数据异动检测方法及系统、终端、存储介质与流程

本发明属于配电网数据检测，具体地，涉及数据异动检测方法及系统、终端、存储介质。

背景技术：

1、由于安全管理系统的缺陷，公共组织数据库中使用的安全模型容易受到网络攻击。超出基于规则的系统能力的有害活动是不可避免的，导致威胁变得更加复杂，使得数据库安全的保护变得更加困难。

2、配电网作为电能输送的最后环节，配电网设备运行管理水平直接影响了供电企业的供电可靠性和用户的电能使用情况。电力企业目前不断加大对现有的配电网电力基础设施进行升级改造，建设一个功能完备的配电网设备管理体系，推进营配调数据贯通工作。

3、现有技术中，传统的基于规则的安全系统无法检测到许多威胁。防火墙、访问控制级别和基于规则的管理在特权用户帐户被盗或内部攻击的情况下毫无用处。即使数据库包含访问控制方法，有一些威胁很难检测，并且很难保护数据库，因为这些威胁是由系统管理员或直接访问信息和数据的用户引发的，许多方法也不足以确保数据安全。而且，现有技术中缺少专门为数据库设计的异动检测方法，这导致无法辨识合法用户的异动，为数据库的安全埋下了隐患。特征提取是指从已知攻击类型的数据和当前用户的行为数据中提取特征信息。目前有多元线性回归分析算法和独立分量分析算法进行用户行为特征提取。其中，前者具有良好的过滤效果，但对于大规模信息，计算过程较为繁琐，而后者在容错范围内，但需要较长时间。用户的行为数据是基于时间序列中的一长串连续数据，存在一定的规律性，但数据组无法服从相同分布，因此基于时间序列转换为特征空间的特征提取方法，典型代表是傅里叶变换和离散小波变换，无法应用提取异常行为数据的特征。

技术实现思路

1、为解决现有技术中存在的不足，本发明提供数据异动检测方法及系统，对静态、实时、历史、电量等数据异动进行检测，提高数据库的安全。

2、本发明采用如下的技术方案。

3、本发明提出了一种数据异动检测方法，包括：

4、读取用户访问数据库时产生的行为数据，基于行为数据的时序关系构成时间序列；对时间序列进行划分得到多个子序列，从中筛选出特征子序列并计算各特征子序列对应的特征距离向量；以特征子序列与对应的特征距离向量构成特征时间序列；基于马尔科夫链模型，生成特征时间序列对应的特征状态序列；记录特征状态序列与数据异动特征序列相匹配的特征状态序列数量，当特征状态序列数量大于设定值时，判定行为数据存在异动；否则判定行为数据正常。

5、所述读取用户访问数据库时产生的行为数据，基于行为数据的时序关系构成时间序列，基于时间序列的时序关系构成时间序列集，包括：

6、以n个具有时序关系的行为数据g1,g2,...,gn构造成一个时间序列，利用s个具有时序关系的时间序列g1,g2,...,gs构造成时间序列集g′；其中，n是每个时间序列中的行为数据的数量，s是时间序列集中的时间序列的数量；

7、时间序列集g′满足如下关系式：

8、g′＝[g1,g2,...,gs]

9、式中，g1,g2,...,gs分别为第1、2、……、s个时间序列；

10、每个时间序列g满足如下关系式：

11、g＝{g1,g2,...,gn}

12、式中，g1,g2,...,gn分别为时间序列中的第1、2、……、n个行为数据。

13、对时间序列进行划分得到多个子序列，从中筛选出特征子序列并计算各特征子序列对应的特征距离向量，以特征子序列与对应的特征距离向量构成特征时间序列，包括：

14、将每个时间序列划分为k个子序列；计算每个子序列的平均值，提取各子序列平均值中的最大值和最小值；计算两个相邻的子序列zk、zk+1的行为数据平均值作为跳转阈值，当子序列zk中的行为数据不小于跳转阈值时保留子序列zk，当子序列zk中的行为数据小于跳转阈值时删除子序列zk；以最终保留的m个子序列作为特征子序列，m≤k；每个特征子序列的平均值分别与所述最大值和所述最小值的距离构成特征距离向量；以特征子序列与对应的距离向量构成特征时间序列。

15、每个时间序列划分后得到的子序列满足如下关系式：

16、gj＝{z1,z2,…,zk，…,zk}

17、式中，z1,z2,…,zk，…,zk分别是第1、2、……、k、……、k个子序列，j＝1,2,…,s，子序列数量满足k≤n/2；

18、最大值max z、最小值min z满足如下关系式：

19、

20、

21、式中，分别是第1、2、……、k、……、k个子序列平均值；

22、对于时间序列gj，特征子序列为fjm，m＝1,2,…,m，距离向量为qj，其中，为特征子序列平均值，则特征时间序列的特征元素为(fjm,qj)。

23、利用各子序列平均值中的最大值和最小值对特征时间序列的标准化处理。

24、基于马尔科夫链模型，生成特征时间序列对应的特征状态序列；记录特征状态序列与数据异动特征序列相匹配的特征状态序列数量，当特征状态序列数量大于设定值时，判定行为数据存在异动；否则判定行为数据正常，包括：

25、基于马尔科夫链模型生成特征元素对应的马尔科夫链；以马尔科夫链构成特征状态序列；计算特征状态序列与数据异动特征序列的匹配度；记录匹配度大于设定阈值的特征状态序列的数量，当所述数量大于设定值时，则判定行为数据存在异动；否则判定行为数据正常；

26、设定阈值不小于0.8；设定值不小于2。

27、马尔科夫链(b,π)包括状态转换矩阵b和概率向量π，状态转换矩阵b满足b＝{bpq}，状态转换，矩阵b的元素bpq表示特征元素从当前状态过渡到数据异动特征对应状态p、q的概率，且其中，1≤p,q≤n，n为状态数量；概率向量π满足π＝{πl}，πl表示特征元素的当前状态为数据异动特征的概率，1≤l≤n，0≤πl≤1，且

28、本发明还提出了一种数据异动检测系统，包括：采集模块，处理模块，检测模块；

29、采集模块，用于读取用户访问数据库时产生的行为数据，基于行为数据的时序关系构成时间序列；

30、处理模块，用于对时间序列进行划分得到多个子序列，从中筛选出特征子序列并计算各特征子序列对应的特征距离向量；以特征子序列与对应的特征距离向量构成特征时间序列；

31、检测模块，用于基于马尔科夫链模型，生成特征时间序列对应的特征状态序列；记录特征状态序列与数据异动特征序列相匹配的特征状态序列数量，当特征状态序列数量大于设定值时，判定行为数据存在异动；否则判定行为数据正常。

32、本发明还提出了一种终端，包括处理器及存储介质；存储介质用于存储指令；处理器用于根据所述指令进行操作以执行方法的步骤。

33、计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现方法的步骤。

34、本发明的有益效果在于，与现有技术相比至少包括：本发明提出的用户行为数据的特征提取方法，实现了从已知攻击类型的数据和当前用户的行为数据中提取特征信息，而且具有速度更快，特征提取更准确的优势。基于马尔科夫链原理，基于安全数据库，进行行为数据异动的检测，性能更优，精度更高。