CN114285596B - 基于机器学习的变电站终端账号异常检测方法 - Google Patents

Abstract

本发明提出了一种基于机器学习的变电站终端账号异常检测方法，包括：采集登录账号访问变电站终端产生的访问日志，将访问日志输入训练好的行为分析引擎中，筛选出访问日志中存在异常行为的登录账号；获取登录账号与登录IP的映射关系，基于所述映射关系识别登录账号的异常类型；结合存在异常行为的登录账号与异常类型的识别结果，生成变电站终端的账号异常检测结果。本发明利用UEBA行为分析技术，结合变电站终端的访问日志，实现对变电站终端访问情况的全面监控，能够及时发现偏离正常登录行为的登录账号，有效识别恶意访问变电站终端的登录账号与登录IP。

Description

基于机器学习的变电站终端账号异常检测方法

技术领域

本发明属于变电站终端账号管理领域，尤其涉及一种基于机器学习的变电站终端账号异常检测方法。

背景技术

随着大数据时代下物联网技术的快速发展，现阶段智能电网的变电站运维中经常采用远程登录的方式访问变电站终端，因此对登录账号的安全检测成为维护变电站终端网络安全的重要环节。目前针对变电站终端安全场景的账号异常检测方案主要针对各种漏洞提炼出的对照特征，在登录账号访问过程中产生的流量数据中所提取的一些特征与对照特征进行匹配，从而判断登录账号是否异常，上述检测方案存在无泛化能力的缺点，只能针对指定的漏洞进行账号异常检测，存在账号异常检测不精确、不及时的问题。

发明内容

为了解决现有技术中存在的缺点和不足，本发明提出了一种基于机器学习的变电站终端账号异常检测方法，包括：

采集登录账号访问变电站终端产生的访问日志，将访问日志输入训练好的行为分析引擎中，筛选出访问日志中存在异常行为的登录账号；

获取登录账号与登录IP的映射关系，基于所述映射关系识别登录账号的异常类型；

结合存在异常行为的登录账号与异常类型的识别结果，生成变电站终端的账号异常检测结果。

可选的，所述行为分析引擎的训练过程包括：

获取登录账号在正常登录变电站终端时生成的第一历史访问日志；

对第一历史访问日志进行特征提取，所提取的特征包括登录账号、变电站终端的登录端口、历史访问时间以及登录账号访问变电站终端时产生的流量数据；

根据提取的特征基于KDE算法训练登录账号的行为基线，直至行为基线达到预设收敛条件时结束训练。

可选的，所述行为基线为根据登录账号的行为概率密度分布函数生成的行为特征曲线。

可选的，所述将访问日志输入训练好的行为分析引擎中，筛选出访问日志中存在异常行为的登录账号，包括：

对访问日志进行特征提取，所提取的特征包括登录账号、变电站终端的登录端口、访问时间以及登录账号访问变电站终端时产生的流量数据；

根据提取的特征生成实时行为曲线，基于UEBA算法将所述实时行为曲线与登录账号对应的行为基线进行比对，若比对结果的误差超过预设值，则判定所述登录账号存在异常行为。

可选的，所述获取登录账号与登录IP的映射关系，包括：

获取登录账号访问变电站终端时产生的流量数据，基于流量数据的元数据提取出登录账号对应的登录IP，建立所述登录账号与所述登录IP的映射关系。

可选的，所述基于所述映射关系识别登录账号的异常类型，包括：

获取预先保存的白名单，判断所述映射关系中的登录IP是否在白名单中，若不在白名单中，判定所述映射关系中登录账号的异常类型为不常见登录；

若在白名单中，判断与同一登录账号具有映射关系的登录IP的数量是否超过预设阈值，若超过则判定异常类型为同账号登录多个IP，判断与同一登录IP具有映射关系的登录账号的数量是否超过预设阈值，若超过则判定异常类型为同IP登录多个账号；

若与同一登录账号具有映射关系的登录IP的数量以及与同一登录IP具有映射关系的登录账号的数量均未超过预设阈值，则忽略登录账号的异常行为。

可选的，所述基于所述映射关系识别登录账号的异常类型，包括：

分别获取同账号登录多个IP和同IP登录多个账号两种异常登录时变电站终端产生的第二历史访问日志；

获取第二历史访问日志中历史登录账号与历史登录IP之间的历史映射关系作为训练样本，根据所述训练对机器学习模型进行训练；

获取预先保存的白名单，判断所述映射关系中的登录IP是否在白名单中，若不在白名单中，判定所述映射关系中登录账号的异常类型为不常见登录；

若在白名单中，将登录账号和登录IP的映射关系输入训练好的机器学习模型中判断映射关系的异常类型。

可选的，所述结合存在异常行为的登录账号与异常类型的识别结果，生成变电站终端的账号异常检测结果，包括：

判断是否识别出存在异常行为的登录账号对应的异常类型，若没有则忽略登录账号的异常行为；

若有，则列举所述登录账号与对应的异常类型，生成账号异常检测报告。

本发明提供的技术方案带来的有益效果是：

本发明利用UEBA行为分析技术，结合变电站终端的访问日志，实现对变电站终端访问情况的全面监控，能够及时发现偏离正常登录行为的登录账号，有效识别恶意访问变电站终端的登录账号与登录IP。此外，本发明依托大数据分析技术和机器学习技术，从而进一步识别登录账号的异常类型并进行报警，有利于及时定位异常的登录行为，降低外部恶意访问、越权访问等网络安全风险，防范违规行为。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一实施例提出的基于机器学习的变电站终端账号异常检测方法的流程示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。

应当理解，在本发明的各种实施例中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

应当理解，在本发明中，“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

应当理解，在本发明中，“多个”是指两个或两个以上。“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“包含A、B和C”、“包含A、B、C”是指A、B、C三者都包含，“包含A、B或C”是指包含A、B、C三者之一，“包含A、B和/或C”是指包含A、B、C三者中任1个或任2个或3个。

应当理解，在本发明中，“与A对应的B”、“与A相对应的B”、“A与B相对应”或者“B与A相对应”，表示B与A相关联，根据A可以确定B。根据A确定B并不意味着仅仅根据A确定B，还可以根据A和/或其他信息确定B。A与B的匹配，是A与B的相似度大于或等于预设的阈值。

取决于语境，如在此所使用的“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。

下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。

实施例一

如图1所示，本实施例提出了一种基于机器学习的变电站终端账号异常检测方法，包括：

S1：采集登录账号访问变电站终端产生的访问日志，将访问日志输入训练好的行为分析引擎中，筛选出访问日志中存在异常行为的登录账号；

S2：获取登录账号与登录IP的映射关系，基于所述映射关系识别登录账号的异常类型；

S3：将存在异常行为的登录账号与异常类型的识别结果作为异常检测报告输出。

本实施例基于用户和实体行为分析技术(User and Entity BehaviorAnalytics，UEBA)搭建行为分析引擎，实现对变电站终端访问情况的全面监控，能够及时发现偏离正常登录行为的登录账号，极大降低了异常的登录账号恶意。UEBA技术用于关注人异常行为，行为主体通常是企业内部的员工，基于机器学习算法和统计分析来了解何时与既定模式存在偏差，从而对内部用户的异常行为或内部威胁进行预警。在本实施例中，利用UEBA技术分析访问变电站终端的登录账号的访问行为是否偏离正常访问行为，从而实现及时识别登录账号的异常访问行为。所述行为分析引擎的训练过程包括：

获取登录账号在正常登录变电站终端时生成的第一历史访问日志；

对第一历史访问日志进行特征提取，所提取的特征包括登录账号、变电站终端的登录端口、历史访问时间以及登录账号访问变电站终端时产生的流量数据；

根据提取的特征基于核密度估计(kernel density estimation，KDE)算法训练登录账号的行为基线，直至行为基线达到预设收敛条件时结束训练。KDE算法是在概率论中用来估计未知的密度函数。所述行为基线为根据登录账号的行为概率密度分布函数生成的行为特征曲线，其用来描述某一登录账号在某一历史访问时间下访问变电站某一登录端口的概率，以及账号访问变电站终端时产生的流量数据在某一区间的概率，通过行为特征曲线可以表征登录账号在正常访问时通常登录的变电站终端的登录端口、历史访问时间以及登录账号访问变电站终端时产生的流量数据，由此可见，通过行为基线可以建立登录账号日常访问时登录次数、操作次数、访问次数等维度上的正常登录行为样例，若后续登录账号的登录行为与所述样例偏差过多，则可认为登录账号存在异常的登录行为。本实施例中，所述预设收敛条件为在训练过程中行为基线的调整幅度小于一定限值。

训练好行为分析引擎后，本实施例将实时获取访问变电站终端的登录账号及其对应生成的访问日志，并根据访问日志基于UEBA算法判断登录账号的行为是否与训练好的行为基线偏离过多，具体包括：

对访问日志进行特征提取，所提取的特征包括登录账号、变电站终端的登录端口、访问时间以及登录账号访问变电站终端时产生的流量数据；

根据提取的特征生成实时行为曲线，基于UEBA算法将所述实时行为曲线与登录账号对应的行为基线进行比对，若比对结果的误差超过预设值，则判定所述登录账号存在异常行为。

因为本实施例中利用UEBA技术实现登录账号的访问行为与行为基线的比对，而行为基线是基于历史访问日志通过机器学习算法训练而成的，因此相比于传统检测方法中与各种漏洞提炼出的对照特征进行比对的方式，行为基线能够涵盖更多登录账号的更多异常行为，能够满足更多访问场景中的登录账号行为检测功能，提高了泛化能力。

本实施例结合了访问日志和流量数据，基于登录账号与登录IP之间的对应关系进一步分析登录账号的具体异常原因，以便检测人员及时对登录账号的异常行为进行相应处理。

在本实施例中，所述获取登录账号与登录IP的映射关系，包括：

获取登录账号访问变电站终端时产生的流量数据，基于流量数据的元数据提取出登录账号对应的登录IP，建立所述登录账号与所述登录IP的映射关系。

所述元数据为描述流量数据的数据，其用于描述流量数据类型、存储位置、数据来源等属性信息，基于元数据的描述提取出显示流量数据网络来源的信息，即登录IP，以此建立所述登录账号与所述登录IP的映射关系。

首先，本实施例判断登录账号对应的登录IP是否为常用IP，具体为获取预先保存的白名单，判断所述映射关系中的登录IP是否在白名单中，若不在白名单中，判定所述映射关系中登录账号的异常类型为不常见登录。登录IP通常能够指向不同的登录地点，通过与白名单的比对实现登录地点的分析，实现对登录账号的登录地点是否异常的检测功能。

除了不常见登录的异常检测外，本实施例还能够通过执行S2识别盗号等恶意攻击带来的异常行为，从而及时检测出同账号登录多个IP与同IP登录多个账号两种一对多登录的异常情况。具体检测过程包括：

判断与同一登录账号具有映射关系的登录IP的数量是否超过预设阈值，若超过则判定异常类型为同账号登录多个IP，判断与同一登录IP具有映射关系的登录账号的数量是否超过预设阈值，若超过则判定异常类型为同IP登录多个账号；

若与同一登录账号具有映射关系的登录IP的数量以及与同一登录IP具有映射关系的登录账号的数量均未超过预设阈值，则忽略登录账号的异常行为。

上述过程需要根据经验设置对应的预设阈值，因为在实际远程登录过程中，可能存在多个用户客户端都就具有登录变电站终端权限的情况，因此正常的访问行为也可能存在同一登录账号对应多个登录IP或同一登录IP对应多个登录账号的情况，只有对应的登录账号或登录IP超过了一定阈值才视为异常行为。

最后，本实施例结合S1中登录账号的筛选结果与S2中异常类型的识别结果，判断是否需要生成账号异常检测报告，即判断是否识别出存在异常行为的登录账号对应的异常类型，若没有则忽略登录账号的异常行为，说明目前该登录账号的异常行为可能是正常的登录行为变化；若有，则列举所述登录账号与对应的异常类型，生成账号异常检测报告，以便工作人员及时指定具体的管理策略来处理异常的登录账号。

实施例二

实施例二与实施例一的区别在于，在执行S2进行异常类型的分类分析时采用机器学习模型实现，具体包括：

分别获取同账号登录多个IP和同IP登录多个账号两种异常登录时变电站终端产生的第二历史访问日志；

获取第二历史访问日志中历史登录账号与历史登录IP之间的历史映射关系作为训练样本，根据所述训练对机器学习模型进行训练；

将登录账号和登录IP的映射关系输入训练好的机器学习模型中判断映射关系的异常类型。

本实施例中，所述机器学习模型为支持向量机(Support Vector Machine,SVM)，SVM模型是一类按监督学习方式对数据进行二元分类的广义线性分类器，其决策边界是对学习样本求解的最大边距超平面，其训练过程包括：

在训练样本中标记出同账号登录多个IP的映射关系和同IP登录多个账号的历史映射关系，通过训练支持向量机中的参数使其能够识别训练样本中各个历史映射关系的异常类型，若识别结果与训练样本的标记的误差率满足一定条件，则结束训练。

在将具有映射关系的登录账号和登录IP输入训练好的机器学习模型中后，机器学习模型能够判断输入的映射关系是否属于同账号登录多个IP或同IP登录多个账号，若既不属于同账号登录多个IP也不属于同IP登录多个账号，则忽略登录账号的异常行为。

通过支持向量机对登录账号与登录IP的映射关系进行分类，判断其异常类型为同账号登录多个IP还是同IP登录多个账号。与实施例一相比，采用机器学习模型无需再设置一定阈值进行比较，能够在一定程度上降低因阈值设置不当而造成异常类型判断不准确的主观影响。

上述实施例中的各个序号仅仅为了描述，不代表各部件的组装或使用过程中的先后顺序。

以上所述仅为本发明的实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (6)

1.基于机器学习的变电站终端账号异常检测方法，其特征在于，包括：

采集登录账号访问变电站终端产生的访问日志，将访问日志输入训练好的行为分析引擎中，筛选出访问日志中存在异常行为的登录账号；

获取登录账号与登录IP的映射关系，基于所述映射关系识别登录账号的异常类型；

结合存在异常行为的登录账号与异常类型的识别结果，生成变电站终端的账号异常检测结果；

所述基于所述映射关系识别登录账号的异常类型，包括：

获取预先保存的白名单，判断所述映射关系中的登录IP是否在白名单中，若不在白名单中，判定所述映射关系中登录账号的异常类型为不常见登录；

若在白名单中，判断与同一登录账号具有映射关系的登录IP的数量是否超过预设阈值，若超过则判定异常类型为同账号登录多个IP，判断与同一登录IP具有映射关系的登录账号的数量是否超过预设阈值，若超过则判定异常类型为同IP登录多个账号；

若与同一登录账号具有映射关系的登录IP的数量以及与同一登录IP具有映射关系的登录账号的数量均未超过预设阈值，则忽略登录账号的异常行为；

所述基于所述映射关系识别登录账号的异常类型，还包括：

分别获取同账号登录多个IP和同IP登录多个账号两种异常登录时变电站终端产生的第二历史访问日志；

获取第二历史访问日志中历史登录账号与历史登录IP之间的历史映射关系作为训练样本，根据所述训练对机器学习模型进行训练；

获取预先保存的白名单，判断所述映射关系中的登录IP是否在白名单中，若不在白名单中，判定所述映射关系中登录账号的异常类型为不常见登录；

若在白名单中，将登录账号和登录IP的映射关系输入训练好的机器学习模型中判断映射关系的异常类型。

2.根据权利要求1所述的基于机器学习的变电站终端账号异常检测方法，其特征在于，所述行为分析引擎的训练过程包括：

获取登录账号在正常登录变电站终端时生成的第一历史访问日志；

对第一历史访问日志进行特征提取，所提取的特征包括登录账号、变电站终端的登录端口、历史访问时间以及登录账号访问变电站终端时产生的流量数据；

根据提取的特征基于KDE算法训练登录账号的行为基线，直至行为基线达到预设收敛条件时结束训练。

3.根据权利要求2所述的基于机器学习的变电站终端账号异常检测方法，其特征在于，所述行为基线为根据登录账号的行为概率密度分布函数生成的行为特征曲线。

4.根据权利要求2所述的基于机器学习的变电站终端账号异常检测方法，其特征在于，所述将访问日志输入训练好的行为分析引擎中，筛选出访问日志中存在异常行为的登录账号，包括：

对访问日志进行特征提取，所提取的特征包括登录账号、变电站终端的登录端口、访问时间以及登录账号访问变电站终端时产生的流量数据；

根据提取的特征生成实时行为曲线，基于UEBA算法将所述实时行为曲线与登录账号对应的行为基线进行比对，若比对结果的误差超过预设值，则判定所述登录账号存在异常行为。

5.根据权利要求1所述的基于机器学习的变电站终端账号异常检测方法，其特征在于，所述获取登录账号与登录IP的映射关系，包括：

获取登录账号访问变电站终端时产生的流量数据，基于流量数据的元数据提取出登录账号对应的登录IP，建立所述登录账号与所述登录IP的映射关系。

6.根据权利要求1所述的基于机器学习的变电站终端账号异常检测方法，其特征在于，所述结合存在异常行为的登录账号与异常类型的识别结果，生成变电站终端的账号异常检测结果，包括：

判断是否识别出存在异常行为的登录账号对应的异常类型，若没有则忽略登录账号的异常行为；

若有，则列举所述登录账号与对应的异常类型，生成账号异常检测报告。