CN108809955B - 一种基于隐马尔可夫模型的电力用户行为深度分析方法 - Google Patents

一种基于隐马尔可夫模型的电力用户行为深度分析方法 Download PDF

Info

Publication number
CN108809955B
CN108809955B CN201810496364.1A CN201810496364A CN108809955B CN 108809955 B CN108809955 B CN 108809955B CN 201810496364 A CN201810496364 A CN 201810496364A CN 108809955 B CN108809955 B CN 108809955B
Authority
CN
China
Prior art keywords
power consumer
probability
hidden markov
markov model
sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810496364.1A
Other languages
English (en)
Other versions
CN108809955A (zh
Inventor
俞皓
刘莹
汪玲敏
郭靓
李炜键
刘剑
屠正伟
洪昊
蒋甜
刘强
夏元轶
贾雪
于晓文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information And Communication Branch Of Jiangsu Electric Power Co Ltd
NARI Group Corp
Nari Information and Communication Technology Co
Original Assignee
Information And Communication Branch Of Jiangsu Electric Power Co Ltd
NARI Group Corp
Nari Information and Communication Technology Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information And Communication Branch Of Jiangsu Electric Power Co Ltd, NARI Group Corp, Nari Information and Communication Technology Co filed Critical Information And Communication Branch Of Jiangsu Electric Power Co Ltd
Priority to CN201810496364.1A priority Critical patent/CN108809955B/zh
Publication of CN108809955A publication Critical patent/CN108809955A/zh
Application granted granted Critical
Publication of CN108809955B publication Critical patent/CN108809955B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/06Energy or water supply

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Economics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Marketing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Public Health (AREA)
  • Water Supply & Treatment (AREA)
  • Computer Hardware Design (AREA)
  • Human Resources & Organizations (AREA)
  • Signal Processing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Remote Monitoring And Control Of Power-Distribution Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于隐马尔可夫模型的电力用户行为深度分析方法,首先对电力用户访问的流量进行捕获,从流量中提取用户访问的URL,然后统计每个电力系统出现各个URL信息链的概率,建立隐马尔可夫模型,通过计算,推测用户的访问行为序列,依据此序列与通过学习得到的正常用户行为序列集合进行比对,判断其是否行为异常。本发明通过基于HMM的电力用户行为深度分析方法,对电力用户平时访问的行为进行监控,提高了电力业务的整体安全性。

Description

一种基于隐马尔可夫模型的电力用户行为深度分析方法
技术领域
本发明涉及一种基于隐马尔可夫模型的电力用户行为深度分析方法,属于用户行为的数据分析技术领域。
背景技术
近年来,针对电力业务的网络安全事件频频发生,传统的网络安全防护设备(如防火墙、IDS等)由于只针对网络攻击进行探测,难以发现一些电力业务层的复杂操作攻击,因此,急需加强对电力业务安全的保障。
对于网络攻击行为,目前的技术一般都是提取攻击行为的特征后归类到指定的类别,从而发现其行为是否异常,而很少有直接从行为本身判断其是否异常的。
发明内容
本发明所解决的技术问题是,提供一种基于隐马尔可夫模型的电力用户行为深度分析方法,通过学习,找出电力用户的正常行为序列,之后对在正常行为之外的异常行为做出告警。
为了达到上述目的,本发明所采用的技术方案是:
一种基于隐马尔可夫模型的电力用户行为深度分析方法,包括以下步骤:
1)抓取电力用户网络报文,抽取出一定时间内的网络流会话中客户访问的URL信息链;
2)对每个电力系统模块的内部数据进行统计,获取每个电力系统出现各个URL信息链的概率P(sys);
3)建立隐马尔可夫模型,在已知的电力系统使用范围的情况下,计算出电力用户可能访问的电力系统序列,得到序列集合M;
4)通过平时对电力用户正常的访问行为进行学习记录,形成正常用户行为序列集合N,将该序列集合N与步骤3)计算出来的序列集合M比对,如果计算出来的序列都不在正常用户行为序列集合N中,则判断其为异常行为。
前述的步骤1)中,通过对电力用户网络报文解析,还原网络流会话,提取其中客户访问的URL信息链,记为L,每一个URL信息链都有一定概率P(sys)属于某个电力系统的模块。
前述的步骤2)中,通过对电力系统模块的内部数据中被请求的URL信息链进行统计,即能够计算出每一种URL信息链出现的概率。
前述的步骤2)中,通过机器学习的方式不断进行学习,实时更新新的URL信息链以及每一种URL信息链出现的实时概率。
前述的步骤3)中,利用隐马尔可夫模型,根据已知URL信息链及相应的概率P(sys),按照从大到小的顺序依次计算出电力用户可能访问的电力系统序列的概率,每得出一条序列,则累积目前的序列的概率之和,直到累积的概率之和结果达到某一设定值,记这些序列的集合为M。
前述的设定值选取为95%。
本发明通过基于HMM的电力用户行为深度分析方法,对电力用户平时访问的行为进行监控,提高了电力业务的整体安全性。
附图说明
图1为电力用户访问序列示意图;
图2为本发明的隐马尔可夫模型图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
本发明的基于隐马尔可夫模型的电力用户行为深度分析方法具体步骤如下:
1、抓取电力用户网络报文,抽取出一定时间内的网络流会话中客户访问的链接信息链,以此作为推断用户所访问电力系统的条件。
如图1所示,通过对电力用户网络报文解析,还原网络流会话,提取其中客户访问的URL信息链,记为L,每一个URL信息链都有一定几率(P(sys))属于某个电力系统的模块,L可以作为推断用户访问的电力系统的条件。
2、对每个电力系统模块的内部数据进行统计,获取每个电力系统产生各个URL信息链的概率。
对电力系统模块的内部数据中被请求的URL信息链进行统计,可以计算出每一种URL信息链出现的概率,通过机器学习的方式不断进行学习,实时更新新的URL信息链以及每一种URL信息链出现的实时概率值P(sys)。
比如初时内链接仅A、B各出现1次,则A和B的P(sys)a和P(sys)b为50%和50%,当一段时间后,A又出现了2次,则P(sys)a和P(sys)b变为75%和25%。
P(sys)即步骤1中提及的每个URL属于某个电力系统模块的概率,这个概率作为基础数据被后面的隐马尔可夫模型所使用。
3、建立隐马尔可夫模型(HMM),在已知的电力系统使用范围的情况下计算出电力用户可能访问的电力系统序列,一直计算到所推算出的序列概率之和加起来超过95%。
建立隐马尔可夫模型,如图2所示,通过L(可见状态链)和已知的电力系统使用范围(隐含状态数量),这里的电力系统使用范围是确定的,即认为电力系统的用户会访问的网站数量k确定,又已知每个状态的转换概率,在隐马尔可夫模型(HMM)中转换概率即本发明的每一种URL信息链出现的实时概率值P(sys),即图2里的P1~Pn。可以计算出用户可能访问的电力系统的顺序序列,根据隐马尔可夫模型,可以依次计算出所计算的序列的最大可能概率一直到最小可能的概率,所有的概率相加应该为100%。现在每得出一条序列,则累积目前的序列的概率之和,直到累积的概率之和结果超过95%,记这些序列的集合为M。
4、通过平时对电力用户正常的访问行为进行学习记录,形成正常用户行为序列集合,将该序列集合与步骤3推算出来的序列M比对,如果推算出来的序列都不在正常用户行为序列集合中,则判断其为异常行为。
如通过平时对电力用户正常的访问行为进行学习记录,形成正常用户行为序列集合N,将步骤3中推算出的序列集合M和N进行比对,如果M中的任何一条都无法匹配上集合N中的序列,则认为此次电力用户行为异常。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变型,这些改进和变型也应视为本发明的保护范围。

Claims (5)

1.一种基于隐马尔可夫模型的电力用户行为深度分析方法,其特征在于,包括以下步骤:
1)抓取电力用户网络报文,抽取出一定时间内的网络流会话中客户访问的URL信息链;
2)对每个电力系统模块的内部数据进行统计,获取每个电力系统出现各个URL信息链的概率P(sys);
3)建立隐马尔可夫模型,在已知的电力系统使用范围的情况下,计算出电力用户可能访问的电力系统序列,得到序列集合M;具体实现过程为,利用隐马尔可夫模型,根据已知URL信息链及相应的概率P(sys),按照从大到小的顺序依次计算出电力用户可能访问的电力系统序列的概率,每得出一条序列,则累积目前的序列的概率之和,直到累积的概率之和结果达到某一设定值,记这些序列的集合为M;
4)通过平时对电力用户正常的访问行为进行学习记录,形成正常用户行为序列集合N,将该序列集合N与步骤3)计算出来的序列集合M比对,如果计算出来的序列都不在正常用户行为序列集合N中,则判断其为异常行为。
2.根据权利要求1所述的一种基于隐马尔可夫模型的电力用户行为深度分析方法,其特征在于,所述步骤1)中,通过对电力用户网络报文解析,还原网络流会话,提取其中客户访问的URL信息链,记为L,每一个URL信息链都有一定概率P(sys)属于某个电力系统的模块。
3.根据权利要求1所述的一种基于隐马尔可夫模型的电力用户行为深度分析方法,其特征在于,所述步骤2)中,通过对电力系统模块的内部数据中被请求的URL信息链进行统计,即能够计算出每一种URL信息链出现的概率。
4.根据权利要求1所述的一种基于隐马尔可夫模型的电力用户行为深度分析方法,其特征在于,所述步骤2)中,通过机器学习的方式不断进行学习,实时更新新的URL信息链以及每一种URL信息链出现的实时概率。
5.根据权利要求1所述的一种基于隐马尔可夫模型的电力用户行为深度分析方法,其特征在于,所述设定值选取为95%。
CN201810496364.1A 2018-05-22 2018-05-22 一种基于隐马尔可夫模型的电力用户行为深度分析方法 Active CN108809955B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810496364.1A CN108809955B (zh) 2018-05-22 2018-05-22 一种基于隐马尔可夫模型的电力用户行为深度分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810496364.1A CN108809955B (zh) 2018-05-22 2018-05-22 一种基于隐马尔可夫模型的电力用户行为深度分析方法

Publications (2)

Publication Number Publication Date
CN108809955A CN108809955A (zh) 2018-11-13
CN108809955B true CN108809955B (zh) 2019-05-24

Family

ID=64091426

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810496364.1A Active CN108809955B (zh) 2018-05-22 2018-05-22 一种基于隐马尔可夫模型的电力用户行为深度分析方法

Country Status (1)

Country Link
CN (1) CN108809955B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109600382B (zh) * 2018-12-19 2021-07-13 北京知道创宇信息技术股份有限公司 webshell检测方法及装置、HMM模型训练方法及装置
CN113505935B (zh) * 2021-07-26 2022-06-28 上海东方低碳科技产业股份有限公司 基于集成算法的电力异常波动检测和预测计算方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102970289A (zh) * 2012-11-09 2013-03-13 同济大学 基于Web用户行为模式的身份认证方法
CN103078856A (zh) * 2012-12-29 2013-05-01 大连环宇移动科技有限公司 一种基于访问标记的应用层DDoS攻击的检测过滤方法
CN103945531A (zh) * 2014-05-12 2014-07-23 哈尔滨工业大学 基于信息熵的WLAN室内定位Radio Map更新方法
CN104008203A (zh) * 2014-06-17 2014-08-27 浙江工商大学 一种融入本体情境的用户兴趣挖掘方法
CN105243445A (zh) * 2015-10-09 2016-01-13 上海上塔软件开发有限公司 基于电器用电效用分级和用户用电行为识别的削峰方法
CN105516196A (zh) * 2016-01-19 2016-04-20 国家计算机网络与信息安全管理中心江苏分中心 基于http报文数据的并行化网络异常检测方法与系统
CN106101116A (zh) * 2016-06-29 2016-11-09 东北大学 一种基于主成分分析的用户行为异常检测系统及方法
CN107944643A (zh) * 2017-12-22 2018-04-20 上海斐讯数据通信技术有限公司 一种基于隐马尔科夫模型的购买转化率预测方法及系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102970289A (zh) * 2012-11-09 2013-03-13 同济大学 基于Web用户行为模式的身份认证方法
CN103078856A (zh) * 2012-12-29 2013-05-01 大连环宇移动科技有限公司 一种基于访问标记的应用层DDoS攻击的检测过滤方法
CN103945531A (zh) * 2014-05-12 2014-07-23 哈尔滨工业大学 基于信息熵的WLAN室内定位Radio Map更新方法
CN104008203A (zh) * 2014-06-17 2014-08-27 浙江工商大学 一种融入本体情境的用户兴趣挖掘方法
CN105243445A (zh) * 2015-10-09 2016-01-13 上海上塔软件开发有限公司 基于电器用电效用分级和用户用电行为识别的削峰方法
CN105516196A (zh) * 2016-01-19 2016-04-20 国家计算机网络与信息安全管理中心江苏分中心 基于http报文数据的并行化网络异常检测方法与系统
CN106101116A (zh) * 2016-06-29 2016-11-09 东北大学 一种基于主成分分析的用户行为异常检测系统及方法
CN107944643A (zh) * 2017-12-22 2018-04-20 上海斐讯数据通信技术有限公司 一种基于隐马尔科夫模型的购买转化率预测方法及系统

Also Published As

Publication number Publication date
CN108809955A (zh) 2018-11-13

Similar Documents

Publication Publication Date Title
Huang et al. Bad data injection in smart grid: attack and defense mechanisms
CN106341414B (zh) 一种基于贝叶斯网络的多步攻击安全态势评估方法
CN104301286B (zh) 用户登录认证方法及装置
CN102970289B (zh) 基于Web用户行为模式的身份认证方法
CN106534164B (zh) 基于网络空间用户标识的有效虚拟身份刻画方法
CN111159387B (zh) 基于多维度报警信息文本相似度分析的推荐方法
CN108809955B (zh) 一种基于隐马尔可夫模型的电力用户行为深度分析方法
CN104993952A (zh) 网络用户行为审计与责任管理系统
CN103944887B (zh) 基于隐条件随机场的入侵事件检测方法
CN103258039B (zh) 一种微博伪造信息的检测方法
CN104270609A (zh) 一种远程监控的方法、系统及装置
CN103607391B (zh) 一种基于K‑means的SQL注入攻击检测方法
CN108803565B (zh) 一种工控系统隐蔽攻击实时检测方法及装置
CN105262715B (zh) 一种基于模糊时序关联模式的异常用户检测方法
CN103957203A (zh) 一种网络安全防御系统
CN110022293A (zh) 一种电网信息物理融合系统风险评估方法
CN110224852A (zh) 基于htm算法的网络安全监测方法及装置
CN104994105A (zh) 一种Android智能终端安全认证方法
Shi et al. Rumor detection of COVID-19 pandemic on online social networks
Lu et al. An HTTP flooding detection method based on browser behavior
CN108040053A (zh) 一种基于dns日志数据的网络安全威胁分析方法及系统
CN110086829A (zh) 一种基于机器学习技术进行物联网异常行为检测的方法
US11539730B2 (en) Method, device, and computer program product for abnormality detection
TW201633197A (zh) 基於使用者網路行為特徵的輔助身份驗證方法
CN105488394B (zh) 一种面向蜜罐系统进行入侵行为识别和分类的方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant