基于行为序列的配电物联网设备异常行为检测方法及装置与流程

1.本发明涉及数据挖掘
‑
异常检测技术领域，更具体涉及基于行为序列的配电物联网设备异常行为检测方法及装置。


背景技术：

2.目前工业互联网的互联互通，使得工业互联网更容易受到攻击，在信息安全上面临新的挑战，同时随着工业设备的功能越来越丰富，其设备工艺也越来越复杂，此时工业设备的运行健康状况也成为了组网安全运行的重点关注内容。工业互联网中的配电物联网在实际应用中已经愈渐成熟，因信息安全和设备健康而出现的问题也越来越多，如何准确的监测和预测配电物联网设备的运行状态，防止造成严重的经济损失等后果，是亟需解决的重点问题，相较于目前传统的人工反复监测设备运行状态和行为的方式，采用大数据分析算法对设备自身行为序列进行异常检测的方法更为创新及高效。
3.异常点检测算法(outlier detection)，又称为离群点检测，是找出与预期对象的行为差异较大的对象的一个检测过程。这些被检测出的对象被称为异常点或者离群点。异常点检测在生产生活中有着广泛应用。根据不同异常检测问题又分为时间序列法、统计法、距离法、线性方法等。目前已有的物联网设备异常检测方法，有基于流量进行时序预测方案，如专利号cn112968816a中所提及，但是此类方法不适用设备存在行为异常，但是流量波动范围极小的情况。当设备被劫持，发送相关非正常指令后但是流量日志大小没有变化是无法被该专利所提方法有效识别的，所以该方法使用范围受限，并且未将设备按照功能类型或属性进行分组检测，所有设备放在一起处理的方法是不合理的；另外还有基于流量行为日志构造特征进行阈值筛选的方法，如专利号cn111614614a中所提及，此方法是基于流量行为日志进行再加工，输出为数值型特征后进行设定阈值进行异常监控的，此方法虽然利用了流量日志，但是数值化后的特征数据失去了行为本身的时序因素，效率不高，在应用方法上较为传统。


技术实现要素：

4.本发明所要解决的技术问题在于现有技术配电物联网设备异常行为检测方法使用范围受限，不适用设备存在行为异常，但是流量波动范围极小的情况，且设备异常检测效率不高。
5.本发明通过以下技术手段实现解决上述技术问题的：基于行为序列的配电物联网设备异常行为检测方法，所述方法包括：
6.步骤一：获取配电物联网设备的样本数据集；
7.步骤二：根据样本数据集对所有的配电物联网设备进行分组；
8.步骤三：根据样本数据集获取以设备id为主体对象的数据集r，所述数据集r中包括与设备id对应的行为序列数据以及类别标签；
9.步骤四：建立异常行为组合库，根据分组结果，分别将同组设备的行为序列数据与
对应的异常行为组合库进行比对，并根据比对结果判定各设备是否异常；并将各个设备是否异常的标签合并至数据集r中得到数据表rx；
10.步骤五：对于已识别异常行为的设备，判断已识别异常行为属于何种类型的安全威胁并处理。
11.本发明以行为序列为根本特征属性，分组进行设备的异常状况检测，异常检测的依据是设备的行为序列，而不仅仅是流量，所以对于流量波动较小的情况还能根据行为序列判断设备是否异常，方法使用范围较广，将设备的行为序列数据与异常行为组合库进行比对的方式对待检设备进行行为异常检测，根据比对结果即可判断行为异常与否，大大提高检测效率。
12.进一步地，所述样本数据集中的字段包括设备id、操作时间、行为指令、设备厂商、功能用途、在线率、通信协议、通信流量、终端类型、信号强度、运行参数，其中运行参数为电压、电流、运行时长。
13.进一步地，所述步骤二包括：
14.判断样本数据集中是否存在设备的功能用途字段；
15.如果有，则根据所述功能用途字段对设备进行分组，同组内的设备具有相同的类别标签；
16.如果没有，则根据样本数据集中的字段进行特征加工以形成结构化设备特征数据表；使用kmeans聚类算法并根据结构化设备特征数据表中的特征进行类别划分，以形成以设备id为主体对象并含有类别标签的特征数据表d1。
17.更进一步地，所述使用kmeans聚类算法根据结构化设备特征数据表中的特征进行类别划分的过程为：给定k值和k个初始类簇中心点，其中k为类别总数，把结构化设备特征数据表中的每个特征向量分到离其最近的类簇中心点所代表的类簇中，所有特征分配完毕之后，根据一个类簇内的所有特征重新计算该类簇的中心点，然后再迭代进行分配特征到离其最近的类簇中心点和更新类簇的中心点的步骤，直至类簇中心点的变化低于预设误差，或者达到预设的迭代次数则停止迭代。
18.更进一步地，所述步骤三包括：
19.对于获取的样本数据集进行空值处理和行为指令编码得到与设备id对应的行为序列数据；
20.以设备id为主体对象，将对应的行为序列数据以及特征数据表d1中的类别标签进行合并，按照时间顺序对合并后的数据进行排列以形成所述数据集r。
21.更进一步地，所述步骤四包括：
22.s41：根据数据集r内的类别标签对设备进行分组后，使用apriori关联分析算法分别对各分组内的设备做异常项集提取，不同分组的设备分别对应若干不同的异常行为组合而成的行为异常组合列表；
23.s42：根据预设规则对异常组合列表进行筛选，并将筛选后的异常组合列表存入异常行为组合库；
24.s43：根据分组结果，分别将同组设备的行为与异常行为组合库中对应类别的设备行为进行匹配，获得设备的是否异常标签，将是否异常标签合并至数据集r，获得包含设备id及其对应的行为序列数据、类别标签、是否异常标签的字段的数据表rx。
25.更进一步地，所述步骤五包括：根据获得的数据表rx，筛选已识别出异常结果的设备，锁定发生异常的行为序列，结合行为指令编码表，反编译行为序列对应的原始行为数据，判定该原始行为数据描述的行为属于何种类型的安全威胁并处理。
26.本发明还提供基于行为序列的配电物联网设备异常行为检测装置，所述装置包括：
27.数据集获取模块，用于获取配电物联网设备的样本数据集；
28.设备分组模块，用于根据样本数据集对所有的配电物联网设备进行分组；
29.数据处理模块，用于根据样本数据集获取以设备id为主体对象的数据集r，所述数据集r中包括与设备id对应的行为序列数据以及类别标签；
30.异常检测模块，用于建立异常行为组合库，根据分组结果，分别将同组设备的行为序列数据与对应的异常行为组合库进行比对，并根据比对结果判定各设备是否异常；并将各个设备是否异常的标签合并至数据集r中得到数据表rx；
31.异常行为处理模块，用于对于已识别异常行为的设备，判断已识别异常行为属于何种类型的安全威胁并处理。
32.进一步地，所述样本数据集中的字段包括设备id、操作时间、行为指令、设备厂商、功能用途、在线率、通信协议、通信流量、终端类型、信号强度、运行参数，其中运行参数为电压、电流、运行时长。
33.进一步地，所述设备分组模块包括：
34.判断单元，用于判断样本数据集中是否存在设备的功能用途字段；
35.分组单元，用于当样本数据集中存在设备的功能用途字段时，根据所述功能用途字段对设备进行分组，同组内的设备具有相同的类别标签；
36.特殊数据表生成单元，用于样本数据集中不存在设备的功能用途字段时，根据样本数据集中的字段进行特征加工以形成结构化设备特征数据表；使用kmeans聚类算法并根据结构化设备特征数据表中的特征进行类别划分，以形成以设备id为主体对象并含有类别标签的特征数据表d1。
37.更进一步地，所述使用kmeans聚类算法根据结构化设备特征数据表中的特征进行类别划分的过程为：给定k值和k个初始类簇中心点，其中k为类别总数，把结构化设备特征数据表中的每个特征向量分到离其最近的类簇中心点所代表的类簇中，所有特征分配完毕之后，根据一个类簇内的所有特征重新计算该类簇的中心点，然后再迭代进行分配特征到离其最近的类簇中心点和更新类簇的中心点的步骤，直至类簇中心点的变化低于预设误差，或者达到预设的迭代次数则停止迭代。
38.更进一步地，所述数据处理模块包括：
39.行为序列数据获取单元，用于对获取的样本数据集进行空值处理和行为指令编码得到与设备id对应的行为序列数据；
40.数据集生成单元，用于以设备id为主体对象，将对应的行为序列数据以及特征数据表d1中的类别标签进行合并，按照时间顺序对合并后的数据进行排列以形成所述数据集r。
41.更进一步地，所述异常检测模块包括：
42.行为异常组合列表单元，用于根据数据集r内的类别标签对设备进行分组后，使用
apriori关联分析算法分别对各分组内的设备做异常项集提取，不同分组的设备分别对应若干不同的异常行为组合而成的行为异常组合列表；
43.异常行为组合库，用于根据预设规则对异常组合列表进行筛选，并将筛选后的异常组合列表存入异常行为组合库；
44.异常标签生成单元，用于根据分组结果，分别将同组设备的行为与异常行为组合库中对应类别的设备行为进行匹配，获得设备的是否异常标签，将是否异常标签合并至数据集r，获得包含设备id及其对应的行为序列数据、类别标签、是否异常标签的字段的数据表rx。
45.更进一步地，所述异常行为处理模块还用于：根据获得的数据表rx，筛选已识别出异常结果的设备，锁定发生异常的行为序列，结合行为指令编码表，反编译行为序列对应的原始行为数据，判定该原始行为数据描述的行为属于何种类型的安全威胁并处理。
46.本发明的优点在于：
47.(1)本发明以行为序列为根本特征属性，分组进行设备的异常状况检测，异常检测的依据是设备的行为序列，而不仅仅是流量，所以对于流量波动较小的情况还能根据行为序列判断设备是否异常，方法使用范围较广，将设备的行为序列数据与异常行为组合库进行比对的方式对待检设备进行行为异常检测，根据比对结果即可判断行为异常与否，大大提高检测效率。
48.(2)本发明将待检测配电物联网设备依据功能属性和用途进行分组，同组之间进行相对异常检测更准确。
49.(3)本发明使用关联分析算法对行为序列本身直接做分析，避免了数值化后的特征数据失去了行为本身的时序因素。
50.(4)本发明建立了异常行为组合库，可供配电网业务人员以经验介入修改，增加了检测系统的开放程度。
附图说明
51.图1为本发明实施例所提供的基于行为序列的配电物联网设备异常行为检测方法的流程图。
具体实施方式
52.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
53.实施例1
54.基于行为序列的配电物联网设备异常行为检测方法，所述方法包括：
55.s1：获取配电物联网设备的样本数据集；所述样本数据集中的字段包括设备id、操作时间、行为指令、设备厂商、功能用途、在线率、通信协议、通信流量、终端类型、信号强度、运行参数，其中运行参数为电压、电流、运行时长。
56.s2：根据样本数据集对所有的配电物联网设备进行分组；查看样本数据集中是否
存在设备的功能用途的字段，如果有则直接使用该字段进行设备分组，否则对获得的样本数据集进行有效字段筛选，并进行特征加工，形成结构化设备特征数据表，然后使用kmeans聚类算法根据结构化设备特征数据表中的特征进行类别划分，形成以设备id为主体对象，并含有类别标签的特征数据表d1。
57.所述使用kmeans聚类算法根据结构化设备特征数据表中的特征进行类别划分的过程为：给定k值和k个初始类簇中心点，其中k为类别总数，把结构化设备特征数据表中的每个特征向量分到离其最近的类簇中心点所代表的类簇中，所有特征分配完毕之后，根据一个类簇内的所有特征重新计算该类簇的中心点，然后再迭代进行分配特征到离其最近的类簇中心点和更新类簇的中心点的步骤，直至类簇中心点的变化低于预设误差，或者达到预设的迭代次数则停止迭代。kmeans聚类算法属于现有技术，在此不做过多赘述。
58.s3：根据样本数据集获取以设备id为主体对象的数据集r，所述数据集r中包括与设备id对应的行为序列数据以及类别标签，所述数据集r的内容形式如表1；
59.表1 数据集r
[0060][0061]
其中第一列为设备id，第二列行为序列数据，第三列为类别标签，第四列为类别标签对应的类别名称。
[0062]
对于获取的样本数据集进行空值处理和行为指令编码得到与设备id对应的行为序列数据；以设备id为主体对象，将对应的行为序列数据以及特征数据表d1中的类别标签进行合并，按照时间顺序对合并后的数据进行排列以形成所述数据集r。空值处理属于现有
技术，空值的处理方式有很多种：数据向前向后移动补充空位，在空位补零，在空位补均值，在空位补中位数等。通过空值处理的方式去除数据中的干扰因素，使得数据更加标准，适用。
[0063]
s4：建立异常行为组合库，根据分组结果，分别将同组设备的行为序列数据与对应的异常行为组合库进行比对，并根据比对结果判定各设备是否异常；并将各个设备是否异常的标签合并至数据集r中得到数据表rx,所述数据表rx的内容形式如表2；
[0064]
表2 数据表rx
[0065][0066]
其中第一列为设备id，第二列行为序列数据，第三列类别标签，第四列为类别标签对应的类别名称，第五列为设备的是否异常标签。
[0067]
s4的具体过程如下：
[0068]
s41：根据数据集r内的类别标签对设备进行分组后，使用apriori关联分析算法分别对各分组内的设备做异常项集提取，不同分组的设备分别对应若干不同的异常行为组合而成的行为异常组合列表；
[0069]
s42：根据预设规则对异常组合列表进行筛选，并将筛选后的异常组合列表存入异常行为组合库；
[0070]
s43：根据分组结果，分别将同组设备的行为与异常行为组合库中对应类别的设备行为进行匹配，获得设备的是否异常标签，将是否异常标签合并至数据集r，获得包含设备id及其对应的行为序列数据、类别标签、是否异常标签的字段的数据表rx。
[0071]
apriori算法是经典的挖掘频繁项集和关联规则的数据挖掘算法。a priori在拉丁语中指"来自以前"。当定义问题时，通常会使用先验知识或者假设，这被称作"一个先验"(a priori)。apriori算法的名字正是基于这样的事实：算法使用频繁项集性质的先验性质，即频繁项集的所有非空子集也一定是频繁的。apriori算法使用一种称为逐层搜索的迭代方法，其中k项集用于探索(k 1)项集。首先，通过扫描数据库，累计每个项的计数，并收集满足最小支持度的项，找出频繁1项集的集合。该集合记为l1。然后，使用l1找出频繁2项集的集合l2，使用l2找出l3，如此下去，直到不能再找到频繁k项集。每找出一个lk需要一次数据库的完整扫描。apriori算法使用频繁项集的先验性质来压缩搜索空间。该算法已经被广泛的应用到商业、网络安全等各个领域。比如网络入侵检测技术中。早期中大型的电脑系统中都收集审计信息来建立跟踪档，这些审计跟踪的目的多是为了性能测试或计费，因此对攻击检测提供的有用信息比较少。它通过模式的学习和训练可以发现网络用户的异常行为模式。
[0072]
s5：对于已识别异常行为的设备，判断已识别异常行为属于何种类型的安全威胁并处理。具体过程为：根据获得的数据表rx，筛选已识别出异常结果的设备，锁定发生异常的行为序列，结合行为指令编码表，反编译行为序列对应的原始行为数据，判定该原始行为数据描述的行为属于何种类型的安全威胁并处理。
[0073]
通过以上技术方案，本发明以行为序列为根本特征属性，分组进行设备的异常状况检测，异常检测的依据是设备的行为序列，而不仅仅是流量，所以对于流量波动较小的情况还能根据行为序列判断设备是否异常，方法使用范围较广，将设备的行为序列数据与异常行为组合库进行比对的方式对待检设备进行行为异常检测，根据比对结果即可判断行为异常与否，大大提高检测效率。
[0074]
实施例2
[0075]
基于实施例1，本发明实施例2还提供基于行为序列的配电物联网设备异常行为检测装置，所述装置包括：
[0076]
数据集获取模块，用于获取配电物联网设备的样本数据集；
[0077]
设备分组模块，用于根据样本数据集对所有的配电物联网设备进行分组；
[0078]
数据处理模块，用于根据样本数据集获取以设备id为主体对象的数据集r，所述数据集r中包括与设备id对应的行为序列数据以及类别标签；
[0079]
异常检测模块，用于建立异常行为组合库，根据分组结果，分别将同组设备的行为序列数据与对应的异常行为组合库进行比对，并根据比对结果判定各设备是否异常；并将各个设备是否异常的标签合并至数据集r中得到数据表rx；
[0080]
异常行为处理模块，用于对于已识别异常行为的设备，判断已识别异常行为属于何种类型的安全威胁并处理。
[0081]
具体的，所述样本数据集中的字段包括设备id、操作时间、行为指令、设备厂商、功能用途、在线率、通信协议、通信流量、终端类型、信号强度、运行参数，其中运行参数为电压、电流、运行时长。
[0082]
具体的，所述设备分组模块包括：
[0083]
判断单元，用于判断样本数据集中是否存在设备的功能用途字段；
[0084]
分组单元，用于当样本数据集中存在设备的功能用途字段时，根据所述功能用途
字段对设备进行分组，同组内的设备具有相同的类别标签；
[0085]
特殊数据表生成单元，用于样本数据集中不存在设备的功能用途字段时，根据样本数据集中的字段进行特征加工以形成结构化设备特征数据表；使用kmeans聚类算法并根据结构化设备特征数据表中的特征进行类别划分，以形成以设备id为主体对象并含有类别标签的特征数据表d1。
[0086]
更具体的，所述使用kmeans聚类算法根据结构化设备特征数据表中的特征进行类别划分的过程为：给定k值和k个初始类簇中心点，其中k为类别总数，把结构化设备特征数据表中的每个特征向量分到离其最近的类簇中心点所代表的类簇中，所有特征分配完毕之后，根据一个类簇内的所有特征重新计算该类簇的中心点，然后再迭代进行分配特征到离其最近的类簇中心点和更新类簇的中心点的步骤，直至类簇中心点的变化低于预设误差，或者达到预设的迭代次数则停止迭代。
[0087]
更具体的，所述数据处理模块包括：
[0088]
行为序列数据获取单元，用于对获取的样本数据集进行空值处理和行为指令编码得到与设备id对应的行为序列数据；
[0089]
数据集生成单元，用于以设备id为主体对象，将对应的行为序列数据以及特征数据表d1中的类别标签进行合并，按照时间顺序对合并后的数据进行排列以形成所述数据集r。
[0090]
更具体的，所述异常检测模块包括：
[0091]
行为异常组合列表单元，用于根据数据集r内的类别标签对设备进行分组后，使用apriori关联分析算法分别对各分组内的设备做异常项集提取，不同分组的设备分别对应若干不同的异常行为组合而成的行为异常组合列表；
[0092]
异常行为组合库，用于根据预设规则对异常组合列表进行筛选，并将筛选后的异常组合列表存入异常行为组合库；
[0093]
异常标签生成单元，用于根据分组结果，分别将同组设备的行为与异常行为组合库中对应类别的设备行为进行匹配，获得设备的是否异常标签，将是否异常标签合并至数据集r，获得包含设备id及其对应的行为序列数据、类别标签、是否异常标签的字段的数据表rx。
[0094]
更具体的，所述异常行为处理模块还用于：根据获得的数据表rx，筛选已识别出异常结果的设备，锁定发生异常的行为序列，结合行为指令编码表，反编译行为序列对应的原始行为数据，判定该原始行为数据描述的行为属于何种类型的安全威胁并处理。
[0095]
以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。