(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211101095.7 (22)申请日 2022.09.09 (71)申请人 国网电力科 学研究院有限公司 地址 211106 江苏省南京市江宁经济技 术 开发区诚信大道19号 申请人 南京南瑞信息通信科技有限公司 　 国网上海市电力公司 (72)发明人 王治华　俞建业　陈雪鸿　肖飞　 朱世顺　刘苇　祁龙云　吕小亮　 孙连文　闫珺　杨康乐　张鸿鹏　 霍洪强　金明辉　李向南　徐志超　 (74)专利代理 机构 南京纵横知识产权代理有限 公司 32224 专利代理师 王丽霞(51)Int.Cl. H04L 9/40(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 一种电力监控系统网络安全客体异常行为 分析方法及系统 (57)摘要 本发明公开了一种电力监控系统网络安全 客体异常行为分析方法及系统。 方法包括采集电 力监控系统网络安全客体数据； 对采集的数据进 行预处理； 将预处理后的数据输入训练好的LSTM 模型中， 输出异常行为数据； 将所述异常行为数 据与电力监控系统网络拓扑图进行关联匹配， 形 成知识图谱。 本发明通过深度学习算法模型对数 据进行处理， 检测识别出的异常行为数据具有较 高的准确率； 通过将异常行为数据与电力监控系 统的网络拓扑结构关联起来， 以知识图谱的形式 进行展示， 能够确保电力监控系统网络安全客体 在应用环境及网络结构复杂多样的情况下直观 显示异常行为部分， 为快速定位异常行为点提供 准确的可视化操作。 权利要求书2页 说明书6页 附图2页 CN 115499185 A 2022.12.20 CN 115499185 A 1.一种电力监控系统网络安全客体异常行为分析 方法， 其特 征在于， 包括： 采集电力监控系统网络安全客体数据； 对采集的数据进行 预处理； 将预处理后的数据输入训练好的LSTM模型中， 输出异常行为数据； 将所述异常行为数据与电力监控系统网络 拓扑图进行关联匹配， 形成知识图谱。 2.根据权利要求1所述的一种电力监控系统网络安全客体异常行为分析方法， 其特征 在于， 所述电力监控系统网络安全客体数据， 包括： 电力监控系统网络安全客体的网络属性 数据、 资产信息以及在运行和监控过程中产生的数据； 所述在运行和监控过程中产生的数 据包括正常数据、 日志数据、 系统信息、 异常行为数据和告警信息 。 3.根据权利要求2所述的一种电力监控系统网络安全客体异常行为分析方法， 其特征 在于， 所述网络属性数据包括网络流量协议类型、 网络连接状态、 网络服务类型和端口； 所 述资产信息包括主机属性数据和DNS数据； 所述异常行为数据和告警信息， 包括但不限于： DoS攻击、 探测攻击、 远程非法访问和越权访问。 4.根据权利要求1所述的一种电力监控系统网络安全客体异常行为分析方法， 其特征 在于， 所述对 采集的数据进行 预处理， 包括： 清洗错误数据和无用的数据； 将清洗后的数据进行 数值化操作； 将经过数值化的数据进行归一 化和标准 化处理。 5.根据权利要求4所述的一种电力监控系统网络安全客体异常行为分析方法， 其特征 在于， 根据下式对经过数值化的数据进行标准化处理， 使得处理后的数据满足均值为0、 标 准差为1的正态分布： 其中， X为当前电力监控系统网络安全客体采集到的经过数值化的数据， μ为当前电力 监控系统网络安全客体采集到的经过数值化的数据的均值， σ 为当前电力监控系统网络安 全客体采集到的经 过数值化的数据的标准差； X*为经过标准化处理后的数据。 6.根据权利要求1所述的一种电力监控系统网络安全客体异常行为分析方法， 其特征 在于， 所述 LSTM模型的隐藏层单 元包括输入门、 输出门和遗 忘门， 将输入数据xt与前一时刻隐藏层的输 出数据ht‑1共同作用于遗忘门， 由遗忘门选 择需要 遗忘的数据， 得到 遗忘门值ft； 将输入数据xt以及前一时刻隐藏层的输 出数据ht‑1输入输入门， 由输入门选 择需要记忆 的数据， 得到 输入门值 it和临时细胞状态 根据输入门值 it、 遗忘门值ft和临时细胞状态 计算当前时刻 细胞状态Ct； 将输入数据 xt、 前一时刻隐藏层的输出数据ht‑1以及当前时刻细胞状态Ct共同作用于输 出门， 得到当前时刻隐藏层状态ht。 7.根据权利要求6所述的一种电力监控系统网络安全客体异常行为分析方法， 其特征 在于， 所述遗 忘门值ft的计算公式如下：权　利　要　求　书 1/2 页 2 CN 115499185 A 2其中， σ为门数量， Wf， bf为隐藏元维数， 为前一时刻输出门值与tanh乘积结果， 保证输入的值在 ‑1～1之间； 输入门值 it和临时细胞状态 的计算公式如下： 其中， Wi、 WC和bi、 bC为隐藏元维数； 当前时刻 细胞状态Ct计算公式如下： 其中， Ct‑1为前一时刻 细胞状态； 当前时刻隐藏层状态ht计算公式如下： 其中， ot为输出门值， Wo， bo为隐藏层维数。 8.一种电力监控系统网络安全客体异常行为分析系统， 其特 征在于， 包括： 数据采集模块， 用于采集电力监控系统网络安全客体数据； 数据预处 理模块， 用于对 采集的数据进行 预处理； 特征提取模块， 用于将预处 理后的数据输入训练好的LSTM模型中， 输出异常行为数据； 匹配模块， 用于将所述异常行为数据与电力监控系统网络拓扑图进行关联匹配， 形成 知识图谱。 9.根据权利要求8所述的一种电力监控系统网络安全客体异常行为分析系统， 其特征 在于， 还包括显示模块， 用于将所述知识图谱进行输出显示。 10.一种电子设备， 包括存储器和处理器， 存储器存储有计算机程序， 其特征在于， 所述 处理器执行所述计算机程序时实现如权利要求1 ‑7任一所述的方法步骤。权　利　要　求　书 2/2 页 3 CN 115499185 A 3