WO2021063068A1

WO2021063068A1 - 运维管控、运维分析方法、装置、系统及存储介质

Info

Publication number: WO2021063068A1
Application number: PCT/CN2020/101775
Authority: WO
Inventors: 黄复鹏; 梁潇; 高昆仑; 郑晓崑; 赵保华
Original assignee: 全球能源互联网研究院有限公司; 国家电网有限公司
Priority date: 2019-09-30
Filing date: 2020-07-14
Publication date: 2021-04-08
Also published as: CN110636075A

Abstract

本申请公开了一种运维管控、运维分析方法及装置，其中，运维管控方法包括：接收运维终端的访问请求；确定运维终端的访问权限；根据运维终端的访问权限，将运维终端与被运维电力设备建立通信连接；获取所述运维终端的运维数据；将运维终端的身份信息和运维数据发送到运维分析设备，以使所述运维分析设备确定所述运维终端的运维异常信息。

Description

运维管控、运维分析方法、装置、系统及存储介质

本申请要求在2019年09月30日提交中国专利局、申请号为201910941874.X的中国专利申请的优先权，该申请的全部内容通过引用结合在本申请中。

技术领域

本申请涉及信息安全技术领域，例如涉及一种运维管控、运维分析方法、装置、系统及存储介质。

背景技术

在科技高度发展的当下，以计算机和网络通信技术为特征的信息技术在多个领域得到了广泛应用。以电力行业为例，将信息技术与电力设备的运维工作相结合，大大提高了电力设备的运维工作的便利性。

相关技术中，运维终端对电力设备的运维工作是当运维终端接入电力设备所在的局域网，即对电力设备进行运维工作。但若接入局域网内的运维终端为非法用户，如无访问权限的运维终端或者盗用合法用户访问权限的运维终端，将严重影响电力设备的安全性，故亟待提出一种运维管控方法以保证电力设备运维过程的安全性。

发明内容

本申请要解决相关技术中对电力设备运维方式安全性低的问题，从而提供一种运维管控、运维分析方法、装置、系统及存储介质。

本申请实施例提供了一种运维管控方法，包括：接收运维终端的访问请求，所述访问请求包括运维终端的身份信息；根据所述访问请求，确定所述运维终端的访问权限；根据所述运维终端的访问权限，将所述运维终端与被运维电力设备建立通信连接；获取所述运维终端的运维数据，所述运维数据包括：所述运维终端对所述被运维电力设备进行运维的操作行为信息；将所述运维终端的身份信息和所述运维终端的运维数据发送到运维分析设备，以使所述运维分析设备确定所述运维终端的运维异常信息。

本申请实施例提供了一种运维分析方法，包括：接收运维终端的身份信息和运维终端的运维数据，所述运维数据包括，所述运维终端对被运维电力设备进行运维的操作行为信息；将所述运维终端的身份信息和运维终端的运维数据输入到预先训练好的运维分析模型；根据所述运维分析模型的输出结果，确定所述运维终端的运维异常信息。

本申请实施例提供了一种运维管控装置，包括：第一接收模块，设置为接收运维终端的访问请求，所述访问请求包括运维终端的身份信息；确定模块，设置为根据所述访问请求，确定所述运维终端的访问权限；通信模块，设置为根据所述运维终端的访问权限，将所述运维终端与被运维电力设备建立通信连接；第一获取模块，设置为获取所述运维终端的运维数据，所述运维数据包括：所述运维终端对所述被运维电力设备进行运维的操作行为信息；第一发送模块，设置为将所述运维终端的身份信息和所述运维终端的运维数据发送到运维分析设备，以使所述运维分析设备确定所述运维终端的运维异常信息。

本申请实施例提供了一种运维分析装置，包括：第一接收模块，设置为接收运维终端的身份信息和运维终端的运维数据，所述运维数据包括，所述运维终端对被运维电力设备进行运维的操作行为信息；第一输入模块，设置为将所述运维终端的身份信息和运维终端的运维数据输入到预先训练好的运维分析模型；确定异常模块，设置为根据所述运维分析模型的输出结果，确定所述运维终端的运维异常信息。

本申请实施例提供了一种运维管控系统，包括：被运维电力设备；运维终端；运维管控设备，与所述被运维电力设备和所述运维终端连接，包括：第一存储器和第一处理器，所述第一存储器和所述第一处理器之间互相通信连接，所述第一存储器中存储有计算机指令，所述第一处理器通过执行所述计算机指令，从而执行本申请任一实施方式中所述的运维管控方法；运维分析设备，与所述运维管控设备连接，包括：第二存储器和第二处理器，所述第二存储器和所述第二处理器之间互相通信连接，所述第二存储器中存储有计算机指令，所述第二处理器通过执行所述计算机指令，从而执行本申请任一实施方式中所述的运维分析方法。

本申请实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机执行实现本申请任一实施方式中所述的运维管控方法，或者执行实现本申请任一实施方式中所述的运维管控方法。

附图说明

为了说明本申请实施例或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，下面描述中的附图是本申请的一些实施方式。

图1为本申请实施例提出的一种运维管控方法的流程图；

图2为本申请实施例提出的一种运维管控方法的流程图；

图3为本申请实施例提出的一种运维管控方法的流程图；

图4为本申请实施例提出的一种获取运维终端对被运维电力设备进行运维的网络流量的流程图；

图5为本申请实施例提出的一种运维分析方法的流程图；

图6为本申请实施例提出的一种运维分析方法的流程图；

图7为本申请实施例提出的一种运维管控、运维分析方法的应用场景示意图；

图8为本申请实施例提出的一种运维管控装置的框图；

图9为本申请实施例提出的一种运维管控装置的框图；

图10为本申请实施例提出的一种运维管控装置的框图；

图11为本申请实施例提出的一种运维管控装置中第一获取模块的框图；

图12为本申请实施例提出的一种运维分析装置的框图；

图13为本申请实施例提出的一种运维分析装置的框图；

图14为本申请实施例提出的一种运维管控系统的框图。

具体实施方式

下面将结合附图对本申请的技术方案进行描述，所描述的实施例是本申请一部分实施例，而不是全部的实施例。

在本申请的描述中，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本实施例提供一种运维管控方法，可用于终端或服务器等电子设备中，本申请实施例以运维管控终端为例进行说明。如图1所示，该运维管控方法包括：

S110，接收运维终端的访问请求，访问请求包括运维终端的身份信息。

示例性地，该运维终端可以为手机、笔记本或者台式机等可输入访问请求，并可与运维管控终端建立通信连接，将访问请求发送给运维管控终端的任一电子设备，本申请实施例对运维终端不作限定。访问请求可以包括运维终端的身份信息，运维终端的身份信息可以是运维终端在运维管控终端预先注册的账号及密码信息，也可以是运维终端在运维管控终端预存的用户生物特征信息，比如指纹信息、人脸信息、虹膜信息等。本申请实施例对身份信息不作限定，本领域技术人员可以根据实际使用需要确定。访问请求也可以包括运维终端的运维目的信息，比如运维终端的运维目的是向被运维电力设备上传数据或者是运维终端从被运维电力设备下载数据。

S120，根据访问请求，确定运维终端的访问权限。

示例性地，当接收到运维终端的访问请求时，可以将访问请求包含的信息与预先存储的信息进行匹配，根据匹配结果，确定运维终端的访问权限。例如，当访问请求包含运维终端的身份信息时，以该身份信息为运维终端预先注册的账号及密码信息为例，当接收到运维终端的账号及密码信息时，将该账号及密码信息与预先存储的账号及密码信息进行匹配，当匹配成功时，得到该运维终端的访问权限。运维终端的访问权限可以是运维终端对被运维电力设备的所有访问权限，也可以是运维终端对被运维电力设备的部分访问权限，例如预先将运维终端的身份信息与对被运维电力设备的部分访问权限进行绑定，在运维终端的身份信息得到验证后，使得运维终端按照关联的访问权限对被运维电力设备进行运维。比如运维终端A对应的身份信息A预先绑定的访问权限为下载数据，则当接收到该身份信息A时，即为该运维终端A设置下载数据的权限，使得该运维终端A只能执行数据下载的操作，无法执行其他运维操作。本申请实施例对确定访问权限的方式不作限定，本领域技术人员可以根据实际需要确定。

S130，根据运维终端的访问权限，将运维终端与被运维电力设备建立通信连接。

示例性地，通信连接方式可以是通过被运维电力设备的IP地址及对应服务的端口号，将运维终端与被运维电力设备建立通信。根据运维终端的访问权限，可以将运维终端与所有被运维电力设备建立通信连接；或者是根据预先设定的运维终端的身份信息与对应的访问权限的关联关系，以及接收到的运维终端的身份信息，与对应的被运维电力设备建立通信连接，使得运维终端可以与一个或几个被运维电力设备建立通信连接；或者是运维终端与一个或几个被运维电力设备的目标服务端口建立通信连接，使得运维终端对被运维电力设备的访问权限可以控制在端口级别，该目标服务端口可以包括被运维电力设备的数据下载端口、数据上传端口、数据查看端口等。

S140，获取运维终端的运维数据，运维数据包括：运维终端对被运维电力设备进行运维的操作行为信息。

示例性地，对运维终端的运维数据的获取方式可以是实时对运维终端的运维数据进行采集，也可以是按照目标间隔时长对运维终端的运维数据进行采集。本申请实施例对运维数据的获取方式不作限定，本领域技术人员可以根据实际使用需要确定。获取的运维终端的运维数据可以是进行运维操作的运维终端的运维数据，也可以是所有运维终端的运维数据，也可以是根据运维终端的类型，获取目标类型的运维终端的运维数据，本申请实施例对该运维终端不作限定，本领域技术人员可以根据实际使用需要确定。

运维数据可以包括运维终端对被运维电力设备进行运维的操作行为信息，运维终端对被运维电力设备进行运维的操作行为信息可以包括：例如运维终端向被运维电力设备上传或下载数据的时间、次数，还可以包括上传或下载数据的数据类型。运维数据还可以包括运维终端和被运维电力设备的IP地址以及被运维电力设备的服务端口号。本申请实施例对运维数据包含的数据种类不作限定，本领域技术人员可以根据实际使用确定。运维终端的运维数据可以通过运维管控终端的运维审计功能对运维终端的全过程进行记录和获取，同时运维管控终端提供事后操作过程回访功能接口，保证运维安全。

S150，将运维终端的身份信息和运维终端的运维数据发送到运维分析设备，以使运维分析设备确定运维终端的运维异常信息。

示例性地，将运维终端的身份信息以及获取的运维终端的运维数据上传至运维分析设备，由运维分析设备对运维过程进行分析，识别运维过程中的异常操作行为，可以确定非法用户身份以及潜在攻击行为。

本申请实施例提供的运维管控方法，通过接收运维终端的访问请求，根据访问请求，确定运维终端的访问权限，建立运维终端与被运维电力设备的通信连接，获取运维终端的运维数据，将运维终端的身份信息和运维终端的运维数据发送至运维分析设备，确定运维终端的运维异常信息。本申请实施例通过对运维终端的运维异常信息进行分析可以确定非法用户，从而避免非法用户对运维终端进行运维工作，此种集用户身份认证、访问权限控制、操作审计于一体的运维管控方法，实现了事前预防、事中控制和事后审计，提高了电力设备运维过程的安全性。

作为本申请的一个可选实施方式，如图2所示，步骤S130之后，包括：

S1310，在接收到运维终端的数据获取请求的情况下，将数据获取请求发送到被运维电力设备。

示例性地，当运维终端需要从被运维电力设备获取数据时，需要向被运维电力设备发出数据获取请求。该数据获取请求包括但不限于运维终端的身份信息、运维终端需要获取的数据种类信息，以供被运维电力设备根据运维终端的身份信息和运维终端需要获取的数据种类信息确定是否对运维终端进行授权。

S1320，将接收到的被运维电力设备的授权信息发送到运维终端，使得运维终端根据接收到的授权信息从被运维电力设备中获取数据。

示例性地，当被运维电力设备对运维终端进行授权后，将接收到的授权信息发送给运维终端，使得运维终端根据该授权信息从被运维电力设备获取数据。本申请实施例中被运维电力设备的授权信息可以通过被运维电力设备的工控终端发出。通过被运维电力设备对运维终端的数据获取请求进行授权，使得运维终端在得到被运维电力设备的授权信息后获取数据信息，避免了恶意数据获取，保证了被运维电力设备数据的安全性。

作为本申请的一个可选实施方式，如图3所示，步骤S130之后，还包括：

S1330，在检测到运维终端的数据上传请求的情况下，获取运维终端的待上传数据。

示例性地，数据上传请求可以是当运维终端检测到有数据上传时，触发运维终端向运维管控终端发送数据上传请求。比如当运维终端检测到数据接口外接U盘或移动硬盘时，随即触发运维终端发送数据上传请求。当检测到运维终端的数据上传请求时，可以通过向运维终端发送数据接收指令，使得运维终端根据接收到的数据接收指令向运维管控终端传输待上传数据。

S1340，对待上传数据进行安全性检测。

示例性地，当接收到运维终端向被运维电力设备上传的数据时，对待上传数据进行安全性检测，以保证被运维电力设备的安全性。安全性检测方式可以包括对上传的数据进行隔离和杀毒，以确保上传数据的安全性。

S1350，在待上传数据满足安全性要求的情况下，根据接收到被运维电力设备的数据获取请求，将待上传数据传输到被运维电力设备。

示例性地，在确认上传数据的安全性后，可以根据被运维电力设备对上传数据的获取请求，将该待上传数据通过网络通信方式传输到被运维电力设备，同时记录获取该上传数据的网络路径、文件名、时间以及对应的运维终端的操作人员信息等相关信息，以便后续进行数据获取行为的追溯和审计。通过对待上传的数据进行隔离、杀毒，再将隔离、杀毒后的数据上传到被运维电力设备，该方法避免了外部设备携带的病毒或者恶意程序对被运维电力设备造成攻击，提高了被运维电力设备的安全性。

作为本申请的一个可选实施方式，运维终端的运维数据还包括：运维终端对被运维电力设备进行运维的网络流量。

如图4所示，获取运维终端对被运维电力设备进行运维的网络流量的步骤，包括：

S1410，基于目标通信协议，对运维终端与被运维电力设备之间的交互报文信息进行解析。

示例性地，运维终端对被运维电力设备进行运维的网络流量的获取方式可以是基于预设解析协议对运维终端与被运维电力设备之间的交互报文信息进行解析后获取。通过报文解析后得到的网络流量可以包括运维终端的操作流量(例如访问量、点击量)、运维终端的数据下载/上传量。解析协议可以包括IEC61850或者是IEC60870-5-104。本申请实施例对解析协议不作限定，本领域技术人员可以根据实际使用需要确定。

S1420，根据解析结果，确定运维终端对被运维电力设备进行运维的网络流量。

示例性地，网络流量的确定方式可以是将报文解析后得到的运维终端的操作流量、数据下载量以及数据上传量相加以确定运维终端的网络流量；也可以是根据目标种类的流量确定，比如根据数据下载量和数据上传量相加确定，本申请实施例对网络流量的确定方式不作限定，本领域技术人员可以根据实际使用需要确定。通过解析访问请求获取运维终端对被运维电力设备进行运维的网络流量，便于及时发现异常的访问请求，能够及时对异常情况做出反应，便于运维技术人员对被运维电力设备进行及时维护。

本实施例还提供了一种运维分析方法，可用于终端或服务器等电子设备中，本申请实施例以运维分析终端为例进行说明。如图5所示，包括：

S210，接收运维终端的身份信息和运维终端的运维数据，运维数据包括，运维终端对被运维电力设备进行运维的操作行为信息。

对运维终端的身份信息和运维终端的运维数据的说明参见上一实施例对应部分的描述，本实施例在此不再赘述。

S220，将运维终端的身份信息和运维终端的运维数据输入到预先训练好的运维分析模型。

示例性地，该运维分析模型根据预先得到的多个运维终端的身份信息、运维终端的运维数据作为输入，以对应的运维异常信息作为输出训练得到。以运维终端的运维数据为运维终端对被运维电力设备进行运维的操作行为信息为例，根据多个运维终端的身份信息、操作行为信息以及对应的运维异常信息训练运维分析模型，使得运维分析模型可以识别出不同操作行为对应的运维异常信息。

以运维终端对被运维电力设备进行运维的操作行为信息为运维终端在目标时长内(例如一个小时或一天)向被运维设备上传数据的次数为例。当运维分析模型识别出某一个运维终端A在目标时长内上传数据的次数超过目标次数时，可以根据超过的目标次数所在的范围，识别出不同的运维异常信息。比如运维终端A正常情况下一天内上传数据的次数为2次，当接收到的运维终端A在一天时间内上传数据的次数超过5次，根据运维分析模型可以得到该运维终端A的账号可能被盗用；当接收到的运维终端A在一天内上传数据的次数超过10次，可以得到该运维终端A可能被病毒攻击；当多个运维终端在目标时间内出现上传数据次数大于目标次数时，可以得到运维终端侧可能出现网络故障。本申请实施例对运维分析模型根据不同的输入数据得到的运维异常信息的类别不作限定，本领域技术人员可以根据实际需要确定。训练得到的运维分析模型的识别分析准确率可以根据实际使用需要确定，本申请实施例对此不作限定。

S230，根据运维分析模型的输出结果，确定运维终端的运维异常信息。

示例性地，将待分析的运维终端的身份信息和运维终端的运维数据输入到运维分析模型，根据运维分析模型得到运维异常信息。

示例性地，用于对被运维电力设备进行运维工作的运维终端可以是一个或多个，则存在运维异常的可能是一个或多个运维终端。当用于进行运维工作的运维终端包括多个时，可以将多个运维终端的身份信息和运维终端的运维数据输入到运维分析模型进行分析，从而可以同时得到多个运维异常识别结果，并根据异常识别结果对被运维电力设备进行维护。

本实施例提供的运维分析方法，通过接收运维终端的身份信息和运维终端的运维数据，将运维终端的身份信息和运维终端的运维数据输入到预先训练好的运维分析模型，根据运维分析模型的输出结果，确定运维终端的运维异常信息。此方法能够对通过运维终端对被运维电力设备的操作行为进行异常分析，识别异常行为并进行告警，并分析接入被运维电力设备的运维终端进行身份信息，对运维终端进行感知，以便发现以被运维电力设备为目标的潜在攻击行为，提高了运维过程的安全性。

作为本申请的一个可选实施方式，运维数据还包括运维终端对被运维电力设备进行运维的网络流量。

示例性地，运维分析模型可以预先通过将多个运维终端的身份信息、操作行为信息和网络流量样本作为输入以及将操作行为信息和网络流量对应的运维异常信息作为输出进行训练得到。通过不同的运维终端对被运维电力设备进行运维的网络流量可对应识别出被运维电力设备的节点连接异常情况、运维终端的网络流量占用分布情况、网络流量的走势情况，并对出现的运维异常信息进行告警，使得异常情况得以尽快发现并处理，保证了电力系统中被运维电力设备的安全性。

作为本申请的一个可选实施方式，如图6所示，在步骤S230之后包括：

S2330，根据运维终端的运维数据，确定运维异常信息与安全性攻击行为的关联关系。

示例性地，对获取到的运维终端的运维数据相关的报文信息、字段含义进行解析，根据解析结果确定运维异常信息与安全性攻击行为的关联关系。例如当前运维异常信息为运维终端对被运维电力设备进行运维的网络流量出现异常，通过对报文信息进行解析后，确定报文信息中存在病毒，得到当前运维异常信息与病毒攻击行为相关联。

S2340：根据关联关系，确定安全性攻击行为与运维终端的相关度。

示例性地，以安全性攻击行为是病毒攻击行为为例，当确定当前运维异常信息与病毒攻击行为相关联后，可以通过嗅探等方式确定病毒数据包的来源，继而确定病毒攻击行为是否由运维终端发起。通过确定运维异常信息与安全性攻击行为的关联关系，以及安全性攻击行为与运维终端的相关度，能够进一步确认运维异常的来源，便于运维技术人员及时对影响被运维电力设备的安全性的异常来源做出及时反应，及时阻断该异常来源对被运维电力设备的攻击。

作为本申请一个可选实施方式，在步骤S2340之后包括：

S2350：将运维异常信息与安全性攻击行为的关联关系、安全性攻击行为与运维终端的相关度输入到潜在攻击行为预测模型。

示例性地，该潜在攻击行为预测模型可以预先通过将多个运维异常信息与安全性攻击行为的关联关系、安全性攻击行为与运维终端的相关度作为输入，以及将对应实际攻击行为作为输出进行训练得到。本申请实施例对训练得到的潜在攻击行为预测模型的准确性不作限定，本领域技术人员可以根据实际需要确定。

S2360：根据潜在攻击行为预测模型的输出结果，确定潜在攻击行为。

示例性地，将运维异常信息与安全性攻击行为的关联关系、安全性攻击行为与运维终端的相关度输入到潜在攻击行为预测模型，根据潜在攻击行为预测模型，得到对应的潜在攻击行为，并根据潜在攻击行为对该被运维电力设备及时进行维护。

作为本申请一个可选实施方式，在步骤S230之后还包括：

S2370，根据运维异常信息进行异常告警。

示例性地，对运维异常信息进行异常告警的方式可以是将运维异常信息发送给运维人员，为了便于维护，也可以根据运维异常信息的类型，发送给相应的运维人员，使得运维人员可以及时进行异常维护。异常告警的方式可以采用以文字、语音等形式。本申请实施例对异常告警的方式不作限定，本领域技术人员可以根据实际需要确定。通过确定运维异常信息并对运维异常进行告警，便于运维人员及时确定运维异常行为，以便发送异常行为阻断指令对异常行为进行阻断。

如图7所示，为将运维管控方法与运维分析方法应用于多个变电站进行安全运维监控为例。运维环境处于变电站网络环境中，运维管控设备分别与运维终端、被运维电力设备、运维分析设备通信连接。通过运维管控设备接收运维终端的访问请求；对操作运维终端的运维人员进行身份认证，确定运维终端的访问权限；再根据运维终端的访问权限，将运维终端与被运维电力设备建立通信连接，运维终端与被运维电力设备可以通过被运维电力设备侧的工控终端的交换机建立通信。同时将获取到的运维终端的身份信息和运维数据发送到运维分析设备，运维分析设备对运维终端的运维异常信息进行识别与分析，比如流量异常识别、操作行为异常识别、异常行为关联分析以及异常行为分析预测等，并对运维异常信息进行异常告警。通过此方法便于运维人员及时确定运维异常行为，以便发送异常行为阻断指令对异常行为进行阻断。

本申请实施例提供一种运维管控装置，如图8所示，包括：第一接收模块31，设置为接收运维终端的访问请求，访问请求包括运维终端的身份信息；确定模块32，设置为根据访问请求，确定运维终端的访问权限；通信模块33，设置为根据运维终端的访问权限，将运维终端与被运维电力设备建立通信连接；第一获取模块34，设置为获取所述运维终端的运维数据，运维数据包括：运维终端对被运维电力设备进行运维的操作行为信息；第一发送模块35，设置为将运维终端的身份信息和运维终端的运维数据发送到运维分析设备，以使运维分析设备确定运维终端的运维异常信息。

本实施例提供的运维管控装置，通过第一接收模块接收运维终端的访问请求，根据访问请求，通过确定模块确定运维终端的访问权限，再由通信模块建立运维终端与被运维电力设备的通信连接，通过第一获取模块获取运维终端的运维数据，最后通过第一发送模块将运维终端的身份信息和运维终端的运维数据发送至运维分析设备，确定运维终端的运维异常信息。本申请实施例通过对运维终端的运维异常信息进行分析可以确定非法用户，从而避免非法用户对运维终端进行运维工作，该装置集用户管理、身份认证、访问控制、操作审计于一体，实现了事前预防、事中控制和事后审计，严格保证了电力设备运维过程中的安全性。

作为本申请一个可选实施方式，如图9所示，该装置还包括：第二发送模块331：设置为在接收到运维终端的数据获取请求的情况下，将数据获取请求发送到被运维电力设备；第二接收模块332：设置为将接收到的被运维电力设备的授权信息发送到运维终端，使得运维终端根据接收到的授权信息从被运维电力设备中获取数据。

作为本申请一个可选实施方式，如图10所示，该装置还包括：第二获取模块333：设置为在检测到运维终端的数据上传请求的情况下，获取运维终端的待上传数据；检测模块334：设置为对待上传数据进行安全性检测；传输模块335：设置为在待上传数据满足安全性要求的情况下，根据接收到被运维电力设备的数据获取请求，将待上传数据传输到被运维电力设备。

作为本申请一个可选实施方式，运维终端的运维数据，还包括：运维终端对被运维电力设备进行运维的网络流量。如图11所示，第一获取模块34包括：操作行为信息获取子模块361，设置为获取运维终端对被运维电力设备进行运维的操作行为信息；解析子模块362，设置为基于目标通信协议，对访问请求进行解析；确定流量子模块363，设置为根据解析结果，确定运维终端对被运维电力设备进行运维的网络流量。

本施例提供一种运维分析装置，如图12所示，包括：接收模块41，设置为接收运维终端的身份信息和运维终端的运维数据，运维数据包括，运维终端对被运维电力设备进行运维的操作行为信息；第一输入模块42，设置为将运维终端的身份信息和运维终端的运维数据输入到预先训练好的运维分析模型；确定异常模块43，设置为根据运维分析模型的输出结果，确定运维终端的运维异常信息。

本实施例提供的运维分析装置，通过接收模块接收运维终端的身份信息和运维终端的运维数据，由第一输入模块将运维终端的身份信息和运维终端的运维数据输入到预先训练好的运维分析模型，最后根据运维分析模型的输出结果，通过确定异常模块确定运维终端的运维异常信息。该装置能够对被运维电力设备的操作行为进行异常分析，识别异常行为并进行告警，并分析接入被运维电力设备的运维终端进行身份信息，对运维终端进行感知，以便发现以被运维电力设备为目标的潜在攻击行为，有效保障了运维管理系统的安全性。

作为本申请一个可选实施方式，运维数据还包括运维终端对被运维电力设备进行运维的网络流量。

作为本申请一个可选实施方式，如图13所示，该装置还包括：关联模块433：设置为根据运维终端的运维异常信息，确定运维异常信息与安全性攻击行为的关联关系；确定相关度模块434：设置为根据关联关系，确定安全性攻击行为与运维终端的相关度。

作为本申请一个可选实施方式，该装置还包括：第二输入模块4341：设置为将运维异常信息与安全性攻击行为的关联关系、运维异常信息与运维终端的相关度输入到潜在攻击行为预测模型；确定攻击模块4342：设置为根据潜在攻击行为预测模型的输出结果，确定潜在攻击行为。

作为本申请一个可选实施方式，该装置还包括：告警模块44：设置为对异常情况进行异常告警。

本申请实施例还提供了一种运维管控系统，如图14所示，该运维管控系统，包括：被运维电力设备51；运维终端52；运维管控设备53，与被运维电力设备和运维终端连接，包括：第一处理器531和第一存储器532，第一处理器531和第一存储器532之间互相通信连接，第一处理器531中存储有计算机指令，第一处理器532通过执行所述计算机指令，从而执行上述实施例中的运维管控方法；运维分析设备54，与运维管控设备53连接，包括：第二处理器541和第二存储器542，第二处理器541和第二存储器542之间互相通信连接，第二处理器541中存储有计算机指令，第二处理器542通过执行所述计算机指令，从而执行上述实施例中的运维分析方法。

第一处理器531和第二处理器541可以为中央处理器(Central Processing Unit，CPU)、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。

第一存储器532和第二存储器542作为一种非暂态计算机可读存储介质，可设置为存储非暂态软件程序、非暂态计算机可执行程序以及模块，如分别存储本申请实施例中的运维管控方法和运维分析方法对应的程序指令/模块(例如，图8所示的第一接收模块31、确定模块32、通信模块33、第一获取模块34和第一发送模块35；图12所示的接收模块41、第一输入模块42和确定异常模块43)。第一处理器531通过运行存储在第一存储器532中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及数据处理，即实现上述方法实施例中的运维管控方法。第二处理器541通过运行存储在第二存储器542中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及数据处理，即实现上述方法实施例中的运维分析方法。

第一存储器532和第二存储器542可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储第一处理器531或第二处理器541所创建的数据等。此外，第一存储器532和第二存储器542可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，第一存储器532和第二存储器542可选包括相对于第一处理器531和第二处理器542远程设置的存储器，这些远程存储器可以通过网络连接至第一处理器531和第二处理器541。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

Claims

一种运维管控方法，包括：

接收运维终端的访问请求，所述访问请求包括所述运维终端的身份信息；

根据所述访问请求，确定所述运维终端的访问权限；

根据所述运维终端的访问权限，将所述运维终端与被运维电力设备建立通信连接；

获取所述运维终端的运维数据，所述运维数据包括：所述运维终端对所述被运维电力设备进行运维的操作行为信息；

将所述运维终端的身份信息和所述运维终端的运维数据发送到运维分析设备，以使所述运维分析设备确定所述运维终端的运维异常信息。
根据权利要求1所述的方法，在所述根据所述运维终端的访问权限，将所述运维终端与被运维电力设备建立通信连接之后，还包括：

在接收到所述运维终端的数据获取请求的情况下，将所述数据获取请求发送到所述被运维电力设备；

将接收到的所述被运维电力设备的授权信息发送到所述运维终端，使得所述运维终端根据接收到的所述授权信息从所述被运维电力设备中获取数据。
根据权利要求1所述的方法，在所述根据所述运维终端的访问权限，将所述运维终端与被运维电力设备建立通信连接之后，还包括：

在检测到所述运维终端的数据上传请求的情况下，获取所述运维终端的待上传数据；

对所述待上传数据进行安全性检测；

在所述待上传数据满足安全性要求的情况下，根据接收到的所述被运维电力设备的数据获取请求，将所述待上传数据传输到所述被运维电力设备。
根据权利要求1所述的方法，其中，所述运维终端的运维数据，还包括：所述运维终端对所述被运维电力设备进行运维的网络流量；

获取所述运维终端对所述被运维电力设备进行运维的网络流量包括：

基于目标通信协议，对所述运维终端与所述被运维电力设备之间的交互报文信息进行解析；

根据解析结果，确定所述运维终端对所述被运维电力设备进行运维的网络流量。
一种运维分析方法，包括：

接收运维终端的身份信息和所述运维终端的运维数据，所述运维数据包括：所述运维终端对被运维电力设备进行运维的操作行为信息；

将所述运维终端的身份信息和所述运维终端的运维数据输入到预先训练好的运维分析模型；

根据所述运维分析模型的输出结果，确定所述运维终端的运维异常信息。
根据权利要求5所述的方法，其中，所述运维数据还包括所述运维终端对被运维电力设备进行运维的网络流量。
根据权利要求5所述的方法，在所述根据所述运维分析模型的输出结果，确定所述运维终端的运维异常信息之后，还包括：

根据所述运维终端的运维数据，确定所述运维异常信息与安全性攻击行为的关联关系；

根据所述关联关系，确定所述安全性攻击行为与所述运维终端的相关度。
根据权利要求7所述的方法，在所述根据所述关联关系，确定所述运维异常信息与所述运维终端的相关度之后，还包括：

将所述运维异常信息与所述安全性攻击行为的关联关系、以及所述安全性攻击行为与所述运维终端的相关度输入到潜在攻击行为预测模型；

根据所述潜在攻击行为预测模型的输出结果，确定潜在攻击行为。
根据权利要求5所述的方法，在根据所述运维分析模型的输出结果，确定所述运维终端的运维异常信息之后，还包括：

根据所述运维异常信息进行异常告警。
一种运维管控装置，包括：

第一接收模块，设置为接收运维终端的访问请求，所述访问请求包括所述运维终端的身份信息；

确定模块，设置为根据所述访问请求，确定所述运维终端的访问权限；

通信模块，设置为根据所述运维终端的访问权限，将所述运维终端与被运维电力设备建立通信连接；

第一获取模块，设置为获取所述运维终端的运维数据，所述运维数据包括：所述运维终端对所述被运维电力设备进行运维的操作行为信息；

第一发送模块，设置为将所述运维终端的身份信息和所述运维终端的运维数据发送到运维分析设备，以使所述运维分析设备确定所述运维终端的运维异常信息。
一种运维分析装置，包括：

接收模块，设置为接收运维终端的身份信息和所述运维终端的运维数据，所述运维数据包括：所述运维终端对被运维电力设备进行运维的的操作行为信息；

第一输入模块，设置为将所述运维终端的身份信息和所述运维终端的运维数据输入到预先训练好的运维分析模型；

确定异常模块，设置为根据所述运维分析模型的输出结果，确定所述运维终端的运维异常信息。
一种运维管控系统，包括：

被运维电力设备；

运维终端；

运维管控设备，与所述被运维电力设备和所述运维终端连接，包括：第一存储器和第一处理器，所述第一存储器和所述第一处理器之间互相通信连接，所述第一存储器中存储有计算机指令，所述第一处理器通过执行所述计算机指令，从而执行如权利要求1-4中任一项所述的运维管控方法；

运维分析设备，与所述运维管控设备连接，包括：第二存储器和第二处理器，所述第二存储器和所述第二处理器之间互相通信连接，所述第二存储器中存储有计算机指令，所述第二处理器通过执行所述计算机指令，从而执行如权利要求5-9任一项所述的运维分析方法。
一种计算机可读存储介质，存储有计算机指令，所述计算机指令用于使所述计算机执行如权利要求1-4中任一项所述的运维管控方法，或者权利要求5-9中任一项所述的运维分析方法。