基于行为序列的配电物联网设备异常行为检测方法及装置与流程

技术特征：
1.基于行为序列的配电物联网设备异常行为检测方法，其特征在于，所述方法包括：步骤一：获取配电物联网设备的样本数据集；步骤二：根据样本数据集对所有的配电物联网设备进行分组；步骤三：根据样本数据集获取以设备id为主体对象的数据集r，所述数据集r中包括与设备id对应的行为序列数据以及类别标签；步骤四：建立异常行为组合库，根据分组结果，分别将同组设备的行为序列数据与对应的异常行为组合库进行比对，并根据比对结果判定各设备是否异常；并将各个设备是否异常的标签合并至数据集r中得到数据表rx；步骤五：对于已识别异常行为的设备，判断已识别异常行为属于何种类型的安全威胁并处理。2.根据权利要求1所述的基于行为序列的配电物联网设备异常行为检测方法，其特征在于，所述样本数据集中的字段包括设备id、操作时间、行为指令、设备厂商、功能用途、在线率、通信协议、通信流量、终端类型、信号强度、运行参数，其中运行参数为电压、电流、运行时长。3.根据权利要求1所述的基于行为序列的配电物联网设备异常行为检测方法，其特征在于，所述步骤二包括：判断样本数据集中是否存在设备的功能用途字段；如果有，则根据所述功能用途字段对设备进行分组，同组内的设备具有相同的类别标签；如果没有，则根据样本数据集中的字段进行特征加工以形成结构化设备特征数据表；使用kmeans聚类算法并根据结构化设备特征数据表中的特征进行类别划分，以形成以设备id为主体对象并含有类别标签的特征数据表d1。4.根据权利要求3所述的基于行为序列的配电物联网设备异常行为检测方法，其特征在于，所述步骤三包括：对于获取的样本数据集进行空值处理和行为指令编码得到与设备id对应的行为序列数据；以设备id为主体对象，将对应的行为序列数据以及特征数据表d1中的类别标签进行合并，按照时间顺序对合并后的数据进行排列以形成所述数据集r。5.根据权利要求1所述的基于行为序列的配电物联网设备异常行为检测方法，其特征在于，所述步骤四包括：s41：根据数据集r内的类别标签对设备进行分组后，使用apriori关联分析算法分别对各分组内的设备做异常项集提取，不同分组的设备分别对应若干不同的异常行为组合而成的行为异常组合列表；s42：根据预设规则对异常组合列表进行筛选，并将筛选后的异常组合列表存入异常行为组合库；s43：根据分组结果，分别将同组设备的行为与异常行为组合库中对应类别的设备行为进行匹配，获得设备的是否异常标签，将是否异常标签合并至数据集r，获得包含设备id及其对应的行为序列数据、类别标签、是否异常标签的字段的数据表rx。6.根据权利要求1所述的基于行为序列的配电物联网设备异常行为检测方法，其特征
在于，所述步骤五包括：根据获得的数据表rx，筛选已识别出异常结果的设备，锁定发生异常的行为序列，结合行为指令编码表，反编译行为序列对应的原始行为数据，判定该原始行为数据描述的行为属于何种类型的安全威胁并处理。7.基于行为序列的配电物联网设备异常行为检测装置，其特征在于，所述装置包括：数据集获取模块，用于获取配电物联网设备的样本数据集；设备分组模块，用于根据样本数据集对所有的配电物联网设备进行分组；数据处理模块，用于根据样本数据集获取以设备id为主体对象的数据集r，所述数据集r中包括与设备id对应的行为序列数据以及类别标签；异常检测模块，用于建立异常行为组合库，根据分组结果，分别将同组设备的行为序列数据与对应的异常行为组合库进行比对，并根据比对结果判定各设备是否异常；并将各个设备是否异常的标签合并至数据集r中得到数据表rx；异常行为处理模块，用于对于已识别异常行为的设备，判断已识别异常行为属于何种类型的安全威胁并处理。8.根据权利要求7所述的基于行为序列的配电物联网设备异常行为检测装置，其特征在于，所述设备分组模块包括：判断单元，用于判断样本数据集中是否存在设备的功能用途字段；分组单元，用于当样本数据集中存在设备的功能用途字段时，根据所述功能用途字段对设备进行分组，同组内的设备具有相同的类别标签；特殊数据表生成单元，用于样本数据集中不存在设备的功能用途字段时，根据样本数据集中的字段进行特征加工以形成结构化设备特征数据表；使用kmeans聚类算法并根据结构化设备特征数据表中的特征进行类别划分，以形成以设备id为主体对象并含有类别标签的特征数据表d1。9.根据权利要求8所述的基于行为序列的配电物联网设备异常行为检测装置，其特征在于，所述数据处理模块包括：行为序列数据获取单元，用于对获取的样本数据集进行空值处理和行为指令编码得到与设备id对应的行为序列数据；数据集生成单元，用于以设备id为主体对象，将对应的行为序列数据以及特征数据表d1中的类别标签进行合并，按照时间顺序对合并后的数据进行排列以形成所述数据集r。10.根据权利要求7所述的基于行为序列的配电物联网设备异常行为检测装置，其特征在于，所述异常检测模块包括：行为异常组合列表单元，用于根据数据集r内的类别标签对设备进行分组后，使用apriori关联分析算法分别对各分组内的设备做异常项集提取，不同分组的设备分别对应若干不同的异常行为组合而成的行为异常组合列表；异常行为组合库，用于根据预设规则对异常组合列表进行筛选，并将筛选后的异常组合列表存入异常行为组合库；异常标签生成单元，用于根据分组结果，分别将同组设备的行为与异常行为组合库中对应类别的设备行为进行匹配，获得设备的是否异常标签，将是否异常标签合并至数据集r，获得包含设备id及其对应的行为序列数据、类别标签、是否异常标签的字段的数据表rx。

技术总结
本发明公开了基于行为序列的配电物联网设备异常行为检测方法及装置，所述方法包括：获取配电物联网设备的样本数据集；根据样本数据集对所有的配电物联网设备进行分组；根据样本数据集获取以设备ID为主体对象的数据集R，所述数据集R中包括与设备ID对应的行为序列数据以及类别标签；建立异常行为组合库，根据分组结果，分别将同组设备的行为序列数据与对应的异常行为组合库进行比对，并根据比对结果判定各设备是否异常，并将各个设备是否异常的标签合并至数据表R中得到数据表Rx；对于已识别异常行为的设备，判断已识别异常行为属于何种类型的安全威胁并处理；本发明的优点在于：使用范围广，检测效率高。检测效率高。检测效率高。


技术研发人员：陶景龙 梁淑云 刘胜 马影 王启凡 魏国富 殷钱安 余贤喆 周晓勇
受保护的技术使用者：上海观安信息技术股份有限公司
技术研发日：2021.09.03
技术公布日：2021/11/28