基于机器学习的变电站终端账号异常检测方法技术

本发明专利技术提出了一种基于机器学习的变电站终端账号异常检测方法，包括：采集登录账号访问变电站终端产生的访问日志，将访问日志输入训练好的行为分析引擎中，筛选出访问日志中存在异常行为的登录账号；获取登录账号与登录IP的映射关系，基于所述映射关系识别登录账号的异常类型；结合存在异常行为的登录账号与异常类型的识别结果，生成变电站终端的账号异常检测结果。本发明专利技术利用UEBA行为分析技术，结合变电站终端的访问日志，实现对变电站终端访问情况的全面监控，能够及时发现偏离正常登录行为的登录账号，有效识别恶意访问变电站终端的登录账号与登录IP。录账号与登录IP。录账号与登录IP。

【技术实现步骤摘要】
基于机器学习的变电站终端账号异常检测方法


[0001]本专利技术属于变电站终端账号管理领域，尤其涉及一种基于机器学习的变电站终端账号异常检测方法。

技术介绍

[0002]随着大数据时代下物联网技术的快速发展，现阶段智能电网的变电站运维中经常采用远程登录的方式访问变电站终端，因此对登录账号的安全检测成为维护变电站终端网络安全的重要环节。目前针对变电站终端安全场景的账号异常检测方案主要针对各种漏洞提炼出的对照特征，在登录账号访问过程中产生的流量数据中所提取的一些特征与对照特征进行匹配，从而判断登录账号是否异常，上述检测方案存在无泛化能力的缺点，只能针对指定的漏洞进行账号异常检测，存在账号异常检测不精确、不及时的问题。

技术实现思路

[0003]为了解决现有技术中存在的缺点和不足，本专利技术提出了一种基于机器学习的变电站终端账号异常检测方法，包括：
[0004]采集登录账号访问变电站终端产生的访问日志，将访问日志输入训练好的行为分析引擎中，筛选出访问日志中存在异常行为的登录账号；
[0005]获取登录账号与登录IP的映射关系，基于所述映射关系识别登录账号的异常类型；
[0006]结合存在异常行为的登录账号与异常类型的识别结果，生成变电站终端的账号异常检测结果。
[0007]可选的，所述行为分析引擎的训练过程包括：
[0008]获取登录账号在正常登录变电站终端时生成的第一历史访问日志；
[0009]对第一历史访问日志进行特征提取，所提取的特征包括登录账号、变电站终端的登录端口、历史访问时间以及登录账号访问变电站终端时产生的流量数据；
[0010]根据提取的特征基于KDE算法训练登录账号的行为基线，直至行为基线达到预设收敛条件时结束训练。
[0011]可选的，所述行为基线为根据登录账号的行为概率密度分布函数生成的行为特征曲线。
[0012]可选的，所述将访问日志输入训练好的行为分析引擎中，筛选出访问日志中存在异常行为的登录账号，包括：
[0013]对访问日志进行特征提取，所提取的特征包括登录账号、变电站终端的登录端口、访问时间以及登录账号访问变电站终端时产生的流量数据；
[0014]根据提取的特征生成实时行为曲线，基于UEBA算法将所述实时行为曲线与登录账号对应的行为基线进行比对，若比对结果的误差超过预设值，则判定所述登录账号存在异常行为。
[0015]可选的，所述获取登录账号与登录IP的映射关系，包括：
[0016]获取登录账号访问变电站终端时产生的流量数据，基于流量数据的元数据提取出登录账号对应的登录IP，建立所述登录账号与所述登录IP的映射关系。
[0017]可选的，所述基于所述映射关系识别登录账号的异常类型，包括：
[0018]获取预先保存的白名单，判断所述映射关系中的登录IP是否在白名单中，若不在白名单中，判定所述映射关系中登录账号的异常类型为不常见登录；
[0019]若在白名单中，判断与同一登录账号具有映射关系的登录IP的数量是否超过预设阈值，若超过则判定异常类型为同账号登录多个IP，判断与同一登录IP具有映射关系的登录账号的数量是否超过预设阈值，若超过则判定异常类型为同IP登录多个账号；
[0020]若与同一登录账号具有映射关系的登录IP的数量以及与同一登录IP具有映射关系的登录账号的数量均未超过预设阈值，则忽略登录账号的异常行为。
[0021]可选的，所述基于所述映射关系识别登录账号的异常类型，包括：
[0022]分别获取同账号登录多个IP和同IP登录多个账号两种异常登录时变电站终端产生的第二历史访问日志；
[0023]获取第二历史访问日志中历史登录账号与历史登录IP之间的历史映射关系作为训练样本，根据所述训练对机器学习模型进行训练；
[0024]获取预先保存的白名单，判断所述映射关系中的登录IP是否在白名单中，若不在白名单中，判定所述映射关系中登录账号的异常类型为不常见登录；
[0025]若在白名单中，将登录账号和登录IP的映射关系输入训练好的机器学习模型中判断映射关系的异常类型。
[0026]可选的，所述结合存在异常行为的登录账号与异常类型的识别结果，生成变电站终端的账号异常检测结果，包括：
[0027]判断是否识别出存在异常行为的登录账号对应的异常类型，若没有则忽略登录账号的异常行为；
[0028]若有，则列举所述登录账号与对应的异常类型，生成账号异常检测报告。
[0029]本专利技术提供的技术方案带来的有益效果是：
[0030]本专利技术利用UEBA行为分析技术，结合变电站终端的访问日志，实现对变电站终端访问情况的全面监控，能够及时发现偏离正常登录行为的登录账号，有效识别恶意访问变电站终端的登录账号与登录IP。此外，本专利技术依托大数据分析技术和机器学习技术，从而进一步识别登录账号的异常类型并进行报警，有利于及时定位异常的登录行为，降低外部恶意访问、越权访问等网络安全风险，防范违规行为。
附图说明
[0031]为了更清楚地说明本专利技术的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0032]图1为本专利技术一实施例提出的基于机器学习的变电站终端账号异常检测方法的流程示意图。
具体实施方式
[0033]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0034]本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
[0035]应当理解，在本专利技术的各种实施例中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本专利技术实施例的实施过程构成任何限定。
[0036]应当理解，在本专利技术中，“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0037]应当理解，在本专利技术中，“多个”是指两个或两个以上。“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，和/或B，可以表示：单独存在A，同时存在A本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于机器学习的变电站终端账号异常检测方法，其特征在于，包括：采集登录账号访问变电站终端产生的访问日志，将访问日志输入训练好的行为分析引擎中，筛选出访问日志中存在异常行为的登录账号；获取登录账号与登录IP的映射关系，基于所述映射关系识别登录账号的异常类型；结合存在异常行为的登录账号与异常类型的识别结果，生成变电站终端的账号异常检测结果。2.根据权利要求1所述的基于机器学习的变电站终端账号异常检测方法，其特征在于，所述行为分析引擎的训练过程包括：获取登录账号在正常登录变电站终端时生成的第一历史访问日志；对第一历史访问日志进行特征提取，所提取的特征包括登录账号、变电站终端的登录端口、历史访问时间以及登录账号访问变电站终端时产生的流量数据；根据提取的特征基于KDE算法训练登录账号的行为基线，直至行为基线达到预设收敛条件时结束训练。3.根据权利要求2所述的基于机器学习的变电站终端账号异常检测方法，其特征在于，所述行为基线为根据登录账号的行为概率密度分布函数生成的行为特征曲线。4.根据权利要求2所述的基于机器学习的变电站终端账号异常检测方法，其特征在于，所述将访问日志输入训练好的行为分析引擎中，筛选出访问日志中存在异常行为的登录账号，包括：对访问日志进行特征提取，所提取的特征包括登录账号、变电站终端的登录端口、访问时间以及登录账号访问变电站终端时产生的流量数据；根据提取的特征生成实时行为曲线，基于UEBA算法将所述实时行为曲线与登录账号对应的行为基线进行比对，若比对结果的误差超过预设值，则判定所述登录账号存在异常行为。5.根据权利要求1所述的基于机器学习的变电站终端账号异常检测方法，其特征在于，所述获取登录账号与登录IP的映射关系，包括：获取登录账号访问变电站终端时产生的流量数据，基于流量数据的元数据提取出登录账号对应的登录IP，建立所述登录...

【专利技术属性】
技术研发人员：樊立波，孙智卿，陈益芳，屠永伟，宣羿，罗少杰，陈元中，钱锦，
申请(专利权)人：国网浙江省电力有限公司杭州供电公司，
类型：发明
国别省市：