(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111430476.5 (22)申请日 2021.11.29 (71)申请人 中国电力科 学研究院有限公司 地址 100192 北京市海淀区清河小营东路 15号 (72)发明人 朱朝阳　周亮　缪思薇　王海翔　 朱亚运　张晓娟　张梦迪　曹靖怡　 姜琳　蔺子卿　 (74)专利代理 机构 北京中巡通大知识产权代理 有限公司 1 1703 代理人 张弘 (51)Int.Cl. G06F 11/34(2006.01) G06F 16/18(2019.01) G06F 30/27(2020.01)G06K 9/62(2022.01) G06Q 50/06(2012.01) H04L 9/40(2022.01) G16Y 10/35(2020.01) G16Y 30/10(2020.01) (54)发明名称 电力物联网设备行为安全检测方法、 系统、 设备及存 储介质 (57)摘要 本发明公开了一种电力物联网设备行为安 全检测方法、 系统、 设备及存储介质， 包括： 获取 电力物联网设备的行为日志文件； 对电力物联网 设备的行为日志文件进行解析， 得到系统行为事 件序列； 将系统行为事件序列输入到训练后的异 常行为检测模 型中， 以判断电力物联网设备的行 为是否异常， 完成电力物联网设备行为安全检 测， 该方法、 系统、 设备及存储介质能够较为准确 的对电力物联网设备 行为进行安全检测。 权利要求书2页 说明书9页 附图7页 CN 114090406 A 2022.02.25 CN 114090406 A 1.一种电力物联网设备 行为安全检测方法， 其特 征在于， 包括： 获取电力物联网设备的行为日志文件； 对所述行为日志文件进行解析， 得到系统行为事 件序列； 将所述系统行为事件序列输入到训练后的异常行为检测模型中， 以判断电力物联网设 备的行为是否异常， 根据判断结果完成电力物联网设备 行为安全检测。 2.根据权利要求1所述的电力物联网设备行为安全检测方法， 其特征在于， 所述对所述 行为日志文件进行解析， 得到系统行为事 件序列的具体过程 为： 根据所述行为日志文件生成系统行为序列， 将系统行为序列解析为系统行为事件序 列。 3.根据权利要求2所述的电力物联网设备行为安全检测方法， 其特征在于， 所述将系统 行为事件序列输入到训练后的异常行为检测模型中之前还 包括： 模拟电力物联网设备的真实运行环境； 记录在所述模拟的电力物联网设备的真实运行环境中电力物联网设备产生的安全行 为及状态， 生成模拟电力物联网设备的行为日志文件； 根据所述模拟电力物联网设备的行为日志文件生成模拟系统行为事 件序列； 建立异常行为检测模型， 利用所述模拟系统行为事件序列对异常行为检测模型进行训 练， 获得训练后的异常行为检测模型。 4.根据权利要求1所述的电力物联网设备行为安全检测方法， 其特征在于， 所述电力物 联网设备 的行为日志文件记录包含进程信息、 系统调用的频率、 系统调用顺序及系统调用 参数。 5.根据权利要求1所述的电力物联网设备行为安全检测方法， 其特征在于， 所述将所述 系统行为事件序列输入到训练后的异常行为检测模型中， 以判断电力物 联网设备的行为是 否异常的具体过程 为： 构建系统行为序列数据集， 其中， 系统行为序列数据集中的元素与系统行为事件序列 中的系统行为事件相对应， 将所述系统行为事件序列输入到训练后的异常行为检测模型， 训练后的异常行为检测模型输出 各系统行为事 件的概率； 根据所述各系统行为事件的概率对各系统行为事件进行排序， 并将前P个系统行为事 件作为正常行为， 将其 他系统行为事 件作为异常行为。 6.一种电力物联网设备 行为安全检测系统， 其特 征在于， 包括： 获取模块 （1） ， 用于获取电力物联网设备的行为日志文件； 解析模块 （2） ， 用于对所述行为日志文件进行解析， 得到系统行为事 件序列； 检测模块 （3） ， 用于将所述系统行为事件序列输入到训练后的异常行为检测模型中， 以 判断电力物联网设备的行为是否异常， 根据判断结果完成电力物联网设备 行为安全检测。 7.根据权利要求6所述的电力物联网设备 行为安全检测系统， 其特 征在于， 还 包括： 模拟模块 （4） ， 用于模拟电力物联网设备的真实运行环境； 记录模块 （5） ， 用于记录在所述模拟的电力物联网设备的真实运行环境中电力物联网 设备产生的安全行为及状态， 得模拟电力物联网设备的行为日志文件； 生成模块 （6） ， 用于根据所述模拟电力物联网设备的行为日志文件生成模拟系统行为 事件序列；权　利　要　求　书 1/2 页 2 CN 114090406 A 2训练模块 （7） ， 用于建立异常行为检测模型， 利用所述模拟系统行为事件序列对异常行 为检测模型进行训练， 获得训练后的异常行为检测模型。 8.一种计算机设备， 包括存储器、 处理器以及存储在所述存储器中并可在所述处理器 上运行的计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现如权利要求 1至 5任一项所述电力物联网设备 行为安全检测方法的步骤。 9.一种计算机可读存储介质， 所述计算机可读存储介质存储有计算机程序， 其特征在 于， 所述计算机程序被处理器执行时实现如权利要求 1至5任一项 所述电力物联网设备行为 安全检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114090406 A 3