CN115333874A - 一种工业终端主机监测方法 - Google Patents

一种工业终端主机监测方法 Download PDF

Info

Publication number
CN115333874A
CN115333874A CN202211269629.7A CN202211269629A CN115333874A CN 115333874 A CN115333874 A CN 115333874A CN 202211269629 A CN202211269629 A CN 202211269629A CN 115333874 A CN115333874 A CN 115333874A
Authority
CN
China
Prior art keywords
data
module
terminal host
industrial terminal
anomaly
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211269629.7A
Other languages
English (en)
Other versions
CN115333874B (zh
Inventor
解孝放
郭浩波
孔令武
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Luoan Technology Co Ltd
Original Assignee
Beijing Luoan Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Luoan Technology Co Ltd filed Critical Beijing Luoan Technology Co Ltd
Priority to CN202211269629.7A priority Critical patent/CN115333874B/zh
Publication of CN115333874A publication Critical patent/CN115333874A/zh
Application granted granted Critical
Publication of CN115333874B publication Critical patent/CN115333874B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Algebra (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出了一种工业终端主机监测方法,属于网络安全的技术领域,其中方法包括以下步骤:步骤1、实时捕捉工业终端主机作业状态下的日志数据包;步骤2、对所述日志数据包进行解析;步骤3、对解析后的数据进行特征获取;步骤4、构建异常分析模型,并对获取到的特征进行分析;步骤5、根据分析结果生成应对方案,实现针对性的入侵防御。本发明用于监视和分析主机防御情况,通过对日志数据的异常分析,实现工业终端主机的异常检测,同时通过异常特征分析,生成对应的异常应对方案,有效实现针对性的入侵防御。

Description

一种工业终端主机监测方法
技术领域
本发明属于网络安全的技术领域,特别是涉及一种工业终端主机监测方法。
背景技术
在计算机技术的大力发展下,工程师站、操作员站等工业主机是工业控制系统重要组成部分。工业主机的安全关乎整个工业控制系统的安全级。如果工控主机感染病毒或恶意程序,将对工业控制系统形成严重的安全威胁,一旦受到攻击,将会导致直接的经济损失,甚至酿成重大的生产安全事故。大量已发生的席卷全球的工控网络安全事件也表明,工控主机是一个脆弱的、极易被利用的攻击入口。
现有技术中,主机监测过程中主要是检测某一具体行为是否异常,同时由于攻击类型的多样化以及行为数据量不足,是的针对主机攻击行为的多分类效果不好,难以实现对主机安全的精准化管理。
发明内容
发明目的:提出一种工业终端主机监测方法,以解决现有技术存在的上述问题,通过监视和分析主机防御情况,提高入侵检测效果,生成针对性的防御方案,增强安全性能。
技术方案:第一方面,提出了一种工业终端主机监测方法,该方法具体包括以下步骤:
步骤1、实时捕捉工业终端主机作业状态下的日志数据包;实时捕捉工业终端主机作业状态下的日志数据包的过程中,为了减少实时监测过程中作业资源的占用情况,提高监测效率,进一步构建数据访问白名单;当作业过程是与白名单中的对象进行数据时,根据预设的时间段周期性的捕捉日志数据包;当作业过程不是与白名单中的对象进行数据时,实时捕捉日志数据包;
步骤2、对所述日志数据包进行解析;
步骤3、对解析后的数据进行特征获取;对解析后的数据进行特征获取的过程具体包括以下步骤:
步骤3.1、根据需求构建滑动窗口;
步骤3.2、根据所述滑动窗口进行数据截取,获得长度一致的字节片段序列;
步骤3.3、通过频率计算获得字节片段序列的频度列表;
步骤3.4、将所述频度列表作为一维向量构建特征向量表;
步骤4、构建异常分析模型,并对获取到的特征进行分析;
步骤5、根据分析结果生成应对方案,实现针对性的入侵防御。
在第一方面的一些可实现方式中,异常分析模型包括生成网络模块和判别网络模块,生成网络模块在模型训练的过程中根据训练集的学习,加入随机噪声生成新的样本;判别网络模块用于对输入的样本判断对应的标签。异常分析模型根据接收到的数据生成重构数据,并设定阈值,比对输入与重构之间的差值,进行数据重构实现异常判断;误差值的获取方式为:
Figure 727535DEST_PATH_IMAGE001
式中,
Figure 822137DEST_PATH_IMAGE002
表示实际输入数据;
Figure 548784DEST_PATH_IMAGE003
表示重构数据;
Figure 978629DEST_PATH_IMAGE004
表示数据对应的向量维度。
为了提高所述异常分析模型的性能,利用目标函数对其进行性能训练;
所述目标函数的表达式为:
Figure 220254DEST_PATH_IMAGE005
式中,
Figure 88853DEST_PATH_IMAGE006
表示实际数据
Figure 732324DEST_PATH_IMAGE007
服从分布
Figure 536332DEST_PATH_IMAGE008
Figure 265253DEST_PATH_IMAGE009
表示生成网络模块的输入
Figure 937543DEST_PATH_IMAGE010
服从分布
Figure 701100DEST_PATH_IMAGE011
;生成网络模块通过学习x的分布,使得生成网络模块的输出
Figure 410430DEST_PATH_IMAGE012
服从
Figure 892227DEST_PATH_IMAGE013
达到误导判别网络模块的目的;
Figure 774732DEST_PATH_IMAGE014
表示判别网络模块对生成网络模块生成的数据来源进行估计。
对所述异常分析模型进行性能训练的过程中,为了减少目标函数出现梯度漂移和梯度消失的问题产生,对所述目标函数进行优化;
优化后的目标函数为:
Figure 455112DEST_PATH_IMAGE015
式中,
Figure 397660DEST_PATH_IMAGE016
表示被判定为正确类别的样本集合对其是否来自实际样本集合进行估计;
Figure 835595DEST_PATH_IMAGE017
表示预测样本标签与实际标签之间的平均欧式距离。
Figure 725054DEST_PATH_IMAGE018
Figure 932044DEST_PATH_IMAGE019
式中,
Figure 311073DEST_PATH_IMAGE020
表示判别网络模块判定样本数据来自真实数据;
Figure 65664DEST_PATH_IMAGE021
表示判别网络模块判定样本数据来自生成网络模块生成的数据;
Figure 555552DEST_PATH_IMAGE022
表示样本来自真实数据;
Figure 882628DEST_PATH_IMAGE023
表示样本来自生成网络模块生成的数据。
针对不同种类的入侵行为,进一步通过融合分析的方式,构建多层面攻击检测模型,以RF树形分类器和SVM模型作为基础分类器来构建多层的异常检测分类器。
在第一方面的一些可实现方式中,提取数据特征的过程为:根据N个字节长度对被测文本中的文字进行滑动窗口操作,形成长度一致的字节片段序列,然后获得字节片段序列的频度列表,每个列表都是最终构成特征向量表的一维向量。
经过上述处理后的特征表达式为:
Figure 370241DEST_PATH_IMAGE024
Figure 782768DEST_PATH_IMAGE025
Figure 810766DEST_PATH_IMAGE026
式中,M表示获取到的样本数量;
Figure 320245DEST_PATH_IMAGE027
表示第i个数据特征;
Figure 775497DEST_PATH_IMAGE028
表示样本特征集合的模;
Figure 940899DEST_PATH_IMAGE029
表示用于模型训练的所有特征;
Figure 710272DEST_PATH_IMAGE030
表示用于模型训练的特征数。
获得字节片段序列的频度列表过程为:
Figure 746361DEST_PATH_IMAGE031
式中,Y表示待分析的文件数据在总语料库中的总数;
Figure 638094DEST_PATH_IMAGE032
表示包含单词Q的文档总数;
Figure 759634DEST_PATH_IMAGE033
表示单词Q在所有词条数目
Figure 457331DEST_PATH_IMAGE034
中出现的次数。如果语料库中某一个文件的某一个词语,在语料库其他文件中几乎不出现,但是仅在该文件中出现的频率较高,那么这个词语就会产生相对高的
Figure 879085DEST_PATH_IMAGE035
权重,根据计算出的结果,生成字节片段序列的频度列表。
第二方面,提出一种工业终端主机监测系统用于实现工业终端主机监测方法,该系统具体包括以下模块:
数据抓取模块,被设置为实时捕捉工业终端主机作业状态下的日志数据包;
数据解析模块,被设置为解析数据抓取模块捕捉到的日志数据包;
特征提取模块,被设置为对解析后的数据进行特征获取;
异常分析模块,被设置为构建异常分析模型,获取异常入侵分析结果;
方案制定模块,被设置为根据异常分析模块的分析结果生成应对方案,实现针对性的入侵防御。
在第二方面的一些可实现方式中,监测作业过程中,首先利用数据抓取模块实时捕捉工业终端主机作业状态下的数据包;其次,利用数据解析模块对主渠道的数据包进行数据解析;再次,对解析后的数据采用特征提取模块获取数据特征;从次,利用构建好的异常分析模型接收数据特征并分析获得异常入侵结果;最后,利用方案制定模块根据异常入侵分析结果生成对应防御方案,实现入侵预防。
第三方面,提出一种工业终端主机监测设备,该设备包括:处理器以及存储有计算机程序指令的存储器。其中,处理器读取并执行计算机程序指令,以实现工业终端主机监测方法。
第四方面,提出一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序指令。计算机程序指令被处理器执行时,以实现工业终端主机监测方法。
有益效果:本发明提出了一种工业终端主机监测方法,用于监视和分析主机防御情况,通过对日志数据的异常分析,实现工业终端主机的异常检测,同时通过异常特征分析,生成对应的异常应对方案,有效实现针对性的入侵防御。
附图说明
图1为本发明的数据处理流程图。
具体实施方式
在下文的描述中,给出了大量具体的细节以便提供对本发明更为彻底的理解。然而,对于本领域技术人员而言显而易见的是,本发明可以无需一个或多个这些细节而得以实施。在其他的例子中,为了避免与本发明发生混淆,对于本领域公知的一些技术特征未进行描述。
在一个实施例中,随着计算机网络技术的快速发展,大众对计算机的依赖逐渐渗透到日常生活中的方方面面,因此针对主机漏洞发起的入侵行为层出不穷。为了保证数据安全,本实例提出一种工业终端主机监测方法,用于监视和分析主机防御情况,提高入侵检测效果,生成针对性的防御方案,增强安全性能。如图1所示,该方法具体包括以下步骤:
步骤1、实时捕捉工业终端主机作业状态下的日志数据包;
步骤2、对日志数据包进行数据解析;
步骤3、提取解析后数据的特征;
具体的,提取数据特征的过程为:根据N个字节长度对被测文本中的文字进行滑动窗口操作,形成长度一致的字节片段序列,然后获得字节片段序列的频度列表,每个列表都是最终构成特征向量表的一维向量。
经过上述处理后的特征表达式为:
Figure 676140DEST_PATH_IMAGE036
Figure 488238DEST_PATH_IMAGE037
Figure 661731DEST_PATH_IMAGE038
式中,M表示获取到的样本数量;
Figure 672412DEST_PATH_IMAGE039
表示第i个数据特征;
Figure 353884DEST_PATH_IMAGE040
表示样本特征集合的模;
Figure 918858DEST_PATH_IMAGE041
表示用于模型训练的所有特征;
Figure 896041DEST_PATH_IMAGE042
表示用于模型训练的特征数。
在进一步的实施例中,将上述获取的特征再导入频率计算模型中,获得最终的数据特征。其中频率计算模型的运算过程为:
Figure 620284DEST_PATH_IMAGE043
式中,Y表示待分析的文件数据在总语料库中的总数;
Figure 962403DEST_PATH_IMAGE044
表示包含单词Q的文档总数;
Figure 545831DEST_PATH_IMAGE045
表示单词Q在所有词条数目
Figure 389022DEST_PATH_IMAGE046
中出现的次数。如果语料库中某一个文件的某一个词语,在语料库其他文件中几乎不出现,但是仅在该文件中出现的频率较高,那么这个词语就会产生相对高的
Figure 639875DEST_PATH_IMAGE047
权重。
本实施例通过结合频率的特征提取,可以有效提高关键特征的提取,从而提高后续的模型分析性能。
步骤4、构建异常分析模型,并对获取到的特征进行分析;
具体的,异常分析模型可以对主机当前遭受入侵的风险程度进行评估,且评估结果用于作为维护人员部署安全策略的参考依据。
异常分析模型包括生成网络模块和判别网络模块,生成网络模块在模型训练的过程中根据训练集的学习,加入随机噪声生成新的样本;判别网络模块用于对输入的样本判断对应的标签。
通过数据X进行训练后,异常分析模型就会具有重构与X处于相同分布的其他数据能力,当一个数据具有与X不同的数据分布规律时,重构结果与其本身会存在明显误差,随后通过设定阈值,比对输入与重构之间的差值,进而实现异常判断。
其中,异常分析模型根据接收到的数据生成重构数据,并设定阈值,比对输入与重构之间的差值,进行数据重构实现异常判断;误差值的获取方式为:
Figure 949634DEST_PATH_IMAGE048
式中,
Figure 958041DEST_PATH_IMAGE049
表示实际输入数据;
Figure 277027DEST_PATH_IMAGE050
表示重构数据;
Figure 116807DEST_PATH_IMAGE051
表示数据对应的向量维度。
为了提高异常分析模型的性能,利用目标函数对其进行性能训练,其中,目标函数的表达式为:
Figure 423898DEST_PATH_IMAGE052
式中,
Figure 247498DEST_PATH_IMAGE053
表示实际数据
Figure 42278DEST_PATH_IMAGE054
服从分布
Figure 267723DEST_PATH_IMAGE055
Figure 247181DEST_PATH_IMAGE056
表示生成网络模块的输入z服从分布
Figure 292497DEST_PATH_IMAGE057
;生成网络模块通过学习x的分布,使得生成网络模块的输出
Figure 890969DEST_PATH_IMAGE058
服从
Figure 705341DEST_PATH_IMAGE059
达到误导判别网络模块的目的;
Figure 793383DEST_PATH_IMAGE060
表示判别网络模块对生成网络模块生成的数据来源进行估计。
步骤5、根据特征分析结果生成对应方案,实现针对性的入侵防御。
本实施例通过对日志数据的异常分析,实现工业终端主机的异常检测,同时通过异常特征分析,生成对应的异常应对方案,有效实现针对性的入侵防御。
在进一步的实施例中,构建白名单数据交互对象,将绝对安全的数据交互对象加入白名单中,在实际监测作业过程中,当作业过程是与白名单中的对象进行数据时,根据预设的时间段周期性的捕捉日志数据包;当作业过程不是与白名单中的对象进行数据时,实时捕捉日志数据包。
本实施例通过添绝对白名单的方式,在工业终端监测过程中,减少实时捕捉分析数据的方式,有效减少运算资源的占用率,同时,针对绝对白名单采用周期性的数据捕捉分析方式,可以在减少数据分析过程占用运算资源的过程中,避免因绝对信任导致的突发性入侵事件产生。
在进一步的实施例中,由于实际作业过程中存在属性取值敏感或部分样本数据不服从独立分布的现象,进而导致目标函数出现梯度漂移或梯度消失的问题,因此,本实施例对目标函数进行优化,针对在数据的非凸区间上因数据不一致或噪声导致的损失函数偏离实际值的现象,进行损失降低。其中,优化后目标函数为:
Figure 388312DEST_PATH_IMAGE061
式中,
Figure 587212DEST_PATH_IMAGE062
表示被判定为正确类别的样本集合对其是否来自实际样本集合进行估计;
Figure 521670DEST_PATH_IMAGE063
表示预测样本标签与实际标签之间的平均欧式距离。
具体的,
Figure 718296DEST_PATH_IMAGE064
Figure 738205DEST_PATH_IMAGE065
式中,
Figure 740796DEST_PATH_IMAGE066
表示判别网络模块判定样本数据来自真实数据;
Figure 592077DEST_PATH_IMAGE067
表示判别网络模块判定样本数据来自生成网络模块生成的数据;
Figure 21922DEST_PATH_IMAGE068
表示样本来自真实数据;
Figure 263547DEST_PATH_IMAGE069
表示样本来自生成网络模块生成的数据。
在进一步的实施例中,针对现有技术中具备针对性的入侵检测方法,本实施例通过融合分析的方式,构建多层面攻击检测模型,以RF树形分类器和SVM模型作为基础分类器来构建多层的异常检测分类器。优选实施例中,以6种攻击行为为例,多层面攻击检测模型的第一层将数据分成两组:第一组和第二组,其中第一组只包含正常数据,第二组包含6种异常数据;第二层继续将第二组分成第三组、第四组和第五组;第三层继续将第三组、第四组和第五组细分成6种攻击类型,该模型包含RF分类器和SVM分类器,具体地,模型第一层采用SVM分类器、第二层采用RF分类器,而针对第三层第三组与第四组采用RF分类器划分,第五组采用SVM分类器划分。
在一个实施例中,提出一种工业终端主机监测系统用于实现工业终端主机监测方法,该系统具体包括以下模块:
数据抓取模块,被设置为实时捕捉工业终端主机作业状态下的日志数据包;
数据解析模块,被设置为解析数据抓取模块捕捉到的日志数据包;
特征提取模块,被设置为对解析后的数据进行特征获取;
异常分析模块,被设置为构建异常分析模型,获取异常入侵分析结果;
方案制定模块,被设置为根据异常分析模块的分析结果生成应对方案,实现针对性的入侵防御。
在进一步的实施例中,首先利用数据抓取模块实时捕捉工业终端主机作业状态下的数据包;其次,利用数据解析模块对主渠道的数据包进行数据解析;再次,对解析后的数据采用特征提取模块获取数据特征;从次,利用构建好的异常分析模型接收数据特征并分析获得异常入侵结果;最后,利用方案制定模块根据异常入侵分析结果生成对应防御方案,实现入侵预防。
在一个实施例中,提出一种工业终端主机监测设备,该设备包括:处理器以及存储有计算机程序指令的存储器。
其中,处理器读取并执行计算机程序指令,以实现工业终端主机监测方法。
在一个实施例中,提出一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序指令。
其中,计算机程序指令被处理器执行时,以实现工业终端主机监测方法。
如上所述,尽管参照特定的优选实施例已经表示和表述了本发明,但其不得解释为对本发明自身的限制。在不脱离所附权利要求定义的本发明的精神和范围前提下,可对其在形式上和细节上做出各种变化。

Claims (10)

1.一种工业终端主机监测方法,其特征在于,具体包括以下步骤:
步骤1、实时捕捉工业终端主机作业状态下的日志数据包;
步骤2、对所述日志数据包进行解析;
步骤3、对解析后的数据进行特征获取;
步骤4、构建异常分析模型,并对获取到的特征进行分析;
步骤5、根据分析结果生成应对方案,实现针对性的入侵防御;
所述异常分析模型包括生成网络模块和判别网络模块,生成网络模块在模型训练的过程中根据训练集的学习,加入随机噪声生成新的样本;判别网络模块用于对输入的样本判断对应的标签;
异常分析模型根据接收到的数据生成重构数据,并设定阈值,比对输入与重构之间的差值,进行数据重构实现异常判断;误差值的获取方式为:
Figure 351293DEST_PATH_IMAGE001
式中,
Figure 438198DEST_PATH_IMAGE002
表示实际输入数据;
Figure 239801DEST_PATH_IMAGE003
表示重构数据;
Figure 677735DEST_PATH_IMAGE004
表示数据对应的向量维度。
2.根据权利要求1所述的一种工业终端主机监测方法,其特征在于,对解析后的数据进行特征获取的过程具体包括以下步骤:
步骤3.1、根据需求构建滑动窗口;
步骤3.2、根据所述滑动窗口进行数据截取,获得长度一致的字节片段序列;
步骤3.3、通过频率计算获得字节片段序列的频度列表;
步骤3.4、将所述频度列表作为一维向量构建特征向量表。
3.根据权利要求1所述的一种工业终端主机监测方法,其特征在于,为了提高所述异常分析模型的性能,利用目标函数对其进行性能训练;
所述目标函数的表达式为:
Figure 832773DEST_PATH_IMAGE005
式中,
Figure 305343DEST_PATH_IMAGE006
表示实际数据
Figure 153213DEST_PATH_IMAGE007
服从分布
Figure 812864DEST_PATH_IMAGE008
Figure 37172DEST_PATH_IMAGE009
表示生成网络模块的输入z服从分布
Figure 957724DEST_PATH_IMAGE010
;生成网络模块通过学习x的分布,使得生成网络模块的输出
Figure 976495DEST_PATH_IMAGE011
服从
Figure 389022DEST_PATH_IMAGE012
达到误导判别网络模块的目的;
Figure 151442DEST_PATH_IMAGE013
表示判别网络模块对生成网络模块生成的数据来源进行估计。
4.根据权利要求3所述的一种工业终端主机监测方法,其特征在于,对所述异常分析模型进行性能训练的过程中,为了减少目标函数出现梯度漂移和梯度消失的问题产生,对所述目标函数进行优化;
优化后的目标函数为:
Figure 333024DEST_PATH_IMAGE014
式中,
Figure 257118DEST_PATH_IMAGE015
表示被判定为正确类别的样本集合对其是否来自实际样本集合进行估计;
Figure 15996DEST_PATH_IMAGE016
表示预测样本标签与实际标签之间的平均欧式距离。
5.根据权利要求1所述的一种工业终端主机监测方法,其特征在于,针对不同种类的入侵行为,进一步通过融合分析的方式,构建多层面攻击检测模型,以RF树形分类器和SVM模型作为基础分类器来构建多层的异常检测分类器。
6.根据权利要求1所述的一种工业终端主机监测方法,其特征在于,实时捕捉工业终端主机作业状态下的日志数据包的过程中,为了减少实时监测过程中作业资源的占用情况,提高监测效率,进一步构建数据访问白名单;
当作业过程是与白名单中的对象进行数据时,根据预设的时间段周期性的捕捉日志数据包;
当作业过程不是与白名单中的对象进行数据时,实时捕捉日志数据包。
7.一种工业终端主机监测系统,用于实现如权利要求1-6任意一项所述的工业终端主机监测方法,其特征在于,具体包括以下模块:
数据抓取模块,被设置为实时捕捉工业终端主机作业状态下的日志数据包;
数据解析模块,被设置为解析数据抓取模块捕捉到的日志数据包;
特征提取模块,被设置为对解析后的数据进行特征获取;
异常分析模块,被设置为构建异常分析模型,获取异常入侵分析结果;
方案制定模块,被设置为根据异常分析模块的分析结果生成应对方案,实现针对性的入侵防御。
8.根据权利要求7所述的一种工业终端主机监测系统,其特征在于,监测作业过程中,首先利用数据抓取模块实时捕捉工业终端主机作业状态下的数据包;其次,利用数据解析模块对主渠道的数据包进行数据解析;再次,对解析后的数据采用特征提取模块获取数据特征;从次,利用构建好的异常分析模型接收数据特征并分析获得异常入侵结果;最后,利用方案制定模块根据异常入侵分析结果生成对应防御方案,实现入侵预防。
9.一种工业终端主机监测设备,其特征在于,所述设备包括:
处理器以及存储有计算机程序指令的存储器;
所述处理器读取并执行所述计算机程序指令,以实现如权利要求1-6任意一项所述的工业终端主机监测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-6任意一项所述的工业终端主机监测方法。
CN202211269629.7A 2022-10-18 2022-10-18 一种工业终端主机监测方法 Active CN115333874B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211269629.7A CN115333874B (zh) 2022-10-18 2022-10-18 一种工业终端主机监测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211269629.7A CN115333874B (zh) 2022-10-18 2022-10-18 一种工业终端主机监测方法

Publications (2)

Publication Number Publication Date
CN115333874A true CN115333874A (zh) 2022-11-11
CN115333874B CN115333874B (zh) 2023-04-28

Family

ID=83915482

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211269629.7A Active CN115333874B (zh) 2022-10-18 2022-10-18 一种工业终端主机监测方法

Country Status (1)

Country Link
CN (1) CN115333874B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112435221A (zh) * 2020-11-10 2021-03-02 东南大学 一种基于生成式对抗网络模型的图像异常检测方法
CN112765603A (zh) * 2021-01-28 2021-05-07 电子科技大学 一种结合系统日志与起源图的异常溯源方法
CN113098878A (zh) * 2021-04-06 2021-07-09 哈尔滨工业大学(威海) 一种基于支持向量机的工业互联网入侵检测方法及实现系统
US20210319113A1 (en) * 2019-01-07 2021-10-14 Zhejiang University Method for generating malicious samples against industrial control system based on adversarial learning
CN114697089A (zh) * 2022-03-17 2022-07-01 南京轩世琪源软件科技有限公司 一种面向工业自动化作业的网络防入侵方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210319113A1 (en) * 2019-01-07 2021-10-14 Zhejiang University Method for generating malicious samples against industrial control system based on adversarial learning
CN112435221A (zh) * 2020-11-10 2021-03-02 东南大学 一种基于生成式对抗网络模型的图像异常检测方法
CN112765603A (zh) * 2021-01-28 2021-05-07 电子科技大学 一种结合系统日志与起源图的异常溯源方法
CN113098878A (zh) * 2021-04-06 2021-07-09 哈尔滨工业大学(威海) 一种基于支持向量机的工业互联网入侵检测方法及实现系统
CN114697089A (zh) * 2022-03-17 2022-07-01 南京轩世琪源软件科技有限公司 一种面向工业自动化作业的网络防入侵方法及系统

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
林英: ""基于生成对抗网络的主机入侵风险识别"", 《计算机应用与软件》 *
林英: "基于生成对抗网络的主机入侵风险识别" *
赵诗雯: ""主机入侵检测多分类方法研究与实现"", 《中国优秀硕士学位论文全文数据库信息科技辑》 *
赵诗雯: "主机入侵检测多分类方法研究与实现" *

Also Published As

Publication number Publication date
CN115333874B (zh) 2023-04-28

Similar Documents

Publication Publication Date Title
US9419996B2 (en) Detection and prevention for malicious threats
US10430586B1 (en) Methods of identifying heap spray attacks using memory anomaly detection
US20070300300A1 (en) Statistical instrusion detection using log files
US20170061126A1 (en) Process Launch, Monitoring and Execution Control
WO2010114363A1 (en) Method and system for alert classification in a computer network
CN111600880A (zh) 异常访问行为的检测方法、系统、存储介质和终端
CN107209834B (zh) 恶意通信模式提取装置及其系统和方法、记录介质
CN110768946A (zh) 一种基于布隆过滤器的工控网络入侵检测系统及方法
EP3623983A1 (en) Method and device for identifying security threats, storage medium, processor and terminal
Ippoliti et al. Online adaptive anomaly detection for augmented network flows
US11222115B2 (en) Data scan system
CN106845217B (zh) 一种安卓应用恶意行为的检测方法
Alshehri et al. Cyberattack Detection Framework Using Machine Learning and User Behavior Analytics.
Manzoor et al. A sense of ‘danger’for windows processes
Werner et al. Near real-time intrusion alert aggregation using concept-based learning
CN112966264A (zh) Xss攻击检测方法、装置、设备及机器可读存储介质
CN115333874A (zh) 一种工业终端主机监测方法
Heryanto et al. Cyberattack feature selection using correlation-based feature selection method in an intrusion detection system
Baich et al. Machine Learning for IoT based networks intrusion detection: a comparative study
Rele et al. Supervised and Unsupervised ML Methodologies for Intrusive Detection in Nuclear Systems
Wang et al. APT attribution for malware based on time series shapelets
Mohi-Ud-Din et al. NIDS: Random Forest Based Novel Network Intrusion Detection System for Enhanced Cybersecurity in VANET's
Chelak et al. Development of anomalous computer behavior detection method based on probabilistic automaton
CN114745200B (zh) 一种基于恶意代码动态取证模型的恶意代码检测方法
AU2020104405A4 (en) An artificial intelligence based system for proactive network security

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant