电网调控云平台的行为异常检测、隔离方法、装置及系统与流程

阅读：评论：0

1.本发明属于网络安全技术领域，具体涉及一种电网调控云平台的行为异常检测、隔离方法、装置及系统。

背景技术：

2.调控云平台是面向电网调度业务的云服务平台，承载了调控运行分析、安全管控和辅助决策等业务功能，一旦遭受攻击，则会导致业务系统崩溃、数据丢失、泄露、破坏等问题，对业务运营造成严重损害。
3.随着云计算技术在调控云平台中的应用，传统的it资源上承载的业务系统，转变成虚拟化的资源和中间件承载的业务系统。随着云原生、持续交付、容器、微服务架构等新技术不断应用，对网络安全产生了新的挑战，应用的快速迭代、跨云资源调度将导致网络结构动态调整，安全策略配置不合理及监控措施覆盖不全等问题，都将导致调控云平台的安全风险增大。
4.传统的网络安全防御方案在新技术应用的冲击下，存在明显短板。具体表现为：以分析安全问题、固定规则设定的研究方法变得效率低下、甚至无能为力；网络的异常访问连接非常复杂，需要手动设置、定义规则，花费较长时间；容易误报，太多的信号数据源和碎片化的报警规则，需要繁琐分析，误报或漏报比例较高；攻击来自内网时，传统网络的边界防御提供的保护极其有限；防御主要通过人工手动方式来实现，缺少节点自身行为和节点之间网络行为的监控识别，尚未具备对大量的主机节点和调控云内部网络行为进行高效管理的能力。

技术实现要素：

5.针对上述问题，本发明提出一种电网调控云平台的行为异常检测、隔离方法、装置及系统。
6.为了实现上述技术目的，达到上述技术效果，本发明通过以下技术方案实现：
7.第一方面，本发明提供了一种电网调控云平台的行为异常检测方法，应用于业务节点，包括：
8.采集与外部业务节点实时的连接关系数据和自身实时的运行信息；
9.将采集到的与外部业务节点实时的连接关系数据输入至预先训练好的连接关系评价模型，得到连接关系的异常连接评价得分，并与异常连接基线分值相比较，判断业务节点的连接关系是否为异常连接；
10.将采集到的自身实时的运行信息输入至预先训练好的节点行为评价模型，得到异常行为评价得分，并与异常行为基线分值相比较，判断业务节点行为是否为异常行为。
11.可选地，所述将采集到的与外部业务节点实时的连接关系数据输入至预先训练好的连接关系评价模型步骤之前还包括：
12.接收服务端下发的连接关系白名单和节点行为白名单；
13.将采集到的与外部业务节点实时的连接关系数据与连接关系白名单进行匹配，若能够成功匹配所述连接关系白名单，则判定业务节点的连接关系为正常连接；
14.将采集到的实时自身的运行信息与节点行为白名单进行匹配，若能够成功匹配所述节点行为白名单，则判定业务节点的行为为正常行为。
15.可选地，所述连接关系评价模型通过以下步骤训练得到：
16.使用与外部业务节点历史的连接关系数据为训练集；
17.使用孤立森林算法，以及所述训练集，训练机器学习模型，得到连接关系评价模型，并获得连接关系评价模型的异常连接基线分值。
18.可选地，所述节点行为评价模型通过以下步骤训练得到：
19.使用自身历史的运行信息作为训练集；
20.使用孤立森林算法，以及所述训练集，训练机器学习模型，得到节点行为评价模型，并获得节点行为评价模型的异常行为基线分值。
21.可选地，所述与外部业务节点实时的连接关系数据和自身实时的运行信息的通过以下步骤采集获得：
22.使用netfilter技术截取外部业务节点发送到本业务节点和本业务节点发送到外部业务节点的流量报文；
23.基于所述流量报文分析得到与外部业务节点实时的连接关系数据和自身实时的运行信息。
24.可选地，所述连接关系数据包括：《本地ip、本地端口、远程ip、远程端口、网络协议、进程id、进程名、连接时间》；
25.所述本地ip是指：业务节点的自身ip地址；
26.所述本地端口是指：与外部业务节点连接的自身节点开放的端口；
27.所述远程ip是指：业务节点采集到的与自身连接的外部业务节点ip地址；
28.所述远程端口是指：业务节点采集到的与自身连接的外部业务节点开放的端口；
29.所述网络协议是指：通信双方共同遵守的约定和通信规则的集合；
30.所述进程id是指：业务节点与外部业务节点的连接关系在自身进程的id；
31.所述进程名是指：业务节点与外部业务节点的连接关系在自身进程的名称；
32.所述连接时间是指：所采集的连接关系的时间；
33.所述运行信息包括：《本地ip、开放的所有端口、所有运行的进程信息、节点所属业务组、节点内存使用率、节点cpu使用率》；
34.所述本地ip是指：业务节点的自身ip地址；
35.所述开放的所有端口是指：业务节点所有已开放的端口；
36.所述运行的进程信息是指：运行的进程所包含的属性，包括进程所属用户、进程id、进程启动时间、进程的实际指令、进程所占物理内存比和进程所占cpu资源比；
37.所述节点所属业务是指：服务端对资产进行分类管理所区分的不同业务分组；
38.所述节点内存使用率是指：业务节点的已使用内存占总内存大小的比例；
39.所述节点cpu使用率是指：业务节点的运行程序所占cpu资源的比例。
40.第二方面，本发明提供了一种电网调控云平台的行为异常隔离方法，包括：
41.当基于行为异常检测方法检测出异常连接，则建立断开与此异常连接相对应的微
隔离策略，禁止本业务节点访问外部业务节点或外部业务节点访问本业务节点；
42.当基于行为异常检测方法检测出异常节点行为，则建立与外部断开的微隔离策略，并禁止本业务节点与外部的连接。
43.所述行为异常隔离方法还包括：
44.接收服务端下发的微隔离策略；
45.当基于行为异常检测方法检测出异常连接，若该异常连接满足接收到的微隔离策略的要求，则基于接收到的微隔离策略禁止本业务节点访问外部业务节点或外部业务节点访问本业务节点；
46.当基于行为异常检测方法检测出异常节点行为，若该异常节点行为满足接收到的微隔离策略的要求，则基于接收到的微隔离策略禁止本业务节点与外部的连接。
47.可选地，所述行为异常隔离方法还包括：
48.将建立的微隔离策略发送至服务端，更新服务端中保存的微隔离策略。
49.可选地，所述微隔离策略包括：策略名称、类型、访问者、访问者端口、服务者、服务对象和策略描述；
50.所述策略名称是指：微隔离策略的名称；
51.所述类型是指：微隔离策略所属的类型，包括黑名单和白名单；
52.所述访问者是指：微隔离策略限制的ip源地址；
53.所述访问者端口是指：微隔离策略限制的源端口；
54.所述服务者是指：微隔离策略所作用的目的地址；
55.所述服务对象是指：微隔离策略限制的协议和目的端口。
56.第三方面，本发明提供了一种电网调控云平台的行为异常检测装置，包括：
57.采集模块，用于采集与外部业务节点实时的连接关系数据和自身实时的运行信息；
58.异常连接判断模块，用于将采集到的与外部业务节点实时的连接关系数据输入至预先训练好的连接关系评价模型，得到连接关系的异常连接评价得分，并与异常连接基线分值相比较，判断业务节点的连接关系是否为异常连接；
59.异常行为判断模块，用于将采集到的自身实时的运行信息输入至预先训练好的节点行为评价模型，得到异常行为评价得分，并与异常行为基线分值相比较，判断业务节点行为是否为异常行为。
60.第四方面，本发明提供了一种电网调控云平台的行为异常检测系统，包括存储介质和处理器；
61.所述存储介质用于存储指令；
62.所述处理器用于根据所述指令进行操作以执行根据实施例1中任一项所述的方法。
63.第五方面，本发明提供了一种电网调控云平台的行为异常隔离装置，包括：
64.第一隔离模块，用于当基于行为异常检测方法检测出异常连接，则建立断开与此异常连接的微隔离策略，禁止本业务节点访问外部业务节点或外部业务节点访问本业务节点；
65.第二隔离模块，用于当基于行为异常检测方法检测出异常节点行为，则建立与外
部断开的微隔离策略，并禁止本业务节点与外部的连接。
66.第六方面，本发明提供了一种电网调控云平台的行为异常隔离系统，包括存储介质和处理器；
67.所述存储介质用于存储指令；
68.所述处理器用于根据所述指令进行操作以执行根据第二方面中任一项所述的方法。
69.与现有技术相比，本发明的有益效果：
70.本发明能够有效解决调控云平台内部与外部的非正常连接无法及时阻断和调控云平台内部的异常行为无法及时阻止的问题；防止了所有非必要的访问，禁止了调控云平台的内部攻击，提升了调控云平台的智能化管理能力，保障了调控云内业务的保密性、完整性和稳定性，同时在安全管理、网络通信、数据安全和计算环境安全多方面进行了极大的提升，从而提升调控云平台综合防御能力。
附图说明
71.为了使本发明的内容更容易被清楚地理解，下面根据具体实施例并结合附图，对本发明作进一步详细的说明，其中：
72.图1为本发明一种实施例的电网调控云平台的结构示意图。
具体实施方式
73.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明的保护范围。
74.下面结合附图对本发明的应用原理作详细的描述。
75.实施例1
76.本发明实施例中提供了一种电网调控云平台的行为异常检测方法，应用于业务节点，包括：
77.(1)采集与外部业务节点实时的连接关系数据和自身实时的运行信息；
78.(2)将采集到的与外部业务节点实时的连接关系数据输入至预先训练好的连接关系评价模型，得到连接关系的异常连接评价得分，并与异常连接基线分值相比较，判断业务节点的连接关系是否为异常连接；
79.(3)将采集到的自身实时的运行信息输入至预先训练好的节点行为评价模型，得到异常行为评价得分，并与异常行为基线分值相比较，判断业务节点行为是否为异常行为。
80.在本发明实施例的一种具体实施方式中，所述连接关系数据包括：《本地ip、本地端口、远程ip、远程端口、网络协议、进程id、进程名、连接时间》，其中，所述本地ip是指：业务节点的自身ip地址；所述本地端口是指：与外部业务节点连接的自身节点开放的端口；所述远程ip是指：业务节点采集到的与自身连接的外部业务节点ip地址；所述远程端口是指：业务节点采集到的与自身连接的外部业务节点开放的端口；所述网络协议是指：通信双方共同遵守的约定和通信规则的集合；所述进程id是指：业务节点与外部业务节点的连接关系在自身进程的id；所述进程名是指：业务节点与外部业务节点的连接关系在自身进程的
名称；所述连接时间是指：所采集的连接关系的时间；所述运行信息包括：《本地ip、开放的所有端口、所有运行的进程信息、节点所属业务组、节点内存使用率、节点cpu使用率》；其中，所述本地ip是指：业务节点的自身ip地址；所述开放的所有端口是指：业务节点所有已开放的端口；所述运行的进程信息是指：运行的进程所包含的属性，包括进程所属用户、进程id、进程启动时间、进程的实际指令、进程所占物理内存比和进程所占cpu资源比；所述节点所属业务是指：服务端对资产进行分类管理所区分的不同业务分组；所述节点内存使用率是指：业务节点的已使用内存占总内存大小的比例；所述节点cpu使用率是指：业务节点的运行程序所占cpu资源的比例。
81.在本发明实施例的一种具体实施方式中，所述将采集到的与外部业务节点实时的连接关系数据输入至预先训练好的连接关系评价模型步骤之前还包括：
82.接收服务端下发的连接关系白名单和节点行为白名单；
83.将采集到的与外部业务节点实时的连接关系数据与连接关系白名单进行匹配，若能够成功匹配所述连接关系白名单，则判定业务节点的连接关系为正常连接；
84.将采集到的实时自身的运行信息与节点行为白名单进行匹配，若能够成功匹配所述节点行为白名单，则判定业务节点的行为为正常行为。
85.在本发明实施例的一种具体实施方式中，所述连接关系评价模型通过以下步骤训练得到：
86.使用与外部业务节点历史的连接关系数据为训练集；
87.使用孤立森林算法，以及所述训练集，训练机器学习模型，得到连接关系评价模型，并获得连接关系评价模型的异常连接基线分值。
88.在本发明实施例的一种具体实施方式中，所述节点行为评价模型通过以下步骤训练得到：
89.使用自身历史的运行信息作为训练集；
90.使用孤立森林算法，以及所述训练集，训练机器学习模型，得到节点行为评价模型，并获得节点行为评价模型的异常行为基线分值。
91.在本发明实施例的一种具体实施方式中，所述与外部业务节点实时的连接关系数据和自身实时的运行信息的通过以下步骤采集获得：
92.使用netfilter技术截取外部业务节点发送到本业务节点和本业务节点发送到外部业务节点的流量报文；
93.基于所述流量报文分析得到与外部业务节点实时的连接关系数据和自身实时的运行信息。
94.参见图1所示，下面结合一具体实施方式对本发明实施例中的异常检测方法进行详细说明。所述电网调控云平台的行为异常检测方法具体包括如下步骤：
95.s1、分别在电网调控云管理平台内的服务端和各个业务节点(即主机节点，也即客户端节点)中部署软件，使各个业务节点可与服务端连接，并分别注册至服务端，各业务节点分别接收服务端发送的指令和微隔离策略。各个业务节点和服务端管理平台共同组成内部调控云。
96.服务端内部的软件在启动时，需打开服务端指定的tcp端口，该端口为服务端与各个业务节点的通信端口，服务端下发指令和接受信息均通过该端口，本发明要求该端口必
须打开，以保证服务端与各业务节点之间正常通信。
97.s2、服务端会对各业务节点进行业务分组，并下发与各业务节点相关的连接关系白名单和节点行为白名单至对应业务节点，同时会下发指定的机器学习模型训练的算法和相关微隔离策略信息至各个业务节点，以便各业务节点进行机器学习模型训练。
98.s3、各业务节点在一定时间范围内持续采集各业务节点与外部业务节点实时的连接关系和自身实时的运行信息，并记录和保存在本地，同时业务节点支持周期性采集各业务节点与外部业务节点实时的连接关系和自身实时的运行信息。
99.所述连接关系的内容如下所示：
100.《本地ip、本地端口、远程ip、远程端口、网络协议、进程id、进程名、连接时间》
101.其中：
102.所述本地ip是指：业务节点的自身ip地址；
103.所述本地端口是指：与外部业务节点连接的自身节点开放的端口；
104.所述远程ip是指：业务节点采集到的与自身连接的外部业务节点ip地址；
105.所述远程端口是指：业务节点采集到的与自身连接的外部业务节点开放的端口；
106.所述网络协议是指：通信双方就通信如何进行所必须共同遵守的约定和通信规则的集合；
107.所述进程id是指：业务节点与外部业务节点的连接关系在自身进程的id；
108.所述进程名是指：业务节点与外部业务节点的连接关系在自身进程的名称；
109.所述连接时间是指：所采集的连接关系的时间；
110.所述运行信息的内容如下所示：
111.《本地ip、开放的所有端口、所有运行的进程信息、节点所属业务组、节点内存使用率、节点cpu使用率》
112.其中：
113.所述本地ip是指：业务节点的自身ip地址；
114.所述开放的所有端口是指：业务节点所有已开放的端口；
115.所述运行的进程信息是指：运行的进程所包含的属性，包括进程所属用户、进程id、进程启动时间、进程的实际指令、进程所占物理内存比和进程所占cpu资源比；
116.所述节点所属业务是指：服务端对资产进行分类管理所区分的不同业务分组；
117.所述节点内存使用率是指：业务节点的已使用内存占总内存大小的比例；
118.所述节点cpu使用率是指：业务节点的运行程序所占cpu资源的比例。
119.s4、业务员节点使用与外部业务节点历史的连接关系数据和自身历史的运行信息作为机器学习模型训练集，使用孤立森林算法开始训练模型，包括以下过程：
120.(1)根据训练集的具体内容，构建孤立森林算法的孤立树数量、每个子树的特征数和子树样本数；
121.(2)开始训练孤立树，从训练集中进行采样，构建孤立树，对森林中的每棵孤立树进行测试，记录路径长度；
122.(3)单棵孤立树的训练结束后，就可以用生成的孤立树来评估测试数据了，即计算异常分数：
[0123][0124]
其中：
[0125]
x：是指抽取的样本；
[0126]
是指样本数；
[0127]
h(x)：是指样本x在每棵树的高度；
[0128]
是指给定样本数时路径长度的平均值；
[0129]
e(h(x))：是指孤立树的平均高度。
[0130]
(4)使用连接关系的训练数据和业务节点自身的运行信息训练数据训练后分别得到连接关系评价模型和节点行为评价模型，并通过上述公式计算得到异常连接基线分值和异常行为基线分值。
[0131]
所述异常连接基线分值：是指异常连接评价得分的基线，值在0和1之间，作为判断连接关系是否异常的标准，若连接关系的评价得分大于基线值，则判断连接关系为异常。
[0132]
所述异常行为基线分值：是指异常行为评价得分的基线，值在0和1之间，作为判断行为是否异常的标准，若行为的评价得分大于基线值，则判断行为为异常。
[0133]
s5、业务节点开始实时研判异常连接和自身异常行为。
[0134]
业务节点采集与外部业务节点实时的连接关系数据和自身实时的运行信息；
[0135]
首先将采集到的数据与服务端下发的白名单进行匹配，若能够命中白名单，则不需要利用连接关系评价模型和节点行为评价模型进行异常检测，直接判定业务节点的连接关系为正常连接；否则利用连接关系评价模型和节点行为评价模型进行异常检测，具体地：
[0136]
将与外部业务节点实时的连接关系数据和自身实时的运行信息分别输入至训练得到连接关系评价模型和节点行为评价模型，计算得到异常连接评价得分和异常行为评价得分；
[0137]
分别将异常连接评价得分和异常连接基线分值比对、异常行为评价得分和异常行为基线分值相比较，若大于相应基线分值，则将相应的行为判断为异常。
[0138]
s6、各业务节点会周期性采集最新的与外部业务节点实时的连接关系数据和自身实时的运行信息，并进行机器学习模型训练时，可重用上一次训练的结果来更新训练模型，以提高机器学习模型的训练效率。
[0139]
可见，本发明实施例中的行为异常检测方法，能够使电网调控云平台内的业务节点智能高效地进行行为异常/异常连接检测，以达到云平台的快速异常响应。
[0140]
实施例2
[0141]
本发明实施例中提供了一种电网调控云平台的行为异常隔离方法，包括以下步骤：
[0142]
当基于实施例1中的行为异常检测方法检测出异常连接，则建立断开与此异常连接的微隔离策略，禁止本业务节点访问外部业务节点或外部业务节点访问本业务节点；
[0143]
当基于实施例1中的行为异常检测方法检测出异常节点行为，则建立与外部断开的微隔离策略，并禁止本业务节点与外部的连接。
[0144]
在本发明实施例的一种具体实施方式中，所述行为异常隔离方法还包括：
[0145]
接收服务端下发的微隔离策略；
[0146]
当基于行为异常检测方法检测出异常连接，若该异常连接满足接收到的微隔离策略的要求，则基于接收到的微隔离策略禁止本业务节点访问外部业务节点或外部业务节点访问本业务节点；
[0147]
当基于行为异常检测方法检测出异常节点行为，若该异常节点行为满足接收到的微隔离策略的要求，则基于接收到的微隔离策略禁止本业务节点与外部的连接。
[0148]
在本发明实施例的一种具体实施方式中，所述行为异常隔离方法还包括：
[0149]
将建立的微隔离策略发送至服务端，更新服务端中保存的微隔离策略。
[0150]
在本发明实施例的一种具体实施方式中，所述微隔离策略包括：策略名称、类型、访问者、访问者端口、服务者、服务对象和策略描述；所述策略描述指的是创建原因、创建者等信息；
[0151]
所述策略名称是指：微隔离策略的名称；
[0152]
所述类型是指：微隔离策略所属的类型，包括黑名单和白名单；
[0153]
所述访问者是指：微隔离策略限制的ip源地址；
[0154]
所述访问者端口是指：微隔离策略限制的源端口；
[0155]
所述服务者是指：微隔离策略所作用的目的地址；
[0156]
所述服务对象是指：微隔离策略限制的协议和目的端口。
[0157]
下面结合一具体实施方式对本发明实施例中的行为异常隔离方法进行详细说明。
[0158]
s1、分别在电网调控云管理平台内的服务端和各个业务节点(即主机节点，也即客户端节点)中部署软件，使各个业务节点可与服务端连接，并分别注册至服务端，各业务节点分别接收服务端发送的指令和微隔离策略，并能获取各业务节点的微隔离策略执行情况。各个业务节点和服务端管理平台共同组成内部调控云。
[0159]
服务端内部的软件在启动时，需打开服务端指定的tcp端口，该端口为服务端与各个业务节点的通信端口，服务端下发指令和接受信息均通过该端口，本发明要求该端口必须打开，以保证服务端与各业务节点之间正常通信。
[0160]
s2、由服务端手动生成微隔离策略，下发应用至相应业务节点，并形成相应的边界防护，包括以下过程：
[0161]
(1)管理员在服务端手动输入微隔离的内容形成微隔离策略；
[0162]
微隔离策略主要内容如下所示：
[0163]
《策略名称、类型、访问者、访问者端口、服务者、服务对象和描述》
[0164]
其中：
[0165]
类型：是指创建的策略所属的类型，包括黑名单和白名单；
[0166]
访问者：是指访问的发起方，或访问来源，即微隔离策略限制的源ip地址，可以是指定的业务组或节点，也可以是指定的ip地址、ip地址范围或者不限任何地址；
[0167]
访问者端口：是指微隔离策略限制的源端口；
[0168]
服务者：是指提供服务的主机，即微隔离策略所作用的目的地址，可以是指定的业务组或节点；
[0169]
服务对象：是指微隔离策略限制的协议和目的端口；
[0170]
描述：是指对所创建的微隔离策略的描述。
[0171]
(2)服务端下发已创建的微隔离策略至指定业务节点或指定业务组；
[0172]
(3)业务节点使用netfilter框架技术hook挂载点：nf_inet_local_in和nf_inet_local_out，在挂载点分别注册相应的处理函数，当有数据包经过挂载点时，业务节点即可截取外部业务节点发送到本机业务节点和本机业务节点发送到外部业务节点的网络流量报文，并解析截取的网络流量报文，得到网络流量报文的源ip地址、源端口、目的ip地址、目的端口和网络协议；
[0173]
(4)若截取的网络流量报文数据满足已有微隔离策略的隔离要求，则直接返回nf_drop，丢弃该网络流量报文数据中断传输，若不满足隔离要求，则直接返回nf_accept，连接关系不中断；
[0174]
s3、由业务节点自动生成微隔离策略，阻断连接关系或与外部连接关系，并上报至服务端，若检测到异常连接关系，则阻断已有的连接关系；若检测到节点异常行为，则阻断业务节点和外部的所有连接关系；包括以下过程：
[0175]
(1)业务节点使用netfilter框架技术hook挂载点：nf_inet_local_in和nf_inet_local_out，在挂载点分别注册相应的处理函数，业务节点截取外部业务节点发送到本机业务节点和本机业务节点发送到外部业务节点的网络流量报文，解析得到源ip地址、源端口、目的ip地址、目的端口和网络协议，并本地保存，同时采集到一定时间范围内的与外部业务节点实时的连接关系数据和自身实时的运行信息；
[0176]
(2)基于已训练得到的连接关系评价模型，使用实时采集分析得到的与外部业务节点实时的连接关系数据，计算得到异常连接评价得分，并与异常连接基线分值相比较，判断节点的连接关系是否为异常连接；
[0177]
(3)若连接关系研判为异常连接，业务节点的挂载点处理函数直接返回nf_drop，中断该数据连接，并自建相应的微隔离策略；
[0178]
(4)基于已训练得到的节点行为评价模型，使用实时采集分析得到的自身实时的运行信息，计算得到运行信息的异常行为评价得分，并与异常行为基线分值相比较，判断节点行为是否为异常行为；
[0179]
(5)若业务节点的运行信息研判为异常行为，业务节点马上终端与外部业务节点的网络连接，并自建相应的微隔离策略，禁止业务节点访问外部或外部访问节点；
[0180]
(6)业务节点检测到异常行为并创建微隔离策略后，直接将自建的微隔离策略上报至服务端，形成服务端微隔离策略的可视化，方便统一化管理；
[0181]
(7)业务节点若长期没有异常节点行为时，可根据实际情况自动取消之前创建的微隔离策略，并上报信息至服务端。
[0182]
本发明针对调控云内部业务系统的多元性和差异性，该方法具有很强的自适应性，输出更精准的行为异常风险，使调控云平台能更智能地实现节点之间的安全隔离，防止了调控云外部对内部发起的攻击和由平台内部发起的攻击，同时解决了调控云平台内部各业务节点之间无法快速即时地阻隔网络攻击的问题，实现了行为异常的自动化编排响应，满足调控云平台内部东西向流量隔离的需求，保证了整个环境的安全性和稳定性。其中，网络流量分为两种类型，一种是外部用户和内部服务器之间交互的流量，这样的流量称作南北向流量或者纵向流量；另外一种就是数据中心内部服务器之间交互的流量，也叫东西向流量或者横向流量。
[0183]
实施例3
[0184]
本发明实施例中提供了一种电网调控云平台的行为异常检测装置，包括：
[0185]
采集模块，用于采集与外部业务节点实时的连接关系数据和自身实时的运行信息；
[0186]
异常连接判断模块，用于将采集到的与外部业务节点实时的连接关系数据输入至预先训练好的连接关系评价模型，得到连接关系的异常连接评价得分，并与异常连接基线分值相比较，判断业务节点的连接关系是否为异常连接；
[0187]
异常行为判断模块，用于将采集到的自身实时的运行信息输入至预先训练好的节点行为评价模型，得到异常行为评价得分，并与异常行为基线分值相比较，判断业务节点行为是否为异常行为。
[0188]
其余部分均与实施例1相同。
[0189]
实施例4
[0190]
本发明实施例中提供了一种电网调控云平台的行为异常检测系统，包括存储介质和处理器；
[0191]
所述存储介质用于存储指令；
[0192]
所述处理器用于根据所述指令进行操作以执行根据实施例1中任一项所述的方法。
[0193]
实施例5
[0194]
本发明实施例中提供了一种电网调控云平台的行为异常隔离装置，包括：
[0195]
第一隔离模块，用于当基于行为异常检测方法检测出异常连接，则建立断开与此异常连接的微隔离策略，禁止本业务节点访问外部业务节点或外部业务节点访问本业务节点；
[0196]
第二隔离模块，用于当基于行为异常检测方法检测出异常节点行为，则建立与外部断开的微隔离策略，并禁止本业务节点与外部的连接。
[0197]
其余部分均与实施例2相同。
[0198]
实施例6
[0199]
本发明实施例中提供了一种电网调控云平台的行为异常隔离系统，包括存储介质和处理器；
[0200]
所述存储介质用于存储指令；
[0201]
所述处理器用于根据所述指令进行操作以执行根据实施例2中任一项所述的方法。
[0202]
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

技术特征：

1.一种电网调控云平台的行为异常检测方法，其特征在于，应用于业务节点，包括：采集与外部业务节点实时的连接关系数据和自身实时的运行信息；将采集到的与外部业务节点实时的连接关系数据输入至预先训练好的连接关系评价模型，得到连接关系的异常连接评价得分，并与异常连接基线分值相比较，判断业务节点的连接关系是否为异常连接；将采集到的自身实时的运行信息输入至预先训练好的节点行为评价模型，得到异常行为评价得分，并与异常行为基线分值相比较，判断业务节点行为是否为异常行为。2.根据权利要求1所述的一种电网调控云平台的行为异常检测方法，其特征在于：所述将采集到的与外部业务节点实时的连接关系数据输入至预先训练好的连接关系评价模型步骤之前还包括：接收服务端下发的连接关系白名单和节点行为白名单；将采集到的与外部业务节点实时的连接关系数据与连接关系白名单进行匹配，若能够成功匹配所述连接关系白名单，则判定业务节点的连接关系为正常连接；将采集到的实时自身的运行信息与节点行为白名单进行匹配，若能够成功匹配所述节点行为白名单，则判定业务节点的行为为正常行为。3.根据权利要求1所述的一种电网调控云平台的行为异常检测方法，其特征在于：所述连接关系评价模型通过以下步骤训练得到：使用与外部业务节点历史的连接关系数据为训练集；使用孤立森林算法，以及所述训练集，训练机器学习模型，得到连接关系评价模型，并获得连接关系评价模型的异常连接基线分值。4.根据权利要求1所述的一种电网调控云平台的行为异常检测方法，其特征在于：所述节点行为评价模型通过以下步骤训练得到：使用自身历史的运行信息作为训练集；使用孤立森林算法，以及所述训练集，训练机器学习模型，得到节点行为评价模型，并获得节点行为评价模型的异常行为基线分值。5.根据权利要求1所述的一种电网调控云平台的行为异常检测方法，其特征在于：所述与外部业务节点实时的连接关系数据和自身实时的运行信息的通过以下步骤采集获得：使用netfilter技术截取外部业务节点发送到本业务节点和本业务节点发送到外部业务节点的流量报文；基于所述流量报文分析得到与外部业务节点实时的连接关系数据和自身实时的运行信息。6.根据权利要求1所述的一种电网调控云平台的行为异常检测方法，其特征在于：所述连接关系数据包括：<本地ip、本地端口、远程ip、远程端口、网络协议、进程id、进程名、连接时间>；所述本地ip是指：业务节点的自身ip地址；所述本地端口是指：与外部业务节点连接的自身节点开放的端口；所述远程ip是指：业务节点采集到的与自身连接的外部业务节点ip地址；所述远程端口是指：业务节点采集到的与自身连接的外部业务节点开放的端口；所述网络协议是指：通信双方共同遵守的约定和通信规则的集合；
所述进程id是指：业务节点与外部业务节点的连接关系在自身进程的id；所述进程名是指：业务节点与外部业务节点的连接关系在自身进程的名称；所述连接时间是指：所采集的连接关系的时间；所述运行信息包括：<本地ip、开放的所有端口、所有运行的进程信息、节点所属业务组、节点内存使用率、节点cpu使用率>；所述本地ip是指：业务节点的自身ip地址；所述开放的所有端口是指：业务节点所有已开放的端口；所述运行的进程信息是指：运行的进程所包含的属性，包括进程所属用户、进程id、进程启动时间、进程的实际指令、进程所占物理内存比和进程所占cpu资源比；所述节点所属业务是指：服务端对资产进行分类管理所区分的不同业务分组；所述节点内存使用率是指：业务节点的已使用内存占总内存大小的比例；所述节点cpu使用率是指：业务节点的运行程序所占cpu资源的比例。7.一种电网调控云平台的行为异常隔离方法，其特征在于，包括：当基于行为异常检测方法检测出异常连接，则建立断开与此异常连接相对应的微隔离策略，禁止本业务节点访问外部业务节点或外部业务节点访问本业务节点；当基于行为异常检测方法检测出异常节点行为，则建立与外部断开的微隔离策略，并禁止本业务节点与外部的连接。8.根据权利要求7所述的一种电网调控云平台的行为异常隔离方法，其特征在于，所述行为异常隔离方法还包括：接收服务端下发的微隔离策略；当基于行为异常检测方法检测出异常连接，若该异常连接满足接收到的微隔离策略的要求，则基于接收到的微隔离策略禁止本业务节点访问外部业务节点或外部业务节点访问本业务节点；当基于行为异常检测方法检测出异常节点行为，若该异常节点行为满足接收到的微隔离策略的要求，则基于接收到的微隔离策略禁止本业务节点与外部的连接。9.根据权利要求8所述的一种电网调控云平台的行为异常隔离方法，其特征在于，所述行为异常隔离方法还包括：将建立的微隔离策略发送至服务端，更新服务端中保存的微隔离策略。10.根据权利要求7或8所述的一种电网调控云平台的行为异常隔离方法，其特征在于，所述微隔离策略包括：策略名称、类型、访问者、访问者端口、服务者、服务对象和策略描述；所述策略名称是指：微隔离策略的名称；所述类型是指：微隔离策略所属的类型，包括黑名单和白名单；所述访问者是指：微隔离策略限制的ip源地址；所述访问者端口是指：微隔离策略限制的源端口；所述服务者是指：微隔离策略所作用的目的地址；所述服务对象是指：微隔离策略限制的协议和目的端口。11.一种电网调控云平台的行为异常检测装置，其特征在于，包括：采集模块，用于采集与外部业务节点实时的连接关系数据和自身实时的运行信息；异常连接判断模块，用于将采集到的与外部业务节点实时的连接关系数据输入至预先
训练好的连接关系评价模型，得到连接关系的异常连接评价得分，并与异常连接基线分值相比较，判断业务节点的连接关系是否为异常连接；异常行为判断模块，用于将采集到的自身实时的运行信息输入至预先训练好的节点行为评价模型，得到异常行为评价得分，并与异常行为基线分值相比较，判断业务节点行为是否为异常行为。12.一种电网调控云平台的行为异常检测系统，其特征在于：包括存储介质和处理器；所述存储介质用于存储指令；所述处理器用于根据所述指令进行操作以执行根据权利要求1-6中任一项所述的方法。13.一种电网调控云平台的行为异常隔离装置，其特征在于，包括：第一隔离模块，用于当基于行为异常检测方法检测出异常连接，则建立断开与此异常连接的微隔离策略，禁止本业务节点访问外部业务节点或外部业务节点访问本业务节点；第二隔离模块，用于当基于行为异常检测方法检测出异常节点行为，则建立与外部断开的微隔离策略，并禁止本业务节点与外部的连接。14.一种电网调控云平台的行为异常隔离系统，其特征在于：包括存储介质和处理器；所述存储介质用于存储指令；所述处理器用于根据所述指令进行操作以执行根据权利要求7-10中任一项所述的方法。

技术总结

本发明公开了一种电网调控云平台的行为异常检测、隔离方法、装置及系统，包括采集与外部业务节点实时的连接关系数据和自身实时的运行信息；将采集到的与外部业务节点实时的连接关系数据输入至预先训练好的连接关系评价模型，得到连接关系的异常连接评价得分，并与异常连接基线分值相比较，判断业务节点的连接关系是否为异常连接；将采集到的自身实时的运行信息输入至预先训练好的节点行为评价模型，得到异常行为评价得分，并与异常行为基线分值相比较，判断业务节点行为是否为异常行为。本发明能够满足对调控云平台的网络保护要求，实现对调控云平台内部流量的有效隔离。现对调控云平台内部流量的有效隔离。现对调控云平台内部流量的有效隔离。