郑州大学网络空间安全学院王世谦高级工程师、国网河南省电力公司经济技术研究院贾一博工程师在《郑州大学学报(理学版)》上发表题为:“基于长短周期特征的用户异常行为检测”的研究型论文。
Cite: WANG Shiqian, BAI Hongkun, JIA Yibo, et al. Abnormal User Behavior Detection Based on Long-term and Short-term Characteristics[J]. Journal of Zhengzhou University(Natural Science Edition), 2025, 57(6): 65-73,82.
随着大数据技术在能源领域的深度渗透,电力、燃气、石油等能源大数据平台已成为支撑国民经济发展的重要基石,不仅助力企业精准洞察市场,更为政府的科学决策提供了核心参考。然而,随着平台用户规模的激增与类型的多样化,其面临的安全挑战也愈发严峻。当前的研究多聚焦于防火墙、入侵检测等应对外部攻击的防御技术,却往往忽视了更为隐蔽且致命的内部安全威胁。攻击者常利用社会工程学等手段窃取内部权限,伪装成合法用户进行信息窃取或破坏。作为国家关键信息基础设施,能源大数据平台亟须打破传统边界防御的局限,引入零信任思想,构建起一套能够持续认证、精准识别内部异常行为的主动防御体系。
针对现有内部威胁检测研究大多脱离具体业务背景、难以兼顾用户多样性与业务差异性的痛点,本文提出了一种面向能源大数据平台的用户异常行为检测方法。该方法创新性地从长周期与短周期两个时间尺度对用户访问行为进行立体化特征建模:一方面利用长短期孤立森林(long and short periods isolated forest,LSPIF)模型捕捉长期行为规律,另一方面通过多时间窗口GRU(multiple time windows GRU,MTWG)模型精准识别短期突发异常。最终,通过融合模型(LSPIF and MTWG integrated model)对检测结果进行加权综合,有效提升了异常行为的整体识别率。这一研究不仅为能源大数据平台的安全防护提供了强有力的技术支撑,也为保障国家能源安全、推动能源数字化转型筑牢了坚实的安全防线。
构建长短期孤立森林模型(LSPIF)捕捉长周期特征,针对用户长期访问习惯(如工作时间、常用设备、访问频率),提出了LSPIF模型。该模型通过划分多周时间窗口训练孤立森林,能够有效对比日周期与周周期的变化规律,精准刻画用户经常性的访问状态,解决了传统方法对长期行为模式感知滞后的难题。
设计多时间窗口并列门循环神经网络(MTWG)提取短周期特征,针对用户当前时刻的实时操作序列(如接口调用、页面跳转),构建了MTWG模型。通过设置5min、10min、15min三种滑动时间窗口并行训练GRU网络,该模型能充分捕捉不同时间粒度下的行为变化,有效识别短时间内的异常操作突变。
多模型融合与用户分类检测框架,创新性地提出了LMIM(LSPIF and MTWG Integrated Model)融合模型,通过加权平均长短期异常得分,综合判定用户行为风险。同时,框架依据用户类型(公众、内部等)建立专用检测模型,实验显示公众类与内部类LMIM的F1值分别高达96.57%与97.15%,显著优于通用模型。
本文提出了一种基于长短周期特征融合的用户异常行为检测方法。
在特征提取阶段,系统依据用户历史日志构建长周期行为特征与短周期行为特征。长周期特征反映了用户经常性的访问状态,包含访问时间、源IP、设备信息等10个属性;短周期特征则刻画了用户当前时刻的操作序列,包含主机名、接口路径、请求方法等6个属性。
在模型构建阶段,利用长短期孤立森林模型对长周期数据进行训练,学习用户在较长时间跨度下的稳定访问规律;同时利用多时间窗口并列门循环神经网络对短周期序列进行预测,捕捉实时操作中的异常波动。
在决策阶段,将两种模型的异常评分进行归一化加权融合,形成LMIM融合模型,并结合用户类别进行综合判决。该框架不仅能够识别出随机访问、数据下载等显性异常,还能通过长短期特征的对比,发现环境更换、权限滥用等隐性威胁。
图1 能源大数据平台架构及潜在攻击威胁。该图直观展示了平台的系统架构与日志体系,并梳理了五种典型的内部攻击模式,包括“信息搜集模式”、“内网渗透模式”及“信息泄漏模式”等。这为后续构建针对性的检测模型提供了明确的攻击面画像,指出了防御的重点方向。
图2 用户异常行为检测系统。该图展示了本文提出的检测框架。从数据源(日志系统)到特征提取(长短周期划分),再到核心的双模型并行检测(LSPIF与MTWG),最后到综合决策器。揭示了系统如何将杂乱的日志转化为可视化的威胁判定。
图3 基于LSPIF的长周期特征检测模型。针对用户长期行为习惯提出了LSPIF模型。如图所示,模型创新性地采用“多周数据训练、对比判决”的机制。通过分别训练不同周次的孤立森林,模型能够有效捕捉用户在日周期与周周期上的稳定访问规律,从而精准识别出长期行为模式的偏移。
图4 基于MTWG的短周期特征检测模型。针对用户实时操作的突发性,设计了MTWG模型。图中清晰展示了“多时间窗口并行处理”的逻辑:系统同时利用5min、10min、15min三种窗口的GRU网络对操作序列进行预测。这种设计使得模型能够敏锐捕捉到短时间内的操作异常波动。
表1 不同LMIM模型对比结果
单位:%
该表核心展示了专用模型相对于通用模型的显著优势。数据表明,基于用户类别构建的公众类LMIM与内部类LMIM,在精确率、召回率及F1值上均大幅超越混合训练的通用LMIM模型。特别是内部类用户检测的F1值达到97.15%,充分证明了考虑用户行为差异性对于提升检测精度至关重要。
表2 公众用户行为异常检测判断示例
通过展示公众用户行为异常检测的决策过程,该表详细解析了系统如何根据四类用户模型(公众、政府、企业、内部)的输出结果进行综合研判。例如,当公众模型判异常而内部模型判正常时,系统可识别出“假冒行为”并定级为高威胁,体现了该框架在异常细分类与威胁等级评估上的智能化水平。
第一作者:王世谦 高级工程师
郑州大学 网络空间安全学院
研究方向:主要从事能源大数据及能源电力规划研究
E-mail:zwangshiqian@ha.sgcc.com.cn.
通信作者:贾一博 工程师
国网河南省电力公司经济技术研究院
研究方向:主要从事能源电力大数据研究
E-mail:745241748@qq.com
引用格式:
王世谦, 白宏坤, 贾一博, 等. 基于长短周期特征的用户异常行为检测[J]. 郑州大学学报(理学版), 2025, 57(6): 65-73,82.
WANG Shiqian, BAI Hongkun, JIA Yibo, et al. Abnormal User Behavior Detection Based on Long-term and Short-term Characteristics[J]. Journal of Zhengzhou University(Natural Science Edition), 2025, 57(6): 65-73,82.
扫描上方二维码,或点击文末“阅读原文”查看文献。
https://html.rhhz.net/ZZDXXBLXB/html/20250609.htm
10个月宝宝每天需要喝多少奶粉?
