基于長短周期特征的用戶異常行為檢測

中圖分類號：TP309 文獻標志碼：A 文章編號：1671-6841（2025）06-0065-09

DOI：10.13705/j. issn.1671-6841.2024077

Abstract：With the increasing number and types of users，the energy big data platform is now facing prominent internal security threats.User abnormal behavior detection is an effective technique to resist such security threats. However，current mainstream detection approaches did not take behavior pattrn of diferent types of users in the same platform and their long-term and short-term behavior characteristics into consideration，therefore leading to low user abnormal behavior detection performance.To solve these challenges，a method was proposed to extract the long-term and short-term behavior characteristics of different users in the energy big data platform.Specifically，the long short periods isolated forest model and the multiple time windows gate recurrent neural network were proposed to construct the long-term and short-term user behavior paterns respectively，and then the results of two models were effctively integrated for better detection ability.Moreover，an abnormal behavior detection framework was constructed with the consideration of diferent platform user types. Finally，the proposed framework was verified in a provincial energy big data platform，and the experimental results showed that our framework effctively characterized diffrent user behavior patterns in this platformand achieved a high accuracy of abnormal user behavior detection as well as high processing efficiency.

Key words： user behavior; abnormal behavior detection; long-term characteristics; short-term characteristics

0 引言

隨著大數(shù)據(jù)技術在能源領域的不斷深入，電力、燃氣、石油等能源數(shù)據(jù)對國民經(jīng)濟發(fā)展的重要性日益凸顯，因此能源大數(shù)據(jù)平臺的建設受到了各級政府的高度關注。能源大數(shù)據(jù)平臺不僅有助于能源企業(yè)更好地了解市場需求和資源供應情況，還能為政府部門提供決策支持和政策制定參考[1]。然而，隨著能源大數(shù)據(jù)平臺的快速發(fā)展，平臺用戶數(shù)量不斷增多、用戶類型日益多樣，使得平臺面臨的外部攻擊與內部安全威脅問題愈加嚴峻。但現(xiàn)有研究主要側重于針對外部攻擊的網(wǎng)絡防護技術，如入侵檢測、防火墻等領域，對內部安全威脅防御研究[2-3]相對不足。在系統(tǒng)內部，攻擊者通過非常手段，如社會工程學等方法，獲得內部用戶權限從而假冒合法用戶，進而對平臺資產(chǎn)進行信息搜集甚至破壞，對系統(tǒng)的安全運行帶來了巨大的威脅。因此，作為國家的關鍵信息基礎設施，能源大數(shù)據(jù)平臺亟須基于零信任思想對用戶進行持續(xù)的認證[4-5]，加強自身應對內部安全威脅的能力。

在內部威脅防御應用中，若用戶的當前訪問行為與歷史行為特征存在較大差異，則可能意味著用戶異常行為的產(chǎn)生。基于以上原理，國內外學者在這些領域進行了大量研究。Nasir等提出了基于深度學習的內部威脅檢測技術，對任何偏離正常基線的行為進行檢測。周婭等[提出了一種基于分層欠采樣和雙向門控循環(huán)單元（gaterecurrentunit，GRU）的惡意行為檢測模型，提高了惡意評論的檢測率。周建國等使用并列門循環(huán)單元模型發(fā)現(xiàn)用戶產(chǎn)生的日志異常。近年來，數(shù)字畫像[9-12]技術在內部安全威脅防御領域的應用愈加廣泛。郭淵博等[13]提出一種自動提取特征構建全細節(jié)行為畫像，并采用隱馬爾科夫模型預測業(yè)務流程轉移概率的方法，較全面地刻畫了用戶行為模式。鐘雅等[14]則從人物性格等多方著手對人物進行標簽畫像。但是上述方法大多脫離具體的業(yè)務背景，沒有考慮實際應用系統(tǒng)中用戶的多樣性和業(yè)務的差異性。

為此，本文提出一種面向能源大數(shù)據(jù)平臺的用戶異常行為檢測方法。針對每一類型的平臺用戶，該方法從長周期與短周期兩個時間尺度對用戶的平臺訪問行為進行特征建模。對于長周期特征，提出長短期孤立森林（long and short periods isolated for-est，LSPIF）模型。對于短周期特征，提出多時間窗口GRU（multiple time windows GRU，MTWG）模型。

最后，對LSPIF與MTWG兩種模型的異常檢測結果進行加權求和，并形成融合模型LMIM（LSPIFandMTWGintegratedmodel），從而提升用戶異常行為的整體識別率。最后結合某省能源大數(shù)據(jù)平臺，建立一個異常檢測框架并進行測試。實驗表明，公眾類LMIM的 F1 值為 96.57% ，內部類LMIM的F1值為97.51% ，表明本文提出的框架具有較高的異常行為檢測準確率，并能對異常行為進行分類。

1 內部威脅模型

1.1 能源大數(shù)據(jù)平臺構架及安全威脅分析

本文基于某省能源大數(shù)據(jù)平臺構架開展研究。該平臺采用瀏覽器/服務器架構，在公開的互聯(lián)網(wǎng)環(huán)境中對外提供能源數(shù)據(jù)相關服務。如圖1所示，平臺基本構架包含服務層和業(yè)務層，兩者主要為能源大數(shù)據(jù)業(yè)務的正常開展提供基本軟硬件支撐。另外，該能源大數(shù)據(jù)平臺有一套完善的日志系統(tǒng)，包括用戶日志、訪問日志、審計日志、系統(tǒng)日志、安全日志和數(shù)據(jù)庫日志。此外，平臺的訪問主體主要分為外部訪問主體和內部訪問主體。外部訪問主體可以劃分為政府、企業(yè)、公眾三大類；內部訪問主體可以劃分為平臺運維人員和管理人員。在平臺中，不同類型的用戶具有不同的訪問與操作權限。

圖1能源大數(shù)據(jù)平臺架構及潛在攻擊威脅Figure1Architecture of the energybigdata platformandpotentialthreats

為保障平臺安全運行，系統(tǒng)按等級保護二級標準建設[15]，建有WAF（web application firewall）等邊界防護措施，能夠較好地抵御來自外部的攻擊。然而針對內部攻擊，平臺現(xiàn)有的邊界安全設備無法起到防護作用。特別地，在內部威脅中，攻擊者通過非常手段獲得內部用戶權限從而假冒內部合法用戶進行非法活動，是較難防范的。

1. 2 內部攻擊模式分析

針對內部攻擊，本文梳理了以下幾種可能存在的攻擊模式。

模式一：信息搜集模式一。外部攻擊者通過非法手段，如欺騙、木馬等，獲得平臺的訪問權限后，在平臺內進行資產(chǎn)摸排，信息搜集[16]

模式二：信息搜集模式二。獲取平臺訪問權限后，攻擊者利用自身的黑客技術，構造欺騙數(shù)據(jù)包，從平臺獲取信息。

模式三：內網(wǎng)滲透模式。獲取平臺訪問權限后，攻擊者利用自身的黑客技術，試圖上傳文件、執(zhí)行跨站腳本、上傳木馬獲取系統(tǒng)權限等。

模式四：信息泄漏模式。惡意合法用戶在平臺內進行資產(chǎn)摸排、信息搜集，泄漏平臺信息

模式五：基于 APT^[17] （advanced persistent threat）的信息竊取模式。惡意用戶刻意隱藏自己的異常行為特征，刻意模仿其他正常用戶的行為，試圖繞過態(tài)勢監(jiān)測系統(tǒng)、行為監(jiān)測系統(tǒng)等，以達到搜集信息的目的。

2異常行為檢測系統(tǒng)總體設計

2.1 設計原理

傳統(tǒng)的異常行為檢測方案僅從單一時間周期衡量用戶行為特征的變化，無法適應能源大數(shù)據(jù)平臺中內部攻擊模式在時間跨度上的多變特性。為此，本文觀察到，平臺用戶的訪問行為可以表現(xiàn)為長周期行為與短周期行為。長周期行為反映用戶經(jīng)常性的平臺訪問狀態(tài)，這些狀態(tài)包括工作時間和地點、工作條件等，具有在較長時間內保持不變的特性。短周期行為代表了當前訪問活動的動作、資源請求等情況，反映了用戶在臨近一段時間內的行為特征，與用戶的平臺權限、業(yè)務范圍具有極強的關聯(lián)。因此，為進行有效的異常行為檢測，需要從長周期與短周期兩個時間維度構建用戶訪問平臺的行為模式。

此外，現(xiàn)有異常行為檢測方案大都面向單類型的系統(tǒng)用戶。然而，能源大數(shù)據(jù)平臺包含政府、企業(yè)、公眾、運維人員與管理員等多種類型的訪問主體。由于不同類型用戶所需要的業(yè)務不同，不同用戶之間的正常行為也存在較大的區(qū)別。舉例來說，在長周期上，管理員用戶的工作時間與地點與公眾用戶的訪問時間與地點存在明顯差異。而在短周期上，管理員用戶操作系統(tǒng)管理接口的行為序列與公眾用戶訪問一般資源接口時的行為序列也存在顯著不同。因此，針對不同類型的平臺用戶，需要建立各自的正常行為模型與判決機制

2.2 系統(tǒng)結構

基于以上原理，本文提出一種基于多模型融合的用戶異常行為檢測系統(tǒng)，能夠準確鑒別平臺用戶的訪問行為，并有效適應能源大數(shù)據(jù)平臺用戶類型多樣性的特征。如圖2所示，所提系統(tǒng)包含用戶行為特征提取和用戶異常行為檢測兩個主要模塊。本系統(tǒng)作為平臺的一個子系統(tǒng)，通過日志系統(tǒng)獲取用戶的歷史行為數(shù)據(jù)。系統(tǒng)將平臺用戶分為政府、企業(yè)、公眾和內部四大類，分別構建不同類型用戶的正常行為模型，從而建立對應的安全基線。在運行階段，系統(tǒng)從日志系統(tǒng)中獲得實時用戶訪問行為數(shù)據(jù)，并建立當前時刻用戶的長短周期行為序列，并根據(jù)用戶的類型，將行為特征序列輸入對應的檢測模型，從而實現(xiàn)對異常行為的快速準確檢測。

圖2用戶異常行為檢測系統(tǒng)

Figure 2System architecture of abnormal user behavior detection

3用戶行為特征提取

如圖2所示，所提系統(tǒng)的輸入數(shù)據(jù)來源于能源大數(shù)據(jù)平臺的日志系統(tǒng)，基于獲取的日志數(shù)據(jù)，對相關屬性進行篩選，分別構建用戶的長周期行為特征和短周期行為特征。

3.1長周期行為特征構建

長周期行為特征反映了用戶在訪問平臺時的經(jīng)常性狀態(tài)，這些狀態(tài)包括Time，Week，SourceIP等。為此，本文為用戶的每一次訪問構建一個長周期行為特征序列 X=（x₁，x₂，…，x_I） ，其中 I 表示屬性的數(shù)量。本文選取了10個用戶訪問屬性構成長周期行為特征，具體如表1所示。

表1用戶長周期行為特征屬性表

Table1 User long-term characteristics

3.2 短周期行為特征構建

短周期行為特征刻畫了當前時刻用戶在平臺上的一系列操作行為，涵蓋訪問活動的Hostname，Path，Method等特征。為此，本文為某一固定時間窗口內的用戶訪問行為構建一個短周期行為特征序列Y=（y₁，y₂，…，y_J） ，其中： Y 為當前訪問序列; y_j 為第 j 次訪問行為特征向量； J 為行為序列長度。此外，用戶的第 j 次訪問記為 y_j=（z₁，z₂，…，z_K） ，它由K 個屬性構成。當檢測到某一用戶開始進行某一個業(yè)務時，則開始記錄對應的屬性序列。檢測到業(yè)務停止時，則終止記錄行為序列。對記錄的序列按照不同的時間窗口進行分割。在一個時間窗口內，若訪問行為次數(shù)小于 J ，對相應特征序列進行填充處理。若訪問次數(shù)大于 J ，則對相應特征序列進行截取處理。本文選取了六種訪問屬性作為用戶的短周期行為特征，具體屬性如表2所示。

表2用戶短周期行為特征屬性表

Table2 Usershort-termcharacteristics

4用戶異常行為檢測

進一步，本文提出一種多模型融合的用戶異常行為檢測方法。一方面，利用LSPIF模型對用戶長周期行為模式建模，模型對比了日周期變化與周周期變化，符合用戶長周期特征變化慢的特點；另一方面，采用MTWG模型對用戶短周期行為特征建模，充分對比不同時間窗口下的用戶操作變化。最后，將兩種模型的判決結果進行融合形成LMIM模型。

4.1長周期特征檢測模型

針對長周期行為特征，提出LSPIF模型構建用戶的正常行為基線。LSPIF模型以一個用戶的長周期行為特征 X 為輸入，并輸出 X 的異常得分 s_LSPIF 。如圖3所示，LSPIF包含 M 個孤立森林模型，而每個孤立森林又由若干決策樹構成。其中，第 ?_m 個孤立森林模型同樣以 X 為輸入，并輸出自己的異常評分s_m 。樣本 X 的異常評分 s_?m 與其在第 ?_m 個孤立森林中的判決路徑長度有關，計算公式為

式中： 表示 X 在第 ?_m 個孤立森林模型中的平均路徑長度； U 表示訓練數(shù)據(jù)集中長周期行為特征樣本的個數(shù)； c（U） 代表數(shù)據(jù)集中所有實例的平均路徑長度，其計算公式為

c（U）=2H（U-1）-2（U-1）/U，

式中： H（?） 是調和函數(shù)，并且 其中 β=0.5772156649 ，為歐拉常數(shù)。根據(jù) s_m 可判斷長周期行為特征 X 的異常程度。當 的值接近 U-1 時， s_m 的值接近 ^0，X 越可能是正常樣本。當 的值接近 c（U） 時， s_?m 的值接近0.5，表明 X 沒有明顯的異常現(xiàn)象。當 的值接近0時， s_?m 的值接近1， X 越可能是異常情況。

圖3基于LSPIF的長周期特征檢測模型

Figure 3 Abnormal behavior detection of long-term characteristics based on LSPI

當LSPIF進行異常行為檢測時，每個孤立森林模型都會給出一個異常評分結果[18-20]，將所有子模型的異常評分的平均值作為LSPIF模型的最終結果，即

最后取一個接近1的 b_LSPIF 值作為判斷的閾值，當LSPIF模型的最終得分大于閾值時，定義為異常。

如圖3所示，在模型訓練階段，為了使LSPIF模型學習用戶的長周期行為的周期性規(guī)律，將日志系統(tǒng)中的用戶歷史訪問數(shù)據(jù)以一周為單位進行劃分，并用每一周的數(shù)據(jù)構建一個長周期特征數(shù)據(jù)子集。隨后選取 M 個不同子集，同時采用iForest算法訓練各自的孤立森林模型，從而可以得到M個孤立森林子模型。通過以上訓練方式，可以使LSPIF模型對比用戶的日周期變化與周周期變化規(guī)律，更好地學習同一類用戶的長周期訪問規(guī)律。

4.2短周期特征檢測模型

針對短周期行為特征，本文提出MTWG模型。具體地，若以 min 為單位記平臺當前時刻為 χ_t ，構造三種不同大小的滑動時間窗口 T_?1，T_?2 和 T₃ ，它們所覆蓋的時間范圍分別為區(qū)間 [t-Δ_?1，t]，[t-Δ_?2，t] 和 [t-Δ₃，t] 。其中， Δ_?1，Δ_?2 和 分別為三種時間窗口的長度，而它們對應的滑動步長均為 τ 。因此，可以分別從 T_?1，T_?2 和 T₃ 中提取當前時刻 χ_t 對應的短周期特征序列為 Y₁^t，Y₂^t 和 。不失一般性，記當前時刻某一滑動時間窗口內的短周期特征序列為 。針對短周期特征序列 Y_i^t 的異常檢測，將滑動窗口在 t-τ 時刻的特征序列 Y_i^t-τ 輸入對應的GRU 模型[21]，并對 Y_i^t 進行預測，得到預測序列 。接著，計算預測特征序列與真實序列的誤差，即該窗口下用戶短周期行為的異常評分為 e_i^t

式中： J_i 為第 i 種時間窗口下的訪問序列長度。接著，需要計算判決閾值 b_i 。若記 N_i 為從日志數(shù)據(jù)中提取的短周期特征序列的總數(shù)量，則判決閾值 b_i 的計算方法為

式中：系數(shù) α_i 用于調整閾值的變化速率； 是所有N_i 個短周期特征的平均誤差?；谏鲜龇椒ǎ瑢⑷N滑動時間窗口內的短周期特征序列輸入到三個不同的GRU模型，可獲得三個異常評分 和 e₃^t ，以及對應的判決閾值 b₁，b₂ 和 b₃ 。最后，MTWG獲得最終的異常評分為

此外，最終的判決閾值為

如果 s_MTWGgt;b_MTWG ，則可判定該序列是異常的。

如圖4所示，為了對MTWG模型進行有效訓練，本文將日志系統(tǒng)中的用戶行為數(shù)據(jù)按照三種不同的窗口大小進行劃分。具體地，本文分別以5min?10min?15min 時間窗口大小對用戶訪問行為序列進行劃分，得到不同窗口大小下的用戶訪問行為序列形成對應的特征序列數(shù)據(jù)集。接著，在同一數(shù)據(jù)集中，利用相鄰的特征序列訓練對應的GRU模型。其中，前一時刻的序列作為GRU模型的輸入，而后一時刻的序列作為模型的預測標簽。最后采用最小均方誤差（least mean square error，LMSE）損失函數(shù)對GRU模型的參數(shù)進行訓練。

圖4基于MTWG的短周期特征檢測模型 Figure 4 Abnormal behavior detection of short-term characteristicsbasedon MTWG

4.3 多模型融合

最后，本文提出LMIM模型，對LSPIF和MTWG的輸出結果進行有效融合。具體地，將兩種模型對用戶行為給出的異常得分采用加權平均的方式計算得到總的異常得分。首先對兩種模型計算的異常評分進行歸一化處理，使兩個模型的計算結果的取值范圍都在[0，1]區(qū)間。依據(jù)兩個模型異常行為檢測的準確率對異常評分進行加權，得到LMIM模型最終的異常評分 S_LMIM 為

式中： P_L 是長周期特征檢測模型LSPIF異常行為檢測的準確率；而 P_s 是短周期特征檢測模型MTWG異常行為檢測的準確率。另外，判決閾值也需要同樣的加權處理。

5 實驗驗證

5.1 實驗環(huán)境

為了驗證本文提出的LSPIF模型、MTWG模型、LMIM模型在異常行為檢測任務中的性能，本文采用Python語言，使用sklearn.ensemble庫中的Iso-lationForest模塊實現(xiàn)LSPIF模型，并使用torch庫中的GRU模塊實現(xiàn)MTWG模型。實驗運行的操作系統(tǒng)為Windows1O，CPU為Intel（R）Core（TM）i5-（2號 10500CPU@3.10GHz ，內存為16.0GB，硬盤為1 TB固態(tài)硬盤。

5.2 實驗數(shù)據(jù)集

根據(jù)能源大數(shù)據(jù)平臺的運行情況，對日志數(shù)據(jù)進行清理，剔除明顯無關的數(shù)據(jù)，并對日志數(shù)據(jù)進行整理，依據(jù)隱私保護的要求對敏感數(shù)據(jù)進行脫敏，根據(jù)用戶類別對數(shù)據(jù)進行標簽處理，最終得到數(shù)據(jù)集共21600條。通過對數(shù)據(jù)集的分析，數(shù)據(jù)集中基本沒有異常數(shù)據(jù)，故將所有數(shù)據(jù)標為正常數(shù)據(jù)。這也符合異常樣本高度不平衡的預期。為了測試所提模型性能，將數(shù)據(jù)集中三分之二的數(shù)據(jù)作為訓練數(shù)據(jù)集，其余數(shù)據(jù)作為測試數(shù)據(jù)集。

一方面，為訓練LSPIF模型，將訓練數(shù)據(jù)集中的數(shù)據(jù)按周分割后，分別訓練對應的孤立森林模型；另一方面，為實現(xiàn)MTWG模型的訓練，設定訓練次數(shù)為1500次，優(yōu)化器學習率/步長因子為 0.000 1 。此外，將訓練數(shù)據(jù)集中的數(shù)據(jù)按 5min、10min 、15min 進行序列劃分，并對模型進行訓練。

5.3 LSPIF模型性能

首先需要確定LSPIF模型中 M 值的大小。因為沒有異常數(shù)據(jù)進行測試，選取公眾類與內部類用戶數(shù)據(jù)中的 10% ，隨機擾動生成該類用戶的異常數(shù)據(jù)。在其他實驗參數(shù)固定的情況下，分別采用1～6周長周期特征為公眾類與內部類用戶構建LSPIF模型并進行性能測試。在訓練時，采用正常樣本進行模型訓練。在測試時，采用全部樣本進行測試。實驗結果如圖5所示。指標為準確率（precision，P），召回率（recall，R），綜合評價指標 F 值（F1-score，F(xiàn)1）與精度（accuracy，ACC）。

圖5公眾類LSPIF模型在不同周數(shù)下的性能對比 Figure 5Performance comparison of LSPIF models on public clientsusingdifferentweeksoflong-termcharacteristics

從圖中可以看出，當選取4周的長周期特征時，模型就能達到較好的效果。同時，實驗結果表明，能源大數(shù)據(jù)平臺用戶一個月的使用數(shù)據(jù)可以有效表達用戶的行為習慣，從側面說明了用戶的使用習慣的改變，一般都與工作日有關。當長周期特征數(shù)量為4周以上時，效果并沒有很大的提升。因此，在后續(xù)實驗中，本文選擇4周作為最佳的長周期特征數(shù)量。

5.4 MTWG模型性能

為了驗證MTWG的性能，本文分別對公眾用戶數(shù)據(jù)與內部用戶數(shù)據(jù)用基于 5min，10min，15min 時間窗口內的短周期特征序列數(shù)據(jù)訓練各自的通用GRU模型，然后用全部數(shù)據(jù)訓練本文提出的MTWG模型，并對相關結果進行對比。圖6展示了內部用戶數(shù)據(jù)的對比結果，可以看出MTWG在各項評價指標上相比通用模型有較大優(yōu)勢，體現(xiàn)了基于多時間窗口融合判決更能體現(xiàn)用戶在業(yè)務行為上的特點。

圖6內部用戶數(shù)據(jù)在不同時間間隔指標下MTWG模型與通用GRU模型對比

5.5 用戶類別對LMIM模型的影響

LMIM模型考慮了能源大數(shù)據(jù)平臺用戶類型多樣的特性，對不同類型的平臺用戶進行分類建模。而傳統(tǒng)的異常檢測框架是不區(qū)分用戶類別的。為檢驗專用LMIM模型的優(yōu)勢，本文建立了一個通用LMIM模型作為基線模型。具體地，將平臺中公眾與內部兩類用戶的所有數(shù)據(jù)混合在一起，并以此訓練通用LMIM模型

圖7、圖8展示了公眾與內部兩類用戶數(shù)據(jù)在LSPIF與MTWG測試的結果，圖9展示了公眾與內部兩類用戶數(shù)據(jù)在LMIM測試的結果，對應數(shù)據(jù)如表3所示。測試結果表明，所提專用模型在各項評價指標上均優(yōu)于通用模型。公眾類LMIM的 F1 為96.57% ，內部類LMIM的 F1 為 97.15% ，而對比的通用LMIM的 F1 為 87.19% ，說明了本文基于能源大數(shù)據(jù)平臺用戶分類的先驗知識構建的專用檢測模型對異常行為有較好的準確率和精度。

圖7通用LSPIF模型和專用LSPIF模型對比 Figure 7Comparison between general LSPIF models anddedicatedLSPIFmodels

圖8通用MTWG模型和專用MTWG模型對比 Figure8 Comparison between general MTWG models anddedicated MTWG models

圖9通用LMIM模型和專用LMIM模型對比 Figure9 Comparison between general LMIM modelsand dedicatedLMIMmodels

表3不同LMIM模型對比

Table3 Comparison of different LMIM models單位： %

5.6模擬演練測試

結合攻防演練的實際經(jīng)驗，以1.2節(jié)的各種攻擊模式對平臺進行模擬攻擊，在一周內，利用合法用戶身份進入平臺，對平臺進行了多次測試，測試結果如下。

測試一：進入平臺后，在平臺內隨機訪問目標。共模擬了三個正常用戶，在平臺內進行隨機點擊，每次點擊時長不定，次數(shù)不定，共形成32條數(shù)據(jù)，測試結果均能發(fā)現(xiàn)異常。

測試二：更換上機環(huán)境，進入平臺，在平臺內隨機訪問目標。模擬了兩個用戶，一個用戶在家中完成正常的業(yè)務工作，形成兩條數(shù)據(jù)；一個用戶在網(wǎng)吧，隨機訪問平臺內容形成三條數(shù)據(jù)。測試結果均能發(fā)現(xiàn)異常。

測試三：進入平臺后，利用采集工具下載平臺數(shù)據(jù)，形成數(shù)據(jù)11條，測試結果均能發(fā)現(xiàn)異常。

測試四：進入平臺后，在平臺內選擇非該用戶經(jīng)常關心的數(shù)據(jù)。共模擬了五個用戶，以三個公眾用戶的角色，多次訪問光伏、煤炭與行業(yè)報告等主題數(shù)據(jù)；以一個政府用戶，多次訪問充電樁數(shù)據(jù)等；以一個企業(yè)用戶，多次訪問公司數(shù)據(jù)，共形成數(shù)據(jù)15條，測試結果均能發(fā)現(xiàn)異常。

測試五：以管理員角色進入平臺，在平臺內下載數(shù)據(jù)，改普通用戶的用戶密碼、權限，形成數(shù)據(jù)兩條，測試發(fā)現(xiàn)異常。

本文所提檢測框架均能順利發(fā)現(xiàn)異常。說明本文所提檢測框架不僅可用于平時的用戶異常行為發(fā)現(xiàn)，亦對異常行為的發(fā)現(xiàn)有效。

5.7 檢測框架測試實驗

通過以上實驗結果分析，本文檢測框架能夠檢測出用戶長周期特征的異常與短周期特征的異常。為了增強對異常的細節(jié)判斷，設計綜合決策器。即將監(jiān)測到的數(shù)據(jù)，由分發(fā)器同時輸給訓練好的專用LMIM模型，由綜合決策器對四類用戶輸出的四種異常檢測結果進行綜合決策，以判定該類別用戶是否關心了其他用戶的數(shù)據(jù)。

對一個公眾用戶數(shù)據(jù)的部分判斷過程示例如表4所示。如果一個公眾用戶數(shù)據(jù)被公眾LMIM輸出為正常，而被其他LMIM輸出為異常，表明這是一個正常的公眾用戶；如果一個公眾用戶數(shù)據(jù)被公眾LMIM輸出為異常，且被其他LMIM也輸出為異常，表明該公眾用戶有異常行為但威脅等級低；如果一個公眾用戶數(shù)據(jù)被公眾LMIM輸出為異常，而被某個其他LMIM輸出為正常，表明有可能是假冒行為且威脅等級為中；如果一個公眾用戶數(shù)據(jù)被公眾LMIM輸出為異常，而被內部LMIM輸出為正常，表明有假冒行為且威脅等級高；如果一個內部用戶出現(xiàn)異常，則將會判定為高威脅等級，具體不再示例分析。

表4公眾用戶行為異常檢測判斷示例

Table 4Example of detecting abnormal public user behaviors

由于每個專用LMIM模型輸出有三個結果可供分析，分別是LSPIF檢測結果、MTWG檢測結果與LMIM檢測結果。當判斷一個用戶的行為異常后，可以讀取LSPIF、MTWG的檢測結果對異常進行進一步細分類。因為LSPIF和MTWG分別對長周期特征和短周期特征進行異常行為檢測。例如一個用戶行為異常，同時LSPIF異常，而MTWG正常，則有可能是由于更換工作環(huán)境而產(chǎn)生的異常。

6 結語

本文提出一種面向能源大數(shù)據(jù)平臺的多模型融合的用戶異常行為檢測方法，采用LSPIF對用戶長周期特征建模，采用MTWG對短周期特征建模，最后融合LSPIF模型與MTWG模型的檢測結果，形成LMIM模型。本文構建了一個基于用戶類別的異常行為檢測框架，細化了對異常行為的分類，提升了對異常行為的處理效率。利用能源大數(shù)據(jù)平臺的數(shù)據(jù)與生成的測試數(shù)據(jù)對方法的有效性進行驗證，公眾類LMIM和內部類LMIM異常行為檢測的精度分別為 97.43%.97.87% ，基于用戶類別的異常行為檢測框架對仿冒用戶的識別率可以達到 95% 以上，提高了異常處理效率，證明了本文方法的有效性。未來會對模型效率進行優(yōu)化，對用戶異常數(shù)據(jù)進行連續(xù)分析，實現(xiàn)對在線數(shù)據(jù)的異常行為檢測。

參考文獻：

［1］王圓圓，白宏坤，李文峰，等．能源大數(shù)據(jù)應用中心功能體系及應用場景設計［J]．智慧電力，2020，48（3）：15-21，29.WANGY Y，BAI H K，LI WF，et al. Function systemand application scenario design of energy big data appli-cation center[J].Smart power，2020，48（3）：15-21，29.

［2］陳清清，蘇盛，暢廣輝，等．電力信息物理系統(tǒng)內部威脅研究綜述[J]．南方電網(wǎng)技術，2022，16（6）：1-13.CHEN QQ，SU S，CHANGG H，et al. Review on theresearch of insider threat of cyber physical power system[J].Southern power system technology，2022，16（6）：1-13.

［3］郭世澤，張磊，潘雨，等．內部威脅發(fā)現(xiàn)檢測方法研究綜述［J]．數(shù)據(jù)采集與處理，2022，37（3）：488-501.GUO S Z， ZHANG L， PAN Y， et al. Survey on insiderthreat detection method[J].Journal of data acquisitionand processing，2022，37（3） ： 488-501.

［4］郭軍利，許明洋，原浩宇，等．引入內生安全的零信任模型[J]．學報（理學版），2022，54（6）：51-58.GUO JL， XU M Y，YUAN HY，et al. Introduction ofendogenous security of zero trust model[J]. Journal ofZhengzhou university （natural science edition），2022，54（6）： 51-58.

[5]李益發(fā)，孔雪曼，耿宇，等.零信任體系架構的可跨域連續(xù)身份認證［J/OL].學報（理學版）：1-7[2024-04-07]. htps： //doi. org/10.13705/j. issn. 1671-6841. 2023035.LI YF，KONG X M， GENG Y，et al. Cross-domain con-tinuous identity authentication of zero trust architecture[J/OL]. Journal of Zhengzhou university（natural scienceedition）：1-7[2024-04-07]. https：//doi.org/10.13705/j. issn. 1671-6841. 2023035.

[6]NASIRR，AFZAL M，LATIFR，et al. Behavioral basedinsider threat detection using deep learning[J]. IEEE ac-cess，2021，9： 143266-143274.

［7］周婭，李賽．基于分層欠采樣和 Bi-GRU的惡意行為檢測模型［J]．計算機工程與設計，2022，43（2）：413-419.ZHOU Y，LI S. Toxic behavior detection based on hierar-chical undersampling and Bi-GRU network[J]. Computerengineering and design， 2022，43（2） ： 413-419.

［8］周建國，戴華，楊庚，等．基于并列GRU分類模型的日志異常檢測方法［J]．南京理工大學學報，2022，46（2）：198-204.ZHOU JG，DAI H， YANG G， et al. Log anomaly detec-tion method based on parallel GRU classification model[J]. Journal of Nanjing university of science and technol-ogy，2022，46（2）：198-204.

[9]GUAN W L，ZHANG D L，YU H，et al. Customer loadforecasting method based on the industry electricity con-sumption behavior portrait[J].Frontiers in energy re-search，2021，9： 742993.

[10]LIANG JF，LI TC，F(xiàn)AN H，et al. Construction of oper-ation portraits based on a cloud model for power distribu-tion networks[J].Frontiers in energy research，2022，10： 872028.

[11] CIULKOWICZ M，MISIAK B，SZCZESNIAK D，et al.The portrait of cyberchondria-a cross-sectional onlinestudy on factors related to health anxiety and cyberchon-dria in Polish population during SARS-CoV-2 pandemic[J].International journal of environmental research andpublic health，2022，19（7）： 4347.

[12]MIAO R M，LIBQ.A user-portraits-based recommenda-tion algorithm for traditional short video industry and se-curity management of user privacy in social networks[J].Technological forecasting and social change，2022，185：122103.

［13］郭淵博，劉春輝，孔菁，等．內部威脅檢測中用戶行為模式畫像方法研究［J]．通信學報，2018，39（12）：141-150.GUO Y B，LIU C H，KONG J，et al. Study on user be-havior profiling in insider threat detection[J]. Journal oncommunications，2018，39（12）：141-150.

［14］鐘雅，郭淵博，劉春輝，等．內部威脅檢測中用戶屬性畫像方法與應用[J]．計算機科學，2020，47（3）：292-297.ZHONG Y，GUO YB，LIU C H，et al. User attributesprofiling method and application in insider threat detection[J]．Computer science，2020，47（3）： 292-297.

[15］中國國家標準化管理委員會.信息安全技術網(wǎng)絡安全等級保護基本要求：GB/T 22239-2019[S].北京：中國標準出版社，2019.National Standardization Administration Information secu-rity technology baseline for classified protection of cyber-security： GB/T 22239 -2019[S]. Beijing：StandardsPress of China，2019.

［16］徐焱，賈曉璐．內網(wǎng)安全攻防：滲透測試實戰(zhàn)指南［M]．北京：電子工業(yè)出版社，2020：33-90.XU Y，JIA X L. Intranet security attack and defense：apractical guide to penetration testing[M]. Beijing：Pub-lishing House of Electronics Industry， 2020：33-90.

[17]CHENWX，HELUXH，JINCJ，et al.Advanced persistent threatorganizationidentification based on software gene of malware[J].Transactions on emerging telecommunicationstechnologies，2020，31（12）：e3884.

［18］楊曉暉，張圣昌．基于多粒度級聯(lián)孤立森林算法的異 常檢測模型[J]．通信學報，2019，40（8）：133-142. YANG X H，ZHANG S C. Anomaly detection model based on multi-grained cascade isolation forest algorithm [J]．Journal on communications，2019，40（8）：133- 142.

［19］李新鵬，高欣，閻博，等．基于孤立森林算法的電力 調度流數(shù)據(jù)異常檢測方法[J]．電網(wǎng)技術，2019，43 （4）：1447-1456. LIXP，GAOX，YANB，etal.Anapproachofdataanomaly detection in power dispatching streaming data based on isolation forest algorithm[J].Power system technology，2019，43（4）：1447-1456.

[20］姬莉霞，趙耀，馬鄭祎，等．基于iForest-BiLSTMAttention的數(shù)據(jù)庫負載預測方法[J]．鄭州大學學報 （理學版），2022，54（6）：66-73. JILX，ZHAOY，MAZY，etal.Database workload predictionmethod based on iForest-BiLSTM-Attention [J]．Journal of Zhengzhou university （natural science edition），2022，54（6）：66-73.

[21] AL-KAHTANI M S，MEHMOOD Z，SADAD T，et al. Intrusion detection in the Internet of Things using fusion of GRU-LSTM deep learning model[J]. Intelligent automationamp; soft computing，2023，37（2）：2279-2290.