[发明专利]煤矿网络异常行为预警方法、系统、设备及可读存储介质

权利要求书

1.一种基于聚类分析的煤矿网络异常行为预警方法，其特征在于，所述方法包括以下步骤：

创建并部署Python脚本程序集，获取各位置安全数据信息；

建立分布式数据库与各安全数据集合的逻辑映射文件；

基于K-均值聚类分析建立聚类分析平台；

将逻辑映射文件输入聚类分析平台获得K个聚类样本库；

判断不同样本库中的关键行为是否出现异常，若出现异常则发出提示。

2.根据权利要求1所述的基于聚类分析的煤矿网络异常行为预警方法，其特征在于，所述基于聚类分析的煤矿网络异常行为预警方法包括以下步骤：

针对体系中各系统安全数据位置探针获取数据包，确定不同安全数据抓取任务项形成python脚本程序集合；

根据安全数据抓取任务项编写建立相应的分布式数据库，提供规范化数据库接口；

获取各类安全数据文件形成安全数据集文件；

对安全数据集文件进行数据处理后存到建立的分布式数据库中并形成逻辑映射文件。

3.根据权利要求2所述的基于聚类分析的煤矿网络异常行为预警方法，其特征在于，所述python脚本的内容必须与数据库接口对应。

4.根据权利要求2所述的基于聚类分析的煤矿网络异常行为预警方法，其特征在于，所述获取各类安全数据文件形成安全数据集文件包括：将脚本集放置于工业互联网体系中核心或者业务系统的运行位置，根据不同安全数据的特征通过配置数据抓取任务参数，形成安全数据集文件。

5.根据权利要求4所述的基于聚类分析的煤矿网络异常行为预警方法，其特征在于，所述对安全数据集文件进行数据处理包括：数据清洗转换和数据过滤。

6.根据权利要求1所述的基于聚类分析的煤矿网络异常行为预警方法，其特征在于，所述基于聚类分析的煤矿网络异常行为预警方法包括以下步骤：

读取逻辑映射文件，在内存中执行对文件的规范化处理，建立不同来源的安全数据多维度信息和聚类分析计算范式的映射关系集合，再转存到管理客户端数据库中；

呈现可执行的规范化分析数据情况；

设置基于python开发的K-均值聚类分析程序参数；

根据程序参数设定进行聚类计算，并记录显示不同参数的聚类结果，根据同类数据位情况判断是否存在异常行为；

使用中断线程，中断提醒人工判断当前提醒是否作为异常行为样本模型。

7.根据权利要求6所述的基于聚类分析的煤矿网络异常行为预警方法，其特征在于，所述在内存中执行对文件的规范化处理包括以下步骤：

提取安全数据范式的个体征变量：来源地址、来源IP、起止时间、发生时段、登录信息、动作行为作为数据位,汇总形成聚类分析样本库；体系安全数据体征集合Loginf如下：

Loginf＝{[D_Seri],[D_Schi],[D_Firi],[D_Proi],[D_Sqli]}i＝1,2,3...

其中D代表不同类型的安全数据集合，i是每一类安全数据源的数量，ser代表来源服务器，Sch代表来源交换机，Fir代表来源安全设备，Pro代表来源工控协议审计设备，Sql代表各业务的服务操作系统；

每一个D数据集合中包含[S_mac，D_mac，S_ip，D_ip，T₁，T₂，T_L，L_in，AC]9个数据位，分别代表[源mac地址，目的mac地址源IP地址，目的IP地址，起时间，结束时间，发生时长，登录信息，发生动作]。