CN116723043A - 一种电力系统中多场景访问行为异常检测方法及系统 - Google Patents
一种电力系统中多场景访问行为异常检测方法及系统 Download PDFInfo
- Publication number
- CN116723043A CN116723043A CN202310883316.9A CN202310883316A CN116723043A CN 116723043 A CN116723043 A CN 116723043A CN 202310883316 A CN202310883316 A CN 202310883316A CN 116723043 A CN116723043 A CN 116723043A
- Authority
- CN
- China
- Prior art keywords
- scene
- alarm
- sequence
- abnormal
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 128
- 230000002159 abnormal effect Effects 0.000 claims abstract description 84
- 238000000034 method Methods 0.000 claims abstract description 29
- 239000013598 vector Substances 0.000 claims description 46
- 230000005856 abnormality Effects 0.000 claims description 35
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000010276 construction Methods 0.000 claims description 6
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 4
- 230000006399 behavior Effects 0.000 abstract description 47
- 238000012423 maintenance Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 5
- 238000012549 training Methods 0.000 description 5
- 238000013507 mapping Methods 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 3
- 238000009434 installation Methods 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种电力系统中多场景访问行为异常检测方法及装置,通过采集用户角色信息和用户访问日志信息后,先对日志源进行单场景异常检测,若日志源中的日志不满足操作条件,则产生单场景告警结果,并统计单场景告警结果数量,得到单场景告警次数,再利用多个日志源构建场景序列,对场景序列进行多场景异常检测,得到多场景告警结果,根据单场景告警次数和多场景告警结果进行判断,得到最终告警信息,以使电力系统根据最终告警信息进行上报。本方法能够综合考察多个场景行为,形成对场景检测指标和发生顺序都相关的多场景行为异常检测模型,提高对异常行为的发现率,降低对异常行为检测的误报率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种电力系统中多场景访问行为异常检测方法及系统。
背景技术
电力系统环境下的网络访问行为通常是内网访问,这种针对电力环境各个子系统的网络访问行为都有明确的用户,访问行为也具有较强的规律性。但电力系统自身比较庞大,具有很多子系统,用户的角色虽然不如互联网环境中庞杂,但也包括了如运维人员、业务系统的管理员、数据分析师、厂家、安全审计人员等,这些角色的人员各自具有不同的权限,也会根据其工作需要面对多个内部业务子系统进行访问。电力系统的安全性一直以来都是非常重要的,即使是内网环境,但也有可能受到内部人员的攻击,一些攻击不一定是破坏性的,而是以窃取内部信息为目的,从单个场景访问行为可能无法准确判断,而结合对多个场景的访问的异常分析就能够较准确的判断出真正的异常行为事件的发生。
发明内容
为了解决上述技术问题,本发明实施例提供了一种电力系统中多场景访问行为异常检测方法及系统,能够综合考察多个场景行为,形成对场景检测指标和发生顺序都相关的多场景行为异常检测模型,提高对异常行为的发现率,降低对异常行为检测的误报率。
本发明实施例的第一方面提供了一种电力系统中多场景访问行为异常检测方法,方法包括:
采集用户角色信息和用户访问日志信息,其中,用户访问日志信息包括多个日志源,每个日志源下包括多个日志;
对日志源进行单场景异常检测,若日志源中的日志不满足操作条件,则产生单场景告警结果,并统计单场景告警结果数量,得到单场景告警次数;
利用多个日志源构建场景序列,对场景序列进行多场景异常检测,得到多场景告警结果;
根据单场景告警次数和多场景告警结果进行判断,得到最终告警信息,以使电力系统根据最终告警信息进行上报。
实施本实施例,通过采集用户角色信息和用户访问日志信息后,先对日志源进行单场景异常检测,若日志源中的日志不满足操作条件,则产生单场景告警结果,并统计单场景告警结果数量,得到单场景告警次数,再利用多个日志源构建场景序列,对场景序列进行多场景异常检测,得到多场景告警结果,根据单场景告警次数和多场景告警结果进行判断,得到最终告警信息,以使电力系统根据最终告警信息进行上报。本方法能够综合考察多个场景行为,形成对场景检测指标和发生顺序都相关的多场景行为异常检测模型,提高对异常行为的发现率,降低对异常行为检测的误报率。
在第一方面的一种可能的实现方式中,对日志源进行单场景异常检测,若日志源中的日志不满足操作条件,则产生单场景告警结果,具体为:
利用预设异常检测方法对日志源进行单场景异常检测;
若日志源对应的操作不在操作权限内,则产生单场景告警结果。
在第一方面的一种可能的实现方式中,利用多个日志源构建场景序列,对场景序列进行多场景异常检测,具体为:
对用户角色信息下的多个日志源中所有日志进行场景分类,得到多个场景,并根据多个场景进行构建,得到场景序列;
调用预设异常检测模型对场景序列进行检测,得到异常检测结果。
在第一方面的一种可能的实现方式中,调用预设异常检测模型对场景序列进行检测,得到检测结果,具体为:
将场景序列中用户角色连续多个操作的场景进行编码,得到第一场景向量;
根据用户角色信息选择对应的预设异常检测模型对向量场景进行检测,得到第二场景向量;
利用第二场景向量和第一场景向量进行误差计算,得到重构误差,若重构误差超过预设阈值,则得到多场景序列异常,若重构误差未超过预设阈值,则得到多场景序列无异常。
在第一方面的一种可能的实现方式中,根据所述单场景告警结果和所述多场景告警结果进行判断,得到最终告警信息,以使电力系统根据所述最终告警信息进行上报,具体为:
若所述单场景告警次数达到预设次数且所述多场景序列异常,则上报严重异常告警;
若所述单场景告警次数未达到预设次数且所述多场景序列异常,则上报一般异常告警;
若所述单场景告警次数达到预设次数且所述多场景序列无异常,则上报一般异常告警;
若所述单场景告警次数达到预设次数或所述多场景序列异常,则上报轻微异常告警。
实施本实施例,若单场景告警次数达到预设次数且多场景序列异常,则上报严重异常告警,若单场景告警次数未达到预设次数且多场景序列异常,则上报一般异常告警,若单场景告警次数达到预设次数且多场景序列无异常,则上报一般异常告警,若单场景告警次数达到预设次数或多场景序列异常,则上报轻微异常告警,本方法综合分析了单场景异常和多场景序列异常的情况,能够发现一些未被单场景规则捕获的异常行为,且通过综合判断降低了单场景规则的误报,还可以能够实现单角色和跨主机的异常行为序列的检测。
本发明实施例的第二方面提供了一种电力系统中多场景访问行为异常检测系统,系统包括:
采集模块,用于采集用户角色信息和用户访问日志信息,其中,用户访问日志信息包括多个日志源,每个日志源下包括多个日志;
单场景检测模块,用于对日志源进行单场景异常检测,若日志源中的日志不满足操作条件,则产生单场景告警结果,并统计单场景告警结果数量,得到单场景告警次数;
多场景异常检测模块,用于利用多个日志源构建场景序列,对场景序列进行多场景异常检测,得到多场景告警结果;
最终告警模块,用于根据单场景告警次数和多场景告警结果进行判断,得到最终告警信息,以使电力系统根据最终告警信息进行上报。
在第二方面的一种可能的实现方式中,单场景检测模块包括检测单元和判断单元,
其中,检测单元用于利用预设异常检测方法对日志源进行单场景异常检测;
判断单元用于若日志源对应的操作不在操作权限内,则产生单场景告警结果。
在第二方面的一种可能的实现方式中,多场景异常检测模块包括场景序列构建单元和场景序列检测单元,
其中,场景序列构建单元用于对用户角色信息下的多个日志源中所有日志进行场景分类,得到多个场景,并根据多个场景进行构建,得到场景序列;
场景序列检测单元用于调用预设异常检测模型对场景序列进行检测,得到异常检测结果。
在第二方面的一种可能的实现方式中,调用预设异常检测模型对场景序列进行检测,得到检测结果,具体为:
将场景序列中用户角色连续多个操作的场景进行编码,得到第一场景向量;
根据用户角色信息选择对应的预设异常检测模型对向量场景进行检测,得到第二场景向量;
利用第二场景向量和第一场景向量进行误差计算,得到重构误差,若重构误差超过预设阈值,则得到多场景序列异常,若重构误差未超过预设阈值,则得到多场景序列无异常。
在第二方面的一种可能的实现方式中,根据单场景告警结果和多场景告警结果进行判断,得到最终告警信息,以使电力系统根据最终告警信息进行上报,具体为:
若单场景告警次数达到预设次数且多场景序列异常,则上报严重异常告警;
若单场景告警次数未达到预设次数且多场景序列异常,则上报一般异常告警;
若单场景告警次数达到预设次数且多场景序列无异常,则上报一般异常告警;
若单场景告警次数达到预设次数或多场景序列异常,则上报轻微异常告警。
本发明通过采集用户角色信息和用户访问日志信息后,先对日志源进行单场景异常检测,若日志源中的日志不满足操作条件,则产生单场景告警结果,并统计单场景告警结果数量,得到单场景告警次数,再利用多个日志源构建场景序列,对场景序列进行多场景异常检测,得到多场景告警结果,根据单场景告警次数和多场景告警结果进行判断,得到最终告警信息,以使电力系统根据最终告警信息进行上报。本方法能够综合考察多个场景行为,形成对场景检测指标和发生顺序都相关的多场景行为异常检测模型,提高对异常行为的发现率,降低对异常行为检测的误报率。
附图说明
图1:为本发明提供的电力系统中多场景访问行为异常检测方法一种实施例的流程示意图;
图2:为本发明提供的电力系统中多场景访问行为异常检测方法一种实施例的系统模块结构示意图;
图3:为本发明提供的电力系统中多场景访问行为异常检测方法一种实施例的多场景检测方法流程示意图;
图4:为本发明提供的电力系统中多场景访问行为异常检测方法另一种实施例的系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
请参照图1,为本发明实施例提供的电力系统中多场景访问行为异常检测方法的一种实施例的流程示意图,包括步骤S11~S14,各步骤具体如下:
S11、采集用户角色信息和用户访问日志信息,其中,用户访问日志信息包括多个日志源,每个日志源下包括多个日志。
在本实施例中,如图2为该方法系统模块结构图,基于电力系统相对自治和稳定的内部业务访问关系,将整个电力系统的看成一个完整的操作系统,把每个用户角色看成一个系统的进程,把用户产生的对某个子系统的网络访问看成是该用户进程产生的子进程,这样就可以将每个用户进程派生出的子进程形成一个访问序列,通过对访问序列的建模,来识别异常访问序列的产生。
单场景访问异常规则库提供对单场景检测到的规则库,单场景访问异常检测模块提供基于规则库的异常检测,并对匹配到规则的检测结果产生告警。场景映射规则库提供基于用户行为日志的场景映射规则场景映射模块提供基于规则库的场景映射数据集管理负责提供模型训练用的数据集以及数据的预处理。
首先利用用户行为日志采集引擎从资产主机上采集用户操作的相关日志,通过安装在系统主机上的日志采集代理采集到用户的访问日志,按时间窗口汇聚日志。
S12、对日志源进行单场景异常检测,若日志源中的日志不满足操作条件,则产生单场景告警结果,并统计单场景告警结果数量,得到单场景告警次数。
在优选的实施例当中,对日志源进行单场景异常检测,若日志源中的日志不满足操作条件,则产生单场景告警结果,具体为:
利用预设异常检测方法对日志源进行单场景异常检测;
若日志源对应的操作不在操作权限内,则产生单场景告警结果。
在本实施例中,单场景异常检测是基于给定规则库的异常检测方法,使用一个日志源进行检测,如针对特定角色不允许执行的操作将触发产生相应的异常告警。
S13、利用多个日志源构建场景序列,对场景序列进行多场景异常检测,得到多场景告警结果。
在优选的实施例当中,利用多个日志源构建场景序列,对场景序列进行多场景异常检测,具体为:
对用户角色信息下的多个日志源中所有日志进行场景分类,得到多个场景,并根据多个场景进行构建,得到场景序列;
调用预设异常检测模型对场景序列进行检测,得到异常检测结果。
在优选的实施例当中,调用预设异常检测模型对场景序列进行检测,得到检测结果,具体为:
将场景序列中用户角色连续多个操作的场景进行编码,得到第一场景向量;
根据用户角色信息选择对应的预设异常检测模型对向量场景进行检测,得到第二场景向量;
利用第二场景向量和第一场景向量进行误差计算,得到重构误差,若重构误差超过预设阈值,则得到多场景序列异常,若重构误差未超过预设阈值,则得到多场景序列无异常。
在本实施例中,如图3所示,图3为多场景检测方法流程示意图,将用户在某个日志源下产生的所有日志基于场景行为分类规则映射某个场景中,如用户登录系统、用户下载外部软件、用户连接数据库、用户外传文件等。
在时间窗口内,基于用户角色和其所产生的场景构建一个场景序列,如运维工程师:登录系统1->运维工程师:更新业务系统版本->运维工程师:查看操作系统资源使用->运维工程师:下载外部软件->运维工程师:安装系统更包->运维工程师:登录业务系统2->运维工程师:安装系统更包等等
在检测过程中,将在时间窗口内组装的场景序列输入到自编码器模型中进行检测,通过设定重建误差阈值来判断场景序列的异常。具体步骤为:
首先从日志中基于设置的观测的操作的个数对操作序列进行捕获,将所有预先定义的操作,作为一个字典,将每个角色连续n个操作进行编码后以一个向量的形式进行表示,得到输入向量,然后将再将输入向量送入自编码器模型中,这里每个角色有一个自己的自编码器的异常检测模型,要按角色选择对应的预设异常检测模型,预设异常检测模型会输出一个输出向量,并给出输入和输出向量之间的重构误差,通过设定的阈值来判断重构误差是否超过阈值,如果超过则认为输入的操作序列是异常的。具体步骤为:将所有预先定义的操作,作为一个字典,将每个角色连续n个操作进行编码后以一个向量的形式进行表示,如有设置n=3,即训练输入的输入操作序列向量为3,把这三个向量基于字典进行one-hot编码,按照发生顺序头尾相接变成一个向量,设字典有100个操作,那么进行变换后的输入向量就是一个300维的向量输出的向量也是一个300维的向量。
预设异常检测模型是通过训练得到的,在训练过程中,使用历史正常数据构建训练数据集,使用自编码器算法训练自编码器模型,分别使用128、64和32个单元的编码层和相对应的解码层,对场景序列进行编码压缩和解码重建,并基于输入和输出向量的重建误差来训练这个模型,获得正常模式下的多场景行为序列异常检测模型。
S14、根据单场景告警次数和多场景告警结果进行判断,得到最终告警信息,以使电力系统根据最终告警信息进行上报。
作为优选的实施例,根据单场景告警结果和多场景告警结果进行判断,得到最终告警信息,以使电力系统根据最终告警信息进行上报,具体为:
若单场景告警次数达到预设次数且多场景序列异常,则上报严重异常告警;
若单场景告警次数未达到预设次数且多场景序列异常,则上报一般异常告警;
若单场景告警次数达到预设次数且多场景序列无异常,则上报一般异常告警;
若单场景告警次数达到预设次数或多场景序列异常,则上报轻微异常告警。
在本实施例中,对单场景异常检测和多场景序列异常检测的结果进行综合判断,设定单场景告警数阈值,按下面情况进行告警上报:
对于多场景序列产生异常和单场景告警数超过阈值的情况上报严重异常告警;
对于多场景序列产生异常和有单场景告警但告警数未超过阈值的情况上报一般异常告警;
对无多场景序列异常但单场景告警数超过阈值的情况上报一般异常告警;
对只有多场景序列异常或只有单场景告警且告警数未超阈值的上报轻微告警。
作为本实施例的一种举例,本实施例将以一个具体的多场景访问异常实例说明在电力系统场景下,通过单场景访问异常和多场景行为序列异常综合判断多场景访问异常的方法实施例,具体实施例流程如下:
在每台资产主机上部署日志采集代理,采集包括操作系统、中间件、业务系统的日志;
部署本系统在电力系统的网络环境中,能够通过已经部署的采集代理接收到采集的日志信息;
某系统运维人员通过合法权限接入了电力内部网络,并进行了下面的一系列操作,包括登录了业务系统A,执行了远程文件下载,登录了业务系统B,查看了业务系统和中间件的版本,更新了业务系统版本,下载了文件,安装了文件,启动了一个网络服务,本系统通过日志采集代理,在设定的时间窗口1小时内,采集了上述运维人员所有相关操作日志。
匹配到单场景规则,角色运维人员,敏感文件下载,产生告警,其他场景未触发告警;构造多场景行为序列:登录了业务系统A->执行了远程文件下载->登录了业务系统B->下载了文件->安装了文件->启动了一个网络服务->更新了业务系统版本,通过多场景序列异常检测模型进行检测,检测到多场景序列异常的告警,主要由于启动网络服务通常在系统安装或者更新之后。
单场景告警数阈值设置为2,进行综合判断后,产生一条一般告警,包括多场景序列异常和单场景行为异常。
通过采集用户角色信息和用户访问日志信息后,先对日志源进行单场景异常检测,若日志源中的日志不满足操作条件,则产生单场景告警结果,并统计单场景告警结果数量,得到单场景告警次数,再利用多个日志源构建场景序列,对场景序列进行多场景异常检测,得到多场景告警结果,根据单场景告警次数和多场景告警结果进行判断,得到最终告警信息,以使电力系统根据最终告警信息进行上报。本方法能够综合考察多个场景行为,形成对场景检测指标和发生顺序都相关的多场景行为异常检测模型,提高对异常行为的发现率,降低对异常行为检测的误报率。
实施例二
相应地,参见图4,图4是本发明提供的一种电力系统中多场景访问行为异常检测系统,如图所示,该电力系统中多场景访问行为异常检测系统包括:
采集模块401,用于采集用户角色信息和用户访问日志信息,其中,用户访问日志信息包括多个日志源,每个日志源下包括多个日志;
单场景检测模块402,用于对日志源进行单场景异常检测,若日志源中的日志不满足操作条件,则产生单场景告警结果,并统计单场景告警结果数量,得到单场景告警次数;
多场景异常检测模块403,用于利用多个日志源构建场景序列,对场景序列进行多场景异常检测,得到多场景告警结果;
最终告警模块404,用于根据单场景告警次数和多场景告警结果进行判断,得到最终告警信息,以使电力系统根据最终告警信息进行上报。
在优选的实施例当中,单场景检测模块402包括检测单元4021和判断单元4022,
其中,检测单元4021用于利用预设异常检测方法对日志源进行单场景异常检测;
判断单元4022用于若日志源对应的操作不在操作权限内,则产生单场景告警结果。
在优选的实施例当中,多场景异常检测模块403包括场景序列构建单元4031和场景序列检测单元4032,
其中,场景序列构建单元4031用于对用户角色信息下的多个日志源中所有日志进行场景分类,得到多个场景,并根据多个场景进行构建,得到场景序列;
场景序列检测单元4032用于调用预设异常检测模型对场景序列进行检测,得到异常检测结果。
在优选的实施例当中,调用预设异常检测模型对场景序列进行检测,得到检测结果,具体为:
将场景序列中用户角色连续多个操作的场景进行编码,得到第一场景向量;
根据用户角色信息选择对应的预设异常检测模型对向量场景进行检测,得到第二场景向量;
利用第二场景向量和第一场景向量进行误差计算,得到重构误差,若重构误差超过预设阈值,则得到多场景序列异常,若重构误差未超过预设阈值,则得到多场景序列无异常。
在优选的实施例当中,根据单场景告警结果和多场景告警结果进行判断,得到最终告警信息,以使电力系统根据最终告警信息进行上报,具体为:
若单场景告警次数达到预设次数且多场景序列异常,则上报严重异常告警;
若单场景告警次数未达到预设次数且多场景序列异常,则上报一般异常告警;
若单场景告警次数达到预设次数且多场景序列无异常,则上报一般异常告警;
若单场景告警次数达到预设次数或多场景序列异常,则上报轻微异常告警。
本实施例更详细的工作原理和步骤流程可以但不限于参见实施例一的相关记载。
综上所述,实施本发明的实施例,具有如下有益效果:
通过采集用户角色信息和用户访问日志信息后,先对日志源进行单场景异常检测,若日志源中的日志不满足操作条件,则产生单场景告警结果,并统计单场景告警结果数量,得到单场景告警次数,再利用多个日志源构建场景序列,对场景序列进行多场景异常检测,得到多场景告警结果,根据单场景告警次数和多场景告警结果进行判断,得到最终告警信息,以使电力系统根据最终告警信息进行上报。本方法能够综合考察多个场景行为,形成对场景检测指标和发生顺序都相关的多场景行为异常检测模型,提高对异常行为的发现率,降低对异常行为检测的误报率。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步的详细说明,应当理解,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围。特别指出,对于本领域技术人员来说,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种电力系统中多场景访问行为异常检测方法,其特征在于,包括:
采集用户角色信息和用户访问日志信息,其中,所述用户访问日志信息包括多个日志源,每个日志源下包括多个日志;
对所述日志源进行单场景异常检测,若所述日志源中的日志不满足操作条件,则产生单场景告警结果,并统计所述单场景告警结果数量,得到单场景告警次数;
利用多个所述日志源构建场景序列,对所述场景序列进行多场景异常检测,得到多场景告警结果;
根据所述单场景告警次数和所述多场景告警结果进行判断,得到最终告警信息,以使电力系统根据所述最终告警信息进行上报。
2.如权利要求1所述的一种电力系统中多场景访问行为异常检测方法,其特征在于,所述对所述日志源进行单场景异常检测,若所述日志源中的日志不满足操作条件,则产生单场景告警结果,具体为:
利用预设异常检测方法对所述日志源进行单场景异常检测;
若所述日志源对应的操作不在操作权限内,则产生单场景告警结果。
3.如权利要求1所述的一种电力系统中多场景访问行为异常检测方法,其特征在于,所述利用多个所述日志源构建场景序列,对所述场景序列进行多场景异常检测,具体为:
对所述用户角色信息下的多个日志源中所有日志进行场景分类,得到多个场景,并根据所述多个场景进行构建,得到场景序列;
调用预设异常检测模型对所述场景序列进行检测,得到异常检测结果。
4.如权利要求3所述的一种电力系统中多场景访问行为异常检测方法,其特征在于,所述调用预设异常检测模型对所述场景序列进行检测,得到检测结果,具体为:
将所述场景序列中用户角色连续多个操作的场景进行编码,得到第一场景向量;
根据所述用户角色信息选择对应的预设异常检测模型对所述向量场景进行检测,得到第二场景向量;
利用所述第二场景向量和所述第一场景向量进行误差计算,得到重构误差,若所述重构误差超过预设阈值,则得到多场景序列异常,若所述重构误差未超过预设阈值,则得到多场景序列无异常。
5.如权利要求1所述的一种电力系统中多场景访问行为异常检测方法,其特征在于,所述根据所述单场景告警结果和所述多场景告警结果进行判断,得到最终告警信息,以使电力系统根据所述最终告警信息进行上报,具体为:
若所述单场景告警次数达到预设次数且所述多场景序列异常,则上报严重异常告警;
若所述单场景告警次数未达到预设次数且所述多场景序列异常,则上报一般异常告警;
若所述单场景告警次数达到预设次数且所述多场景序列无异常,则上报一般异常告警;
若所述单场景告警次数达到预设次数或所述多场景序列异常,则上报轻微异常告警。
6.一种电力系统中多场景访问行为异常检测系统,其特征在于,包括:
采集模块,用于采集用户角色信息和用户访问日志信息,其中,所述用户访问日志信息包括多个日志源,每个日志源下包括多个日志;
单场景检测模块,用于对所述日志源进行单场景异常检测,若所述日志源中的日志不满足操作条件,则产生单场景告警结果,并统计所述单场景告警结果数量,得到单场景告警次数;
多场景异常检测模块,用于利用多个所述日志源构建场景序列,对所述场景序列进行多场景异常检测,得到多场景告警结果;
最终告警模块,用于根据所述单场景告警次数和所述多场景告警结果进行判断,得到最终告警信息,以使电力系统根据所述最终告警信息进行上报。
7.如权利要求6所述的一种电力系统中多场景访问行为异常检测系统,其特征在于,所述单场景检测模块包括检测单元和判断单元,
其中,所述检测单元用于利用预设异常检测方法对所述日志源进行单场景异常检测;
所述判断单元用于若所述日志源对应的操作不在操作权限内,则产生单场景告警结果。
8.如权利要求6所述的一种电力系统中多场景访问行为异常检测系统,其特征在于,所述多场景异常检测模块包括场景序列构建单元和场景序列检测单元,
其中,所述场景序列构建单元用于对所述用户角色信息下的多个日志源中所有日志进行场景分类,得到多个场景,并根据所述多个场景进行构建,得到场景序列;
所述场景序列检测单元用于调用预设异常检测模型对所述场景序列进行检测,得到异常检测结果。
9.如权利要求6所述的一种电力系统中多场景访问行为异常检测系统,其特征在于,所述调用预设异常检测模型对所述场景序列进行检测,得到检测结果,具体为:
将所述场景序列中用户角色连续多个操作的场景进行编码,得到第一场景向量;
根据所述用户角色信息选择对应的预设异常检测模型对所述向量场景进行检测,得到第二场景向量;
利用所述第二场景向量和所述第一场景向量进行误差计算,得到重构误差,若所述重构误差超过预设阈值,则得到多场景序列异常,若所述重构误差未超过预设阈值,则得到多场景序列无异常。
10.如权利要求6所述的一种电力系统中多场景访问行为异常检测系统,其特征在于,所述根据所述单场景告警结果和所述多场景告警结果进行判断,得到最终告警信息,以使电力系统根据所述最终告警信息进行上报,具体为:
若所述单场景告警次数达到预设次数且所述多场景序列异常,则上报严重异常告警;
若所述单场景告警次数未达到预设次数且所述多场景序列异常,则上报一般异常告警;
若所述单场景告警次数达到预设次数且所述多场景序列无异常,则上报一般异常告警;
若所述单场景告警次数达到预设次数或所述多场景序列异常,则上报轻微异常告警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310883316.9A CN116723043A (zh) | 2023-07-18 | 2023-07-18 | 一种电力系统中多场景访问行为异常检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310883316.9A CN116723043A (zh) | 2023-07-18 | 2023-07-18 | 一种电力系统中多场景访问行为异常检测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116723043A true CN116723043A (zh) | 2023-09-08 |
Family
ID=87868008
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310883316.9A Pending CN116723043A (zh) | 2023-07-18 | 2023-07-18 | 一种电力系统中多场景访问行为异常检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116723043A (zh) |
-
2023
- 2023-07-18 CN CN202310883316.9A patent/CN116723043A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106911668B (zh) | 一种基于用户行为模型的身份认证方法及系统 | |
Suaboot et al. | A taxonomy of supervised learning for idss in scada environments | |
US11444959B2 (en) | Integrated equipment fault and cyber attack detection arrangement | |
CA3034176A1 (en) | An artificial intelligence cyber security analyst | |
US10885185B2 (en) | Graph model for alert interpretation in enterprise security system | |
WO2008157491A1 (en) | Method and system for state encoding | |
CN112114995A (zh) | 基于进程的终端异常分析方法、装置、设备及存储介质 | |
US11449604B2 (en) | Computer security | |
CN112015153A (zh) | 一种无菌灌装生产线异常检测系统和方法 | |
CN111726351B (zh) | 基于Bagging改进的GRU并行网络流量异常检测方法 | |
GB2583892A (en) | Adaptive computer security | |
US11436320B2 (en) | Adaptive computer security | |
CN113904881A (zh) | 一种入侵检测规则误报处理方法和装置 | |
CN115632821A (zh) | 基于多种技术的变电站威胁安全检测及防护方法及装置 | |
US20180276566A1 (en) | Automated meta parameter search for invariant based anomaly detectors in log analytics | |
CN116436659A (zh) | 一种网络安全威胁的量化分析方法及装置 | |
CN115561546A (zh) | 电力系统异常检测报警系统 | |
CN111935099A (zh) | 一种基于深度降噪自编码网络的恶意域名检测方法 | |
CN117439916A (zh) | 一种网络安全测试评估系统及方法 | |
CN116723043A (zh) | 一种电力系统中多场景访问行为异常检测方法及系统 | |
CN116614258A (zh) | 一种安全态势感知系统的网络危险预测模型 | |
CN116418591A (zh) | 一种计算机网络安全入侵智能检测系统 | |
CN116738302A (zh) | 检测网络中基础设施设备产生的时间序列数据异常的方法 | |
AU2019290036A1 (en) | System for technology infrastructure analysis | |
CN113162904B (zh) | 一种基于概率图模型的电力监控系统网络安全告警评估方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |