一种异常访问行为检测方法、装置、存储介质及电子设备制造方法及图纸

本发明专利技术公开了一种异常访问行为检测方法、装置、存储介质及电子设备，包括：获取目标对象产生的待检测告警日志和目标对象自动运行时产生的机器子模式；基于动态直方图的检测算法对机器子模式进行周期性异常检测，得到第一检测结果；基于去除机器子模式的待检测告警日志，根据操作次数、操作时间以及操作模式进行异常检测，得到第二检测结果；根据第一检测结果和所述第二检测结果输出异常检测结果。通过实施本发明专利技术，从操作次数异常、操作时间异常、操作模式异常、周期活动检测等四个方面进行异常行为的检测判断，有针对性的设计异常检测场景，更贴合电力实际业务操作情况，符合实际需求。采用动态直方图的检测算法提高了检测的准确性。确性。确性。

【技术实现步骤摘要】
一种异常访问行为检测方法、装置、存储介质及电子设备


[0001]本专利技术涉及电力移动
，具体涉及一种异常访问行为检测方法、装置、存储介质及电子设备。

技术介绍

[0002]随着“互联网+”时代的到来，移动通信、互联网技术的迅速发展和各种智能终端的普及应用，移动互联正深刻影响电网企业的业务模式和经营效率。电力移动终端作为移动互联网在电网企业和电力工程中的具体应用，极大的促进了电网企业的发展与技术革新。目前，移动应用技术己经在电网公司的生产、营销、OA协同办公、企业信息门户等业务系统部分现场作业中进行了实施使用，提高了电网公司员工的办公效率，促进了生产力的提高、减少了成本投入，移动应用设备已成为人们工作中不可缺少的生产力工具。然而，移动终端与移动应用作为电力企业内部作业与外部服务的延伸，在使用时不可避免的面临恶意攻击和敏感数据泄露等安全风险。因此，在推动电网企业移动终端广泛应用的同时，考虑到电力移动业务存在大量地理坐标数据、办公公文数据等敏感信息，需要进一步研究电力移动终端数据安全防护技术，确保电力敏感数据访问安全。目前已有一些技术和手段终端数据的安全防护，但仍存在一些问题尚待解决：
[0003](1)现有异常数据访问行为的判别依赖于先验知识的获取，难度较大。对于异常数据访问行为研究大都以获得恶意内部用户的先验知识(如：攻击者的能力、攻击步骤、攻击成本等)为前提，只有充分掌握内部攻击者的知识，才有可能检测数据滥用行为。然而在实际应用中，在成功地检测之前获得攻击者的先验知识是个困难问题，因此这些方法的实用性难以保证，使得这些分析方法的使用受到限制。
[0004](2)电力移动敏感数据访问行为通常与业务逻辑紧密相关，很难提取明确的通用攻击规则。对于使用移动设备对电力移动业务系统进行访问的行为，很难提取明确的通用攻击规则，即使相同的攻击目的在不同的业务系统下，往往会表现出不同的行为，甚至通过组合表面上正常的行为，也能达到相同的恶意目的，因此，现有的IDS、防火墙等设备无法指定有效的规则进行防御。

技术实现思路

[0005]有鉴于此，本专利技术实施例提供了涉及一种异常访问行为检测方法、装置、存储介质及电子设备，以解决现有技术中的异常数据访问行为的判别实用性较差的技术问题。
[0006]本专利技术提出的技术方案如下：
[0007]本专利技术实施例第一方面提供一种异常访问行为检测方法，包括：获取目标对象产生的待检测告警日志和目标对象自动运行时产生的机器子模式；基于动态直方图的检测算法对所述机器子模式进行周期性异常检测，得到第一检测结果；基于去除所述机器子模式的待检测告警日志，根据操作次数、操作时间以及操作模式进行异常检测，得到第二检测结果；根据所述第一检测结果和所述第二检测结果输出异常检测结果。
[0008]可选地，基于动态直方图的检测算法对所述机器子模式进行周期性异常检测，得到第一检测结果，包括：对采用基于动态直方图的检测算法生成的所述机器子模式的第一直方图进行相似性计算，得到均匀检测结果；当所述均匀检测结果为异常时，基于采用基于动态直方图的检测算法生成所述直方图的横坐标对应的第二直方图，采用对第二直方图的相似性计算结果得到非均匀检测结果；根据所述均匀检测结果和所述非均匀检测结果得到第一检测结果。
[0009]可选地，对采用基于动态直方图的检测算法生成的所述机器子模式的第一直方图进行相似性计算，得到均匀检测结果，包括：将机器子模式的时间间隔进行聚类，基于聚类结果和预设宽度生成第一直方图；基于第一直方图中高度大于第一直方图中最大值的一半的直条生成第一构造直方图；根据所述第一直方图和所述第一构造直方图的相似性进行周期性异常检测，得到均匀检测结果。
[0010]可选地，当所述均匀检测结果为异常时，基于采用基于动态直方图的检测算法生成所述直方图横坐标对应的第二直方图，采用对第二直方图的相似性计算结果得到非均匀检测结果，包括：当所述均匀检测结果为异常时，将所述第一直方图中横坐标的间隔进行聚类，基于聚类结果和预设宽度生成第二直方图；基于第二直方图中高度大于第二直方图中最大值的一半的直条生成第二构造直方图；根据所述第二直方图和所述第二构造直方图的相似性进行周期性异常检测，得到非均匀检测结果。
[0011]可选地，将机器子模式的时间间隔进行聚类，基于聚类结果和预设宽度生成第一直方图包括：基于告警时间将所述机器子模式进行排序，计算相邻两个机器子模式之间的时间间隔；将所述时间间隔进行聚类，得到多个簇；根据每个簇的中心以及预设宽度确定第一直方图中每个直条的宽度；根据每个直条的宽度对应的时间段统计所述机器子模式出现的次数，所述次数作为每个直条的长度；根据每个直条的宽度和每个直条的长度构建第一直方图。
[0012]可选地，基于去除所述机器子模式的待检测告警日志，根据操作次数、操作时间以及操作模式进行异常检测，得到第二检测结果，包括：采用三倍标准差法对去除所述机器子模式的待检测告警日志的操作次数进行异常检测，得到次数检测结果；基于相对熵算法对去除所述机器子模式的待检测告警日志的操作时间进行异常检测，得到时间检测结果；基于杰卡德距离算法对待检测告警日志的操作模式进行异常检测，得到模式检测结果；将所述次数检测结果、时间检测结果以及模式检测结果合并得到第二检测结果。
[0013]可选地，基于去除所述机器子模式的待检测告警日志，根据操作次数、操作时间以及操作模式进行异常检测，得到第二检测结果之前，包括：获取目标对象产生的历史检测告警日志和目标对象自动运行时产生的历史机器子模式；基于去除历史机器子模式的历史检测告警日志进行统计，得到所述三倍标准差法的参数和所述相对熵算法的参数；基于所述历史检测告警日志进行统计，得到所述杰卡德距离算法的参数。
[0014]本专利技术实施例第二方面提供一种异常访问行为检测装置，包括：数据获取模块，用于获取目标对象产生的待检测告警日志和目标对象自动运行时产生的机器子模式；第一检测模块，用于基于动态直方图的检测算法对所述机器子模式进行周期性异常检测，得到第一检测结果；第二检测模块，用于基于去除所述机器子模式的待检测告警日志，根据操作次数、操作时间以及操作模式进行异常检测，得到第二检测结果；结果输出模块，用于根据所
述第一检测结果和所述第二检测结果输出异常检测结果。
[0015]本专利技术实施例第三方面提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机执行如本专利技术实施例第一方面及第一方面任一项所述的异常访问行为检测方法。
[0016]本专利技术实施例第四方面提供一种电子设备，包括：存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行如本专利技术实施例第一方面及第一方面任一项所述的异常访问行为检测方法。
[0017]本专利技术提供的技术方案，具有如下效果：
[0018]本专利技术实施例提供的异常访问行为检测方法、装置、存储介质及电子设备，通过提取待本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常访问行为检测方法，其特征在于，包括：获取目标对象产生的待检测告警日志和目标对象自动运行时产生的机器子模式；基于动态直方图的检测算法对所述机器子模式进行周期性异常检测，得到第一检测结果；基于去除所述机器子模式的待检测告警日志，根据操作次数、操作时间以及操作模式进行异常检测，得到第二检测结果；根据所述第一检测结果和所述第二检测结果输出异常检测结果。2.根据权利要求1所述的异常访问行为检测方法，其特征在于，基于动态直方图的检测算法对所述机器子模式进行周期性异常检测，得到第一检测结果，包括：对采用基于动态直方图的检测算法生成的所述机器子模式的第一直方图进行相似性计算，得到均匀检测结果；当所述均匀检测结果为异常时，基于采用基于动态直方图的检测算法生成所述直方图的横坐标对应的第二直方图，采用对第二直方图的相似性计算结果得到非均匀检测结果；根据所述均匀检测结果和所述非均匀检测结果得到第一检测结果。3.根据权利要求2所述的异常访问行为检测方法，其特征在于，对采用基于动态直方图的检测算法生成的所述机器子模式的第一直方图进行相似性计算，得到均匀检测结果，包括：将机器子模式的时间间隔进行聚类，基于聚类结果和预设宽度生成第一直方图；基于第一直方图中高度大于第一直方图中最大值的一半的直条生成第一构造直方图；根据所述第一直方图和所述第一构造直方图的相似性进行周期性异常检测，得到均匀检测结果。4.根据权利要求2所述的异常访问行为检测方法，其特征在于，当所述均匀检测结果为异常时，基于采用基于动态直方图的检测算法生成所述直方图横坐标对应的第二直方图，采用对第二直方图的相似性计算结果得到非均匀检测结果，包括：当所述均匀检测结果为异常时，将所述第一直方图中横坐标的间隔进行聚类，基于聚类结果和预设宽度生成第二直方图；基于第二直方图中高度大于第二直方图中最大值的一半的直条生成第二构造直方图；根据所述第二直方图和所述第二构造直方图的相似性进行周期性异常检测，得到非均匀检测结果。5.根据权利要求3所述的异常访问行为检测方法，其特征在于，将机器子模式的时间间隔进行聚类，基于聚类结果和预设宽度生成第一直方图包括：基于告警时间将所述机器子模式进行排序，计算相邻两个机器子模式之间的时间间隔；将所述时间间隔进行聚类，得到多个簇；根据每个簇的中心...

【专利技术属性】
技术研发人员：陈璐，王腾岩，马媛媛，邵志鹏，李尼格，陈牧，戴造建，李勇，
申请(专利权)人：国家电网有限公司，
类型：发明
国别省市：