CN115913699A - 配电网横向访问检测方法、装置、计算机设备和存储介质 - Google Patents
配电网横向访问检测方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN115913699A CN115913699A CN202211410825.1A CN202211410825A CN115913699A CN 115913699 A CN115913699 A CN 115913699A CN 202211410825 A CN202211410825 A CN 202211410825A CN 115913699 A CN115913699 A CN 115913699A
- Authority
- CN
- China
- Prior art keywords
- power distribution
- detected
- target
- distribution equipment
- distance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000009826 distribution Methods 0.000 title claims abstract description 284
- 238000001514 detection method Methods 0.000 title claims abstract description 44
- 239000000203 mixture Substances 0.000 claims abstract description 102
- 238000000034 method Methods 0.000 claims abstract description 39
- 238000004590 computer program Methods 0.000 claims abstract description 24
- 238000012549 training Methods 0.000 claims abstract description 17
- 238000004891 communication Methods 0.000 claims description 93
- 230000006399 behavior Effects 0.000 claims description 39
- 238000010586 diagram Methods 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000013178 mathematical model Methods 0.000 description 3
- 238000005192 partition Methods 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000000638 solvent extraction Methods 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及一种配电网横向访问检测方法、装置、计算机设备、存储介质和计算机程序产品。通过基于多个合格访问的配电设备和目标配电设备的距离确定历史合格访问数据集,基于历史合格访问数据集训练目标高斯混合模型,确定待检测配电设备的第一位置信息和需要访问的目标配电设备的第二位置信息之间的待检测距离,将待检测距离输入目标高斯混合模型,基于目标高斯混合模型输出的待检测距离与决策边界的比较结果、第一位置信息和第二位置信息确定待检测配电设备是否合格访问。相较于传统的通过人工排查的方式进行横向访问检测,本方案基于访问与被访问设备间的距离以及高斯混合模型的决策边界进行横向访问检测,提高了检测效率。
Description
技术领域
本申请涉及电力技术领域,特别是涉及一种配电网横向访问检测方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
随着电力技术的发展,电力成为了维持人们生活的主要能源,为保证电力正常供应,需要对配电网中的配电终端的安全进行维护,配电终端侧遭受就地攻击或配电终端被黑客控制后,会进而攻击其他配电终端或者其他配网节点,形成配电终端之间攻击或者配网节点之间攻击的网络行为。该网络行为影响范围大,危害极大,严重可引起大规模配电设备大规模故障。因此,需要使用现有网络技术,进行非法横向网络行为进行检测,进而采取有效的反制手段。目前对配电网中的横向访问检测的方式通常是通过人工排查的方式进行。然而,通过人工排查方式难以快速确定违规访问行为的发生。
因此,目前对配电网的横向访问检测方法存在检测效率低的缺陷。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高检测效率的配电网横向访问检测方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种配电网横向访问检测方法,所述方法包括:
获取待检测配电设备的第一位置信息与目标配电设备的第二位置信息;所述目标配电设备表征所述待检测配电设备需要访问的配电设备;
根据所述第一位置信息和所述第二位置信息确定所述待检测配电设备和所述目标配电设备的待检测距离;
将所述待检测距离输入目标高斯混合模型,由所述目标高斯混合模型输出所述待检测距离与决策边界的比较结果,根据所述比较结果、所述第一位置信息和所述第二位置信息,确定所述待检测配电设备与所述目标配电设备是否为合格访问行为;所述决策边界表征合格访问行为和非合格访问行为的判断条件且与所述目标高斯混合模型对应;所述目标高斯混合模型基于历史合格访问数据集训练得到;所述历史合格访问数据集包括多个合格访问的配电设备与所述目标配电设备的距离样本。
在其中一个实施例中,所述获取待检测配电设备的第一位置信息与目标配电设备的第二位置信息,包括:
根据所述待检测配电设备的第一IP地址,确定所述第一位置信息;
根据所述目标配电设备的第二IP地址,确定所述第二位置信息。
在其中一个实施例中,所述根据所述第一位置信息和所述第二位置信息确定所述待检测配电设备和所述目标配电设备的待检测距离,包括:
根据所述第一IP地址和所述第二IP地址的距离,作为所述待检测配电设备和所述目标配电设备的待检测距离。
在其中一个实施例中,所述方法还包括:
获取历史预设时间段内的多个合格访问的配电设备与所述目标配电设备的距离样本,根据得到的多个距离样本构建历史合格访问数据集;
将所述历史合格访问数据集输入待训练高斯混合模型,基于期望最大算法和所述历史合格访问数据集,对待训练高斯混合模型进行决策边界拟合,得到拟合完成的目标模型参数;
根据所述目标模型参数确定目标高斯混合模型,并根据所述目标高斯混合模型得到所述决策边界。
在其中一个实施例中,所述目标高斯混合模型包括决策坐标系;所述决策边界在所述决策坐标系中;
所述将所述待检测距离输入目标高斯混合模型,由所述目标高斯混合模型输出所述待检测距离与决策边界的比较结果,包括:
将所述待检测距离输入目标高斯混合模型,由所述目标高斯混合模型在检测所述待检测距离存在于非基线坐标区域中时,输出比较结果为非基线通信;所述非基线坐标区域为所述决策坐标系中基线坐标区域外的区域,所述基线坐标区域基于所述决策边界与所述决策坐标系的坐标轴得到。
在其中一个实施例中,所述根据所述比较结果、所述第一位置信息和所述第二位置信息,确定所述待检测配电设备与所述目标配电设备是否为合格访问行为,包括:
若所述比较结果为非基线通信,且所述第一位置信息和所述第二位置信息为相同配电网中的位置信息,确定所述待检测配电设备与所述目标配电设备为非合格访问行为。
第二方面,本申请提供了一种配电网横向访问检测装置,所述装置包括:
获取模块,用于获取待检测配电设备的第一位置信息与目标配电设备的第二位置信息;所述目标配电设备表征所述待检测配电设备需要访问的配电设备;
确定模块,用于根据所述第一位置信息和所述第二位置信息确定所述待检测配电设备和所述目标配电设备的待检测距离;
检测模块,用于将所述待检测距离输入目标高斯混合模型,由所述目标高斯混合模型输出所述待检测距离与决策边界的比较结果,根据所述比较结果、所述第一位置信息和所述第二位置信息,确定所述待检测配电设备与所述目标配电设备是否为合格访问行为;所述决策边界表征合格访问行为和非合格访问行为的判断条件且与所述目标高斯混合模型对应;所述目标高斯混合模型基于历史合格访问数据集训练得到;所述历史合格访问数据集包括多个合格访问的配电设备与所述目标配电设备的距离样本。
第三方面,本申请提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述的方法的步骤。
第四方面,本申请提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法的步骤。
第五方面,本申请提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述的方法的步骤。
上述配电网横向访问检测方法、装置、计算机设备、存储介质和计算机程序产品,通过基于多个合格访问的配电设备和目标配电设备的距离确定历史合格访问数据集,基于历史合格访问数据集训练目标高斯混合模型,确定待检测配电设备的第一位置信息和需要访问的目标配电设备的第二位置信息之间的待检测距离,将待检测距离输入目标高斯混合模型,基于目标高斯混合模型输出的待检测距离与决策边界的比较结果、第一位置信息和第二位置信息确定待检测配电设备是否合格访问。相较于传统的通过人工排查的方式进行横向访问检测,本方案基于访问与被访问设备间的距离以及高斯混合模型的决策边界进行横向访问检测,提高了检测效率。
附图说明
图1为一个实施例中配电网横向访问检测方法的应用环境图;
图2为一个实施例中配电网横向访问检测方法的流程示意图;
图3为一个实施例中模型训练识别步骤的流程示意图;
图4为另一个实施例中配电网横向访问检测方法的流程示意图;
图5为又一个实施例中配电网横向访问检测方法的流程示意图;
图6为一个实施例中配电网横向访问检测装置的结构框图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的配电网横向访问检测方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与配电网104进行通信。终端102可以从配电网中获取各个节点的历史合格访问数据集,并训练得到各个目标配电设备对应的目标高斯混合模型,从而终端可以基于目标高斯混合模型对访问对应目标配电设备的待检测配电设备进行是否合格访问的检测。其中,终端102可以但不限于是各种个人计算机、笔记本电脑。配电网104可以包括多个配电设备。
在一个实施例中,如图2所示,提供了一种配电网横向访问检测方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
步骤S202,获取待检测配电设备的第一位置信息与目标配电设备的第二位置信息;目标配电设备表征待检测配电设备需要访问的配电设备。
其中,目标配电设备可以是一个配电网中的配电设备,待检测配电设备可以是需要访问上述目标配电设备的配电设备。其中,存在多个地区的配电网,上述待检测配电设备可以与目标配电设备部署于同一配电网,也可以部署于不同的配电网。在待检测配电设备访问目标配电设备时,需要基于访问流量对待检测配电设备是否为合格访问进行检测,待检测配电设备与目标配电设备之间可以形成访问关系。终端可以按照预设周期进行检测,例如每隔半小时采样一次,或对选定时间段内采集的访问关系进行是否合格的检测。检测时,终端可以获取待检测配电设备的第一位置信息,以及获取目标配电设备的第二位置信息。例如,在一些实施例中,终端可以获取待检测配电设备的第一IP地址,并根据该第一IP地址确定第一位置信息,作为待检测配电设备的位置信息;终端还可以获取目标配电设备的第二IP地址,并根据该第二IP地址确定第二位置信息,作为目标配电设备的位置信息。
步骤S204,根据第一位置信息和第二位置信息确定待检测配电设备和目标配电设备的待检测距离。
其中,终端确定待检测配电设备和目标配电设备各自对应的位置信息后,可以基于位置信息确定待检测配电设备和目标配电设备之间的待检测距离。其中,上述第一位置信息和第二位置信息可以根据IP地址确定,则上述第一位置信息和第二位置信息之间的距离可以是IP地址之间的距离。终端基于上述第一位置信息和第二位置信息确定待检测距离后,可以根据待检测配电设备的第一位置信息和目标配电设备的第二位置信息构建通信二元组,通过该通信二元组表示上述目标配电设备与待检测配电设备的距离。
步骤S206,将待检测距离输入目标高斯混合模型,由目标高斯混合模型输出待检测距离与决策边界的比较结果,根据比较结果、第一位置信息和第二位置信息,确定待检测配电设备与目标配电设备是否为合格访问行为;决策边界表征合格访问行为和非合格访问行为的边界;目标高斯混合模型基于历史合格访问数据集训练得到;历史合格访问数据集包括多个合格访问的配电设备与目标配电设备的距离样本。
其中,终端可以预先训练出目标高斯混合模型,例如终端可以首先获取多个为合格访问的配电设备与目标配电设备的距离样本,从而终端可以得到多个距离,每个距离可以以通信二元组的方式表示,终端可以根据得到的多个通信二元组构建历史合格访问数据集。并且终端还可以基于历史合格访问数据集训练得到目标高斯混合模型。目标高斯混合模型可以是K个高斯分布的组合,用以拟合复杂数据。从而终端可以利用上述待训练高斯混合模型对历史合格访问数据集中的各个数据进行拟合,得到包含决策边界的目标高斯混合模型。从而终端可以将上述待检测距离输入目标高斯混合模型,由目标高斯混合模型将上述待检测距离与目标高斯混合模型中的决策边界进行比较,并输出比较结果。终端可以根据该比较结果、上述第一位置信息和第二位置信息,确定待检测配电设备和目标配电设备是否为合格访问行为。其中,上述决策边界可以是用于判断合格访问行为和非合格访问行为的条件,上述配电网中的目标配电设备可以有多个,每个目标配电设备可以与其他需要访问该目标配电设备的配电设备形成访问关系,则终端可以基于每个目标配电设备的访问关系训练每个目标配电设备对应的目标高斯混合模型,即每个目标配电设备可以有对应的决策边界。终端对上述访问行为是否合格进行判断后,还可以在判断为非合格访问行为时,将上述待检测配电设备与目标配电设备的访问通信流量进行上传、展示和告警等。
上述配电网横向访问检测方法中,通过基于多个合格访问的配电设备和目标配电设备的距离确定历史合格访问数据集,基于历史合格访问数据集训练目标高斯混合模型,确定待检测配电设备的第一位置信息和需要访问的目标配电设备的第二位置信息之间的待检测距离,将待检测距离输入目标高斯混合模型,基于目标高斯混合模型输出的待检测距离与决策边界的比较结果、第一位置信息和第二位置信息确定待检测配电设备是否合格访问。相较于传统的通过人工排查的方式进行横向访问检测,本方案基于访问与被访问设备间的距离以及高斯混合模型的决策边界进行横向访问检测,提高了检测效率。
在一个实施例中,根据第一位置信息和第二位置信息确定待检测配电设备和目标配电设备的待检测距离,包括:根据第一IP地址和第二IP地址的距离,作为待检测配电设备和目标配电设备的待检测距离。
本实施例中,终端可以基于第一位置信息和第二位置信息确定待检测配电设备和目标配电设备之间的距离。其中,上述第一位置信息可以是待检测配电设备的第一IP地址,上述第二位置信息可以是目标配电设备的第二IP地址,终端可以根据上述第一IP地址和第二IP地址,确定第一IP地址和第二IP地址之间的距离,从而得到待检测配电设备和目标配电设备之间的待检测距离,即终端可以将IP地址距离作为待检测距离。具体地,上述目标配电设备可以与多个待检测配电设备存在通信访问关系,则目标配电设备可以与每个待检测配电设备构建通信二元组,例如,终端可以令待检测配电设备为源IP地址,目标配电设备的IP地址为目的IP地址,则一个目标配电设备与一个待检测配电设备构成的通信二元组可以为(源IP地址、目的IP地址)的形式。终端基于上述通信二元组可以得到IP地址距离DIS_IP(目的IP地址),终端基于上述第一IP地址和第二IP地址对应的通信二元组确定待检测距离后,可以基于待检测距离进行与决策边界的比较。
通过本实施例,终端可以基于IP地址确定待检测配电设备和目标配电设备的距离,从而终端可以基于该距离进行是否合格访问的判断,提高了横向访问检测的效率。
在一个实施例中,还包括:获取历史预设时间段内的多个合格访问的配电设备与目标配电设备的距离样本,根据得到的多个距离样本构建历史合格访问数据集;将历史合格访问数据集输入待训练高斯混合模型,基于期望最大算法和历史合格访问数据集,对待训练高斯混合模型进行决策边界拟合,得到拟合完成的目标模型参数;根据目标模型参数确定目标高斯混合模型,并根据目标高斯混合模型得到决策边界。
本实施例中,终端可以预先对待训练高斯混合模型进行训练。终端可以通过采集历史的合格访问数据作为训练数据集。例如,终端可以获取历史预设时间段内的多个为合格访问的配电设备与被访问的目标配电设备的距离样本,上述目标配电设备可以与多个配电设备存在访问通信关系,因此终端可以得到多个距离样本,并基于多个距离样本构建历史合格访问数据集。终端可以获取待训练高斯混合模型,并将上述历史合格访问数据集输入待训练高斯混合模型。并基于EM(Expectation Maximization,期望最大算法)和历史合格访问数据集,对待训练高斯缓和模型进行数据拟合,具体可以是进行决策边界的拟合,从而终端可以在待训练高斯混合模型对上述历史合格访问数据集中的各个距离样本均进行拟合后,得到拟合完成的目标模型参数,终端可以根据目标模型参数确定目标高斯混合模型,并根据目标高斯混合模型得到决策边界。
具体地,终端对模型进行训练和识别的过程可以如图3所示,图3为一个实施例中模型训练识别步骤的流程示意图。终端可以预先定义通信关系基线的数学模型,该通信关系基线的数学模型可以是上述IP距离,以及终端还可以基于预先定于基于IP距离的高斯混合模型,并通过人工智能进行训练。终端可以从配电网的节点中获取历史的通行关系数据,例如从配电网的节点中获取被访问的目标配电设备对应的上个月的通信关系数据,构建通信二元组(源IP地址、目的IP地址),令该数据集合作为计算IP地址距离的输入。其中,上述获取的通信关系数据可以是合格访问的关系数据,并且是针对同一个目标配电设备的合格访问数据,上述配电网的配网节点中包括多种设备,例如可以包括DTU(DistributionTerminal Unit,开闭所终端设备)、FTU(Feeder Terminal Unit,配电开关监控终端)、TTU(distribution Transformer supervisory Terminal Unit,配电变压器监测终端)、监测设备和主站等,其中DTU可以是配网终端,主站可以与配网节点中的各个配电设备进行通信,但同一配网节点中的各个配电设备之间不能横向通信,若配电设备之间需要通信,则需要通过主站与其他配电设备通信。终端从配网节点中获取到流量后,可以通过ES(Elasticsearch,分布式全文检索)的方式,从中确定出上述各个通信二元组,并且对于每个目的IP地址,终端可以计算每个目的IP地址与其所有关联的源IP地址的距离,即对上述各个通信二元组中的IP的距离进行计算,得到各个源IP地址与目的IP地址的IP地址距离,该IP地址距离可以表示为DIS_IP(目的IP地址)。从而终端可以基于上述历史合格访问数据集中的各个DIS_IP(目的IP地址),通过EM算法训练得到上述目标高斯混合模型的参数,进而得到目标高斯混合模型,终端可以获取目标高斯混合模型对应的决策边界,该决策边界可以经过对历史合格访问数据集中各个距离样本进行拟合后得到。终端可以基于决策边界确定待检测配电设备对目标配电设备的访问是否属于基线通信,若属于基线通信则确定为合格通信,并为该组访问关系添加基线标记,否则终端检测到该访问关系为非基线通信时,确定为非合格通信,并为该组访问关系添加非基线标记。另外,终端还可以对已存在的通信关系模型,即上述目标高斯混合模型,按照预设更新周期进行更新,例如每月更新一次,并且终端可以利用一个月以来新识别出的合格通信的访问关系作为新的训练样本,使得终端对非基线通信关系的判断更加准确。
通过本实施例,终端可以基于历史的合格访问数据集和EM算法训练得到目标高斯混合模型,从而终端可以基于目标高斯混合模型进行配电设备的横向访问检测,提高了访问检测的效率。
在一个实施例中,将待检测距离输入目标高斯混合模型,由目标高斯混合模型输出待检测距离与决策边界的比较结果,包括:将待检测距离输入目标高斯混合模型,由目标高斯混合模型在检测待检测距离存在于非基线坐标区域中时,输出比较结果为非基线通信;非基线坐标区域为决策坐标系中基线坐标区域外的区域,基线坐标区域基于决策边界与决策坐标系的坐标轴得到。
本实施例中,上述训练完成的目标高斯混合模型包括决策坐标系,并且上述决策边界在决策坐标系中。其中,决策坐标系可以是一种二维坐标系,决策边界可以是高斯混合模型经过上述的拟合过程后,在决策坐标系中形成的曲线。则终端可以基于该曲线判断上述待检测配电设备与目标配电设备之间的访问是否合格。例如,终端可以令上述决策边界的曲线与决策坐标系的坐标轴之间的区域作为基线坐标区域,并令上述决策坐标系中,基线坐标区域外的其他区域作为非基线坐标区域。在判断时,终端可以将上述由待检测配电设备与目标配电设备组成的通信二元组的待检测距离输入目标高斯混合模型,并由目标高斯混合模型在检测到上述待检测距离存在于非基线坐标区域中时,确定结果为非基线通信;当目标高斯混合模型在检测到上述待检测距离存在于基线坐标区域中时,确定结果为基线通信。终端可以基于检测出的为基线通信的通信二元组构建基线通信关系列表,并基于检测出的为非基线通信的通信二元组构建非基线通信关系列表。从而终端可以得到上述待检测距离与决策边界的比较结果。
通过本实施例,终端可以基于决策边界和决策坐标系确定基线坐标区域和非基线坐标区域,进而确定出基线通信关系和非基线通信关系,终端可以基于上述各个关系检测配电设备之间的横向访问,提高了横向访问检测的效率。
在一个实施例中,根据比较结果、第一位置信息和第二位置信息,确定待检测配电设备与目标配电设备是否为合格访问行为,包括:若比较结果为非基线通信,且第一位置信息和第二位置信息为相同配电网中的位置信息,确定待检测配电设备与目标配电设备为非合格访问行为。
本实施例中,终端通过上述比较结果确定出上述待检测配电设备与目标配电设备之间的通信访问关系之后,可以检测上述第一位置信息和第二位置信息是否属于相同配电网中的位置信息,例如是否同属于相同配电网中的配电设备层,若终端检测到上述比较结果为非基线通信,且第一位置信息和第二位置信息属于相同配电网中的位置信息,则终端可以确定待检测配电设备与目标配电设备为非合格访问行为。若终端检测到上述比较结果为基线通信,或第一位置信息和第二位置信息不属于相同配电网中的位置信息,则终端可以确定待检测配电设备与目标配电设备为合格访问行为。具体地,若终端检测到上述比较结果为非基线通信,且第一位置信息和第二位置信息属于相同配电网中的位置信息时,表示待检测配电设备和目标配电设备之间属于相同配电网中设备之间的横向访问,由于合格访问情况下,在相同配电网中的待检测配电设备与目标配电设备之间需要通过配电网中的主站进行访问通信,若待检测配电设备直接访问相同配电网中的目标配电设备,此时可以确定待检测配电设备受到网络攻击,终端可以确定为非合格访问行为。并且终端还可以将上述属于非合格访问行为的通信访问关系的访问通信流量上传至大数据模块,经过大数据模块处理后,可以按照一定规则形成非合格横向访问事件进行展示,以及进行非合格横向访问告警。
通过本实施例,终端可以基于是否基线通信以及第一位置和第二位置的位置属性,确定待检测配电设备和目标配电设备之间是否为合格访问行为,提高了对配电网中非合格横向访问行为检测的效率。
在一个实施例中,如图4所示,图4为另一个实施例中配电网横向访问检测方法的流程示意图。包括以下步骤:终端通过采集设备采集多个待检测配电设备和目标配电设备之间的通信流量,然后通过人工智能训练和学习,识别出不满足特定算法的源IP、目的IP等关键信息构成的通信关系。终端可以定义通信关系基线的数学模型,包括IP地址距离度量定义,即基于通信二元组确定距离,以及基于IP距离的高斯混合模型,即上述目标高斯混合模型。
终端基于目标高斯混合模型可以确定出决策边界,并基于决策边界确定上述各个访问通信流量是否属于基线通信,并形成相应的基线通信列表和非基线通信列表,每个列表中包括对应的访问通信关系。例如,终端可以部署大数据流处理应用程序,对非基线通信关系进行分区、节点标记,具体可以是基于决策边界进行分区和标记,处理完成后进行基于非基线数据的分析判断。对于采集到的通信关系,终端首先根据通信二元组判断通信对是否在非基线通信关系列表中,如果该通信对在非基线通信关系列表中,并且源IP、目的IP均属于配网终端侧,则终端确定该通信对属于非合格横向访问。具体地,终端可以部署非基线数据分析应用,对上一环节所分析的结果进行判定,依据分区/节点进行比较,若终端检测到上述访问属于分区与分区之间的访问或节点与节点之间的访问,终端可以判定为非法横向访问,并上送非法横向访问告警。例如,终端可以通过采集设备将采集到的非法横向访问通信流量上送,再经过大数据模块处理,按照一定的规则形成非法横向访问事件展示,以及非法横向访问告警。
其中,终端可以使用人工智能学习程序,对采集到的通信关系数据进行学习,使用高斯算法确定通信边界,即上述决策边界,终端还可以依据通信边界模型,即上述目标高斯混合模型,判定通信关系的基线,得到非基线通信关系数据。具体可以如图5所示,图5为又一个实施例中配电网横向访问检测方法的流程示意图。终端定义IP地址距离和高斯混合模型后,可以取上个月的通信关系数据构建通信二元组(源IP地址、目的IP地址),令该数据集合作为计算IP地址距离的输入;针对每个目的IP地址,终端可以计算每个目的IP地址与所有关联的源IP地址的距离得到所有目的地址的IP地址距离:DIS_IP(目的IP地址);终端可以以上述计算得到的IP地址距离DIS_IP(目的IP地址)为基础,基于EM算法训练出上面基于距离数据建立高斯混合模型的参数,终端可以基于该参数得到目标高斯混合模型,进而确定异常通信的决策边界,并基于决策边界检测非基线通信。具体地,终端可以按照每半小时为间隔采样一次待检测配电设备与目标配电设备的通信关系,并将通信关系在决策边界之外的视为非基线通信关系。
另外,终端还可以对已有的通信关系模型每月更新一次,从而使得模型更加完善,针对非基线通信关系的判断更加准确。在完成模型训练后,终端可以实现对选定时间段内(不包括当天)采集的通信关系进行非基线通信关系的预测分析并输出分析结果。
通过上述实施例,终端基于访问与被访问设备间的距离以及高斯混合模型的决策边界进行横向访问检测,提高了检测效率。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的配电网横向访问检测方法的配电网横向访问检测装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个配电网横向访问检测装置实施例中的具体限定可以参见上文中对于配电网横向访问检测方法的限定,在此不再赘述。
在一个实施例中,如图6所示,提供了一种配电网横向访问检测装置,包括:获取模块500、确定模块502和检测模块504,其中:
获取模块500,用于获取待检测配电设备的第一位置信息与目标配电设备的第二位置信息;目标配电设备表征待检测配电设备需要访问的配电设备。
确定模块502,用于根据第一位置信息和第二位置信息确定待检测配电设备和目标配电设备的待检测距离。
检测模块504,用于将待检测距离输入目标高斯混合模型,由目标高斯混合模型输出待检测距离与决策边界的比较结果,根据比较结果、第一位置信息和第二位置信息,确定待检测配电设备与目标配电设备是否为合格访问行为;决策边界表征合格访问行为和非合格访问行为的判断条件且与目标高斯混合模型对应;目标高斯混合模型基于历史合格访问数据集训练得到;历史合格访问数据集包括多个合格访问的配电设备与目标配电设备的距离样本。
在一个实施例中,上述获取模块500,具体用于根据待检测配电设备的第一IP地址,确定第一位置信息;根据目标配电设备的第二IP地址,确定第二位置信息。
在一个实施例中,上述获取模块500,具体用于根据第一IP地址和第二IP地址的距离,作为待检测配电设备和目标配电设备的待检测距离。
在一个实施例中,上述装置还包括:训练模块,用于获取历史预设时间段内的多个合格访问的配电设备与目标配电设备的距离样本,根据得到的多个距离样本构建历史合格访问数据集;将历史合格访问数据集输入待训练高斯混合模型,基于期望最大算法和历史合格访问数据集,对待训练高斯混合模型进行决策边界拟合,得到拟合完成的目标模型参数;根据目标模型参数确定目标高斯混合模型,并根据目标高斯混合模型得到决策边界。
在一个实施例中,上述检测模块504,具体用于将待检测距离输入目标高斯混合模型,由目标高斯混合模型在检测待检测距离存在于非基线坐标区域中时,输出比较结果为非基线通信;非基线坐标区域为决策坐标系中基线坐标区域外的区域,基线坐标区域基于决策边界与决策坐标系的坐标轴得到。
在一个实施例中,上述检测模块504,具体用于若比较结果为非基线通信,且第一位置信息和第二位置信息为相同配电网中的位置信息,确定待检测配电设备与目标配电设备为非合格访问行为。
上述配电网横向访问检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种配电网横向访问检测方法。该计算机设备的显示单元用于形成视觉可见的画面,可以是显示屏、投影装置或虚拟现实成像装置。显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述的配电网横向访问检测方法。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述的配电网横向访问检测方法。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述的配电网横向访问检测方法。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种配电网横向访问检测方法,其特征在于,所述方法包括:
获取待检测配电设备的第一位置信息与目标配电设备的第二位置信息;所述目标配电设备表征所述待检测配电设备需要访问的配电设备;
根据所述第一位置信息和所述第二位置信息确定所述待检测配电设备和所述目标配电设备的待检测距离;
将所述待检测距离输入目标高斯混合模型,由所述目标高斯混合模型输出所述待检测距离与决策边界的比较结果,根据所述比较结果、所述第一位置信息和所述第二位置信息,确定所述待检测配电设备与所述目标配电设备是否为合格访问行为;所述决策边界表征合格访问行为和非合格访问行为的判断条件且与所述目标高斯混合模型对应;所述目标高斯混合模型基于历史合格访问数据集训练得到;所述历史合格访问数据集包括多个合格访问的配电设备与所述目标配电设备的距离样本。
2.根据权利要求1所述的方法,其特征在于,所述获取待检测配电设备的第一位置信息与目标配电设备的第二位置信息,包括:
根据所述待检测配电设备的第一IP地址,确定所述第一位置信息;
根据所述目标配电设备的第二IP地址,确定所述第二位置信息。
3.根据权利要求2所述的方法,其特征在于,所述根据所述第一位置信息和所述第二位置信息确定所述待检测配电设备和所述目标配电设备的待检测距离,包括:
根据所述第一IP地址和所述第二IP地址的距离,作为所述待检测配电设备和所述目标配电设备的待检测距离。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取历史预设时间段内的多个合格访问的配电设备与所述目标配电设备的距离样本,根据得到的多个距离样本构建历史合格访问数据集;
将所述历史合格访问数据集输入待训练高斯混合模型,基于期望最大算法和所述历史合格访问数据集,对待训练高斯混合模型进行决策边界拟合,得到拟合完成的目标模型参数;
根据所述目标模型参数确定目标高斯混合模型,并根据所述目标高斯混合模型得到所述决策边界。
5.根据权利要求1所述的方法,其特征在于,所述目标高斯混合模型包括决策坐标系;所述决策边界在所述决策坐标系中;
所述将所述待检测距离输入目标高斯混合模型,由所述目标高斯混合模型输出所述待检测距离与决策边界的比较结果,包括:
将所述待检测距离输入目标高斯混合模型,由所述目标高斯混合模型在检测所述待检测距离存在于非基线坐标区域中时,输出比较结果为非基线通信;所述非基线坐标区域为所述决策坐标系中基线坐标区域外的区域,所述基线坐标区域基于所述决策边界与所述决策坐标系的坐标轴得到。
6.根据权利要求5所述的方法,其特征在于,所述根据所述比较结果、所述第一位置信息和所述第二位置信息,确定所述待检测配电设备与所述目标配电设备是否为合格访问行为,包括:
若所述比较结果为非基线通信,且所述第一位置信息和所述第二位置信息为相同配电网中的位置信息,确定所述待检测配电设备与所述目标配电设备为非合格访问行为。
7.一种配电网横向访问检测装置,其特征在于,所述装置包括:
获取模块,用于获取待检测配电设备的第一位置信息与目标配电设备的第二位置信息;所述目标配电设备表征所述待检测配电设备需要访问的配电设备;
确定模块,用于根据所述第一位置信息和所述第二位置信息确定所述待检测配电设备和所述目标配电设备的待检测距离;
检测模块,用于将所述待检测距离输入目标高斯混合模型,由所述目标高斯混合模型输出所述待检测距离与决策边界的比较结果,根据所述比较结果、所述第一位置信息和所述第二位置信息,确定所述待检测配电设备与所述目标配电设备是否为合格访问行为;所述决策边界表征合格访问行为和非合格访问行为的判断条件且与所述目标高斯混合模型对应;所述目标高斯混合模型基于历史合格访问数据集训练得到;所述历史合格访问数据集包括多个合格访问的配电设备与所述目标配电设备的距离样本。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211410825.1A CN115913699B (zh) | 2022-11-11 | 2022-11-11 | 配电网横向访问检测方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211410825.1A CN115913699B (zh) | 2022-11-11 | 2022-11-11 | 配电网横向访问检测方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115913699A true CN115913699A (zh) | 2023-04-04 |
| CN115913699B CN115913699B (zh) | 2024-06-25 |
Family
ID=86472120
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211410825.1A Active CN115913699B (zh) | 2022-11-11 | 2022-11-11 | 配电网横向访问检测方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115913699B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103696330A (zh) * | 2014-01-08 | 2014-04-02 | 中铁山桥集团有限公司 | 一种固定型辙叉轮轨关系设计评价方法 |
| WO2019062317A1 (zh) * | 2017-09-30 | 2019-04-04 | Oppo广东移动通信有限公司 | 应用程序管控方法及电子设备 |
| CN110764125A (zh) * | 2019-11-06 | 2020-02-07 | 国网湖北省电力有限公司咸宁供电公司 | 一种基于电力巡检提高无人机降落定位精度的方法及系统 |
-
2022
- 2022-11-11 CN CN202211410825.1A patent/CN115913699B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103696330A (zh) * | 2014-01-08 | 2014-04-02 | 中铁山桥集团有限公司 | 一种固定型辙叉轮轨关系设计评价方法 |
| WO2019062317A1 (zh) * | 2017-09-30 | 2019-04-04 | Oppo广东移动通信有限公司 | 应用程序管控方法及电子设备 |
| CN110764125A (zh) * | 2019-11-06 | 2020-02-07 | 国网湖北省电力有限公司咸宁供电公司 | 一种基于电力巡检提高无人机降落定位精度的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115913699B (zh) | 2024-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114254879B (zh) | 多传感器信息融合的电力设备安全诊断方法和装置 | |
| CN115792505B (zh) | 一种轨道交通供电管理方法及系统 | |
| CN116794510A (zh) | 故障预测方法、装置、计算机设备和存储介质 | |
| CN117235664A (zh) | 配电通信设备的故障诊断方法、系统和计算机设备 | |
| CN116346638B (zh) | 基于电网功率及告警信息交互验证的数据篡改推断方法 | |
| CN112836843B (zh) | 一种基站退服告警预测方法及装置 | |
| CN116226775A (zh) | 识别异常数据方法、装置、计算机设备和存储介质 | |
| CN116112200B (zh) | 配电网纵向访问检测方法、装置、计算机设备和存储介质 | |
| CN115913699B (zh) | 配电网横向访问检测方法、装置、计算机设备和存储介质 | |
| CN115604080A (zh) | 故障原因分析方法、装置、计算机设备和存储介质 | |
| CN114118469A (zh) | 物联网设备诊断方法、装置、计算机设备、存储介质 | |
| Mao | [Retracted] Construction of Economic Management Big Data Platform Based on Artificial Intelligence Algorithm Monitoring and Early Warning | |
| CN116279935B (zh) | 车辆倾倒预警方法、装置及计算机设备 | |
| CN117891566B (zh) | 智能软件的可靠性评估方法、装置、设备、介质和产品 | |
| CN116150341B (zh) | 理赔事件检测方法、计算机设备和存储介质 | |
| CN118432952B (zh) | 一种零信任环境下的异常检测方法、电子设备及存储介质 | |
| CN114580792B (zh) | 膨化机工作状态识别方法、装置、计算机设备、存储介质 | |
| CN116302364B (zh) | 自动驾驶可靠性测试方法、装置、设备、介质和程序产品 | |
| CN115439721B (zh) | 电力设备异常少样本缺陷分类模型训练方法、装置 | |
| CN117893006A (zh) | 电网风险评估方法、装置、设备、介质和程序产品 | |
| CN118411033A (zh) | 污闪应对措施确定方法、装置、计算机设备、介质和产品 | |
| CN116881092A (zh) | 告警数据的预测方法、装置、设备和存储介质 | |
| CN114358328A (zh) | 变电站设备的开关状态检测方法、装置和计算机设备 | |
| CN116415237A (zh) | 风险设备识别方法、装置、计算机设备和存储介质 | |
| CN116595389A (zh) | 识别异常客户端的方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: Room 86, room 406, No.1, Yichuang street, Zhongxin Guangzhou Knowledge City, Huangpu District, Guangzhou City, Guangdong Province Patentee after: Southern Power Grid Digital Grid Research Institute Co.,Ltd. Country or region after: China Address before: Room 86, room 406, No.1, Yichuang street, Zhongxin Guangzhou Knowledge City, Huangpu District, Guangzhou City, Guangdong Province Patentee before: Southern Power Grid Digital Grid Research Institute Co.,Ltd. Country or region before: China |