CN113705714B - 基于行为序列的配电物联网设备异常行为检测方法及装置 - Google Patents

基于行为序列的配电物联网设备异常行为检测方法及装置 Download PDF

Info

Publication number
CN113705714B
CN113705714B CN202111031013.1A CN202111031013A CN113705714B CN 113705714 B CN113705714 B CN 113705714B CN 202111031013 A CN202111031013 A CN 202111031013A CN 113705714 B CN113705714 B CN 113705714B
Authority
CN
China
Prior art keywords
behavior
abnormal
equipment
data set
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111031013.1A
Other languages
English (en)
Other versions
CN113705714A (zh
Inventor
陶景龙
梁淑云
刘胜
马影
王启凡
魏国富
殷钱安
余贤喆
周晓勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information and Data Security Solutions Co Ltd
Original Assignee
Information and Data Security Solutions Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information and Data Security Solutions Co Ltd filed Critical Information and Data Security Solutions Co Ltd
Priority to CN202111031013.1A priority Critical patent/CN113705714B/zh
Publication of CN113705714A publication Critical patent/CN113705714A/zh
Application granted granted Critical
Publication of CN113705714B publication Critical patent/CN113705714B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/2433Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition
    • G06N5/025Extracting rules from data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computational Linguistics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了基于行为序列的配电物联网设备异常行为检测方法及装置,所述方法包括:获取配电物联网设备的样本数据集;根据样本数据集对所有的配电物联网设备进行分组;根据样本数据集获取以设备ID为主体对象的数据集R,所述数据集R中包括与设备ID对应的行为序列数据以及类别标签;建立异常行为组合库,根据分组结果,分别将同组设备的行为序列数据与对应的异常行为组合库进行比对,并根据比对结果判定各设备是否异常,并将各个设备是否异常的标签合并至数据表R中得到数据表Rx;对于已识别异常行为的设备,判断已识别异常行为属于何种类型的安全威胁并处理;本发明的优点在于:使用范围广,检测效率高。

Description

基于行为序列的配电物联网设备异常行为检测方法及装置
技术领域
本发明涉及数据挖掘-异常检测技术领域,更具体涉及基于行为序列的配电物联网设备异常行为检测方法及装置。
背景技术
目前工业互联网的互联互通,使得工业互联网更容易受到攻击,在信息安全上面临新的挑战,同时随着工业设备的功能越来越丰富,其设备工艺也越来越复杂,此时工业设备的运行健康状况也成为了组网安全运行的重点关注内容。工业互联网中的配电物联网在实际应用中已经愈渐成熟,因信息安全和设备健康而出现的问题也越来越多,如何准确的监测和预测配电物联网设备的运行状态,防止造成严重的经济损失等后果,是亟需解决的重点问题,相较于目前传统的人工反复监测设备运行状态和行为的方式,采用大数据分析算法对设备自身行为序列进行异常检测的方法更为创新及高效。
异常点检测算法(Outlier detection),又称为离群点检测,是找出与预期对象的行为差异较大的对象的一个检测过程。这些被检测出的对象被称为异常点或者离群点。异常点检测在生产生活中有着广泛应用。根据不同异常检测问题又分为时间序列法、统计法、距离法、线性方法等。目前已有的物联网设备异常检测方法,有基于流量进行时序预测方案,如专利号CN112968816A中所提及,但是此类方法不适用设备存在行为异常,但是流量波动范围极小的情况。当设备被劫持,发送相关非正常指令后但是流量日志大小没有变化是无法被该专利所提方法有效识别的,所以该方法使用范围受限,并且未将设备按照功能类型或属性进行分组检测,所有设备放在一起处理的方法是不合理的;另外还有基于流量行为日志构造特征进行阈值筛选的方法,如专利号CN111614614A中所提及,此方法是基于流量行为日志进行再加工,输出为数值型特征后进行设定阈值进行异常监控的,此方法虽然利用了流量日志,但是数值化后的特征数据失去了行为本身的时序因素,效率不高,在应用方法上较为传统。
发明内容
本发明所要解决的技术问题在于现有技术配电物联网设备异常行为检测方法使用范围受限,不适用设备存在行为异常,但是流量波动范围极小的情况,且设备异常检测效率不高。
本发明通过以下技术手段实现解决上述技术问题的:基于行为序列的配电物联网设备异常行为检测方法,所述方法包括:
步骤一:获取配电物联网设备的样本数据集;
步骤二:根据样本数据集对所有的配电物联网设备进行分组;
步骤三:根据样本数据集获取以设备ID为主体对象的数据集R,所述数据集R中包括与设备ID对应的行为序列数据以及类别标签;
步骤四:建立异常行为组合库,根据分组结果,分别将同组设备的行为序列数据与对应的异常行为组合库进行比对,并根据比对结果判定各设备是否异常;并将各个设备是否异常的标签合并至数据集R中得到数据表Rx;
步骤五:对于已识别异常行为的设备,判断已识别异常行为属于何种类型的安全威胁并处理。
本发明以行为序列为根本特征属性,分组进行设备的异常状况检测,异常检测的依据是设备的行为序列,而不仅仅是流量,所以对于流量波动较小的情况还能根据行为序列判断设备是否异常,方法使用范围较广,将设备的行为序列数据与异常行为组合库进行比对的方式对待检设备进行行为异常检测,根据比对结果即可判断行为异常与否,大大提高检测效率。
进一步地,所述样本数据集中的字段包括设备ID、操作时间、行为指令、设备厂商、功能用途、在线率、通信协议、通信流量、终端类型、信号强度、运行参数,其中运行参数为电压、电流、运行时长。
进一步地,所述步骤二包括:
判断样本数据集中是否存在设备的功能用途字段;
如果有,则根据所述功能用途字段对设备进行分组,同组内的设备具有相同的类别标签;
如果没有,则根据样本数据集中的字段进行特征加工以形成结构化设备特征数据表;使用Kmeans聚类算法并根据结构化设备特征数据表中的特征进行类别划分,以形成以设备ID为主体对象并含有类别标签的特征数据表D1。
更进一步地,所述使用Kmeans聚类算法根据结构化设备特征数据表中的特征进行类别划分的过程为:给定K值和K个初始类簇中心点,其中K为类别总数,把结构化设备特征数据表中的每个特征向量分到离其最近的类簇中心点所代表的类簇中,所有特征分配完毕之后,根据一个类簇内的所有特征重新计算该类簇的中心点,然后再迭代进行分配特征到离其最近的类簇中心点和更新类簇的中心点的步骤,直至类簇中心点的变化低于预设误差,或者达到预设的迭代次数则停止迭代。
更进一步地,所述步骤三包括:
对于获取的样本数据集进行空值处理和行为指令编码得到与设备ID对应的行为序列数据;
以设备ID为主体对象,将对应的行为序列数据以及特征数据表D1中的类别标签进行合并,按照时间顺序对合并后的数据进行排列以形成所述数据集R。
更进一步地,所述步骤四包括:
S41:根据数据集R内的类别标签对设备进行分组后,使用apriori关联分析算法分别对各分组内的设备做异常项集提取,不同分组的设备分别对应若干不同的异常行为组合而成的行为异常组合列表;
S42:根据预设规则对异常组合列表进行筛选,并将筛选后的异常组合列表存入异常行为组合库;
S43:根据分组结果,分别将同组设备的行为与异常行为组合库中对应类别的设备行为进行匹配,获得设备的是否异常标签,将是否异常标签合并至数据集R,获得包含设备ID及其对应的行为序列数据、类别标签、是否异常标签的字段的数据表Rx。
更进一步地,所述步骤五包括:根据获得的数据表Rx,筛选已识别出异常结果的设备,锁定发生异常的行为序列,结合行为指令编码表,反编译行为序列对应的原始行为数据,判定该原始行为数据描述的行为属于何种类型的安全威胁并处理。
本发明还提供基于行为序列的配电物联网设备异常行为检测装置,所述装置包括:
数据集获取模块,用于获取配电物联网设备的样本数据集;
设备分组模块,用于根据样本数据集对所有的配电物联网设备进行分组;
数据处理模块,用于根据样本数据集获取以设备ID为主体对象的数据集R,所述数据集R中包括与设备ID对应的行为序列数据以及类别标签;
异常检测模块,用于建立异常行为组合库,根据分组结果,分别将同组设备的行为序列数据与对应的异常行为组合库进行比对,并根据比对结果判定各设备是否异常;并将各个设备是否异常的标签合并至数据集R中得到数据表Rx;
异常行为处理模块,用于对于已识别异常行为的设备,判断已识别异常行为属于何种类型的安全威胁并处理。
进一步地,所述样本数据集中的字段包括设备ID、操作时间、行为指令、设备厂商、功能用途、在线率、通信协议、通信流量、终端类型、信号强度、运行参数,其中运行参数为电压、电流、运行时长。
进一步地,所述设备分组模块包括:
判断单元,用于判断样本数据集中是否存在设备的功能用途字段;
分组单元,用于当样本数据集中存在设备的功能用途字段时,根据所述功能用途字段对设备进行分组,同组内的设备具有相同的类别标签;
特殊数据表生成单元,用于样本数据集中不存在设备的功能用途字段时,根据样本数据集中的字段进行特征加工以形成结构化设备特征数据表;使用Kmeans聚类算法并根据结构化设备特征数据表中的特征进行类别划分,以形成以设备ID为主体对象并含有类别标签的特征数据表D1。
更进一步地,所述使用Kmeans聚类算法根据结构化设备特征数据表中的特征进行类别划分的过程为:给定K值和K个初始类簇中心点,其中K为类别总数,把结构化设备特征数据表中的每个特征向量分到离其最近的类簇中心点所代表的类簇中,所有特征分配完毕之后,根据一个类簇内的所有特征重新计算该类簇的中心点,然后再迭代进行分配特征到离其最近的类簇中心点和更新类簇的中心点的步骤,直至类簇中心点的变化低于预设误差,或者达到预设的迭代次数则停止迭代。
更进一步地,所述数据处理模块包括:
行为序列数据获取单元,用于对获取的样本数据集进行空值处理和行为指令编码得到与设备ID对应的行为序列数据;
数据集生成单元,用于以设备ID为主体对象,将对应的行为序列数据以及特征数据表D1中的类别标签进行合并,按照时间顺序对合并后的数据进行排列以形成所述数据集R。
更进一步地,所述异常检测模块包括:
行为异常组合列表单元,用于根据数据集R内的类别标签对设备进行分组后,使用apriori关联分析算法分别对各分组内的设备做异常项集提取,不同分组的设备分别对应若干不同的异常行为组合而成的行为异常组合列表;
异常行为组合库,用于根据预设规则对异常组合列表进行筛选,并将筛选后的异常组合列表存入异常行为组合库;
异常标签生成单元,用于根据分组结果,分别将同组设备的行为与异常行为组合库中对应类别的设备行为进行匹配,获得设备的是否异常标签,将是否异常标签合并至数据集R,获得包含设备ID及其对应的行为序列数据、类别标签、是否异常标签的字段的数据表Rx。
更进一步地,所述异常行为处理模块还用于:根据获得的数据表Rx,筛选已识别出异常结果的设备,锁定发生异常的行为序列,结合行为指令编码表,反编译行为序列对应的原始行为数据,判定该原始行为数据描述的行为属于何种类型的安全威胁并处理。
本发明的优点在于:
(1)本发明以行为序列为根本特征属性,分组进行设备的异常状况检测,异常检测的依据是设备的行为序列,而不仅仅是流量,所以对于流量波动较小的情况还能根据行为序列判断设备是否异常,方法使用范围较广,将设备的行为序列数据与异常行为组合库进行比对的方式对待检设备进行行为异常检测,根据比对结果即可判断行为异常与否,大大提高检测效率。
(2)本发明将待检测配电物联网设备依据功能属性和用途进行分组,同组之间进行相对异常检测更准确。
(3)本发明使用关联分析算法对行为序列本身直接做分析,避免了数值化后的特征数据失去了行为本身的时序因素。
(4)本发明建立了异常行为组合库,可供配电网业务人员以经验介入修改,增加了检测系统的开放程度。
附图说明
图1为本发明实施例所提供的基于行为序列的配电物联网设备异常行为检测方法的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
基于行为序列的配电物联网设备异常行为检测方法,所述方法包括:
S1:获取配电物联网设备的样本数据集;所述样本数据集中的字段包括设备ID、操作时间、行为指令、设备厂商、功能用途、在线率、通信协议、通信流量、终端类型、信号强度、运行参数,其中运行参数为电压、电流、运行时长。
S2:根据样本数据集对所有的配电物联网设备进行分组;查看样本数据集中是否存在设备的功能用途的字段,如果有则直接使用该字段进行设备分组,否则对获得的样本数据集进行有效字段筛选,并进行特征加工,形成结构化设备特征数据表,然后使用Kmeans聚类算法根据结构化设备特征数据表中的特征进行类别划分,形成以设备ID为主体对象,并含有类别标签的特征数据表D1。
所述使用Kmeans聚类算法根据结构化设备特征数据表中的特征进行类别划分的过程为:给定K值和K个初始类簇中心点,其中K为类别总数,把结构化设备特征数据表中的每个特征向量分到离其最近的类簇中心点所代表的类簇中,所有特征分配完毕之后,根据一个类簇内的所有特征重新计算该类簇的中心点,然后再迭代进行分配特征到离其最近的类簇中心点和更新类簇的中心点的步骤,直至类簇中心点的变化低于预设误差,或者达到预设的迭代次数则停止迭代。Kmeans聚类算法属于现有技术,在此不做过多赘述。
S3:根据样本数据集获取以设备ID为主体对象的数据集R,所述数据集R中包括与设备ID对应的行为序列数据以及类别标签,所述数据集R的内容形式如表1;
表1 数据集R
其中第一列为设备ID,第二列行为序列数据,第三列为类别标签,第四列为类别标签对应的类别名称。
对于获取的样本数据集进行空值处理和行为指令编码得到与设备ID对应的行为序列数据;以设备ID为主体对象,将对应的行为序列数据以及特征数据表D1中的类别标签进行合并,按照时间顺序对合并后的数据进行排列以形成所述数据集R。空值处理属于现有技术,空值的处理方式有很多种:数据向前向后移动补充空位,在空位补零,在空位补均值,在空位补中位数等。通过空值处理的方式去除数据中的干扰因素,使得数据更加标准,适用。
S4:建立异常行为组合库,根据分组结果,分别将同组设备的行为序列数据与对应的异常行为组合库进行比对,并根据比对结果判定各设备是否异常;并将各个设备是否异常的标签合并至数据集R中得到数据表Rx,所述数据表Rx的内容形式如表2;
表2 数据表Rx
其中第一列为设备ID,第二列行为序列数据,第三列类别标签,第四列为类别标签对应的类别名称,第五列为设备的是否异常标签。
S4的具体过程如下:
S41:根据数据集R内的类别标签对设备进行分组后,使用apriori关联分析算法分别对各分组内的设备做异常项集提取,不同分组的设备分别对应若干不同的异常行为组合而成的行为异常组合列表;
S42:根据预设规则对异常组合列表进行筛选,并将筛选后的异常组合列表存入异常行为组合库;
S43:根据分组结果,分别将同组设备的行为与异常行为组合库中对应类别的设备行为进行匹配,获得设备的是否异常标签,将是否异常标签合并至数据集R,获得包含设备ID及其对应的行为序列数据、类别标签、是否异常标签的字段的数据表Rx。
Apriori算法是经典的挖掘频繁项集和关联规则的数据挖掘算法。A priori在拉丁语中指"来自以前"。当定义问题时,通常会使用先验知识或者假设,这被称作"一个先验"(a priori)。Apriori算法的名字正是基于这样的事实:算法使用频繁项集性质的先验性质,即频繁项集的所有非空子集也一定是频繁的。Apriori算法使用一种称为逐层搜索的迭代方法,其中k项集用于探索(k+1)项集。首先,通过扫描数据库,累计每个项的计数,并收集满足最小支持度的项,找出频繁1项集的集合。该集合记为L1。然后,使用L1找出频繁2项集的集合L2,使用L2找出L3,如此下去,直到不能再找到频繁k项集。每找出一个Lk需要一次数据库的完整扫描。Apriori算法使用频繁项集的先验性质来压缩搜索空间。该算法已经被广泛的应用到商业、网络安全等各个领域。比如网络入侵检测技术中。早期中大型的电脑系统中都收集审计信息来建立跟踪档,这些审计跟踪的目的多是为了性能测试或计费,因此对攻击检测提供的有用信息比较少。它通过模式的学习和训练可以发现网络用户的异常行为模式。
S5:对于已识别异常行为的设备,判断已识别异常行为属于何种类型的安全威胁并处理。具体过程为:根据获得的数据表Rx,筛选已识别出异常结果的设备,锁定发生异常的行为序列,结合行为指令编码表,反编译行为序列对应的原始行为数据,判定该原始行为数据描述的行为属于何种类型的安全威胁并处理。
通过以上技术方案,本发明以行为序列为根本特征属性,分组进行设备的异常状况检测,异常检测的依据是设备的行为序列,而不仅仅是流量,所以对于流量波动较小的情况还能根据行为序列判断设备是否异常,方法使用范围较广,将设备的行为序列数据与异常行为组合库进行比对的方式对待检设备进行行为异常检测,根据比对结果即可判断行为异常与否,大大提高检测效率。
实施例2
基于实施例1,本发明实施例2还提供基于行为序列的配电物联网设备异常行为检测装置,所述装置包括:
数据集获取模块,用于获取配电物联网设备的样本数据集;
设备分组模块,用于根据样本数据集对所有的配电物联网设备进行分组;
数据处理模块,用于根据样本数据集获取以设备ID为主体对象的数据集R,所述数据集R中包括与设备ID对应的行为序列数据以及类别标签;
异常检测模块,用于建立异常行为组合库,根据分组结果,分别将同组设备的行为序列数据与对应的异常行为组合库进行比对,并根据比对结果判定各设备是否异常;并将各个设备是否异常的标签合并至数据集R中得到数据表Rx;
异常行为处理模块,用于对于已识别异常行为的设备,判断已识别异常行为属于何种类型的安全威胁并处理。
具体的,所述样本数据集中的字段包括设备ID、操作时间、行为指令、设备厂商、功能用途、在线率、通信协议、通信流量、终端类型、信号强度、运行参数,其中运行参数为电压、电流、运行时长。
具体的,所述设备分组模块包括:
判断单元,用于判断样本数据集中是否存在设备的功能用途字段;
分组单元,用于当样本数据集中存在设备的功能用途字段时,根据所述功能用途字段对设备进行分组,同组内的设备具有相同的类别标签;
特殊数据表生成单元,用于样本数据集中不存在设备的功能用途字段时,根据样本数据集中的字段进行特征加工以形成结构化设备特征数据表;使用Kmeans聚类算法并根据结构化设备特征数据表中的特征进行类别划分,以形成以设备ID为主体对象并含有类别标签的特征数据表D1。
更具体的,所述使用Kmeans聚类算法根据结构化设备特征数据表中的特征进行类别划分的过程为:给定K值和K个初始类簇中心点,其中K为类别总数,把结构化设备特征数据表中的每个特征向量分到离其最近的类簇中心点所代表的类簇中,所有特征分配完毕之后,根据一个类簇内的所有特征重新计算该类簇的中心点,然后再迭代进行分配特征到离其最近的类簇中心点和更新类簇的中心点的步骤,直至类簇中心点的变化低于预设误差,或者达到预设的迭代次数则停止迭代。
更具体的,所述数据处理模块包括:
行为序列数据获取单元,用于对获取的样本数据集进行空值处理和行为指令编码得到与设备ID对应的行为序列数据;
数据集生成单元,用于以设备ID为主体对象,将对应的行为序列数据以及特征数据表D1中的类别标签进行合并,按照时间顺序对合并后的数据进行排列以形成所述数据集R。
更具体的,所述异常检测模块包括:
行为异常组合列表单元,用于根据数据集R内的类别标签对设备进行分组后,使用apriori关联分析算法分别对各分组内的设备做异常项集提取,不同分组的设备分别对应若干不同的异常行为组合而成的行为异常组合列表;
异常行为组合库,用于根据预设规则对异常组合列表进行筛选,并将筛选后的异常组合列表存入异常行为组合库;
异常标签生成单元,用于根据分组结果,分别将同组设备的行为与异常行为组合库中对应类别的设备行为进行匹配,获得设备的是否异常标签,将是否异常标签合并至数据集R,获得包含设备ID及其对应的行为序列数据、类别标签、是否异常标签的字段的数据表Rx。
更具体的,所述异常行为处理模块还用于:根据获得的数据表Rx,筛选已识别出异常结果的设备,锁定发生异常的行为序列,结合行为指令编码表,反编译行为序列对应的原始行为数据,判定该原始行为数据描述的行为属于何种类型的安全威胁并处理。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (8)

1.基于行为序列的配电物联网设备异常行为检测方法,其特征在于,所述方法包括:
步骤一:获取配电物联网设备的样本数据集;
步骤二:根据样本数据集对所有的配电物联网设备进行分组;
步骤三:根据样本数据集获取以设备ID为主体对象的数据集R,所述数据集R中包括与设备ID对应的行为序列数据以及类别标签;
步骤四:建立异常行为组合库,根据分组结果,分别将同组设备的行为序列数据与对应的异常行为组合库进行比对,并根据比对结果判定各设备是否异常;并将各个设备是否异常的标签合并至数据集R中得到数据表Rx;
S41:根据数据集R内的类别标签对设备进行分组后,使用apriori关联分析算法分别对各分组内的设备做异常项集提取,不同分组的设备分别对应若干不同的异常行为组合而成的行为异常组合列表;
S42:根据预设规则对异常组合列表进行筛选,并将筛选后的异常组合列表存入异常行为组合库;
S43:根据分组结果,分别将同组设备的行为与异常行为组合库中对应类别的设备行为进行匹配,获得设备的是否异常标签,将是否异常标签合并至数据集R,获得包含设备ID及其对应的行为序列数据、类别标签、是否异常标签的字段的数据表Rx;
步骤五:对于已识别异常行为的设备,判断已识别异常行为属于何种类型的安全威胁并处理。
2.根据权利要求1所述的基于行为序列的配电物联网设备异常行为检测方法,其特征在于,所述样本数据集中的字段包括设备ID、操作时间、行为指令、设备厂商、功能用途、在线率、通信协议、通信流量、终端类型、信号强度、运行参数,其中运行参数为电压、电流、运行时长。
3.根据权利要求1所述的基于行为序列的配电物联网设备异常行为检测方法,其特征在于,所述步骤二包括:
判断样本数据集中是否存在设备的功能用途字段;
如果有,则根据所述功能用途字段对设备进行分组,同组内的设备具有相同的类别标签;
如果没有,则根据样本数据集中的字段进行特征加工以形成结构化设备特征数据表;使用Kmeans聚类算法并根据结构化设备特征数据表中的特征进行类别划分,以形成以设备ID为主体对象并含有类别标签的特征数据表D1。
4.根据权利要求3所述的基于行为序列的配电物联网设备异常行为检测方法,其特征在于,所述步骤三包括:
对于获取的样本数据集进行空值处理和行为指令编码得到与设备ID对应的行为序列数据;
以设备ID为主体对象,将对应的行为序列数据以及特征数据表D1中的类别标签进行合并,按照时间顺序对合并后的数据进行排列以形成所述数据集R。
5.根据权利要求1所述的基于行为序列的配电物联网设备异常行为检测方法,其特征在于,所述步骤五包括:根据获得的数据表Rx,筛选已识别出异常结果的设备,锁定发生异常的行为序列,结合行为指令编码表,反编译行为序列对应的原始行为数据,判定该原始行为数据描述的行为属于何种类型的安全威胁并处理。
6.基于行为序列的配电物联网设备异常行为检测装置,其特征在于,所述装置包括:
数据集获取模块,用于获取配电物联网设备的样本数据集;
设备分组模块,用于根据样本数据集对所有的配电物联网设备进行分组;
数据处理模块,用于根据样本数据集获取以设备ID为主体对象的数据集R,所述数据集R中包括与设备ID对应的行为序列数据以及类别标签;
异常检测模块,用于建立异常行为组合库,根据分组结果,分别将同组设备的行为序列数据与对应的异常行为组合库进行比对,并根据比对结果判定各设备是否异常;并将各个设备是否异常的标签合并至数据集R中得到数据表Rx;所述异常检测模块包括:
行为异常组合列表单元,用于根据数据集R内的类别标签对设备进行分组后,使用apriori关联分析算法分别对各分组内的设备做异常项集提取,不同分组的设备分别对应若干不同的异常行为组合而成的行为异常组合列表;
异常行为组合库,用于根据预设规则对异常组合列表进行筛选,并将筛选后的异常组合列表存入异常行为组合库;
异常标签生成单元,用于根据分组结果,分别将同组设备的行为与异常行为组合库中对应类别的设备行为进行匹配,获得设备的是否异常标签,将是否异常标签合并至数据集R,获得包含设备ID及其对应的行为序列数据、类别标签、是否异常标签的字段的数据表Rx;
异常行为处理模块,用于对于已识别异常行为的设备,判断已识别异常行为属于何种类型的安全威胁并处理。
7.根据权利要求6所述的基于行为序列的配电物联网设备异常行为检测装置,其特征在于,所述设备分组模块包括:
判断单元,用于判断样本数据集中是否存在设备的功能用途字段;
分组单元,用于当样本数据集中存在设备的功能用途字段时,根据所述功能用途字段对设备进行分组,同组内的设备具有相同的类别标签;
特殊数据表生成单元,用于样本数据集中不存在设备的功能用途字段时,根据样本数据集中的字段进行特征加工以形成结构化设备特征数据表;使用Kmeans聚类算法并根据结构化设备特征数据表中的特征进行类别划分,以形成以设备ID为主体对象并含有类别标签的特征数据表D1。
8.根据权利要求7所述的基于行为序列的配电物联网设备异常行为检测装置,其特征在于,所述数据处理模块包括:
行为序列数据获取单元,用于对获取的样本数据集进行空值处理和行为指令编码得到与设备ID对应的行为序列数据;
数据集生成单元,用于以设备ID为主体对象,将对应的行为序列数据以及特征数据表D1中的类别标签进行合并,按照时间顺序对合并后的数据进行排列以形成所述数据集R。
CN202111031013.1A 2021-09-03 2021-09-03 基于行为序列的配电物联网设备异常行为检测方法及装置 Active CN113705714B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111031013.1A CN113705714B (zh) 2021-09-03 2021-09-03 基于行为序列的配电物联网设备异常行为检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111031013.1A CN113705714B (zh) 2021-09-03 2021-09-03 基于行为序列的配电物联网设备异常行为检测方法及装置

Publications (2)

Publication Number Publication Date
CN113705714A CN113705714A (zh) 2021-11-26
CN113705714B true CN113705714B (zh) 2024-06-11

Family

ID=78659106

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111031013.1A Active CN113705714B (zh) 2021-09-03 2021-09-03 基于行为序列的配电物联网设备异常行为检测方法及装置

Country Status (1)

Country Link
CN (1) CN113705714B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114401207B (zh) * 2021-12-30 2024-03-15 北京首钢自动化信息技术有限公司 一种通讯异常终端设备定位方法、装置及电子设备
CN115599657B (zh) * 2022-12-15 2023-03-17 浪潮通信信息系统有限公司 软件设施异常判断方法
CN118094551A (zh) * 2024-04-24 2024-05-28 深圳市时代经纬科技有限公司 基于大数据的系统安全分析方法、设备及介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111614614A (zh) * 2020-04-14 2020-09-01 瑞数信息技术(上海)有限公司 应用于物联网的安全监测方法和装置
CN112491872A (zh) * 2020-11-25 2021-03-12 国网辽宁省电力有限公司信息通信分公司 一种基于设备画像的异常网络访问行为检测方法和系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
CN109818793A (zh) * 2019-01-30 2019-05-28 基本立子(北京)科技发展有限公司 针对物联网的设备类型识别及网络入侵检测方法
CN112738016A (zh) * 2020-11-16 2021-04-30 中国南方电网有限责任公司 一种面向威胁场景的智能化安全事件关联分析系统
CN112600792B (zh) * 2020-11-23 2022-04-08 国网山东省电力公司青岛供电公司 一种物联网设备的异常行为检测方法及系统
CN113032824B (zh) * 2021-03-01 2023-06-23 上海观安信息技术股份有限公司 基于数据库流量日志的低频数据泄漏检测方法及系统
CN112968816B (zh) * 2021-03-14 2022-05-17 国网浙江省电力有限公司电力科学研究院 通过流量异常检测筛选物联网设备异常的方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111614614A (zh) * 2020-04-14 2020-09-01 瑞数信息技术(上海)有限公司 应用于物联网的安全监测方法和装置
CN112491872A (zh) * 2020-11-25 2021-03-12 国网辽宁省电力有限公司信息通信分公司 一种基于设备画像的异常网络访问行为检测方法和系统

Also Published As

Publication number Publication date
CN113705714A (zh) 2021-11-26

Similar Documents

Publication Publication Date Title
CN113705714B (zh) 基于行为序列的配电物联网设备异常行为检测方法及装置
CN111475804B (zh) 一种告警预测方法及系统
CN110895526A (zh) 一种大气监测系统中数据异常的修正方法
AU2016427778B2 (en) Quantitative unified analytic neural networks
Chang et al. Anomaly detection for industrial control systems using k-means and convolutional autoencoder
KR20210115991A (ko) 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치
Folmer et al. Detection of temporal dependencies in alarm time series of industrial plants
CN112328425A (zh) 一种基于机器学习的异常检测方法和系统
CN115454778A (zh) 大规模云网络环境下的时序指标异常智能监控系统
WO2022180613A1 (en) Global iterative clustering algorithm to model entities' behaviors and detect anomalies
CN117220920A (zh) 基于人工智能的防火墙策略管理方法
CN110598959A (zh) 一种资产风险评估方法、装置、电子设备及存储介质
CN106682515B (zh) 恶意代码分析中行为能力的度量方法
CN115524002A (zh) 一种电厂旋转设备的运行状态预警方法、系统及存储介质
CN112363891B (zh) 一种基于细粒度事件和KPIs分析的异常原因获得方法
CN112087450B (zh) 一种异常ip识别方法、系统及计算机设备
Aung et al. Association rule pattern mining approaches network anomaly detection
CN113343228A (zh) 事件可信度分析方法、装置、电子设备及可读存储介质
CN113515450A (zh) 一种环境异常检测方法和系统
Pan et al. Unsupervised two-stage root-cause analysis for integrated systems
CN115935237A (zh) 业务流量数据的异常检测方法、装置、电子设备
CN114597886A (zh) 基于区间二型模糊聚类分析的配电网运行状态评估方法
CN113535458A (zh) 异常误报的处理方法及装置、存储介质、终端
CN115085948A (zh) 基于改进d-s证据理论的网络安全态势评估方法
Su et al. A network anomaly detection method based on genetic algorithm

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant