[发明专利]煤矿网络异常行为预警方法、系统、设备及可读存储介质

说明书

本发明公开了一种基于聚类分析的煤矿网络异常行为预警方法，包括以下步骤：创建并部署Python脚本程序集，获取各位置安全数据信息；建立分布式数据库与各安全数据集合的逻辑映射文件；对文件内数据基于数据位进行规范化处理形成样本库；依据样本库特征情况通过K‑均值聚类分析用样本库反复迭代分析，最终形成预期的K个聚类样本库；判断不同样本库中的关键行为是否出现异常，若出现异常则发出提示；还公开了相对应的基于聚类分析的煤矿网络异常行为预警系统、设备及可读存储介质；可以采集多点多类型的工业互联网体系中安全数据的信息，并据此生成聚类集合实现是否安全的判断依据，提高对安全预警的能力，以及降低防护系统运维成本。

技术领域

本发明涉及煤矿网络安全防护技术领域，尤其涉及一种基于聚类分析的煤矿网络异常行为预警方法、系统、设备及可读存储介质。

背景技术

目前，煤矿工业互联网信息安全预警方法，多以在核心位置或关键网络区域前端部署安全防护设备进行预制规则预警为主。而在煤矿工业互联网中存在多类型异构的生产、经营、管理类信息系统，对于单点局部区域或者核心区域的信息安全监控和异常行为预警存在着易遗漏、片面等问题。例如：

场景1：煤矿工业互联网中各类系统在井上和井下现场运行，系统类型差异较大，如基于云计算技术的ERP系统，基于物联网技术的人员定位系统，基于工控协议控制的井下综采系统等，各个系统通过煤矿企业环网实现互联互通，各子系统运行会受到直接的行为入侵或是从其他异构系统渗透而遭受攻击等问题。常见的预警方法：选择专业安全防护设备针对当前类型的系统进行重点安全防护，通过编写对应的防护实现程序脚本，由现场工程人员将安全防护设备部署在工业互联网体系核心或者边界处运行，将每个防护设备的脚本流量保存本地缓存后提取关键安全信息与预制数据库进行分析比对，实现预警提醒。这种方式存在以下缺陷：首先，工业互联网体系中各类业务系统技术架构、实现方式不同，不同功能性安全设备不会运行全部的安全防护脚本，并且多脚本运行也会造成通用软件或工业控制协议之间的混淆和影响，导致部分系统的异常运行或者预警信息误报等情况。其次煤矿工业互联网体系中互联网、局域办公网、调度监控网、工控生产网互联互动，各类业务系统交叉运行，很难有明确的网络关键位置或者出入口位置，因此也会存在安全防护遗漏或者预警级别混淆等情况。

场景2：煤矿工业互联网体系中异常安全行为多是依据相关系统的技术类型或者影响结果作为判断，常见的异常类型如攻击入侵、病毒渗透、数据窃取，系统中断等方式。由于大多部署的安全防护设备功能单一，可获得脚本数据少，安全数据来源单一，只能对单一系统的异常行为或影响进行预警。采用这种预警方式存在难以考虑到关联系统的安全异常问题，也有可能造成对异常行为的预警遗漏或者预警级别过低等问题。

发明内容

鉴于目前存在的上述不足，本发明提供一种基于聚类分析的煤矿网络异常行为预警方法，减少了单一设备或人为分析遗漏带来的潜在威胁，实现早期感知网络安全异常行为数据关联变化，提高对安全预警的能力，以及降低防护系统运维成本。

为达到上述目的，本发明的实施例采用如下技术方案：

一种基于聚类分析的煤矿网络异常行为预警方法，所述方法包括以下步骤：

创建并部署Python脚本程序集，获取各位置安全数据信息；

建立分布式数据库与各安全数据集合的逻辑映射文件；

基于K-均值聚类分析建立聚类分析平台；

将逻辑映射文件输入聚类分析平台获得K个聚类样本库；

判断不同样本库中的关键行为是否出现异常，若出现异常则发出提示。

依照本发明的一个方面，所述基于聚类分析的煤矿网络异常行为预警方法包括以下步骤：

针对体系中各系统安全数据位置探针获取数据包，确定不同安全数据抓取任务项形成python脚本程序集合；