一种电力监控系统的异常通信智能识别方法及系统与流程

1.本发明涉及通信安全的技术领域，尤其是涉及一种电力监控系统的异常通信智能识别方法及系统。


背景技术：

2.电力监控系统用于实时采集各用电单位的用电情况数据，并对各用电单位或电气设备进行电压、电流、功率等参数进行实时在线监控，以根据采集到的参数向变电系统和配电系统发出相应的控制指令，提高电力供应的稳定性，因此，电力监控系统的运转过程中需要进行大量的通信行为。
3.目前电力监控系统所面临的网络安全威胁包括篡改消息、拒绝服务、木马程序和口令入侵等网络攻击，对于来自电力监控系统内部的口令入侵等攻击方式，防火墙的防御效果有限，可以采用对通信行为进行异常识别的方式防范来自电力监控系统内部的攻击，针对网络中海量的通信关系信息，通过人工的办法难以从中准确、快速地识别出异常的通信行为。
4.针对上述相关技术，发明人认为存在人工识别异常通信行为难度较大的问题。


技术实现要素：

5.为了提高识别设备间异常通信行为的效率，本技术提供一种电力监控系统的异常通信智能识别方法及系统。
6.本技术的上述发明目的一采用如下技术方案实现：一种电力监控系统的异常通信智能识别方法，包括：获取电力监控系统中的通信行为数据并判断通信类型；若所述通信类型为控制指令，获取所述通信行为数据的特征数据，否则基于通信分析抽取率判断是否获取所述通信行为数据的特征数据；将所述特征数据输入至登录操作模型和通信习惯模型中进行对比，判断所述特征数据对应的通信行为数据的风险类型；基于风险类型生成对应的通信处理指令对该通信行为作出处置。
7.通过采用上述技术方案，获取电力监控系统内的通信行为数据并判断通信类型，便于将电力系统中大量的通信行为进行区分，以对不同类型的通信行为作出不同的处理；若通信类型为控制指令，则获取该通信行为数据的特征数据，便于后续通过分析通信行为的特征数据判断该通信行为数据是否属于异常通信，若通信类型不为控制指令，则根据通信分析抽取率判断是否获取该通信行为数据的特征数据并进行后续的异常通信判断，通过判断通信行为数据的通信类型将对电力监控系统的安全关联性较强的控制指令和其他对电力监控系统的安全关联性较弱的非控制指令通信进行区分，而非对所有通信行为数据都进行异常通信判断，节约了电力监控系统的计算机资源，提高通信效率；将特征数据输入登录操作模型和通信习惯模型进行对比，以便从该特征数据所对应的通信行为数据的登录操
作信息和通信习惯信息两个维度来判断该通信行为数据是否属于异常通信，从而判断风险类型，提高了异常通信的识别率；根据不同的风险类型生成对应的通信处理指令以对通信行为作出合理的处置。
8.本技术在一较佳示例中可以进一步配置为：若所述通信类型为控制指令，获取所述通信行为数据的特征数据，否则基于通信分析抽取率判断是否获取所述通信行为数据的特征数据的步骤之前，还包括：获取电力监控系统历史网络攻击数据集，确定上一统计周期的网络攻击风险等级；基于上一统计周期网络攻击风险等级确定当前统计周期的通信分析抽取率。
9.通过采用上述技术方案，获取电力监控系统的历史网络攻击数据集，从历史网络攻击数据集中计算上一统计周期的网络攻击风险等级，以便得知电力监控系统近期受网络攻击的风险，以便根据上一统计周期的网络攻击风险等级确定当前统计周期的通信分析抽取率，从而达到及时调整电力监控系统中非控制指令的抽取概率的效果，以便根据实际电力监控系统的需求进行调整。
10.本技术在一较佳示例中可以进一步配置为：将所述特征数据输入至登录操作模型和通信习惯模型中进行对比，判断所述特征数据对应的通信行为数据的风险类型的步骤之前，还包括：获取历史通信行为数据集并获取对应的特征数据，基于特征数据创建登录操作模型和通信习惯模型。
11.通过采用上述技术方案，通过从电力监控系统的日常的通信行为数据中随机抽取部分通信行为数据形成历史通信行为数据集，获取对应的特征数据，根据历史通信行为数据集对应的特征数据中的用户登录操作行为习惯创建登录操作模型，根据被抽取到的日常通信行为的特征数据中的用户通信习惯创建通信习惯模型，以便后续用于判断通信行为数据是否属于异常通信并生成风险类型。
12.本技术在一较佳示例中可以进一步配置为：将所述特征数据输入至登录操作模型和通信习惯模型中进行对比，判断所述特征数据对应的通信行为数据的风险类型的步骤中，具体包括：根据登录操作模型，判断所述特征数据所对应的账号登录操作行为数据的异常，并输出判断结果；根据通信习惯模型，判断所述特征数据所对应的设备通信关系数据的异常，并输出判断结果。
13.通过采用上述技术方案，将通信行为数据的特征数据输入登录操作模型后，根据该通信行为数据对应的账号的登录操作与登录操作模型中的登录操作进行对比，从而判断该通信行为数据对应的账号是否属于异常登录并生成判断结果；将通信行为数据的特征数据输入通信习惯模型后，根据该通信行为数据的通信习惯与通信习惯模型中的通信习惯进行对比，从而判断该通信行为数据是否属于异常通信并生成判断结果。
14.本技术在一较佳示例中可以进一步配置为：将所述特征数据输入至登录操作模型和通信习惯模型中进行对比，判断所述特征数据对应的通信行为数据的风险类型的步骤中，还包括：
根据登录操作模型和通信习惯模型所输出的判断结果，生成通信行为数据的风险类型。
15.通过采用上述技术方案，将通信行为数据的特征数据输入登录操作模型和通信习惯模型，进行对比后生成判断结果，根据登录操作模型和通信习惯模型的判断结果生成通信行为数据的风险类型，以便后续根据通信行为数据的风险类型作出相应的处置措施。
16.本技术在一较佳示例中可以进一步配置为：根据登录操作模型，判断所述特征数据所对应的账号登录操作行为数据的异常，并输出判断结果的步骤之后，还包括：若所述登录操作模型的判断结果为风险登录，则限制账号对应岗位弱关联的通信功能权限。
17.通过采用上述技术方案，若登录操作模型对通信行为数据的特征数据的判断结果为风险登录，则获取发出该通信行为数据的账号对应的工作岗位，限制与该账号对应岗位关联性弱的通信功能的权限；以便用户在风险登录的情况下能够完成基本的工作任务，同时限制更多地通信功能权限，以提高电力监控系统的安全性，减少异常通信行为。
18.本技术在一较佳示例中可以进一步配置为：若所述登录操作模型的判断结果为风险登录，则限制账号对应岗位弱关联的通信功能权限的步骤之后，还包括：获取来自被限制通信功能权限账号的生物验证信息，基于所述生物验证信息恢复所述账号的通信功能权限。
19.通过采用上述技术方案，当一个账号的部分通信功能权限被限制时，获取来自被限制通信功能权限账号的生物验证信息，并根据生物验证信息恢复该账号的通信权限，以便用户在风险登录的情况下能够通过安全性更高的生物验证信息验证自己的身份，从而降低该账号的风险程度，以部分或全部地恢复账号的通信功能权限，便于用户在风险登录环境中能够使用更多的通信功能。
20.本技术的上述发明目的二采用如下技术方案实现：一种电力监控系统的异常通信智能识别系统，包括：通信类型判断模块，用于获取电力监控系统中的通信行为数据并判断通信类型；特征数据获取模块，用于若所述通信类型为控制指令，获取所述通信行为数据的特征数据，否则基于通信分析抽取率判断是否获取所述通信行为数据的特征数据；通信风险判断模块，用于将所述特征数据输入至登录操作模型和通信习惯模型中进行匹配，判断所述特征数据对应的通信行为数据的风险类型；通信行为处置模块，用于基于风险类型生成对应的通信处理指令对该通信行为作出处置。
21.通过采用上述技术方案，获取电力监控系统内的通信行为数据并判断通信类型，便于将电力系统中大量的通信行为进行区分，以对不同类型的通信行为作出不同的处理；若通信类型为控制指令，则获取该通信行为数据的特征数据，便于后续通过分析通信行为的特征数据判断该通信行为数据是否属于异常通信，若通信类型不为控制指令，则根据通信分析抽取率判断是否获取该通信行为数据的特征数据并进行后续的异常通信判断，通过判断通信行为数据的通信类型将对电力监控系统的安全关联性较强的控制指令和其他对电力监控系统的安全关联性较弱的非控制指令通信进行区分，而非对所有通信行为数据都进行异常通信判断，节约了电力监控系统的计算机资源，提高通信效率；将特征数据输入登
录操作模型和通信习惯模型进行对比，以便从该特征数据所对应的通信行为数据的登录操作信息和通信习惯信息两个维度来判断该通信行为数据是否属于异常通信，从而判断风险类型，提高了异常通信的识别率；根据不同的风险类型生成对应的通信处理指令以对通信行为作出合理的处置。
22.本技术的上述发明目的三采用如下技术方案实现：一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述电力监控系统的异常通信智能识别方法的步骤。
23.本技术的上述发明目的四采用如下技术方案实现：一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述电力监控系统的异常通信智能识别方法的步骤。
24.综上所述，本技术包括以下至少一种有益技术效果：1.获取电力监控系统内的通信行为数据并判断通信类型，若通信类型为控制指令，则获取该通信行为数据的特征数据以便进行后续的异常通信判断；若通信类型不为控制指令，则根据通信分析抽取率判断是否获取该通信行为数据的特征数据并进行后续的异常通信判断，根据通信类型决定对通信行为数据直接进行异常通信判断或者抽样进行异常通信判断，节约了用于进行异常通信判断所需的计算机资源，同时提高了电力监控系统内部的通信效率。
25.2.获取电力监控系统的历史网络攻击数据集，从历史网络攻击数据集中计算上一统计周期的网络攻击风险等级，并根据上一统计周期的网络攻击风险等级确定当前统计周期的通信分析抽取率，从而达到根据电力监控系统受网络攻击的风险等级及时调整非控制指令类型的通信行为数据进行异常通信判断的抽取率的效果。
26.3.若登录操作模型对某一通信行为数据的特征数据的判断结果为风险登录，则获取发出该通信行为数据的账号对应的工作岗位，限制与该账号工作岗位关联性弱的通信功能权限，以便用户在风险登录的情况下仅能进行与其岗位关联性强的通信行为，以提高电力监控系统的安全性，减少异常通信行为的发生。
附图说明
27.图1是本技术一实施例中电力监控系统的异常通信智能识别方法的一流程图；图2是本技术一实施例中电力监控系统的异常通信智能识别方法中步骤s20的实现流程图；图3是本技术一实施例中电力监控系统的异常通信智能识别方法中步骤s30的实现流程图；图4是本技术一实施例中电力监控系统的异常通信智能识别方法中步骤s30的另一实现流程图；图5是本技术一实施例中电力监控系统的异常通信智能识别方法中步骤s30的另一实现流程图；图6是本技术一实施例中电力监控系统的异常通信智能识别方法中步骤s30的另一实现流程图；
图7是本技术一实施例中电力监控系统的异常通信智能识别方法中步骤s30的另一实现流程图；图8是本技术一实施例中电力监控系统的异常通信智能识别系统的一原理框图；图9是本技术一实施例中的设备示意图。
具体实施方式
28.以下结合附图对本技术作进一步详细说明。
29.在一实施例中，如图1所示，本技术公开了一种电力监控系统的异常通信智能识别方法，具体包括如下步骤：s10：获取电力监控系统中的通信行为数据并判断通信类型。
30.具体地，获取电力监控系统中的每一条通信行为数据，并根据获取到的通信行为数据的功能判断通信类型，其中，通信类型包括控制指令和非控制指令，以便后续根据获取到的不同通信类型的通信行为数据进行区分，并根据不同的标准进行异常通信判断。
31.s20：若通信类型为控制指令，获取通信行为数据的特征数据，否则基于通信分析抽取率判断是否获取通信行为数据的特征数据。
32.在本实施例中，控制指令是指电力监控系统内的可能对电力系统安全造成影响的操作指令；通信分析抽取率是指针对非控制指令类型的通信行为数据进行异常通信判断时的抽样率；特征数据是指对通信行为数据进行特征工程处理后所得到的数据。
33.具体地，电力监控系统内部的通信行为通常包括控制指令和参数采集信息等，其中控制指令包括但不限于用于控制电力监控系统的功能的开关、用于控制电路的通断、用于改变接入电路中任一用电单位或用电设备的电压、电流、功率等参数的操作的指令，这些控制指令对用电单位和用电设备的用电安全易造成影响，进而可能导致人身安全和财产安全的损害，因此，对于控制指令类型的通信行为数据应当全部进行异常通信判断；相比之下，非控制指令类型的通信行为对用电安全的影响较小，因此，对于电力监控系统内部的的非控制指令类型的通信行为数据可以采取随机抽样的方式进行异常通信判断。
34.具体地，当通信类型为控制指令时，对该通信行为数据进行特征工程处理以获取通信行为数据的特征数据，以便后续基于特征数据进行异常通信判断；当通信类型为非控制指令时，则根据预设的通信分析抽取率判断是否获取该非控制指令类型通信行为数据所对应的特征数据以进行后续的异常通信判断。
35.具体地，对通信行为数据进行特征工程处理得到特征数据，特征数据包括获取该通信行为数据所对应的通信时间、通信协议、该通信行为数据的收发双方的ip地址、通信端口，以及发出该通信行为数据所对应账号的设备识别码、登录时间、登录方式。
36.进一步地，对于不属于控制指令，但是对于电力监控系统的安全和功能具有重大影响的通讯行为也可以拟制归为控制指令，以便这些对于电力监控系统的安全和功能具有重大影响的通讯行为也能得到异常通信判断功能的检验，进一步提高电力监控系统的安全性。
37.s30：将特征数据输入至登录操作模型和通信习惯模型中进行对比，判断特征数据对应的通信行为数据的风险类型。
38.在本实施例中，登录操作模型是指用于判断特征数据所对应的账号的登录操作是
否为异常登录的模型；通信习惯模型是指用于判断特征数据所对应的通信行为数据的通信习惯是否异常的模型。
39.具体地，将特征数据输入至登录操作模型中，与登录操作模型中记录的正常登录的账号的特征进行对比，从而判断该特征数据所对应的账号的登录状态，将特征数据输入至通信习惯模型中，与通信习惯模型中记录的正常通信行为的特征进行对比，从而判断该特征数据所对应的通信行为数据的通信习惯是否异常；进而根据登录操作模型和通信习惯模型的判断结果判断该特征数据对应的通信行为数据的风险类型。
40.s40：基于风险类型生成对应的通信处理指令对该通信行为作出处置。
41.在本实施例中，风险类型是指通信行为数据的特征数据经过登录操作模型和通信习惯模型的判断后，根据判断出的风险项目生成的结果。
42.具体地，风险类型根据账号的登录风险状态和通信行为的通信关系风险状态生成，登录风险状态包括正常登录、风险登录和危险登录，通信关系风险状态包括通信关系正常、通信关系可疑和通信关系异常；通信行为数据的风险类型包括正常通信、可疑通信和异常通信。
43.具体地，当风险类型为正常通信时，生成通信处理指令为允许通信使通信行为数据正常传递；当风险类型为可疑通信时，生成通信处理指令为允许风险通信并标记该通信行为数据对应的登录风险状态和通信关系风险状态，使通信行为数据能够正常传递同时标记出可能的风险，便于工作人员知晓该通信的风险情况；当风险类型为异常通信时，生成通信处理指令为禁止异常通信以拦截该通信行为数据的传递，以防对电力监控系统的网络安全造成威胁。
44.在本实施例中，获取电力监控系统内的通信行为数据并判断通信类型，便于将电力系统中大量的通信行为进行区分，以对不同类型的通信行为作出不同的处理；若通信类型为控制指令，则获取该通信行为数据的特征数据，便于后续通过分析通信行为的特征数据判断该通信行为数据是否属于异常通信，若通信类型不为控制指令，则根据通信分析抽取率判断是否获取该通信行为数据的特征数据并进行后续的异常通信判断，通过判断通信行为数据的通信类型将对电力监控系统的安全关联性较强的控制指令和其他对电力监控系统的安全关联性较弱的非控制指令通信进行区分，而非对所有通信行为数据都进行异常通信判断，节约了电力监控系统的计算机资源，提高通信效率；将特征数据输入登录操作模型和通信习惯模型进行对比，以便从该特征数据所对应的通信行为数据的登录操作信息和通信习惯信息两个维度来判断该通信行为数据是否属于异常通信，从而判断风险类型，提高了异常通信的识别率；根据不同的风险类型生成对应的通信处理指令以对通信行为作出合理的处置。
45.在一实施例中，如图2所示，在步骤s20之前，还包括：s21：获取电力监控系统历史网络攻击数据集，确定上一统计周期的网络攻击风险等级。
46.在本实施例，历史网络攻击数据集是指记录了电力监控系统所受到的每一次网络攻击以及对应的时间节点而生成的数据集；攻击风险等级是根据每一统计周期内发生的网络攻击次数所确定的反映该统计周期内电力监控系统受网络攻击剧烈程度的等级。
47.具体地，记录电力监控系统所受的每一次网络攻击，以生成历史网络攻击数据集，
根据当前时间节点从历史网络攻击数据集中确定上一统计周期的网络攻击风险等级；优选的，可将每一个自然周作为一个统计周期；优选的，设置中风险攻击次数阈值和高风险攻击次数阈值，以便确定攻击风险等级，例如，将中风险攻击次数阈值设置为5次，高风险攻击次数阈值设置为10次，则当一个统计周期内受到的网络攻击次数小于等于5次时，攻击风险等级为低风险，当一个周期内受到的网络攻击次数为6次到10次时，攻击风险等级为中风险，当一个周期内受到的网络攻击次数大于等于11次时，攻击风险等级为高风险。
48.s22：基于上一统计周期网络攻击风险等级确定当前统计周期的通信分析抽取率。
49.具体地，获取当前时间节点，根据上一统计周期的网络攻击风险等级确定当前统计周期的通信分析抽取率，每一个网络攻击风险等级对应一个通信分析抽取率，例如，当网络攻击风险等级为低风险时，网络分析抽取率可以是30%，当网络攻击风险等级为中风险时，网络分析抽取率可以是40%，当网络攻击风险等级为高风险时，网络分析抽取率可以是50%。
50.在一实施例中，如图3所示，在步骤s30之前，还包括：s31：获取历史通信行为数据集并获取对应的特征数据，基于特征数据创建登录操作模型和通信习惯模型。
51.在本实施例中，历史通信行为数据集是指记录了电力监控系统内的历史通信行为数据所生成的数据集。
52.具体地，从电力监控系统内日常通信行为数据中随机抽取若干通信行为数据，将抽取到的通信行为数据中的可疑通信和异常通信剔除，基于剩余的通信行为数据生成历史通信行为数据集，获取历史通信行为数据集中通信行为数据所对应的特征数据以创建登录操作模型和通信习惯模型。
53.具体地，获取历史通信行为数据集的特征数据中发出通信行为数据的账号对应的设备识别码、ip地址、登录方式和登录时间数据，并对这些数据进行概率模型处理，得到登录操作模型，其中概率模型可以包括指数分布、高斯分布、混合模型、聚类模型、马尔可夫模型中的一种或多种。
54.具体地，获取历史通信行为数据集的特征数据中发出和接收通信行为数据的双方的ip地址、通信端口、通信协议、通信时间数据，并对这些数据进行概率模型处理，得到通信习惯模型，其中概率模型可以包括指数分布、高斯分布、混合模型、分层模型中的一种或多种。
55.在一实施例中，如图4所示，在步骤s30中，具体包括：s32：根据登录操作模型，判断特征数据所对应的账号登录操作行为数据的异常，并输出判断结果。
56.具体地，将特征数据输入登录操作模型中进行对比，以判断特征数据中账号对应的设备识别码、ip地址、登录方式和登录时间数据是否异常，并输出记录登录风险状态的判断结果，若所有数据均正常，则输出判断结果为正常登录；若设备识别码、ip地址、登录方式和登录时间数据中有一项或多项异常，则输出判断结果为风险登录并标记风险项目，其中，若设备识别码异常则标记为非常用设备登录，若ip地址异常则标记为异地登录，若登录方式异常则标记为可疑登录方式，若登录时间异常则标记为可疑登录时间；若检测到账号登录过程中密码错误的次数超过预设的密码输入次数阈值，则输出判断结果为危险登录。
57.s33：根据通信习惯模型，判断特征数据所对应的设备通信关系数据的异常，并输出判断结果。
58.具体地，将特征数据输入通信习惯模型中进行对比，以判断特征数据中发出和接收通信行为数据的双方的ip地址、通信端口、通信协议、通信时间数据是否异常，并输出记录通信关系风险状态的判断结果，若所有数据均正常，则输出判断结果为通信关系正常；若ip地址、通信端口、通信协议、通信时间数据中有一项或两项异常，则输出判断结果为通信关系可疑，若ip地址、通信端口、通信协议、通信时间数据中有一项或两项异常，则输出判断结果为通信关系正常可疑并标记风险项目，若ip地址、通信端口、通信协议、通信时间数据中有三项以上异常，则输出判断结果为通信关系异常并标记风险项目。
59.在一实施例中，如图5所示，在步骤s30中，还包括：s34：根据登录操作模型和通信习惯模型所输出的判断结果，生成通信行为数据的风险类型。
60.具体地，根据登录操作模型和通信习惯模型所输出的判断结果，当登录风险状态和通信关系风险状态的组合为正常登录和通信关系正常时，生成的风险类型为正常通信；当登录风险状态和通信关系风险状态的组合为正常登录和通信关系可疑、风险登录和通信关系可疑、风险登录和通信关系可疑时，生成的风险类型为可疑通信；当登录风险状态和通信关系风险状态的组合为危险登录和通信关系正常、危险登录和通信关系可疑、危险登录和通信关系异常、正常登录和通信关系异常、风险登录和通信关系异常、危险登录和通信关系异常时，生成的风险类型为异常通信。
61.在一实施例中，如图6所示，在步骤s32之后，还包括：s35：若登录操作模型的判断结果为风险登录，则限制账号对应岗位弱关联的通信功能权限。
62.具体地，根据登录操作模型输出的记录了特征数据所对应账号登录风险状态的判断结果以限制账号的通信功能权限，若对账号的判断结果为正常登录，则不对该账号的通信功能权限进行限制，若对账号的判断结果为风险登录或危险登录，则进一步获取该账号对应的用户的工作岗位，同时将该账号已得到的通信功能权限依照工作岗位划分为强关联通信功能权限和弱关联通信功能权限，限制与该账号对应工作岗位弱关联的通信功能权限，为风险登录或危险登录的账号仅保留与其工作岗位强关联的通信功能权限，使其能够正常完成工作，同时限制与其工作岗位弱关联的通信功能权限，以减少异常通信行为发生的可能性。
63.在一实施例中，如图7所示，在步骤s35之后，还包括：s36：获取来自被限制通信功能权限账号的生物验证信息，基于生物验证信息恢复账号的通信功能权限。
64.在本实施例中，生物验证信息是指在账号登录时使用的能够验证用户的生物身份的信息。
65.具体地，生物验证信息可以是指纹信息，面部图像信息，虹膜信息等，当账号因被认定为风险登录或危险登录而被限制了部分通信功能权限时，用户可以通过生物验证信息以全部或部分恢复账号被限制的通信功能权限。
66.具体地，当账号处于风险登录或危险登录状态时，向该账号发送生物验证提示，以
提示用户可以通过生物验证信息恢复账号的通信功能权限。
67.应理解，上述实施例中各步骤的序号大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本技术实施例的实施过程构成任何限定。
68.在一实施例中，提供一种电力监控系统的异常通信智能识别系统，该电力监控系统的异常通信智能识别系统与上述实施例中电力监控系统的异常通信智能识别方法一一对应。
69.如图8所示，一种电力监控系统的异常通信智能识别系统，包括通信类型判断模块、特征数据获取模块、通信风险判断模块和通信行为处置模块。各功能模块的详细说明如下：通信类型判断模块，用于获取电力监控系统中的通信行为数据并判断通信类型；特征数据获取模块，用于若通信类型为控制指令，获取通信行为数据的特征数据，否则基于通信分析抽取率判断是否获取通信行为数据的特征数据；通信风险判断模块，用于将特征数据输入至登录操作模型和通信习惯模型中进行匹配，判断特征数据对应的通信行为数据的风险类型；通信行为处置模块，用于基于风险类型生成对应的通信处理指令对该通信行为作出处置。
70.关于电力监控系统的异常通信智能识别系统的具体限定可以参见上文中对于电力监控系统的异常通信智能识别方法的限定，在此不再赘述；上述电力监控系统的异常通信智能识别系统中的各个模块可全部或部分通过软件、硬件及其组合来实现；上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以是以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
71.在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储通信行为数据、特征数据、登录操作模型、通信习惯模型、历史网络攻击数据集和通信分析抽取率等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种电力监控系统的异常通信智能识别方法。
72.在一个实施例中，提供了一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，处理器执行计算机程序时实现以下步骤：s10：获取电力监控系统中的通信行为数据并判断通信类型；s20：若通信类型为控制指令，获取通信行为数据的特征数据，否则基于通信分析抽取率判断是否获取通信行为数据的特征数据；s30：将特征数据输入至登录操作模型和通信习惯模型中进行对比，判断特征数据对应的通信行为数据的风险类型；s40：基于风险类型生成对应的通信处理指令对该通信行为作出处置。
73.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算
机程序被处理器执行时实现以下步骤：s10：获取电力监控系统中的通信行为数据并判断通信类型；s20：若通信类型为控制指令，获取通信行为数据的特征数据，否则基于通信分析抽取率判断是否获取通信行为数据的特征数据；s30：将特征数据输入至登录操作模型和通信习惯模型中进行对比，判断特征数据对应的通信行为数据的风险类型；s40：基于风险类型生成对应的通信处理指令对该通信行为作出处置。
74.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器（rom）、可编程rom（prom）、电可编程rom（eprom）、电可擦除可编程rom（eeprom）或闪存。易失性存储器可包括随机存取存储器（ram）或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram（sram）、动态ram（dram）、同步dram（sdram）、双数据率sdram（ddrsdram）、增强型sdram（esdram）、同步链路（synchlink） dram（sldram）、存储器总线（rambus）直接ram（rdram）、直接存储器总线动态ram（drdram）、以及存储器总线动态ram（rdram）等。
75.所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。
76.以上所述实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述实施例对本技术进行了详细的说明，本领域普通技术人员应当理解；其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的精神和范围，均应包含在本技术的保护范围之内。