CN114239763B - 一种基于网络信息安全的恶意攻击检测方法和系统 - Google Patents

一种基于网络信息安全的恶意攻击检测方法和系统 Download PDF

Info

Publication number
CN114239763B
CN114239763B CN202210183601.5A CN202210183601A CN114239763B CN 114239763 B CN114239763 B CN 114239763B CN 202210183601 A CN202210183601 A CN 202210183601A CN 114239763 B CN114239763 B CN 114239763B
Authority
CN
China
Prior art keywords
data
bad
malicious attack
attack detection
data set
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210183601.5A
Other languages
English (en)
Other versions
CN114239763A (zh
Inventor
丰政涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hubei Beiyoutong Information Technology Co ltd
Original Assignee
Hubei Beiyoutong Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hubei Beiyoutong Information Technology Co ltd filed Critical Hubei Beiyoutong Information Technology Co ltd
Priority to CN202210183601.5A priority Critical patent/CN114239763B/zh
Publication of CN114239763A publication Critical patent/CN114239763A/zh
Application granted granted Critical
Publication of CN114239763B publication Critical patent/CN114239763B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种基于网络信息安全的恶意攻击检测方法和系统,其中,方法包括:获取指定系统正常状态下的历史感知数据以及历史控制命令,基于线性回溯的方式获取状态转换参数,并设置坏数据,以第一偏差构建多个训练数据,并以此训练分类模型,从而得到恶意攻击检测模型,通过恶意攻击检测模型检测网络信息安全。本发明的有益效果:通过获取指定系统的历史数据以伪造坏数据,并将坏数据按照第一偏差的方式构建训练集,避免无法获取大量的训练数据的尴尬情况,从而使恶意攻击模型经过了大量的编造数据训练而成,对编造的数据具有很强的识别能力,进一步保证了网络信息安全。

Description

一种基于网络信息安全的恶意攻击检测方法和系统
技术领域
本发明涉及计算机领域,特别涉及一种基于网络信息安全的恶意攻击检测方法和系统。
背景技术
随着网络技术的不断发展,网络安全越来越重要,目前,检测恶意攻击的方式主要是通过检测不合规的数据,主流是研究怎样加强检测器的检测。
然而,人们在注册新软件的账号时,出于惰性,一般会直接同意权限获取请求,因此会造成数据的外泄,相关人员会利用编造的数据来恶意攻击系统,然而的编造的数据是与对应用户相同的数据,检测器无法正确识别编造的数据,从而造成系统的网络信息安全。
发明内容
本发明的主要目的为提供一种基于网络信息安全的恶意攻击检测方法和系统,旨在解决现有技术中无法对合理编造的数据进行识别的的问题。
本发明提供了一种基于网络信息安全的恶意攻击检测方法,包括:
按照单位时间通过预设的检测器获取指定系统正常状态下的历史感知数据以及历史控制命令;
基于线性回溯的方式根据所述感知数据和所述历史控制命令获取状态转换参数;
根据所述状态转换参数设置多组坏数据;
将各组所述坏数据持续注入指定系统中,得到坏数据的注入时间和注入完成时间,并按照单位时间记录注入所述坏数据前的正常感知数据以及正常控制命令,以及注入所述坏数据内的异常感知数据以及异常控制命令;
根据所述正常感知数据、所述正常控制命令、所述异常感知数据以及所述异常控制命令构建样本数据集;
基于所述样本数据集按照预设的第一偏差构建训练数据,并基于异常感知数据的输入时间为每组训练数据输入对应的标签;
根据所述训练数据以及对应的标签输入至预设的分类模型中进行训练,得到训练后的恶意攻击检测模型;
获取所述指定系统的感知数据和历史控制命令,并根据所述预设的第一偏差构建对应的样本数据集;
将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击。
进一步地,所述基于线性回溯的方式根据所述感知数据和所述历史控制命令获取状态转换参数的步骤,包括:
获取所述控制命令相同任意两组感知数据Ti和Tj
根据预设的线性回溯公式
Figure 51983DEST_PATH_IMAGE001
获取所述状态转换参数;其中,X=(...,Tj-Ti,...),Y=(...,Tj+1-Ti+1,...)。
进一步地,所述根据所述状态转换参数设置多组坏数据的步骤,包括:
根据公式
Figure 500282DEST_PATH_IMAGE002
以及
Figure 935811DEST_PATH_IMAGE003
=
Figure 534283DEST_PATH_IMAGE004
,0<j<tbad获取所述指定系统的预测感知数据集合;其中,l表示坏数据注入的时间,tbad表示坏数据注入的时长,
Figure 879814DEST_PATH_IMAGE005
表示注入了坏数据时间j后的预测感知数据,k为常数,且0<k<tbad
根据所述预测感知数据集合设置多组坏数据;其中,每组所述坏数据输入所述指定系统后的感知数据与所述预测感知数据集合中的感知数据相同。
进一步地,所述将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击的步骤,包括:
将所述样本数据集输入至所述恶意攻击检测模型中;
根据预设的距离计算方法计算所述样本数据集与所述恶意攻击检测模型中各个预存数据集的距离;
根据所述距离从所述预存数据集中选取预设个数的近邻数据集;
获取各个所述近邻数据集的标签;
根据所述标签判断所述样本数据集是否异常,从而判断所述指定系统是否被恶意攻击。
进一步地,所述将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击的步骤之后,还包括:
根据检测结果查询预设的误判数据库,以获取多个目标误判数据集;
将所述目标误判数据集赋予对应正确的标签,并输入至所述恶意攻击检测模型中进行再训练,直至所述目标误判数据集经由所述恶意攻击检测模型后,可以输出正确的标签为止,从而得到再训练后的目标恶意攻击检测模型。
本发明还提供了一种基于网络信息安全的恶意攻击检测系统,包括:
数据获取模块,用于按照单位时间通过预设的检测器获取指定系统正常状态下的历史感知数据以及历史控制命令;
参数获取模块,用于基于线性回溯的方式根据所述感知数据和所述历史控制命令获取状态转换参数;
设置模块,用于根据所述状态转换参数设置多组坏数据;
注入模块,用于将各组所述坏数据持续注入指定系统中,得到坏数据的注入时间和注入完成时间,并按照单位时间记录注入所述坏数据前的正常感知数据以及正常控制命令,以及注入所述坏数据内的异常感知数据以及异常控制命令;
第一构建模块,用于根据所述正常感知数据、所述正常控制命令、所述异常感知数据以及所述异常控制命令构建样本数据集;
输入模块,用于基于所述样本数据集按照预设的第一偏差构建训练数据,并基于异常感知数据的输入时间为每组训练数据输入对应的标签;
训练模块,用于根据所述训练数据以及对应的标签输入至预设的分类模型中进行训练,得到训练后的恶意攻击检测模型;
第二构建模块,用于获取所述指定系统的感知数据和历史控制命令,并根据所述预设的第一偏差构建对应的样本数据集;
检测模块,用于将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击。
进一步地,所述参数获取模块,包括:
获取所述控制命令相同任意两组感知数据Ti和Tj
根据预设的线性回溯公式
Figure 593954DEST_PATH_IMAGE001
获取所述状态转换参数;其中,X=(...,Tj-Ti,...),Y=(...,Tj+1-Ti+1,...)。
进一步地,所述设置模块,包括:
根据公式
Figure 392146DEST_PATH_IMAGE002
以及
Figure 528729DEST_PATH_IMAGE003
=
Figure 853400DEST_PATH_IMAGE004
,0<j<tbad获取所述指定系统的预测感知数据集合;其中,l表示坏数据注入的时间,tbad表示坏数据注入的时长,
Figure 50026DEST_PATH_IMAGE005
表示注入了坏数据时间j后的预测感知数据,k为常数,且0<k<tbad
根据所述预测感知数据集合设置多组坏数据;其中,每组所述坏数据输入所述指定系统后的感知数据与所述预测感知数据集合中的感知数据相同。
进一步地,所述检测模块,包括:
将所述样本数据集输入至所述恶意攻击检测模型中;
根据预设的距离计算方法计算所述样本数据集与所述恶意攻击检测模型中各个预存数据集的距离;
根据所述距离从所述预存数据集中选取预设个数的近邻数据集;
获取各个所述近邻数据集的标签;
根据所述标签判断所述样本数据集是否异常,从而判断所述指定系统是否被恶意攻击。
进一步地,所述基于网络信息安全的恶意攻击检测系统,还包括:
根据检测结果查询预设的误判数据库,以获取多个目标误判数据集;
将所述目标误判数据集赋予对应正确的标签,并输入至所述恶意攻击检测模型中进行再训练,直至所述目标误判数据集经由所述恶意攻击检测模型后,可以输出正确的标签为止,从而得到再训练后的目标恶意攻击检测模型。
本发明的有益效果:通过获取指定系统的历史数据以伪造坏数据,并将坏数据按照第一偏差的方式构建训练集,避免无法获取大量的训练数据的尴尬情况,从而使恶意攻击模型经过了大量的编造数据训练而成,对编造的数据具有很强的识别能力,进一步保证了网络信息安全。
附图说明
图1 是本发明一实施例的一种基于网络信息安全的恶意攻击检测方法的流程示意图;
图2 是本发明一实施例的一种基于网络信息安全的恶意攻击检测系统的结构示意框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明,本发明实施例中所有方向性指示(诸如上、下、左、右、前、后等)仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变,所述的连接可以是直接连接,也可以是间接连接。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
另外,在本发明中如涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
参照图1,本发明提出一种基于网络信息安全的恶意攻击检测方法,包括:
S1:按照单位时间通过预设的检测器获取指定系统正常状态下的历史感知数据以及历史控制命令;
S2:基于线性回溯的方式根据所述感知数据和所述历史控制命令获取状态转换参数;
S3:根据所述状态转换参数设置多组坏数据;
S4:将各组所述坏数据持续注入指定系统中,得到坏数据的注入时间和注入完成时间,并按照单位时间记录注入所述坏数据前的正常感知数据以及正常控制命令,以及注入所述坏数据内的异常感知数据以及异常控制命令;
S5:根据所述正常感知数据、所述正常控制命令、所述异常感知数据以及所述异常控制命令构建样本数据集;
S6:基于所述样本数据集按照预设的第一偏差构建训练数据,并基于异常感知数据的输入时间为每组训练数据输入对应的标签;
S7:根据所述训练数据以及对应的标签输入至预设的分类模型中进行训练,得到训练后的恶意攻击检测模型;
S8:获取所述指定系统的感知数据和历史控制命令,并根据所述预设的第一偏差构建对应的样本数据集;
S9:将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击。
如上述步骤S1所述,按照单位时间通过预设的检测器获取指定系统正常状态下的历史感知数据以及历史控制命令。其中,按照单位时间获取指定系统的正常状态下的历史感知数据以及历史控制命令,其中,单位时间为预设的时间段,例如以2ms作为一个单位时间,则分别在0ms、2ms、4ms...等具体时间点获取到的历史感知数据以及历史控制命令。检测器,可以通过不同的传感器进行实现,例如数据驱动检测器,基于模型转换的检测器等进行检测。
如上述步骤S2所述,基于线性回溯的方式根据所述感知数据和所述历史控制命令获取状态转换参数。其中,线性回溯的方式后续有详细说明,此处不再赘述,需要说明的是,由于不同的系统所具备的数据,以及其状态转换参数都具有一定的差异,因此,很难直接从现有的数据中获取到相关的训练数据,因此,需要基于该训练数据伪造一部分的坏数据,故而需要获取到其对于的状态转换参数,以便于后续进行坏数据的编造,以形成对应的训练数据。
如上述步骤S3所述,根据所述状态转换参数设置多组坏数据。其中,设置多组坏数据的方式后续有详细说明,此处不再赘述。另外,设置多组坏数据的目的是为了使训练数据足够多,此外,还可以设置多组好数据,当然,当历史感知数据和历史控制命令足够多的时候,好数据也可以从中获取,其中好数据是指系统正常产生的数据,坏数据是指非系统产生且具有对系统具有恶意攻击的数据。
如上述步骤S4所述,将各组所述坏数据持续注入指定系统中,得到坏数据的注入时间和注入完成时间,并按照单位时间记录注入所述坏数据前的正常感知数据以及正常控制命令,以及注入所述坏数据内的异常感知数据以及异常控制命令。其中可以使用变量
Figure 335514DEST_PATH_IMAGE006
来表示在时间k处的控制命令和感知数据的结合,其中,
Figure 961274DEST_PATH_IMAGE007
表示在时间k处的控制信号向量,
Figure 15818DEST_PATH_IMAGE008
表示在时间k处的感知数据。其中,按照单位时间记录注入所述坏数据前的正常感知数据以及正常控制命令,以及注入所述坏数据内的异常感知数据以及异常控制命令是为了后续建立对应的标签,以便于完成恶意攻击检测模型的训练。
如上述步骤S5所述,根据所述正常感知数据、所述正常控制命令、所述异常感知数据以及所述异常控制命令构建样本数据集。基于上述步骤S4,已经使用了变量
Figure 852187DEST_PATH_IMAGE009
来进行描述,故而以该变量构建对应的样本数据集。
如上述步骤S6所述,基于所述样本数据集按照预设的第一偏差构建训练数据,并基于异常感知数据的输入时间为每组训练数据输入对应的标签。按照预设的第一偏差构建训练数据的方式可以是直接根据该变量进行,即
Figure 624970DEST_PATH_IMAGE010
,其中,
Figure 352624DEST_PATH_IMAGE011
为单位时间的倍数,其可以设置为一个单位时间,也可以设置多个单位时间,可以根据系统的检测需要进行设置,本申请对此不作限定。
如上述步骤S7所述,根据所述训练数据以及对应的标签输入至预设的分类模型中进行训练,得到训练后的恶意攻击检测模型。其中,预设的分类模型可以是任意的分类模型,例如邻近算法模型、贝叶斯模型、决策树等分类模型。在一个实施例中,优选使用邻近算法模型进行计算,可以便于检测基于状态伪造的持续性感知数据注入攻击的能力。
如上述步骤S8所述,获取所述指定系统的感知数据和历史控制命令,并根据所述预设的第一偏差构建对应的样本数据集。获取指定系统的感知数据和历史控制命令,根据第一偏差构建对应的样本数据集,需要说明是,该第一偏差与之前构建训练数据的偏差需要保持相同,以避免产生误差,导致无法检测恶意攻击的数据。
如上述步骤S9所述,将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击。其中,恶意攻击检测模型可以根据数据进行判断,需要说明的是,若存在少数的数据被打上了恶意标签的情况不视为遭受了恶意攻击,而是需要达到了一定数目后的数据被打上了恶意标签才视为遭受了恶意攻击,该一定数目可以根据实际情况自行设定。
由于指定系统遭受的恶意攻击的训练数据较为单一,因此以此训练的效果不佳,而通过获取指定系统的历史数据以伪造坏数据,并将坏数据按照第一偏差的方式构建训练集,避免无法获取大量的训练数据的尴尬情况,从而使恶意攻击模型经过了大量的编造数据训练而成,对编造的数据具有很强的识别能力,进一步保证了网络信息安全。
在一个实施例中,所述基于线性回溯的方式根据所述感知数据和所述历史控制命令获取状态转换参数的步骤S2,包括:
S201:获取所述控制命令相同任意两组感知数据Ti和Tj
S202:根据预设的线性回溯公式
Figure 402620DEST_PATH_IMAGE001
获取所述状态转换参数;其中,X=(...,Tj-Ti,...),Y=(...,Tj+1-Ti+1,...)。
如上述步骤S201-S202所述,实现了对状态转换参数的获取,一般而言,相关人员编造数据的方式,主要是通过修改传感器上的测量值,而改变的方式主要是通过输入不同的命令,以根据状态转换参数生成对应的感知数据,需要说明的是,此处获取到的不仅仅是对于一个固定的控制命令所产生的参数,而是对于所有控制命令所对应的转换参数集合,其中,可以将激活的命令记为1,将未激活的命令记为0,从而得到对应不同单位时间点的控制命令集合,在编造具体的数据时,需要获取到的感知数据是M,根据转换参数集合,可以组合成不同的控制命令集合,当然在同一时间内,处理器不可能处理两种具有冲突的任务,此处需要不同的设定,此外,还需要考虑恶意攻击的形态,合理设置坏数据。
在一个实施例中,所述根据所述状态转换参数设置多组坏数据的步骤S3,包括:
S301:根据公式
Figure 268944DEST_PATH_IMAGE002
以及
Figure 155123DEST_PATH_IMAGE003
=
Figure 499517DEST_PATH_IMAGE004
,0<j<tbad获取所述指定系统的预测感知数据集合;其中,l表示坏数据注入的时间,tbad表示坏数据注入的时长,
Figure 404019DEST_PATH_IMAGE005
表示注入了坏数据时间j后的预测感知数据,k为常数,且0<k<tbad
S302:根据所述预测感知数据集合设置多组坏数据;其中,每组所述坏数据输入所述指定系统后的感知数据与所述预测感知数据集合中的感知数据相同。
如上述步骤S301-S302所述,实现了对坏数据的设置,由于前述已经获取到了系统转化参数A,因此,需要其满足任意的
Figure 706824DEST_PATH_IMAGE012
Figure 109993DEST_PATH_IMAGE013
,以及
Figure 399023DEST_PATH_IMAGE003
=
Figure 282665DEST_PATH_IMAGE004
,以保证其在输入了坏数据后,其感知数据是符合系统转化参数A的限定的,当然符合条件的坏数据具有多个,此处可以尽可能的设置更多的坏数据,使后续具有更多的训练数据进行训练。
在一个实施例中,所述将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击的步骤S9,包括:
S901:将所述样本数据集输入至所述恶意攻击检测模型中;
S902:根据预设的距离计算方法计算所述样本数据集与所述恶意攻击检测模型中各个预存数据集的距离;
S903:根据所述距离从所述预存数据集中选取预设个数的近邻数据集;
S904:获取各个所述近邻数据集的标签;
S905:根据所述标签判断所述样本数据集是否异常,从而判断所述指定系统是否被恶意攻击。
如上述步骤S901-S905所述,实现了对指定系统的具体检测,其中,将样本数据集输入至恶意攻击检测模型中,在该恶意攻击检测模型中根据预设的距离计算方法,其中,预设的距离计算方法可以是欧氏距离、余弦距离、汉明距离、曼哈顿距离中的任意一种,然后选取其中预设个数的近邻数据集,预设个数为预先设定的个数,当数据越多,可能其距离就越远,该部分数据对其进行检测结果的影响较小,可能会造成误差,若数据越少,则少量数据无法对检测结果进行全面的覆盖,导致判定结果具有一定的片面性,因此预先设定的个数不宜太多也不宜太少,需要根据实际情况进行设定。根据所述标签判断所述样本数据集是否异常,从而判断所述指定系统是否被恶意攻击。当恶意攻击的标签大于正常标签时,则认为该样本数据集不正常。当恶意攻击的标签不大于正常标签时,则认为该样本数据集正常。
在一个实施例中,所述将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击的步骤S9之后,还包括:
S1001:根据检测结果查询预设的误判数据库,以获取多个目标误判数据集;
S1002:将所述目标误判数据集赋予对应正确的标签,并输入至所述恶意攻击检测模型中进行再训练,直至所述目标误判数据集经由所述恶意攻击检测模型后,可以输出正确的标签为止,从而得到再训练后的目标恶意攻击检测模型。
如上述步骤S1001-S1002所述,由于恶意攻击检测模型的训练数据来源主要是通过编造的数据,因此在判定过程中会有一些误判,此时可以将这部分的数据进行记载,当需要更新恶意攻击检测模型,则应当以恶意攻击检测模型中的误判的目标误判数据集来对该恶意攻击检测模型进行重新训练从而更新。从而达到不断优化预设网络模型,可以降低其误判率,从而达到提高判断准确率的有益效果。
本发明的有益效果:通过获取指定系统的历史数据以伪造坏数据,并将坏数据按照第一偏差的方式构建训练集,避免无法获取大量的训练数据的尴尬情况,从而使恶意攻击模型经过了大量的编造数据训练而成,对编造的数据具有很强的识别能力,进一步保证了网络信息安全。
参照图2,本发明还提供了一种基于网络信息安全的恶意攻击检测系统,包括:
数据获取模块10,用于按照单位时间通过预设的检测器获取指定系统正常状态下的历史感知数据以及历史控制命令;
参数获取模块20,用于基于线性回溯的方式根据所述感知数据和所述历史控制命令获取状态转换参数;
设置模块30,用于根据所述状态转换参数设置多组坏数据;
注入模块40,用于将各组所述坏数据持续注入指定系统中,得到坏数据的注入时间和注入完成时间,并按照单位时间记录注入所述坏数据前的正常感知数据以及正常控制命令,以及注入所述坏数据内的异常感知数据以及异常控制命令;
第一构建模块50,用于根据所述正常感知数据、所述正常控制命令、所述异常感知数据以及所述异常控制命令构建样本数据集;
输入模块60,用于基于所述样本数据集按照预设的第一偏差构建训练数据,并基于异常感知数据的输入时间为每组训练数据输入对应的标签;
训练模块70,用于根据所述训练数据以及对应的标签输入至预设的分类模型中进行训练,得到训练后的恶意攻击检测模型;
第二构建模块80,用于获取所述指定系统的感知数据和历史控制命令,并根据所述预设的第一偏差构建对应的样本数据集;
检测模块90,用于将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击。
进一步地,所述参数获取模块20,包括:
获取所述控制命令相同任意两组感知数据Ti和Tj
根据预设的线性回溯公式
Figure 113961DEST_PATH_IMAGE001
获取所述状态转换参数;其中,X=(...,Tj-Ti,...),Y=(...,Tj+1-Ti+1,...)。
进一步地,所述设置模块30,包括:
根据公式
Figure 83054DEST_PATH_IMAGE002
以及
Figure 910196DEST_PATH_IMAGE003
=
Figure 913924DEST_PATH_IMAGE004
,0<j<tbad获取所述指定系统的预测感知数据集合;其中,l表示坏数据注入的时间,tbad表示坏数据注入的时长,
Figure 683166DEST_PATH_IMAGE005
表示注入了坏数据时间j后的预测感知数据,k为常数,且0<k<tbad
根据所述预测感知数据集合设置多组坏数据;其中,每组所述坏数据输入所述指定系统后的感知数据与所述预测感知数据集合中的感知数据相同。
进一步地,所述检测模块90,包括:
将所述样本数据集输入至所述恶意攻击检测模型中;
根据预设的距离计算方法计算所述样本数据集与所述恶意攻击检测模型中各个预存数据集的距离;
根据所述距离从所述预存数据集中选取预设个数的近邻数据集;
获取各个所述近邻数据集的标签;
根据所述标签判断所述样本数据集是否异常,从而判断所述指定系统是否被恶意攻击。
进一步地,所述基于网络信息安全的恶意攻击检测系统,还包括:
根据检测结果查询预设的误判数据库,以获取多个目标误判数据集;
将所述目标误判数据集赋予对应正确的标签,并输入至所述恶意攻击检测模型中进行再训练,直至所述目标误判数据集经由所述恶意攻击检测模型后,可以输出正确的标签为止,从而得到再训练后的目标恶意攻击检测模型。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。

Claims (10)

1.一种基于网络信息安全的恶意攻击检测方法,其特征在于,包括:
按照单位时间通过预设的检测器获取指定系统正常状态下的历史感知数据以及历史控制命令;
基于线性回溯的方式根据所述感知数据和所述历史控制命令获取状态转换参数;
根据所述状态转换参数设置多组坏数据;
将各组所述坏数据持续注入指定系统中,得到坏数据的注入时间和注入完成时间,并按照单位时间记录注入所述坏数据前的正常感知数据以及正常控制命令,以及注入所述坏数据内的异常感知数据以及异常控制命令;
根据所述正常感知数据、所述正常控制命令、所述异常感知数据以及所述异常控制命令构建样本数据集;
基于所述样本数据集按照预设的第一偏差构建训练数据,并基于异常感知数据的输入时间为每组训练数据输入对应的标签;
根据所述训练数据以及对应的标签输入至预设的分类模型中进行训练,得到训练后的恶意攻击检测模型;
获取所述指定系统的感知数据和历史控制命令,并根据所述预设的第一偏差构建对应的样本数据集;
将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击。
2.如权利要求1所述的基于网络信息安全的恶意攻击检测方法,其特征在于,所述基于线性回溯的方式根据所述感知数据和所述历史控制命令获取状态转换参数的步骤,包括:
获取所述控制命令相同任意两组感知数据Ti和Tj
根据预设的线性回溯公式
Figure 310898DEST_PATH_IMAGE001
获取所述状态转换参数;其中,X=(...,Tj-Ti,...),Y=(...,Tj+1-Ti+1,...)。
3.如权利要求2所述的基于网络信息安全的恶意攻击检测方法,其特征在于,所述根据所述状态转换参数设置多组坏数据的步骤,包括:
根据公式
Figure 812418DEST_PATH_IMAGE002
以及
Figure 730696DEST_PATH_IMAGE003
=
Figure 756289DEST_PATH_IMAGE004
,0<j<tbad获取所述指定系统的预测感知数据集合;其中,l表示坏数据注入的时间,tbad表示坏数据注入的时长,
Figure 850147DEST_PATH_IMAGE005
表示注入了坏数据时间j后的预测感知数据,k为常数,且0<k<tbad
根据所述预测感知数据集合设置多组坏数据;其中,每组所述坏数据输入所述指定系统后的感知数据与所述预测感知数据集合中的感知数据相同。
4.如权利要求1所述的基于网络信息安全的恶意攻击检测方法,其特征在于,所述将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击的步骤,包括:
将所述样本数据集输入至所述恶意攻击检测模型中;
根据预设的距离计算方法计算所述样本数据集与所述恶意攻击检测模型中各个预存数据集的距离;
根据所述距离从所述预存数据集中选取预设个数的近邻数据集;
获取各个所述近邻数据集的标签;
根据所述标签判断所述样本数据集是否异常,从而判断所述指定系统是否被恶意攻击。
5.如权利要求1所述的基于网络信息安全的恶意攻击检测方法,其特征在于,所述将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击的步骤之后,还包括:
根据检测结果查询预设的误判数据库,以获取多个目标误判数据集;
将所述目标误判数据集赋予对应正确的标签,并输入至所述恶意攻击检测模型中进行再训练,直至所述目标误判数据集经由所述恶意攻击检测模型后,可以输出正确的标签为止,从而得到再训练后的目标恶意攻击检测模型。
6.一种基于网络信息安全的恶意攻击检测系统,其特征在于,包括:
数据获取模块,用于按照单位时间通过预设的检测器获取指定系统正常状态下的历史感知数据以及历史控制命令;
参数获取模块,用于基于线性回溯的方式根据所述感知数据和所述历史控制命令获取状态转换参数;
设置模块,用于根据所述状态转换参数设置多组坏数据;
注入模块,用于将各组所述坏数据持续注入指定系统中,得到坏数据的注入时间和注入完成时间,并按照单位时间记录注入所述坏数据前的正常感知数据以及正常控制命令,以及注入所述坏数据内的异常感知数据以及异常控制命令;
第一构建模块,用于根据所述正常感知数据、所述正常控制命令、所述异常感知数据以及所述异常控制命令构建样本数据集;
输入模块,用于基于所述样本数据集按照预设的第一偏差构建训练数据,并基于异常感知数据的输入时间为每组训练数据输入对应的标签;
训练模块,用于根据所述训练数据以及对应的标签输入至预设的分类模型中进行训练,得到训练后的恶意攻击检测模型;
第二构建模块,用于获取所述指定系统的感知数据和历史控制命令,并根据所述预设的第一偏差构建对应的样本数据集;
检测模块,用于将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击。
7.如权利要求6所述的基于网络信息安全的恶意攻击检测系统,其特征在于,所述参数获取模块,包括:
获取所述控制命令相同任意两组感知数据Ti和Tj
根据预设的线性回溯公式
Figure 912781DEST_PATH_IMAGE001
获取所述状态转换参数;其中,X=(...,Tj-Ti,...),Y=(...,Tj+1-Ti+1,...)。
8.如权利要求7所述的基于网络信息安全的恶意攻击检测系统,其特征在于,所述设置模块,包括:
根据公式
Figure 678874DEST_PATH_IMAGE002
以及
Figure 55629DEST_PATH_IMAGE003
=
Figure 331889DEST_PATH_IMAGE004
,0<j<tbad获取所述指定系统的预测感知数据集合;其中,l表示坏数据注入的时间,tbad表示坏数据注入的时长,
Figure 955638DEST_PATH_IMAGE005
表示注入了坏数据时间j后的预测感知数据,k为常数,且0<k<tbad
根据所述预测感知数据集合设置多组坏数据;其中,每组所述坏数据输入所述指定系统后的感知数据与所述预测感知数据集合中的感知数据相同。
9.如权利要求6所述的基于网络信息安全的恶意攻击检测系统,其特征在于,所述检测模块,包括:
将所述样本数据集输入至所述恶意攻击检测模型中;
根据预设的距离计算方法计算所述样本数据集与所述恶意攻击检测模型中各个预存数据集的距离;
根据所述距离从所述预存数据集中选取预设个数的近邻数据集;
获取各个所述近邻数据集的标签;
根据所述标签判断所述样本数据集是否异常,从而判断所述指定系统是否被恶意攻击。
10.如权利要求6所述的基于网络信息安全的恶意攻击检测系统,其特征在于,所述基于网络信息安全的恶意攻击检测系统,还包括:
根据检测结果查询预设的误判数据库,以获取多个目标误判数据集;
将所述目标误判数据集赋予对应正确的标签,并输入至所述恶意攻击检测模型中进行再训练,直至所述目标误判数据集经由所述恶意攻击检测模型后,可以输出正确的标签为止,从而得到再训练后的目标恶意攻击检测模型。
CN202210183601.5A 2022-02-28 2022-02-28 一种基于网络信息安全的恶意攻击检测方法和系统 Active CN114239763B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210183601.5A CN114239763B (zh) 2022-02-28 2022-02-28 一种基于网络信息安全的恶意攻击检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210183601.5A CN114239763B (zh) 2022-02-28 2022-02-28 一种基于网络信息安全的恶意攻击检测方法和系统

Publications (2)

Publication Number Publication Date
CN114239763A CN114239763A (zh) 2022-03-25
CN114239763B true CN114239763B (zh) 2022-06-17

Family

ID=80748235

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210183601.5A Active CN114239763B (zh) 2022-02-28 2022-02-28 一种基于网络信息安全的恶意攻击检测方法和系统

Country Status (1)

Country Link
CN (1) CN114239763B (zh)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11934520B2 (en) * 2018-03-28 2024-03-19 Nvidia Corporation Detecting data anomalies on a data interface using machine learning
CN109558726B (zh) * 2018-09-29 2022-02-11 四川大学 一种基于动态分析的控制流劫持攻击检测方法与系统
US11487598B2 (en) * 2019-09-18 2022-11-01 General Electric Company Adaptive, self-tuning virtual sensing system for cyber-attack neutralization
CN113420294A (zh) * 2021-06-25 2021-09-21 杭州电子科技大学 基于多尺度卷积神经网络的恶意代码检测方法
CN113902052A (zh) * 2021-09-06 2022-01-07 国网江西省电力有限公司萍乡供电分公司 一种基于ae-svm模型的分布式拒绝服务攻击网络异常检测方法
CN114036506B (zh) * 2021-11-05 2024-07-12 东南大学 一种基于lm-bp神经网络的检测和防御虚假数据注入攻击的方法

Also Published As

Publication number Publication date
CN114239763A (zh) 2022-03-25

Similar Documents

Publication Publication Date Title
US11120127B2 (en) Reconstruction-based anomaly detection
EP2905665B1 (en) Information processing apparatus, diagnosis method, and program
WO2019191002A1 (en) Object movement behavior learning
JP5148457B2 (ja) 異常判定装置、方法、及びプログラム
KR102088509B1 (ko) 컴퓨터 시스템의 이상 행위 탐지 방법 및 장치
US11568208B2 (en) Solution for machine learning system
CN108369416B (zh) 异常诊断系统
CN111259920A (zh) Ki模块对欺骗尝试的敏感性的测量
Xu et al. Stochastic Online Anomaly Analysis for Streaming Time Series.
CN113811894B (zh) 对车辆的驾驶功能的ki模块的监测
Cho et al. Hierarchical anomaly detection using a multioutput Gaussian process
CN109684944A (zh) 障碍物检测方法、装置、计算机设备和存储介质
CN112115184A (zh) 时间序列数据的检测方法、装置、计算机设备及存储介质
CN114239763B (zh) 一种基于网络信息安全的恶意攻击检测方法和系统
US9865158B2 (en) Method for detecting false alarm
KR102580554B1 (ko) 기계학습 기반의 일상신호 제거 필터를 이용한 이상신호 탐지 장치
US11224359B2 (en) Repetitive human activities abnormal motion detection
US20220188570A1 (en) Learning apparatus, learning method, computer program and recording medium
EP3876146A1 (en) Method and apparatus with anti-spoofing using embedding vectors
EP3686812A1 (en) System and method for context-based training of a machine learning model
CN110334244B (zh) 一种数据处理的方法、装置及电子设备
US20210061289A1 (en) Unsupervised Learning-Based Detection Method And Driver Profile-Based Vehicle Theft Detection Device and Method Using Same
CN109495437B (zh) 一种利用在线机器学习算法的工业控制系统中网络异常探测方法
KR100464598B1 (ko) 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템 및 방법
JP2021185465A (ja) 音響認識システム、音響認識方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant