[发明专利]电力物联网设备行为安全检测方法、系统、设备及存储介质

说明书

本发明公开了一种电力物联网设备行为安全检测方法、系统、设备及存储介质，包括：获取电力物联网设备的行为日志文件；对电力物联网设备的行为日志文件进行解析，得到系统行为事件序列；将系统行为事件序列输入到训练后的异常行为检测模型中，以判断电力物联网设备的行为是否异常，完成电力物联网设备行为安全检测，该方法、系统、设备及存储介质能够较为准确的对电力物联网设备行为进行安全检测。

技术领域

本发明属于电力物联网技术领域，涉及一种电力物联网设备行为安全检测方法、系统、设备及存储介质。

背景技术

随着电力物联网的建设，物联终端设备数量剧增，电力物联网设备已经成为大规模网络攻击的目标，其安全问题日益严重。然而，由于电力物联网设备通常功耗和内存受限，使其无法安装传统的安全软件，如防病毒、IDS 软件等进行安全防御。因此，如何获得电力物联网设备内部复杂的安全行为和状态并进行安全检测是目前亟需解决的问题。

目前对电力物联网行为安全的研究已有不少的工作，其中有代表性的就是HoMonit。HoMonit用于检测智能家居平台上的行为异常的SmartApp，利用无线通信信道中的侧信道信息泄漏（数据包大小和数据包间隔）来推断智能设备和集线器之间的通信事件类型，然后将推断的事件序列与预期的程序逻辑进行比较，从而识别不当行为，而无需对现有基础架构进行任何修改。

在HoMonit的设计中，设计者考虑了能够利用良性SmartApp的漏洞执行与原始设计目标（即良性DFA）不同的任务的攻击者。HoMonit使用来自加密无线流量的边信道信息来监视智能设备行为。智能家庭网络由集线器集中管理，该集线器通过无线通信（例如ZigBee或Z-Wave）连接到所有智能设备，并通过Internet连接到云后端。HoMonit配备了多个无线接口来收集包括ZigBee和Z-Wave数据包在内的无线数据包。实际上，应将窃听设备放置在集线器附近，以确保可以正确收集无线数据包。HoMonit系统由两个主要组件组成：SmartApp分析模块和不良行为检测模块。SmartApp分析模块从其源代码（对于开源SmartApps）或文本描述（对于封闭源SmartApps）中提取已安装SmartApp的预期DFA逻辑。不良行为检测模块通过对嗅探到的无线流量进行边信道推断，并将推断出的行为与预期的DFA模型进行比较，从而识别SmartApp的不良行为。

在HoMonit的研究中，因为该技术没有考虑针对智能家居硬件或系统软件（例如智能设备或集线器）的攻击，而是利用无线通信信道中的侧信道信息泄漏（数据包大小和数据包间隔）来推断智能设备和集线器之间的通信事件类型，然后将推断的事件序列与预期的程序逻辑进行比较，从而识别不当行为，所以该技术只是尝试改善外围防御，从而使电力物联网基础架构免受攻击。即该技术只考虑了系统的网络行为和应用行为，而没有全面考虑智能电力物联网设备内部的系统行为。但是，外围安全措施并不能够保证电力物联网设备的安全行为。

发明内容

本发明的目的在于克服上述现有技术的缺点，提供了一种电力物联网设备行为安全检测方法、系统、设备及存储介质，该方法、系统、设备及存储介质能够较为准确的对电力物联网设备行为进行安全检测。

为达到上述目的，本发明采用如下技术方案：

第一方面，本发明提供了一种电力物联网设备行为安全检测方法，包括：

获取电力物联网设备的行为日志文件；

对所述行为日志文件进行解析，得到系统行为事件序列；

将所述系统行为事件序列输入到训练后的异常行为检测模型中，以判断电力物联网设备的行为是否异常，根据判断结果完成电力物联网设备行为安全检测。

本发明所述电力物联网设备行为安全检测方法进一步的改进在于：

所述对所述行为日志文件进行解析，得到系统行为事件序列的具体过程为：

根据所述行为日志文件生成系统行为序列，再将系统行为序列解析为系统行为事件序列。