申请/专利权人：北京科东电力控制系统有限责任公司;国家电网有限公司;国网辽宁省电力有限公司

申请日：2021-03-03

公开（公告）日：2024-06-21

公开（公告）号：CN112966259B

主分类号：G06F21/55

分类号：G06F21/55;G06F18/23213;G06F18/2433;G06F18/26;G06N5/01;G06F16/2458;G06N20/20;G06Q50/06

优先权：

专利状态码：有效-授权

法律状态：2024.06.21#授权;2021.07.02#实质审查的生效;2021.06.15#公开

摘要：本发明公开了一种电力监控系统运维行为安全威胁评估方法及设备，将运维日志记录的运维事务属性进行转化得到数值化后的运维事务特征集合；将运维事务特征集合中的运维事务进行运维角色分类；在每类运维角色内，根据运维事务与该类运维角色的人员画像特征属性的偏差计算人员画像偏差分数；在每类运维角色内，根据集成学习异常检测模型的检测结果，得到异常指令行为分数；根据人员画像偏差分数与异常指令行为分数确定总的行为分数，根据预先设定的行为分数与安全威胁等级之间的关系，确定运维事务的安全威胁等级。优点：能够得到较高检测的准确率；结合集成学习的相关原理，能够将多种不同检测方法的优点相结合，得到更好的威胁检测效果。

主权项：1.一种电力监控系统运维行为安全威胁评估方法，其特征在于，包括：获取电网监控系统中的运维日志记录，将运维日志记录的运维事务属性转化为纯数值型属性的元组，得到数值化后的运维事务特征集合；将运维事务特征集合中的运维事务进行运维角色分类；在每类运维角色内，根据运维事务与该类运维角色的人员画像特征属性的偏差计算人员画像偏差分数；在每类运维角色内，根据集成学习异常检测模型的检测结果，得到异常指令行为分数；将人员画像偏差分数和异常指令行为分数相加得到总的行为分数，根据预先设定的行为分数与安全威胁等级之间的关系，确定运维事务的安全威胁等级；所述运维事务属性包括运维日志中的登陆时间、源IP、目的IP和Linux系统中的操作指令；所述在每类运维角色内，根据运维事务与该类运维角色的人员画像特征属性的偏差计算人员画像偏差分数的过程包括：基于预先获得的人员画像的大数据知识，分别在最终的事务特征集Di内根据数理统计中的均值、方差原理构造“指令活跃曲线”，“常访问IP”，“指令序列基线”，“指令习惯”和“常登录时间段”这五个特征属性；根据运维事务特征与所属角色类型画像属性之间的偏差情况，得到各自的属性偏差分数ej,j＝1,2,3,4,5；利用下式计算得到人员画像偏差分数e， 所述在每类运维角色内，根据集成学习异常检测模型的检测结果，得到异常指令行为分数的过程包括：对运维事务d在其所属Di内，构建LOF异常检测模型，根据运维事务d在模型中得到的局部离群因子值lof，计算LOF异常检测分数l；对运维事务d在其所属Di内，构建iForest异常检测模型，根据运维事务d在模型中得到的异常值Sd，计算iForest异常检测分数f；对运维事务d在其所属Di内，构建k-Means聚类模型，根据运维事务d在聚类结果中与所属簇及其他簇之间的欧式距离情况，计算k-Means异常检测分数k；结合LOF异常检测分数l、iForest异常检测分数f和k-Means异常检测分数得到总的异常检测分数s。

全文数据：

权利要求：

百度查询： 北京科东电力控制系统有限责任公司;国家电网有限公司;国网辽宁省电力有限公司 电力监控系统运维行为安全威胁评估方法及设备

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD