CN112348202B - 一种机器学习中规则模型的建立方法 - Google Patents
一种机器学习中规则模型的建立方法 Download PDFInfo
- Publication number
- CN112348202B CN112348202B CN202110005459.0A CN202110005459A CN112348202B CN 112348202 B CN112348202 B CN 112348202B CN 202110005459 A CN202110005459 A CN 202110005459A CN 112348202 B CN112348202 B CN 112348202B
- Authority
- CN
- China
- Prior art keywords
- protocol
- sample
- communication
- weight
- library
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Abstract
本发明公开了一种机器学习中规则模型的建立方法,属于工控网络安全技术领域,能够解决现有协议操作指令检测规则自动化分类配置时,配置难度较大,效率较低,且容易出错的问题。所述建立方法包括:对第一工控协议通讯行为样本进行解析,提取第一协议样本;将第一协议样本输入机器学习模块中进行训练,确定通讯正常库;对第二工控协议通讯行为样本进行解析,提取第二协议样本;将第二协议样本输入机器学习模块中进行训练;获取第二协议样本的权重,并根据第二协议样本的权重更新通讯正常库和建立通讯异常库。本发明用于规则模型的建立。
Description
技术领域
本发明涉及一种机器学习中规则模型的建立方法,属于工控网络安全技术领域。
背景技术
随着工业控制网络和互联网络不断的融合,工业控制系统正朝着数字化、网络化、智能化的方向发展,越来越多的工控系统及相关设备与外部公共网络连接,工业互连已成为不可避免的趋势,高度网络化、开放协议和通用组件互联,带来了更多的攻击路径和攻击方式,网络空间的安全问题直接延伸到工业控制系统中,工控系统面临更加复杂的信息安全威胁,自动识别异常工控行为成为了亟待解决的问题。
传统审计系统需要人工对协议进行检测规则配置,系统获取流量数据,并解析工控行为报文,根据检测规则判断该工控行为是否为异常操作行为。检测规则配置,需要运维人员对协议以及业务非常了解,随着工控设备使用协议越来越多,协议指令也越来越复杂,人工配置协议检测规则难度变大,且配置过程中容易配置错误;并且现有的机器学习模型不完善,只能学习到行为,不能对协议操作指令检测规则进行自动化分类配置,从而需要人为分类配置,导致配置难度较大,效率较低,且容易出错。
发明内容
本发明提供了一种机器学习中规则模型的建立方法,能够解决现有协议操作指令检测规则自动化分类配置时,配置难度较大,效率较低,且容易出错的问题。
本发明提供了一种机器学习中规则模型的建立方法,所述建立方法包括:对第一工控协议通讯行为样本进行解析,提取第一协议样本;将所述第一协议样本输入机器学习模块中进行训练,确定通讯正常库;对第二工控协议通讯行为样本进行解析,提取第二协议样本;将所述第二协议样本输入机器学习模块中进行训练;获取所述第二协议样本的权重,并根据所述第二协议样本的权重更新通讯正常库和建立通讯异常库。
可选的,所述将所述第一协议样本输入机器学习模块中进行训练,确定通讯正常库,具体为:将所述第一协议样本的权重标记为1,并将所述第一协议样本添加至通讯正常库中。
可选的,所述获取所述第二协议样本的权重,并根据所述第二协议样本的权重更新通讯正常库和建立通讯异常库,具体包括:若所述第二协议样本存在于所述通讯正常库中,且其权重不为1,则更新所有权重不为1的第二协议样本的权重;并根据更新后所述第二协议样本的权重将所述第二协议样本添加至所述通讯正常库中或所述通讯异常库中;若所述第二协议样本不存在于所述通讯正常库中,则将所述第二协议样本的权重设置为预设权重,更新所有权重不为1的第二协议样本的权重,并将所述第二协议样本转入通讯异常库中;其中,所述预设权重小于0.5。
可选的,所述预设权重为0.1。
可选的,所述根据更新后所述第二协议样本的权重将所述第二协议样本添加至所述通讯正常库中或所述通讯异常库中,具体包括:若更新后的第二协议样本的权重小于阈值权重,则将所述第二协议样本转入所述通讯异常库中;并且,若所述第二协议样本存在于所述通讯正常库中,将其从所述通讯正常库中删除;若更新后的第二协议样本的权重大于或等于所述阈值权重,则将所述第二协议样本添加至所述通讯正常库中;并且,若所述第二协议样本存在于所述通讯异常库中,将其从所述通讯异常库中删除。
可选的,所述阈值权重为0.5。
可选的,所述更新所有权重不为1的第二协议样本的权重具体为:采用信息量权重法重新计算所有权重不为1的第二协议样本的权重。
可选的,所述对第一工控协议通讯行为样本进行解析,提取出第一协议样本具体包括:对第一工控协议通讯行为样本的工控协议通讯报文进行解析,并提取出源IP、目的IP、协议名称、协议控制命令、协议控制点位和协议控制值;将所述源IP、所述目的IP、所述协议名称、所述协议控制命令、所述协议控制点位和所述协议控制值打包构成第一协议样本。
可选的,所述对第二工控协议通讯行为样本进行解析,提取出第二协议样本具体包括:对第二工控协议通讯行为样本的工控协议通讯报文进行解析,并提取出源IP、目的IP、协议名称、协议控制命令、协议控制点位和协议控制值;将所述源IP、所述目的IP、所述协议名称、所述协议控制命令、所述协议控制点位和所述协议控制值打包构成第二协议样本。
本发明能产生的有益效果包括:
本发明提供的机器学习中规则模型的建立方法,根据该方法建立的协议指令规则模型能够自动生成工控异常行为协议指令检测规则,根据协议指令检测规则对工控行为进行自动探测,识别出异常工控行为。由于可以为工控网络协议审计提供自动生成协议指令级规则,不需人工配置协议指令级规则,达到协议指令级规则的精准性以及自动化配置特征,大幅度降低人工配置工作,提升工作效率,使得审计系统达到更高的易用性。
附图说明
图1为本发明实施例提供的机器学习中规则模型的建立方法流程图。
具体实施方式
下面结合实施例详述本发明,但本发明并不局限于这些实施例。
本发明实施例提供了一种机器学习中规则模型的建立方法,如图1所示,所述建立方法包括:
步骤101、对第一工控协议通讯行为样本进行解析,提取第一协议样本。
具体的,可以对第一工控协议通讯行为样本的工控协议通讯报文进行解析,并提取出源IP、目的IP、协议名称、协议控制命令、协议控制点位和协议控制值;然后将源IP、目的IP、协议名称、协议控制命令、协议控制点位和协议控制值打包构成第一协议样本。
步骤102、将第一协议样本输入机器学习模块中进行训练,确定通讯正常库。
具体为:将第一协议样本的权重标记为1,并将第一协议样本添加至通讯正常库中。
步骤103、对第二工控协议通讯行为样本进行解析,提取第二协议样本。
具体的,可以对第二工控协议通讯行为样本的工控协议通讯报文进行解析,并提取出源IP、目的IP、协议名称、协议控制命令、协议控制点位和协议控制值;然后将源IP、目的IP、协议名称、协议控制命令、协议控制点位和协议控制值打包构成第二协议样本。
步骤104、将第二协议样本输入机器学习模块中进行训练。
步骤105、获取第二协议样本的权重,并根据第二协议样本的权重更新通讯正常库和建立通讯异常库。
具体的:
1)若第二协议样本存在于通讯正常库中,且其权重为1,则放弃掉该第二协议样本,因为该条数据之前已添加到机器学习模块中了。
2)若第二协议样本存在于通讯正常库中,且其权重不为1,则更新所有权重不为1的第二协议样本的权重;并根据更新后第二协议样本的权重将第二协议样本添加至通讯正常库中或通讯异常库中。
其中,根据更新后第二协议样本的权重将第二协议样本添加至通讯正常库中或通讯异常库中,具体包括:
若更新后的第二协议样本的权重小于阈值权重,则将第二协议样本转入通讯异常库中;并且,若第二协议样本存在于通讯正常库中,将其从通讯正常库中删除;
若更新后的第二协议样本的权重大于或等于阈值权重,则将第二协议样本添加至通讯正常库中;并且,若第二协议样本存在于通讯异常库中,将其从通讯异常库中删除。其中,阈值权重一般可以设置为0.5。
3)若第二协议样本不存在于通讯正常库中,则将第二协议样本的权重设置为预设权重,更新所有权重不为1的第二协议样本的权重,并将第二协议样本转入通讯异常库中;其中,预设权重小于0.5。在实际应用中,预设权重可以设置为0.1。
本发明提供的机器学习中规则模型的建立方法,根据该方法建立的协议指令规则模型能够自动生成工控异常行为协议指令检测规则,根据协议指令检测规则对工控行为进行自动探测,识别出异常工控行为。由于可以为工控网络协议审计提供自动生成协议指令级规则,不需人工配置协议指令级规则,达到协议指令级规则的精准性以及自动化配置特征,大幅度降低人工配置工作,提升工作效率,使得审计系统达到更高的易用性。
在本发明实施例中,计算第二协议样本的权重的方法可以有多种,本发明实施例对此不做限定。在实际应用中,可以采用信息量权重法重新计算所有权重不为1的第二协议样本的权重。示例的,也可以采用简化版的朴素贝叶斯分类方法来计算所有权重不为1的第二协议样本的权重。
以上所述,仅是本申请的几个实施例,并非对本申请做任何形式的限制,虽然本申请以较佳实施例揭示如上,然而并非用以限制本申请,任何熟悉本专业的技术人员,在不脱离本申请技术方案的范围内,利用上述揭示的技术内容做出些许的变动或修饰均等同于等效实施案例,均属于技术方案范围内。
Claims (7)
1.一种机器学习中规则模型的建立方法,其特征在于,所述建立方法包括:
对第一工控协议通讯行为样本进行解析,提取第一协议样本;
将所述第一协议样本输入机器学习模块中进行训练,确定通讯正常库;
对第二工控协议通讯行为样本进行解析,提取第二协议样本;
将所述第二协议样本输入所述机器学习模块中进行训练;
获取所述第二协议样本的权重,并根据所述第二协议样本的权重更新通讯正常库和建立通讯异常库;
所述将所述第一协议样本输入机器学习模块中进行训练,确定通讯正常库,具体为:
将所述第一协议样本的权重标记为1,并将所述第一协议样本添加至通讯正常库中;
所述获取所述第二协议样本的权重,并根据所述第二协议样本的权重更新通讯正常库和建立通讯异常库,具体包括:
若所述第二协议样本存在于所述通讯正常库中,且其权重不为1,则更新所有权重不为1的第二协议样本的权重;并根据更新后所述第二协议样本的权重将所述第二协议样本添加至所述通讯正常库中或所述通讯异常库中;
若所述第二协议样本不存在于所述通讯正常库中,则将所述第二协议样本的权重设置为预设权重,更新所有权重不为1的第二协议样本的权重,并将所述第二协议样本转入通讯异常库中;其中,所述预设权重小于0.5。
2.根据权利要求1所述的建立方法,其特征在于,所述预设权重为0.1。
3.根据权利要求1所述的建立方法,其特征在于,所述根据更新后所述第二协议样本的权重将所述第二协议样本添加至所述通讯正常库中或所述通讯异常库中,具体包括:
若更新后的第二协议样本的权重小于阈值权重,则将所述第二协议样本转入所述通讯异常库中;并且,若所述第二协议样本存在于所述通讯正常库中,将其从所述通讯正常库中删除;
若更新后的第二协议样本的权重大于或等于所述阈值权重,则将所述第二协议样本添加至所述通讯正常库中;并且,若所述第二协议样本存在于所述通讯异常库中,将其从所述通讯异常库中删除。
4.根据权利要求3所述的建立方法,其特征在于,所述阈值权重为0.5。
5.根据权利要求1所述的建立方法,其特征在于,所述更新所有权重不为1的第二协议样本的权重具体为:
采用信息量权重法重新计算所有权重不为1的第二协议样本的权重。
6.根据权利要求1所述的建立方法,其特征在于,所述对第一工控协议通讯行为样本进行解析,提取出第一协议样本具体包括:
对第一工控协议通讯行为样本的工控协议通讯报文进行解析,并提取出源IP、目的IP、协议名称、协议控制命令、协议控制点位和协议控制值;
将所述源IP、所述目的IP、所述协议名称、所述协议控制命令、所述协议控制点位和所述协议控制值打包构成第一协议样本。
7.根据权利要求1所述的建立方法,其特征在于,所述对第二工控协议通讯行为样本进行解析,提取出第二协议样本具体包括:
对第二工控协议通讯行为样本的工控协议通讯报文进行解析,并提取出源IP、目的IP、协议名称、协议控制命令、协议控制点位和协议控制值;
将所述源IP、所述目的IP、所述协议名称、所述协议控制命令、所述协议控制点位和所述协议控制值打包构成第二协议样本。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110005459.0A CN112348202B (zh) | 2021-01-05 | 2021-01-05 | 一种机器学习中规则模型的建立方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110005459.0A CN112348202B (zh) | 2021-01-05 | 2021-01-05 | 一种机器学习中规则模型的建立方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112348202A CN112348202A (zh) | 2021-02-09 |
CN112348202B true CN112348202B (zh) | 2021-03-30 |
Family
ID=74427564
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110005459.0A Active CN112348202B (zh) | 2021-01-05 | 2021-01-05 | 一种机器学习中规则模型的建立方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112348202B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101582813A (zh) * | 2009-06-26 | 2009-11-18 | 西安电子科技大学 | 基于分布式迁移网络学习的入侵检测系统及其方法 |
CN110113227A (zh) * | 2019-04-18 | 2019-08-09 | 上海大学 | 一种变分自编码的模糊测试测试用例生成方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106603531A (zh) * | 2016-12-15 | 2017-04-26 | 中国科学院沈阳自动化研究所 | 一种基于工业控制网络的入侵检测模型的自动建立方法及装置 |
CN110086810B (zh) * | 2019-04-29 | 2020-08-18 | 西安交通大学 | 基于特征行为分析的被动式工控设备指纹识别方法及装置 |
CN111639497B (zh) * | 2020-05-27 | 2021-01-15 | 北京东方通科技股份有限公司 | 一种基于大数据机器学习的异常行为发现方法 |
-
2021
- 2021-01-05 CN CN202110005459.0A patent/CN112348202B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101582813A (zh) * | 2009-06-26 | 2009-11-18 | 西安电子科技大学 | 基于分布式迁移网络学习的入侵检测系统及其方法 |
CN110113227A (zh) * | 2019-04-18 | 2019-08-09 | 上海大学 | 一种变分自编码的模糊测试测试用例生成方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112348202A (zh) | 2021-02-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210344578A1 (en) | Method and system for classifying a protocol message in a data communication network | |
CN111191767B (zh) | 一种基于向量化的恶意流量攻击类型的判断方法 | |
CN109768952B (zh) | 一种基于可信模型的工控网络异常行为检测方法 | |
US10104108B2 (en) | Log analysis system | |
CN112333211B (zh) | 一种基于机器学习的工控行为检测方法和系统 | |
US20230362182A1 (en) | Abnormality sensing device and abnormality sensing method | |
JP2018147172A (ja) | 異常検知装置、異常検知方法及びプログラム | |
JP2009017298A (ja) | データ分析装置 | |
CN113328872A (zh) | 故障修复方法、装置和存储介质 | |
CN105743732B (zh) | 一种记录局域网文件传输路径和分布情况的方法及系统 | |
CN111510339B (zh) | 一种工业互联网数据监测方法和装置 | |
JP2018148350A (ja) | 閾値決定装置、閾値決定方法及びプログラム | |
WO2018142703A1 (ja) | 異常要因推定装置、異常要因推定方法及びプログラム | |
CN113259197A (zh) | 一种资产探测方法、装置及电子设备 | |
CN112787875B (zh) | 设备识别方法、装置及设备、存储介质 | |
KR102069142B1 (ko) | 명확한 프로토콜 사양 자동 추출을 위한 장치 및 방법 | |
CN113656315B (zh) | 数据测试方法、装置、电子设备和存储介质 | |
CN112348202B (zh) | 一种机器学习中规则模型的建立方法 | |
CN111565124B (zh) | 拓扑分析方法及装置 | |
CN116134785A (zh) | 网络设备属性的低时延识别 | |
US8725901B2 (en) | Analysis tool for intra-node application messaging | |
CN111625448A (zh) | 协议包生成方法、装置、设备及存储介质 | |
US20200026697A1 (en) | Method and a device for detecting an anomaly | |
JP2021129203A (ja) | 通信解析装置、通信解析プログラム及び通信解析方法 | |
CN112422515A (zh) | 一种协议漏洞的测试方法、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |