一种公安终端用户访问行为的数据传输与集中管控方法与流程

本发明涉及一种管控方法，具体涉及公安终端用户访问行为的数据传输与集中管控方法，属于信息数据的采集、传输与分析技术领域。

背景技术：

随着公安系统终端用户使用量的快速增长，使用的违规情况也会必然产生，所以需要发现违规使用终端访问的行为，才能加以制止，保证网络安全。

目前，终端用户的使用信息数据，存在着数据分散，无统计，无分析，无处理，无判定，无指示的状态，急需对终端用户的违规行为加以集中汇总，分析并管控。

然而，单纯依靠人工记录上报的方法，不仅隐患内容缺乏准确性判定标准，而且缺少对分散的安全隐患记录的融合分析，所以很难分辨出终端用户访问行为是否是违规异常行为，更别说加以管控了，同时，原始行为数据仅存在于终端管控系统中，未在核心信息网中进行集中管理与分析，需要进行一套完整的数据双向传输链，因此，迫切的需要一种新的方案解决上述技术问题。

技术实现要素：

本发明正是针对现有技术中存在的问题，提供一种公安终端用户访问行为的数据传输与集中管控方法，该方案通过公安系统终端用户访问行为链数据的采集，汇聚，分析，处理与策略管控，以解决现有技术中无法高效汇聚终端用户访问信息，并分辨违规信息，进而达到对违规访问用户进行管控的目的。

为了实现上述目的，本发明的技术方案如下，一种公安终端用户访问行为的数据传输与集中管控方法，其特征在于，所述方法包括以下步骤：

步骤1)位于省级的公安移动信息网的采集系统，通过syslog方式获取同类网中的终端管控系统中的终端访问行为链数据；

步骤2)对获取的终端访问数据进行初步清洗，去除异常值，缺失值，并对数据流量单位进行规约；

步骤3)通过消息队列的方式将省级公安移动信息网中的数据传输至省级公安信息网；

步骤4)再通过vpn代理方式将数据从省级公安信息网传输至部级公安信息网中的安全管控中心；

步骤5)安全管控中心后台系统对终端访问行为数据进行汇总与分析；

步骤6)抽取具有访问行为特征的向量；

步骤7)通过数据统计，业务关联方式给原未标记是否异常的数据打上标签；

步骤8)对分类好是否异常的访问数据使用分类模型进行训练；

步骤9)对新产生的访问行为数据代入模型，得出二分类结果，即是否是异常行为；

步骤10)部级公安信息网中的安全管控系统将数据通过vpn代理再下发给省级公安信息网中的安全管控系统；

步骤11)省级公安移动信息网中的采集系统主动从省级公安信息网中的安全管控系统拉取分类出的异常行为；

步骤12)省级公安移动信息网中的采集系统将异常行为的操作人及关联信息下发给同网络中的终端管控系统，至此完成整套流程。

所述步骤(1)具体为：省级公安移动信息网中的终端管控系统作为数据源，开启snmp协议，将终端行为数据通过syslog方式在同网段中的数据进行广播，位于省级的公安移动信息网的采集系统接收此广播中的数据，即终端行为数据。

所述步骤(2)具体为：对获取的终端行为数据进行清洗，对缺失关键特征的数据进行删除，如缺失使用人员，访问对象的。对明显异常的与实际业务不符的数据进行删除，如超出业务管控范围的被访问应用。对流量大小值缺失的，进行拉格朗日拉插值取得平滑补全值。

所述步骤(3)具体为：在省级公安移动信息网中的采集系统与省级公安信息网中的安全管控系统之间建立消息队列管道，当采集系统接收到新的终端行为数据时，实时通过此管道传输至安全管控系统。

所述步骤(5)包括以下子步骤：

(51)安全管控中心后台系统对终端访问行为数据进行汇总，对所有获取的数据去除重复，删除业务上相悖的数据；通过数据统计分析与业务关联的方式给原未标记是否异常的数据打上是否异常的标签，并训练分类模型；

(52)先初步根据业务，从访问行为数据所有字段中提取关键访问行为特征向量。再使用pca算法进行降维处理，得到核心特征。

(53)将其中没有是否异常标识的访问行为数据，将访问流量，访问时间的数据进行分布统计，

并进行聚类，将其中远离簇中心过远的数据打上异常标签。另一方面，根据实际系统情况，如访问时间在内部公告要求之外，来访ip地址在工作地范围之外的等数据打上异常标签。

(54)对上述分类好是否异常的访问数据使用分类算法进行训练，得到所需模型。并校验可知，准确率较高。

所述步骤(11)具体为：省级公安信息网中的安全管控系统采用restful接口，对外提供获取异常行为处理信息的功能。省级公安移动信息网中的采集系统通过主动调用此接口，获取异常行为的处理信息；

所述步骤(12)具体为：省级公安信息网中的终端管控系统采用restful接口，对外提供接收异常行为处理信息的功能。省级公安移动信息网中的采集系统通过主动调用此接口，向其发送异常行为的处理信息；

相对于现有技术，本发明的技术效果如下：该方案可通过一整条数据链，通过多次，多种传输方式，完成访问行为数据的采集，汇聚，分析与下发的完整过程。使得数据可以在省级、部级的公安移动信息网、公安信息网之间双向稳定传输。使终端用户的行为数据得到了集中管控，实时监测。同时对访问行为进行了有效甄别，包括未标识异常的数据也得到了甄别，并将对应处理指令及时进行了下发。

附图说明

图1为公安终端用户访问行为数据的采集汇总处理分析的正整套流程图。

具体实施方式：

为了加深对本发明的理解，下面结合实施例对本发明做详细的介绍。

实施例1：参见图1，一种公安终端用户访问行为的数据传输与集中管控方法，所述方法包括以下步骤：

步骤1)位于省级的公安移动信息网的采集系统，通过syslog方式获取同类网中的终端管控系统中的终端访问行为链数据；

步骤2)对获取的终端访问数据进行初步清洗，去除异常值，缺失值，并对数据流量单位进行规约；

步骤3)通过消息队列的方式将省级公安移动信息网中的数据传输至省级公安信息网；

步骤4)再通过vpn代理方式将数据从省级公安信息网传输至部级公安信息网中的安全管控中心；

步骤5)安全管控中心后台系统对终端访问行为数据进行汇总与分析；将终端访问行为数据进行清洗，去除异常值，缺失值，从数据中提取关键访问行为特征向量。通过数据统计分析与业务关联的方式给原未标记是否异常的数据打上是否异常的标签，并训练分类模型

步骤6)对分类好是否异常的访问数据使用分类模型进行训练；

步骤7)对新产生的访问行为数据代入模型，得出二分类结果，即是否是异常行为；

步骤8)部级公安信息网中的安全管控系统将数据通过vpn代理再下发给省级公安信息网中的安全管控系统；

步骤9)省级公安移动信息网中的采集系统主动从省级公安信息网中的安全管控系统拉取分类出的异常行为；

步骤10)省级公安移动信息网中的采集系统将异常行为的操作人及关联信息下发给同网络中的终端管控系统。至此完成整套流程。

所述步骤(1)具体为：省级公安移动信息网中的终端管控系统作为数据源，开启snmp协议，将终端行为数据通过syslog方式在同网段中的数据进行广播，位于省级的公安移动信息网的采集系统接收此广播中的数据，即终端行为数据。

所述步骤(2)具体为：对获取的终端行为数据进行清洗，对缺失关键特征的数据进行删除，如缺失使用人员，访问对象的。对明显异常的与实际业务不符的数据进行删除，如超出业务管控范围的被访问应用。对流量大小值缺失的，进行拉格朗日拉插值取得平滑补全值。

所述步骤(3)具体为：在省级公安移动信息网中的采集系统与省级公安信息网中的安全管控系统之间建立消息队列管道，当采集系统接收到新的终端行为数据时，实时通过此管道传输至安全管控系统。

所述步骤(5)包括以下子步骤：

(51)安全管控中心后台系统对终端访问行为数据进行汇总，对所有获取的数据去除重复，删除业务上相悖的数据；通过数据统计分析与业务关联的方式给原未标记是否异常的数据打上是否异常的标签，并训练分类模型；

(52)先初步根据业务，从访问行为数据所有字段中提取关键访问行为特征向量。再使用pca算法进行降维处理，得到核心特征。

(53)将其中没有是否异常标识的访问行为数据，将访问流量，访问时间的数据进行分布统计，

并进行聚类，将其中远离簇中心过远的数据打上异常标签。另一方面，根据实际系统情况，如访问时间在内部公告要求之外，来访ip地址在工作地范围之外的等数据打上异常标签。

(54)对上述分类好是否异常的访问数据使用分类算法进行训练，得到所需模型。并校验可知，准确率较高；

所述步骤(11)具体为：省级公安信息网中的安全管控系统采用restful接口，对外提供获取异常行为处理信息的功能。省级公安移动信息网中的采集系统通过主动调用此接口，获取异常行为的处理信息；

所述步骤(12)具体为：省级公安信息网中的终端管控系统采用restful接口，对外提供接收异常行为处理信息的功能。省级公安移动信息网中的采集系统通过主动调用此接口，向其发送异常行为的处理信息。

需要说明的是上述实施例，并非用来限定本发明的保护范围，在上述技术方案的基础上所作出的等同变换或替代均落入本发明权利要求所保护的范围。