构及功能，下面结合附图，对本发明一种跨域数据全链路安全画像分析方法做进一步详细的描述。
18.请参阅图1-2，本发明：设备画像通过数据分析提取设备的特征属性贴上相应的标签，是设备的具体行为以及兴趣偏好语义化的抽象表示，在计算机计算时，设备的特征空间与标签集合相对应。设备承载的业务是人能理解的文本内容，为方便浏览和理解，通过关键词抽取，建立统计模型可以分析业务行为的异常情况，进而识别异常设备。设备画像技术为终端设备网络访问行为异常分析提供了理论支撑。
19.设备画像以不同的数据维度对终端进行刻画，实际上通过不同的数据来源分析后给设备打上对应的能够让人理解的语义标签，将设备的具体行为以及兴趣偏好抽象成一个
多元化的标签，通过标签来组成一个设备实体。设备画像可以通过语义化表示的形式让人更容易理解，例如表示设备的基础属性，基于设备的状态属性可以给设备打标签分为固定设备和移动设备；可以从业务属性将设备划分为语音终端、视频终端、传感终端；根据应用类型属性划分为用电采集终端、配电调度终端、充电管理终端等。也可以利用抽象的数学模型对终端进行描述，终端画像可以用标签的集合进行表示，从计算机的角度而言，就终端画像特征化，便于计算机进行计算，其中标签是特征空间的维度变量。其认为，标签是某一种终端特征的符号表示，终端画像可以用标签的集合来表示。
20.整个系统包含有设备管理和分析中心，其中设备管理管理包含授权管理、系统管理，权限管理和审计。
21.优选的，所述分析中心首先对有数据流，日志数据，用户信息，以及漏扫和威胁情报数据进行接入加工。
22.优选的，所述分析中心其次对用户管理，实体管理，数据管理，配置管理，进行统一的数据综合管理。
23.优选的，所述分析中心继而开始通过用户识别并画像；实体识别和画像；异常发现算法模型；专题分析模型，以及情报碰撞这些模型分析数据。
24.优选的，所述分析中心进一步进行用户分析，实体分析，事件分析，情报分析，从而生成报表。
25.优选的，所述分析中心最终发现top事件，top异常用户，top异常实体，失陷主机，网络访问异常，vpn接入异常等问题。
26.异常行为检测可以分为以下3类：（1）点异常如果单独一条数据异常与其它的数据，那么这条数据实例就是一个点异常。点异常是最简单的异常，也是异常检测研究的最多的。
27.（2）上下文异常如果一条数据在一个特定的上下文中被认为异常，但放在另一个上下文中并不异常，那么这条数据就是上下文异常，这种异常也称为条件异常。要检测上下文异常，数据中除了行为属性还必须要有上下文属性，异常行为通过特定上下文中的行为属性的值来判定。上下文异常较于点异常的难点就是如何确定上下文。上下文异常最常出现在时序数据和空间数据中。
28.（3）集合异常如果一个连续的数据集合相对于整个数据集异常，那么这个集合就称为集合异常。集合异常中的单个数据可能并不是点异常，但是这些数据连续放在一起就违背正常行为模式。集合异常出现在连续数据，图像数据以及空间数据中。
29.异常检测简单的说就是建立正常行为模式库，然后将观察到的不属于正常模式库的行为判定为异常。异常检测技术主要有基于分类、基于最近邻、基于聚类、基于统计、基于信息论、基于光谱等。
30.设备画像将设备的特征属性进行标签化表示，能形象化表示出设备的基本属性和行为。关键词是文本内容的概括，通过关键词抽取建立统计模型可以表示业务行为状态，异常行为检测通过建立正常行为模式库，将不属于正常模式库的行为判定为异常，主要包括
点异常、上下文异常和集合异常等。设备画像和关键词建模为网络访问行为异常分析提供技术支撑。
31.基于全流量分析，结合机器学习、大数据关联分析、威胁情报、可视化等技术，实现用户与实体行为可视化、内部人员可疑行为发现、失陷主机发现等功能，帮助客户洞察未知威胁，降低内网失陷、非法接入、异常登录与操作、数据泄漏等内部安全风险。
32.实现方面，系统层采用docker容器技术，支持硬件、云主机方式。存储层包括消息总线、内存缓存、关系数据库、文件系统。计算层包括实时计算、历史计算、机器学习，以及建立在它们之上的调度引擎和调度任务。应用层完成功能架构中各个功能模块。具体如图2所示。
33.可以理解，本发明是通过一些实施例进行描述的，本领域技术人员知悉的，在不脱离本发明的精神和范围的情况下，可以对这些特征和实施例进行各种改变或等效替换。另外，在本发明的教导下，可以对这些特征和实施例进行修改以适应具体的情况及材料而不会脱离本发明的精神和范围。因此，本发明不受此处所公开的具体实施例的限制，所有落入本技术的权利要求范围内的实施例都属于本发明所保护的范围内。

技术特征：
1.一种跨域数据全链路安全画像分析方法，其特征在于：设备画像以不同的数据维度对终端的刻画，通过不同的数据来源进行分析后并且给设备打上对应的能够让人理解的语义标签，将设备的具体行为以及兴趣偏好抽象成一个多元化的标签，通过标签来组成一个设备实体，建立统计模型，分析设备画像业务行为的异常情况，进而识别异常设备。2.根据权利要求1所述的一种跨域数据全链路安全画像分析方法，其特征在于：所述设备画像可以通过语义化表示的形式，基于设备的状态属性给设备打标签分为固定设备和移动设备；可以从业务属性将设备划分为语音终端、视频终端、传感终端；可以根据应用类型属性划分为用电采集终端、配电调度终端、充电管理终端等，也可以利用抽象的数学模型对终端进行描述，终端画像可以用标签的集合进行表示，从计算机的角度而言，终端画像特征化，标签是某一种终端特征的符号表示，方便计算机进行计算，其中标签是特征空间的维度变量。3.根据权利要求1所述的一种跨域数据全链路安全画像分析方法，其特征在于：包含有设备管理和分析中心，其中设备管理管理包含授权管理、系统管理，权限管理和审计。4.根据权利要求1所述的一种跨域数据全链路安全画像分析方法，其特征在于：所述分析中心首先对有数据流，日志数据，用户信息，以及漏扫和威胁情报数据进行接入加工。5.根据权利要求1所述的一种跨域数据全链路安全画像分析方法，其特征在于：所述分析中心其次对，用户管理，实体管理，数据管理，配置管理，进行统一的数据综合管理。6.根据权利要求1所述的一种跨域数据全链路安全画像分析方法，其特征在于：所述分析中心继而开始通过用户识别并画像；实体识别和画像；异常发现算法模型；专题分析模型，以及情报碰撞这些模型分析数据。7.根据权利要求1所述的一种跨域数据全链路安全画像分析方法，其特征在于：所述分析中心进一步进行用户分析，实体分析，事件分析，情报分析，从而生成报表。8.根据权利要求1所述的一种跨域数据全链路安全画像分析方法，其特征在于：所述分析中心最终发现top事件，top异常用户，top异常实体，失陷主机，网络访问异常，vpn接入异常等问题。9.根据权利要求1所述的一种跨域数据全链路安全画像分析方法，其特征在于：异常行为检测可分为：点异常、上下文异常和集合异常。10.根据权利要求1所述的一种跨域数据全链路安全画像分析系统，其特征在于：系统构架包含有：系统层、存储层、计算层和应用层；系统层采用docker容器技术，支持硬件、云主机方式；存储层包括消息总线、内存缓存、关系数据库、文件系统；计算层包括实时计算、历史计算、机器学习，以及建立在它们之上的调度引擎和调度任务。应用层完成功能架构中各个功能模块：数据接入，数据加工，数据管理，数据分析等。

技术总结
本发明涉及电力系统分析技术领域，公开了一种跨域数据全链路安全画像分析方法，设备画像以不同的数据维度对终端的刻画，通过不同的数据来源进行分析后并且给设备打上对应的能够让人理解的语义标签，将设备的具体行为以及兴趣偏好抽象成一个多元化的标签，通过标签来组成一个设备实体，建立统计模型，分析设备画像业务行为的异常情况，进而识别异常设备。进而识别异常设备。


技术研发人员：方圆 盛剑桥 张亮 丁鑫 许静萱 沈越欣 张冠男 孙强 宫帅 程航 余东波 董小凌 张敏
受保护的技术使用者：国网安徽省电力有限公司信息通信分公司
技术研发日：2022.07.26
技术公布日：2023/9/14