买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：国网江苏省电力有限公司信息通信分公司;南京南瑞信息通信科技有限公司

摘要：本发明公开了一种零信任环境下的异常检测方法、电子设备及存储介质，涉及信息安全技术领域。其中，该方法包括：在零信任环境下的电力系统中，获取终端用户日志文件以及电网实体身份数据，根据终端用户日志文件和电网实体身份数据构建访问主体行为刻画与关联模型；获取与访问主体关联的主体访问行为数据，构建访问主体的自身行为基线；获取具有相同属性的电网实体的群体访问行为数据，构建具有相同属性实体的群体行为基线；基于预设异常检测模型分别确定自身行为基线以及群体行为基线的基线评估信息，确定异常结果。本发明从不同维度提取访问主体的行为特征，利用预设异常检测模型确定异常结果，提高异常检测的准确性，提升电力系统的安全性。

主权项：1.一种零信任环境下的异常检测方法，其特征在于，包括：在零信任环境下的电力系统中，获取终端用户日志文件以及电网实体身份数据，根据所述终端用户日志文件和所述电网实体身份数据构建访问主体行为刻画与关联模型；其中，所述访问主体行为刻画与关联模型为有向图，用于分析访问实体和行为实体之间的关系；针对访问主体在所述访问主体行为刻画与关联模型获取与所述访问主体关联的主体访问行为数据，按照所述主体访问行为数据构建所述访问主体的自身行为基线；针对所述访问主体的电网实体属性类型在所述访问主体行为刻画与关联模型获取具有相同属性的电网实体的群体访问行为数据，按照所述群体访问行为数据构建具有相同属性实体的群体行为基线；基于预设异常检测模型分别确定所述自身行为基线以及所述群体行为基线的基线评估信息，并根据所述基线评估信息确定异常结果；其中，所述预设异常检测模型基于混合注意力机制的深度学习异常检测方法分别确定所述自身行为基线以及所述群体行为基线的基线评估信息；所述预设异常检测模型基于多头注意力机制网络和卷积神经网络搭建；其中，所述终端用户日志文件至少包括：访问主体标识、行为实体标识、访问时长和访问行为；所述电网实体身份数据至少包括：用户身份和终端身份；相应的，所述根据所述终端用户日志文件和所述电网实体身份数据构建访问主体行为刻画与关联模型，包括：通过所述电网实体身份数据确定访问主体标识对应的访问主体，通过所述电网实体身份数据确定所述行为实体标识对应的行为实体；将所述电网实体身份数据内所有的用户对应的用户身份组成用户集合，并将所述用户集合中的每个所述用户的所述用户身份分别作为用户节点；针对用户集合中的每个所述用户节点，在所述终端用户日志文件内查找与所述用户节点匹配的访问主体标识对应的访问行为，确定所述访问行为对应的行为实体标识对应的终端作为所述用户节点对应的行为实体，将所述终端作为终端节点，并将各所述用户节点对应的终端节点的终端身份划分终端节点集合；在所述终端用户日志文件提取所述访问行为组成行为集合，将所述行为集合中的每个所述访问行为作为一个行为节点，并确定所述组成行为集合内不同所述访问行为之间的行为层级关系；按照所述访问行为以及所述行为层级关系确定所述用户节点以及所述终端节点之间的访问关系；其中，所述访问关系至少包括用户与终端之间的使用关系、访问主体与访问行为的对应关系以及行为实体之间的层次关系；以所述用户节点、所述终端节点以及所述行为节点作为节点和所述访问关系作为边，构成有向图作为所述访问主体行为刻画与关联模型。

全文数据：

权利要求：

百度查询： 国网江苏省电力有限公司信息通信分公司 南京南瑞信息通信科技有限公司 一种零信任环境下的异常检测方法、电子设备及存储介质