(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211341886.7 (22)申请日 2022.10.31 (71)申请人 南京南瑞信息通信科技有限公司 地址 210003 江苏省南京市 鼓楼区南瑞路8 号 (72)发明人 魏兴慎　周剑　犹锋　杨维永　 高鹏　曹永健　吴超　张浩天　 田秋涵　刘苇　王晔　祁龙云　 黄天明　唐亚东　马增洲　朱溢铭　 刘剑　张付存　刘行　屠正伟　 顾一凡　 (74)专利代理 机构 南京纵横知识产权代理有限 公司 32224 专利代理师 母秋松(51)Int.Cl. H04L 41/142(2022.01) H04L 67/54(2022.01) H04L 67/10(2022.01) H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称 一种面向溯源图的多电力终端协同行为检 测方法及装置 (57)摘要 本发明公开了一种面向溯源图的多电力终 端协同行为检测方法及装置， 通过在电力终端设 备上学习系统和应用软件的行为， 构建行为事件 图， 由行为事件图组成电力终端设备的溯源图， 并通过简化的表示， 形成草图的向量表示， 在云 端采用多终端学习的方法， 进行电力终端设备状 态分析， 通过端 ‑云协同， 实现模型自动更新。 本 发明通过构建电力终端的进程行为向量， 并采用 多终端协同训练， 能够极大的缩短模 型的学习时 间和成本， 基于图和行为向量可有效的识别出电 力设备异常行为， 保证设备的安全性。 权利要求书3页 说明书10页 附图1页 CN 115412450 A 2022.11.29 CN 115412450 A 1.一种面向溯源图的多电力终端协同行为检测方法， 其特 征在于： 包括如下步骤： 步骤1： 获取电力终端的事件， 根据事件组成行为事件图， 将电力终端所有行为事件图 按边出现的时间的顺序进行排序， 获得电力终端的溯源图； 步骤2： 对电力终端的溯源图采用改进图同构子树核方法进行简化和表示， 得到电力终 端的草图； 步骤3： 对电力终端的草图中所有的子树进行排序， 选出最新变动的k个子树， 计算排序 后k个子树的散列值， 将k个子树的散列值组成电力终端的当前状态的向量 ； 步骤4： 当电力终端每采集至k个事件， 则根据电力终端的当前状态的向量 ， 计算电力 终端的更新后状态的向量 ， 将n个电力终端的更新后状态的向量 作为状态 转移的变化描 述的矩阵， 记作状态量 ， 并将状态量 发送到云端； 步骤5： 云端在得到所有电力终端的状态量 后， 对所有电力终端的状态量 进行聚类， 根据簇的数量， 得到所有电力终端的状态量 的关键参 数， 云端将关键参 数发送到各个电力 终端上， 并在电力终端保存； 步骤6： 电力终端继续采集事件， 直到计算出新的状态量 ， 计算新的状态量 中当前状 态的向量与簇中心 点的距离， 判断是否超过了对应半径， 根据判断结果， 获得电力终端当前 状态。 2.根据权利要求1所述的一种面向溯源图的多电力终端协同行为检测方法， 其特征在 于： 还包括： 步骤7： 当电力终端发现异常上报到云端后， 云端人工确认为正常行为， 则云端 向提交该异 常的电力终端 发送命令， 采集本次误报对应的新的状态量 ， 保存新的状态量 ， 重新计算所有电力终端聚类的簇， 以及关键参数， 并将 重新计算的关键参数向发现异常的 电力终端下发。 3.根据权利要求1或2所述的一种面向溯源图的多电力终端协同行为检测方法， 其特征 在于： 所述行为事件图采用 表示， 表示节点的集合,  对于任意的节点 ,节 点 关键属性的取值 ， ； 其中， 表示进程名称， 表示文件的路径， 表示端口， 表 示外联的IP地址； 对于任意的边 ， 表示边的集合， 边 包含的属性为 ， 表示读、 写、 开 放、 连接、 创建， 表示边出现的时间， 表示边出现最 新更新的时间。 4.根据权利要求3所述的一种面向溯源图的多电力终端协同行为检测方法， 其特征在 于： 所述步骤2， 包括： 对电力终端的溯源图按时间优先遍历方法进行遍历， 以每个节点为树的根， 迭代r轮， 生成高度为r的子树， 迭代结束后， 生成 个子树， 以及对应的 个字符串 ， 个子树， 以及对应的 个字符串组成电力终端的草图；权　利　要　求　书 1/3 页 2 CN 115412450 A 2所述字符串 计算公式如下： ) 其中， 表示使用字符串序列表示的子树核； 函数 表示将上一轮的子树核基础上， 拼接新的邻居节点的边和节点信息， Sort方法表示根据边的两个时间属性排序， 决定新的 邻居节点的边和节点信息的拼接顺序； 表示邻居节点， 表示根节点 的子树， 表示边 出现最新更新的时间， 表示边 出现的时间。 5.根据权利要求4所述的一种面向溯源图的多电力终端协同行为检测方法， 其特征在 于： 所述步骤3， 包括： 针对每个子树的 ， 获取每个子树所有边的 时间的最大值， 代表子树的最近 更新时间， 用 表示； 根据 逆序排序， 选择 个最新的子树 ， ， 根据 使用 HistoSketch算法， 计算k个子树的散列值， 并按照该顺序将k个子树的散列值组成电力终端 的当前状态的向量 。 6.根据权利要求1或2所述的一种面向溯源图的多电力终端协同行为检测方法， 其特征 在于： 所述关键参数如下： ， 其中， 其中： 表示第i个簇的参数， 表示中心点的坐标， 表示簇的半径， 表示簇的数量。 7.根据权利要求6所述的一种面向溯源图的多电力终端协同行为检测方法， 其特征在 于： 所述步骤5， 包括： 如果关键参 数 中 包含某个电力终端的任何一个状态向量， 则 的信息将发送到某 个电力终端上， 否则， 的信息将不发送到某电力终端上。 8.根据权利要求6所述的一种面向溯源图的多电力终端协同行为检测方法， 其特征在 于： 所述步骤6， 包括： 根据新的状态量A与云端下发的z个簇中心点 的距离， 判断是否超过了对应半径 ； 如果没有超过对应的半径， 则认为当前状态的向量S包含在其中某个簇中， 所以电力终 端当前状态为 正常状态， 系统的行为属于正常行为； 如果超过了对应的半径， 则认为当前状态的向量S不在任何簇 中， 所以电力终端当前状 态为恶意行为， 电力终端需上报向量S对应的子树信息到 云端， 上报的内容包含对应子树的 字符串表示 ； 为 个最新的子树， 。 9.一种面向溯源图的多电力终端协同行为检测装置， 其特 征在于： 包括如下模块：权　利　要　求　书 2/3 页 3 CN 115412450 A 3