CN115412450B - 一种面向溯源图的多电力终端协同行为检测方法及装置 - Google Patents

一种面向溯源图的多电力终端协同行为检测方法及装置 Download PDF

Info

Publication number
CN115412450B
CN115412450B CN202211341886.7A CN202211341886A CN115412450B CN 115412450 B CN115412450 B CN 115412450B CN 202211341886 A CN202211341886 A CN 202211341886A CN 115412450 B CN115412450 B CN 115412450B
Authority
CN
China
Prior art keywords
power terminal
tree
representing
graph
sub
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211341886.7A
Other languages
English (en)
Other versions
CN115412450A (zh
Inventor
魏兴慎
周剑
犹锋
杨维永
高鹏
曹永健
吴超
张浩天
田秋涵
刘苇
王晔
祁龙云
黄天明
唐亚东
马增洲
朱溢铭
刘剑
张付存
刘行
屠正伟
顾一凡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nari Information and Communication Technology Co
Original Assignee
Nari Information and Communication Technology Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nari Information and Communication Technology Co filed Critical Nari Information and Communication Technology Co
Priority to CN202211341886.7A priority Critical patent/CN115412450B/zh
Publication of CN115412450A publication Critical patent/CN115412450A/zh
Application granted granted Critical
Publication of CN115412450B publication Critical patent/CN115412450B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种面向溯源图的多电力终端协同行为检测方法及装置,通过在电力终端设备上学习系统和应用软件的行为,构建行为事件图,由行为事件图组成电力终端设备的溯源图,并通过简化的表示,形成草图的向量表示,在云端采用多终端学习的方法,进行电力终端设备状态分析,通过端‑云协同,实现模型自动更新。本发明通过构建电力终端的进程行为向量,并采用多终端协同训练,能够极大的缩短模型的学习时间和成本,基于图和行为向量可有效的识别出电力设备异常行为,保证设备的安全性。

Description

一种面向溯源图的多电力终端协同行为检测方法及装置
技术领域
本发明涉及一种面向溯源图的多电力终端协同行为检测方法及装置,属于信息安全技术领域。
背景技术
目前,网络攻击的特性为多样性、新颖性,导致电力系统终端设备面对网络攻击检测难度大、误报率高和成本高,这样就影响到电力系统终端设备的安全,同时也影响到电力系统的安全。
对于电力终端设备的网络安全防护主要手段是将设备置于隔离网或者加强口令复杂度等方法来提升联网设备的网络安全,但这些方法会影响用户的使用体验,并不能很好地满足用户需求,同时放置于隔离环境中并不能真正保证安全,反而可能因为安全防护意识薄弱,造成本体防护手段不足。仅使用规则对电力终端设备进行安全监测的方法,通常因为规则设置严格而造成规则的误报率太多,或者由于规则设置宽松造成漏报。
APPARMOR等安全软件可以学习电力终端中软件的行为,并将行为以规则的形式保存起来,但由于其学习的访问规则只有主体对客体的操作,无法将该操作的行为与前后行为关联起来,即只针对行为而不是行为序列进行学习,因此安全检测能力有限。另外,一些安全软件可以针对行为序列进行检测,但是由于行为序列比单个行为更为复杂,因此需要更长的学习时间才能保证模型可用。
另一方面,由于多核CPU、并行计算、操作系统并发等技术的应用,往往基于行为序列的检测模型对系统真实的可变运行状态无法准确描述,造成误报率高。
因此,本领域技术人员急需要解决针对电力终端中行为进行安全监测时,遇到的基于规则的单个行为检测误报率高、基于行为序列的异常检测模型训练时间、误报率较高的技术问题。
发明内容
目的:为了克服现有技术中存在的不足,本发明提供一种面向溯源图的多电力终端协同行为检测方法及装置。
技术方案:为解决上述技术问题,本发明采用的技术方案为:
第一方面,一种面向溯源图的多电力终端协同行为检测方法,包括如下步骤:
步骤1:获取电力终端的事件,根据事件组成行为事件图,将电力终端所有行为事件图按边出现的时间的顺序进行排序,获得电力终端的溯源图。
步骤2:对电力终端的溯源图采用改进图同构子树核方法进行简化和表示,得到电力终端的草图。
步骤3:对电力终端的草图中所有的子树进行排序,选出最新变动的k个子树,计算排序后k个子树的散列值,将k个子树的散列值组成电力终端的当前状态的向量
Figure DEST_PATH_IMAGE002
步骤4:当电力终端每采集至k个事件,则根据电力终端的当前状态的向量
Figure 591315DEST_PATH_IMAGE002
,计算电力终端的更新后状态的向量
Figure 711586DEST_PATH_IMAGE002
,将n个电力终端的更新后状态的向量
Figure 849307DEST_PATH_IMAGE002
作为状态转移的变化描述的矩阵,记作状态量
Figure DEST_PATH_IMAGE004
,并将状态量
Figure 265507DEST_PATH_IMAGE004
发送到云端。
步骤5:云端在得到所有电力终端的状态量
Figure 488678DEST_PATH_IMAGE004
后,对所有电力终端的状态量
Figure 960110DEST_PATH_IMAGE004
进行聚类,根据簇的数量,得到所有电力终端的状态量
Figure 952337DEST_PATH_IMAGE004
的关键参数,云端将关键参数发送到各个电力终端上,并在电力终端保存。
步骤6:电力终端继续采集事件,直到计算出新的状态量
Figure 834711DEST_PATH_IMAGE004
,计算新的状态量
Figure 341916DEST_PATH_IMAGE004
中当前状态的向量与簇中心点的距离,判断是否超过了对应半径,根据判断结果,获得电力终端当前状态。
作为优选方案,还包括:步骤7:当电力终端发现异常上报到云端后,云端人工确认为正常行为,则云端向提交该异常的电力终端发送命令,采集本次误报对应的新的状态量
Figure 351460DEST_PATH_IMAGE004
,保存新的状态量
Figure 198194DEST_PATH_IMAGE004
,重新计算所有电力终端聚类的簇,以及关键参数,并将重新计算的关键参数向发现异常的电力终端下发。
作为优选方案,所述行为事件图采用
Figure DEST_PATH_IMAGE006
表示,
Figure DEST_PATH_IMAGE008
表示节点的集合, 对于任意的节点
Figure DEST_PATH_IMAGE010
,节点
Figure DEST_PATH_IMAGE012
关键属性的取值
Figure DEST_PATH_IMAGE014
;其中,
Figure 100002_DEST_PATH_IMAGE016
表示进程名称,
Figure DEST_PATH_IMAGE018
表示文件的路径,
Figure DEST_PATH_IMAGE020
表示端口,
Figure DEST_PATH_IMAGE022
表示外联的IP地址。
对于任意的边
Figure DEST_PATH_IMAGE024
表示边的集合,边
Figure DEST_PATH_IMAGE026
包含的属性为
Figure 100002_DEST_PATH_IMAGE028
表示读、写、开放、连接、创建,
Figure 100002_DEST_PATH_IMAGE030
表示边出现的时间,
Figure 100002_DEST_PATH_IMAGE032
表示边出现最新更新的时间。
作为优选方案,所述步骤2,包括:
对电力终端的溯源图按时间优先遍历方法进行遍历,以每个节点为树的根,迭代r轮,生成高度为r的子树,迭代结束后,生成
Figure 100002_DEST_PATH_IMAGE034
个子树,以及对应的
Figure 554265DEST_PATH_IMAGE034
个字符串
Figure 100002_DEST_PATH_IMAGE036
Figure 955290DEST_PATH_IMAGE034
个子树,以及对应的
Figure 519258DEST_PATH_IMAGE034
个字符串组成电力终端的草图,
Figure 220498DEST_PATH_IMAGE034
表示根节点
Figure 460986DEST_PATH_IMAGE012
的子树。
作为优选方案,所述字符串
Figure 677204DEST_PATH_IMAGE036
计算公式如下:
Figure DEST_PATH_IMAGE038
)
其中,
Figure 746660DEST_PATH_IMAGE036
表示使用字符串序列表示的子树核;函数
Figure DEST_PATH_IMAGE040
表示将上一轮的子树核基础上,拼接新的邻居节点的边和节点信息,Sort方法表示根据边的两个时间属性排序,决定新的邻居节点的边和节点信息的拼接顺序。
Figure DEST_PATH_IMAGE042
表示邻居节点,
Figure 240089DEST_PATH_IMAGE034
表示根节点
Figure 402211DEST_PATH_IMAGE012
的子树,
Figure DEST_PATH_IMAGE044
表示边
Figure 777829DEST_PATH_IMAGE026
出现最新更新的时间,
Figure DEST_PATH_IMAGE046
表示边
Figure 650976DEST_PATH_IMAGE026
出现的时间。
作为优选方案,所述步骤3,包括:
针对每个子树的
Figure 123546DEST_PATH_IMAGE036
,获取每个子树所有边的
Figure 705837DEST_PATH_IMAGE032
时间的最大值,代表子树的最近更新时间,用
Figure DEST_PATH_IMAGE048
表示。
根据
Figure 568750DEST_PATH_IMAGE048
逆序排序,选择
Figure DEST_PATH_IMAGE050
个最新的子树
Figure DEST_PATH_IMAGE052
Figure DEST_PATH_IMAGE054
,根据
Figure 419157DEST_PATH_IMAGE052
使用HistoSketch算法,计算k个子树的散列值,并按照该顺序将k个子树的散列值组成电力终端的当前状态的向量
Figure 464342DEST_PATH_IMAGE002
作为优选方案,所述k=20,n=2000。
作为优选方案,所述关键参数如下:
Figure DEST_PATH_IMAGE056
,其中,
Figure DEST_PATH_IMAGE058
其中:
Figure DEST_PATH_IMAGE060
表示第i个簇的参数,
Figure DEST_PATH_IMAGE062
表示中心点的坐标,
Figure DEST_PATH_IMAGE064
表示簇的半径,
Figure DEST_PATH_IMAGE066
表示簇的数量。
作为优选方案,所述步骤5,包括:
如果关键参数
Figure 250158DEST_PATH_IMAGE060
Figure 380794DEST_PATH_IMAGE062
包含某个电力终端的任何一个状态向量,则
Figure 877634DEST_PATH_IMAGE060
的信息将发送到某个电力终端上,否则,
Figure 528058DEST_PATH_IMAGE060
的信息将不发送到某电力终端上。
作为优选方案,所述步骤6,包括:
根据新的状态量A与云端下发的z个簇中心点
Figure 248890DEST_PATH_IMAGE062
的距离,判断是否超过了对应半径
Figure 351975DEST_PATH_IMAGE064
如果没有超过对应的半径,则认为当前状态的向量S包含在其中某个簇中,所以电力终端当前状态为正常状态,系统的行为属于正常行为。
如果超过了对应的半径,则认为当前状态的向量S不在任何簇中,所以电力终端当前状态为恶意行为,电力终端需上报向量S对应的子树信息到云端,上报的内容包含对应子树的字符串表示
Figure 137660DEST_PATH_IMAGE052
第二方面,一种面向溯源图的多电力终端协同行为检测装置,包括如下模块:
溯源图构建模块,用于获取电力终端的事件,根据事件组成行为事件图,将电力终端所有行为事件图按边出现的时间的顺序进行排序,获得电力终端的溯源图。
草图构建模块,用于对电力终端的溯源图采用改进图同构子树核方法进行简化和表示,得到电力终端的草图。
散列值计算模块,用于对电力终端的草图中所有的子树进行排序,选出最新变动的k个子树,计算排序后k个子树的散列值,将k个子树的散列值组成电力终端的当前状态的向量
Figure 908169DEST_PATH_IMAGE002
状态量计算模块,用于当电力终端每采集至k个事件,则根据电力终端的当前状态的向量
Figure 3164DEST_PATH_IMAGE002
,计算电力终端的更新后状态的向量
Figure 593546DEST_PATH_IMAGE002
,将n个电力终端的更新后状态的向量
Figure 681456DEST_PATH_IMAGE002
作为状态转移的变化描述的矩阵,记作状态量
Figure 40893DEST_PATH_IMAGE004
,并将状态量
Figure 306790DEST_PATH_IMAGE004
发送到云端。
关键参数计算模块,用于云端在得到所有电力终端的状态量
Figure 384467DEST_PATH_IMAGE004
后,对所有电力终端的状态量
Figure 511954DEST_PATH_IMAGE004
进行聚类,根据簇的数量,得到所有电力终端的状态量
Figure 991477DEST_PATH_IMAGE004
的关键参数,云端将关键参数发送到各个电力终端上,并在电力终端保存。
状态判断模块,用于电力终端继续采集事件,直到计算出新的状态量
Figure 428275DEST_PATH_IMAGE004
,计算新的状态量
Figure 993248DEST_PATH_IMAGE004
中当前状态的向量与簇中心点的距离,判断是否超过了对应半径,根据判断结果,获得电力终端当前状态。
作为优选方案,还包括:异常检测模型更新模块,用于当电力终端发现异常上报到云端后,云端人工确认为正常行为,则云端向提交该异常的电力终端发送命令,采集本次误报对应的新的状态量
Figure 970432DEST_PATH_IMAGE004
,保存新的状态量
Figure 553729DEST_PATH_IMAGE004
,重新计算所有电力终端聚类的簇,以及关键参数,并将重新计算的关键参数向发现异常的电力终端下发。
作为优选方案,所述行为事件图采用
Figure 161427DEST_PATH_IMAGE006
表示,
Figure 213697DEST_PATH_IMAGE008
表示节点的集合, 对于任意的节点
Figure 932254DEST_PATH_IMAGE010
,节点
Figure 883241DEST_PATH_IMAGE012
关键属性的取值
Figure DEST_PATH_IMAGE068
Figure DEST_PATH_IMAGE070
;其中,
Figure 599525DEST_PATH_IMAGE016
表示进程名称,
Figure 388358DEST_PATH_IMAGE018
表示文件的路径,
Figure 707344DEST_PATH_IMAGE020
表示端口,
Figure 15965DEST_PATH_IMAGE022
表示外联的IP地址。
对于任意的边
Figure DEST_PATH_IMAGE072
Figure DEST_PATH_IMAGE074
表示边的集合,边
Figure 653882DEST_PATH_IMAGE026
包含的属性为
Figure DEST_PATH_IMAGE076
Figure DEST_PATH_IMAGE078
表示读、写、开放、连接、创建,
Figure 352848DEST_PATH_IMAGE030
表示边出现的时间,
Figure 662476DEST_PATH_IMAGE032
表示边出现最新更新的时间。
作为优选方案,所述草图构建模块,包括如下功能:
对电力终端的溯源图按时间优先遍历方法进行遍历,以每个节点为树的根,迭代r轮,生成高度为r的子树,迭代结束后,生成
Figure 825604DEST_PATH_IMAGE034
个子树,以及对应的
Figure 211586DEST_PATH_IMAGE034
个字符串
Figure 256902DEST_PATH_IMAGE036
Figure 120953DEST_PATH_IMAGE034
个子树,以及对应的
Figure 154899DEST_PATH_IMAGE034
个字符串组成电力终端的草图,
Figure 446203DEST_PATH_IMAGE034
表示根节点
Figure 182078DEST_PATH_IMAGE012
的子树。
作为优选方案,所述字符串
Figure 849820DEST_PATH_IMAGE036
计算公式如下:
Figure 236808DEST_PATH_IMAGE038
)
其中,
Figure 433434DEST_PATH_IMAGE036
表示使用字符串序列表示的子树核;函数
Figure 656605DEST_PATH_IMAGE040
表示将上一轮的子树核基础上,拼接新的邻居节点的边和节点信息,Sort方法表示根据边的两个时间属性排序,决定新的邻居节点的边和节点信息的拼接顺序。
Figure 862458DEST_PATH_IMAGE042
表示邻居节点,
Figure 605417DEST_PATH_IMAGE034
表示根节点
Figure 300841DEST_PATH_IMAGE012
的子树,
Figure 11308DEST_PATH_IMAGE044
表示边
Figure 755273DEST_PATH_IMAGE026
出现最新更新的时间,
Figure 867585DEST_PATH_IMAGE046
表示边
Figure 920861DEST_PATH_IMAGE026
出现的时间。
作为优选方案,所述散列值计算模块,包括如下功能:
针对每个子树的
Figure 853045DEST_PATH_IMAGE036
,获取每个子树所有边的
Figure 400701DEST_PATH_IMAGE032
时间的最大值,代表子树的最近更新时间,用
Figure 367520DEST_PATH_IMAGE048
表示。
根据
Figure 358741DEST_PATH_IMAGE048
逆序排序,选择
Figure 778221DEST_PATH_IMAGE050
个最新的子树
Figure 129568DEST_PATH_IMAGE052
Figure 950893DEST_PATH_IMAGE054
,根据
Figure 159021DEST_PATH_IMAGE052
使用HistoSketch算法,计算k个子树的散列值,并按照该顺序将k个子树的散列值组成电力终端的当前状态的向量
Figure 518327DEST_PATH_IMAGE002
作为优选方案,所述k=20,n=2000。
作为优选方案,所述关键参数如下:
Figure 407785DEST_PATH_IMAGE056
,其中,
Figure 349196DEST_PATH_IMAGE058
其中:
Figure 682220DEST_PATH_IMAGE060
表示第i个簇的参数,
Figure 873030DEST_PATH_IMAGE062
表示中心点的坐标,
Figure 566179DEST_PATH_IMAGE064
表示簇的半径,
Figure 96518DEST_PATH_IMAGE066
表示簇的数量。
作为优选方案,所述关键参数计算模块,包括如下功能:
如果关键参数
Figure 849710DEST_PATH_IMAGE060
Figure 980346DEST_PATH_IMAGE062
包含某个电力终端的任何一个状态向量,则
Figure 211607DEST_PATH_IMAGE060
的信息将发送到某个电力终端上,否则,
Figure 862031DEST_PATH_IMAGE060
的信息将不发送到某电力终端上。
作为优选方案,所述状态判断模块,包括如下功能:
根据新的状态量A与云端下发的z个簇中心点
Figure 520546DEST_PATH_IMAGE062
的距离,判断是否超过了对应半径
Figure 639943DEST_PATH_IMAGE064
如果没有超过对应的半径,则认为当前状态的向量S包含在其中某个簇中,所以电力终端当前状态为正常状态,系统的行为属于正常行为。
如果超过了对应的半径,则认为当前状态的向量S不在任何簇中,所以电力终端当前状态为恶意行为,电力终端需上报向量S对应的子树信息到云端,上报的内容包含对应子树的字符串表示
Figure 674895DEST_PATH_IMAGE052
有益效果:本发明提供的一种面向溯源图的多电力终端协同行为检测方法及装置,通过在电力终端设备上学习系统和应用软件的行为,构建行为事件图,由行为事件图组成电力终端设备的溯源图,并通过简化的表示,形成草图的向量表示,随后在云端采用多终端学习的方法,极大降低单个终端学习的时长,解决因为学习不充分造成的误报率高的问题,其次通过端-云协同,实现模型自动更新,进一步提高电力终端异常检测的能力,从而有力保障了电力设备的终端安全性。
本发明通过构建电力终端的进程行为向量,并采用多终端协同训练,能够极大的缩短模型的学习时间和成本,基于图和行为向量可有效的识别出电力设备异常行为,保证设备的安全性。
附图说明
图1为本发明的方法流程示意图。
图2为典型的行为事件图。
图3为本发明的装置结构示意图。
具体实施方式
下面结合具体实施例对本发明作更进一步的说明。
如图1所示,第一种实施例一种面向溯源图的多电力终端协同行为检测方法,包括如下步骤:
步骤一,部署在电力终端上的采集探针对电力终端的事件进行采集,然后根据各事件组成行为事件图。将电力终端对应的所有行为事件图按边出现的时间的顺序进行排序,获得电力终端的溯源图。
如图2所示,事件具体采集内容包括:进程的创建,进程对文件的读、写等操作,进程的网络访问,进程开放端口和进程连接IP等。
所述行为事件图采用
Figure 445405DEST_PATH_IMAGE006
表示,
Figure 274820DEST_PATH_IMAGE008
表示节点的集合, 对于任意的节点
Figure 927519DEST_PATH_IMAGE010
,节点
Figure 15429DEST_PATH_IMAGE012
关键属性的取值
Figure 374866DEST_PATH_IMAGE068
Figure 640763DEST_PATH_IMAGE070
;其中,
Figure 452861DEST_PATH_IMAGE016
表示进程名称,
Figure 845927DEST_PATH_IMAGE018
表示文件的路径,
Figure 325450DEST_PATH_IMAGE020
表示端口,
Figure 762248DEST_PATH_IMAGE022
表示外联的IP地址。
对于任意的边
Figure 327221DEST_PATH_IMAGE072
Figure 756934DEST_PATH_IMAGE074
表示边的集合,边
Figure 887701DEST_PATH_IMAGE026
包含的属性为
Figure 495400DEST_PATH_IMAGE076
Figure 547670DEST_PATH_IMAGE078
表示读、写、开放、连接、创建,
Figure 648DEST_PATH_IMAGE030
表示边出现的时间,
Figure 193777DEST_PATH_IMAGE032
表示边出现最新更新的时间,当某条边第一次出现时,
Figure DEST_PATH_IMAGE080
,其中
Figure 441218DEST_PATH_IMAGE030
Figure 980784DEST_PATH_IMAGE032
的值不是事件发生的时间戳,而是事件发现的顺序,在事件采集过程中,将维护一个全局的事件计数器
Figure DEST_PATH_IMAGE082
每当采集到新的事件,
Figure 17879DEST_PATH_IMAGE082
就增长1,将所有事件按边出现的时间的顺序进行排序,获得电力终端的溯源图。事件计数器设计保证了事件的先后关系,同时可以忽略掉系统不相关的时间细节。
步骤二,对生成的电力终端的溯源图采用改进图同构子树核方法进行简化和表示,得到电力终端的草图,所述草图包括
Figure 326501DEST_PATH_IMAGE034
个子树,以及对应的
Figure 276002DEST_PATH_IMAGE034
个字符串
Figure 991280DEST_PATH_IMAGE036
核心的目的是将一个大图的拓扑表示转化为内容相似的图局部结构的字符串序列表示。传统的图同构子树核算法是针对一张无向图,针对每个图中的节点,通过k次迭代遍历,生成一棵高为k的树,遍历方法可以是深度优先方法或者广度优先方法。
本发明中对图同构子树核算法进行改进,确保图同构子树核算法可以保留图中更多的信息。
具体的做法是,在传统的图同构子树核算法的基础上,把深度优先和广度优先的遍历方法改变为需要时间优先遍历方法,同时由于边存在两个时间戳,因此每个边可能被遍历两次。
对电力终端的溯源图按时间优先遍历方法进行遍历,以每个节点为树的根,迭代r轮,生成高度为r的子树,迭代结束后,生成
Figure 113956DEST_PATH_IMAGE034
个子树,以及对应的
Figure 277085DEST_PATH_IMAGE034
个字符串
Figure 397487DEST_PATH_IMAGE036
Figure 911645DEST_PATH_IMAGE034
个子树,以及对应的
Figure 24964DEST_PATH_IMAGE034
个字符串组成电力终端的草图。
遍历的结果是使用字符串拼接的方式,按序拼接成一个字符串,用如下公式表示:
Figure 777019DEST_PATH_IMAGE038
)
其中,
Figure 333902DEST_PATH_IMAGE036
表示由改进的图同构子树核算法经过r轮迭代后,生成的使用字符串序列表示的子树核;函数
Figure 69777DEST_PATH_IMAGE040
表示将上一轮的子树核基础上,拼接新的邻居节点的边和节点信息,Sort方法表示根据边的两个时间属性排序,决定新的邻居节点的边和节点信息的拼接顺序。当以每个节点为树的根,基于改进的图同构子树核算法迭代r轮,生成高度为r的子树,本步骤后共生成
Figure 534256DEST_PATH_IMAGE034
个子树对应的
Figure 360392DEST_PATH_IMAGE034
个字符串。
Figure 884915DEST_PATH_IMAGE042
表示邻居节点,
Figure 108085DEST_PATH_IMAGE034
表示根节点
Figure 313939DEST_PATH_IMAGE012
的子树,
Figure 289854DEST_PATH_IMAGE044
表示边
Figure 188540DEST_PATH_IMAGE026
出现最新更新的时间,
Figure 633428DEST_PATH_IMAGE046
表示边
Figure 642972DEST_PATH_IMAGE026
出现的时间。
步骤三,为了降低计算量,对电力终端的草图中所有的子树进行排序,选出最新变动的k个子树,计算排序后k个子树的散列值,由k个子树的散列值组成电力终端的当前状态的向量表示。
针对每个子树的
Figure 506017DEST_PATH_IMAGE036
,获取每个子树所有边的
Figure 310025DEST_PATH_IMAGE032
时间的最大值,代表子树的最近更新时间,用
Figure 507788DEST_PATH_IMAGE048
表示。
根据
Figure 55444DEST_PATH_IMAGE048
逆序排序,选择
Figure 271531DEST_PATH_IMAGE050
个最新的子树,然后使用HistoSketch算法,计算k个子树的散列值,并按照该顺序将k个子树的散列值组成电力终端的当前状态的向量
Figure 43177DEST_PATH_IMAGE002
排序后子树的散列值
Figure DEST_PATH_IMAGE084
计算公式如下:
Figure DEST_PATH_IMAGE086
Figure DEST_PATH_IMAGE088
其中
Figure 619915DEST_PATH_IMAGE052
表示经过排序后的第
Figure DEST_PATH_IMAGE090
个子树的字符串,该子树以节点
Figure 440103DEST_PATH_IMAGE012
为根;
Figure DEST_PATH_IMAGE092
表示经过排序后的第
Figure 979538DEST_PATH_IMAGE090
个子树的散列值,即节点
Figure 187665DEST_PATH_IMAGE012
在第
Figure DEST_PATH_IMAGE094
轮的改进的图同构子树核算法后,以节点
Figure 563283DEST_PATH_IMAGE012
为根的子树的散列值,
Figure 452741DEST_PATH_IMAGE084
表示第
Figure 144885DEST_PATH_IMAGE090
个排序后子树的散列值,因此电力终端的当前时刻的状态是由k个的数值
Figure 196018DEST_PATH_IMAGE002
表示的,第
Figure 590090DEST_PATH_IMAGE090
个的量就是
Figure 283239DEST_PATH_IMAGE084
由于HistoSketch算法可以保留字符串的相似度,因此子树的字符串表示越相似,则计算的散列值越接近。或者说,如果电力终端的行为类似,则k个的状态量应当很接近。
步骤四,当电力终端每采集至k个事件,则根据电力终端的当前状态的向量
Figure 328425DEST_PATH_IMAGE002
,计算电力终端的更新后状态的向量
Figure 81617DEST_PATH_IMAGE002
,将n个电力终端的更新后状态的向量
Figure 759723DEST_PATH_IMAGE002
作为状态转移的变化描述的矩阵,记作状态量
Figure 990984DEST_PATH_IMAGE004
,并将状态量
Figure 641408DEST_PATH_IMAGE004
发送到云端。
但由于前一次的状态的向量都是排好序的,每次采集仅会影响k个量中的1个,因此只需要对其中的1个子树进行更新,并重新计算该子树的HistoSketch的值,并将该子树的值调整为第1个即可。
为了加快计算效率,本发明采用批量更新的方法,每采集到k个事件,才会更新状态的向量
Figure 316234DEST_PATH_IMAGE002
同时设置k=20,即20次事件更新一次电力终端的状态。
同时,本发明电力终端中保存n=2000个状态的向量
Figure 684899DEST_PATH_IMAGE002
作为状态转移的变化描述的矩阵,记作
Figure 719851DEST_PATH_IMAGE004
(一个k*n大小的二维数组)
Figure DEST_PATH_IMAGE096
,其中
Figure 677312DEST_PATH_IMAGE054
Figure DEST_PATH_IMAGE098
,n代表电力终端状态的向量的数量。
当在电力终端采集事件并计算散列值得到一个完整的
Figure 241148DEST_PATH_IMAGE004
或者当训练时间到了预设值的时间,就将数据发送到云端。如果训练时间没有到预设值的时间,则得到完整的A后,电力终端继续进行采集、训练计算并得到新的状态序列A,继续发送到云端,直至达到训练时间。
步骤五,云端在得到所有电力终端的状态量A后,对所有电力终端的状态量A进行聚类,其中簇的数量z,得到所有电力终端的状态量A的关键参数
Figure 97109DEST_PATH_IMAGE060
Figure 420905DEST_PATH_IMAGE058
,云端将z组关键参数发送到各个电力终端上,并在电力终端保存。
z的取值由轮廓系数法确定,由于轮廓系数法为常用算法,本发明直接使用该方法即可。在确定了聚类的簇的数量并完成聚类后,云端将得到各个聚类的中心节点
Figure 45921DEST_PATH_IMAGE062
、簇的半径
Figure 108555DEST_PATH_IMAGE064
的值。就将z组参数发送到各个电力终端设备上,电力终端保存上述参数,并作为检测参数进行设置。
在所有电力终端的状态量A聚合结束后,得到所有电力终端的状态量A的关键参数
Figure 186233DEST_PATH_IMAGE060
,计算公式如下:
Figure 828567DEST_PATH_IMAGE056
,其中,
Figure 557357DEST_PATH_IMAGE058
其中
Figure 994155DEST_PATH_IMAGE060
表示第i个簇的参数,
Figure 559128DEST_PATH_IMAGE062
表示中心点的坐标,是由k个状态表示的散列值数据,
Figure 473994DEST_PATH_IMAGE064
表示簇的半径,
Figure 836054DEST_PATH_IMAGE066
表示簇的数量。
为了降低电力终端侧在异常检测的计算量,做以下优化。由于不同电力终端上运行的业务应用各有不同,因此并不需要将所有的簇信息都发送到所有的电力终端设备,而是进行筛选,如果关键参数mi中ci包含电力终端x的任何一个状态向量,则mi的信息将发送到电力终端x上,否则,mi的信息将不发送到电力终端x上。
步骤六,电力终端继续采集事件,直到计算出新的状态量
Figure 443753DEST_PATH_IMAGE004
,计算新的状态量
Figure 230444DEST_PATH_IMAGE004
中当前状态的向量
Figure 949001DEST_PATH_IMAGE002
与z个簇中心点
Figure 652384DEST_PATH_IMAGE062
的距离,判断是否超过了对应半径
Figure 430984DEST_PATH_IMAGE064
,根据判断结果,获得电力终端当前状态。
电力终端继续采集事件,计算电力终端的更新后状态的向量
Figure 970549DEST_PATH_IMAGE002
,并缓存在本地,以备后续使用,缓存的数据量最多不超过新的状态量
Figure 492798DEST_PATH_IMAGE004
的大小。根据计算新的状态量A与云端下发的z个簇中心点
Figure 598157DEST_PATH_IMAGE062
的距离,判断是否超过了对应半径
Figure 298391DEST_PATH_IMAGE064
,根据判断结果,获得电力终端当前状态。
如果没有超过对应的半径,则认为在簇i中。当前状态的向量S包含在其中某个簇中,则认为电力终端当前状态为正常状态,系统的行为属于正常行为。
如果超过了对应的半径,则认为不在簇i中。若当前状态的向量S不在任何簇中,则判定电力终端当前状态为恶意行为,电力终端需上报状态S对应的子树信息到云端,上报的内容包含对应子树的字符串表示
Figure 59673DEST_PATH_IMAGE052
通过发送到云端进行聚类,由于多个电力终端同时进行训练,因此可以极大降低训练时间,提高因为训练时间不足造成的误报率高的问题。
步骤七,当电力终端发现异常上报到云端后,云端人工确认为正常行为,则云端向提交该异常的电力终端发送命令,采集本次误报对应的新的状态量A,由于电力终端在步骤六缓存了新的状态量A,因此电力终端能够将异常行为对应的新的状态量A发送到云端。云端首先保存新的状态量A,随后重复步骤五的过程,重新基于轮廓系数法计算聚类的簇。经过重新计算的簇的数量z、每个簇的中心点和半径参数可能与上一轮有不同,因此云端向该电力终端重新下发关键参数,实现电力终端侧异常检测模型的更新。
云端聚合后,将模型参数下发到各个电力终端上,从而对电力终端的检测。同时电力终端发现异常行为,则上报到服务端,如果云端认为是误报,则可以重新训练该模型,并向各个电力终端同步更新检测模型,从而实现检测模型的自动更新。
如图3所示,第二种实施例一种面向溯源图的多电力终端协同行为检测装置,包括如下模块:
溯源图构建模块,用于部署在电力终端上的采集探针对电力终端的事件进行采集,然后根据各事件组成行为事件图。将电力终端对应的所有行为事件图按边出现的时间的顺序进行排序,获得电力终端的溯源图。
草图构建模块,用于对生成的电力终端的溯源图采用改进图同构子树核方法进行简化和表示,得到电力终端的草图,所述草图包括
Figure 385612DEST_PATH_IMAGE034
个子树,以及对应的
Figure 548741DEST_PATH_IMAGE034
个字符串
Figure 918411DEST_PATH_IMAGE036
散列值计算模块,用于为了降低计算量,对电力终端的草图中所有的子树进行排序,选出最新变动的k个子树,计算排序后k个子树的散列值,由k个子树的散列值组成电力终端的当前状态的向量表示。
状态量计算模块,用于当电力终端每采集至k个事件,则根据电力终端的当前状态的向量
Figure 166990DEST_PATH_IMAGE002
,计算电力终端的更新后状态的向量
Figure 31040DEST_PATH_IMAGE002
,将n个电力终端的更新后状态的向量
Figure 48675DEST_PATH_IMAGE002
作为状态转移的变化描述的矩阵,记作状态量
Figure 356291DEST_PATH_IMAGE004
,并将状态量
Figure 92166DEST_PATH_IMAGE004
发送到云端。
关键参数计算模块,用于云端在得到所有电力终端的状态量A后,对所有电力终端的状态量A进行聚类,其中簇的数量z,得到所有电力终端的状态量A的关键参数
Figure 494328DEST_PATH_IMAGE060
Figure 428786DEST_PATH_IMAGE058
,云端将z组关键参数发送到各个电力终端上,并在电力终端保存。
状态判断模块,用于电力终端继续采集事件,直到计算出新的状态量
Figure 156571DEST_PATH_IMAGE004
,计算新的状态量
Figure 363430DEST_PATH_IMAGE004
中当前状态的向量
Figure 834862DEST_PATH_IMAGE002
与z个簇中心点
Figure 827089DEST_PATH_IMAGE062
的距离,判断是否超过了对应半径
Figure 194617DEST_PATH_IMAGE064
,根据判断结果,获得电力终端当前状态。
异常检测模型更新模块,用于当电力终端发现异常上报到云端后,云端人工确认为正常行为,则云端向提交该异常的电力终端发送命令,采集本次误报对应的新的状态量A,由于电力终端在步骤六缓存了新的状态量A,因此电力终端能够将异常行为对应的新的状态量A发送到云端。云端首先保存新的状态量A,随后重复步骤五的过程,重新基于轮廓系数法计算聚类的簇。经过重新计算的簇的数量z、每个簇的中心点和半径参数可能与上一轮有不同,因此云端向该电力终端重新下发关键参数,实现电力终端侧异常检测模型的更新。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (8)

1.一种面向溯源图的多电力终端协同行为检测方法,其特征在于:包括如下步骤:
步骤1:获取电力终端的事件,根据事件组成行为事件图,将电力终端所有行为事件图按边出现的时间的顺序进行排序,获得电力终端的溯源图;
步骤2:对电力终端的溯源图采用改进图同构子树核方法进行简化和表示,得到电力终端的草图;
步骤3:对电力终端的草图中所有的子树进行排序,选出最新变动的k个子树,计算排序 后k个子树的散列值,将k个子树的散列值组成电力终端的当前状态的向量
Figure 971187DEST_PATH_IMAGE001
步骤4:当电力终端每采集至k个数目的事件时,则根据电力终端的当前状态的向量
Figure 525796DEST_PATH_IMAGE001
, 计算电力终端的更新后状态的向量
Figure 143860DEST_PATH_IMAGE001
,将n个电力终端的更新后状态的向量
Figure 742200DEST_PATH_IMAGE001
作为状态转移 的变化描述的矩阵,记作状态量
Figure 711293DEST_PATH_IMAGE002
,并将状态量
Figure 272856DEST_PATH_IMAGE002
发送到云端;
步骤5:云端在得到所有电力终端的状态量
Figure 276584DEST_PATH_IMAGE002
后,对所有电力终端的状态量
Figure 780246DEST_PATH_IMAGE002
进行聚类, 根据簇的数量,得到所有电力终端的状态量
Figure 236635DEST_PATH_IMAGE002
的关键参数,云端将关键参数发送到各个电力 终端上,并在电力终端保存;
步骤6:电力终端继续采集事件,直到计算出新的状态量
Figure 726522DEST_PATH_IMAGE002
,计算新的状态量
Figure 460123DEST_PATH_IMAGE002
中当前状 态的向量与簇中心点的距离,判断是否超过了对应半径,根据判断结果,获得电力终端当前 状态;
所述行为事件图采用
Figure 275633DEST_PATH_IMAGE003
表示,
Figure 343952DEST_PATH_IMAGE004
表示节点的集合, 对于任意的节点
Figure 637530DEST_PATH_IMAGE005
,节点
Figure 960058DEST_PATH_IMAGE006
关键属性的取值
Figure 946468DEST_PATH_IMAGE007
Figure 505013DEST_PATH_IMAGE008
;其中,
Figure 602282DEST_PATH_IMAGE009
表示进程名称,
Figure 44896DEST_PATH_IMAGE010
表示文件的路径,
Figure 202208DEST_PATH_IMAGE011
表示端口,
Figure 854906DEST_PATH_IMAGE012
表 示外联的IP地址;
对于任意的边
Figure 614920DEST_PATH_IMAGE013
Figure 302254DEST_PATH_IMAGE014
表示边的集合,边
Figure 505833DEST_PATH_IMAGE015
包含的属性为
Figure DEST_PATH_IMAGE016
Figure 301620DEST_PATH_IMAGE017
表示 读、写、开放、连接、创建,
Figure 740691DEST_PATH_IMAGE018
表示边出现的时间,
Figure 157897DEST_PATH_IMAGE019
表示边出现最新更新的时间;
所述步骤2,包括:
对电力终端的溯源图按时间优先遍历方法进行遍历,以每个节点为树的根,迭代r轮, 生成高度为r的子树,迭代结束后,生成
Figure 657012DEST_PATH_IMAGE020
个子树,以及对应的
Figure 408936DEST_PATH_IMAGE020
个字符串
Figure 386119DEST_PATH_IMAGE021
Figure 923411DEST_PATH_IMAGE020
个子树,以及对应的
Figure 593427DEST_PATH_IMAGE020
个字符串组成电力终端的草图;
所述字符串
Figure 835577DEST_PATH_IMAGE021
计算公式如下:
Figure 616451DEST_PATH_IMAGE022
)
其中,
Figure 867304DEST_PATH_IMAGE021
表示使用字符串序列表示的子树核;函数
Figure 583587DEST_PATH_IMAGE023
表示将在上一轮的子树核基础 上,拼接新的邻居节点的边和节点信息,Sort方法表示根据边的两个时间属性排序,决定新 的邻居节点的边和节点信息的拼接顺序;
Figure 185469DEST_PATH_IMAGE024
表示邻居节点,
Figure 894668DEST_PATH_IMAGE020
表示根节点
Figure 672131DEST_PATH_IMAGE006
的子树,
Figure 683950DEST_PATH_IMAGE025
表示边
Figure 632183DEST_PATH_IMAGE015
出现最新更新的时间,
Figure 20439DEST_PATH_IMAGE026
表示边
Figure 121250DEST_PATH_IMAGE015
出现的时间,
Figure 303970DEST_PATH_IMAGE027
表示上一轮子树 核,
Figure DEST_PATH_IMAGE028
表示节点
Figure 208341DEST_PATH_IMAGE029
与邻居节点
Figure DEST_PATH_IMAGE030
之间的边
Figure 793431DEST_PATH_IMAGE031
2.根据权利要求1所述的一种面向溯源图的多电力终端协同行为检测方法,其特征在 于:还包括:步骤7:当电力终端发现异常上报到云端后,云端人工确认为正常行为,则云端 向提交该异常的电力终端发送命令,采集本次误报对应的新的状态量
Figure 279907DEST_PATH_IMAGE002
,保存新的状态量
Figure 23741DEST_PATH_IMAGE002
,重新计算所有电力终端聚类的簇,以及关键参数,并将重新计算的关键参数向发现异常的 电力终端下发。
3.根据权利要求1或2所述的一种面向溯源图的多电力终端协同行为检测方法,其特征在于:所述步骤3,包括:
针对每个子树的
Figure 821932DEST_PATH_IMAGE021
,获取每个子树所有边的
Figure 161778DEST_PATH_IMAGE019
时间的最大值,代表子树的最近 更新时间,用
Figure DEST_PATH_IMAGE032
表示;
根据
Figure 627394DEST_PATH_IMAGE032
逆序排序,选择
Figure 542130DEST_PATH_IMAGE033
个最新的子树
Figure DEST_PATH_IMAGE034
Figure 702984DEST_PATH_IMAGE035
,根据
Figure 236733DEST_PATH_IMAGE034
使用 HistoSketch算法,计算k个子树的散列值,并按照该顺序将k个子树的散列值组成电力终端 的当前状态的向量
Figure 415911DEST_PATH_IMAGE001
4.根据权利要求1或2所述的一种面向溯源图的多电力终端协同行为检测方法,其特征在于:所述关键参数如下:
Figure DEST_PATH_IMAGE036
,其中,
Figure 517859DEST_PATH_IMAGE037
其中:
Figure 672067DEST_PATH_IMAGE038
表示第i个簇的参数,
Figure 868562DEST_PATH_IMAGE039
表示中心点的坐标,
Figure 777612DEST_PATH_IMAGE040
表示簇的半径,
Figure 784882DEST_PATH_IMAGE041
表示簇的数量。
5.根据权利要求4所述的一种面向溯源图的多电力终端协同行为检测方法,其特征在于:所述步骤5,包括:
如果关键参数
Figure 513804DEST_PATH_IMAGE038
Figure 513990DEST_PATH_IMAGE039
包含某个电力终端的任何一个状态向量,则
Figure 543126DEST_PATH_IMAGE038
的信息将发送到某 个电力终端上,否则,
Figure 455718DEST_PATH_IMAGE038
的信息将不发送到某电力终端上。
6.根据权利要求4所述的一种面向溯源图的多电力终端协同行为检测方法,其特征在于:所述步骤6,包括:
根据新的状态量A与云端下发的z个簇中心点
Figure 468673DEST_PATH_IMAGE039
的距离,判断是否超过了对应半径
Figure 741392DEST_PATH_IMAGE040
如果没有超过对应的半径,则认为当前状态的向量S包含在其中某个簇中,所以电力终端当前状态为正常状态,系统的行为属于正常行为;
如果超过了对应的半径,则认为当前状态的向量S不在任何簇中,所以电力终端当前状 态为恶意行为,电力终端需上报向量S对应的子树信息到云端,上报的内容包含对应子树的 字符串表示
Figure 625034DEST_PATH_IMAGE034
Figure 708528DEST_PATH_IMAGE034
Figure 677621DEST_PATH_IMAGE033
个最新的子树,
Figure 22539DEST_PATH_IMAGE035
7.一种面向溯源图的多电力终端协同行为检测装置,其特征在于:包括如下模块:
溯源图构建模块,用于获取电力终端的事件,根据事件组成行为事件图,将电力终端所有行为事件图按边出现的时间的顺序进行排序,获得电力终端的溯源图;
草图构建模块,用于对电力终端的溯源图采用改进图同构子树核方法进行简化和表示,得到电力终端的草图;
散列值计算模块,用于对电力终端的草图中所有的子树进行排序,选出最新变动的k个 子树,计算排序后k个子树的散列值,将k个子树的散列值组成电力终端的当前状态的向量
Figure 760688DEST_PATH_IMAGE001
状态量计算模块,用于当电力终端每采集至k个数目的事件时,则根据电力终端的当前 状态的向量
Figure 280662DEST_PATH_IMAGE001
,计算电力终端的更新后状态的向量
Figure 658423DEST_PATH_IMAGE001
,将n个电力终端的更新后状态的向量
Figure 413889DEST_PATH_IMAGE001
作为状态转移的变化描述的矩阵,记作状态量
Figure 147490DEST_PATH_IMAGE002
,并将状态量
Figure 962999DEST_PATH_IMAGE002
发送到云端;
关键参数计算模块,用于云端在得到所有电力终端的状态量
Figure 500160DEST_PATH_IMAGE002
后,对所有电力终端的状 态量
Figure 59317DEST_PATH_IMAGE002
进行聚类,根据簇的数量,得到所有电力终端的状态量
Figure 647424DEST_PATH_IMAGE002
的关键参数,云端将关键参 数发送到各个电力终端上,并在电力终端保存;
状态判断模块,用于电力终端继续采集事件,直到计算出新的状态量
Figure 633835DEST_PATH_IMAGE002
,计算新的状态 量
Figure 189450DEST_PATH_IMAGE002
中当前状态的向量与簇中心点的距离,判断是否超过了对应半径,根据判断结果,获得 电力终端当前状态;
所述行为事件图采用
Figure 286719DEST_PATH_IMAGE003
表示,
Figure 729333DEST_PATH_IMAGE004
表示节点的集合, 对于任意的节点
Figure 886644DEST_PATH_IMAGE005
,节点
Figure 666906DEST_PATH_IMAGE006
关键属性的取值
Figure 567866DEST_PATH_IMAGE007
Figure 130566DEST_PATH_IMAGE008
;其中,
Figure 193200DEST_PATH_IMAGE009
表示进程名称,
Figure 333194DEST_PATH_IMAGE010
表示文件的路径,
Figure 896899DEST_PATH_IMAGE011
表示端口,
Figure 438739DEST_PATH_IMAGE012
表 示外联的IP地址;
对于任意的边
Figure 813220DEST_PATH_IMAGE013
Figure 174931DEST_PATH_IMAGE014
表示边的集合,边
Figure 542327DEST_PATH_IMAGE015
包含的属性为
Figure 204253DEST_PATH_IMAGE016
Figure 749635DEST_PATH_IMAGE017
表示 读、写、开放、连接、创建,
Figure 598642DEST_PATH_IMAGE018
表示边出现的时间,
Figure 379516DEST_PATH_IMAGE019
表示边出现最新更新的时间;
所述草图构建模块,包括:
对电力终端的溯源图按时间优先遍历方法进行遍历,以每个节点为树的根,迭代r轮, 生成高度为r的子树,迭代结束后,生成
Figure 20582DEST_PATH_IMAGE020
个子树,以及对应的
Figure 861499DEST_PATH_IMAGE020
个字符串
Figure 73169DEST_PATH_IMAGE021
Figure 392154DEST_PATH_IMAGE020
个子树,以及对应的
Figure 890656DEST_PATH_IMAGE020
个字符串组成电力终端的草图;
所述字符串
Figure 902475DEST_PATH_IMAGE021
计算公式如下:
Figure 867020DEST_PATH_IMAGE022
)
其中,
Figure 724117DEST_PATH_IMAGE021
表示使用字符串序列表示的子树核;函数
Figure 215141DEST_PATH_IMAGE023
表示将在上一轮的子树核基础 上,拼接新的邻居节点的边和节点信息,Sort方法表示根据边的两个时间属性排序,决定新 的邻居节点的边和节点信息的拼接顺序;
Figure 522495DEST_PATH_IMAGE024
表示邻居节点,
Figure 833391DEST_PATH_IMAGE020
表示根节点
Figure 635124DEST_PATH_IMAGE006
的子树,
Figure 980655DEST_PATH_IMAGE025
表示边
Figure 458910DEST_PATH_IMAGE015
出现最新更新的时间,
Figure 991522DEST_PATH_IMAGE026
表示边
Figure 49477DEST_PATH_IMAGE015
出现的时间,
Figure 249514DEST_PATH_IMAGE027
表示上一轮子树 核,
Figure 649403DEST_PATH_IMAGE028
表示节点
Figure 669311DEST_PATH_IMAGE029
与邻居节点
Figure 342343DEST_PATH_IMAGE030
之间的边
Figure 396887DEST_PATH_IMAGE031
8.根据权利要求7所述的一种面向溯源图的多电力终端协同行为检测装置,其特征在 于:还包括:异常检测模型更新模块,用于当电力终端发现异常上报到云端后,云端人工确 认为正常行为,则云端向提交该异常的电力终端发送命令,采集本次误报对应的新的状态 量
Figure 967677DEST_PATH_IMAGE002
,保存新的状态量
Figure 740460DEST_PATH_IMAGE002
,重新计算所有电力终端聚类的簇,以及关键参数,并将重新计算的 关键参数向发现异常的电力终端下发。
CN202211341886.7A 2022-10-31 2022-10-31 一种面向溯源图的多电力终端协同行为检测方法及装置 Active CN115412450B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211341886.7A CN115412450B (zh) 2022-10-31 2022-10-31 一种面向溯源图的多电力终端协同行为检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211341886.7A CN115412450B (zh) 2022-10-31 2022-10-31 一种面向溯源图的多电力终端协同行为检测方法及装置

Publications (2)

Publication Number Publication Date
CN115412450A CN115412450A (zh) 2022-11-29
CN115412450B true CN115412450B (zh) 2023-02-14

Family

ID=84166968

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211341886.7A Active CN115412450B (zh) 2022-10-31 2022-10-31 一种面向溯源图的多电力终端协同行为检测方法及装置

Country Status (1)

Country Link
CN (1) CN115412450B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112788145A (zh) * 2021-01-21 2021-05-11 中国科学院信息工程研究所 一种基于非嵌入式探针的跨域功能安全异常检测溯源方法
WO2022042070A1 (zh) * 2020-08-27 2022-03-03 广东工业大学 一种非侵入式负荷检测方法
CN114325250A (zh) * 2021-11-16 2022-04-12 国网天津市电力公司电力科学研究院 集成定位检测与图谱检测功能的局部放电检测装置及方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170124464A1 (en) * 2015-10-28 2017-05-04 Fractal Industries, Inc. Rapid predictive analysis of very large data sets using the distributed computational graph
CN111679679B (zh) * 2020-07-06 2023-03-21 哈尔滨工业大学 基于蒙特卡洛树搜索算法的机器人状态规划方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022042070A1 (zh) * 2020-08-27 2022-03-03 广东工业大学 一种非侵入式负荷检测方法
CN112788145A (zh) * 2021-01-21 2021-05-11 中国科学院信息工程研究所 一种基于非嵌入式探针的跨域功能安全异常检测溯源方法
CN114325250A (zh) * 2021-11-16 2022-04-12 国网天津市电力公司电力科学研究院 集成定位检测与图谱检测功能的局部放电检测装置及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
《EdgeKeeper: a trusted edge computing framework for ubiquitous power Internet of Things》;Weiyong YANG;《Frontiers of Information Technology & Electronic Engineering》;20211231;全文 *

Also Published As

Publication number Publication date
CN115412450A (zh) 2022-11-29

Similar Documents

Publication Publication Date Title
CN111935170B (zh) 一种网络异常流量检测方法、装置及设备
CN111191767B (zh) 一种基于向量化的恶意流量攻击类型的判断方法
CN109218304B (zh) 一种基于攻击图和协同进化的网络风险阻断方法
WO2022247955A1 (zh) 非正常账号识别方法、装置、设备和存储介质
CN111131304A (zh) 面向云平台大规模虚拟机细粒度异常行为检测方法和系统
CN113992349B (zh) 恶意流量识别方法、装置、设备和存储介质
CN112487033A (zh) 一种面向数据流及构建网络拓扑的业务可视化方法及系统
CN109672554A (zh) 确定故障根因的方法及装置
CN115277113A (zh) 一种基于集成学习的电网网络入侵事件检测识别方法
CN109660396A (zh) 一种网络监控方法及装置
WO2024088025A1 (zh) 一种基于多维数据的5gc网元自动化纳管方法及装置
CN114385403A (zh) 基于双层知识图谱架构的分布式协同故障诊断方法
CN115412450B (zh) 一种面向溯源图的多电力终端协同行为检测方法及装置
CN114363212A (zh) 一种设备检测方法、装置、设备和存储介质
CN117596119A (zh) 一种基于snmp协议的设备数据采集与监控方法及系统
CN104881436B (zh) 一种基于大数据的电力通信设备性能分析方法及装置
CN113343123A (zh) 一种生成对抗多关系图网络的训练方法和检测方法
Qi Computer Real-Time Location Forensics Method for Network Intrusion Crimes.
CN113746780A (zh) 基于主机画像的异常主机检测方法、装置、介质和设备
CN115065539B (zh) 数据安全监测方法、装置、设备及存储介质
CN108366048B (zh) 一种基于无监督学习的网络入侵检测方法
CN116155581A (zh) 一种基于图神经网络的网络入侵检测方法与装置
CN115643108A (zh) 面向工业互联网边缘计算平台安全评估方法、系统及产品
CN115293236A (zh) 一种基于混合聚类的电力设备并行故障诊断方法及装置
CN111209158B (zh) 服务器集群的挖矿监控方法及集群监控系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant