CN111723367B - 一种电力监控系统业务场景处置风险评价方法及系统 - Google Patents

Abstract

本发明公开了一种电力监控系统业务场景处置风险评价方法及系统，获取未知用户异常行为数据；对未知用户异常行为数据依据历史判断过程，确定出若干建议处置策略；通过未知用户异常行为数据提取风险特征数据，匹配所述建议处置策略，判断出用户异常行为的对应风险等级及风险预估值；将用户异常行为的对应风险等级及风险预估值输入至SVM‑KNN有监督学习和K‑means无监督学习的神经网络模型中，分别对有类别样本与无类别样本参与运算，得到每一个用户异常行为的风险评估指标值和综合评估核心指标分数。优点：本发明引入了SVM‑KNN有监督学习和K‑means无监督学习的神经网络模型，保障了电力监控系统稳定、高效、安全的运行。

Description

一种电力监控系统业务场景处置风险评价方法及系统

技术领域

本发明涉及一种电力监控系统业务场景处置风险评价方法，属于电力技术领域。

背景技术

当前，网络安全形势日益严峻，网络攻击行为以精准化方向发展，高明的黑客能够利用社会工程等多种手段获取到内部用户权限，利用内部用户身份对内部重要业务系统进行精确攻击。相较于黑客从组织物理边界突破层层安全防护手段进入到组织网络内部，内部用户在可天然避开组织物理边界的安全防护能力，并且可直接接触到组织内部的核心数据与资产。电力监控系统中主站和厂站都已部署了常规的安全检测与防护手段，但在用户的异常与违规行为面前往往因为设备报出的海量的日志、告警、误报所淹没，从而无法察觉。电力监控系统已建设网络安全管理平台实现全网网络安全监视，但在网络安全行为分析方面还有存在不足，主要表现在：网络安全分析结果多侧重于安全告警，未能对威胁处置未知风险进行有效评价，不能指导后续的联动处置，对联动处置、故障消除带来潜在风险，缺乏威胁处置的科学有效的处置方法与手段。

近年来，在信息安全风险评估研究方面，国内外均取得了一定的研究成效。在国内，关于信息安全风险研究主要是利用已经成熟的模型方法，如管理学、工程学、经济学等领域的方法，作为研究方法和手段对信息安全风险进行评估研究，其中模糊理论被广泛运用到了信息安全风险评估中。在国外，最关注最早和经验最丰富的为美国，在信息安全风险管理和政策的制定方面做了大量研究，形成了被政府、学术界和企业公认、协作管理的风险分析、风险评估、风险监督、检查问责的信息安全风险管理体系。在美国开展的研究成果基础上，世界各国也对信息安全风险管理进行了研究，先后提出了各种风险管理标准。

目前，国内外处置风险评估工作均采用定量或者定性的方法，在风险评估要素选取、风险变化因素考虑等方面忽略了不同维度指标对处置效果的综合影响，且未考虑指标数据本身的不准确性和模糊性，造成了评估的片面性和不准确性。

发明内容

本发明所要解决的技术问题是克服现有技术的缺陷，提供一种电力监控系统业务场景处置风险评价方法。

为解决上述技术问题，本发明提供一种电力监控系统业务场景处置风险评价方法，

获取未知用户异常行为数据；

对未知用户异常行为数据依据历史判断过程，确定出若干建议处置策略；

通过未知用户异常行为数据提取风险特征数据，匹配所述建议处置策略，判断出用户异常行为的对应风险等级及风险预估值；

对用户异常行为的对应风险等级及风险预估值进行有类别样本与无类别样本参与运算，得到每一个用户异常行为的风险评估指标值和综合评估核心指标分数。

进一步的，所述判断出用户异常行为的对应风险等级及风险预估值的过程包括：

根据建议处置策略，通过SVM算法处理风险特征数据，输出SVM风险预估值；

根据建议处置策略，通过KNN算法处理风险特征数据，输出KNN风险预估值，所述KNN风险预估值表示确定k临近数的范围内某一类的最大样本数的预测值与实际值具有准确率最高的预测值。

进一步的，对用户异常行为的对应风险等级及风险预估值进行有类别样本与无类别样本参与运算，包括：

将用户异常行为的对应风险等级及风险预估值输入至SVM-KNN有监督学习和K-means无监督学习的神经网络模型中，分别对有类别样本与无类别样本参与运算；

其中，所述SVM-KNN有监督学习和K-means无监督学习的神经网络模型的处理过程为：

输入所述SVM风险预估值和KNN风险预估值，利用SVM-KNN算法确定预测值与实际值误差最小的平方差，输出第一风险预估预测值；

输入风险特征数据，经过K-means算法，输出第二风险预估值；

将所述第一风险预估预测值和第二风险预估预测值进行互相对比与交叉验证，得到每一个用户异常行为的风险评估指标值和综合评估核心指标分数。

一种电力监控系统业务场景处置风险评价系统，包括：

获取模块，用于获取未知用户异常行为数据；

确定模块，用于对未知用户异常行为数据依据历史判断过程，确定出若干建议处置策略；

判断模块，用于通过未知用户异常行为数据提取风险特征数据，匹配所述建议处置策略，判断出用户异常行为的对应风险等级及风险预估值；

处理模块，用于对用户异常行为的对应风险等级及风险预估值进行有类别样本与无类别样本参与运算，得到每一个用户异常行为的风险评估指标值和综合评估核心指标分数。

进一步的，所述判断模块还包括：

第一输出模块，用于根据建议处置策略，通过SVM算法处理风险特征数据，输出SVM风险预估值；

第二输出模块，用于根据建议处置策略，通过KNN算法处理风险特征数据，输出KNN风险预估值，所述KNN风险预估值表示确定k临近数的范围内某一类的最大样本数的预测值与实际值具有准确率最高的预测值。

进一步的，

所述处理模块包括：

双模型模块，用于将用户异常行为的对应风险等级及风险预估值输入至SVM-KNN有监督学习和K-means无监督学习的神经网络模型中，分别对有类别样本与无类别样本参与运算；

所述双模型模块包括：

SVM-KNN算法处理模块，用于输入所述SVM风险预估值和KNN风险预估值，利用SVM-KNN算法确定预测值与实际值误差最小的平方差，输出第一风险预估预测值；

K-means算法处理模块，用于输入风险特征数据，经过K-means算法，输出第二风险预估值；

第三输出模块，用于将所述第一风险预估预测值和第二风险预估预测值进行互相对比与交叉验证，得到每一个用户异常行为的风险评估指标值和综合评估核心指标分数。

本发明所达到的有益效果：

在数据集中不同类别样本数量比例严重失衡，样本特征缺乏定义的前提下，分步设置问题，利用前一个问题的输出作为下一个问题的输入，并对处置后风险评估建立模型，为使模型得到持续性的完善，引入了机器学习理论，使模型得到人工智能化的学习能力。通过机器学习技术和大数据分析技术的结合使用，保障了电力监控系统稳定、高效、安全的运行。

附图说明

图1是本发明的流程示意图；

图2是本发明SVM-KNN有监督学习和K-means无监督学习的神经网络模型合作机制流程图；

图3是K-mean的匹配矩阵；

图4是SVM-KNN的混淆矩阵。

具体实施方式

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

如图1和2所示，一种电力监控系统业务场景处置风险评价方法，当故障告警为未知用户异常行为时，机器依据历史判断过程(依据经验值预先设定好，根据相应的故障告警未知用户异常行为确定若干处置策略)，拟定出处置策略A,B,C等建议，并作为输入进入对四个设定维度的影响，依据历史判定过程中四个维度对整体带来的风险影响程度，代入定量化等级及预估值评价体系，判断用户异常行为的对应风险等级及风险预估值，再作为机器学习的输入，特征量，类别量，分别经过完全不同的两种流行的机器学习模型，SVM-KNN有监督学习与K-means无监督学习，分别对有类别样本与无类别样本参与运算，最后得到每一个处置策略建议的风险评估指标值，并输出机器学习风险综合评估核心指标分数0-100％。

神经网络构建：

神经网络设计描述从预处理后的数据输入，到神经网络模型处理，最终到实验结果输出这一过程。

本实验共测试历史数据44256组，其中一台主机/服务器在进行处置后所产生风险的行为事件每个月共461组，4类不同的业务，每一类业务在2台主机/服务器上，3种类型的处置方式，采集数据时间跨度为2019年1月–2019年4月采集的实际数据，包括属性特征和风险评估等级共4个月，(461组×4类业务×2台主机×3类处理方式×4个月＝44256)。训练集是依据历史数据信息组成，其中每一组数据的特征所包含的信息包括：主机类型，IP，服务器监控率，CPU利用率百分比，内存利用率百分比，告警数，未确认告警数，僵尸进程数，磁盘使用率，未释放TCP数，USB是否连接，串口是否连接，并口是否连接，光驱是否连接，网口状态是否连接，网络端口连接数，电源是否正常连接，登录数，活跃用户数，拨号数，温度，风扇转数/分，设备是否在线，共23个特征。类别则是其最终处置产生的风险，经过专家定义三个风险等级，低风险其风险评分为30％，中风险其风险评分为60％，高风险其风险评分为90％。测试集则是同样特征和类别为电力监控系统在实际运行过程中新生成数据。

输入：主机类型、IP、服务器监控率、CPU利用率百分比、内存利用率百分比、告警数、未确认告警数、僵尸进程数、磁盘使用率、未释放TCP数、USB是否连接、串口是否连接、并口是否连接、光驱是否连接、网口状态是否连接、网络端口连接数、电源是否正常连接、登录数、活跃用户数、拨号数、温度、风扇转数/分、设备是否在线等23个属性特征，其中具体包含数值型(数值或百分比值)，布尔型(值为是或否，分别对应1和0)。

输出：风险评分(0-100％的百分比值)

SVM(支持向量机(support vector machines,SVM))部分

公式{x|x¹,x²,x³,…,xⁿ}是特征，xⁿ表示第n个特征；

是实际类别，/>

表示第n个实际类别；{y|y¹,y²,y³,…,yⁿ}是预测类别,yⁿ表示第n个预测类别；预测值与特征之间具有收敛且有线性关系，而非离散关系，因此预测值与特征之间关系运用线性函数。

其中w为神经元函数切平面的方向，b为神经元的偏置，i表示n个总特征中的一个特征，i＝1,2,…,n.所以，w_i表示一个单一特征所对应的神经元函数切平面的方向，也称作权值向量，具体数值是由SVM算法在运行过程中通过多次迭代运算得到，SVM属于监督学习，其意义在于，找出训练集中输入和输出的函数关系，此公式为线性关系，因此每个特征所对应的切平面的方向是依据已知的输入(训练集中的特征)和输出(风险级别：如30％，60％，90％)数据计算得到的，x_i表示一个单一特征(i＝1,2,…,n)，T表示矩阵转置。lossfunction(损失函数):

其中

loss(f(x))表示损失函数，其中

表示当/>

时的超参数，与模型参数不同，超参数是为了让模型更好更快，处理模型优化和模型选择，保证模型不拟合和过拟合，f(x)表示输入与输出之间的函数关系，/>

表示公式(1)中的输出与实际值/>

之间的损失函数，‖w‖₂表示范数的正则化项的含义，用来减少参数空间，避免过拟合；λ表示用来控制正则化的强度的参数。max表示最大值。

KNN(K最近邻算法(kNN，k-NearestNeighbor))部分：

欧式距离

k是KNN的参数k，代表临近数，即在预测目标点时取k个临近点来预测,m表示在k临近数范围内某一类的最大样本数。

y^m _k表示在k临近数的范围内某一类的最大样本数m的预测值，

表示在k临近数的范围内某一类的最大样本数m的实际值，y_k表示在k临近数的范围内的预测值，/>

表示在k临近数的范围内的实际值，min()表示取最小值

SVM-KNN部分：

从总样本数目n中随机分成十份，n{r|r¹,r²，r³,…,r¹⁰}

分别代入SVM公式(1-3)与KNN公式(4-5)

其中，

表示从1，2，…r¹的总特征，其中r¹∈{r|r¹,r²,r³,…,r¹⁰}，y^KNN _i表示应用KNN算法所得到的对应每一组数据样本的输出，其中(i＝1,2,…,n)，y^SVM _i表示应用SVM算法所得到的对应每一组数据样本的输出，其中(i＝1,2,…,n)。

k-means部分：

建立k个cluster(称之为簇,聚类的基本思想是将数据集中的样本划分为若干个通常是不相交的子集，每个子集称为一个"簇"(cluster))，{c|c¹,c²,c³,…,cⁿ},

其中α_i为簇cⁱ的中心点。

损失函数:

随机选取k个样本点作为每一个cluster的中心点{α|α¹,α²,α³,…,αⁿ}

得到所有样本点与各个簇中心之间的距离

寻找最短距离：

中心点更新为，

反复迭代得到每一个簇中心之间距离最大值，

即可得到预测类别{y|y¹,y²,y³,…,y^k}。

初始预定义实际风险级别表格如下：

表1初始预定义实际风险级别

风险指标分数	风险等级	处置可能引发的风险状况	建议
				90％	高风险	处置后引起业务系统断网，重启服务器	不建议执行
60％	中风险	处置后引起业务系统杀进程，停主机	建议谨慎执行
				30％	低风险	处置后引起业务系统降低用户权限	建议可执行

上述数据首先通过K-means无监督学习的计算，将K值设定为8，则得到了8类不同的风险等级，依据输出的风险指标分数定义处置后的风险级别，并解释详情，定义得到对应的风险综合评估核心指标分数0-100％，表格如下：

表2机器学习输出的预测风险级别

通过一系列流程运算与机器学习算法等共同计算所得到的风险评价实验数据结果如图3所示，其中为了便于观察，将0-100％的风险评估分数分成四段，0％-30％，30％-60％，60％-90％，90％-100％，有监督学习得到了混淆矩阵，而无监督学习得到了匹配矩阵，其中每个方块上的数字，代表了仅在其分数段上的准确率(预测值/真实值)，在匹配矩阵中可以比较明显的看出，模型在0％-30％部分表现最优，而在其他风险分数段表现则低于0％-30％部分，原因是在实际电力监控平台的操作过程中，高风险情况很难遇见，其所对应的特征数据变化也相当稀缺，即使在少量的人工设定的高风险场景中，所采集的数据也并不能与海量日常低风险与无风险操作的特征那么全面。因此得到了如下机器学习结果。

对于有监督学习的混淆矩阵，其各个阶段虽然也有上述提到的90％-100％分数段准确率低于0％-30％，且随着0％-30％至90％-100％，准确率依次降低，如图4所示。但其模型在每个分数段的表现都高于无监督学习，这是有监督学习的优势所在，也是在解决实际问题过程中，所需要的短时高效的机器学习判别模型，一旦确定了每个风险分数段之后，利用有监督学习模型，可以维持机器学习给出对处置后风险建议的高准确性与稳定性。

最后的数据结果如下表所示，可以明显的观察出SVM-KNN所建立的模型总准确率(92.81％)高于K-means模型(64.72％)，而K-means虽然准确率比较低，但可通过改变K值得到更多的风险评级解释性。

表3实验结果

相应的本发明还提供一种电力监控系统业务场景处置风险评价系统，包括：

获取模块，用于获取未知用户异常行为数据；

确定模块，用于对未知用户异常行为数据依据历史判断过程(依据经验值预先设定好，根据相应的故障告警未知用户异常行为确定若干处置策略)，确定出若干建议处置策略；

判断模块，用于通过未知用户异常行为数据提取风险特征数据，匹配所述建议处置策略，判断出用户异常行为的对应风险等级及风险预估值；

模型处理模块，用于将用户异常行为的对应风险等级及风险预估值输入至SVM-KNN有监督学习和K-means无监督学习的神经网络模型中，分别对有类别样本与无类别样本参与运算，得到每一个用户异常行为的风险评估指标值和综合评估核心指标分数。

所述判断模块还包括：

第一输出模块，用于根据建议处置策略，通过SVM算法处理风险特征数据，输出SVM风险预估值；

第二输出模块，用于根据建议处置策略，通过KNN算法处理风险特征数据，输出KNN风险预估值，所述KNN风险预估值表示确定k临近数的范围内某一类的最大样本数的预测值与实际值具有准确率最高的预测值。

所述模型处理模块还包括：

SVM-KNN算法处理模块，用于输入所述SVM风险预估值和KNN风险预估值，利用SVM-KNN算法确定预测值与实际值误差最小的平方差，输出第一风险预估预测值；

K-means算法处理模块，用于输入风险特征数据，经过K-means算法，输出第二风险预估值；

第三输出模块，用于将所述第一风险预估预测值和第二风险预估预测值进行互相对比与交叉验证，得到每一个用户异常行为的风险评估指标值和综合评估核心指标分数。

通过对基于业务场景风险处置评价分析技术研究，运用SVM-KNN有监督学习，K-means无监督学习等交叉验证方法建立电力监控系统威胁处置风险评估模型，能够有效提高电力监督系统执行处置后安全的风险预知能力以及抵御攻击的能力。对比已有的研究成果中单独应用SVM，KNN或K-means对电力系统的风险评价，本文提出的方法有更好的准确度和强健性，对比传统的数据统计和专家主观经验来判断风险，本文提出的方法可以更高效，更快速、可科学的判断风险。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (2)

1.一种电力监控系统业务场景处置风险评价方法，其特征在于，

获取未知用户异常行为数据；

对未知用户异常行为数据依据历史判断过程，确定出若干建议处置策略；

通过未知用户异常行为数据提取风险特征数据，匹配所述建议处置策略，判断出用户异常行为的对应风险等级及风险预估值；

对用户异常行为的对应风险等级及风险预估值进行有类别样本与无类别样本参与运算，得到每一个用户异常行为的风险评估指标值和综合评估核心指标分数；

所述判断出用户异常行为的对应风险等级及风险预估值的过程包括：

根据建议处置策略，通过SVM算法处理风险特征数据，输出SVM风险预估值；

根据建议处置策略，通过KNN算法处理风险特征数据，输出KNN风险预估值，所述KNN风险预估值表示确定k临近数的范围内某一类的最大样本数的预测值与实际值具有准确率最高的预测值；

对用户异常行为的对应风险等级及风险预估值进行有类别样本与无类别样本参与运算，包括：

将用户异常行为的对应风险等级及风险预估值输入至SVM-KNN有监督学习和K-means无监督学习的神经网络模型中，分别对有类别样本与无类别样本参与运算；

其中，所述SVM-KNN有监督学习和K-means无监督学习的神经网络模型的处理过程为：

输入所述SVM风险预估值和KNN风险预估值，利用SVM-KNN算法确定预测值与实际值误差最小的平方差，输出第一风险预估预测值；

输入风险特征数据，经过K-means算法，输出第二风险预估值；

将所述第一风险预估预测值和第二风险预估预测值进行互相对比与交叉验证，得到每一个用户异常行为的风险评估指标值和综合评估核心指标分数。

2.一种电力监控系统业务场景处置风险评价系统，其特征在于，包括：

获取模块，用于获取未知用户异常行为数据；

确定模块，用于对未知用户异常行为数据依据历史判断过程，确定出若干建议处置策略；

判断模块，用于通过未知用户异常行为数据提取风险特征数据，匹配所述建议处置策略，判断出用户异常行为的对应风险等级及风险预估值；

处理模块，用于对用户异常行为的对应风险等级及风险预估值进行有类别样本与无类别样本参与运算，得到每一个用户异常行为的风险评估指标值和综合评估核心指标分数；

所述判断模块还包括：

第一输出模块，用于根据建议处置策略，通过SVM算法处理风险特征数据，输出SVM风险预估值；

第二输出模块，用于根据建议处置策略，通过KNN算法处理风险特征数据，输出KNN风险预估值，所述KNN风险预估值表示确定k临近数的范围内某一类的最大样本数的预测值与实际值具有准确率最高的预测值；

所述处理模块包括：

双模型模块，用于将用户异常行为的对应风险等级及风险预估值输入至SVM-KNN有监督学习和K-means无监督学习的神经网络模型中，分别对有类别样本与无类别样本参与运算；

所述双模型模块包括：

SVM-KNN算法处理模块，用于输入所述SVM风险预估值和KNN风险预估值，利用SVM-KNN算法确定预测值与实际值误差最小的平方差，输出第一风险预估预测值；

K-means算法处理模块，用于输入风险特征数据，经过K-means算法，输出第二风险预估值；

第三输出模块，用于将所述第一风险预估预测值和第二风险预估预测值进行互相对比与交叉验证，得到每一个用户异常行为的风险评估指标值和综合评估核心指标分数。

Images