CN117436088B - 一种基于容器及容器集群审计信息的安全监测方法及系统 - Google Patents
一种基于容器及容器集群审计信息的安全监测方法及系统 Download PDFInfo
- Publication number
- CN117436088B CN117436088B CN202311473740.2A CN202311473740A CN117436088B CN 117436088 B CN117436088 B CN 117436088B CN 202311473740 A CN202311473740 A CN 202311473740A CN 117436088 B CN117436088 B CN 117436088B
- Authority
- CN
- China
- Prior art keywords
- information
- container
- data
- attribute
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 74
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000012550 audit Methods 0.000 title claims abstract description 20
- 238000011156 evaluation Methods 0.000 claims abstract description 43
- 230000006870 function Effects 0.000 claims description 30
- 239000013598 vector Substances 0.000 claims description 23
- 238000013210 evaluation model Methods 0.000 claims description 16
- 230000008859 change Effects 0.000 claims description 14
- 238000012549 training Methods 0.000 claims description 13
- 230000003068 static effect Effects 0.000 claims description 12
- 238000004458 analytical method Methods 0.000 claims description 11
- 238000012986 modification Methods 0.000 claims description 11
- 230000004048 modification Effects 0.000 claims description 11
- 230000006399 behavior Effects 0.000 claims description 10
- 230000003993 interaction Effects 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 9
- 238000005516 engineering process Methods 0.000 claims description 8
- 238000012360 testing method Methods 0.000 claims description 8
- 239000011159 matrix material Substances 0.000 claims description 6
- 238000010276 construction Methods 0.000 claims description 5
- 238000010801 machine learning Methods 0.000 claims description 5
- 238000003062 neural network model Methods 0.000 claims description 4
- 238000013209 evaluation strategy Methods 0.000 claims description 3
- 238000007781 pre-processing Methods 0.000 claims 2
- 238000010606 normalization Methods 0.000 claims 1
- 238000013475 authorization Methods 0.000 description 9
- 206010000117 Abnormal behaviour Diseases 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 5
- 239000000969 carrier Substances 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 101001121408 Homo sapiens L-amino-acid oxidase Proteins 0.000 description 1
- 244000035744 Hura crepitans Species 0.000 description 1
- 102100026388 L-amino-acid oxidase Human genes 0.000 description 1
- 101100012902 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) FIG2 gene Proteins 0.000 description 1
- 101100233916 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) KAR5 gene Proteins 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Security & Cryptography (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Evolutionary Computation (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Health & Medical Sciences (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Mathematical Physics (AREA)
- Computing Systems (AREA)
- Molecular Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Databases & Information Systems (AREA)
- Animal Behavior & Ethology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Automation & Control Theory (AREA)
- Bioethics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于容器及容器集群审计信息的安全监测方法及系统,该方法包括以下步骤:采集容器,容器组和容器集群在各个电力监控系统中通过相关接口对实时数据库和历史数据库数据调用的记录信息;将采集到的记录信息和指标信息与申请所在容器的线程进行匹配对应,生成线程对应容器及对应信息的知识图谱;对得到的知识图谱进行判断识别,并进行分类,生成应用特征侧写;本发明采用综合评估方法对当日应用所申请使用的容器数据信息进行安全判定,本发明采用知识图谱构建数据信息分类,对实时存储数据进行数据等级划分,将存储数据进行等级划分,便于应用进行数据访问时进行权限划分,保证存储数据浏览的安全性,同时提高了应用权限设定的可行性。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于容器及容器集群审计信息的安全监测方法及系统。
背景技术
随着电力监控系统业务的不断发展,海量终端接入,容器作为电力监控系统程序的实现映射和过程载体,具有生命周期短,数量大,过程管控弱的现实问题,将容器放置于沙箱等隔离方法中,又大大降低了容器分布式计算交互能力。安全性成为了用户使用容器技术和业务上云面临的最大挑战,其中数据安全问题最为突出,近年来数据泄露事件发生的数量和泄露的数据量快速增长,且由于没有对数据信息进行统一管理,在访问的业务数据上无法做到安全监测,更不能根据业务的行为、业务的访问进行数据的记录从而动态持续地调整权限。
专利CN108040079A基于国产和操作系统的分布式容器集群服务发现方法,该专利提出了基于国产和操作系统的分布式容器集群服务发现方法,该方法使用的方式提供服务发现的功能,为服务分配域名,将服务的名称及信息组织成域名注册到容器化软件中,并将域名和服务信息相互映射成一个数据库,访问服务时通过服务名称获取对应的地址和端口信息,实现服务发现的功能。该专利的重点在于容器组和服务的交互,具备了相关方法,但缺少相应的数据安全监测方法。
发明内容
发明目的:为了克服现有技术的不足,本发明提供一种基于容器及容器集群审计信息的安全监测方法,解决了现有技术中指出的技术问题,本发明还提供一种基于容器及容器集群审计信息的安全监测系统。
技术方案:根据本发明的第一方面,提供一种基于容器及容器集群审计信息的安全监测方法,该方法包括以下步骤:
S1采集容器,容器组和容器集群在各个电力监控系统中通过相关接口对实时数据库和历史数据库数据调用的记录信息,并从容器的控制组件中获取指标信息;
S2将采集到的记录信息和指标信息与申请所在容器的线程进行匹配对应,进而生成线程对应容器及对应信息的知识图谱;
S3对得到的所述知识图谱进行判断识别,并进行分类,进而生成面向应用的场景描述和生成应用特征侧写,分类包括:安全信息,警告信息和过程信息;
S4基于上述应用的特征和实际运行的负荷,对电力监控系统中相关应用的信息安全按规则进行比对分析,若当前应用占用的系统负荷大于5%,则采用综合评估方法对当日应用所申请使用的容器数据信息进行安全判定,并输出安全判定结果,否则,若当前应用占用的系统负荷不大于5%,则不进行安全判定。
进一步的,包括:
所述记录信息包括:从实时数据库获取的信息包含:业务数据的交互频次,业务数据的修改频次和业务数据的修改内容;从历史库获取的信息包含:业务数据的最终状态和历史交互记录;
所述指标信息包括:控制组件对申请容器的大小,容器间流量数据,容器组间流量数据,容器伸缩的记录,容器的负荷,容器所包含的桥接网络负荷情况,容器、组、集群利用率、生存周期、调用频次和主要调用平台接口。
进一步的,包括:
所述步骤S2中,生成线程对应容器及对应信息的图谱,包括:
S21若采集的数据信息包括来自不同的电力监控系统,则首先对数据进行统一表示形式,否则,判断采集的信息的结构类型;
S22若采集的信息为结构化数据,则直接定义知识图谱的实体和节点间的关系,构建相应的知识图谱,否则,采集的信息为非结构化数据,则首先将非结构化数据中提取的实体与所述结构化数据中的实体进行链接,通过使用实体识别和命名实体识别技术,将文档中的实体与知识图谱中的实体进行匹配,以建立它们之间的关联;
S23利用图分析算法和机器学习技术来挖掘结构化和非结构化数据之间的关联模式,进而发现隐藏的安全威胁关系。
进一步的,包括:
步骤S3中,对得到的所述知识图谱进行判断识别,并进行分类,具体包括:
S31对根据知识图谱得到的节点和相关属性组合数据进行预处理;
S32并将不同时段的对应的组合数据和重要程度标签作为训练数据输入到神经网络模型中,进行迭代训练,训练完成后采用测试数据进行模型的测试;
S33针对测试后的组合数据和重要程度进行人工比对,若模型准确率没有达到设定的阈值,则修改训练数据集后再次训练,直至超过所述阈值;
S34将实时采集的记录信息或指标信息输入到所述训练完毕的模型中,得到对应的重要程度。
进一步的,包括:
所述步骤S4中,则采用综合评估方法对当日应用所申请使用的容器数据信息进行安全判定,具体包括:
S41将采集到的当日相关容器数据信息整理,所述数据信息包括不同电力监控系统中占用系统负荷大于5%的应用使用容器对应的实时数据库中的记录信息以及业务行为;
S42计算当日当前应用申请使用容器对应的各个属性的评估值,进而得到当日所有应用申请使用容器对应的数据信息的静态评估值;
S43以当日当前应用申请使用容器对应的各个属性的评估值作为当前应用中各业务的初始权重,并以记录信息作为参考属性构建变权评估模型;
S44依据状态变权函数,并结合所述每个属性的初始权重,计算变权处理后的各个属性的指标权重,从而更新变权评估模型,并根据更新后的指标权重重新划分其信息安全等级。
进一步的,包括:
所述步骤S41中,将采集到的当日相关容器数据信息整理,包括:
对采集的各个属性下的样本进行预处理,得到有效样本;
若当前属性存在分属性,则统计每个属性下每个分属性对应的有效样本,从而得到每个属性对应的样本总数。
进一步的,包括:
所述步骤S42中,计算当日当前应用申请使用容器对应的各个属性的评估值,从而得到当日所有应用申请使用容器对应的数据信息的静态评估结果,具体包括:
S421根据构建的向量计算每个属性在监控系统中对应的特征比重pij,表示为:其中,xij为第i个电力监控系统下第j个属性对应的有效样本的总数,q为电力监控系统的总数;
S422计算每个属性对应的信息熵Ej,表示为:在此基础上构建两两矩阵Aij,表示为:
S423计算所述矩阵Aij中每列元素倒数的平均值,表示为:j=1,2,3,4,进而得到矢量评估
S424计算权重矢量中各属性的归一化结果可得最终第j个属性的评估值wj:
S425以上述步骤为基础,得到不同监控系统下当日所有应用申请使用容器对应的数据信息的静态评估值。
进一步的,包括:
步骤S44中,构建变权评估模型具体包括:
S441以所述步骤S434中的评估值作为初始权重,归一化处理后的各个属性以及对应的初始权重,确定初始权重向量;
S442确定采集的样本变化时所对应的变权均衡函数的参数区间,并采用局部惩罚-激励型变权函数,确定变权评估模型的局部惩罚型基于各个属性的状态变权函数;
S443基于状态变权函数,并结合所述初始权重向量中的每个初始权重,计算变权处理后的各个属性的指标权重,得到更新后的变权向量,进而根据更新后的权重动态调整电力监控系统业务的权限,确保实时存储数据的访问安全性。
进一步的,包括:
所述初始权重向量表示为:
变权处理后的各个属性的指标权重,表示为:
其中,Sj(x)为局部惩罚-激励型变权函数,表示为:
其中,函数Sj(x)在区间(0,1)连续可导,0<μ<γ<a<β<1,0<C<c1<c2<1,其中用a表示均衡函数对属性因素的惩罚水平,C,c1,c2为均衡函数的评价策略,xj表示样本数据中某个变量,μ与λ分别表示特强惩罚区间、强惩罚区间的阈值;
区间(0,μ]为特强惩罚区间,(μ,γ]为强惩罚区间,(γ,a)为弱惩罚区间,[a,1)为无需要变权区间。
另一方面,本发明还提供一种基于容器及容器集群审计信息的安全监测系统,该系统包括:
信息采集模块,用于采集容器,容器组和容器集群在各个电力监控系统中通过相关接口对实时数据库和历史数据库数据调用的记录信息,并从容器的控制组件中获取指标信息;
图谱构建模块,用于将采集到的记录信息和指标信息与申请所在容器的线程进行匹配对应,进而生成线程对应容器及对应信息的知识图谱;
分类模块,用于对得到的所述知识图谱进行判断识别,并进行分类,进而生成面向应用的场景描述和生成应用特征侧写,分类包括:安全信息,警告信息和过程信息;
安全分析模块,用于基于上述应用的特征和实际运行的负荷,对电力监控系统中相关应用的信息安全按规则进行比对分析,若当前应用占用的系统负荷大于5%,则采用综合评估方法对当日应用所申请使用的容器数据信息进行安全判定,并输出安全判定结果,否则,若当前应用占用的系统负荷不大于5%,则不进行安全判定。
有益效果:与现有技术相比,本发明具有以下优点:
(1)本发明基于目前对于网络设备安全防护的需求,对容器运维中产生的数据信息进行采集分析,分析系统或设备中容器类安全性和可靠性,对应用安全进行评估。
(2)本发明采用知识图谱构建数据信息分类,并训练神经网络模型,从而对实时存储数据进行数据等级划分,将存储数据进行等级划分,便于应用进行数据访问时进行权限划分,保证存储数据浏览的安全性,同时提高了应用权限设定的可行性。
(3)本发明采用综合评估方法将数据信息进行静态评估,通过静态评估值确定相关应用的属性的信任度和安全性,通过构建变权评估模型对应用的属性的安全性和权限进行动态设置,使得对业务的访问可以实时监控,具有动态授权的特性,为访问控制策略引擎提供评估结果以作为授权判定依据。
附图说明
图1为本发明实施例所述的基于容器及容器集群审计信息的安全监测方法流程图;
图2为本发明实施例所述的基于容器及容器集群审计信息的安全监测系统结构示意图;
图3为本发明实施例所述的安全监测方法依托的系统框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,并不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
首先,如图1和图3所示,本发明提供基于容器及容器集群审计信息的安全监测方法,该方法包括以下步骤:
S1采集容器,容器组和容器集群在各个电力监控系统中通过相关接口对实时数据库和历史数据库数据调用的记录信息,并从容器的控制组件中获取指标信息。
本发明包含容器类所指的是基于电力自动化系统及设备所虚拟的容器,或采用Docker等工具形成的容器组,或基于Kubernetes等控制类软件形成的容器集群。
本发明所述的采集的数据库交互信息主要是采集容器,容器组,容器集群在应用中通过相关接口对实时数据库数据调用的记录,部分信息通过历史库获取。
记录信息包括:从实时数据库获取的信息包含:业务数据的交互频次,业务数据的修改频次和业务数据的修改内容;从历史库获取的信息包含:业务数据的最终状态和历史交互记录;
指标信息包括:控制组件对申请容器的大小,容器间流量数据,容器组间流量数据,容器伸缩的记录,容器的负荷,容器所包含的桥接网络负荷情况,容器、组、集群利用率、生存周期、调用频次和主要调用平台接口。
S2将采集到的记录信息和指标信息与申请所在容器的线程进行匹配对应,进而生成线程对应容器及对应信息的知识图谱。
步骤S2中,生成线程对应容器及对应信息的图谱,包括:
S21若采集的数据信息包括来自不同的电力监控系统,则首先对数据进行统一表示形式,否则,判断采集的信息的结构类型;
S22若采集的信息为结构化数据,则直接定义知识图谱的实体和节点间的关系,构建相应的知识图谱,否则,采集的信息为非结构化数据,则首先将非结构化数据中提取的实体与所述结构化数据中的实体进行链接,通过使用实体识别和命名实体识别技术,将文档中的实体与知识图谱中的实体进行匹配,以建立它们之间的关联;
S23利用图分析算法和机器学习技术来挖掘结构化和非结构化数据之间的关联模式,进而发现隐藏的安全威胁关系。
S3对得到的所述知识图谱进行判断识别,并进行分类,进而生成面向应用的场景描述和生成应用特征侧写,分类包括:安全信息,警告信息和过程信息。
知识图谱的构建包括:
一是构建针对监控系统业务特征与载体异常行为的知识图谱与数据库。
构建针对电力监控系统业务数据与异常行为的知识图谱与数据库。进而支撑基于知识图谱表示学习的异常行为关联技术,实现业务异常行为自动关联归类。
针对电力监控系统结构化数据和非结构化数据,分别构建结构化数据知识图谱和非结构化数据知识图谱。
结构化数据知识图谱采用图形数据库存储系统中安全威胁结构化信息;非结构化数据通过分析关联多模态电力监控系统业务数据形成非结构化知识图谱,以提取电力监控系统安全威胁的非结构化信息。
结合这两类数据知识库,实现全面的电力监控系统安全威胁知识图谱,从而实现对业务载体威胁知识和异常行为的有效关联。
结构化的电力监控系统数据知识图谱作为一类图形数据库,可用于存储安全威胁相关的结构化数据,实现的步骤是:
a.数据建模:定义知识图谱的实体(节点)和节点间的关系(边)。例如,实体可定义为威胁类型、攻击向量和受影响的电力监控子系统、业务,边表示业务与业务间的关系,如攻击向量可以与威胁类型相关联。
b.抽取与导入:从可靠的电力监控系统数据源获取结构化数据,并进行数据清洗和抽取,以符合知识图谱的数据模型。然后将数据导入到图形数据库中。
c.查询与推理:使用查询语言对知识图谱进行查询,以检索特定的电力监控系统安全威胁信息。同时,利用图数据库提供的推理能力,推断未显式表示的关系,从而发现新的安全威胁关联。
非结构化数据文档提供更全面的安全威胁知识,辅助结构化数据的处理流程,实现对业务载体威胁的辨识,实现的步骤是:
a.实体链接:将非结构化数据中提取的实体与结构化数据中的实体进行链接。通过使用实体识别和命名实体识别技术,将文档中的实体与知识图谱中的实体进行匹配,以建立它们之间的关联。
b.统一表示:对于从不同电力监控系统业务中获得的结构化和非结构化数据,需要进行统一的表示形式。例如,将非结构化文档中的文本信息转换为结构化的属性,与知识图谱中的实体和关系对应。
c.关联分析:结合结构化数据和非结构化数据的关联关系进行分析。可以利用图分析算法和机器学习技术来挖掘结构化和非结构化数据之间的关联模式,发现隐藏的安全威胁关系。
步骤S3中,对得到的所述知识图谱进行判断识别,并进行分类,具体包括:
S31对根据知识图谱得到的节点和相关属性组合数据进行预处理;
S32并将不同时段的对应的组合数据和重要程度标签作为训练数据输入到神经网络模型中,进行迭代训练,训练完成后采用测试数据进行模型的测试;
S33针对测试后的组合数据和重要程度进行人工比对,若模型准确率没有达到设定的阈值,则修改训练数据集后再次训练,直至超过所述阈值;
S34将实时采集的记录信息或指标信息输入到所述训练完毕的模型中,得到对应的重要程度。
应用特征侧写包含数据的调用频次,数据的调用内容,数据的主要标识种类,数据的重要层级。
存储模块对采集的数据进行分类,分为标识类和大数据类。标识类主要是单体数据量在1M以下的采用直接存储,单体数据量在1M以上的采用压缩存储。
存储模块限制最大不超过本信息安全监测方法所设计的应用的服务器的可用存储空间的1%,且应用运行形成的负载不超过系统整体负载的1%。压缩存储主要是包含数据的交互和调用。
S4根据分类特征,对应用和容器关系进行事后分析,基于应用的特点和实际运行的负荷,选择重点应用进行分析,解析存储的压缩信息,对应用的信息安全按规则进行比对分析。
若当前应用占用的系统负荷大于5%,则采用综合评估方法对当日应用所申请使用的容器数据信息进行安全判定,并输出安全判定结果,提供维护人员参考,否则,若当前应用占用的系统负荷不大于5%,则不进行安全判定。
信任业务载体安全管控方法具体构建分信任度计算、信任综合评估和动态授权两个部分。信任度计算用于对电力监控系统业务信任度进行计算与评估,动态考虑业务行为调整信任度。动态授权则是依据调整的业务信任度,动态给予业务权限,在信任度过低时强制退出业务系统权限,防止恶意业务造成数据泄露。
1)信任度计算
在该模型中,信任度计算主要考虑两种因素。①业务历史行为。记录和评估以往操作况,业务的操作数据是进行信任度计算重要的参数,直接影响到模型对业务信任度作出评估分析,并且不会随着业务退出和消失。②业务当前行为。分析业务在目前阶段的操作,并且对此进行记录和监控,对操作的数据结果作出分析,分析其访问和处理电力监控系统数据资源和内容,避免恶意操作的发生,防止数据泄露。
2)信任综合评估
实现零信任对流量进行“持续验证”的能力,与访问控制策略引擎共同组成了零信任的控制平面。信任评估引擎利用业务历史行为习惯、当前网络环境等信息,基于机器学习、大数据等技术对当前访问请求进行信任评估,为访问控制策略引擎提供评估结果以作为授权判定依据。
3)动态授权
在模型中,对于电力监控系统业务的权限设置不是静态的,而是根据业务的行为、业务的访问进行数据的记录从而动态持续地调整,数据包层级为业务或设备持续认证,使得对业务的访问可以实时监控,具有动态授权的特性。
且采用综合评估方法对当日应用所申请使用的容器数据信息进行安全判定,具体包括:
S41将采集到的当日相关容器数据信息整理,所述数据信息包括不同电力监控系统中占用系统负荷大于5%的应用使用容器对应的实时数据库中的记录信息以及业务行为。
步骤S41中,将采集到的当日相关容器数据信息整理,包括:
对采集的各个属性下的样本进行预处理,得到有效样本;
若当前属性存在分属性,则统计每个属性下每个分属性对应的有效样本,从而得到每个属性对应的样本总数。
S42计算当日当前应用申请使用容器对应的各个属性的评估值,进而得到当日所有应用申请使用容器对应的数据信息的静态评估值。
步骤S42中,计算当日当前应用申请使用容器对应的各个属性的评估值,从而得到当日所有应用申请使用容器对应的数据信息的静态评估结果,具体包括:
S421根据构建的向量计算每个属性在监控系统中对应的特征比重pij,表示为:其中,xij为第i个电力监控系统下第j个属性对应的有效样本的总数,q为电力监控系统的总数;
S422计算每个属性对应的信息熵Ej,表示为:在此基础上构建两两矩阵Aij,表示为:
S423计算所述矩阵Aij中每列元素倒数的平均值,表示为:j=1,2,3,4,进而得到矢量评估
S424计算权重矢量中各属性的归一化结果可得最终第j个属性的评估值wj:
S425以上述步骤为基础,得到不同监控系统下当日所有应用申请使用容器对应的数据信息的静态评估值。
S43以当日当前应用申请使用容器对应的各个属性的评估值作为当前应用中各业务的初始权重,并以记录信息作为参考属性构建变权评估模型。
S44依据状态变权函数,并结合所述每个属性的初始权重,计算变权处理后的各个属性的指标权重,从而更新变权评估模型,并根据更新后的指标权重重新划分其信息安全等级。
构建变权评估模型具体包括:
S441以所述步骤S434中的评估值作为初始权重,归一化处理后的各个属性以及对应的初始权重,确定初始权重向量;
S442确定采集的样本变化时所对应的变权均衡函数的参数区间,并采用局部惩罚-激励型变权函数,确定变权评估模型的局部惩罚型基于各个属性的状态变权函数;
S443基于状态变权函数,并结合所述初始权重向量中的每个初始权重,计算变权处理后的各个属性的指标权重,得到更新后的变权向量,进而根据更新后的权重动态调整电力监控系统业务的权限,确保实时存储数据的访问安全性。
初始权重向量表示为:
变权处理后的各个属性的指标权重,表示为:
其中,Sj(x)为局部惩罚-激励型变权函数,表示为:
其中,函数Sj(x)在区间(0,1)连续可导,0<μ<γ<a<β<1,0<C<c1<c2<1,其中用a表示均衡函数对属性因素的惩罚水平,C,c1,c2为均衡函数的评价策略,xj表示样本数据中某个变量,μ与λ分别表示特强惩罚区间、强惩罚区间的阈值;
区间(0,μ]为特强惩罚区间,(μ,γ]为强惩罚区间,(γ,a)为弱惩罚区间,[a,1)为无需要变权区间。
通过构建变权评估模型对应用的属性的安全性和权限进行动态设置,一般权重越高对应的安全性更高,也可设置更加宽松的权限,使得对业务的访问可以实时监控,具有动态授权的特性,为访问控制策略引擎提供评估结果以作为授权判定依据。
另一方面,如图2所示,本发明还提供一种基于容器及容器集群审计信息的安全监测系统,该系统包括:
信息采集模块,用于采集容器,容器组和容器集群在各个电力监控系统中通过相关接口对实时数据库和历史数据库数据调用的记录信息,并从容器的控制组件中获取指标信息;
图谱构建模块,用于将采集到的记录信息和指标信息与申请所在容器的线程进行匹配对应,进而生成线程对应容器及对应信息的知识图谱;
分类模块,用于对得到的所述知识图谱进行判断识别,并进行分类,进而生成面向应用的场景描述和生成应用特征侧写,分类包括:安全信息,警告信息和过程信息;
安全分析模块,用于基于上述应用的特征和实际运行的负荷,对电力监控系统中相关应用的信息安全按规则进行比对分析,若当前应用占用的系统负荷大于5%,则采用综合评估方法对当日应用所申请使用的容器数据信息进行安全判定,并输出安全判定结果,否则,若当前应用占用的系统负荷不大于5%,则不进行安全判定。
本系统对应的其他技术细节与方法相同,在此说明书中不再赘述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (9)
1.一种基于容器及容器集群审计信息的安全监测方法,其特征在于,该方法包括以下步骤:
S1采集容器,容器组和容器集群在各个电力监控系统中通过相关接口对实时数据库和历史数据库数据调用的记录信息,并从容器的控制组件中获取指标信息;
S2将采集到的记录信息和指标信息与申请所在容器的线程进行匹配对应,进而生成线程对应容器及对应信息的知识图谱;
S3对得到的所述知识图谱进行判断识别,并进行分类,进而生成面向应用的场景描述和生成应用特征侧写,分类包括:安全信息,警告信息和过程信息;
S4基于上述应用的特征和实际运行的负荷,对电力监控系统中相关应用的信息安全按规则进行比对分析,若当前应用占用的系统负荷大于5%,则采用综合评估方法对当日应用所申请使用的容器数据信息进行安全判定,并输出安全判定结果,否则,若当前应用占用的系统负荷不大于5%,则不进行安全判定;
其中,步骤S4中,则采用综合评估方法对当日应用所申请使用的容器数据信息进行安全判定,具体包括:
S41将采集到的当日相关容器数据信息整理,所述数据信息包括不同电力监控系统中占用系统负荷大于5%的应用使用容器对应的实时数据库中的记录信息以及业务行为;
S42计算当日当前应用申请使用容器对应的各个属性的评估值,进而得到当日所有应用申请使用容器对应的数据信息的静态评估值;
S43以当日当前应用申请使用容器对应的各个属性的评估值作为当前应用中各业务的初始权重,并以记录信息作为参考属性构建变权评估模型;
S44依据状态变权函数,并结合所述每个属性的初始权重,计算变权处理后的各个属性的指标权重,从而更新变权评估模型,并根据更新后的指标权重重新划分其信息安全等级。
2.根据权利要求1所述的基于容器及容器集群审计信息的安全监测方法,其特征在于,所述记录信息包括:从实时数据库获取的信息包含:业务数据的交互频次,业务数据的修改频次和业务数据的修改内容;从历史库获取的信息包含:业务数据的最终状态和历史交互记录;
所述指标信息包括:控制组件对申请容器的大小,容器间流量数据,容器组间流量数据,容器伸缩的记录,容器的负荷,容器所包含的桥接网络负荷情况,容器、组、集群利用率、生存周期、调用频次和主要调用平台接口。
3.根据权利要求2所述的基于容器及容器集群审计信息的安全监测方法,其特征在于,所述步骤S2中,生成线程对应容器及对应信息的图谱,包括:
S21若采集的数据信息包括来自不同的电力监控系统,则首先对数据进行统一表示形式,否则,判断采集的信息的结构类型;
S22若采集的信息为结构化数据,则直接定义知识图谱的实体和节点间的关系,构建相应的知识图谱,否则,采集的信息为非结构化数据,则首先将非结构化数据中提取的实体与所述结构化数据中的实体进行链接,通过使用实体识别和命名实体识别技术,将文档中的实体与知识图谱中的实体进行匹配,以建立它们之间的关联;
S23利用图分析算法和机器学习技术来挖掘结构化和非结构化数据之间的关联模式,进而发现隐藏的安全威胁关系。
4.根据权利要求3所述的基于容器及容器集群审计信息的安全监测方法,其特征在于,步骤S3中,对得到的所述知识图谱进行判断识别,并进行分类,具体包括:
S31对根据知识图谱得到的节点和相关属性组合数据进行预处理;
S32并将不同时段的对应的组合数据和重要程度标签作为训练数据输入到神经网络模型中,进行迭代训练,训练完成后采用测试数据进行模型的测试;
S33针对测试后的组合数据和重要程度进行人工比对,若模型准确率没有达到设定的阈值,则修改训练数据集后再次训练,直至超过所述阈值;
S34将实时采集的记录信息或指标信息输入到训练完毕的模型中,得到对应的重要程度。
5.根据权利要求1所述的基于容器及容器集群审计信息的安全监测方法,其特征在于,所述步骤S41中,将采集到的当日相关容器数据信息整理,包括:
对采集的各个属性下的样本进行预处理,得到有效样本;
若当前属性存在分属性,则统计每个属性下每个分属性对应的有效样本,从而得到每个属性对应的样本总数。
6.根据权利要求5所述的基于容器及容器集群审计信息的安全监测方法,其特征在于,所述步骤S42中,计算当日当前应用申请使用容器对应的各个属性的评估值,从而得到当日所有应用申请使用容器对应的数据信息的静态评估结果,具体包括:
S421根据构建的向量计算每个属性在监控系统中对应的特征比重pij,表示为:其中,xij为第i个电力监控系统下第j个属性对应的有效样本的总数,q为电力监控系统的总数;
S422计算每个属性对应的信息熵Ej,表示为:在此基础上构建两两矩阵Aij,表示为:
S423计算所述矩阵Aij中每列元素倒数的平均值,表示为:3进,而4得到矢量评估
S424计算权重矢量中各属性的归一化结果可得最终第j个属性的评估值wj:
S425以上述步骤为基础,得到不同监控系统下当日所有应用申请使用容器对应的数据信息的静态评估值。
7.根据权利要求6所述的基于容器及容器集群审计信息的安全监测方法,其特征在于,步骤S44中,构建变权评估模型具体包括:
S441以所述步骤S43中的评估值作为初始权重,归一化处理后的各个属性以及对应的初始权重,确定初始权重向量;
S442确定采集的样本变化时所对应的变权均衡函数的参数区间,并采用局部惩罚-激励型变权函数,确定变权评估模型的局部惩罚型基于各个属性的状态变权函数;
S443基于状态变权函数,并结合所述初始权重向量中的每个初始权重,计算变权处理后的各个属性的指标权重,得到更新后的变权向量,进而根据更新后的权重动态调整电力监控系统业务的权限,确保实时存储数据的访问安全性。
8.根据权利要求7所述的基于容器及容器集群审计信息的安全监测方法,其特征在于,所述初始权重向量表示为:
变权处理后的各个属性的指标权重,表示为:
其中,Sj(x)为局部惩罚-激励型变权函数,表示为:
其中,函数Sj(x)在区间(0,1)连续可导,0<μ<γ<a<β<1,0<C<c1<c2<1,其中用a表示均衡函数对属性因素的惩罚水平,C,c1,c2为均衡函数的评价策略,xj表示样本数据中某个变量,μ与λ分别表示特强惩罚区间、强惩罚区间的阈值;
区间(0,μ]为特强惩罚区间,(μ,γ]为强惩罚区间,(γ,a)为弱惩罚区间,[a,1)为无需要变权区间。
9.一种基于容器及容器集群审计信息的安全监测系统,其特征在于:该系统包括:
信息采集模块,用于采集容器,容器组和容器集群在各个电力监控系统中通过相关接口对实时数据库和历史数据库数据调用的记录信息,并从容器的控制组件中获取指标信息;
图谱构建模块,用于将采集到的记录信息和指标信息与申请所在容器的线程进行匹配对应,进而生成线程对应容器及对应信息的知识图谱;
分类模块,用于对得到的所述知识图谱进行判断识别,并进行分类,进而生成面向应用的场景描述和生成应用特征侧写,分类包括:安全信息,警告信息和过程信息;
安全分析模块,用于基于上述应用的特征和实际运行的负荷,对电力监控系统中相关应用的信息安全按规则进行比对分析,若当前应用占用的系统负荷大于5%,则采用综合评估方法对当日应用所申请使用的容器数据信息进行安全判定,并输出安全判定结果,否则,若当前应用占用的系统负荷不大于5%,则不进行安全判定;
其中,则采用综合评估方法对当日应用所申请使用的容器数据信息进行安全判定,具体包括:
S41将采集到的当日相关容器数据信息整理,所述数据信息包括不同电力监控系统中占用系统负荷大于5%的应用使用容器对应的实时数据库中的记录信息以及业务行为;
S42计算当日当前应用申请使用容器对应的各个属性的评估值,进而得到当日所有应用申请使用容器对应的数据信息的静态评估值;
S43以当日当前应用申请使用容器对应的各个属性的评估值作为当前应用中各业务的初始权重,并以记录信息作为参考属性构建变权评估模型;
S44依据状态变权函数,并结合所述每个属性的初始权重,计算变权处理后的各个属性的指标权重,从而更新变权评估模型,并根据更新后的指标权重重新划分其信息安全等级。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311473740.2A CN117436088B (zh) | 2023-11-07 | 2023-11-07 | 一种基于容器及容器集群审计信息的安全监测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311473740.2A CN117436088B (zh) | 2023-11-07 | 2023-11-07 | 一种基于容器及容器集群审计信息的安全监测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117436088A CN117436088A (zh) | 2024-01-23 |
| CN117436088B true CN117436088B (zh) | 2024-10-18 |
Family
ID=89553209
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311473740.2A Active CN117436088B (zh) | 2023-11-07 | 2023-11-07 | 一种基于容器及容器集群审计信息的安全监测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117436088B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113141276A (zh) * | 2021-04-27 | 2021-07-20 | 国际关系学院 | 一种基于知识图谱的信息安全方法 |
| CN113254630A (zh) * | 2021-07-07 | 2021-08-13 | 浙江大学 | 一种面向全球综合观测成果的领域知识图谱推荐方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114168745B (zh) * | 2021-11-30 | 2022-08-09 | 大连理工大学 | 面向环氧乙烷衍生品生产过程的知识图谱构建方法 |
| CN114237829B (zh) * | 2021-12-27 | 2022-08-26 | 南方电网物资有限公司 | 一种电力设备的数据采集与处理方法 |
| CN114969442A (zh) * | 2022-04-28 | 2022-08-30 | 国网上海市电力公司 | 基于知识图谱和深度强化学习的电力调度任务票生成方法 |
| CN115964720A (zh) * | 2022-12-30 | 2023-04-14 | 北京百度网讯科技有限公司 | 基于FaaS平台的机密计算方法、装置、设备及介质 |
-
2023
- 2023-11-07 CN CN202311473740.2A patent/CN117436088B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113141276A (zh) * | 2021-04-27 | 2021-07-20 | 国际关系学院 | 一种基于知识图谱的信息安全方法 |
| CN113254630A (zh) * | 2021-07-07 | 2021-08-13 | 浙江大学 | 一种面向全球综合观测成果的领域知识图谱推荐方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117436088A (zh) | 2024-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111832017B (zh) | 一种面向云的数据库安全态势感知系统 | |
| CN106682527B (zh) | 一种基于数据分类分级的数据安全管控方法及系统 | |
| CN107454105B (zh) | 一种基于ahp与灰色关联的多维网络安全评估方法 | |
| CN109873812A (zh) | 异常检测方法、装置及计算机设备 | |
| CN111614690A (zh) | 一种异常行为检测方法及装置 | |
| CN111680153A (zh) | 一种基于知识图谱的大数据鉴真方法与系统 | |
| Li et al. | A supervised clustering and classification algorithm for mining data with mixed variables | |
| CN108268886B (zh) | 用于识别外挂操作的方法及系统 | |
| CN118133274A (zh) | 一种基于大数据的信息安全管理及监控方法及系统 | |
| CN111930726A (zh) | 基于离线表单的等级保护测评数据采集、分析方法及系统 | |
| CN118410151A (zh) | 基于企业数据库的商务智能查询方法和系统 | |
| CN117688135B (zh) | 一种数字资源应急管理方法和系统 | |
| CN117436088B (zh) | 一种基于容器及容器集群审计信息的安全监测方法及系统 | |
| CN114298558A (zh) | 电力网络安全研判系统及其研判方法 | |
| CN113920366A (zh) | 一种基于机器学习的综合加权主数据识别方法 | |
| CN117522410A (zh) | 交易风险预测模型的训练方法和交易风险预测方法 | |
| CN110119966A (zh) | 银行客户异常行为分析方法 | |
| CN116991675A (zh) | 一种异常访问监控方法、装置、计算机设备及存储介质 | |
| CN116599743A (zh) | 4a异常绕行检测方法、装置、电子设备及存储介质 | |
| CN114186118A (zh) | 一种网络舆情话题信息处理系统、方法、存储介质、终端 | |
| CN115168848A (zh) | 基于大数据分析拦截的拦截反馈处理方法 | |
| Tamtama et al. | Increasing Accuracy of The Random Forest Algorithm Using PCA and Resampling Techniques with Data Augmentation for Fraud Detection of Credit Card Transaction | |
| CN118504009B (zh) | 一种基于多数据源的动态数据隔离方法和系统 | |
| Warzyński et al. | Application and evaluation of selected machine learning algorithms in anomaly detection module for soc | |
| Ramanan et al. | A Novel Clustering & Machine Learning Algorithm for Crime Rate Prediction and Analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |