本發明公開了一種電力行業網絡安全日志審計分析方法，包括獲取所有原始日志文件；將獲取的原始日志文件區分來源后進行存儲；將得到的區分來源后的日志文件，進行白名單過濾；對過濾后的日志文件進行進行審計分析。本發明具有實時性，可以對原始數據在多維度進行日志信息分析，能夠滿足用戶多維度數據查詢的需求；本發明方案，通過日志采集、日志分析、檢測過程、日志告警和日志存儲查詢檢索的方式，完善了日志分析系統的快速擴容、吞吐、高實時、高并行機制，提高日志文件的分析處理能力，并可以提供日志文件信息的實時查詢和預警操作；而且本發明方法針對電力系統的特點所設計，適用于電力系統，可靠性高、效率高且成本低廉。

技術領域

本發明屬于網絡安全領域，具體涉及一種電力行業網絡安全日志審計分析方法。

背景技術

隨著經濟技術的發展和人們生活水平的提高，電能已經成為了人們生產和生活中必不可少的二次能源，給人們的生產和生活帶來了無盡的便利。因此，保證自身的安全穩定運行，就成為了電力系統的最重要的任務之一。

而隨著大數據時代和物聯網時代的到來，互聯網也已經廣泛融入傳統的電力行業，使得電力行業更加智能化。但是，隨著云計算、移動互聯、物聯網、工業控制以及大數據等技術融入電網，對其進行全面安全防護，確保關鍵信息基礎設施安全也成為了重中之重。

電力系統工作人員在每天的操作中，操作系統、硬件、網絡行為、應用程序的運行狀況，用戶的操作記錄等等，每天都會形成大量的日志。日志記錄著工作人員所有的操作記錄。對日志進行審計和分析，能夠有效獲取工作人員和系統的運行狀態。

但是，面對海量的日志文件，如果采用人工進行分析和審計，不僅費時費力，成本高昂，而且效率極差，可靠性不高。

發明內容

本發明的目的在于提供一種可靠性高、效率高且成本低廉的電力行業網絡安全日志審計分析方法。

本發明提供的這種電力行業網絡安全日志審計分析方法，包括如下步驟：

S1.獲取所有原始日志文件；

S2.將步驟S1獲取的原始日志文件區分來源后進行存儲；

S3.將步驟S2得到的區分來源后的日志文件，進行白名單過濾；

S4.對步驟S3過濾后的日志文件進行進行審計分析。

步驟S1所述的獲取所有原始日志文件，具體為采集Nginx、Weblog和Tomcat中間件。

步驟S2所述的將步驟S1獲取的原始日志文件區分來源，具體為采用Flume-Interceptor攔截器進行原始日志的來源區分。

步驟S2所述的存儲，具體為將區分來源后的日志文件，輸送至不同的Kafka數據緩存隊列進行存儲。

步驟S4所述的對步驟S3過濾后的日志文件進行進行審計分析，具體包括采用Drools業務引擎通過用戶自定義規則解析日志，采用CEP行為分析引擎根據用戶自定義行為捕獲規則、根據日志解析結果預測攻擊者下一步的攻擊路線并報警，以及通過機器學習并進行日志分析。

所述的通過機器學習并進行日志分析，具體為通過隱馬爾科夫統計模型給定觀察序列、學習模型參數、評估觀察序列模型下的概率并求出可能性最大的隱藏狀態序列。

所述的機器學習，具體為機器學習的模型包括抽取器、訓練器、檢測器和重訓練器；對每條日志數據，先經過抽取器進行提取后再進行參數解析；然后根據抽取器解析出來的數據，根據是否已經有對應的訓練好的模型，拆分為兩部分：沒有對應模型的數據進入訓練器開始訓練流程，有對應模型的數據則直接進入檢測器；重訓練器用于持續迭代訓練模型以抵消模型衰減期的影響。