本發(fā)明涉及網(wǎng)絡(luò)安全，具體而言，涉及一種電力終端的異常檢測方法、裝置、計算機(jī)可讀存儲介質(zhì)和電子設(shè)備。

背景技術(shù)：

1、隨著智能電網(wǎng)的不斷發(fā)展，針對終端與主站之間通信的惡意攻擊也隨之出現(xiàn)。與主站相比，電力終端具有數(shù)量多、范圍廣、戶外操作、易接入等特點(diǎn)，容易成為攻擊者的攻擊目標(biāo)。攻擊者通過攻擊主站信任的終端，很容易獲取大量數(shù)據(jù)，影響整個智能電網(wǎng)的安全。因此，有必要建立電力終端的信任評估機(jī)制，以確保主站實(shí)時獲取終端的安全狀態(tài)。

2、雖然現(xiàn)有的物聯(lián)網(wǎng)終端安全評估體系可以監(jiān)控物聯(lián)網(wǎng)終端，但不適合電力終端?，F(xiàn)有的信任評估技術(shù)不能簡單地應(yīng)用于電力終端的安全保護(hù)。電力系統(tǒng)一般位于內(nèi)部專網(wǎng)，具有固定的設(shè)備采集點(diǎn)、固定的應(yīng)用、固定的用戶等特點(diǎn)。因此，有必要在對設(shè)備畫像的基礎(chǔ)上，利用電力終端的網(wǎng)絡(luò)流程和專有協(xié)議，進(jìn)一步對具有基本信任的電力終端進(jìn)行評估。

3、綜上所述，隨著電力終端數(shù)量的不斷增加和使用的日益廣泛，電力系統(tǒng)的安全受到了極大的威脅。為了加強(qiáng)對電力終端網(wǎng)絡(luò)安全的監(jiān)測和評估，需要一種電力終端信任評估方法。

4、針對上述的問題，目前尚未提出有效的解決方案。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明實(shí)施例提供了一種電力終端的異常檢測方法、裝置、計算機(jī)可讀存儲介質(zhì)和電子設(shè)備，以至少解決現(xiàn)有技術(shù)中物聯(lián)網(wǎng)終端安全評估體系不適用于電力終端，信任評估技術(shù)不能簡單地應(yīng)用于電力終端的安全保護(hù)的技術(shù)問題。

2、根據(jù)本發(fā)明實(shí)施例的一個方面，提供了一種電力終端的異常檢測方法，包括：獲取電力終端的網(wǎng)絡(luò)協(xié)議屬性信息，對所述網(wǎng)絡(luò)協(xié)議屬性信息進(jìn)行特征提取，得到屬性特征，其中，所述網(wǎng)絡(luò)協(xié)議屬性信息至少包括協(xié)議類型；獲取電力終端的傳輸數(shù)據(jù)，識別所述傳輸數(shù)據(jù)的語法關(guān)鍵字，根據(jù)所述語法關(guān)鍵字確定語法關(guān)鍵字特征，并至少根據(jù)所述語法關(guān)鍵字的出現(xiàn)頻率確定語義關(guān)鍵字特征，其中，所述語法關(guān)鍵字是包含語法的關(guān)鍵字；根據(jù)所述屬性特征、所述語法關(guān)鍵字特征和所述語義關(guān)鍵字特征建立異常檢測模型，并根據(jù)所述異常檢測模型確定所述電力終端是否存在異常。

3、可選地，對所述網(wǎng)絡(luò)協(xié)議屬性信息進(jìn)行特征提取，得到屬性特征，包括：建立屬性向量，其中，所述屬性向量至少包括屬性和所述屬性對應(yīng)的屬性值；計算相同的所述屬性值的出現(xiàn)次數(shù)，并計算所述出現(xiàn)次數(shù)與所述網(wǎng)絡(luò)協(xié)議屬性信息的個數(shù)的比值，在所述比值大于預(yù)設(shè)閾值的情況下，確定所述屬性值對應(yīng)的屬性為所述屬性特征。

4、可選地，識別所述傳輸數(shù)據(jù)的語法關(guān)鍵字，根據(jù)所述語法關(guān)鍵字確定語法關(guān)鍵字特征，包括：對所述傳輸數(shù)據(jù)進(jìn)行解析，識別所述語法關(guān)鍵字；將所述語法關(guān)鍵字與所述屬性特征進(jìn)行比較，在所述語法關(guān)鍵字與任意一個所述屬性特征相同的情況下，確定所述語法關(guān)鍵字為所述語法關(guān)鍵字特征。

5、可選地，至少根據(jù)所述語法關(guān)鍵字的出現(xiàn)頻率確定語義關(guān)鍵字特征，包括：確定所述語法關(guān)鍵字的出現(xiàn)次數(shù)，獲取所述傳輸數(shù)據(jù)的總數(shù)量，計算所述出現(xiàn)次數(shù)與所述總數(shù)量的比值，得到每個所述語法關(guān)鍵字的所述出現(xiàn)頻率；計算每兩個所述語法關(guān)鍵字的首次出現(xiàn)時間，計算每兩個所述首次出現(xiàn)時間的差值的絕對值，并將所述差值的絕對值的最大值作為最慢響應(yīng)時間，將所述差值的絕對值的最小值作為最快響應(yīng)時間；將所述出現(xiàn)次數(shù)、所述出現(xiàn)頻率、所述最快響應(yīng)時間和所述最慢響應(yīng)時間確定為所述語義關(guān)鍵字特征。

6、可選地，根據(jù)所述屬性特征、所述語法關(guān)鍵字特征和所述語義關(guān)鍵字特征建立異常檢測模型，包括：根據(jù)所述屬性特征的偏離程度、所述語法關(guān)鍵字特征的偏離程度和所述語義關(guān)鍵字特征的偏離程度建立影響因子集合；根據(jù)所述屬性特征的評價等級、所述語法關(guān)鍵字特征的評價等級和所述語義關(guān)鍵字特征的評價等級建立評價集合；根據(jù)所述影響因子集合和所述評價集合建立評價矩陣，并獲取所述屬性特征、所述語法關(guān)鍵字特征和所述語義關(guān)鍵字特征對應(yīng)的權(quán)重向量，計算所述權(quán)重向量與所述評價矩陣的乘積，得到所述異常檢測模型。

7、可選地，根據(jù)所述屬性特征的偏離程度、所述語法關(guān)鍵字特征的偏離程度和所述語義關(guān)鍵字特征的偏離程度建立影響因子集合，包括：確定所述屬性特征的偏離程度為其中，表示所述屬性特征的權(quán)重，表示所述屬性特征的終端安全基線中的平均值，表示所述屬性特征的終端安全基線中的標(biāo)準(zhǔn)差，n表示所述屬性特征的個數(shù)，tfd表示所述屬性特征的偏離程度；確定所述語法關(guān)鍵字特征的偏離程度為其中，表示所述語法關(guān)鍵字特征的權(quán)重，表示所述語法關(guān)鍵字特征的終端安全基線中的平均值，表示所述語法關(guān)鍵字特征的終端安全基線中的標(biāo)準(zhǔn)差，m表示所述語法關(guān)鍵字特征的個數(shù)，sfd表示所述語法關(guān)鍵字特征的偏離程度；確定所述語義關(guān)鍵字特征的偏離程度為其中，表示所述語義關(guān)鍵字特征的權(quán)重，表示所述語義關(guān)鍵字特征的終端安全基線中的平均值，表示所述語義關(guān)鍵字特征的終端安全基線中的標(biāo)準(zhǔn)差，k表示所述語義關(guān)鍵字特征的個數(shù)，gfd表示所述語義關(guān)鍵字特征的偏離程度；建立所述影響因子集合為u＝{tfd,sfd,gfd}。

8、可選地，根據(jù)所述異常檢測模型確定所述電力終端是否存在異常，包括：計算所述異常檢測模型的檢測值，并獲取基礎(chǔ)信任值及所述基礎(chǔ)信任值的權(quán)重；根據(jù)公式t＝αt0+(1-α)v計算綜合信任值，其中，α表示所述基礎(chǔ)信任值的權(quán)重，t0表示所述基礎(chǔ)信任值，v表示所述異常檢測模型的檢測值，t表示所述綜合信任值。

9、根據(jù)本發(fā)明實(shí)施例的另一方面，還提供了一種電力終端的異常檢測裝置，包括：提取單元，用于獲取電力終端的網(wǎng)絡(luò)協(xié)議屬性信息，對所述網(wǎng)絡(luò)協(xié)議屬性信息進(jìn)行特征提取，得到屬性特征，其中，所述網(wǎng)絡(luò)協(xié)議屬性信息至少包括協(xié)議類型；第一確定單元，用于獲取電力終端的傳輸數(shù)據(jù)，識別所述傳輸數(shù)據(jù)的語法關(guān)鍵字，根據(jù)所述語法關(guān)鍵字確定語法關(guān)鍵字特征，并至少根據(jù)所述語法關(guān)鍵字的出現(xiàn)頻率確定語義關(guān)鍵字特征，其中，所述語法關(guān)鍵字是包含語法的關(guān)鍵字；第二確定單元，用于根據(jù)所述屬性特征、所述語法關(guān)鍵字特征和所述語義關(guān)鍵字特征建立異常檢測模型，并根據(jù)所述異常檢測模型確定所述電力終端是否存在異常。

10、根據(jù)本發(fā)明實(shí)施例的另一方面，還提供了一種計算機(jī)可讀存儲介質(zhì)，所述計算機(jī)可讀存儲介質(zhì)包括存儲的程序，其中，在所述程序運(yùn)行時控制所述計算機(jī)可讀存儲介質(zhì)所在設(shè)備執(zhí)行上述中任意一項所述的電力終端的異常檢測方法。

11、根據(jù)本發(fā)明實(shí)施例的另一方面，還提供了一種電子設(shè)備，包括：一個或多個處理器，存儲器，以及一個或多個程序，其中，所述一個或多個程序被存儲在所述存儲器中，并且被配置為由所述一個或多個處理器執(zhí)行，所述一個或多個程序包括用于執(zhí)行上述中任意一項所述的電力終端的異常檢測方法。

12、在本發(fā)明實(shí)施例中，獲取電力終端的網(wǎng)絡(luò)協(xié)議屬性信息，對網(wǎng)絡(luò)協(xié)議屬性信息進(jìn)行特征提取，得到屬性特征，其中，網(wǎng)絡(luò)協(xié)議屬性信息至少包括協(xié)議類型；獲取電力終端的傳輸數(shù)據(jù)，識別傳輸數(shù)據(jù)的語法關(guān)鍵字，根據(jù)語法關(guān)鍵字確定語法關(guān)鍵字特征，并至少根據(jù)語法關(guān)鍵字的出現(xiàn)頻率確定語義關(guān)鍵字特征，其中，語法關(guān)鍵字是包含語法的關(guān)鍵字；根據(jù)屬性特征、語法關(guān)鍵字特征和語義關(guān)鍵字特征建立異常檢測模型，并根據(jù)異常檢測模型確定電力終端是否存在異常。通過本發(fā)明提供的技術(shù)方案，達(dá)到了通過協(xié)議特征評估異常終端，以及提取語法關(guān)鍵字特征和語義關(guān)鍵字特征，評估終端狀態(tài)，構(gòu)建設(shè)備畫像，實(shí)現(xiàn)了有效保證主站對終端的安全訪問控制的技術(shù)效果，進(jìn)而解決了現(xiàn)有技術(shù)中物聯(lián)網(wǎng)終端安全評估體系不適用于電力終端，信任評估技術(shù)不能簡單地應(yīng)用于電力終端的安全保護(hù)的技術(shù)問題。