CN112910841B - 一种基于模糊匹配的工控网络入侵智能感知方法 - Google Patents
一种基于模糊匹配的工控网络入侵智能感知方法 Download PDFInfo
- Publication number
- CN112910841B CN112910841B CN202110048287.5A CN202110048287A CN112910841B CN 112910841 B CN112910841 B CN 112910841B CN 202110048287 A CN202110048287 A CN 202110048287A CN 112910841 B CN112910841 B CN 112910841B
- Authority
- CN
- China
- Prior art keywords
- network attack
- flow
- network
- feature vector
- pointer variable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9014—Indexing; Data structures therefor; Storage structures hash tables
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9027—Trees
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/9038—Presentation of query results
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N7/00—Computing arrangements based on specific mathematical models
- G06N7/02—Computing arrangements based on specific mathematical models using fuzzy logic
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Computational Linguistics (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Analysis (AREA)
- Fuzzy Systems (AREA)
- Automation & Control Theory (AREA)
- Molecular Biology (AREA)
- Algebra (AREA)
- Artificial Intelligence (AREA)
- Computational Mathematics (AREA)
- Evolutionary Computation (AREA)
- Biomedical Technology (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于模糊匹配的工控网络入侵智能感知方法,包含:S1、构建模拟网络环境E;S2、构建网络攻击特征库B的哈希索引H;S3、在模拟网络环境E中重放网络攻击集合A中的每个网络攻击,提取并记录各个网络攻击对应的特征向量;S4、步骤S3所得的各个网络攻击对应的特征向量集合于特征向量集S中,构建特征向量集S的前缀索引树T;S5、模糊查询所述前缀索引树T,判断待检流量x是否为网络攻击流量。其优点是:该方法通过构建网络攻击特征库的索引,然后在索引基础上执行模糊查询来判断待检流量的特征向量是否与已知攻击流量的特征向量近似,从而提升对已知网络攻击的同族或变种的检出能力。
Description
技术领域
本发明涉及电力信息通信领域,尤其涉及一种基于模糊匹配的工控网络入侵智能感知方法。
背景技术
随着电力物联网建设的推进,大量使用互联网通信协议的设备挂网运行,网络拓扑的复杂化和网络边界的模糊化使得安全防护形势日趋严峻。目前,误用检测方法在关键信息基础设施中运用广泛,该类方法首先构建已知网络攻击流量的特征库,接着通过模式匹配查询特征库中是否与待检流量匹配的记录,最后返回查询得到的匹配结果。与异常检测方法相比,误用检测方法的优点在于对已知网络攻击的检出率和误检率较佳,但是对未知网络攻击的检测能力较差。
网络攻击流量数据属于时间序列数据。近年来,以机器学习为代表的误用检测方法在网络攻击流量特征挖掘方面取得了一定研究进展和应用成效,能够借助门控单元、自注意力机制等技术提取网络攻击流量中的全局攻击特征和局部攻击特征。机器学习模型的能力主要依赖于样本学习,对于未知网络攻击流量特征的挖掘能力有待提升。此外,基于机器学习算法的二分类判定模型在部署使用过程中依然存在执行速率慢的问题。
发明内容
本发明的目的在于提供一种基于模糊匹配的工控网络入侵智能感知方法,该方法首先构建网络攻击特征库的索引,然后在索引的基础上执行模糊查询来判断待检流量的特征向量是否与已知攻击流量的特征向量近似,从而提升对已知网络攻击的同族或变种的检出能力。
为了达到上述目的,本发明通过以下技术方案实现:
一种基于模糊匹配的工控网络入侵智能感知方法,包含:
S1、构建模拟网络环境E;
S2、构建网络攻击特征库B的哈希索引H;
S3、基于所述网络攻击特征库B的哈希索引H,在模拟网络环境E中重放网络攻击集合A中的每个网络攻击,提取并记录各个网络攻击对应的特征向量si;
S4、步骤S3所得的各个网络攻击对应的特征向量si集合于特征向量集S中,构建特征向量集S的前缀索引树T;
S5、模糊查询所述前缀索引树T,判断待检流量x是否为网络攻击流量。
可选的,所述步骤S3中,提取网络攻击集合A中第i个网络攻击ai的特征向量si包含:
S31、在模拟网络环境E中重放网络攻击ai,得到其对应的网络攻击流量fi;
S32、从左向右提取网络攻击流量fi中的流量特征,并在网络攻击特征库B的哈希索引H中查询是否有与之匹配的流量特征,将查询结果记录在特征向量si={si1,si2,...,sir}中,sij为网络攻击流量fi与网络攻击特征库B的哈希索引H的第j个共有的流量特征。
可选的,所述步骤S4中构建的特征向量集S的前缀索引树T跨度为1。
可选的,所述步骤S5包含:
S51、查询待检流量x中的流量特征是否在网络攻击特征库B中出现,将查询结果记录在待检流量x的特征向量q={q1,q2,...,qt}中,将在网络攻击特征库B中查询到的在待检流量x中出现的第i个流量特征记为qi;
S52、令指针变量ptr1指向待检流量x的特征向量q的最左边元素,令指针变量ptr2指向特征向量集S的前缀索引树T的根结点R,使整型变量k等于0;
S53:当指针变量ptr1指向的元素F与指针变量ptr2指向结点的某个孩子结点C的存储元素不相等时,令指针变量ptr1指向元素F的右侧相邻元素并且令整型变量k自增1;
S54、当整型变量k大于整型常量K时,判定待检流量x不是网络攻击流量并结束步骤S5。
可选的,所述步骤S53进一步包含:
当指针变量ptr1指向的元素F与指针变量ptr2指向结点的某个孩子结点C的存储元素相等时,令指针变量ptr1指向元素F的右侧相邻元素且指针变量ptr2指向前缀索引树T的孩子结点C。
可选的,所述步骤S5进一步包含:
S55、判断指针变量ptr1是否指向NULLPTR;若是,则判定待检流量x是网络攻击流量并结束步骤S5;否则,跳转执行步骤S53。
可选的,所述步骤S5进一步包含:
S56、判断指针变量ptr2是否指向NULLPTR;若是,则判定待检流量x是网络攻击流量并结束步骤S5;否则,跳转执行步骤S53。
本发明与现有技术相比具有以下优点:
本发明的一种基于模糊匹配的工控网络入侵智能感知方法,首先构建网络攻击特征库的索引,然后在索引的基础上执行模糊查询来判断待检流量的特征向量是否与已知攻击流量的特征向量近似,从而提升对已知网络攻击的同族或变种的检出能力。
进一步的,本发明的一种基于模糊匹配的工控网络入侵智能感知方法,与基于模式匹配的传统误用检测方法相比,本发明通过在网络攻击流量识别过程中引入特征位置不变性假设和模糊度参数来提高对同族或变种网络攻击流量的检出能力。
进一步的,本发明的一种基于模糊匹配的工控网络入侵智能感知方法,与基于机器学习的新型误用检测方法相比,本发明采用前缀索引树构建的网络攻击流量识别方法,其执行速率更高,更适合在线流处理作业。
附图说明
图1为本发明的一种基于模糊匹配的工控网络入侵智能感知方法;
图2为本发明实施例中的特征向量集S跨度为1的前缀索引树T示意图。
具体实施方式
以下结合附图,通过详细说明一个较佳的具体实施例,对本发明做进一步阐述。
如图1所示,为本发明的一种基于模糊匹配的工控网络入侵智能感知方法,已知网络攻击集合A={a1,a2,...,an},网络攻击特征库B={b1,b2,...,bm}。
本发明的基于模糊匹配的工控网络入侵智能感知方法具体包含:
S1、构建模拟网络环境E。
S2、构建网络攻击特征库B的哈希索引H。
S3、基于所述网络攻击特征库B的哈希索引H,在模拟网络环境E中重放网络攻击集合A中的每个网络攻击,提取并记录各个网络攻击对应的特征向量si。
具体地,所述步骤S3中,提取网络攻击集合A中第i个网络攻击ai的特征向量si包含:
S31、在模拟网络环境E中重放网络攻击ai,得到其对应的网络攻击流量fi。
S32、从左向右提取网络攻击流量fi中的流量特征,并在网络攻击特征库B的哈希索引H中查询是否有与之匹配的流量特征,将查询结果记录在特征向量si={si1,si2,...,sir}中,sij为网络攻击流量fi与网络攻击特征库B的哈希索引H的第j个共有的流量特征。
S4、步骤S3所得的各个网络攻击对应的特征向量si集合于特征向量集S中,构建特征向量集S的前缀索引树T,其中,特征向量集S={s1,s2,...,sn}。
在本实施例中,所述步骤S4中构建的特征向量集S的前缀索引树T跨度为1。
在本实施例中,所述网络攻击特征库B={a,c,d,e,f,g},网络攻击集合A的特征向量集S={[a,b,c],[b,a,d],[c,d,e,f,g],[a,b,a],[a,b,c,d]},如图2所示,为特征向量集S的跨度为1的前缀索引树T,其中根结点(编号为1)的存储元素为空。
S5、模糊查询所述前缀索引树T,判断待检流量x是否为网络攻击流量。
具体地,所述步骤S5包含:
S51、查询待检流量x中的流量特征是否在网络攻击特征库B中出现,将查询结果记录在待检流量x的特征向量q={q1,q2,...,qt}中,将在网络攻击特征库B中查询到的在待检流量x中出现的第i个流量特征记为qi。
S52、令指针变量ptr1指向待检流量x的特征向量q的最左边元素,令指针变量ptr2指向特征向量集S的前缀索引树T的根结点R,使整型变量k等于0。
S53:当指针变量ptr1指向的元素F与指针变量ptr2指向结点的某个孩子结点C的存储元素不相等时,令指针变量ptr1指向元素F的右侧相邻元素并且令整型变量k自增1。
进一步的,所述步骤S53进一步包含:
当指针变量ptr1指向的元素F与指针变量ptr2指向结点的某个孩子结点C的存储元素相等时,令指针变量ptr1指向元素F的右侧相邻元素且指针变量ptr2指向前缀索引树T的孩子结点C。
S54、当整型变量k大于整型常量K时,判定待检流量x不是网络攻击流量并结束步骤S5。
进一步的,所述步骤S5还包含:S55、判断指针变量ptr1是否指向NULLPTR;若是,则判定待检流量x是网络攻击流量并结束步骤S5;否则,跳转执行步骤S53。
进一步的,所述步骤S5还包含:S56、判断指针变量ptr2是否指向NULLPTR;若是,则判定待检流量x是网络攻击流量并结束步骤S5;否则,跳转执行步骤S53。
在本实施例中,所述整型常量K=3,初始整型变量k=0。如图2所示,若待检流量x的特征向量q=[a,b,c],当指针变量ptr1指向特征向量q的元素a时,指针变量ptr2指向前缀索引树T的结点1且其孩子结点2的存储元素为a;当指针变量ptr1指向特征向量q的元素b时,指针变量ptr2指向前缀索引树T的结点2且其孩子结点5的存储元素为b;当指针变量ptr1指向特征向量q的元素c时,指针变量ptr2指向前缀索引树T的结点5且其孩子结点9的存储元素为c;当指针变量ptr1指向NULLPTR时,判定待检流量x是网络攻击流量,不再继续执行步骤S5。
若待检流量x的特征向量q=[a,c,b,b,c,d],当指针变量ptr1指向特征向量q的元素a时,指针变量ptr2指向前缀索引树T的结点1且其孩子结点2的存储元素为a;当指针变量ptr1指向特征向量q的元素c时,指针变量ptr2指向前缀索引树T的结点2且该结点的孩子结点均不存储元素c,整型变量k自增至1;当指针变量ptr1指向特征向量q的元素b时,指针变量ptr2指向前缀索引树T的结点2且其孩子结点5的存储元素为b;当指针变量ptr1指向特征向量q的元素b时,指针变量ptr2指向前缀索引树T的结点5且其孩子结点均不存储元素b,整型变量k自增1;当指针变量ptr1指向特征向量q的元素c时,指针变量ptr2指向前缀索引树T的结点5且其孩子结点9存储元素c;当指针变量ptr1指向特征向量q的元素d时,指针变量ptr2指向前缀索引树T的结点9且其孩子结点12存储元素d;当指针变量ptr1指向NULLPTR时,判定流量x是网络攻击流量,不再继续执行步骤S5。
综上所述,本发明的一种基于模糊匹配的工控网络入侵智能感知方法,通过构建网络攻击特征库的索引,然后在索引的基础上执行模糊查询来判断待检流量的特征向量是否与已知攻击流量的特征向量近似,从而提升对已知网络攻击的同族或变种的检出能力。
进一步的,本发明的一种基于模糊匹配的工控网络入侵智能感知方法,与基于模式匹配的传统误用检测方法相比,本发明通过在网络攻击流量识别过程中引入特征位置不变性假设和模糊度参数来提高对同族或变种网络攻击流量的检出能力。
进一步的,本发明的一种基于模糊匹配的工控网络入侵智能感知方法,与基于机器学习的新型误用检测方法相比,本发明采用前缀索引树构建的网络攻击流量识别方法,其执行速率更高,更适合在线流处理作业。
尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。
Claims (2)
1.一种基于模糊匹配的工控网络入侵智能感知方法,其特征在于,包含:
S1、构建模拟网络环境E;
S2、构建网络攻击特征库B的哈希索引H;
S3、基于所述网络攻击特征库B的哈希索引H,在模拟网络环境E中重放网络攻击集合A中的每个网络攻击,提取并记录各个网络攻击对应的特征向量si;
S4、步骤S3所得的各个网络攻击对应的特征向量si集合于特征向量集S中,构建特征向量集S的前缀索引树T;
S5、模糊查询所述前缀索引树T,判断待检流量x是否为网络攻击流量;
所述步骤S3中,提取网络攻击集合A中第i个网络攻击ai的特征向量si包含:
S31、在模拟网络环境E中重放网络攻击ai,得到其对应的网络攻击流量fi;
S32、从左向右提取网络攻击流量fi中的流量特征,并在网络攻击特征库B的哈希索引H中查询是否有与之匹配的流量特征,将查询结果记录在特征向量si={si1,si2,...,sir}中,sij为网络攻击流量fi与网络攻击特征库B的哈希索引H的第j个共有的流量特征;
所述步骤S5包含:
S51、查询待检流量x中的流量特征是否在网络攻击特征库B中出现,将查询结果记录在待检流量x的特征向量q={q1,q2,...,qt}中,将在网络攻击特征库B中查询到的在待检流量x中出现的第i个流量特征记为qi;
S52、令指针变量ptr1指向待检流量x的特征向量q的最左边元素,令指针变量ptr2指向特征向量集S的前缀索引树T的根结点R,使整型变量k等于0;
S53:当指针变量ptr1指向的元素F与指针变量ptr2指向结点的某个孩子结点C的存储元素不相等时,令指针变量ptr1指向元素F的右侧相邻元素并且令整型变量k自增1;
S54、当整型变量k大于整型常量K时,判定待检流量x不是网络攻击流量并结束步骤S5;
所述步骤S53进一步包含:
当指针变量ptr1指向的元素F与指针变量ptr2指向结点的某个孩子结点C的存储元素相等时,令指针变量ptr1指向元素F的右侧相邻元素且指针变量ptr2指向前缀索引树T的孩子结点C;
所述步骤S5进一步包含:
S55、判断指针变量ptr1是否指向NULLPTR;若是,则判定待检流量x是网络攻击流量并结束步骤S5;否则,跳转执行步骤S53;
所述步骤S5进一步包含:
S56、判断指针变量ptr2是否指向NULLPTR;若是,则判定待检流量x是网络攻击流量并结束步骤S5;否则,跳转执行步骤S53。
2.如权利要求1所述的基于模糊匹配的工控网络入侵智能感知方法,其特征在于,
所述步骤S4中构建的特征向量集S的前缀索引树T跨度为1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110048287.5A CN112910841B (zh) | 2021-01-14 | 2021-01-14 | 一种基于模糊匹配的工控网络入侵智能感知方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110048287.5A CN112910841B (zh) | 2021-01-14 | 2021-01-14 | 一种基于模糊匹配的工控网络入侵智能感知方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112910841A CN112910841A (zh) | 2021-06-04 |
| CN112910841B true CN112910841B (zh) | 2022-11-29 |
Family
ID=76114761
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110048287.5A Active CN112910841B (zh) | 2021-01-14 | 2021-01-14 | 一种基于模糊匹配的工控网络入侵智能感知方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112910841B (zh) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7089592B2 (en) * | 2001-03-15 | 2006-08-08 | Brighterion, Inc. | Systems and methods for dynamic detection and prevention of electronic fraud |
| CN108881129A (zh) * | 2017-05-16 | 2018-11-23 | 中兴通讯股份有限公司 | 一种高级持续性威胁攻击检测方法及装置 |
| CN109190380A (zh) * | 2018-08-20 | 2019-01-11 | 杭州安恒信息技术股份有限公司 | 基于web指纹实现批量站点漏洞快速检测的方法及系统 |
| CN109344622A (zh) * | 2018-09-26 | 2019-02-15 | 杭州迪普科技股份有限公司 | 漏洞攻击的入侵检测方法及相关设备 |
| CN111556014B (zh) * | 2020-03-24 | 2022-07-15 | 华东电力试验研究院有限公司 | 一种采用全文索引的网络攻击入侵检测方法 |
-
2021
- 2021-01-14 CN CN202110048287.5A patent/CN112910841B/zh active Active
Non-Patent Citations (1)
| Title |
|---|
| 基于模糊推理的计量自动化系统网络安全态势感知;钱斌等;《南方电网技术》;20190220(第02期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112910841A (zh) | 2021-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113612733B (zh) | 一种基于孪生网络的少样本虚假数据注入攻击检测方法 | |
| Yassin et al. | Anomaly-based intrusion detection through k-means clustering and naives bayes classification | |
| CN111506599A (zh) | 基于规则匹配和深度学习的工控设备识别方法及系统 | |
| Wressnegger et al. | Zoe: Content-based anomaly detection for industrial control systems | |
| CN112333195B (zh) | 基于多源日志关联分析的apt攻击场景还原检测方法及系统 | |
| CN114143037B (zh) | 一种基于进程行为分析的恶意加密信道检测方法 | |
| Chen et al. | A novel approach for identifying lateral movement attacks based on network embedding | |
| CN115242438B (zh) | 基于异质信息网络的潜在受害群体定位方法 | |
| CN113821793B (zh) | 基于图卷积神经网络的多阶段攻击场景构建方法及系统 | |
| Wang et al. | Optimizing quality-of-information in cost-sensitive sensor data fusion | |
| CN114172688A (zh) | 基于gcn-dl的加密流量网络威胁关键节点自动提取方法 | |
| CN116386081A (zh) | 一种基于多模态图像的行人检测方法及系统 | |
| KR20210062039A (ko) | 증강된 판별자를 훈련하기 위한 디바이스 및 방법 | |
| CN116506181A (zh) | 一种基于异构图注意力网络的车联网入侵检测方法 | |
| CN115270954A (zh) | 基于异常节点识别的无监督的apt攻击检测方法和系统 | |
| CN117220920A (zh) | 基于人工智能的防火墙策略管理方法 | |
| CN113868650A (zh) | 基于代码异质中间图表示的漏洞检测方法与装置 | |
| CN112910841B (zh) | 一种基于模糊匹配的工控网络入侵智能感知方法 | |
| CN118018237A (zh) | 一种基于多模型数据增强的工控流量异常检测方法及系统 | |
| CN112422546A (zh) | 一种基于变邻域算法和模糊聚类的网络异常检测方法 | |
| Muhaya et al. | Polymorphic malware detection using hierarchical hidden markov model | |
| CN111340196A (zh) | 对抗网络数据生成方法以及异常事件检测方法 | |
| CN110909380A (zh) | 一种异常文件访问行为监控方法和装置 | |
| CN114430344B (zh) | 基于工控流量和威胁情报关联分析的攻击组织识别方法 | |
| CN115766176A (zh) | 网络流量处理方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |