本发明涉及网络安全,具体地涉及一种电力行业网络安全日志审计分析方法和系统。
背景技术:
1、随着信息技术在电力领域的不断深化应用,电力业务对信息系统的依赖度越来越高,信息系统已成为覆盖电力生产、经营、管理的中枢系统。电力行业信息系统的安全性、可用性关系到电力业务的安全性、可用性,事关国计民生和社会稳定,须得到充分重视。日志审计作为电力信息安全体系框架的重要建设内容之一,可以有效辅助对信息安全故障和安全事件的全面记录和事后追溯定位,同时日志审计系统是一种作用于整个信息管理体系的,以整体监控和审计为目标的,可为电力企业提供预警和客观决策依据信息安全保障系统,能够很好满足电力信息网络的上述要求。现有日志文件只有简单的风险防范,无法应对各种来源的威胁风险。
技术实现思路
1、本发明实施例的目的是提供一种电力行业网络安全日志审计分析方法和系统,该方法可以防范多种来源的系统风险并能够发出警告。
2、为了实现上述目的,一方面,本发明实施例提供一种电力行业网络安全日志审计分析方法,所述方法包括:
3、对日志审计分析模型进行预训练;
4、获取正常的日志审计文件;
5、将所述日志审计文件送入预训练后的所述日志审计分析模型中,以对有风险的所述日志审计文件进行警告。
6、可选的,所述对日志审计分析模型进行预训练包括:
7、通过漏洞测试工具收集常规的恶意url;
8、将所述恶意url进行解码后送入所述日志审计模型中;
9、所述日志审计模型训练识别包含所述恶意url的文件并发出警告。
10、可选的,所述将所述日志审计文件送入预训练后的所述日志审计分析模型中,以对有风险的所述日志审计文件进行警告包括:
11、获取所述日志审计文件;
12、对不同的所述日志审计文件进行相异度计算;
13、归并低于设定相异度阈值的所述日志审计文件;
14、获取所述日志审计文件的属性;
15、对所述日志审计文件的属性分配不同的权重;
16、将不同的权重的所述属性进行排序;
17、获取所述日志审计文件中的权重大于一定阈值的所述属性;
18、将大于一定阈值的属性送入预训练后的所述日志审计分析模型中,以检测所述日志审计文件的风险性。
19、可选的,所述将所述日志审计文件送入预训练后的所述日志审计分析模型中,以对有风险的所述日志审计文件进行警告包括:
20、获取所述日志审计文件;
21、对所述日志审计文件中的日志信息进行切块;
22、将切块的所述日志信息进行格式化处理;
23、搜寻并截取包含需要的关键字的格式化后的所述日志信息;
24、对截取的所述日志信息进行渲染,以得到符合要求的日志信息;
25、所述日志审计分析模型对所述日志信息进行分析,在所述日志信息有风险时,发出警告。
26、可选的,截取的日志信息包括:远程服务器地址、访问日期、url和用户代理。
27、可选的,所述将所述日志审计文件送入预训练后的所述日志审计分析模型中,以对有风险的所述日志审计文件进行警告包括:
28、获取渲染后的所述日志信息;
29、获取与渲染后的所述日志信息对应的正常的基准行为;
30、通过渲染后的所述日志信息和正常的基准行为对比确定可疑的信息并进行警告。
31、可选的,与渲染后的所述日志信息对应的场景包括:针对核心数据库的数据库密码猜解行为、违规登录行为、网页非法篡改、远程跳板访问、广播风暴、文件传播活动。
32、另一方面,本发明还提供一种电力行业网络安全日志审计分析系统,所述系统包括:
33、网络采集数据库,所述网络采集数据库用于收集已披露的网络指令流量数据;
34、日志审计分析模型模块,与所述网络采集数据库连接所述日志审计分析模型模块包括如权利要求1-7所述的日志审计分析模型,以分析日志审计文件的风险性;
35、后台运行模块,与所述日志审计分析模型模块连接,以后台显示和操作需要认证的日志文件。
36、可选的,对所述日志文件认证包括设备认证和用户认证,用户认证对应设有用户状态防火墙,不同的所述用户认证对应设有不同的防火墙策略。
37、通过上述技术方案,本发明提供的一种电力行业网络安全日志审计分析方法和系统通过对日志审计分析模型进行预训练可以使得该日志审计分析模型能够识别有风险的日志文件,然后可以获取正常的日志审计文件,在得到该正常的日志审计文件后,可以将该日志审计文件送入预训练后的日志审计分析模型中,使得该训练后的日志审计分析模型可以对该日志审计文件进行分析和识别,在日志审计文件有风险时可以及时发出警告,以提醒工作人员注意。
38、本发明实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。
1.一种电力行业网络安全日志审计分析方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述对日志审计分析模型进行预训练包括:
3.根据权利要求1所述的方法,其特征在于,所述将所述日志审计文件送入预训练后的所述日志审计分析模型中,以对有风险的所述日志审计文件进行警告包括:
4.根据权利要求1所述的方法,其特征在于,所述将所述日志审计文件送入预训练后的所述日志审计分析模型中,以对有风险的所述日志审计文件进行警告包括:
5.根据权利要求4所述的方法,其特征在于,截取的日志信息包括:远程服务器地址、访问日期、url和用户代理。
6.根据权利要求4所述的方法,其特征在于,所述将所述日志审计文件送入预训练后的所述日志审计分析模型中,以对有风险的所述日志审计文件进行警告包括:
7.根据权利要求6所述的方法,其特征在于,与渲染后的所述日志信息对应的场景包括:针对核心数据库的数据库密码猜解行为、违规登录行为、网页非法篡改、远程跳板访问、广播风暴、文件传播活动。
8.一种电力行业网络安全日志审计分析系统,其特征在于,所述系统包括:
9.根据权利要求8所述的系统,其特征在于,对所述日志文件认证包括设备认证和用户认证,用户认证对应设有用户状态防火墙,不同的所述用户认证对应设有不同的防火墙策略。