(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111329772.6 (22)申请日 2021.11.10 (71)申请人 国网天津市电力公司 地址 300010 天津市河北区五经路39号 申请人 国家电网有限公司 (72)发明人 任肖久　梁程　杨要中　曹旌　 商敬安　陈建　张杰　宋国旺　 郑晔　王晓愉　刘凤　蒋立媛　 段伟润　张雪佼　万丽　唐乃馨　 李琳琦　多葭宁　崔金锐　 (74)专利代理 机构 天津盛理知识产权代理有限 公司 12209 代理人 王来佳 (51)Int.Cl. G06Q 10/06(2012.01)G06Q 50/06(2012.01) G06F 21/60(2013.01) G06F 21/62(2013.01) G06N 20/00(2019.01) (54)发明名称 一种基于大数据电力调度自动化敏感数据 检测方法及系统 (57)摘要 本发明公开了一种基于大数据电力调度自 动化敏感数据检测方法及系统， 属于电力调度技 术领域， 其特征在于， 基于大数据电力调度 自动 化敏感数据检测方法包括如下步骤： S1、 获取下 列数据源： 网络全流量数据、 业务系统数据、 设备 告警数据和自定义数据； S2、 行为 分析； 具体包括 基线分析、 时间序列分析和风险评估； S3、 行为异 常事件判定； S4、 场景预测告警。 通过上述技术方 案， 本发明通过大数据和机器学习手段， 通过持 续的对用户用电数据进行监控， 学习用户正常用 电行为， 同时做到及时发现系统内部的对铭感数 据的异常行为， 对偏离正常行为的动作进行及时 告警。 权利要求书4页 说明书8页 附图1页 CN 114037286 A 2022.02.11 CN 114037286 A 1.一种基于大 数据电力调度自动化敏感数据检测方法， 其特 征在于， 包括如下步骤： S1、 获取下列数据源： 网络全流 量数据、 业 务系统数据、 设备告警数据和自定义数据； S2、 行为分析； 具体包括基线分析、 时间序列分析和风险评估， 其中： 所述基线分析包括数值型基线和标称型基线； 所述数值型基线对于可量化的指标， 使用数值型基线， 可量化的指标包括历史流入流 出流量、 历史访问端口行为和历史访问主机行为； 所述标称型基线对于不能量化的指标， 使 用标称型基线， 不能量化的指标包括账号常用登录区域、 账号惯常登录时间、 账号常用IP和 主机历史开 放端口； 所述时间序列分析通过对访问数据的时间戳， 对比访问历史时间， 对访活跃时间段、 存 活情况， 判定是否是异常时间异常操作； 所述风险评估通过矩阵特 征给出判定， 敏感数据是否存在异常； S3、 行为异常事 件判定； 行为异常事 件包括： 读取防火墙、 入侵检测系统系统日志是否存在非法外 接设备； 数据库非法访问： 检测用户是否对数据库非法访问和操作； 敏感数据外传异常： 检测数据库数据是否被截屏， 重点数据是否被复制； S4、 场景预测告警。 2.根据权利要求1所述基于大 数据电力调度自动化敏感数据检测方法， 其特 征在于： 所述网络全流量数据为： 整个调度数据网以及和电力调度自动化系统对外接口的请 求‑响应协议内容、 用户对话信息以及文件信息流； 所述业务系统数据为： 为习得账号的正常行为基线， 发现其异常行为， 采集身份认证、 授权、 记账和审计系统账号， 企业办公账号账号以及其 他业务系统账号的活动数据。 所述设备告警数据为： 主机终端的进程活动日志、 网络活动日志、 文件操作日志； 防火 墙、 入侵检测系统、 网站应用级防御系统通过系统日志传送； 所述自定义数据为包括维护员自定义的终端、 终端端口以及维护人员自定义的敏感服 务。 3.根据权利要求2所述基于大数据电力调度自动 化敏感数据检测方法， 其特征在于， 所 述S2具体为： 定义1数值型异常基线监测法； 定义1.1单 元数值型监测法； 待监测数值型 数据组X＝{x1,x2,x3…xn},其中xn∈Rn， i,n∈正整数， R表示实数； ui表示数据组xi的均值； σ2表示数据组xi的方差； pi(x)表示数据组Xi内数据的分布函数， 表示Xi之间若均独立， 数值型数组分 布函数为p(X)； 若p(X)< ε则认为异常， 其中， ε为维护人员设定的边界值 ε∈(0,1)；权　利　要　求　书 1/4 页 2 CN 114037286 A 2定义1.2多元 数值型监测法； 待监测数值型数据组Xi＝{x1,x2,x3…xn}， 其中xi， Xi∈Rn， i,n∈正整数， R表示实数， Σ ∈Rn×n； qi(x)表示数据组Xi内数据的分布函数； 其中， xn之间正相关， 则 xn之间负相， 关则 表示xi之间若不独立， 数值型数组分 布函数为p(X)； 若q(X)< ε2则认为异常， 其中， ε2为维护人员设定的边界值 ε2∈(0,1)； 定义2时序异常 分析基线； 待监测时序 行为数据组Xi＝{x1,x2,x3…xn}， xn表示第n种访问行为， 定义m表示xi出现m 次， n∈正整数， m∈非负整数； W(xi)表示xi的在时间序列中活跃程度； Hi(x)表示Xi混乱程度； 若Hi(x)< ε3则认为异常， 其中ε3为维护人员设定的边界值 ε3∈(0,1)； 定义3， 将定义2中不同属性的d个特征值Hd(x)， 构建风险监测矩阵B， 特征值包括IP端口， 数据 包大小； 待监测数据特征矩阵为{HK(1)…HK(d)}， 与风险监测矩阵B的每一列做定义3.1的计算 生成新的矩阵C； 定义3.1 C＝[ θ1…θn]， 表示各维度特 征的异常情况； 若θn< ε4则认为异常， 其中ε为维护人员设定的边界值 ε4∈(0,1)， C中异常θn越多， 被监测 对象风险值越高。 4.根据权利要求3所述基于大数据电力调度自动 化敏感数据检测方法， 其特征在于， 所 述S4具体为： 通过异常事件特征分析结果， 构建敏感数据事件场景， 包括： 离职人员窃取敏 感数据， 内部人员过失性破坏， 账号失窃导 致敏感数据泄 露以及敏感数据被截屏。 5.一种基于大 数据电力调度自动化敏感数据检测系统， 其特 征在于： 包括： 数据获取模块， 获取下列数据源： 网络全流量数据、 业务系统数据、 设备告警数据和自 定义数据；权　利　要　求　书 2/4 页 3 CN 114037286 A 3