电网调控云平台的行为异常检测、隔离方法、装置及系统制造方法及图纸

本发明专利技术公开了一种电网调控云平台的行为异常检测、隔离方法、装置及系统，包括采集与外部业务节点实时的连接关系数据和自身实时的运行信息；将采集到的与外部业务节点实时的连接关系数据输入至预先训练好的连接关系评价模型，得到连接关系的异常连接评价得分，并与异常连接基线分值相比较，判断业务节点的连接关系是否为异常连接；将采集到的自身实时的运行信息输入至预先训练好的节点行为评价模型，得到异常行为评价得分，并与异常行为基线分值相比较，判断业务节点行为是否为异常行为。本发明专利技术能够满足对调控云平台的网络保护要求，实现对调控云平台内部流量的有效隔离。现对调控云平台内部流量的有效隔离。现对调控云平台内部流量的有效隔离。

【技术实现步骤摘要】
电网调控云平台的行为异常检测、隔离方法、装置及系统


[0001]本专利技术属于网络安全
，具体涉及一种电网调控云平台的行为异常检测、隔离方法、装置及系统。

技术介绍

[0002]调控云平台是面向电网调度业务的云服务平台，承载了调控运行分析、安全管控和辅助决策等业务功能，一旦遭受攻击，则会导致业务系统崩溃、数据丢失、泄露、破坏等问题，对业务运营造成严重损害。
[0003]随着云计算技术在调控云平台中的应用，传统的IT资源上承载的业务系统，转变成虚拟化的资源和中间件承载的业务系统。随着云原生、持续交付、容器、微服务架构等新技术不断应用，对网络安全产生了新的挑战，应用的快速迭代、跨云资源调度将导致网络结构动态调整，安全策略配置不合理及监控措施覆盖不全等问题，都将导致调控云平台的安全风险增大。
[0004]传统的网络安全防御方案在新技术应用的冲击下，存在明显短板。具体表现为：以分析安全问题、固定规则设定的研究方法变得效率低下、甚至无能为力；网络的异常访问连接非常复杂，需要手动设置、定义规则，花费较长时间；容易误报，太多的信号数据源和碎片化的报警规则，需要繁琐分析，误报或漏报比例较高；攻击来自内网时，传统网络的边界防御提供的保护极其有限；防御主要通过人工手动方式来实现，缺少节点自身行为和节点之间网络行为的监控识别，尚未具备对大量的主机节点和调控云内部网络行为进行高效管理的能力。

技术实现思路

[0005]针对上述问题，本专利技术提出一种电网调控云平台的行为异常检测、隔离方法、装置及系统。<br/>[0006]为了实现上述技术目的，达到上述技术效果，本专利技术通过以下技术方案实现：
[0007]第一方面，本专利技术提供了一种电网调控云平台的行为异常检测方法，应用于业务节点，包括：
[0008]采集与外部业务节点实时的连接关系数据和自身实时的运行信息；
[0009]将采集到的与外部业务节点实时的连接关系数据输入至预先训练好的连接关系评价模型，得到连接关系的异常连接评价得分，并与异常连接基线分值相比较，判断业务节点的连接关系是否为异常连接；
[0010]将采集到的自身实时的运行信息输入至预先训练好的节点行为评价模型，得到异常行为评价得分，并与异常行为基线分值相比较，判断业务节点行为是否为异常行为。
[0011]可选地，所述将采集到的与外部业务节点实时的连接关系数据输入至预先训练好的连接关系评价模型步骤之前还包括：
[0012]接收服务端下发的连接关系白名单和节点行为白名单；
[0013]将采集到的与外部业务节点实时的连接关系数据与连接关系白名单进行匹配，若能够成功匹配所述连接关系白名单，则判定业务节点的连接关系为正常连接；
[0014]将采集到的实时自身的运行信息与节点行为白名单进行匹配，若能够成功匹配所述节点行为白名单，则判定业务节点的行为为正常行为。
[0015]可选地，所述连接关系评价模型通过以下步骤训练得到：
[0016]使用与外部业务节点历史的连接关系数据为训练集；
[0017]使用孤立森林算法，以及所述训练集，训练机器学习模型，得到连接关系评价模型，并获得连接关系评价模型的异常连接基线分值。
[0018]可选地，所述节点行为评价模型通过以下步骤训练得到：
[0019]使用自身历史的运行信息作为训练集；
[0020]使用孤立森林算法，以及所述训练集，训练机器学习模型，得到节点行为评价模型，并获得节点行为评价模型的异常行为基线分值。
[0021]可选地，所述与外部业务节点实时的连接关系数据和自身实时的运行信息的通过以下步骤采集获得：
[0022]使用netfilter技术截取外部业务节点发送到本业务节点和本业务节点发送到外部业务节点的流量报文；
[0023]基于所述流量报文分析得到与外部业务节点实时的连接关系数据和自身实时的运行信息。
[0024]可选地，所述连接关系数据包括：&lt;本地IP、本地端口、远程IP、远程端口、网络协议、进程ID、进程名、连接时间&gt;；
[0025]所述本地IP是指：业务节点的自身IP地址；
[0026]所述本地端口是指：与外部业务节点连接的自身节点开放的端口；
[0027]所述远程IP是指：业务节点采集到的与自身连接的外部业务节点IP地址；
[0028]所述远程端口是指：业务节点采集到的与自身连接的外部业务节点开放的端口；
[0029]所述网络协议是指：通信双方共同遵守的约定和通信规则的集合；
[0030]所述进程ID是指：业务节点与外部业务节点的连接关系在自身进程的ID；
[0031]所述进程名是指：业务节点与外部业务节点的连接关系在自身进程的名称；
[0032]所述连接时间是指：所采集的连接关系的时间；
[0033]所述运行信息包括：&lt;本地IP、开放的所有端口、所有运行的进程信息、节点所属业务组、节点内存使用率、节点CPU使用率&gt;；
[0034]所述本地IP是指：业务节点的自身IP地址；
[0035]所述开放的所有端口是指：业务节点所有已开放的端口；
[0036]所述运行的进程信息是指：运行的进程所包含的属性，包括进程所属用户、进程ID、进程启动时间、进程的实际指令、进程所占物理内存比和进程所占CPU资源比；
[0037]所述节点所属业务是指：服务端对资产进行分类管理所区分的不同业务分组；
[0038]所述节点内存使用率是指：业务节点的已使用内存占总内存大小的比例；
[0039]所述节点CPU使用率是指：业务节点的运行程序所占CPU资源的比例。
[0040]第二方面，本专利技术提供了一种电网调控云平台的行为异常隔离方法，包括：
[0041]当基于行为异常检测方法检测出异常连接，则建立断开与此异常连接相对应的微
隔离策略，禁止本业务节点访问外部业务节点或外部业务节点访问本业务节点；
[0042]当基于行为异常检测方法检测出异常节点行为，则建立与外部断开的微隔离策略，并禁止本业务节点与外部的连接。
[0043]所述行为异常隔离方法还包括：
[0044]接收服务端下发的微隔离策略；
[0045]当基于行为异常检测方法检测出异常连接，若该异常连接满足接收到的微隔离策略的要求，则基于接收到的微隔离策略禁止本业务节点访问外部业务节点或外部业务节点访问本业务节点；
[0046]当基于行为异常检测方法检测出异常节点行为，若该异常节点行为满足接收到的微隔离策略的要求，则基于接收到的微隔离策略禁止本业务节点与外部的连接。
[0047]可选地，所述行为异常隔离方法还包括：
[0048]将建立的微隔离策略发送至服务端，更新服务端中保存的微隔离策略。
[0049]可选地，所述微隔离策略包括：策略名称、类型、访问者、访问者端口、服务者、服本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种电网调控云平台的行为异常检测方法，其特征在于，应用于业务节点，包括：采集与外部业务节点实时的连接关系数据和自身实时的运行信息；将采集到的与外部业务节点实时的连接关系数据输入至预先训练好的连接关系评价模型，得到连接关系的异常连接评价得分，并与异常连接基线分值相比较，判断业务节点的连接关系是否为异常连接；将采集到的自身实时的运行信息输入至预先训练好的节点行为评价模型，得到异常行为评价得分，并与异常行为基线分值相比较，判断业务节点行为是否为异常行为。2.根据权利要求1所述的一种电网调控云平台的行为异常检测方法，其特征在于：所述将采集到的与外部业务节点实时的连接关系数据输入至预先训练好的连接关系评价模型步骤之前还包括：接收服务端下发的连接关系白名单和节点行为白名单；将采集到的与外部业务节点实时的连接关系数据与连接关系白名单进行匹配，若能够成功匹配所述连接关系白名单，则判定业务节点的连接关系为正常连接；将采集到的实时自身的运行信息与节点行为白名单进行匹配，若能够成功匹配所述节点行为白名单，则判定业务节点的行为为正常行为。3.根据权利要求1所述的一种电网调控云平台的行为异常检测方法，其特征在于：所述连接关系评价模型通过以下步骤训练得到：使用与外部业务节点历史的连接关系数据为训练集；使用孤立森林算法，以及所述训练集，训练机器学习模型，得到连接关系评价模型，并获得连接关系评价模型的异常连接基线分值。4.根据权利要求1所述的一种电网调控云平台的行为异常检测方法，其特征在于：所述节点行为评价模型通过以下步骤训练得到：使用自身历史的运行信息作为训练集；使用孤立森林算法，以及所述训练集，训练机器学习模型，得到节点行为评价模型，并获得节点行为评价模型的异常行为基线分值。5.根据权利要求1所述的一种电网调控云平台的行为异常检测方法，其特征在于：所述与外部业务节点实时的连接关系数据和自身实时的运行信息的通过以下步骤采集获得：使用netfilter技术截取外部业务节点发送到本业务节点和本业务节点发送到外部业务节点的流量报文；基于所述流量报文分析得到与外部业务节点实时的连接关系数据和自身实时的运行信息。6.根据权利要求1所述的一种电网调控云平台的行为异常检测方法，其特征在于：所述连接关系数据包括：&lt;本地IP、本地端口、远程IP、远程端口、网络协议、进程ID、进程名、连接时间&gt;；所述本地IP是指：业务节点的自身IP地址；所述本地端口是指：与外部业务节点连接的自身节点开放的端口；所述远程IP是指：业务节点采集到的与自身连接的外部业务节点IP地址；所述远程端口是指：业务节点采集到的与自身连接的外部业务节点开放的端口；所述网络协议是指：通信双方共同遵守的约定和通信规则的集合；
所述进程ID是指：业务节点与外部业务节点的连接关系在自身进程的ID；所述进程名是指：业务节点与外部业务节点的连接关系在自身进程的名称；所述连接时间是指：所采集的连接关系的时间；所述运行信息包括：&lt;本地IP、开放的所有端口、所有运行的进程信息、节点所属业务组、节点内存使用率、节点CPU使用率&gt;；所述本地IP是指：业务节点的自身IP地址；所述开放的所有端口是指：业务节点所有已开放的端口；所述运行的进程信息是指：运行的进程所包含的属性，包括进程所属用户、进程ID、进程启动时间、进程的实际指令、进程所占...

【专利技术属性】
技术研发人员：曹永健，魏兴慎，杨维永，高鹏，吴超，吕卓，周剑，田秋涵，张勃，朱世顺，张浩天，马增洲，刘苇，祁龙云，黄天明，陈岑，
申请(专利权)人：国网电力科学研究院有限公司国网河南省电力公司电力科学研究院国家电网有限公司，
类型：发明
国别省市：