一种基于人工智能的配电网终端安全行为监测系统及方法

1.本发明属于配网终端安全行为监测系统技术领域，尤其涉及一种基于人工智能的配电网终端安全行为监测系统及方法。


背景技术：

2.电力配网面临着诸多的安全风险，首先，嵌入式系统容易导致风险：一方面，系统裁剪、应用定制、在线升级困难和通信协议专有等复杂因素的存在，使得大部分配网设备存在大量的安全隐患和安全漏洞；另一方面，由于软硬件计算资源有限，为了保证实时性和可用性，配网设备在设计初期时常常往往无法过多考虑信息安全的需求，这使得现役和在售的配网终端大多处于不设防状态，终端设备存在伪冒替换、非法接入、违规访问、入侵攻击等问题。
3.其次，配网终端设备安全程度不高：终端设备的生产厂商意识风险较为薄弱，很多终端设备生产厂商缺乏安全意识和安全能力，这使得他们在终端软硬件设计和开发过程中对于安全性的考虑不足，导致部分终端无消息认证和完整性鉴别机制，这使得终端设备无法判断业务指令是否为伪造或被恶意篡改，因此，攻击者可能通过非法指令导致设备误动，攻击者可在未授权的情况下非法利用或破坏智能终端，从而降低了配网的安全程度。
4.第三，配网物理环境存在风险：配网设备通常被部署于无人值守或安全不可控的环境中，这使得攻击者可很容易地直接接触设备实施物理破坏，或者通过对设备进行克隆实现伪造，或者通过近程或远程等多种方式实现信息窃取、软件篡改及远端控制等攻击，降低了配网的安全性。


技术实现要素：

5.针对上述现有技术中存在的不足之处，本发明提供了一种基于人工智能的配电网终端安全行为监测系统及方法。其目的是为了实现分析和监测配网终端异常，及时发现和消除终端设备异常活动，降低配网安全风险的发明目的。
6.本发明为实现上述目的所采用的技术方案是：一种基于人工智能的配电网终端安全行为监测系统，包括系统安装配置模块、配网设备资产底账模块、配网设备统一管理模块、配网设备运行状态监控模块、配网设备网络行为分析模块和终端画像模块。
7.进一步的，所述系统安装配置包括采集分析引擎连接配置；系统安装配置模块包括：设备ip地址配置、设备硬件时钟设置、探测引擎上报ip地址配置、探测引擎自启动配置、探测引擎服务ip地址配置、探测引擎探测ip地址范围配置、探测引擎探测周期配置、探测引擎性能配置、分析引擎性能配置、析引擎功能开关配置。
8.进一步的，所述配网设备资产底账模块包括生成全面、准确配电自动化网的资产底账功能；通过主动探测技术、被动探测技术和指纹识别技术，发现和识别配电自动化网内的各类终端设备，形成配电自动化网全面、准确的资产底账；形成包括配电自动化网特有终
端设备在内的，包括：配电采集终端、onu/olt、智能电表、作业终端、摄像头、主机、网络设备、服务器各种类型设备的资产详细底账。
9.进一步的，所述配网设备统一管理模块包括对配电自动化网终端设备的统一管理功能；将设备的所有有价值信息都详细列于资产清单、top图、趋势图，展示资产数据排名、资产视图展示：其中，资产数据排名包括设备类型top5、黑名单top5、高危端口top5、品牌top5；所述资产视图展示包括弱口令设备趋势、部门设备统计、新接入设备；系统还支持终端多维度多层级分组。
10.进一步的，所述配网设备运行状态监控模块包括完成配电自动化网终端设备运行状态的监控功能，通过探测感知，从网络可达性、设备健康状态等方面实时监控终端设备的运行状态，一旦网内的终端设备发生设备故障、离线异常事件，系统立即产生报警，完成网内终端设备的运行状态监控，展现现网中风险状态；所述配网设备运行状态监控模块亦可展示设备总数、最多设备数量、当天新增设备数量和趋势、展示全网ip总数、可用ip数、ip使用率最高的部门、部门ip使用率top5排行、ip使用率趋势视图、开放端口总量、设备开放端口最多及其趋势、分类查看离线设备。
11.进一步的，所述配网设备网络行为分析模块包含完成配电自动化网网络异常行为分析和预警功能；通过行为分析功能，将网络流量分为黑、白、灰三种流量；通过黑名单发现网络的非法网络行为；通过灰名单，发现网络的可疑网络行为；通过智能分析模型完成网络的违规外联行为、使用不安全协议行为、高危端口行为、使用违规软件行为，非法访问数据库行为、非法访问安全域行为、非法访问应用系统等网络异常行为的分析和预警；通过内置《国家电网端口和服务黑白名单》发现网内访问高危端口和黑名单端口行为；所述配网设备网络行为分析模块包括以下步骤：步骤1.查看非法网络数据：步骤2.查看非法网络信息明细：步骤3.导出非法网络设备：步骤4.可疑网络数据展示。
12.进一步的，所述终端画像模块包括完成配电自动化网网络未知攻击行为的发现和预警功能；通过基于人工智能的终端画像的访问关系模型，建立网络同类型设备和安全域访问关系的白模型，对超出白模型范围的网络访问行为进行预警，完成网络的未知攻击行为的发现，并预警；通过基于人工智能的终端画像的统计数据模型，建立网内终端设备访问流量、访问关系、访问端口的安全基线，对超出安全基线阈值范围的网络访问行为进行预警，完成网络的未知攻击行为的发现，并预警；展示模型总数、非法网络连接总数、分析模型命中数top5、统计模型命中数top5、重要资产非法行为top排名、分析模型命中数top5、统计模型命中数top5信息查看需要切换列表中的分析模型和统计模型；所述终端画像模块包括以下步骤：步骤1.白名单信息管理与查询：步骤2.智能分析数据展示：步骤3.开启重要资产数据比较功能和阻断功能。
13.进一步的，所述所述检测系统分为两个阶段，包括：学习阶段与运行阶段；所述学习阶段包括配网流量采集、建立终端网络设备指纹、终端行为建模；
配网流量采集包括：基于端口镜像的流量采集和基于分光方式的流量采集；所述基于分光方式的流量采集通过分光器进行实现；所述基于端口镜像的流量采集是将交换机或路由器及其它网络设备的一个或多个端口的流量数据复制到一个或多个端口，被复制的端口和复制的端口分别称为镜像源端口和镜像端口，端口镜像主要部署在网络汇聚层或核心层，将流量镜像到采集设备上，该种流量采集方式可在不影响网络用户正常使用的同时监控各端口的流量传输状况，从而实时监控网络；建立终端网络设备指纹是分析网络历史流量，运用匹配算法对流量中包含的网络设备特征进行识别，形成设备网络指纹；终端行为建模是根据历史采集的网络流量信息，通过人工或自动分析的方法；所述运行阶段包括配网流量实时采集、配网设备自动发现和识别、终端网络行为分析及终端画像与监测；配网流量实时采集是通过镜像端口采集配网运行实时全流量；配网设备自动发现和识别是对配网实时流量进行分析，使用基于网络指纹的设备识别技术探测和识别配网设备，利用设备信息库采用基于网络扫描的技术实时探测和识别设备；终端网络行为分析是对配网实时流量进行分析，基于预先生成的网络流量特征模型和网络访问行为特征模型获取终端设备的网络流量异常情况和网络访问异常行为；通过内置的行为白模型判断终端设备专有系统是否已经被攻击者恶意利用，识别高危扫描、蠕虫病毒异常行为；终端画像与监测是根据运行阶段设备自动发现和识别结果、终端设备网络行为分析结果，提取包括ip、mac地址、品牌、型号等静态属性，以及流量数据、应用协议等动态属性，进而以设备为分析对象，对设备进行静态画像和动态画像。
14.一种基于人工智能的配电网终端安全行为监测方法，包括以下步骤：步骤1.安装配置流量采集模块；步骤2.管理员、用户和网络配置；步骤3.登录监测系统；步骤4.登录监测系统下的：设备探测和管控、几险漏洞管理、白名单与数据模型管理、动行状态监测、风险状态监测及终端画像；步骤5.退出系统。
15.一种计算机存储介质，所述计算机存储介质上存有计算机程序，所述计算机程序被处理器执行时实现所述的一种基于人工智能的配电网终端安全行为监测方法的步骤。
16.本发明具有以下有益效果及优点：本发明基于人工智能的配电网终端安全行为监测系统，采用机器学习和大数据分析技术，集设备快速发现、入网精准控制、资产全面管理、漏洞全面掌控、行为深入分析、违规自动阻断、运行状态清晰掌握、边界访问精准控制于一身。系统实时全量捕获网络数据流信息，采用人工智能技术，将海量网络访问关系自动进行聚合抽象，以数理模型建立网络访问关系白模型，实现对终端行为的精准画像，结合探知的设备信息自动判断设备的网络行为是否违规或存在危害，达到对网络行为任何时间任何地点的可视性监测，及时发现各类异常行为。
17.本发明基于人工智能的配电网终端安全行为监测系统从理清软硬资产、构建安全边界、管控终端准入、监测安全状态、发现并处置异常行为、展示安全态势六个方面形成物联网安全管控的闭环。在加强安全运行管理同时，强化易用和用户体验，将用户从繁重的日常事务中解放出来，全方位解决配电自动化网络安全运行问题。
18.通过部署基于人工智能的配电网终端安全行为监测系统，能够对配网的物联网终端、网络设备、终端和服务器进行发现、管理、安全准入和监控。同时可以发现异常活动行为，阻断异常设备，计算配网的安全风险指标，控制安全风险。
19.与现有技术相比本发明具有端到端的纵深防御体系、海量终端的一体化管控、以业务视角审视网络流量、以智能手段分析网络行为、未知新型攻击的优秀洞察能力、以灵活的架构支撑快速部署等特性。
20.所述端到端的纵深防御体系，建立以终端设备为核心，贯穿感知层、网络层、应用层、数据层的纵深安全防御体系，充分保障终端安全、应用安全、数据安全、系统与网络安全和操作合规。同时，系统以旁路的方式部署，不改变网络结构不增加故障点。
21.所述海量终端的一体化管控，网络终端数量、种类、状态、问题、可攻击面及安全防护层次极为繁多，系统以可视化的方式总体实时呈现终端的数量及分布情况、面临的威胁及告警情况，在分权分域的基础上，通过分布图、趋势图、gis图等方式帮助用户清晰的了解整体安全状况，及时感知威胁，统一防护和处置策略。
22.所述以业务视角审视网络流量，一切基础设施、应用服务及相关安全措施，最终均服务于业务，所以所有网络流量皆直接或间接源于业务需求，系统在自动识别网内应用系统的基础上，以设备、业务应用及服务软件为分析主体，将死板、枯燥的网络流量抽象、收敛为网络行为，以业务的视角分析和展示网络流量；所述以智能手段分析网络行为，综合运用人工智能、大数据等技术构造行为分析模型，对网络行为进行智能分析的同时，行为模型主动学习、主动迭代优化；所述未知新型攻击的优秀洞察能力，与传统的特征检测类产品不同，系统以机器学习、行为画像、模型基线、分布式计算等新型技术为基础进行行为分析监测，具备发现未知攻击行为的出色能力；所述以灵活的架构支撑快速部署，系统构建于微服务、分布式大数据架构，采用主动探测引擎与采集分析中心相结合的部署方式，此种灵活的架构，不需要改变网络架构、不需要安装任何代理，能够实现快速部署；另外，探测引擎接口简单、体量轻便，能够很便利的部署到需要的位置；分析中心功能强大，作为安全大脑在做好行为分析同时，可以指挥调度辖内所有探测引擎进行协同工作。
23.另外，由于配网终端存在系统裁剪、应用定制、在线升级困难和通信协议专有复杂等问题，大部分配网设备存在大量安全隐患和安全漏洞。同时由于其计算资源有限，为了保证实时性和可用性，系统在设计时往往无法过多考虑信息安全的需求，现役和在售的配网终端大多处于不设防状态，终端设备存在伪冒替换、非法接入、违规访问、入侵攻击等问题。本发明监测系统能够自动探测设备并分析设备网络访问行为，形成配网物终端行为安全分析、监测预警和违规处置的闭环，从而帮助电力企业解决上述配网终端设备安全问题。
附图说明
24.本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：图1为本发明系统仿真流程图；图2为本发明平台功能模块图；图3为本发明平台结构示意图；图4为本发明平台运作流程图；图5为本发明系统原理逻辑结构图。
具体实施方式
25.为了能够更清楚地理解本发明的上述目的、特征和优点，下面将结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本技术的实施例及实施例中的特征可以相互组合。
26.在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。
27.下面参照图1
‑
图5描述本发明一些实施例的技术方案。
28.实施例1本发明提供了一个实施例，是一种基于人工智能的配电网终端安全行为监测系统，如图2所示，图2为本发明平台功能模块图。本发明监测系统包括系统安装配置模块、配网设备资产底账模块、配网设备统一管理模块、配网设备运行状态监控模块、配网设备网络行为分析模块和终端画像模块。
29.所述系统安装配置模块包括：设备ip地址配置、设备硬件时钟设置、探测引擎上报ip地址配置、探测引擎自启动配置、探测引擎服务ip地址配置、探测引擎探测ip地址范围配置、探测引擎探测周期配置、探测引擎性能配置、分析引擎性能配置、析引擎功能开关配置。
30.所述配网设备资产底账模块，通过主动探测技术、被动探测技术和指纹识别技术，发现和识别配电自动化网内的各类终端设备，形成配电自动化网全面、准确的资产底账。
31.所述配网设备统一管理模块，将设备的所有有价值信息都详细列出，方便用户实时了解资产的状况。
32.所述配网设备运行状态监控模块，通过探测感知，从网络可达性、设备健康状态等方面实时监控终端设备的运行状态，完成网内终端设备的运行状态监控，展现现网中风险状态。
33.所述配网设备网络行为分析模块，通过行为分析功能，将网络流量分为黑、白、灰三种流量。
34.所述终端画像模块，通过基于人工智能的终端画像的访问关系模型，建立网络同类型设备和安全域访问关系的白模型，对超出白模型范围的网络访问行为进行预警，完成网络的未知攻击行为的发现，并预警；通过基于人工智能的终端画像的统计数据模型，建立网内终端设备访问流量、访问关系、访问端口的安全基线，对超出安全基线阈值范围的网络访问行为进行预警，完成网络的未知攻击行为的发现，并预警。
35.进一步地，所述系统安装配置包括以下步骤：采集分析引擎连接配置：首先将采集设备插上电源线，打开电源开关，前面板的电源指示灯（power灯）会常亮，硬盘状态灯（hdd灯）会频闪，大约1
‑
2分钟后状态灯正常闪烁，说明设备正常工作，进一步地，用标准 rj
‑
45 以太网线将管理口（eth0口）与物联网终端交换机网口连接，用标准 rj
‑
45以太网线将镜像口（范围是eth1
‑
eth5口）与物联网终端交换机镜像口连接，流量镜像口说明，需要镜像网内所有流量，包括探测引擎网口流量；登录采集分析引擎web端：使用浏览器登录系统，web端登录链接：网络配置：首先登录引擎web端，进入【修改地址】页面，进一步地，选择要修改的接口，输入对应的ip地址、掩码以及网关地址，点提交；系统配置：首先进行设备探测配置：可以设置设备序号、探测模式探测间隔时间长（分）、探测超时时长（分）、连接超时时长（秒）、接收超时时长（秒）、离线探测时长（毫秒）、图片上报时长（秒）、码流url上传速度（n个、次）、探测范围，进一步地，进行上报方式配置：支持通过镜像口上报、https协议向管理中心上报。其中所述的探测模式包括二层模式和三层模式。
36.管理中心配置：使用浏览器登录系统，管理中心登录链接：登录管理中心页面，进入系统配置
‑
>引擎列表，添加采集分析引擎地址；登录管理中心页面，进入系统配置—>地址组管理，添加地址组。
37.进一步地，所述配网设备资产底账模块包括生成全面、准确配电自动化网的资产底账功能。通过主动探测技术、被动探测技术和指纹识别技术，发现和识别配电自动化网内的各类终端设备，形成配电自动化网全面、准确的资产底账。形成包括配电自动化网特有终端设备在内的，包括：配电采集终端、onu/olt、智能电表、作业终端、摄像头、主机、网络设备、服务器等各种类型设备的资产详细底账。
38.配网设备资产底账模块具体实现步骤如下：步骤1.登录管理中心；查询资产数据：可查询设备总量、开放端口数量、黑名单端口设备数量、可用ip数量、设备类型top5、黑名单top5、高危端口top5、品牌top5、部门设备统计、新接入设备；步骤2.查询设备信息：首先在搜索框输入关键字、按下【enter】键，筛选出与搜索条件响应的设备，随后点击部门名称，右侧列表中展示的设备均是选中部门下的设备。
39.进一步地，所述配网设备统一管理模块包括对配电自动化网终端设备的统一管理功能。将设备的所有有价值信息都详细列于资产清单、top图、趋势图，包括唯一标识、设备类型、型号、厂商、ip、mac、物理位置、入网状态、开放端口、设备风险、实时流量、展示设备总量、开放端口数量、黑名单端口设备数量、可用ip数量等，方便用户实时了解资产的状况；还可以展示资产数据排名、资产视图展示：所述资产数据排名包括设备类型top5、黑名单top5、高危端口top5、品牌top5；所述资产视图展示包括弱口令设备趋势、部门设备统计、新接入设备；系统还支持终端多维度多层级分组，例如基于管理部门、设备类型、地理位置等的分组。
40.配网设备统一管理模块具体实现步骤包括：步骤1.登录管理中心；
步骤2.新增设备：点击【新增】按钮，进入编辑界面编辑设备信息，点击【确定】按钮保存设备信息，新增设备有效或点击【新增】按钮，输入ip，点击编辑界面【一机一档】按钮，编辑设备信息，点击【确定】按钮保存设备信息明细，新增设备有效；步骤3.修改设备信息：勾选需要修改的设备表单，点击【修改】按钮，修改设备信息，点击【确定】按钮保存信息；步骤4.删除设备信息：勾选设备信息，点击【删除】按钮，点击确认框中【删除】确认按钮，设备信息被删除；设备信息可以批量删除；步骤5.导出设备信息：勾选设备信息（或未勾选设备信息），点击【导出】按钮，选择【全部数据】，点击【确定】按钮，导出全部设备信息；或勾选筛选出的设备信息（或未勾选筛选出的设备信息），点击【导出】按钮，选择【当前查询】，点击【确定】按钮，导出当前查询设备信息；或勾选设备信息，点击【导出】按钮，选择【当前选中】，点击【确定】按钮，导出当前选中设备信息；进一步地，所述配网设备运行状态监控模块包括完成配电自动化网终端设备运行状态的监控功能，通过探测感知，从网络可达性、设备健康状态等方面实时监控终端设备的运行状态，一旦网内的终端设备发生设备故障、离线等异常事件，系统会立即产生报警，完成网内终端设备的运行状态监控。
41.所述配网设备运行状态监控模块具体实现步骤包括：步骤1.端口信息展示：展示开放端口总量、设备开放端口最多及其趋势、展示端口分类排名包括目的地端口top5、黑名单端口top5、高危端口top5、部门黑名单端口top5；步骤2.ip地址信息展示：展示全网ip总数、可用ip数、ip使用率最高的部门、部门ip使用率top5排行、ip使用率趋势视图、ip明细查询包括点击下拉框按钮，选择需要查看的ip段，点击列表中非可用ip，进入ip查询信息明细界面；步骤3.分类查看离线设备：点击运行状态监测导航栏右侧的下拉框按钮，如上图红色框标记，选择下拉菜单中的选项，可以筛选出对应的离线设备；步骤4.终端画像：此步骤应用到终端画像模块使用其部分子模块，包括终端画像
‑
访问关系模型：选择【访问关系】导航菜单，选择智能学习生成的监测模型，点击【生成监测模型】按钮，被选中的表单添加到智能分析模型中的分析模型下；终端画像
‑
阈值模型：选择【统计数据】导航菜单，勾选阈值设定选项，选项正下方输入偏离值，点击【确认】按钮保存阈值设定，点击【生成策略】按钮，设定的阈值自动生成有效策略；终端画像
‑
统计模型：选择【统计数据】导航菜单，勾选步骤通过阈值生成的模型表单，点击【生成统计模型】按钮，生成的统计模型在智能分析模型下的统计模型中显示；终端画像
‑
终端设备静态画像：展示部门信息、设备互联视图和设备信息；终端画像
‑
动态画像（雷达图）：点击设备视图连接点，站看设备数据对比信息。
42.所述配网设备运行状态监控模块亦可展示设备总数、最多设备数量、当天新增设备数量和趋势、展示全网ip总数、可用ip数、ip使用率最高的部门、部门ip使用率top5排行、ip使用率趋势视图、开放端口总量、设备开放端口最多及其趋势、分类查看离线设备、设备详细信息包括：设备类型、操作系统、部门、mac地址、品牌、型号、弱口令、漏洞、发现时间、在线时长、开放服务；端口分类排名包括：目的地端口top5、黑名单端口top5、高危端口top5、
部门黑名单端口top5；风险状态监测包括：展示设备扫描到的漏洞、弱口令、高危端口和黑名单端口，展现现网中风险状态。
43.进一步地，所述配网设备网络行为分析模块包含完成配电自动化网网络异常行为分析和预警功能。通过行为分析功能，将网络流量分为黑、白、灰三种流量。通过黑名单发现网络的非法网络行为；通过灰名单，发现网络的可疑网络行为；通过智能分析模型完成网络的违规外联行为、使用不安全协议行为、高危端口行为、使用违规软件行为，非法访问数据库行为、非法访问安全域行为、非法访问应用系统等网络异常行为的分析和预警；通过内置《国家电网端口和服务黑白名单》发现网内访问高危端口和黑名单端口行为。
44.所述配网设备网络行为分析模块具体实现步骤包括：步骤1.查看非法网络数据：展示非法网络设备总量、风险事件总量和趋势、非法行为源地址top5、关联业务应用top5、非法行为类型top5、非法网络行为趋势、非法网络信息；步骤2.查看非法网络信息明细：点击非法网络信息【数量链接】（数量链接呈蓝色），打开非法网络信息明细界面；步骤3.导出非法网络设备：勾选设备信息（或未勾选设备信息），点击【导出】按钮，选择【全部数据】，输入文件名称，点击【确定】按钮，文件下载列表中生成导出文件，点击生成的文件即可下载非法网络设备信息；或勾选筛选出的设备信息或未勾选筛选出的设备信息，点击【导出】按钮，选择【当前查询】，输入文件名称，点击【确定】按钮，文件下载列表中生成导出文件，点击生成的文件即可下载非法网络设备信息；勾选设备信息，点击【导出】按钮，选择【当前选中】，输入文件名称，点击【确定】按钮，文件下载列表中生成导出文件，点击生成的文件即可下载非法网络设备信息；步骤4.可疑网络数据展示：展示可疑设备总数及趋势、可疑行为源地址top5、可以行为目的地址top5、可以网络行为趋势、地址视角、目的端口视角；所述配网设备网络行为分析模块亦可展示设备总数、在线设备数量、设备在线率、阻断数量、存在弱口令数量、设备类型top5、品牌top5、设备准入统计、目的端口top5、高危端口top5、黑名单端口自top5、非法行为设备top5、非法行为类型top5、可疑行为源iptop5、可疑行为目的iptop5、网络行为趋势、非法行为设备总量、可疑行为设备总量、白名单策略总量、白名单总量、过滤正常网络连接总量、新接入设备信息、报警设备信息、已阻断设备信息等数据信息、非法网络设备总量、风险事件总量和趋势、非法行为源地址top5、关联业务应用top5、非法行为类型top5、非法网络行为趋势、非法网络信息、可疑设备总数及趋势、可疑行为源地址top5、可以行为目的地址top5、可以网络行为趋势、地址视角、目的端口视角、白名单策略总数、白名单条数、网络连接总数、白名单策略命中数top5、白名单命中数top5、白名单策略和白名单列表信息；白名单策略模块的功能与安全配置中心下的白名单策略配置中操作一致。
45.进一步地，所述终端画像模块包括完成配电自动化网网络未知攻击行为的发现和预警功能。通过基于人工智能的终端画像的访问关系模型，建立网络同类型设备和安全域访问关系的白模型，对超出白模型范围的网络访问行为进行预警，完成网络的未知攻击行
为的发现，并预警；通过基于人工智能的终端画像的统计数据模型，建立网内终端设备访问流量、访问关系、访问端口的安全基线，对超出安全基线阈值范围的网络访问行为进行预警，完成网络的未知攻击行为的发现，并预警；展示模型总数、非法网络连接总数、分析模型命中数top5、统计模型命中数top5、重要资产非法行为top排名、分析模型命中数top5、统计模型命中数top5信息查看需要切换列表中的分析模型和统计模型。
46.所述终端画像模块具体实现步骤包括：步骤1.白名单信息管理与查询：展示白名单策略总数、白名单条数、网络连接总数、白名单策略命中数top5、白名单命中数top5、白名单策略和白名单列表信息；白名单策略模块的功能与安全配置中心下的白名单策略配置中操作一致；步骤2.智能分析数据展示：展示模型总数、非法网络连接总数、分析模型命中数top5、统计模型命中数top5、重要资产非法行为top排名、分析模型命中数top5、统计模型命中数top5信息查看需要切换列表中的分析模型和统计模型；步骤3.开启重要资产数据比较功能和阻断功能：添加重要资产，并勾选【和自己比】功能，智能学习后系统对数据进行比较并在 【非法网络行为】界面给出报警；或添加重要资产，并勾选【和自己比】功能和阻断功能，智能学习后系统对数据进行比较并在 【非法网络行为】界面给出报警，该设备被阻断，在【阻断列表】中可以查看。
47.如图3所示，图3为本发明平台结构示意图。系统原理逻辑如图5所示。
48.系统流量采集设备通过配网核心交换机镜像端口采集配网全网网络流量，采用分布式存储服务器存储这些采集的网络数据，用户通过系统提供的基于web方式的应用服务使用和操作监测系统。
49.物联网终端行为监测系统能集全网设备自动发现、设备故障实时报警、安全准入自动甄别、网络行为自动分析、违规行为自动阻断等多种安全功能于一身，系统部署采用旁路部署的方式，无需改变原有的网络架构，无需安装代理客户端。可用于全网设备管理、准入管理、违规检测，构成物联网的纵深防御体系。
50.实施例2本发明又提供了一个实施例，是一种基于人工智能的配电网终端安全行为监测方法，如图4所示，具体包括以下步骤：步骤1.安装配置流量采集模块；步骤2.管理员、用户和网络配置；步骤3.登录监测系统；步骤4.登录监测系统下的：设备探测和管控、几险漏洞管理、白名单与数据模型管理、动行状态监测、风险状态监测及终端画像；步骤5.退出系统。
51.实施例3本发明又提供了一个实施例，是一种基于人工智能的配电网终端安全行为监测系统，包括系统安装配置模块、配网设备资产底账模块、配网设备统一管理模块、配网设备运
行状态监控模块、配网设备网络行为分析模块和终端画像模块。
52.如图1所示，图1为本发明系统仿真流程图。本发明所述检测系统可以分为两个阶段，包括：学习阶段与运行阶段。
53.所述学习阶段包括配网流量采集、建立终端网络设备指纹、终端行为建模。
54.所述配网流量采集主要包括：基于端口镜像的流量采集和基于分光方式的流量采集。
55.所述基于分光方式的流量采集通过分光器进行实现。分光器是一种无源器件，其原理是在物理层上对输入光进行复制得到流量，即原来的流量正常通行，同时分光供设备分析使用。基于分光方式的流量采集本质上是采取旁路监听的形式，因此不影响整个网络的正常通信。对于高速光纤链路，分光器从高速光纤上获得流量数据并传送到分流设备，然后经过分流设备对各种流量数据报进行分流，交给各类型流量服务器进行分析处理，最后将所有服务器分析得到的结果进行汇总，实现对流量的实时采集和分析。
56.所述基于端口镜像的流量采集是将交换机或路由器等其它网络设备的一个或多个端口的流量数据复制到一个或多个端口，被复制的端口和复制的端口分别称为镜像源端口和镜像端口，端口镜像主要部署在网络汇聚层或核心层，将流量镜像到采集设备上，该种流量采集方式可在不影响网络用户正常使用的同时监控各端口的流量传输状况，从而实时监控网络。
57.所述建立终端网络设备指纹是分析网络历史流量，运用匹配算法对流量中包含的网络设备特征进行识别，形成设备网络指纹。这些设备指纹将用于运行阶段对配网中设备的自动探测和识别，设备指纹是从设备历史流量特征信息中预先提取出来的，具体来说，可以根据历史采集到的网络流量信息，从中提取出历史特征信息，根据这些历史特征信息中记载的各项数据生成设备指纹，设备指纹具有唯一性，能够用于识别出配网中与之对应的设备，特征信息包括流量设备的协议类型、ip地址、mac地址、端口、标识信息，其中标识信息，又称为banner信息，其中可以包括os（operating system，操作系统）版本、软硬件版本、设备厂商信息、设备类型、设备型号等多种信息；所述终端行为建模是根据历史采集的网络流量信息，通过人工或自动分析的方法，例如统计分析、信号分析、关联分析中的一种或多种，分析获取到不同类型和不同终端设备的网络流量特征模型，该模型可以为流量阈值模型、网络链路特征参数模型、序列特征模型等，这些流量分析特征模型可以存储于流量分析模型库中，基于流量分析模型库中的模型可以实现对配网中网络流量的异常分析。
58.根据历史采集的网络流量信息，通过机器学习算法分析并建立不同类型设备和不同终端设备的网络访问行为特征模型，学习算法采用决策树学习、贝叶斯网络学习或聚类学习，通过对大量的正常的访问行为流量的学习自动建立不同类型设备访问不同业务类型的网络访问行为特征模型，或通过人工分析建立不同业务类型的网络访问行为白模型，这些模型能够将庞大复杂的网络流量简化为数量有限的网络访问行为模型，并用于在运行阶段实现对网络访问异常行为的分析。所述行为白模型的模型内容包括网络行为名称、网络行为协议类型、网络行为端口范围特征、网络行为地址范围特征以及网络行为流量序列特征。
59.进一步地，所述运行阶段包括配网流量实时采集、配网设备自动发现和识别、终端
网络行为分析、终端画像与监测。
60.所述配网流量实时采集是通过镜像端口采集配网运行实时全流量；所述配网设备自动发现和识别是对配网实时流量进行分析，使用基于网络指纹的设备识别技术探测和识别配网设备，利用设备信息库采用基于网络扫描的技术实时探测和识别设备；所述终端网络行为分析是对配网实时流量进行分析，基于预先生成的网络流量特征模型和网络访问行为特征模型获取终端设备的网络流量异常情况和网络访问异常行为。对配网实时流量进行分析，具体是通过内置的行为白模型判断终端设备等专有系统是否已经被攻击者恶意利用，识别高危扫描、蠕虫病毒等异常行为。
61.所述终端画像与监测是根据运行阶段设备自动发现和识别结果、终端设备网络行为分析结果，提取包括ip、mac地址、品牌、型号等静态属性，以及流量数据、应用协议等动态属性，进而以设备为分析对象，对设备进行静态画像和动态画像。
62.在本说明书的描述中，术语“一个实施例”、“一些实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或实例。而且，描述的具体特征、结构、材料或特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
63.实施例4基于同一发明构思，本发明实施例还提供了一种计算机存储介质，所述计算机存储介质上存有计算机程序，所述计算机程序被处理器执行时实现实施例1
‑
2所述的一种基于人工智能的配电网终端安全行为监测方法的步骤。
64.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、cd
‑
rom、光学存储器等）上实施的计算机程序产品的形式。
65.本技术是参照根据本技术实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。
66.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。
67.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。
68.最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。