(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111353340.9 (22)申请日 2021.11.16 (71)申请人 国网浙江省电力有限公司杭州供电 公司 地址 310000 浙江省杭州市上城区建国中 路219号 (72)发明人 樊立波　孙智卿　陈益芳　屠永伟　 宣羿　罗少杰　陈元中　钱锦　 (74)专利代理 机构 杭州华鼎知识产权代理事务 所(普通合伙) 33217 代理人 黄丽 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) G06N 20/00(2019.01) (54)发明名称 基于机器学习的变电站终端账号异常检测 方法 (57)摘要 本发明提出了一种基于机器学习的变电站 终端账号异常检测方法， 包括： 采集登录账号访 问变电站终端产生的访问日志， 将访问日志输入 训练好的行为分析引擎中， 筛选出访问日志中存 在异常行为的登录账号； 获取登录账号与登录IP 的映射关系， 基于所述映射关系识别登录账号的 异常类型； 结合存在异常行为的登录账号与异常 类型的识别结果， 生成变电站终端的账号异常检 测结果。 本发明利用UEBA行为分析技术， 结合变 电站终端的访问日志， 实现对变电站终端访问情 况的全面监控， 能够及时发现偏 离正常登录行为 的登录账号， 有效识别恶意访问变电站终端的登 录账号与登录IP。 权利要求书2页 说明书6页 附图1页 CN 114285596 A 2022.04.05 CN 114285596 A 1.基于机器学习的变电站终端账号异常检测方法， 其特 征在于， 包括： 采集登录账号访问变电站终端产生的访问日志， 将访问日志输入训练好的行为分析引 擎中， 筛选出访问日志中存在异常行为的登录账号； 获取登录账号与登录IP的映射关系， 基于所述映射关系识别登录账号的异常类型； 结合存在异常行为的登录账号与异常类型的识别结果， 生成变电站终端的账号异常检 测结果。 2.根据权利要求1所述的基于机器学习的变电站终端账号异常检测方法， 其特征在于， 所述行为分析引擎的训练过程包括： 获取登录账号在正常 登录变电站终端时生成的第一历史访问日志； 对第一历史访 问日志进行特征提取， 所提取的特征包括登录账号、 变电站终端的登录 端口、 历史访问时间以及登录账号访问变电站终端时产生的流 量数据； 根据提取的特征基于KDE算法训练登录账号的行为基线， 直至行为基线达到预设收敛 条件时结束训练。 3.根据权利要求2所述的基于机器学习的变电站终端账号异常检测方法， 其特征在于， 所述行为基线为 根据登录账号的行为 概率密度分布函数生成的行为特 征曲线。 4.根据权利要求2所述的基于机器学习的变电站终端账号异常检测方法， 其特征在于， 所述将访问日志输入训练好的行为分析引擎中， 筛选出访问日志中存在异常行为的登录账 号， 包括： 对访问日志进行特征提取， 所提取的特征包括登录账号、 变电站终端的登录端口、 访问 时间以及登录账号访问变电站终端时产生的流 量数据； 根据提取的特征生成实时行为曲线， 基于UEBA算法将所述实时行为曲线与登录账号对 应的行为基线进行比对， 若比对结果的误差超过预设值， 则判定所述登录账号存在异常行 为。 5.根据权利要求1所述的基于机器学习的变电站终端账号异常检测方法， 其特征在于， 所述获取登录账号与登录IP的映射关系， 包括： 获取登录账号访问变电站终端时产生的流量数据， 基于流量数据的元数据提取出登录 账号对应的登录IP， 建立所述登录账号与所述登录IP的映射关系。 6.根据权利要求1所述的基于机器学习的变电站终端账号异常检测方法， 其特征在于， 所述基于所述映射关系识别登录账号的异常类型， 包括： 获取预先保存的白名单， 判断所述映射关系中的登录IP是否在白名单中， 若不在白名 单中， 判定所述映射关系中登录账号的异常类型为 不常见登录； 若在白名单中， 判断与同一登录账号具有映射关系的登录IP的数量是否超过预设阈 值， 若超过则判定异常类型为同账号登录多个IP， 判断与同一登录IP具有映射关系的登录 账号的数量是否超过 预设阈值， 若超过则判定异常类型为同IP登录多个账号； 若与同一登录账号具有映射关系的登录IP的数量以及与同一登录IP具有映射关系的 登录账号的数量均未超过 预设阈值， 则忽略登录账号的异常行为。 7.根据权利要求1所述的基于机器学习的变电站终端账号异常检测方法， 其特征在于， 所述基于所述映射关系识别登录账号的异常类型， 包括： 分别获取同账号登录多个IP和同IP登录多个账号两种异常登录时变电站终端产生的权　利　要　求　书 1/2 页 2 CN 114285596 A 2第二历史访问日志； 获取第二历史访 问日志中历史登录账号与历史登录IP之间的历史映射关系作为训练 样本， 根据所述训练对机器学习模型进行训练； 获取预先保存的白名单， 判断所述映射关系中的登录IP是否在白名单中， 若不在白名 单中， 判定所述映射关系中登录账号的异常类型为 不常见登录； 若在白名单中， 将登录账号和登录IP的映射关系输入训练好的机器学习模型中判断映 射关系的异常类型。 8.根据权利要求1所述的基于机器学习的变电站终端账号异常检测方法， 其特征在于， 所述结合存在异常行为的登录账号与异常类型的识别结果， 生成变电站终端的账号异常检 测结果， 包括： 判断是否识别出存在异常行为的登录账号对应的异常类型， 若没有则忽略登录账号的 异常行为； 若有， 则列举所述登录账号与对应的异常类型， 生成账号异常检测报告。权　利　要　求　书 2/2 页 3 CN 114285596 A 3