CN114037286A - 一种基于大数据电力调度自动化敏感数据检测方法及*** - Google Patents

Abstract

本发明公开了一种基于大数据电力调度自动化敏感数据检测方法及***，属于电力调度技术领域，其特征在于，基于大数据电力调度自动化敏感数据检测方法包括如下步骤：S1、获取下列数据源：网络全流量数据、业务***数据、设备告警数据和自定义数据；S2、行为分析；具体包括基线分析、时间序列分析和风险评估；S3、行为异常事件判定；S4、场景预测告警。通过上述技术方案，本发明通过大数据和机器学习手段，通过持续的对用户用电数据进行监控，学习用户正常用电行为，同时做到及时发现***内部的对铭感数据的异常行为，对偏离正常行为的动作进行及时告警。

Description

一种基于大数据电力调度自动化敏感数据检测方法及***

技术领域

本发明属于电力调度技术领域，特别是涉及一种基于大数据电力调度自动化敏感数据检测方法及***。

背景技术

随着电网规模的逐渐扩大以及电网自动化程度越来越高，电网企业尤其是电力调度自动化专业已经步入了数据化的新时代。信息化伴随而来的就是企业存在敏感信息泄露的风险，特别是企业电力习惯、客户信息以及企业隐私行为等。

电力调度自动化主要通过电力调度数据网以及电力办公网同外界进行信息交换，电力调度自动化数据在内网上留下信息，这些信息如果被分析和利用，将对用户隐私以及电网安全形成极大的威胁，同时海量数据也增加了信息保护的难度。

电网信息化的推进尤其是电力调度自动化数据与公网间接交换逐渐增多，与电信、金融、政府等不同平台存在对接接口，这就要求加速推进对电力调度自动化数据安全和隐私保护需求。在保障业务正常的前提下，以合理成本，保护电力调度自动化数据的安全。业务需求与风险并存，防护要在业务需求与风险之间寻求平衡，对不同价值和属性的数据，在不同业务需求下，实施不同级别的防护措施，控制防护成本。

发明内容

技术方案，为了解决上述背景技术中的技术问题：提出一种基于大数据电力调度自动化敏感数据检测方法及***，通过大数据和机器学习手段，通过持续的对用户用电数据进行监控，学习用户正常用电行为，同时做到及时发现***内部的对铭感数据的异常行为，对偏离正常行为的动作进行及时告警。

本发明的第一目的是提供一种基于大数据电力调度自动化敏感数据检测方法，包括：

S1、获取下列数据源：网络全流量数据、业务***数据、设备告警数据和自定义数据；

S2、行为分析；具体包括基线分析、时间序列分析和风险评估，其中：

所述基线分析包括数值型基线和标称型基线；

所述数值型基线对于可量化的指标，使用数值型基线，可量化的指标包括历史流入流出流量、历史访问端口行为和历史访问主机行为；所述标称型基线对于不能量化的指标，使用标称型基线，不能量化的指标包括账号常用登录区域、账号惯常登录时间、账号常用IP和主机历史开放端口；

所述时间序列分析通过对访问数据的时间戳，对比访问历史时间，对访活跃时间段、存活情况，判定是否是异常时间异常操作；

所述风险评估通过矩阵特征给出判定，敏感数据是否存在异常；

S3、行为异常事件判定；行为异常事件包括：

读取防火墙、入侵检测******日志是否存在非法外接设备；

数据库非法访问：检测用户是否对数据库非法访问和操作；

敏感数据外传异常：检测数据库数据是否被截屏，重点数据是否被复制；

S4、场景预测告警。

优选地：所述网络全流量数据为：整个调度数据网以及和电力调度自动化***对外接口的请求-响应协议内容、用户对话信息以及文件信息流；

所述业务***数据为：为习得账号的正常行为基线，发现其异常行为，采集身份认证、授权、记账和审计***账号，企业办公账号账号以及其他业务***账号的活动数据。

所述设备告警数据为：主机终端的进程活动日志、网络活动日志、文件操作日志；防火墙、入侵检测***、网站应用级防御***通过***日志传送；

所述自定义数据为包括维护员自定义的终端、终端端口以及维护人员自定义的敏感服务。

优选地：所述S2具体为：

定义1数值型异常基线监测法；

定义1.1单元数值型监测法；

待监测数值型数据组X＝{x₁,x₂,x₃…x_n},其中x_n∈Rⁿ，i,n∈正整数，R表示实数；

u_i表示数据组x_i的均值；

σ²表示数据组x_i的方差；

p_i(x)表示数据组X_i内数据的分布函数，

表示X_i之间若均独立，数值型数组分布函数为p(X)；若p(X)<ε则认为异常，其中，ε为维护人员设定的边界值ε∈(0,1)；

定义1.2多元数值型监测法；

待监测数值型数据组X_i＝{x₁,x₂,x₃…x_n}，其中x_i，X_i∈Rⁿ，i,n∈正整数，R表示实数，Σ∈R^n×n；

q_i(x)表示数据组X_i内数据的分布函数；

其中，x_n之间正相关，则

x_n之间负相，关则

表示x_i之间若不独立，数值型数组分布函数为p(X)；

若q(X)<ε₂则认为异常，其中，ε₂为维护人员设定的边界值ε₂∈(0,1)；

定义2时序异常分析基线；

待监测时序行为数据组X_i＝{x₁,x₂,x₃…x_n}，x_n表示第n种访问行为，定义m表示x_i出现m次，n∈正整数，m∈非负整数；

W(x_i)表示x_i的在时间序列中活跃程度；

H_i(x)表示X_i混乱程度；

若H_i(x)<ε₃则认为异常，其中ε₃为维护人员设定的边界值ε₃∈(0,1)；

定义3，

将定义2中不同属性的d个特征值H_d(x)，构建风险监测矩阵B，特征值包括IP端口，数据包大小；

待监测数据特征矩阵为{H_K(1)…H_K(d)}，与风险监测矩阵B的每一列做定义3.1的计算生成新的矩阵C；

定义3.1

C＝[θ₁…θ_n]，表示各维度特征的异常情况；

若θ_n<ε₄则认为异常，其中ε为维护人员设定的边界值ε₄∈(0,1)，C中异常θ_n越多，被监测对象风险值越高。

优选地：所述S4具体为：通过异常事件特征分析结果，构建敏感数据事件场景，包括：离职人员窃取敏感数据，内部人员过失性破坏，账号失窃导致敏感数据泄露以及敏感数据被截屏。

本发明的第二目的是提供一种基于大数据电力调度自动化敏感数据检测***，包括：

数据获取模块，获取下列数据源：网络全流量数据、业务***数据、设备告警数据和自定义数据；

分析模块，行为分析；具体包括基线分析、时间序列分析和风险评估，其中：

所述基线分析包括数值型基线和标称型基线；

所述数值型基线对于可量化的指标，使用数值型基线，可量化的指标包括历史流入流出流量、历史访问端口行为和历史访问主机行为；所述标称型基线对于不能量化的指标，使用标称型基线，不能量化的指标包括账号常用登录区域、账号惯常登录时间、账号常用IP和主机历史开放端口；

所述时间序列分析通过对访问数据的时间戳，对比访问历史时间，对访活跃时间段、存活情况，判定是否是异常时间异常操作；

所述风险评估通过矩阵特征给出判定，敏感数据是否存在异常；

判定模块，行为异常事件判定；行为异常事件包括：

读取防火墙、入侵检测******日志是否存在非法外接设备；

数据库非法访问：检测用户是否对数据库非法访问和操作；

敏感数据外传异常：检测数据库数据是否被截屏，重点数据是否被复制；

预警模块，场景预测告警。

优选地：所述网络全流量数据为：整个调度数据网以及和电力调度自动化***对外接口的请求-响应协议内容、用户对话信息以及文件信息流；

所述业务***数据为：为习得账号的正常行为基线，发现其异常行为，采集身份认证、授权、记账和审计***账号，企业办公账号账号以及其他业务***账号的活动数据。

所述设备告警数据为：主机终端的进程活动日志、网络活动日志、文件操作日志；防火墙、入侵检测***、网站应用级防御***通过***日志传送；

所述自定义数据为包括维护员自定义的终端、终端端口以及维护人员自定义的敏感服务。

优选地：所述分析模块的具体分析过程为：

定义1数值型异常基线监测法；

定义1.1单元数值型监测法；

待监测数值型数据组X＝{x₁,x₂,x₃…x_n},其中x_n∈Rⁿ，i,n∈正整数，R表示实数；

u_i表示数据组x_i的均值；

σ²表示数据组x_i的方差；

p_i(x)表示数据组X_i内数据的分布函数，

表示X_i之间若均独立，数值型数组分布函数为p(X)；若p(X)<ε则认为异常，其中，ε为维护人员设定的边界值ε∈(0,1)；

定义1.2多元数值型监测法；

待监测数值型数据组X_i＝{x₁,x₂,x₃…x_n}，其中x_i，X_i∈Rⁿ，i,n∈正整数，R表示实数，Σ∈R^n×n；

q_i(x)表示数据组X_i内数据的分布函数；

其中，x_n之间正相关，则

x_n之间负相，关则

表示x_i之间若不独立，数值型数组分布函数为p(X)；

若q(X)<ε₂则认为异常，其中，ε₂为维护人员设定的边界值ε₂∈(0,1)；

定义2时序异常分析基线；

待监测时序行为数据组X_i＝{x₁,x₂,x₃…x_n}，x_n表示第n种访问行为，定义m表示x_i出现m次，n∈正整数，m∈非负整数；

W(x_i)表示x_i的在时间序列中活跃程度；

H_i(x)表示X_i混乱程度；

若H_i(x)<ε₃则认为异常，其中ε₃为维护人员设定的边界值ε₃∈(0,1)；

定义3，

将定义2中不同属性的d个特征值H_d(x)，构建风险监测矩阵B，特征值包括IP端口，数据包大小；

待监测数据特征矩阵为{H_K(1)…H_K(d)}，与风险监测矩阵B的每一列做定义3.1的计算生成新的矩阵C；

定义3.1

C＝[θ₁…θ_n]，表示各维度特征的异常情况；

若θ_n<ε₄则认为异常，其中ε为维护人员设定的边界值ε₄∈(0,1)，C中异常θ_n越多，被监测对象风险值越高。

优选地：所述预警模块具体为：通过异常事件特征分析结果，构建敏感数据事件场景，包括：离职人员窃取敏感数据，内部人员过失性破坏，账号失窃导致敏感数据泄露以及敏感数据被截屏。

本专利的第三发明目的是提供一种实现上述基于大数据电力调度自动化敏感数据检测方法的计算机程序。

本专利的第四发明目的是提供一种实现上述基于大数据电力调度自动化敏感数据检测方法的信息数据处理终端。

本专利的第五发明目的是提供一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行上述的基于大数据电力调度自动化敏感数据检测方法。

本发明的优点及积极效果为：

本发明基于大数据电力调度自动化敏感数据检测方法及***，利用机器学习的方法进行基线检测，在训练过程中先描摹出账号的正常行为，从而实时鉴别出账号的异常行为，做出相应的告警。将这些告警串接起来，可以为鉴高危事故提供相应的线索与证据，形成一条完整的故事线。

附图说明

图1为本发明优选实例的***结构示意图；

具体实施方式

为能进一步了解本发明的发明内容、特点及功效，兹例举以下实施例，并配合附图详细说明如下。

请参阅图1，具体方案为：

一种基于大数据电力调度自动化敏感数据检测方法，包含下列步骤：

S1、获取下列数据源：网络全流量数据、业务***数据、设备告警数据和自定义数据；其中数据源包括：

网络全流量数据：主要采集整个调度数据网以及和电力调度自动化***对外接口的请求-响应协议内容(HTTP)、用户对话信息(SEESION)以及文件信息流。

业务***数据：为习得账号的正常行为基线，发现其异常行为，采集身份认证、授权、记账和审计***账号(4A)，企业办公账号(OA)账号以及其他业务***账号的活动数据(DPI)。

设备告警数据：为了学习主机的正常模式，发现其异常行为，采集如主机终端的进程活动日志、网络活动日志、文件操作日志等。防火墙(Firewalls)、入侵检测***(IDS)、网站应用级防御***(WAF)通过***日志传送(SYSLOG)

自定义数据；主要包括维护员自定义的终端以及终端端口以及维护人员自定义的敏感服务。

S2、行为分析；具体包括基线分析、时间序列分析和风险评估，其中：

所述基线分析包括数值型基线和标称型基线；

所述数值型基线对于可量化的指标，使用数值型基线，可量化的指标包括历史流入流出流量、历史访问端口行为和历史访问主机行为；所述标称型基线对于不能量化的指标，使用标称型基线，不能量化的指标包括账号常用登录区域、账号惯常登录时间、账号常用IP和主机历史开放端口；

所述时间序列分析通过对访问数据的时间戳，对比访问历史时间，对访活跃时间段、存活情况，判定是否是异常时间异常操作；

所述风险评估通过矩阵特征给出判定，敏感数据是否存在异常；

在本优选实施例中，行为分析具体为：

定义1数值型异常基线监测法；

定义1.1单元数值型监测法；

待监测数值型数据组X＝{x₁,x₂,x₃…x_n},其中x_n∈Rⁿ，i,n∈正整数，R表示实数；

u_i表示数据组x_i的均值；

σ²表示数据组x_i的方差；

p_i(x)表示数据组X_i内数据的分布函数，

表示X_i之间若均独立，数值型数组分布函数为p(X)；若p(X)<ε则认为异常，其中，ε为维护人员设定的边界值ε∈(0,1)；

定义1.2多元数值型监测法；

待监测数值型数据组X_i＝{x₁,x₂,x₃…x_n}，其中x_i，X_i∈Rⁿ，i,n∈正整数，R表示实数，Σ∈R^n×n；

q_i(x)表示数据组X_i内数据的分布函数；

其中，x_n之间正相关，则

x_n之间负相，关则

表示x_i之间若不独立，数值型数组分布函数为p(X)；

若q(X)<ε₂则认为异常，其中，ε₂为维护人员设定的边界值ε₂∈(0,1)；

定义2时序异常分析基线；

待监测时序行为数据组X_i＝{x₁,x₂,x₃…x_n}，x_n表示第n种访问行为，定义m表示x_i出现m次，n∈正整数，m∈非负整数；

W(x_i)表示x_i的在时间序列中活跃程度；

H_i(x)表示X_i混乱程度；

若H_i(x)<ε₃则认为异常，其中ε₃为维护人员设定的边界值ε₃∈(0,1)；

定义3，

将定义2中不同属性的d个特征值H_d(x)，构建风险监测矩阵B，特征值包括IP端口，数据包大小；

待监测数据特征矩阵为{H_K(1)…H_K(d)}，与风险监测矩阵B的每一列做定义3.1的计算生成新的矩阵C；

定义3.1

C＝[θ₁…θ_n]，表示各维度特征的异常情况；

若θ_n<ε₄则认为异常，其中ε为维护人员设定的边界值ε₄∈(0,1)，C中异常θ_n越多，被监测对象风险值越高；

S3、行为异常事件判定；行为异常事件包括：

是读取防火墙(Firewalls)、入侵检测***(IDS)***日志是否存在非法外接设备。

数据库非法访问：检测用户是否对数据库非法访问和操作；

敏感数据外传异常：检测数据库数据是否被截屏，重点数据是否被复制；

读取防火墙、入侵检测******日志是否存在非法外接设备；

S4、场景预测告警，主要通过异常事件特征分析结果，构建敏感数据事件场景，包括：离职人员窃取敏感数据，内部人员过失性破坏，账号失窃导致敏感数据泄露以及敏感数据被截屏。

一种基于大数据电力调度自动化敏感数据检测***，包括：

数据获取模块，获取下列数据源：网络全流量数据、业务***数据、设备告警数据和自定义数据；

分析模块，行为分析；具体包括基线分析、时间序列分析和风险评估，其中：

所述基线分析包括数值型基线和标称型基线；

所述数值型基线对于可量化的指标，使用数值型基线，可量化的指标包括历史流入流出流量、历史访问端口行为和历史访问主机行为；所述标称型基线对于不能量化的指标，使用标称型基线，不能量化的指标包括账号常用登录区域、账号惯常登录时间、账号常用IP和主机历史开放端口；

所述时间序列分析通过对访问数据的时间戳，对比访问历史时间，对访活跃时间段、存活情况，判定是否是异常时间异常操作；

所述风险评估通过矩阵特征给出判定，敏感数据是否存在异常；

判定模块，行为异常事件判定；行为异常事件包括：

读取防火墙、入侵检测******日志是否存在非法外接设备；

数据库非法访问：检测用户是否对数据库非法访问和操作；

敏感数据外传异常：检测数据库数据是否被截屏，重点数据是否被复制；

预警模块，场景预测告警。

一种实现上述基于大数据电力调度自动化敏感数据检测方法的信息数据处理终端。

一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行上述的基于大数据电力调度自动化敏感数据检测方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用全部或部分地以计算机程序产品的形式实现，所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输)。所述计算机可读取存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘SolidState Disk(SSD))等。

以上所述仅是对本发明的较佳实施例而已，并非对本发明作任何形式上的限制，凡是依据本发明的技术实质对以上实施例所做的任何简单修改，等同变化与修饰，均属于本发明技术方案的范围内。

Claims (10)

1.一种基于大数据电力调度自动化敏感数据检测方法，其特征在于，包括如下步骤：

S1、获取下列数据源：网络全流量数据、业务***数据、设备告警数据和自定义数据；

S2、行为分析；具体包括基线分析、时间序列分析和风险评估，其中：

所述基线分析包括数值型基线和标称型基线；

所述数值型基线对于可量化的指标，使用数值型基线，可量化的指标包括历史流入流出流量、历史访问端口行为和历史访问主机行为；所述标称型基线对于不能量化的指标，使用标称型基线，不能量化的指标包括账号常用登录区域、账号惯常登录时间、账号常用IP和主机历史开放端口；

所述时间序列分析通过对访问数据的时间戳，对比访问历史时间，对访活跃时间段、存活情况，判定是否是异常时间异常操作；

所述风险评估通过矩阵特征给出判定，敏感数据是否存在异常；

S3、行为异常事件判定；行为异常事件包括：

读取防火墙、入侵检测******日志是否存在非法外接设备；

数据库非法访问：检测用户是否对数据库非法访问和操作；

敏感数据外传异常：检测数据库数据是否被截屏，重点数据是否被复制；

S4、场景预测告警。

2.根据权利要求1所述基于大数据电力调度自动化敏感数据检测方法，其特征在于：

所述网络全流量数据为：整个调度数据网以及和电力调度自动化***对外接口的请求-响应协议内容、用户对话信息以及文件信息流；

所述业务***数据为：为习得账号的正常行为基线，发现其异常行为，采集身份认证、授权、记账和审计***账号，企业办公账号账号以及其他业务***账号的活动数据。

所述设备告警数据为：主机终端的进程活动日志、网络活动日志、文件操作日志；防火墙、入侵检测***、网站应用级防御***通过***日志传送；

所述自定义数据为包括维护员自定义的终端、终端端口以及维护人员自定义的敏感服务。

3.根据权利要求2所述基于大数据电力调度自动化敏感数据检测方法，其特征在于，所述S2具体为：

定义1数值型异常基线监测法；

定义1.1单元数值型监测法；

待监测数值型数据组X＝{x₁,x₂,x₃…x_n},其中x_n∈Rⁿ，i,n∈正整数，R表示实数；

u_i表示数据组x_i的均值；

σ²表示数据组x_i的方差；

p_i(x)表示数据组X_i内数据的分布函数，

表示X_i之间若均独立，数值型数组分布函数为p(X)；若p(X)<ε则认为异常，其中，ε为维护人员设定的边界值ε∈(0,1)；

定义1.2多元数值型监测法；

待监测数值型数据组X_i＝{x₁,x₂,x₃…x_n}，其中x_i，X_i∈Rⁿ，i,n∈正整数，R表示实数，Σ∈R^n×n；

q_i(x)表示数据组X_i内数据的分布函数；

其中，x_n之间正相关，则

x_n之间负相，关则

表示x_i之间若不独立，数值型数组分布函数为p(X)；

若q(X)<ε₂则认为异常，其中，ε₂为维护人员设定的边界值ε₂∈(0,1)；

定义2时序异常分析基线；

待监测时序行为数据组X_i＝{x₁,x₂,x₃…x_n}，x_n表示第n种访问行为，定义m表示x_i出现m次，n∈正整数，m∈非负整数；

W(x_i)表示x_i的在时间序列中活跃程度；

H_i(x)表示X_i混乱程度；

若H_i(x)<ε₃则认为异常，其中ε₃为维护人员设定的边界值ε₃∈(0,1)；

定义3，

将定义2中不同属性的d个特征值H_d(x)，构建风险监测矩阵B，特征值包括IP端口，数据包大小；

待监测数据特征矩阵为{H_K(1)…H_K(d)}，与风险监测矩阵B的每一列做定义3.1的计算生成新的矩阵C；

定义3.1

C＝[θ₁…θ_n]，表示各维度特征的异常情况；

若θ_n<ε₄则认为异常，其中ε为维护人员设定的边界值ε₄∈(0,1)，C中异常θ_n越多，被监测对象风险值越高。

4.根据权利要求3所述基于大数据电力调度自动化敏感数据检测方法，其特征在于，所述S4具体为：通过异常事件特征分析结果，构建敏感数据事件场景，包括：离职人员窃取敏感数据，内部人员过失性破坏，账号失窃导致敏感数据泄露以及敏感数据被截屏。

5.一种基于大数据电力调度自动化敏感数据检测***，其特征在于：包括：

数据获取模块，获取下列数据源：网络全流量数据、业务***数据、设备告警数据和自定义数据；

分析模块，行为分析；具体包括基线分析、时间序列分析和风险评估，其中：

所述基线分析包括数值型基线和标称型基线；

所述数值型基线对于可量化的指标，使用数值型基线，可量化的指标包括历史流入流出流量、历史访问端口行为和历史访问主机行为；所述标称型基线对于不能量化的指标，使用标称型基线，不能量化的指标包括账号常用登录区域、账号惯常登录时间、账号常用IP和主机历史开放端口；

所述时间序列分析通过对访问数据的时间戳，对比访问历史时间，对访活跃时间段、存活情况，判定是否是异常时间异常操作；

所述风险评估通过矩阵特征给出判定，敏感数据是否存在异常；

判定模块，行为异常事件判定；行为异常事件包括：

读取防火墙、入侵检测******日志是否存在非法外接设备；

数据库非法访问：检测用户是否对数据库非法访问和操作；

敏感数据外传异常：检测数据库数据是否被截屏，重点数据是否被复制；

预警模块，场景预测告警。

6.根据权利要求5所述基于大数据电力调度自动化敏感数据检测***，其特征在于：

所述网络全流量数据为：整个调度数据网以及和电力调度自动化***对外接口的请求-响应协议内容、用户对话信息以及文件信息流；

所述业务***数据为：为习得账号的正常行为基线，发现其异常行为，采集身份认证、授权、记账和审计***账号，企业办公账号账号以及其他业务***账号的活动数据。

所述设备告警数据为：主机终端的进程活动日志、网络活动日志、文件操作日志；防火墙、入侵检测***、网站应用级防御***通过***日志传送；

所述自定义数据为包括维护员自定义的终端、终端端口以及维护人员自定义的敏感服务。

7.根据权利要求6所述基于大数据电力调度自动化敏感数据检测***，其特征在于：

所述分析模块的具体分析过程为：

定义1数值型异常基线监测法；

定义1.1单元数值型监测法；

待监测数值型数据组X＝{x₁,x₂,x₃…x_n},其中x_n∈Rⁿ，i,n∈正整数，R表示实数；

u_i表示数据组x_i的均值；

σ²表示数据组x_i的方差；

p_i(x)表示数据组X_i内数据的分布函数，

表示X_i之间若均独立，数值型数组分布函数为p(X)；若p(X)<ε则认为异常，其中，ε为维护人员设定的边界值ε∈(0,1)；

定义1.2多元数值型监测法；

待监测数值型数据组X_i＝{x₁,x₂,x₃…x_n}，其中x_i，X_i∈Rⁿ，i,n∈正整数，R表示实数，Σ∈R^n×n；

q_i(x)表示数据组X_i内数据的分布函数；

其中，x_n之间正相关，则

x_n之间负相，关则

表示x_i之间若不独立，数值型数组分布函数为p(X)；

若q(X)<ε₂则认为异常，其中，ε₂为维护人员设定的边界值ε₂∈(0,1)；

定义2时序异常分析基线；

待监测时序行为数据组X_i＝{x₁,x₂,x₃…x_n}，x_n表示第n种访问行为，定义m表示x_i出现m次，n∈正整数，m∈非负整数；

W(x_i)表示x_i的在时间序列中活跃程度；

H_i(x)表示X_i混乱程度；

若H_i(x)<ε₃则认为异常，其中ε₃为维护人员设定的边界值ε₃∈(0,1)；

定义3，

将定义2中不同属性的d个特征值H_d(x)，构建风险监测矩阵B，特征值包括IP端口，数据包大小；

待监测数据特征矩阵为{H_K(1)…H_K(d)}，与风险监测矩阵B的每一列做定义3.1的计算生成新的矩阵C；

定义3.1

C＝[θ₁…θ_n]，表示各维度特征的异常情况；

若θ_n<ε₄则认为异常，其中ε为维护人员设定的边界值ε₄∈(0,1)，C中异常θ_n越多，被监测对象风险值越高。

8.根据权利要求7所述基于大数据电力调度自动化敏感数据检测***，其特征在于，所述预警模块具体为：通过异常事件特征分析结果，构建敏感数据事件场景，包括：离职人员窃取敏感数据，内部人员过失性破坏，账号失窃导致敏感数据泄露以及敏感数据被截屏。

9.一种实现权利要求1-4任一项所述基于大数据电力调度自动化敏感数据检测方法的信息数据处理终端。

10.一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行如权利要求1-4任一项所述的基于大数据电力调度自动化敏感数据检测方法。

Images