一种基于流量基线的电力终端异常检测方法及系统技术方案

本发明专利技术涉及电力终端检测技术领域，公开了一种基于流量基线的电力终端异常检测方法，包括：采集电力终端所有的网络流量数据，并进行识别和解析；存储到大数据平台和结构化数据库；根据时间切片的电力终端IP流量上下限统计、协议规约流量上下限统计、应用层功能码流量大小统计对电力终端的流量维度、协议维度、应用层功能码维度进行异常检测，得到第一、二、三异常检测结果；根据第一、二、三异常检测结果计算最终异常检测结果，并确定电力终端存在异常的可能性。本发明专利技术提供的基于流量基线的电力终端异常检测方法及系统，从终端的流量维度、应用层功能码维度、协议维度进行多维度统计与异常检测，保证了终端流量检测维度的全面性和精确性。精确性。精确性。

【技术实现步骤摘要】
一种基于流量基线的电力终端异常检测方法及系统


[0001]本专利技术涉及电力终端检测
，特别涉及一种基于流量基线的电力终端异常检测方法及系统。

技术介绍

[0002]随着5G技术和万物互联的到来，越来越多的物联网设备接入网络，智能电力终端就是其中一种，数以亿计的智能电力终端接入网络后，如何保证这些智能电力终端的安全是当前亟需解决的问题，当前对传统的互联网终端的异常检测方法较多，如基于情报的终端异常检测、基于规则的终端异常检测、基于行为的终端异常检测等，这些检测手段绝大多数都是基于互联网终端和互联网协议的，或多或少都存在一定的局限性。
[0003]基于情报的终端异常检测方法以威胁情报黑白名单为基础，对恶意1P、恶意域名、恶意URL等进行检测，虽然检测效率很高，但专属的、与电力终端相关的威胁情报较少，所以该方法很难在电力终端异常检测方面产生较好的效果。
[0004]基于规则的终端异常检测方法以常用的互联网攻击检测为基础，比如：探测扫描、口令爆破、漏洞利用等，从检测的维度看，虽然这种检测在物联网电力终端能产生一定的效果，比如对登录弱口令的检测，对敏感数据泄露的检测等，但不管是检测规则和可以检测的类型都是相对有限的，因此，这种检测在电力终端异常检测方面的能力也比较有限。
[0005]基于行为的终端异常检测方法以终端行为为基础，先对这些终端的行为进行存储和记录，通过分析统计算法对这些行为进行分析统计，将终端的现有行为与分析统计结果进行比对，从而挖掘终端的异常行为，这种方法虽然能发现一些终端的异常行为，但由于每种电力终端的行为各不相同且种类繁多，很难使用统一的方法进行统计分析和检测，因此，该方法在电力终端异常检测方面也存在较大的难度。

技术实现思路

[0006]本专利技术提供了一种基于流量基线的电力终端异常检测方法及系统，收集电力终端的所有网络流量数据，根据规约对这些流量数据进行识别和解析，从终端的流量维度、应用层功能码维度、协议维度进行多维度统计与异常检测，再对上述维度的异常检测进行计算，确定电力终端的异常检测准确性，保证了终端流量检测维度的全面性和精确性。
[0007]本专利技术提供了一种基于流量基线的电力终端异常检测方法，包括：
[0008]采集电力终端所有的网络流量数据，并根据规约对所述网络流量数据进行识别和解析；其中，所述规约为电力采集终端与上层平台之间进行网络流量数据传输时使用的定制化数据规范；
[0009]将解析后得到的所有电力终端网络流量会话存储到大数据平台和结构化数据库；
[0010]根据时间切片的电力终端IP流量上下限统计对电力终端的流量维度进行异常检测，得到第一异常检测结果；
[0011]根据时间切片的电力终端协议规约流量上下限统计对电力终端的协议维度进行
异常检测，得到第二异常检测结果；
[0012]根据时间切片的电力终端应用层功能码流量大小统计对电力终端的应用层功能码维度进行异常检测，得到第三异常检测结果；
[0013]根据所述第一异常检测结果、第二异常检测结果和第三异常检测结果计算电力终端的最终异常检测结果，并根据所述最终异常检测结果确定所述电力终端存在异常的可能性。
[0014]进一步地，所述采集电力终端所有的网络流量数据，并根据规约对所述网络流量数据进行识别和解析，得到网络流量会话的步骤，包括：
[0015]接收汇聚分流设备或交换机镜像到网卡上的电力终端网络流量；
[0016]将网卡上的数据采集到内存，并将采集到内存中的数据按照规约进行数据识别；
[0017]对存储到内存中的所有码流数据按照IP五元组信息进行数据过滤、分片组合、去重；
[0018]根据规约中规定传输层协议、帧数据格式、应用层数据格式对整理好的流量会话数据进行解析，得到网络流量的会话记录。
[0019]进一步地，所述将解析后得到的所有电力终端网络流量会话存储到大数据平台和结构化数据库的步骤，包括：
[0020]将接收到的所有电力终端网络流量会话临时存储到kafka消息中间件，通过生产者和消费者模式进行数据的产生和消费；
[0021]根据需要存储的数据格式以及数据量进行大数据平台存储或结构化数据存储。
[0022]进一步地，所述根据时间切片的电力终端IP流量上下限统计对电力终端的流量维度进行异常检测，得到第一异常检测结果的步骤，包括：
[0023]选取一个基准时长和时间切片粒度集合；其中，所述基准时长大于等于2天，且所述基准时长内电力终端流量数据为正常数据，所述时间切片粒度集合中包含多种时间切片，分别为1分钟时间切片、5分钟时间切片、10分钟时间切片、30分钟时间切片和60分钟时间切片；
[0024]在所述基准时长中每个时间切片的相同时间点数据为一个数据集合D＝{max，min，med，n}；其中，max表示时间切片上相同时间点的最大值，min表示时间切片上相同时间点的最小值，med表示切片上所有相同时间点的中间值，n表示已经累计的数据个数；
[0025]电力终端IP在以往每天一个时间点上正常数据的集合为D＝{max，min，med，n}，按照切片粒度获取时间点上的数据为d1，则d1等于切片内所有会话记录流量之和；
[0026]根据d1计算得到第一异常检测结果s1。
[0027]进一步地，所述根据d1计算得到第一异常检测结果s1的步骤，包括：
[0028]当max＝min＝med时，当s1＝0时，n＝n+1；当s1＞0时，接收用户判断d1是否加入D数据集合的指令；其中，s1为第一异常检测结果；
[0029]当d1＞max时，当s1＞1时，s1＝1；
[0030]当d1＞min时，当s1＞1时，s1＝1；
[0031]当med≤d1≤max时，其中，对D中的med和n进行重新计算，med的计算为：当n为偶数时，当n为奇数时，n＝n
‑
1，n的计算为：n＝n+1；
[0032]当min≤d1≤med时，其中，对D中的med和n进行重新计算，med的计算为：当n为偶数时，当n为奇数时，n＝n
‑
1，n的计算为：n＝n+1；
[0033]当0.8＜s1≤1时，接收用户确定流量终端点是否加入到D中，若加入到D中，则修改D中的max或min，并按照med≤d1≤max或min≤d1≤med时的方式修改med和n值。
[0034]进一步地，所述根据时间切片的电力终端应用层功能码流量大小统计对电力终端的应用层功能码维度进行异常检测，得到第三异常检测结果的步骤，包括：
[0035]选取一个基准时长和时间切片粒度集合；其中，所述基准时长大于等于1小时，且所述基准时长内电力终端应用层功能码每次流量大小为正常数据，所述时间切片粒度集合中包含多种时间切片的方式，分别为按1小时进行时间切片、按1天进行时间切片、按1周进行时间切片、按1月进行时间切片；
[0036]在基准时长中，每个本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于流量基线的电力终端异常检测方法，其特征在于，包括：采集电力终端所有的网络流量数据，并根据规约对所述网络流量数据进行识别和解析；其中，所述规约为电力采集终端与上层平台之间进行网络流量数据传输时使用的定制化数据规范；将解析后得到的所有电力终端网络流量会话存储到大数据平台和结构化数据库；根据时间切片的电力终端IP流量上下限统计对电力终端的流量维度进行异常检测，得到第一异常检测结果；根据时间切片的电力终端协议规约流量上下限统计对电力终端的协议维度进行异常检测，得到第二异常检测结果；根据时间切片的电力终端应用层功能码流量大小统计对电力终端的应用层功能码维度进行异常检测，得到第三异常检测结果；根据所述第一异常检测结果、第二异常检测结果和第三异常检测结果计算电力终端的最终异常检测结果，并根据所述最终异常检测结果确定所述电力终端存在异常的可能性。2.根据权利要求1所述的基于流量基线的电力终端异常检测方法，其特征在于，所述采集电力终端所有的网络流量数据，并根据规约对所述网络流量数据进行识别和解析，得到网络流量会话的步骤，包括：接收汇聚分流设备或交换机镜像到网卡上的电力终端网络流量；将网卡上的数据采集到内存，并将采集到内存中的数据按照规约进行数据识别；对存储到内存中的所有码流数据按照IP五元组信息进行数据过滤、分片组合、去重；根据规约中规定传输层协议、帧数据格式、应用层数据格式对整理好的流量会话数据进行解析，得到网络流量的会话记录。3.根据权利要求1所述的基于流量基线的电力终端异常检测方法，其特征在于，所述将解析后得到的所有电力终端网络流量会话存储到大数据平台和结构化数据库的步骤，包括：将接收到的所有电力终端网络流量会话临时存储到kafka消息中间件，通过生产者和消费者模式进行数据的产生和消费；根据需要存储的数据格式以及数据量进行大数据平台存储或结构化数据存储。4.根据权利要求1所述的基于流量基线的电力终端异常检测方法，其特征在于，所述根据时间切片的电力终端IP流量上下限统计对电力终端的流量维度进行异常检测，得到第一异常检测结果的步骤，包括：选取一个基准时长和时间切片粒度集合；其中，所述基准时长大于等于2天，且所述基准时长内电力终端流量数据为正常数据，所述时间切片粒度集合中包含多种时间切片，分别为1分钟时间切片、5分钟时间切片、10分钟时间切片、30分钟时间切片和60分钟时间切片；在所述基准时长中每个时间切片的相同时间点数据为一个数据集合D＝{max，min，med，n}；其中，max表示时间切片上相同时间点的最大值，min表示时间切片上相同时间点的最小值，med表示切片上所有相同时间点的中间值，n表示已经累计的数据个数；电力终端IP在以往每天一个时间点上正常数据的集合为D＝{max，min，med，n}，按照切片粒度获取时间点上的数据为d1，则d1等于切片内所有会话记录流量之和；
根据d1计算得到第一异常检测结果s1。5.根据权利要求4所述的基于流量基线的电力终端异常检测方法，其特征在于，所述根据d1计算得到第一异常检测结果s1的步骤，包括：当max＝min＝med时，当s1＝0时，n＝n+1；当s1＞0时，接收用户判断d1是否加入D数据集合的指令；其中，s1为第一异常检测结果；当d1＞max时，当s1＞1时，s1＝1；当d1＞min时，当s1＞1时，s1＝1；当med≤d1≤max时，其中，对D中的med和n进行重新计算，med的计算为：当n为偶数时，当n为奇数时，n＝n
‑
1，n的计算为：n＝n+1；当min≤d1≤med时，其中，对D中的med和n进行重新计算，med的计算为：当n为偶数时，当n为奇数时，n＝n
‑
1，n的计算为：n＝n+1；当0.8＜s1≤1时，接收用户确定流量终端点是否加入到D中，若加入到D中，则修改D中的max或min，并按照med≤d1≤max或min≤d1≤med时的方式修改med和n值。6.根据权利要求1所述的基于流量基线的电力终端异常检测方法，其特征在于，所述根据时间切片的电力终端应用层功能码流量大小统计对电力终端的应用层功能码维度进行异常检测，得到第三异常检测结果的步骤，包括：选取一个基准时长和时间切片粒度集合；其中，所述基准时长大于等于1小时，且所述基准时长内电力终端应用层功能码每次流量大小为正常数据，所述时间切片粒度集合中包含多种时间切片的方式，分别为按1小时进行时间切片、按1天进行时间切片、按1周进行时间切片、按1月进行时间切片；在基准时长中，每个切片时间内的数据为一个二维数据集合D＝{D1，D2，D3，......

【专利技术属性】
技术研发人员：王敏，程涛木，王可锋，吴亮，杨喜志，
申请(专利权)人：博瑞得科技有限公司，
类型：发明
国别省市：