CN113645232B - 一种面向工业互联网的智能化流量监测方法、系统及存储介质 - Google Patents

一种面向工业互联网的智能化流量监测方法、系统及存储介质 Download PDF

Info

Publication number
CN113645232B
CN113645232B CN202110912180.0A CN202110912180A CN113645232B CN 113645232 B CN113645232 B CN 113645232B CN 202110912180 A CN202110912180 A CN 202110912180A CN 113645232 B CN113645232 B CN 113645232B
Authority
CN
China
Prior art keywords
flow
cluster
abnormal
sample
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110912180.0A
Other languages
English (en)
Other versions
CN113645232A (zh
Inventor
王艺霖
杨春
王安平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Karamay And China Cloud Technology Development Co ltd
Original Assignee
Karamay And China Cloud Technology Development Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Karamay And China Cloud Technology Development Co ltd filed Critical Karamay And China Cloud Technology Development Co ltd
Priority to CN202110912180.0A priority Critical patent/CN113645232B/zh
Publication of CN113645232A publication Critical patent/CN113645232A/zh
Application granted granted Critical
Publication of CN113645232B publication Critical patent/CN113645232B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/231Hierarchical techniques, i.e. dividing or merging pattern sets so as to obtain a dendrogram
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Signal Processing (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Software Systems (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供的面向工业互联网的智能化流量监测方法、系统及存储介质,涉及网络安全技术领域;该方法包括:对采集到的网络流量通过改进的层次聚类算法实现对网络异常流量的监测,形成海量告警的有效归并分类能力,同时达到使现有的情报信息库智能化自动更新;本发明的方法解决了传统的基于机器学习的检测方法缺少标签数据、自学能力较差、无法适应各种场景的技术问题。

Description

一种面向工业互联网的智能化流量监测方法、系统及存储介质
技术领域
本发明涉及网络安全技术领域,具体涉及一种面向工业互联网的智能化流量监测方法、系统及存储介质。
背景技术
工业互联网与工业生产深度融合使工业生产活动呈现“数字化、智能化、网络化”特点,工业生产部分生产环节网络与外部网络互通,在提高效率的同时,也可能引发并导致严重的安全事件。工业互联网打破了传统工业相对封闭可信的制造环境,致使网络攻击对工业生产的威胁日益加剧。为了应对近年来不断增多的针对工业互联网的网络攻击问题,加强工业互联网网络安全防护,针对工业互联网的流量检测与分析成了有效的安全保证手段。流量检测技术经能对网络进行实时的监控,通过分析网络流量直观地了解网络中的举动,从而能实时监测网络安全状态,及时发现网络中存在的危害,并针对网络攻击或者网络入侵及时制定相应的策略,尽可能地避免或者减小损失。工业互联网面临多种异常流量攻击威胁,因为其系统、组件、网络、人员安全管理等多个方面都会存在安全风险,从而使网络容易遭受攻击。
机器学习技术虽然可极大地提高对异常流量的检测效率,但也存在特征单一、检测范围有限等问题,同时在对异常流量的分析处理过程中缺少历史数据的支持,难以进行回溯关联,遗漏了很多关键信息。同时,由于目前真实工业互联网环境网络流量中包含了各种环境噪声,不能纯净地未机器学习系统提供在未受干扰和攻击下正常行为特征,导致传统基于机器学习的检测分析模型,缺少标签数据,自学习能力较差,无法适应多种应用场景等问题。
发明内容
本发明目的在于提供一种面向工业互联网的智能化流量监测方法、系统及存储介质,以威胁情报为基础,结合基于机器学习的检测方法来提高检测准确度,设计并完善了面向工业互联网的异常流量检测模型,同时实现了对威胁情报信息库的自动更新。
为达成上述目的,本发明提出如下技术方案:一种面向工业互联网的智能化流量监测方法,所述方法包括:
根据训练集,构建本地威胁情报库;所述训练集为本地历史流量信息;
获取实时镜像流量,所述实时镜像流量为实时网络流量数据;
根据实时镜像流量与本地威胁情报库的特征匹配,判断实时镜像流量是否异常;
当实时镜像流量与本地威胁情报库的特征不匹配,通过机器学习分析检测模型检测该流量是否为异常流量;
当实时镜像流量与本地威胁情报库的特征匹配或所述机器学习分析检测模型检测与本地威胁情报库的特征属性不匹配的流量为异常流量,输出告警类型和异常类型;
更新本地威胁情报库。
进一步的,所述机器学习分析检测模型包括:
根据层次聚类算法识别网络流量,分类网络流量;所述网络流量的分类包括正常流量和异常流量;
根据层次聚类算法检测异常流量,分类异常流量;所述异常流量的分类包括若干网络攻击类型。
进一步的,所述本地威胁情报库的构建过程为:
采用机器学习分析检测模型训练训练集,获得本地威胁情报库;
所述本地威胁情报库的更新过程为:
采用机器学习分析检测模型训练更新集,获得更新后本地威胁情报库;所述更新集由训练集与所述机器学习分析检测模型检测的异常流量构成。
进一步的,所述根据层次聚类算法识别网络流量的过程如下:
设定距离参数和比例参数,确定待识别网络流量样本集;
划分待识别网络流量样本集中任一样本为第一聚类簇,获得第一聚类簇集合;
计算第一聚类簇集合中任意两个聚类簇的距离;
合并距离不超过距离参数的所有第一聚类簇中的样本,获得第二聚类簇及更新后第一聚类簇集合;
对更新后第一聚类簇集合迭代执行上述计算和合并过后才能,直至聚类完成;
计算更新后第一聚类簇集合各聚类簇内样本数量占网络流量样本集中样本数量的比例;
判断该比例与比例参数的大小;
当该比例大于比例参数,判定该聚类簇中的样本均为异常流量,否则判定为正常流量。
进一步的,所述根据层次聚类算法检测异常流量分类过程如下:
确定异常流量样本集;其中,所述异常流量样本集中任一样本的网络攻击类型已知;
划分异常流量样本集中任一样本为初始聚类簇,获得第二聚类簇集合;
计算第二聚类簇集合中任意两个聚类簇的相似度,合并具有最大相似度的两个聚类簇,获得更新后第二聚类簇集合;
输入待检测异常流量样本,记为待检测聚类簇,并添加至更新后第二聚类簇集合中;
重复上述相似度计算过程,直至更新后第二聚类簇集合中仅包含一个样本簇;
输出分类树,确定待检测异常流量样本的网络攻击类型。
本发明还公开一种面向工业互联网的智能化流量监测系统,所述系统包括:
构建模块,用于根据训练集,构建本地威胁情报库;所述训练集为本地历史流量信息;
获取模块,用于获取实时镜像流量,所述实时镜像流量为实时网络流量数据;
判断模块,用于根据实时镜像流量与本地威胁情报库的特征匹配,判断实时镜像流量是否异常;所述判断结果为:当实时镜像流量与本地威胁情报库的特征不匹配,通过机器学习分析检测模型检测该流量是否为异常流量;当实时镜像流量与本地威胁情报库的特征匹配或所述机器学习分析检测模型检测与本地威胁情报库的特征属性不匹配的流量为异常流量,输出告警类型和异常类型;
更新模块,用于更新本地威胁情报库。
进一步的,所述机器学习分析检测模型包括如下执行单元:
第一分类单元,用于根据层次聚类算法识别网络流量,分类网络流量;所述网络流量的分类包括正常流量和异常流量;
第二分类单元,用于根据层次聚类算法检测异常流量,分类异常流量;所述异常流量的分类包括若干网络攻击类型。
进一步的,所述构建模块包括:
第一训练单元,用于根据机器学习分析检测模型训练训练集,获得本地威胁情报库;
所述更新模块包括:
第二训练单元,用于根据机器学习分析检测模型训练更新集,获得更新后本地威胁情报库;所述更新集由训练集与所述机器学习分析检测模型检测的异常流量构成。
本发明进一步公开一种面向工业互联网的智能化流量监测设备,该设备包括处理器和存储器:
所述存储器用于存储程序指令,并将所述程序指令传输给所述处理器;
所述处理器用于根据所述程序指令中的指令执行上述的面向工业互联网的智能化流量监测方法。
本发明还提供了一种计算机可读存储介质,该计算机可读存储介质中于存储可执行程序指令,当所述可执行程序指令由计算机处理器执行时,实现上述的面向工业互联网的智能化流量监测方法。
由以上技术方案可知,本发明的技术方案获得了如下有益效果:
本发明公开的面向工业互联网的智能化流量监测方法、系统及存储介质,能够准确检测出工业互联网中的异常流量,在产生安全告警的同时对异常流量有效分类;同时,利用层次聚类实现了对异常流量的本地自有威胁情报库的构建与更新,加快了对异常流量的识别速度。通过本地威胁情报库的建立和基于层次聚类的算法,实现了安全监测分析模型的构建,形成海量告警的有效归并与分类能力,达到针对自有情报模型的自动化、智能化更新。
具体包括:1)提供一种面向工业互联网的智能化流量监测方法,实现对实时网络流量的实时检测分析与告警处理,并对异常行为进行分类,在下次遇到同样异常时能快速做出匹配并处理异常流量;
2)构建本地威胁情报库,通过对本地历史流量采用基于层次聚类的异常流量类型识别方法构建并更新本地威胁情报库,通过对已有威胁数据的训练学习,可以通过威胁情报信息监测到之前有过的攻击模式,对异常流量快速进行特征匹配;
3)提出基于层次聚类的异常流量监测模型,首先利用层次聚类算法对异常网络流量进行分类,将其分为正常流量和异常流量,然后利用层次聚类算法对异常流量进行细分类,将其分为不同攻击类型。监测模型可以从新的数据中获取信息,识别未知的攻击模式,并对存在的安全威胁进行告警处理;
4)提出基于层次聚类的网络流量检测算法,通过矩阵存储相关的距离数据,每次分类发生变化,无需重新计算各分类到各样本的距离,可以大为缩减聚类的计算时间;
5)提出基于层次聚类的网络异常流量分类算法,选取有效区分异常类型的数据流特征构建属性,度量向量间的相似度,以相似度最大的原则进行类别的合并,生成分类模型,并实现对未知类型的新异常进行分类。
6)根据本方法,可以实时检测网络流量是否存在异常,并实现对海量告警的有效分类,实现对工业互联网的安全保护与防控,提高检测精度,减少误报率。
应当理解,前述构思以及在下面更加详细地描述的额外构思的所有组合只要在这样的构思不相互矛盾的情况下都可以被视为本公开的发明主题的一部分。
结合附图从下面的描述中可以更加全面地理解本发明教导的前述和其他方面、实施例和特征。本发明的其他附加方面例如示例性实施方式的特征和/或有益效果将在下面的描述中显见,或通过根据本发明教导的具体实施方式的实践中得知。
附图说明
附图不意在按比例绘制。在附图中,在各个图中示出的每个相同或近似相同的组成部分可以用相同的标号表示。为了清晰起见,在每个图中,并非每个组成部分均被标记。现在,将通过例子并参考附图来描述本发明的各个方面的实施例,其中:
图1为本发明监测方法流程框图;
图2为本发明监测方法/系统/设备组成图;
图3为本发明本地威胁情报库构建及更新流程框图;
图4为本发明层次聚类算法识别网络流量的流程框图;
图5为本发明层次聚类算法检测异常流量分类的流程框图;
图6为本发明一监测设备实施例组成图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例的附图,对本发明实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于所描述的本发明的实施例,本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。除非另作定义,此处使用的技术术语或者科学术语应当为本发明所属领域内具有一般技能的人士所理解的通常意义。
本发明专利申请说明书以及权利要求书中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。同样,除非上下文清楚地指明其它情况,否则单数形式的“一个”“一”或者“该”等类似词语也不表示数量限制,而是表示存在至少一个。“包括”或者“包含”等类似的词语意指出现在“包括”或者“包含”前面的元件或者物件涵盖出现在“包括”或者“包含”后面列举的特征、整体、步骤、操作、元素和/或组件,并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
基于现有技术中采用机器学习监测异常流程的方案虽然可极大地提高检测效率,但是一方面存在检测范围有限、缺少历史数据支持导致难以回溯关联,另一方面由于真实工业互联网环境网络流量中的环境噪声、能提供的行为特征单一,导致自学能力较差的技术问题;本发明旨在于提供一种面向工业互联网的智能化流量监测方法、系统及存储介质,针对上述问题,提出以威胁情报为基础,结合基于机器学习的检测方法来提高检测准确度,设计并完善了面向工业互联网的异常流量检测模型,形成海量告警的有效归并与分类能力,达到针对本地威胁情报库的自动化、智能化更新。
本发明公开的面向工业互联网的智能化流量监测方法/系统/设备,其本质如图2所示,包括四大功能组成部分,流量采集输入、流量分析监测、安全告警显示和威胁情报更新。
具体的,流量采集输入主要负责IP流量采集、协议识别、元数据提取的工作,完成元数据标准化输出接口,提供聚合多种协议解析的处理组件,以适配统一和特定的数据输入要求;对采集的数据包进行预处理操作,预处理后信息的形式是网络数据流,接着提取出初始的网络流量特征集合,此流量数据需要使机器学习可以直接训练使用的;当数据量过大时,可以采取抽样处理的方式,可以有效缩短运行时间并且提高流量分类的准确性。
流量分析监测主要是在输入实时流量数据后,将异常流量有效识别并进行攻击类型的分类,实现对异常流量的监测作用。
安全告警显示主要是基于元数据和安全告警存储记录,一旦流量分析监测模块监测到异常流量,安全告警模块就会输出安全告警以及告警类型,同时处理异常流量;结合威胁情报信息,安全告警模块可开展告警统计、告警关联分析、等相关服务和应用;该功能主要用于提醒用户及时进行排查处理。
威胁情报更新作用于本地数据,通过建立本地威胁情报库作为知识库,通过威胁情报库的构建,可以快速有效地将看似正常且相互独立的攻击进行检测并相互关联,提高攻击检测效率和检测精度;每当检测到有新的异常流量输入时,通过异常流量检测模型可实现对异常流量的识别分类,而与此异常相关的特征属性就被会记录在威胁情报库中,以实现对实时流量的快速特征匹配。
下面结合附图和具体实施例,对本发明的面向工业互联网的智能化流量监测方法、系统及存储介质作进一步具体介绍。
结合图1所示的面向工业互联网的智能化流量监测方法,该方法包括:根据训练集,构建本地威胁情报库;所述训练集为本地历史流量信息;获取实时镜像流量,所述实时镜像流量为实时网络流量数据;根据实时镜像流量与本地威胁情报库的特征匹配,判断实时镜像流量是否异常;当实时镜像流量与本地威胁情报库的特征不匹配,通过机器学习分析检测模型检测该流量是否为异常流量;当实时镜像流量与本地威胁情报库的特征匹配或所述机器学习分析检测模型检测与本地威胁情报库的特征属性不匹配的流量为异常流量,输出告警类型和异常类型;更新本地威胁情报库。
该方法实施时的步骤如下:1)首先根据本地历史流量信息,本地历史流量信息为本地异常流量,采用层次聚类算法对该流量信息进行训练学习,主要是对本地异常流量的特征属性进行学习,包括协议类型、长度、源IP地址、目的IP地址、源端口和目的端口,得到本地威胁情报库;本地威胁情报库囊括之前有过的攻击类型,用于对后期新出现的异常流量快速进行特征匹配;2)然后,采用镜像流量方式获取实时流量,作为以获取完整的IP数据报文和元数据信息,作为输入数据;具体为,采集的数据预处理后得到网络数据流,接着提取出初始的网络流量特征集合,此流量数据在机器学习时直接训练使用;3)将该输入数据输入本地威胁情报库,检查是否与本地威胁情报库囊括攻击类型相匹配,若是匹配直接输出告警;否则,先采用层次聚类算法识别该输入是否为异常流量,若为异常流量进一步采用层次聚类算法对该异常进行细分类,判断属于哪类攻击类型;4)输入流量判断完毕后,更新本地威胁情报库,主要目的在于将新输入的异常流量的特征属性和攻击类型补充到本地威胁情报库中。
结合上述步骤以及图3所示,本发明本地威胁情报库的构建过程为:采用机器学习分析检测模型训练训练集,获得本地威胁情报库;本地威胁情报库的更新过程为:采用机器学习分析检测模型训练更新集,获得更新后本地威胁情报库;所述更新集由训练集与所述机器学习分析检测模型检测的异常流量构成;机器学习分析检测模型工作过程,如步骤3)所述包括:根据层次聚类算法识别网络流量,分类网络流量;所述网络流量的分类包括正常流量和异常流量;根据层次聚类算法检测异常流量,分类异常流量;所述异常流量的分类包括若干网络攻击类型。
其中,根据层次聚类算法识别网络流量的过程如下:设定距离参数和比例参数,确定待识别网络流量样本集;划分待识别网络流量样本集中任一样本为第一聚类簇,获得第一聚类簇集合;计算第一聚类簇集合中任意两个聚类簇的距离;合并距离不超过距离参数的所有第一聚类簇中的样本,获得第二聚类簇及更新后第一聚类簇集合;对更新后第一聚类簇集合迭代执行上述计算和合并过后才能,直至聚类完成;计算更新后第一聚类簇集合各聚类簇内样本数量占网络流量样本集中样本数量的比例;判断该比例与比例参数的大小;当该比例大于比例参数,判定该聚类簇中的样本均为异常流量,否则判定为正常流量。
结合图4所示,具体实施步骤如下:
11)将第一个样本划分为第一聚类簇,并将其在待识别网络流量样本集中删除;具体的,设待识别网络流量样本集为D={X1,X2,...,Xn},第一聚类簇为C1={X1},其中Xi={d1,d2,...di,...,dm}(i=1,2,3,……,m),i为网络流的特征属性;
12)计算待识别网络流量样本集中各样本到各聚类簇的距离;具体的,采用豪斯多夫距离公式计算距离,计算公式如下:
dist(Ci,Cj)=max(disth(Ci,Cj),disth(Ci,Cj))
其中,
Figure BDA0003204186380000101
13)找到距离最小值distmin,并判断与距离参数D的关系;
具体的,如果distmin>D,则将该样本划分为一个新聚类簇,否则将该样本归入该类簇,记为第二聚类簇。
14)重复以上过程,直到聚类完成;
15)计算各聚类簇中的样本占总样本数的比例ε,并与参数τ作比较;
具体的,若ε>τ,则将该聚类簇中的样本判定为异常流量数据并将其标签设置为1,否则判断为正常流量数据并将其标签设置为0。
根据层次聚类算法检测异常流量分类过程如下:确定异常流量样本集;其中,所述异常流量样本集中任一样本的网络攻击类型已知;划分异常流量样本集中任一样本为初始聚类簇,获得第二聚类簇集合;计算第二聚类簇集合中任意两个聚类簇的相似度,合并具有最大相似度的两个聚类簇,获得更新后第二聚类簇集合;输入待检测异常流量样本,记为待检测聚类簇,并添加至更新后第二聚类簇集合中;重复上述相似度计算过程,直至更新后第二聚类簇集合中仅包含一个样本簇;输出分类树,确定待检测异常流量样本的网络攻击类型。
层次聚类算法对异常流量检测分类的过程可概括为通过训练已知网络攻击类型的异常流量构建分类树,在子树中嵌入相似的异常;再根据不同的数据流对应不同数据流特征属性的,采用特征属性的学习过程建立分类模型,对待检测异常流量进行分类。
结合图5所示,具体实施步骤如下:
111)将异常流量样本集中的每一个样本作为一个初始聚类簇;
具体的,设已知网络异常类型集合T={T1,T2,...,Tn},设DA={X1,X2,...,Xn}为异常流量样本集,其中Xi={d1,d2,...,dm},(i=1,2,3,……,m),i为网络流的特征属性;将DA中的每一个样本作为一个初始聚类簇,并生成初始聚类C={C1,C2,...,Cn},即初始时Cj=Xj(j=1,2,3,……,n)。其中,已知网络异常类型的集合T中包括如T1表示网络中断、T2表示网络遭遇DDOS攻击等等。而表示发生网络异常时的异常流量样本集DA就是通过流量的特征属性来描述的,如流量的大小、时延、抖动、平均长度等。
112)计算每两个聚类簇(Ci,Cj)(i,j=1,2,3,……,n)之间的相似度sim(Ci,Cj);
具体的,采用属性间的相关系数作为相似度的度量方式,其相似度计算公式为:
Figure BDA0003204186380000111
113)找出相似度最大的两个聚类簇Ci、Cj,进行合并成新的聚类簇Cp=Ci∪Cj,使第二聚类簇集合C的划分得到更新,即更新后第二聚类簇集合C*=C/{Ci,Cj}∪Cp
114)输入待检测异常流量样本,得到其属性向量Xi,重复步骤112、113,直到C*只剩下一个类;
115)输出分类树T,每个异常流量对应一个叶子,找到包含某异常流量u的同胞的子树Tu
具体的,若中所有节点都有相同的标记,则用相同标记分类u;若Tu中有多于一个的标记,输出u的真实类别为未知类型。在输出u为未知类型的情况下,由管理员选择Tu中哪个标记最适合描述u的类别。
本发明另一实施例公开了一种面向工业互联网的智能化流量监测系统,该系统工作时实现上述的面向工业互联网的智能化流量监测方法,该监测方法可划分为如下可执行程序模块:
构建模块,用于根据训练集,构建本地威胁情报库;所述训练集为本地历史流量信息;获取模块,用于获取实时镜像流量,所述实时镜像流量为实时网络流量数据;判断模块,用于根据实时镜像流量与本地威胁情报库的特征匹配,判断实时镜像流量是否异常;所述判断结果为:当实时镜像流量与本地威胁情报库的特征不匹配,通过机器学习分析检测模型检测该流量是否为异常流量;当实时镜像流量与本地威胁情报库的特征匹配或所述机器学习分析检测模型检测与本地威胁情报库的特征属性不匹配的流量为异常流量,输出告警类型和异常类型;更新模块,用于更新本地威胁情报库。
进一步的,该系统中机器学习分析检测模型包括如下执行单元:
第一分类单元,用于根据层次聚类算法识别网络流量,分类网络流量;所述网络流量的分类包括正常流量和异常流量;第二分类单元,用于根据层次聚类算法检测异常流量,分类异常流量;所述异常流量的分类包括若干网络攻击类型。
进一步的,该系统的构建模块包括:第一训练单元,用于根据机器学习分析检测模型训练训练集,获得本地威胁情报库;更新模块包括:第二训练单元,用于根据机器学习分析检测模型训练更新集,获得更新后本地威胁情报库;所述更新集由训练集与所述机器学习分析检测模型检测的异常流量构成。
上述模块被执行时实现本发明的监测方法的各步骤,即图2所示的实时流量采集、流量分析、威胁情报更新和安全告警的过程。
基于与前述实例施中一种面向工业互联网的智能化流量监测方法的发明构思,本发明还提供一种面向工业互联网的智能化流量监测设备,该设备包括处理器和存储器,存储器和处理器之间互相通信连接,例如通过总线或者其他方式连接,存储器上存储有程序指令,该程序指令能被传输至处理器,并且当该程序指令被处理器执行时实现前文所述的一种面向工业互联网的智能化流量监测方法的执行步骤。
如图6所示,面向工业互联网的智能化流量监测设备包括一个或多个处理器和存储器。
处理器优选但不限于是中央处理器(CPU),还可以是具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制监测设备中的其他组件以执行期望的功能。例如,处理器还可以为其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器作为一种非暂态计算机可读存储介质,可以包括一个或多个计算机程序产品,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的面向工业互联网的智能化流量监测方法对应的程序指令/模块,处理器通过运行存储在存储器的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的一种面向工业互联网的智能化流量监测方法。存储器可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器所创建的数据等。此外,存储器优选但不限于高速随机存取存储器,例如,还可以是非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器还可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
在图6所示的电子设备示例中,监测设备还包括:分别连接于处理器的输入装置和输出装置,这些组件通过总线系统和/或其他形式的连接机构互连。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成的可执行程序指令,可存储于一计算机可读取存储介质中,该可执行程序指令在执行时,可实现如上述面向工业互联网的智能化流量监测方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(ROM)、随机存储记忆体(RAM)、快闪存储器(Flash Memory)、硬盘(HDD)或固态硬盘(SSD)等;存储介质还可以包括上述种类的存储器的组合。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序指令的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的系统。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令系统的制造品,该指令系统实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
虽然本发明已以较佳实施例揭露如上,然其并非用以限定本发明。本发明所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作各种的更动与润饰。因此,本发明的保护范围当视权利要求书所界定者为准。

Claims (6)

1.一种面向工业互联网的智能化流量监测方法,其特征在于,所述方法包括:
根据训练集,构建本地威胁情报库;所述训练集为本地历史流量信息;
获取实时镜像流量,所述实时镜像流量为实时网络流量数据;
根据实时镜像流量与本地威胁情报库的特征匹配,判断实时镜像流量是否异常;
当实时镜像流量与本地威胁情报库的特征不匹配,通过机器学习分析检测模型检测该流量是否为异常流量;
当实时镜像流量与本地威胁情报库的特征匹配或所述机器学习分析检测模型检测与本地威胁情报库的特征属性不匹配的流量为异常流量,输出告警类型和异常类型;
更新本地威胁情报库;
其中,所述机器学习分析检测模型包括:
根据层次聚类算法识别网络流量,分类网络流量;所述网络流量的分类包括正常流量和异常流量;所述根据层次聚类算法识别网络流量的过程如下:设定距离参数和比例参数,确定待识别网络流量样本集;划分待识别网络流量样本集中任一样本为第一聚类簇,获得第一聚类簇集合;计算第一聚类簇集合中任意两个聚类簇的距离;合并距离不超过距离参数的所有第一聚类簇中的样本,获得第二聚类簇及更新后第一聚类簇集合;对更新后第一聚类簇集合迭代执行上述计算和合并过程,直至聚类完成;计算更新后第一聚类簇集合各聚类簇内样本数量占网络流量样本集中样本数量的比例;判断该比例与比例参数的大小;
当该比例大于比例参数,判定该聚类簇中的样本均为异常流量,否则判定为正常流量;
根据层次聚类算法检测异常流量,分类异常流量;所述异常流量的分类包括若干网络攻击类型;所述根据层次聚类算法检测异常流量分类过程如下:确定异常流量样本集;其中,所述异常流量样本集中任一样本的网络攻击类型已知;划分异常流量样本集中任一样本为初始聚类簇,获得第二聚类簇集合;计算第二聚类簇集合中任意两个聚类簇的相似度,合并具有最大相似度的两个聚类簇,获得更新后第二聚类簇集合;输入待检测异常流量样本,记为待检测聚类簇,并添加至更新后第二聚类簇集合中;重复上述相似度计算过程,直至更新后第二聚类簇集合中仅包含一个样本簇;输出分类树,确定待检测异常流量样本的网络攻击类型。
2.根据权利要求1所述的面向工业互联网的智能化流量监测方法,其特征在于,所述本地威胁情报库的构建过程为:
采用机器学习分析检测模型训练训练集,获得本地威胁情报库;
所述本地威胁情报库的更新过程为:
采用机器学习分析检测模型训练更新集,获得更新后本地威胁情报库;所述更新集由训练集与所述机器学习分析检测模型检测的异常流量构成。
3.一种面向工业互联网的智能化流量监测系统,其特征在于,所述系统包括:
构建模块,用于根据训练集,构建本地威胁情报库;所述训练集为本地历史流量信息;
获取模块,用于获取实时镜像流量,所述实时镜像流量为实时网络流量数据;
判断模块,用于根据实时镜像流量与本地威胁情报库的特征匹配,判断实时镜像流量是否异常;判断结果为:当实时镜像流量与本地威胁情报库的特征不匹配,通过机器学习分析检测模型检测该流量是否为异常流量;当实时镜像流量与本地威胁情报库的特征匹配或所述机器学习分析检测模型检测与本地威胁情报库的特征属性不匹配的流量为异常流量,输出告警类型和异常类型;
更新模块,用于更新本地威胁情报库;
其中,所述机器学习分析检测模型包括如下执行单元:
第一分类单元,用于根据层次聚类算法识别网络流量,分类网络流量;所述网络流量的分类包括正常流量和异常流量;所述根据层次聚类算法识别网络流量的过程如下:设定距离参数和比例参数,确定待识别网络流量样本集;划分待识别网络流量样本集中任一样本为第一聚类簇,获得第一聚类簇集合;计算第一聚类簇集合中任意两个聚类簇的距离;合并距离不超过距离参数的所有第一聚类簇中的样本,获得第二聚类簇及更新后第一聚类簇集合;对更新后第一聚类簇集合迭代执行上述计算和合并过程,直至聚类完成;计算更新后第一聚类簇集合各聚类簇内样本数量占网络流量样本集中样本数量的比例;判断该比例与比例参数的大小;当该比例大于比例参数,判定该聚类簇中的样本均为异常流量,否则判定为正常流量;
第二分类单元,用于根据层次聚类算法检测异常流量,分类异常流量;所述异常流量的分类包括若干网络攻击类型;所述根据层次聚类算法检测异常流量分类过程如下:确定异常流量样本集;其中,所述异常流量样本集中任一样本的网络攻击类型已知;划分异常流量样本集中任一样本为初始聚类簇,获得第二聚类簇集合;计算第二聚类簇集合中任意两个聚类簇的相似度,合并具有最大相似度的两个聚类簇,获得更新后第二聚类簇集合;输入待检测异常流量样本,记为待检测聚类簇,并添加至更新后第二聚类簇集合中;重复上述相似度计算过程,直至更新后第二聚类簇集合中仅包含一个样本簇;输出分类树,确定待检测异常流量样本的网络攻击类型。
4.根据权利要求3所述的面向工业互联网的智能化流量监测系统,其特征在于,所述构建模块包括:
第一训练单元,用于根据机器学习分析检测模型训练训练集,获得本地威胁情报库;
所述更新模块包括:
第二训练单元,用于根据机器学习分析检测模型训练更新集,获得更新后本地威胁情报库;所述更新集由训练集与所述机器学习分析检测模型检测的异常流量构成。
5.一种面向工业互联网的智能化流量监测设备,其特征在于,所述设备包括处理器和存储器:
所述存储器用于存储程序指令,并将所述程序指令传输给所述处理器;
所述处理器用于根据所述程序指令中的指令执行权利要求1-2任一项所述的面向工业互联网的智能化流量监测方法。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中于存储可执行程序指令,当所述可执行程序指令由计算机处理器执行时,实现权利要求1-2中任一所述的面向工业互联网的智能化流量监测方法。
CN202110912180.0A 2021-08-10 2021-08-10 一种面向工业互联网的智能化流量监测方法、系统及存储介质 Active CN113645232B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110912180.0A CN113645232B (zh) 2021-08-10 2021-08-10 一种面向工业互联网的智能化流量监测方法、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110912180.0A CN113645232B (zh) 2021-08-10 2021-08-10 一种面向工业互联网的智能化流量监测方法、系统及存储介质

Publications (2)

Publication Number Publication Date
CN113645232A CN113645232A (zh) 2021-11-12
CN113645232B true CN113645232B (zh) 2023-04-28

Family

ID=78420410

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110912180.0A Active CN113645232B (zh) 2021-08-10 2021-08-10 一种面向工业互联网的智能化流量监测方法、系统及存储介质

Country Status (1)

Country Link
CN (1) CN113645232B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114374528A (zh) * 2021-11-24 2022-04-19 河南中裕广恒科技股份有限公司 一种数据安全检测方法、装置、电子设备及介质
CN114666088A (zh) * 2021-12-30 2022-06-24 爱普(福建)科技有限公司 工业网络数据行为信息的侦测方法、装置、设备和介质
CN114465823B (zh) * 2022-04-08 2022-08-19 杭州海康威视数字技术股份有限公司 工业互联网终端加密流量数据安全检测方法、装置及设备
CN114900452B (zh) * 2022-05-05 2023-06-27 中国联合网络通信集团有限公司 物联网连接状态监测方法、装置、电子设备及介质
CN114884801A (zh) * 2022-06-09 2022-08-09 奇安信科技集团股份有限公司 告警方法、装置、电子设备及存储介质
CN116582347A (zh) * 2023-06-05 2023-08-11 北京网藤科技有限公司 安全检测方法、装置、电子设备和介质
CN116915512B (zh) * 2023-09-14 2023-12-01 国网江苏省电力有限公司常州供电分公司 电网中通信流量的检测方法、检测装置
CN117118810B (zh) * 2023-10-25 2023-12-29 利国智能科技(昆山)有限公司 一种网络通信异常预警方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021017614A1 (zh) * 2019-07-31 2021-02-04 平安科技(深圳)有限公司 威胁情报数据采集处理方法、系统、装置及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111695639A (zh) * 2020-06-17 2020-09-22 浙江经贸职业技术学院 一种基于机器学习的电力用户用电异常检测方法
CN111935170B (zh) * 2020-08-20 2022-06-07 杭州安恒信息技术股份有限公司 一种网络异常流量检测方法、装置及设备
CN112395608A (zh) * 2020-12-14 2021-02-23 深圳中兴网信科技有限公司 网络安全威胁监测方法、装置和可读存储介质
CN112637220B (zh) * 2020-12-25 2023-01-31 中能融合智慧科技有限公司 一种工控系统安全防护方法及装置
CN112769796B (zh) * 2020-12-30 2021-10-19 华北电力大学 一种基于端侧边缘计算的云网端协同防御方法及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021017614A1 (zh) * 2019-07-31 2021-02-04 平安科技(深圳)有限公司 威胁情报数据采集处理方法、系统、装置及存储介质

Also Published As

Publication number Publication date
CN113645232A (zh) 2021-11-12

Similar Documents

Publication Publication Date Title
CN113645232B (zh) 一种面向工业互联网的智能化流量监测方法、系统及存储介质
CN111475804B (zh) 一种告警预测方法及系统
Aljawarneh et al. Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model
CN108965340B (zh) 一种工业控制系统入侵检测方法及系统
CN105577679A (zh) 一种基于特征选择与密度峰值聚类的异常流量检测方法
US10885185B2 (en) Graph model for alert interpretation in enterprise security system
CN103441982A (zh) 一种基于相对熵的入侵报警分析方法
CN112385196B (zh) 用于报告计算机安全事故的系统和方法
CN111294233A (zh) 网络告警统计分析方法、系统及计算机可读存储介质
CN109218321A (zh) 一种网络入侵检测方法及系统
CN111669385B (zh) 融合深度神经网络和层级注意力机制的恶意流量监测系统
CN107003992A (zh) 用于神经语言行为识别系统的感知联想记忆
CN107111609A (zh) 用于神经语言行为识别系统的词法分析器
JP7086230B2 (ja) プロトコルに依存しない異常検出
CN115514558A (zh) 一种入侵检测方法、装置、设备及介质
RU148692U1 (ru) Система мониторинга событий компьютерной безопасности
CN113282920B (zh) 日志异常检测方法、装置、计算机设备和存储介质
CN111464510A (zh) 一种基于快速梯度提升树模型的网络实时入侵检测方法
CN113259367B (zh) 工控网络流量多级异常检测方法及装置
US20150150132A1 (en) Intrusion detection system false positive detection apparatus and method
CN116647389A (zh) 一种工业控制系统网络访问安全性预警系统及方法
CN116668054A (zh) 一种安全事件协同监测预警方法、系统、设备及介质
CN113032774B (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
CN117220911B (zh) 一种基于协议深度分析的工控安全审计系统
CN117792727A (zh) 威胁预警模型的训练及网络威胁预警方法、装置、设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant