CN114285604A

CN114285604A - 一种网络访问行为检测方法及装置

Info

Publication number: CN114285604A
Application number: CN202111483574.5A
Authority: CN
Inventors: 谢加良; 王鸿辉; 刘雅茹
Original assignee: Jimei University
Current assignee: Jimei University
Priority date: 2021-12-07
Filing date: 2021-12-07
Publication date: 2022-04-05

Abstract

本申请实施例提供了一种网络访问行为检测方法及装置，该方法包括在检测到访问工业控制系统的任一网络访问请求时，获取针对网络访问请求的具有多个特征属性的网络访问行为数据包，对具有多个特征属性的网络访问行为数据包进行特征选择，确定出至少一个特征属性满足设定要求的网络访问行为数据，通过异常行为检测模型，对至少一个特征属性满足设定要求的网络访问行为数据进行处理，确定出网络访问请求的网络访问行为类型，根据网络访问请求的网络访问行为类型，确定是否允许网络访问请求。如此，该方案通过基于距离度量所构造出的异常行为检测模型能够及时准确地检测出异常网络访问行为，从而可以有效地提高网络访问行为检测的性能。

Description

一种网络访问行为检测方法及装置

技术领域

本申请实施例涉及网络安全技术领域，尤其涉及一种网络访问行为检测方法及装置。

背景技术

随着工业自动化的不断发展，通用信息系统与工业控制系统通过网络连接在一起进行数据交互，以此实现工业数据采集、远程监控和集中管理。这种方式在提高企业生产效率、降低管理成本的同时，也改变了工业控制系统“安全孤岛”的状态，使原本因相对封闭而缺乏网络安全防护措施的工业控制系统网络面临着来自外部网络的威胁。因此，入侵检测系统作为网络安全的防线，可以用来监测和分析网络访问行为，近年来被广泛研究和应用。

现阶段，通常基于误用的检测方法和基于异常的检测方法来进行入侵检测。即，基于误用的检测方法是通过获取处于攻击状态下的系统信息，对攻击信息进行分析，从中提取入侵行为特征模型，并将该特征模型与待检测系统的特征进行比较，若特征匹配则认为系统发生入侵行为。虽然该方法对已知类型的攻击行为检测率较高，但存在对新型的未知攻击则检测能力较弱的问题。此外，基于异常的检测方法则是通过获取工控系统处于正常运行状态下的信息，并对信息加以分析，从中提取正常活动状态下的系统特征模型，并将其与待检测的系统特征进行一一比较，如若不符合正常特征模型，则认为系统已发生入侵，但存在虚警率较高且结果缺乏可解释性的问题。

综上，目前亟需一种网络访问行为检测方法，用以有效地提高网络访问行为检测的性能。

发明内容

本申请实施例提供了一种网络访问行为检测方法及装置，用以有效地提高网络访问行为检测的性能。

第一方面，本申请实施例提供了一种网络访问行为检测方法，包括：

在检测到访问工业控制系统的任一网络访问请求时，获取针对所述网络访问请求的具有多个特征属性的网络访问行为数据包；

对所述具有多个特征属性的网络访问行为数据包进行特征选择，确定出至少一个特征属性满足设定要求的网络访问行为数据；

通过异常行为检测模型，对所述至少一个特征属性满足设定要求的网络访问行为数据进行处理，确定出所述网络访问请求的网络访问行为类型；所述异常行为检测模型是基于标注网络访问行为类型的历史网络访问行为样本集的距离度量确定的；

根据所述网络访问请求的网络访问行为类型，确定是否允许所述网络访问请求。

上述技术方案中，由于针对工业控制系统中的正常网络访问行为与异常网络访问行为往往没有明确地界限，因此导致由该工业控制系统所产生的数据中包含部分区分度不明显的数据，使得该工业控制系统针对入侵网络访问行为的检测性能较低。针对于此，本申请中的技术方案在检测到访问工业控制系统的任一网络访问请求时，即可获取针对网络访问请求的具有多个特征属性的网络访问行为数据包，并对该具有多个特征属性的网络访问行为数据包进行特征选择，即可确定出至少一个特征属性满足设定要求的网络访问行为数据。再通过异常行为检测模型，对该至少一个特征属性满足设定要求的网络访问行为数据进行处理，即可及时准确地确定出网络访问请求的网络访问行为类型。然后，通过网络访问请求的网络访问行为类型，即可确定是否允许该网络访问请求。如此，该方案通过基于标注网络访问行为类型的历史网络访问行为样本集的距离度量所构造出的异常行为检测模型能够及时准确地检测出异常网络访问行为，从而可以有效地提高针对访问工业控制系统的网络访问行为检测的性能。

在一种可能的实现方式中，所述对所述具有多个特征属性的网络访问行为数据包进行特征选择，确定出至少一个特征属性满足设定要求的网络访问行为数据，包括：

通过设定的特征选择算法，对所述具有多个特征属性的网络访问行为数据包进行处理，确定出多个特征属性各自对应的特征值；

针对每个特征属性，若所述特征属性对应的特征值大于等于特征阈值，则将所述特征属性的网络访问行为数据确定为用于输入至所述异常行为检测模型的网络访问行为数据。

上述技术方案中，通过设定的特征选择算法，可以筛选出与网络访问行为类型关联度较高的至少一个网络访问行为数据，并通过该至少一个网络访问行为数据，能够更为准确地识别出网络访问请求的网络访问行为类型。如此，该方案可以筛选掉无用的网络访问行为数据，也即是可以筛除对确定网络访问行为类型的影响度较小的网络访问行为数据，以此可以降低异常行为检测模型所需处理的网络访问行为数据的数量，从而可以提高网络访问行为类型的识别效率。

在一种可能的实现方式中，在对所述具有多个特征属性的网络访问行为数据包进行特征选择之前，还包括：

对所述具有多个特征属性的网络访问行为数据包中的各网络访问行为数据进行转换处理，得到转换后的各网络访问行为数据；

对所述转换后的各网络访问行为数据进行归一化处理，得到归一化后的各网络访问行为数据。

上述技术方案中，由于各网络访问行为数据所属的各特征属性因取值范围不同，会存在量纲影响，因此通过针对各网络访问行为数据进行归一化处理，可以便于后续异常行为检测模型对网络访问行为数据进行处理，从而可以提高网络访问行为类型的识别准确性。

在一种可能的实现方式中，基于标注网络访问行为类型的历史网络访问行为样本集的距离度量确定所述异常行为检测模型，包括：

通过网络访问行为类型属于正常网络访问行为的标准网络访问行为样本和网络访问行为类型属于异常网络访问行为的标准网络访问行为样本，构建初始的异常行为检测模型；

针对历史网络访问行为样本集中的每个网络访问行为样本，将所述网络访问行为样本输入至所述初始的异常行为检测模型，确定出所述网络访问行为样本的预测网络访问行为类型；

通过所述网络访问行为样本的预测网络访问行为类型和所述网络访问行为样本的标注网络访问行为类型，调整所述初始的异常行为检测模型，直至满足设定条件，得到所述异常行为检测模型。

在一种可能的实现方式中，所述将所述网络访问行为样本输入至所述初始的异常行为检测模型，确定出所述网络访问行为样本的预测网络访问行为类型，包括：

确定所述网络访问行为样本与所述正常网络访问行为的标准网络访问行为样本的第一距离度量，并确定所述网络访问行为样本与异常网络访问行为的标准网络访问行为样本的第二距离度量；

确定所述第一距离度量是否小于等于所述第二距离度量；

若是，则确定所述网络访问行为样本的预测网络访问行为类型为正常网络访问行为，否则确定所述网络访问行为样本的预测网络访问行为类型为异常网络访问行为。

上述技术方案中，通过引入距离度量，来训练得到异常行为检测模型，可以使得异常行为检测模型能够更为准确地识别出某一网络访问请求的网络访问行为类型。

在一种可能的实现方式中，距离度量用于表征相同网络访问行为类型的网络访问行为数据之间的相似程度，以及用于表征不同网络访问行为类型的网络访问行为数据之间的相似程度。

在一种可能的实现方式中，根据所述网络访问请求的网络访问行为类型，确定是否允许所述网络访问请求，包括：

若所述网络访问请求的网络访问行为类型为正常网络访问行为，则允许所述网络访问请求针对所述工业控制系统的访问；

若所述网络访问请求的网络访问行为类型为异常网络访问行为，则拒绝所述网络访问请求针对所述工业控制系统的访问。

第二方面，本申请实施例还提供了一种网络访问行为检测装置，包括：

获取单元，用于在检测到访问工业控制系统的任一网络访问请求时，获取针对所述网络访问请求的具有多个特征属性的网络访问行为数据包；

处理单元，用于对所述具有多个特征属性的网络访问行为数据包进行特征选择，确定出至少一个特征属性满足设定要求的网络访问行为数据；通过异常行为检测模型，对所述至少一个特征属性满足设定要求的网络访问行为数据进行处理，确定出所述网络访问请求的网络访问行为类型；所述异常行为检测模型是基于标注网络访问行为类型的历史网络访问行为样本集的距离度量确定的；根据所述网络访问请求的网络访问行为类型，确定是否允许所述网络访问请求。

在一种可能的实现方式中，所述处理单元具体用于：

在一种可能的实现方式中，所述处理单元还用于：

在对所述具有多个特征属性的网络访问行为数据包进行特征选择之前，对所述具有多个特征属性的网络访问行为数据包中的各网络访问行为数据进行转换处理，得到转换后的各网络访问行为数据；

在一种可能的实现方式中，所述处理单元具体用于：

确定所述第一距离度量是否小于等于所述第二距离度量；

在一种可能的实现方式中，所述处理单元具体用于：

第三方面，本申请实施例提供一种计算设备，包括：

存储器，用于存储计算机程序；

处理器，用于调用所述存储器中存储的计算机程序，按照获得的程序执行网络访问行为检测方法的步骤。

第四方面，本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行程序，所述计算机可执行程序用于使计算机执行网络访问行为检测方法的步骤。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种网络访问行为检测方法的流程示意图；

图2为本申请实施例提供的一种训练分类器的结构示意图；

图3为本申请实施例提供的一种网络访问行为检测装置的结构示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述，显然，所描述的实施例仅仅是本申请的一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

本申请的示意性实施例及其说明用于解释本申请，但并不作为对申请的限定。另外，在附图及实施方式中所使用相同或类似标号的元件/构件是用来代表相同或类似部分。

应当理解，本申请中所使用的“第一”、“第二”等，并非特别指先后次序或顺位的意思，也非用以限定本申请，在适当情况下可以互换，其仅为了区别以相同技术用语描述的元件或操作。

此外，本申请中所使用的“包含”、“包括”、“具有”、“含有”等，均为开放性的用语，即意指包含但不限于。另外，本申请中所使用的“及/或”，包括所述事物的任一或全部组合。

图1示例性的示出了本申请实施例提供的一种网络访问行为检测方法的流程，该流程可以由网络访问行为检测装置执行。

如图1所示，该流程具体包括：

步骤101，在检测到访问工业控制系统的任一网络访问请求时，获取针对所述网络访问请求的具有多个特征属性的网络访问行为数据包。

步骤102，对所述具有多个特征属性的网络访问行为数据包进行特征选择，确定出至少一个特征属性满足设定要求的网络访问行为数据。

步骤103，通过异常行为检测模型，对所述至少一个特征属性满足设定要求的网络访问行为数据进行处理，确定出所述网络访问请求的网络访问行为类型。

步骤104，根据所述网络访问请求的网络访问行为类型，确定是否允许所述网络访问请求。

在上述步骤101中，在检测到访问工业控制系统的任一网络访问请求时，就可以采集与该网络访问请求有关联的具有多个特征属性的网络访问行为数据包。例如，在检测到某一设备(比如智能手机、笔记本电脑等)发起的访问该工业控制系统的网络访问请求A时，通过采集组件获取到与该网络访问请求A有关的具有多个特征属性的网络访问行为数据包，该网络访问行为数据包中网络协议、TCP(Transmission Control Protocol，传输控制协议)/IP(Internet Protocol，网络协议)连接起始时间、TCP/IP连接结束时间、服务端口号、源MAC(Media Access Control，硬件地址)地址、目的MAC地址、TCP/IP连接终止状态、TCP标志等。

在上述步骤102中，通过设定的特征选择算法，对具有多个特征属性的网络访问行为数据包进行处理，确定出多个特征属性各自对应的特征值，针对每个特征属性，如果该特征属性对应的特征值大于等于特征阈值，则将该特征属性的网络访问行为数据确定为用于输入至异常行为检测模型的网络访问行为数据，如果该特征属性对应的特征值小于特征阈值，则将该特征属性的网络访问行为数据进行剔除。如此，该方案可以筛选掉无用的网络访问行为数据，也即是可以筛除对确定网络访问行为类型的影响度较小的网络访问行为数据，以此可以降低异常行为检测模型所需处理的网络访问行为数据的数量，从而可以提高网络访问行为类型的识别效率。其中，特征阈值可以根据本领域技术人员的经验或按照具体需求进行设置，本申请实施例对此并不作限定。

示例性地，本申请实施例通过采用卡方检验来进行特征的选择。其中，卡方检验是一种过滤式的特征选择方法，反映的是统计样本的实际观测值与理论推断值之间的偏离程度，该偏离程度决定了卡方值的大小，如果卡方值越大，二者偏差程度越大；如果卡方值越小，二者偏差程度越小；如果实际观测值与理论推断值完全相等，则卡方值就为0，表明理论值完全符合。

在特征选择过程中，首先需要计算每一个特征的卡方值，具体可以通过下述方式进行计算每一个特征的卡方值：

其中，x用于表示每一个特征的卡方值，A_ij用于表示第i个特征下第j个水平的观察频数，n_i用于表示第i个特征下的总频数，p_ij用于表示第i个特征下第j个水平的期望概率，t用于表示总的特征数，k用于表示单元格数。

然后，根据卡方值的大小对数据集之间的特征重要程度从高到低进行排序，最终选取卡方值较高的若干特征，也即是，选取出卡方值满足设定的卡方阈值的若干特征，该若干特征与网络访问行为类型相关度较高。

此外，在对具有多个特征属性的网络访问行为数据包进行特征选择之前，对该具有多个特征属性的网络访问行为数据包中的各网络访问行为数据进行转换处理，得到转换后的各网络访问行为数据，并对转换后的各网络访问行为数据进行归一化处理，得到归一化后的各网络访问行为数据。如此，由于各网络访问行为数据所属的各特征属性因取值范围不同，会存在量纲影响，因此通过针对各网络访问行为数据进行归一化处理，可以便于后续异常行为检测模型对网络访问行为数据进行处理，从而可以提高网络访问行为类型的识别准确性。

示例性地，由于数据类型和组织模式多样化、关联关系繁杂、质量良莠不齐等内在的复杂性使得数据的感知、表达、理解和计算等多个环节面临着巨大的挑战。数据预处理是数据分析、挖掘前一个非常重要的数据准备工作，一方面它可以保证挖掘数据的正确性和有效性，另一方面通过对数据格式和内容的调整，使得数据更加符合挖掘的需要。因此，通过对数据进行预处理，可以确保数据更能够符合数据挖掘的要求，也即是更能够确保异常行为检测模型通过该预处理后的数据准确地识别出网络访问请求的网络访问行为类型。具体地，首先对网络访问行为数据包中的各网络访问行为数据进行数值化处理，也即是，各网络访问行为数据中可能存在部分数据为字符型或IP地址，因此需要将该部分数据转化为数值型数据，如此可以有利于后面的处理和计算。其中，数值化处理过程为：首先，提取非数值型数据所在的特征位；其次，在具有非数值型的特征中，将非数值类型的值转化为其索引，完成非数值型向数值型的转化。再对数据化处理后的各网络访问行为数据进行归一化处理，也即是，数值化后的各网络访问行为数据中各特征之间因为取值范围和采样方法的问题，会存在量纲的影响，需要对数值化后的各网络访问行为数据进行归一化处理，进一步提高收敛速度以及网络访问行分类的准确率。例如，采取最大最小标准化的方法进行归一化，将数据转化到[0，1]范围内，具体的转换函数为：

此外，对于海量、高维的网络访问行为数据集，异常数据相对于正常数据的比率明显更小，若是正常的数据有突然的流量变化，就容易被误检测为异常数据而进行报警。因此，还需进一步进行数据类不平衡处理，采用的方法为data-level method中的smote方法。

在上述步骤103和步骤104中，通过异常行为检测模型，对至少一个特征属性满足设定要求的网络访问行为数据进行处理，即可准确地确定出网络访问请求的网络访问行为类型，然后，根据该网络访问请求的网络访问行为类型，确定是否允许该网络访问请求对于工业控制系统的访问，如果网络访问请求的网络访问行为类型为正常网络访问行为，则允许网络访问请求针对工业控制系统的访问；如果网络访问请求的网络访问行为类型为异常网络访问行为，则拒绝网络访问请求针对工业控制系统的访问。其中，异常行为检测模型是基于标注网络访问行为类型的历史网络访问行为样本集的距离度量确定的；距离度量用于表征相同网络访问行为类型的网络访问行为数据之间的相似程度，以及用于表征不同网络访问行为类型的网络访问行为数据之间的相似程度。

其中，在基于标注网络访问行为类型的历史网络访问行为样本集的距离度量确定异常行为检测模型时，通过网络访问行为类型属于正常网络访问行为的标准网络访问行为样本和网络访问行为类型属于异常网络访问行为的标准网络访问行为样本，构建初始的异常行为检测模型，并针对历史网络访问行为样本集中的每个网络访问行为样本，将该网络访问行为样本输入至初始的异常行为检测模型，确定出该网络访问行为样本的预测网络访问行为类型。然后，通过网络访问行为样本的预测网络访问行为类型和所述网络访问行为样本的标注网络访问行为类型，调整初始的异常行为检测模型，直至满足设定条件，得到异常行为检测模型。其中，在确定网络访问行为样本的预测网络访问行为类型时，确定网络访问行为样本与正常网络访问行为的标准网络访问行为样本的第一距离度量，并确定网络访问行为样本与异常网络访问行为的标准网络访问行为样本的第二距离度量。再确定第一距离度量是否小于等于第二距离度量，如果是，则确定网络访问行为样本的预测网络访问行为类型为正常网络访问行为，如果否，则确定网络访问行为样本的预测网络访问行为类型为异常网络访问行为。如此，该方案通过引入距离度量，来训练得到异常行为检测模型，可以使得异常行为检测模型能够更为准确地识别出某一网络访问请求的网络访问行为类型。

示例性地，通过标注网络访问行为类型的历史网络访问行为数据集构建动态直觉模糊集，并利用距离度量构造适用于网络访问行为检测的动态直觉模糊集分类器。具体实施过程为：

步骤a、基于标注网络访问行为类型的历史网络访问行为数据集构建直觉模糊集。

本申请实施例采用一种新的方法来产生直觉模糊集，这种方法能充分反映样本中的每一个特征的元素支持属于该样本类型的隶属度和非隶属度。在网络访问行为检测系统中，隶属度和非隶属度指的是每一个特征的元素支持和反对样本正常或者入侵(异常)的程度。基于上述分析，本申请实施例构造网络访问行为检测的直觉模糊集如下：

历史网络访问行为数据集的直觉模糊集构造为：设U＝{x₁，x₂，...，x_n}为历史网络访问行为数据集的一个特征集，对于

上的一个直觉模糊集(即由一个样本产生的多属性直觉模糊集)的隶属度μ_A(x)和非隶属度v_A(x)分别表示元素x属于该样本类型的隶属度的下界和不属于该样本类型的隶属度的下界。

历史网络访问行为数据集中的每一个样本都能产生一个多属性的直觉模糊集，而每一个样本里每一个属性的值都可以产生其对应于类别的隶属度和非隶属度。隶属度和非隶属度值的大小分别反映了该属性支持和反对样本类型的程度。在网络访问行为检测系统中，隶属度和非隶属度指的是每一个特征的元素支持和反对样本正常或者入侵(异常)的程度，这可以反映样本中的属性和对应类之间的关系。基于上述分析，一个适合于网络访问行为检测系统且能准确表达属性和类关系的隶属度和非隶属度对于系统的性能显得尤为关键，因此，本申请实施例通过考虑历史网络访问行为数据集属性值定义直觉模糊集的隶属度和非隶属度为：

其中，x_ij用于表示历史网络访问行为数据集中第i个样本的第j个特征值，x_ij∈[0，1]，

用于表示同一类数据集(正常或异常)的第j个特征均值。

步骤b、基于标注网络访问行为类型的历史网络访问行为数据集构建动态直觉模糊集。

根据网络事件的特性，进一步构建动态直觉模糊集。其中，在构建动态直觉模糊集之前，也是需要对基于标注网络访问行为类型的历史网络访问行为数据集进行数据预处理，也即是，按照上述数据预处理的方式对基于标注网络访问行为类型的历史网络访问行为数据集进行数值化处理和归一化处理，并针对处理后的基于标注网络访问行为类型的历史网络访问行为数据集，通过卡方校验进行特征的选择，进行特征选择后的基于标注网络访问行为类型的历史网络访问行为数据集用于构建动态直觉模糊集。动态直觉模糊集中的时间因素通常使用时间序列来处理，最常用的时间序列一般有等差时间序列和等比时间序列，本申请实施例采用等差时间序列，等差时间序列定义如下：若存在t＝t₁，t₂，...，t_p个时间段，其对应的p个不相同的直觉模糊集A(x，t₁)，A(x，t₂)，...，A(x，t_p)，定义w(t₁)，w(t₂)，...，w(t_p)为上述时间序列所形成的直觉模糊集的权值向量，同时权值向量满足：

等差时间序列的概念是指相邻权值之间具有等差关系，即：

w(t_k+1)-w(t_k)＝β，(k＝1，2，...，p-1)

其中，β是一个常数，本申请实施例设定β＝0，因此每段数据集之间的时序权重相同，即构成等值序列集。

因此，本申请实施例定义动态直觉模糊集的隶属度和非隶属度为：

其中，x_ij(t)用于表示第t时序内历史网络访问行为数据集中第i个样本的第j个特征值，x_ij(t)∈[0，1]，

用于表示第t时序内同一类数据集(正常或异常)的第j个特征均值。

步骤c、利用距离度量表示数据集样本之间的差异。

动态直觉模糊集的距离度量可以反映两个动态直觉模糊集之前的相似程度。事实上，在t时序内，每一个动态直觉模糊集是由每一个样本所产生的，而每一个样本它们都具有属于自己的类。通过距离度量，可以定量反映出相同类样本之间相似程度，也可以反映出不同类样本之间的相似程度，这为模糊分类器的使用奠定了理论基础，因此，动态直觉模糊集的距离度量作为一个强有力的工具可以区分具有多个特征的不同样本。在t时序内，来自两个不同样本的动态直觉模糊集A和B的距离度量为：

步骤d、分类器的训练和数据集的检测。如图2所示，为本申请实施例提供的一种训练分类器的结构示意图，其中，训练部分的主要任务是构建样本的各个属性的指标，并生成正常类和异常类的标准动态直觉模糊集。测试部分主要是通过距离度量定量地表示每一个测试样本的动态直觉模糊集与两类标准动态直觉模糊集之间的差异，从而对测试样本进行分类。针对分类器进行训练的具体过程为：

步骤1、将特征选择后所对应的历史网络访问行为数据集按照8：2划分为训练集和测试集。

步骤2、对训练集按照时间t进行分割。本申请实施例在导入训练集后，将训练集划分为5段，便于对其进行时序处理。

步骤3、将每一时序的训练集分为正常和异常两类。

步骤4、构建每一时序内属于其类别(比如正常类或异常类)的标准动态直觉模糊集。

步骤5、判断是否每一段都处理完。若处理完，则终止，若没有处理完，则返回步骤3。

针对训练所生成的分类器进行测试的具体过程为：

步骤1、构建测试集在每一时序内每个样本的动态直觉模糊集。

步骤2、求出测试集中每一时序内每一个样本的动态直觉模糊集与该时序内由训练部分生成的正常和异常类的标准动态直觉模糊集的距离度量。

步骤3、若测试集中的每一个样本的动态直觉模糊集与测试集中正常类别的标准动态直觉模糊集的距离度量小于等于与异常类别的标准动态直觉模糊集的距离度量，则认为该样本为正常，反之，则认为该样本异常。

步骤4、对比该样本的预测结果和该样本对应的标签。

需要说明的是，使用训练好的异常行为检测模型进行识别网络访问行为类型时，所输入至该异常行为检测模型的实时网络访问行为数据也是携带有时间的。此外，在训练初始的异常行为检测模型时，输入至该初始的异常行为检测模型的历史网络访问行为数据可以构建动态直觉模糊集进行训练，或者可以不构建动态直觉模糊集进行训练，同时在进行测试时也是对应构建动态直觉模糊集，或者对应不构建动态直觉模糊集。

在得到基于正常和异常行为的动态直觉模糊集模型后，可以通过在线异常行为检测模块对实时行为数据进行检测并及时响应。具体检测过程为：

步骤1、在检测某一网络访问请求时，通过数据采集模块抓取流向目标网络中的数据包，该采集模块是网络访问行为检测系统的基础组件。

步骤2、通过数据预处理模块，将原始的网络数据包进行数值化处理和归一化处理。也即是，将原始的网络数据包恢复TCP/IP层的连接记录，其中每条连接记录代表一次TCP/IP层的连接，并包含一个网络连接的多个属性，如一条TCP连接包括网络协议、连接起始时间、连接结束时间、服务端口号、源MAC地址、目的MAC地址、连接终止状态、TCP标志等，然后把每条记录进行属性规则提取，并进行数据转换和归一化处理。

步骤3、通过特征选择模块对预处理后的各网络数据进行特征选择，得到至少一个满足设定的卡方阈值的网络数据。

步骤4、将至少一个满足设定的卡方阈值的网络数据输入至异常行为检测模块进行检测，识别出该网络访问请求的网络访问行为类型，从而确定该网络访问请求是否异常。

步骤5、响应和日志模块，事件响应模块首先接收到分析模块传来的报警信息，然后生成报警日志并输出到屏幕来通知管理员；分析模块传来的报警数据，它作为响应模块的输入，把检测结果输出到数据库或到屏幕，数据库或文本文件保存较详细的攻击记录和攻击类型，可供管理员查询，屏幕可为警告攻击的简述，并且进一步打开相对应的数据库或文件可查看详细的攻击警告记录，管理员可相对应地采取切断连接，追踪和反击等响应方式。

上述实施例表明，由于针对工业控制系统中的正常网络访问行为与异常网络访问行为往往没有明确地界限，因此导致由该工业控制系统所产生的数据中包含部分区分度不明显的数据，使得该工业控制系统针对入侵网络访问行为的检测性能较低。针对于此，本申请中的技术方案在检测到访问工业控制系统的任一网络访问请求时，即可获取针对网络访问请求的具有多个特征属性的网络访问行为数据包，并对该具有多个特征属性的网络访问行为数据包进行特征选择，即可确定出至少一个特征属性满足设定要求的网络访问行为数据。再通过异常行为检测模型，对该至少一个特征属性满足设定要求的网络访问行为数据进行处理，即可及时准确地确定出网络访问请求的网络访问行为类型。然后，通过网络访问请求的网络访问行为类型，即可确定是否允许该网络访问请求。如此，该方案通过基于标注网络访问行为类型的历史网络访问行为样本集的距离度量所构造出的异常行为检测模型能够及时准确地检测出异常网络访问行为，从而可以有效地提高针对访问工业控制系统的网络访问行为检测的性能。

基于同样的技术构思，图3示例性的示出了本申请实施例提供的一种网络访问行为检测装置，该装置可以执行网络访问行为检测方法的流程。

如图3所示，该装置包括：

获取单元301，用于在检测到访问工业控制系统的任一网络访问请求时，获取针对所述网络访问请求的具有多个特征属性的网络访问行为数据包；

处理单元302，用于对所述具有多个特征属性的网络访问行为数据包进行特征选择，确定出至少一个特征属性满足设定要求的网络访问行为数据；通过异常行为检测模型，对所述至少一个特征属性满足设定要求的网络访问行为数据进行处理，确定出所述网络访问请求的网络访问行为类型；所述异常行为检测模型是基于标注网络访问行为类型的历史网络访问行为样本集的距离度量确定的；根据所述网络访问请求的网络访问行为类型，确定是否允许所述网络访问请求。

在一种可能的实现方式中，所述处理单元302具体用于：

在一种可能的实现方式中，所述处理单元302还用于：

在一种可能的实现方式中，所述处理单元302具体用于：

确定所述第一距离度量是否小于等于所述第二距离度量；

在一种可能的实现方式中，所述处理单元302具体用于：

基于同样的技术构思，本申请实施例提供一种计算设备，包括：

存储器，用于存储计算机程序；

基于同样的技术构思，本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行程序，所述计算机可执行程序用于使计算机执行网络访问行为检测方法的步骤。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

1.一种网络访问行为检测方法，其特征在于，包括：

2.如权利要求1所述的方法，其特征在于，所述对所述具有多个特征属性的网络访问行为数据包进行特征选择，确定出至少一个特征属性满足设定要求的网络访问行为数据，包括：

3.如权利要求1所述的方法，其特征在于，在对所述具有多个特征属性的网络访问行为数据包进行特征选择之前，还包括：

4.如权利要求1所述的方法，其特征在于，基于标注网络访问行为类型的历史网络访问行为样本集的距离度量确定所述异常行为检测模型，包括：

5.如权利要求4所述的方法，其特征在于，所述将所述网络访问行为样本输入至所述初始的异常行为检测模型，确定出所述网络访问行为样本的预测网络访问行为类型，包括：

确定所述第一距离度量是否小于等于所述第二距离度量；

6.如权利要求1所述的方法，其特征在于，距离度量用于表征相同网络访问行为类型的网络访问行为数据之间的相似程度，以及用于表征不同网络访问行为类型的网络访问行为数据之间的相似程度。

7.如权利要求1至6任一项所述的方法，其特征在于，根据所述网络访问请求的网络访问行为类型，确定是否允许所述网络访问请求，包括：

8.一种网络访问行为检测装置，其特征在于，包括：

9.一种计算设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于调用所述存储器中存储的计算机程序，按照获得的程序执行权利要求1至7任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机可执行程序，所述计算机可执行程序用于使计算机执行权利要求1至7任一项所述的方法。