(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210919916.1 (22)申请日 2022.08.01 (71)申请人 博瑞得科技有限公司 地址 401121 重庆市渝北区青枫北路18号 凤凰A座7楼 2# (72)发明人 王敏　程涛木　王可锋　吴亮　 杨喜志　 (74)专利代理 机构 重庆壹手知专利代理事务所 (普通合伙) 50267 专利代理师 刘军 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于流量基线的电力终端异常检测方 法及系统 (57)摘要 本发明涉及电力终端检测技术领域， 公开了 一种基于流量基线的电力终端异常检测方法， 包 括： 采集电力终端所有的网络流量数据， 并进行 识别和解析； 存储到大数据平台和结构化数据 库； 根据时间切片的电力终端IP流量上下限统 计、 协议规约流量上下限统计、 应用层功能码流 量大小统计对电力终端的流量维度、 协议维度、 应用层功能码维度进行异常检测， 得到第一、 二、 三异常检测结果； 根据第一、 二、 三异常检测结果 计算最终异常检测结果， 并确定电力终端存在异 常的可能性。 本发明提供的基于流量基线的电力 终端异常检测方法及系统， 从终端的流量维度、 应用层功能码维度、 协议维度进行多维度统计与 异常检测， 保证了终端流量检测维度的全面性和 精确性。 权利要求书3页 说明书14页 附图5页 CN 115473671 A 2022.12.13 CN 115473671 A 1.一种基于流 量基线的电力终端异常检测方法， 其特 征在于， 包括： 采集电力终端所有的网络流量数据， 并根据规约对所述网络流量数据进行识别和解 析； 其中， 所述规约为电力采集终端与上层平台之间进行网络流量数据传输时使用的定制 化数据规范； 将解析后得到的所有电力终端网络流 量会话存 储到大数据平台和结构化数据库； 根据时间切片的电力终端IP流量上下限统计对电力终端的流量维度进行异常检测， 得 到第一异常检测结果； 根据时间切片的电力终端协议规约流量上下限统计对电力终端的协议维度进行异常 检测， 得到第二异常检测结果； 根据时间切片的电力终端应用 层功能码流量大小统计对电力终端的应用 层功能码维 度进行异常检测， 得到第三异常检测结果； 根据所述第 一异常检测结果、 第 二异常检测结果和第 三异常检测结果计算电力终端的 最终异常检测结果， 并根据所述 最终异常检测结果确定所述电力终端存在异常的可能性。 2.根据权利要求1所述的基于流量基线的电力终端异常检测方法， 其特征在于， 所述采 集电力终端所有的网络流量数据， 并根据规约对所述网络流量数据进行识别和解析， 得到 网络流量会话的步骤， 包括： 接收汇聚分流设备或交换机 镜像到网卡上的电力终端网络流 量； 将网卡上的数据采集到内存， 并将采集到内存中的数据按照规约进行 数据识别； 对存储到内存中的所有码流数据按照IP五元组信息进行 数据过滤、 分片组合、 去重； 根据规约中规定传输层协议、 帧数据格式、 应用 层数据格式对整理好的流量会话数据 进行解析， 得到网络流 量的会话记录 。 3.根据权利要求1所述的基于流量基线的电力终端异常检测方法， 其特征在于， 所述将 解析后得到的所有电力终端网络流量会话存储到大数据平台和结构化数据库 的步骤， 包 括： 将接收到的所有电力终端网络流量会话临时存储到kafka消息中间件， 通过生产者和 消费者模式进行 数据的产生和 消费； 根据需要存 储的数据格式以及数据量进行 大数据平台存 储或结构化数据存 储。 4.根据权利要求1所述的基于流量基线的电力终端异常检测方法， 其特征在于， 所述根 据时间切片的电力终端IP流量上下限统计对电力终端的流量维度进 行异常检测， 得到第一 异常检测结果的步骤， 包括： 选取一个基准时长和时间切片粒度集合； 其中， 所述基准时长大于等于2天， 且所述基 准时长内电力终端流量数据为正常数据， 所述时间切片粒度集合中包含多种时间切片， 分 别为1分钟时间切片、 5分钟时间切片、 10分钟时间切片、 30分钟时间切片和60分钟时间切 片； 在所述基准时长中每个时间切片的相同时间点数据为一个数据集合D＝{max， min， med， n}； 其中， max表 示时间切片上相同时间点的最大值， min表 示时间切片上相同时间点的 最小值， med表示切片上 所有相同时间点的中间值， n表示已经累计的数据个数； 电力终端IP在以往每天一个时间点上正常数据的集合为D＝{max， min， med， n}， 按照切 片粒度获取时间点上的数据为d1， 则d1等于切片内所有会话记录流 量之和；权　利　要　求　书 1/3 页 2 CN 115473671 A 2根据d1计算得到第一异常检测结果s1。 5.根据权利要求4所述的基于流量基线的电力终端异常检测方法， 其特征在于， 所述根 据d1计算得到第一异常检测结果s1的步骤， 包括： 当max＝min＝me d时， 当s1＝0时， n＝n+1； 当s1＞0时， 接收用户判断d1是 否加入D数据集 合的指令； 其中， s1为第一异常检测结果； 当d1＞max时， 当s1＞1时， s1＝1； 当d1＞mi n时， 当s1＞1时， s1＝1； 当med≤d1≤max时， 其中， 对D中的me d和n进行重新计算， med的计算 为： 当n为偶数时， 当n为奇数时， n＝n ‑1， n的计算为： n ＝n+1； 当min≤d1≤med时， 其中， 对D中的med和n进行重新计算， med的计算 为： 当n为偶数时， 当n为奇数时， n＝n ‑1， n的计算为： n ＝n+1； 当0.8＜s1≤1时， 接收用户确定流量终端点是否加入到D中， 若加入到D中， 则修改D中 的max或mi n， 并按照med≤d1≤max或mi n≤d1≤med时的方式修改med和n 值。 6.根据权利要求1所述的基于流量基线的电力终端异常检测方法， 其特征在于， 所述根 据时间切片的电力终端应用层功 能码流量大小统计对电力终端的应用层功 能码维度进行 异常检测， 得到第三异常检测结果的步骤， 包括： 选取一个基准时长和时间切片粒度集合； 其中， 所述基准时长大于等于1小时， 且所述 基准时长内电力终端应用层功能码每次流量大小为正常数据， 所述时间切片粒度集合中包 含多种时间切片的方式， 分别为按1小时进行时间切片、 按1天进行时间切片、 按1周进行时 间切片、 按1月进行时间切片； 在基准时长中， 每个切片 时间内的数据为一个二维数据集合D＝{D1， D2， D3， ......}， Dn＝{starttime， endtime， fcode， n， avg}； 其中， starttime表示切片的开始统计时间， endtime表示切片的结束统计时间， fcode表示应用层功能码编号， n表 示切片时间中应用层 功能码产生的次数， avg表示切片时间中应用层功能码每次访问的流 量平均数； 根据时间切片粒度集合中的时间切片的方式计算每种功能码每天的数据集合中的具 体值； 其中， 每种功能码每天的数据集合为Dn＝{startti me， endtime， fcode， n， avg}， avg的 计算公式为： avgi表示0到24小时中每1小时相同应用层功能码的每次访问 的流量平均值， ni表示0到24小时中每1小时相同应用层功能码的访问的次数； 获取电力终端的应用层功能码访问的流量数据大小d2， 从月、 周、 天、 小时的切片顺序 寻找该应用层功能码对应的数据集Dn， 并将流量大小d2与切片维度最大的相同应用层功能 码Dn中的avg进行比较；权　利　要　求　书 2/3 页 3 CN 115473671 A 3