【技术实现步骤摘要】
本专利技术属于电力系统信息安全检测与防御,尤其涉及一种多源数据融合的电力监控系统用户行为异常分析方法及装置。
技术介绍
1、电力监控系统是用于监视和控制电力生产及供应过程的、基于计算机及网络技术的系统及智能设备,以及作为基础支撑的通信及数据网络等构成的电力信息化基础设施。随着电力监控系统业务的不断发展,海量终端接入,传统边界逐渐模糊化,电力监控系统安全防御需要具备及时发现用户攻击行为的能力。随着新型高级威胁攻击的出现,用户攻击行为更具隐蔽性,来自内部用户的攻击与外部攻击相比更加难以防范,因此,用户行为异常发现是安全防御的起点,是电力监控系统安全防御机制中不可或缺的部分。
2、采用数据驱动方式作为用户行为异常检测的解决思路,则多源数据融合,行为数据表示方法、检测模型以及模型训练方法对于检测效果有很大影响。现有技术中国专利“cn111598179b电力监控系统用户异常行为分析方法、存储介质和设备”公开了一种电力监控系统用户异常行为分析方法、存储介质和设备,采集电力监控系统中反映用户行为的数据;对采集到的反映用户行为的数据进行预处理生成待识别的用户行为数据;通过预先离线训练构建的强分类器对待识别的用户行为数据进行在线识别,识别出用户异常行为并发出告警。其所述的技术方案其通过对采集的行为数据进行特征化处理生成训练样本,然后构建异常检测模型。该技术方案中采集的用户行为数据具体包含哪些来源和类型数据,缺乏清晰而明确的陈述进而影响了方案可行性。中国专利“cn113596028a一种网络异常行为的处置方法及装置”公开了一种网络异常行
3、[j].计算机系统应用,2017,26(12):220-226.”其所述的技术方案从用户行为对应的流量数据入手,从流量数据中提取特征刻画用户行为,同时考虑同类型用户行为的相似性和关联性,进而通过偏差分析识别行为异常,具有识别新类型异常的能力,然而该方案依赖于单一流量数据而忽视了用户行为产生时系统状态、告警等信息,不仅无法全面分析用户行为,而且容易被恶意用户所规避,降低检测率。文献“李伟,霍雪松,张明.基于残差全连接神经网络的电力监控系统异常行为检测方法[j].东南大学学报(自然科学版).2020,50(6):1062-1068.”其所述的技术方案考虑了多源数据,从流量、系统访问日志和告警等角度建模用户行为,通过特征工程刻画用户行为,缺少统一的用户行为表示,使得不同类型特征差异性影响了用户相似性度量准确性,也忽视了不同来源特征对于用户行为异常检测的贡献差异性。此外,该技术方案仅能识别用户的可疑操作,而不能识别用户通过实施一系列操作构成高级持续性攻击的行为。
4、因此,迫切需要是提出新的电力监控系统用户行为异常分析方法和装置,来提升电力监控系统恶意行为检测能力。
技术实现思路
1、为了解决上述技术问题,本专利技术提出了一种多源数据融合的电力监控系统用户行为异常分析方法及装置。
2、本专利技术按以下技术方案实现:
3、一方面本专利技术提供了一种多源数据融合的电力监控系统用户行为异常分析方法,该方法包括训练阶段和实时分析阶段,所述训练阶段包括:
4、对电力监控系统采集的多源用户行为数据进行预处理;
5、根据预处理后的多源用户行为数据构建用户可疑行为预警模型;
6、根据预处理后的多源用户行为数据构建用户行为序列异常检测模型;
7、进行用户行为异常检测和模型更新;
8、所述实时分析阶段包括:
9、当新的访问行为出现时,利用可疑行为预警模型和用户行为序列异常检测模型分别进行可疑行为进行识别和异常行为检测,发现针对电力监控系统的恶意行为。
10、在一种实施方式中,所述多源用户行为数据包括:用户信息、流量、记录事件和运行状态的系统日志和安全告警。
11、在一种实施方式中,所述对电力监控系统采集的多源用户行为数据进行预处理,包括:
12、采用多个维度来刻画用户信息;
13、从用户操作持续期间产生的流量中提取多个维度信息刻画流量;
14、采用日志解析器将所有日志消息转化日志事件,进而提取多个维度信息刻画日志视角记录的用户行为;
15、识别用户操作持续期间是否产生告警,并采用1维特征表示。
16、在一种实施方式中,所述根据预处理后的多源用户行为数据建立用户可疑行为预警模型,包括:
17、从用户历史行为数据库中提取在电力监控系统中注册的所有用户;
18、采用基于密度的聚类算法,利用用户信息对所有用户进行聚类,自动将用户进行群体划分为多个用户组;
19、对于任意的用户组,建立基于流量特征的用户可疑行为检测模型;
20、从用户历史行为数据库中收集用户组中每个用户的每次访问记录;
21、将用户对电力监控系统的每一次访问看作一个训练样本;
22、将用户可疑行为检测问题转化为经典的二元分类问题;
23、采用适用于二元分类的分类器,为用户组建立用户可疑行为检测模型。
24、在一种实施方式中,所述根据预处理后的多源用户行为数据构建用户行为序列异常检测模型,包括:
25、将事件类型转化为向量表示形式,提前其语义特征;
26、采用长短记忆神经网络对用户访问行为序列进行学习;
27、将长短记忆神经网络学习到的行为特征进行卷积操作;
28、将卷积操作得到的输出拼接后接入到一个全连接层实现行为序列异常检测。
29、在一种实施方式中,所述提取语义特征采用预训练的语言模型bert进行提取。
30、在一种实施方式中,所述进行用户行为异常检测和模型更新,包括:
31、当有新用户向电力监控系统注册时,采用即时更新策略,通过调用基于密度的聚类算法将新用户分配到一个特定的用户群组;
32、当新的访问行为出现时,鉴于访问行为发生是频繁的,故采用批量更新策略,为每个用户组建立一个更新缓冲区;
33、将用户访问行为数据写入用户行为数据库。
34、另一方面本专利技术还提供了一种多源数据融合的电力监控系统用户行为异常分析方法,该装置包括:训练模块,所述训练模块包括:
35、预处理模块,用于对电力监控系统采集的多源用户行为数据进行预处理;
36、用户可疑行为预警模型模块,用于根据预处理后的多源本文档来自技高网...
【技术保护点】
1.一种多源数据融合的电力监控系统用户行为异常分析方法,其特征在于:该方法包括训练阶段和实时分析阶段,所述训练阶段包括:
2.根据权利要求1所述的多源数据融合的电力监控系统用户行为异常分析方法,其特征在于:所述多源用户行为数据包括:
3.根据权利要求2所述的多源数据融合的电力监控系统用户行为异常分析方法,其特征在于:所述对电力监控系统采集的多源用户行为数据进行预处理,包括:
4.根据权利要求2或3所述的多源数据融合的电力监控系统用户行为异常分析方法,其特征在于:所述根据预处理后的多源用户行为数据建立用户可疑行为预警模型,包括:
5.根据权利要求1所述的多源数据融合的电力监控系统用户行为异常分析方法,其特征在于:所述根据预处理后的多源用户行为数据构建用户行为序列异常检测模型,包括:
6.根据权利要求5所述的多源数据融合的电力监控系统用户行为异常分析方法,其特征在于:所述提取语义特征采用预训练的语言模型Bert进行提取。
7.根据权利要求1所述的多源数据融合的电力监控系统用户行为异常分析方法,其特征在于:所述进行
8.一种多源数据融合的电力监控系统用户行为异常分析方法,其特征在于:该装置包括:训练模块,所述训练模块包括:
9.根据权利要求8所述的多源数据融合的电力监控系统用户行为异常分析装置,其特征在于:所述用户可疑行为预警模型模块包括:
10.根据权利要求8所述的多源数据融合的电力监控系统用户行为异常分析装置,其特征在于:所述用户行为序列异常检测模型模块包括:
...【技术特征摘要】
1.一种多源数据融合的电力监控系统用户行为异常分析方法,其特征在于:该方法包括训练阶段和实时分析阶段,所述训练阶段包括:
2.根据权利要求1所述的多源数据融合的电力监控系统用户行为异常分析方法,其特征在于:所述多源用户行为数据包括:
3.根据权利要求2所述的多源数据融合的电力监控系统用户行为异常分析方法,其特征在于:所述对电力监控系统采集的多源用户行为数据进行预处理,包括:
4.根据权利要求2或3所述的多源数据融合的电力监控系统用户行为异常分析方法,其特征在于:所述根据预处理后的多源用户行为数据建立用户可疑行为预警模型,包括:
5.根据权利要求1所述的多源数据融合的电力监控系统用户行为异常分析方法,其特征在于:所述根据预处理后的多源用户行为数据构建用户行...
【专利技术属性】
技术研发人员:付饶,王黎明,黄海东,余璟,袁丁,张文龙,刘琦,鲍晓雨,代鹏,雷震,郝威,张可可,庄祎,高海龙,张潇,傅中兴,彭飞,
申请(专利权)人:国网江苏省电力有限公司徐州供电分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。