欢迎来到天天文库
浏览记录
ID:46534213
大小:1.52 MB
页数:3页
时间:2019-11-25
《电力营销系统海量用户行为日志安全分析技术研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、行业与应用安全电力营销系统海量用户行为日志安全分析技术研究◆刘玉筹苏永东赵晓平欧玮(云南电网有限责任公司信息中心云南650217)摘要:随着电力体制改革和能源互联网不断推进,营销系统在电力企业生产支撑中的作用日益关键,一旦遭到攻击、破坏将对企业、社会和国家造成十分严重的影响。本文在对国内某电力企业营销系统原始日志分析的基础上,对原始日志进行数据清理,去除噪声记录、提取关键特征,形成适合数据挖掘的日志格式,据此开展海量用户行为日志安全分析工作,并利用统一安全信息检索平台完成了可视化展现,并针时后续深入
2、的数据挖掘工作给出了研究方向。关键词:电力营销系统;用户行为日志分析;日志数据清理;数据挖掘可视化;统一安全信息检索O引青随着电力企业信息化水平的不断提升,能源互联网和电力体制改革的不断推进,电力营销系统在企业日常生产中的重要性日益凸显。2015年云南电网推广CSGII营销管理系统,重点包括业扩报装、抄核收、客户服务和用电检查四大功能,覆盖了20个客户全方位服务流程、10类营销客服业务专业、342项协同业务。负责存储和管理云南电网下属供电单位的用户数据、业扩数据、计量数据、计费参数、银电互联、抄表信
3、息、电费台账、账务数据和财务结算等数据。由于系统横向协同关系复杂,涉及与营业厅、自助终端、第三方支付、移动应用等系统的接口,同时还与安全级别程度较高的电网运行系统对接,如调度自动化系统、配电自动化系统、负荷控制系统等。系统用户数量众多,任何一个环节的安全破坏极易导致自身及其他系统的安全相继受损,甚至造成较大的社会影响,因此其安全性十分重要。目前云南电网营销系统配备了较为完善的安全防护措施,能够抵御常规的攻击,但对于目前流行的APT渗入等攻击方式,以及内部人员恶意行为,缺少快速、及时的发现手段,仅能通
4、过操作日志后期审计发现,效率低、时间长,仅能用于事后追责,无法在初始阶段发现异常并阻断。利用海量用户行为日志分析技术,可以实现用户异常行为的及时检测与报警,管理人员能够快速确认异常,并及时采取措施,能够有效避免严重后果的产生。1用户行为分析技术现状最初的用户行为分析更关注于电子商务平台对用户点击、停留时间等一系列行为的分析,从而分析出用户的兴趣点,并针对性的给出推荐产品,从而提升用户体验和销售额。在信息安全领域,MalekBenSalem和ShIomoHershkoD首次利用大量用户行为记录进行数据
5、挖掘从而实现内部威胁检测的方法进行了研究,第一次正式提出了内部威胁,并且将其细化为了1’mi缸(组织合法成员)和M髂q雌rader(外部伪装的内部成员)两类攻击,并且根据两类攻击者的特点进行了分析,提出了可行的应对建议。⋯。2013年,美国国际科学应用国际公司sAIC联合美国四家高校联合开发了PI的DIGAL【2】系统,专门用于美国敏感部门的内部威胁检测。目前PRODIGAL已经在美国的部分涉密企业实际部署。该产品使用与IT相关的7类111个数据集进行计数与比例作为特征,同时使用人员关系图作为辅助分
6、析,应用指示器、异常和场景三个维度作为异常检测的起点,综合使用了15种机器学习算法实现内部威胁的检测。随后陆续有研究人员提出基于多域信息融合的内部威胁检测方法p】、基于用户行为动态变化的内部威胁检测方法【4】等,均在一定程度上降低了误报率。然而仍然存在一定的应用困难,无法形成成熟产品应用于实际企业环境中。同时,上述研究成果难以直接应用于营销系统用户行为分析当中,主要原因是营销系统记录了用户登录时间、修改数据、功能访问的信息,与现有研究成果中记录用户登录终端、使用Email、浏览网页、使用/连接设备等
7、数据模型差异较大,特征点也存在较大差异。2电力警铺系统海■用户行为日志分析技术研究2.1营销系统日志数据清理与数据提取(1)系统原始日志结构分析目前,云电营销系统主要记录有3类日志信息:功能访问日志、系统数据修改日志、系统登录注销日志,分别存放在数据库3个系统表中。登录日志的信息包括:登录日志标识、人员标识、登录类型、登录账号、用户姓名、登录IP、服务器m、服务器名称、注销时间、登录时间、失败次数、响应时长等字段。功能访问日志包括日志记录标识、人员标识、功能菜单标识、菜单名称、访问时间、访问URL、
8、访问m等。系统数据修改日志包括记录标识、修改的数据表名、修改的数据记录主键与记录行、修改类型(增、删、改)、修改日期、修改人员标识、修改说明(本条日志的可读概要说明)、时间戳(精确时间)、修改人员访问IP。三类日志基本上记录了用户在本系统上进行的操作,部分涉及IP的字段也无参考意义,比如服务器IP,在登录时往往由负载均衡分配,并且仅在登录日志中出现,相关用途并不大。并且这三张日志表对于用户行为来说,是存在依赖关系的,比如数据修改日志一定是和特定的功能调用日志相关联的,
此文档下载收益归作者所有