CN115604016B - 一种行为特征链模型的工控异常行为监测方法和系统 - Google Patents
一种行为特征链模型的工控异常行为监测方法和系统 Download PDFInfo
- Publication number
- CN115604016B CN115604016B CN202211341764.8A CN202211341764A CN115604016B CN 115604016 B CN115604016 B CN 115604016B CN 202211341764 A CN202211341764 A CN 202211341764A CN 115604016 B CN115604016 B CN 115604016B
- Authority
- CN
- China
- Prior art keywords
- behavior
- chain
- current
- normal
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种行为特征链模型的工控异常行为监测方法和系统,涉及工业控制网络安全领域,包括如下步骤:采集工业控制网络正常状态下设备间的多个正常行为的数据;提取每个正常行为的数据的特征数据建立正常行为链,基于每个行为及其频次建立正常行为链的特征链;实时采集工业控制网络当前状态设备间的多个当前行为的数据,提取每个当前行为的数据的特征数据建立当前行为链,基于每个行为及其频次建立当前行为链的特征链;将当前行为链的特征链与正常行为链的特征链匹配,根据匹配度判断是否异常;通过建立正常状态下正常行为链的特征链与当前行为链的特征链进行比对来识别是否异常,提升了工业控制网络运营的安全系数,增加了工业控制网络的安全性。
Description
技术领域
本申请涉及工业控制网络安全领域,具体涉及一种行为特征链模型的工控异常行为监测方法和系统。
背景技术
工业控制网络,简称工业控制网络,是近年来发展形成的自动控制领域的网络技术,是计算机网络、通信技术与自动控制技术结合的产物。工业控制网络适应了工业信息集成系统和管理控制一体化系统的发展趋势与需要,是IT技术在自动控制领域的延伸,是自动控制领域的局域网。
早期的工业控制网络使用专用的通信协议,并处于与外部网络完全隔离的环境中,但是随着以太网技术的发展和使用,传统封闭的工业控制系统已经不能满足工业生产的需求,工业控制网络逐渐开始由单纯的局域网开始在需要的时候接入其他网络进行数据交换。存在利用工业控制网络外接其他网络的机会对工业控制网络进行入侵,给工业控制网络带来了很多安全方面的问题,例如:可以利用工业控制网络的协议特点通过硬扫描攻击工业控制网络使其瘫痪,更为严重的可以通过形式上合法但实质上恶意的控制而引导工业控制网络实施异常行为,例如控制铁路控制系统并不断修改铁路控制系统的变道数据,由此引发的轨道不稳定会造成列车运行风险。因此,如何使工业控制网络避免被形式上合法的恶意控制行为影响,保证工业控制网络能够安全运营是本领域技术人员亟待解决的技术问题。
发明内容
(一)申请目的
有鉴于此,本申请的目的在于一种行为特征链模型的工控异常行为监测方法和系统,用于解决现有技术中工业控制网络被形式上合法的恶意控制行为影响,使工业控制网络不能够安全运营的技术问题。
(二)技术方案
本申请公开一种行为特征链模型的工控异常行为监测方法,包括如下步骤:
S1、采集工业控制网络正常状态下设备间的多个正常行为的数据;
S2、提取每个所述正常行为的数据的特征数据建立正常行为链,基于所述正常行为链中每个行为及其频次建立所述正常行为链的特征链;
S3、实时采集工业控制网络当前状态设备间的多个当前行为的数据,提取每个所述当前行为的数据的特征数据建立当前行为链,基于所述当前行为链中每个行为及其频次建立所述当前行为链的特征链;
S4、将所述当前行为链的特征链与所述正常行为链的特征链匹配,根据匹配度判断是否异常。
在一种可能的实施方式中,所述基于每个正常行为的数据建立正常行为链,提取所述正常行为链的特征数据建立所述正常行为链的特征链包括如下步骤:
S21、按时序排列所述多个正常行为的数据;
S22、对每个所述正常行为的数据进行深度数据包检测,提取每个所述正常行为的数据的特征数据,所述正常行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值;
S23、基于所述正常行为的数据的特征数据,通过经过预训练的向量生成模型获取每个所述正常行为的数据的特征数据的语义向量;
S24、基于每个正常行为的数据的特征数据的语义向量和时序建立正常行为链;
S25、基于所述正常行为链中每个行为的频次建立正常行为链的特征链。
在一种可能的实施方式中,所述实时采集工业控制网络当前状态设备间的多个当前行为的数据,并基于时间窗口内的当前行为的数据建立当前行为链包括如下步骤:
S31、设置时间窗口,所述时间窗口的每个子时间窗口内的数据为一个行为的完成数据; S32、滑动时间窗口实时采集工业控制网络当前状态设备间的多个当前行为的数据;
S33、提取时间窗口内的当前行为的数据的特征数据,所述当前行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值;
S34、基于所述多个当前行为中的每个行为的数据的特征数据的语义向量和时序建立所述当前行为链;
S35、基于所述当前行为链中每个行为的频次建立当前行为链的特征链。
在一种可能的实施方式中,所述设置时间窗口,所述时间窗口的每个子时间窗口内的数据为一个行为的完成数据包括,设置每个子时间窗口的增加量,每个所述子时间窗口内的数据为所述多个当前行为中的每个行为对应的进程的编码数据。
在一种可能的实施方式中,所述将所述当前行为链的特征链与所述正常行为链的特征链进行匹配,根据匹配度判断是否异常包括,计算所述当前行为链的特征链与所述正常行为链的特征链的余弦值,所述匹配度为所述余弦值,当所述余弦值大于预设值时,所述当前行为为正常行为,否则所述当前行为为异常行为。
作为本申请的第二方面,还公开了一种行为特征链模型的工控异常行为监测系统,包括正常行为采集模块、正常行为链的特征链构建模块、当前行为特征链构建模块和异常行为判断模块;其中,所述正常行为采集模块用于采集工业控制网络正常状态下设备间的多个正常行为的数据;所述正常行为链的特征链构建模块用于提取每个所述正常行为的数据的特征数据建立正常行为链,基于所述正常行为链中每个行为及其频次建立所述正常行为链的特征链;所述当前行为特征链构建模块用于实时采集工业控制网络当前状态设备间的多个当前行为的数据,提取每个所述当前行为的数据的特征数据建立当前行为链,基于所述当前行为链中每个行为及其频次建立所述当前行为链的特征链;所述异常行为判断模块用于将所述当前行为链的特征链与所述正常行为链的特征链匹配,根据匹配度判断是否异常。
在一种可能的实施方式中,所述正常行为链的特征链构建模块包括数据时序排列单元、正常行为特征数据提取单元、语义向量训练单元、正常行为链构建单元和正常行为特征链提取单元;其中,所述数据时序排列单元用于按时序排列所述多个正常行为的数据;所述正常行为特征数据提取单元用于对每个所述正常行为的数据进行深度数据包检测,提取每个所述正常行为的数据的特征数据,所述正常行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值;所述语义向量训练单元用于基于所述正常行为的数据的特征数据,通过经过预训练的向量生成模型获取每个所述正常行为的数据的特征数据的语义向量;所述正常行为链构建单元用于基于每个正常行为的数据的特征数据的语义向量和时序建立正常行为链;所述正常行为特征链提取单元用于基于所述正常行为链中每个行为的频次建立正常行为链的特征链。
在一种可能的实施方式中,所述当前行为特征链构建模块包括时间窗口设置单元、当前行为数据采集单元、当前行为数据特征数据提取单元、当前行为链构建单元和当前行为特征链提取单元;其中所述时间窗口设置单元用于设置时间窗口,所述时间窗口的每个子时间窗口内的数据为一个行为的完成数据;所述当前行为数据采集单元用于滑动时间窗口实时采集工业控制网络当前状态设备间的多个当前行为的数据;所述当前行为数据特征数据提取单元用于提取时间窗口内的当前行为的数据的特征数据,所述当前行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值;所述当前行为链构建单元用于基于所述多个当前行为中的每个行为的数据的特征数据的语义向量和时序建立所述当前行为链;所述当前行为特征链提取单元用于基于所述当前行为链中每个行为的频次建立当前行为链的特征链。
在一种可能的实施方式中,所述设置时间窗口,所述时间窗口的每个子时间窗口内的数据为一个行为的完成数据包括,设置每个子时间窗口的增加量,每个所述子时间窗口内的数据为所述多个当前行为中的每个行为对应的进程的编码数据。
在一种可能的实施方式中,所述异常行为判断模块包括匹配度计算单元和异常行为判断单元;所述匹配度计算单元用于计算所述当前行为链的特征链与所述正常行为链的特征链的余弦值,所述匹配度为所述余弦值;所述异常行为判断单元用于当所述余弦值大于预设值时,所述当前行为为正常行为,否则所述当前行为为异常行为。
(三)有益效果
本申请通过建立正常状态下正常行为链的特征链与当前行为链的特征链进行比对来识别当前行为的特征链是否异常,避免了通过单个的合法的控制行进而变为为恶意控制工业控制网络,提升了工业控制网络运营的安全系数,增加了工业控制网络的安全性。
本申请的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本申请的实践中得到教导。本申请的目标和其他优点可以通过下面的说明书来实现和获得。
附图说明
以下参考附图描述的实施例是示例性的,旨在用于解释和说明本申请,而不能理解为对本申请的保护范围的限制。
图1是本申请的系统流程图;
图2是本申请的系统结构图;
其中,1、正常行为采集模块;2、正常行为链的特征链构建模块;3、当前行为特征链构建模块;4、异常行为判断模块。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
如图1所示,本实施例提供了一种行为特征链模型的工控异常行为监测方法,包括如下步骤:
S1、采集工业控制网络正常状态下设备间的多个正常行为的数据;这里的正常状态可以通过工业控制网络在初始完全闭环的工作情况下采集,也可以通过专家系统对每个行为进行评判。
S2、提取每个所述正常行为的数据的特征数据建立正常行为链,基于所述正常行为链中每个行为及其频次建立所述正常行为链的特征链。具体包括:S21、按时序排列所述多个正常行为的数据;S22、对每个所述正常行为的数据进行深度数据包检测,提取每个所述正常行为的数据的特征数据,所述正常行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值;S23、基于所述正常行为的数据的特征数据,通过经过预训练的向量生成模型(例如Bert模型)获取每个所述正常行为的数据的特征数据的语义向量;S24、基于每个正常行为的数据的特征数据的语义向量和时序建立正常行为链,基于每个正常行为的特征数据的语义向量确定所述正常行为中的每个行为与其他行为之间的关系,基于所述正常行为中的每个行为与其他行为之间的关系及时序通过神经网络预测训练模型可以建立正常行为链的预测,即可以通过现有的正常行为中的部分正常行为作为样本来训练预测完整的正常行为链;S25、基于所述正常行为链中每个行为的频次建立正常行为链的特征链,例如正常行为链中包括行为a、行为b和行为c,而行为a发生了6次,行为b发生了3次,行为c发生了2次,正常行为链的特征链A=((a,6)(b,3)(c,2))。
S3、实时采集工业控制网络当前状态设备间的多个当前行为的数据,提取每个所述当前行为的数据的特征数据建立当前行为链,基于所述当前行为链中每个行为及其频次建立所述当前行为链的特征链。具体包括:S31、设置时间窗口,所述时间窗口的每个子时间窗口内的数据为一个行为的完成数据,为使所述时间窗口的每个子时间窗口内的数据为一个行为的完成数据,先设置每个子时间窗口的增加量,其中,每个所述子时间窗口内的数据为所述多个当前行为中的每个行为对应的进程的编码数据,即一个子时间窗口内为一个行为对应的进程的编码数据;S32、滑动时间窗口实时采集工业控制网络当前状态设备间的多个当前行为的数据;S33、提取时间窗口内的当前行为的数据的特征数据,所述当前行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值;S34、基于所述多个当前行为中的每个行为的数据的特征数据的语义向量和时序建立所述当前行为链,基于所述多个当前行为中的每个行为的特征数据的语义向量确定所述多个当前行为中的每个行为与其他行为之间的关系,基于所述当前行为中的每个行为与其他行为之间的关系及时序通过神经网络预测训练模型可以建立对所述当前行为链的预测,即可以通过现有的当前行为中的作为输入来预测完整的当前行为链,对所述当前行为链的预测可以通过前期正常行为链的神经网络预测训练模型来处理;S35、基于所述当前行为链中每个行为的频次建立当前行为链的特征链,例如,当前行为链中包括行为d、行为e和行为f,而行为d发生了3次,行为e发生了1次,行为f发生了10次,当前行为链的特征链B=((d,6)(e,1)(f,10))。S4、将所述当前行为链的特征链与所述正常行为链的特征链匹配,根据匹配度判断是否异常。具体为:计算所述当前行为链的特征链与所述正常行为链的特征链的余弦值,所述匹配度为所述余弦值,当所述余弦值大于预设值时,所述当前行为为正常行为,否则所述当前行为为异常行为。将当前行为链的特征链记为矢量
,正常行为链的特征链记为矢量/>
,余弦值:
通过建立正常状态下正常行为链的特征链与当前行为链的特征链进行比对来识别当前行为的特征链是否异常,避免了通过单个的合法的控制行进而变为为恶意控制工业控制网络,提升了工业控制网络运营的安全系数,增加了工业控制网络的安全性。
如图2作为本申请的第二方面,还公开了一种行为特征链模型的工控异常行为监测系统,包括正常行为采集模块1、正常行为链的特征链构建模块2、当前行为特征链构建模块3和异常行为判断模块4;其中,所述正常行为采集模块1用于采集工业控制网络正常状态下设备间的多个正常行为的数据;所述正常行为链的特征链构建模块2用于提取每个所述正常行为的数据的特征数据建立正常行为链,基于所述正常行为链中每个行为及其频次建立所述正常行为链的特征链;所述当前行为特征链构建模块3用于实时采集工业控制网络当前状态设备间的多个当前行为的数据,提取每个所述当前行为的数据的特征数据建立当前行为链,基于所述当前行为链中每个行为及其频次建立所述当前行为链的特征链;所述异常行为判断模块4用于将所述当前行为链的特征链与所述正常行为链的特征链匹配,根据匹配度判断是否异常。
所述正常行为链的特征链构建模块2包括数据时序排列单元、正常行为特征数据提取单元、语义向量训练单元、正常行为链构建单元和正常行为特征链提取单元;其中,所述数据时序排列单元用于按时序排列所述多个正常行为的数据;所述正常行为特征数据提取单元用于对每个所述正常行为的数据进行深度数据包检测,提取每个所述正常行为的数据的特征数据,所述正常行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值;所述语义向量训练单元用于基于所述正常行为的数据的特征数据,通过经过预训练的向量生成模型(例如Bert模型)获取每个所述正常行为的数据的特征数据的语义向量;所述正常行为链构建单元用于基于每个正常行为的数据的特征数据的语义向量和时序建立正常行为链;所述正常行为特征链提取单元用于基于所述正常行为链中每个行为的频次建立正常行为链的特征链。
所述当前行为特征链构建模块3包括时间窗口设置单元、当前行为数据采集单元、当前行为数据特征数据提取单元、当前行为链构建单元和当前行为特征链提取单元;其中所述时间窗口设置单元用于设置时间窗口,所述时间窗口的每个子时间窗口内的数据为一个行为的完成数据,时间窗口的每个子时间窗口内的数据为一个行为的完成数据包括,设置每个子时间窗口的增加量,每个所述子时间窗口内的数据为所述多个当前行为中的每个行为对应的进程的编码数据;所述当前行为数据采集单元用于滑动时间窗口实时采集工业控制网络当前状态设备间的多个当前行为的数据;所述当前行为数据特征数据提取单元用于提取时间窗口内的当前行为的数据的特征数据,所述当前行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值;所述当前行为链构建单元用于基于所述多个当前行为中的每个行为的数据的特征数据的语义向量和时序建立所述当前行为链;所述当前行为特征链提取单元用于基于所述当前行为链中每个行为的频次建立当前行为链的特征链。
所述异常行为判断模块4包括匹配度计算单元和异常行为判断单元;所述匹配度计算单元用于计算所述当前行为链的特征链与所述正常行为链的特征链的余弦值,所述匹配度为所述余弦值;所述异常行为判断单元用于当所述余弦值大于预设值时,所述当前行为为正常行为,否则所述当前行为为异常行为。将当前行为链的特征链记为矢量
,正常行为链的特征链记为矢量/>
,余弦值:
最后说明的是,以上实施例仅用以说明本申请的技术方案而非限制,尽管参照较佳实施例对本申请进行了详细说明,本领域的普通技术人员应当理解,可以对本申请的技术方案进行修改或者等同替换,而不脱离本申请技术方案的宗旨和范围,其均应涵盖在本申请的权利要求范围当中。
Claims (2)
1.一种行为特征链模型的工控异常行为监测方法,其特征在于,包括如下步骤:
S1、采集工业控制网络正常状态下设备间的多个正常行为的数据;
S2、提取每个所述正常行为的数据的特征数据建立正常行为链,基于所述正常行为链中每个行为及其频次建立所述正常行为链的特征链;所述提取每个所述正常行为的数据的特征数据建立正常行为链,基于所述正常行为链中每个行为及其频次建立所述正常行为链的特征链包括如下步骤:
S21、按时序排列所述多个正常行为的数据;
S22、对每个所述正常行为的数据进行深度数据包检测,提取每个所述正常行为的数据的特征数据,所述正常行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值;
S23、基于所述正常行为的数据的特征数据,通过经过预训练的向量生成模型获取每个所述正常行为的数据的特征数据的语义向量;
S24、基于每个正常行为的数据的特征数据的语义向量和时序建立正常行为链;基于每个正常行为的特征数据的语义向量确定所述正常行为中的每个行为与其他行为之间的关系,基于所述正常行为中的每个行为与其他行为之间的关系及时序通过神经网络预测训练模型建立正常行为链的预测,所述正常行为链的预测为通过现有的正常行为中的部分正常行为作为样本来训练预测完整的正常行为链;
S25、基于所述正常行为链中每个行为的频次建立正常行为链的特征链;
S3、实时采集工业控制网络当前状态设备间的多个当前行为的数据,提取每个所述当前行为的数据的特征数据建立当前行为链,基于所述当前行为链中每个行为及其频次建立所述当前行为链的特征链;所述实时采集工业控制网络当前状态设备间的多个当前行为的数据,提取每个所述当前行为的数据的特征数据建立当前行为链,基于所述当前行为链中每个行为及其频次建立所述当前行为链的特征链包括如下步骤:
S31、设置时间窗口,所述时间窗口的每个子时间窗口内的数据为一个行为的完成数据,包括:设置每个子时间窗口的增加量,每个所述子时间窗口内的数据为所述多个当前行为中的每个行为对应的进程的编码数据;
S32、滑动时间窗口实时采集工业控制网络当前状态设备间的多个当前行为的数据;
S33、提取时间窗口内的当前行为的数据的特征数据,所述当前行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值;
S34、基于所述多个当前行为中的每个行为的数据的特征数据的语义向量和时序建立所述当前行为链;基于所述多个当前行为中的每个行为的特征数据的语义向量确定所述多个当前行为中的每个行为与其他行为之间的关系,基于所述当前行为中的每个行为与其他行为之间的关系及时序通过神经网络预测训练模型建立对所述当前行为链的预测,对所述当前行为链的预测为通过现有的当前行为作为输入来预测完整的当前行为链,对所述当前行为链的预测通过前期正常行为链的神经网络预测训练模型来处理;
S35、基于所述当前行为链中每个行为的频次建立当前行为链的特征链;
S4、将所述当前行为链的特征链与所述正常行为链的特征链匹配,根据匹配度判断是否异常;所述匹配为计算所述当前行为链的特征链与所述正常行为链的特征链的余弦值,所述匹配度为所述余弦值,当所述余弦值大于预设值时,所述当前行为为正常行为,否则所述当前行为为异常行为。
2.一种行为特征链模型的工控异常行为监测系统,其特征在于,包括正常行为采集模块、正常行为链的特征链构建模块、当前行为特征链构建模块和异常行为判断模块;其中,所述正常行为采集模块用于采集工业控制网络正常状态下设备间的多个正常行为的数据;所述正常行为链的特征链构建模块用于提取每个所述正常行为的数据的特征数据建立正常行为链,基于每个正常行为的特征数据的语义向量确定所述正常行为中的每个行为与其他行为之间的关系,基于所述正常行为中的每个行为与其他行为之间的关系及时序通过神经网络预测训练模型建立正常行为链的预测,所述正常行为链的预测为通过现有的正常行为中的部分正常行为作为样本来训练预测完整的正常行为链;基于所述正常行为链中每个行为及其频次建立所述正常行为链的特征链;所述当前行为特征链构建模块用于实时采集工业控制网络当前状态设备间的多个当前行为的数据,提取每个所述当前行为的数据的特征数据建立当前行为链,基于所述当前行为链中每个行为及其频次建立所述当前行为链的特征链;所述异常行为判断模块用于将所述当前行为链的特征链与所述正常行为链的特征链匹配,根据匹配度判断是否异常;所述匹配为计算所述当前行为链的特征链与所述正常行为链的特征链的余弦值,所述匹配度为所述余弦值,当所述余弦值大于预设值时,所述当前行为为正常行为,否则所述当前行为为异常行为;所述正常行为链的特征链构建模块包括数据时序排列单元、正常行为特征数据提取单元、语义向量训练单元、正常行为链构建单元和正常行为特征链提取单元;其中,所述数据时序排列单元用于按时序排列所述多个正常行为的数据;所述正常行为特征数据提取单元用于对每个所述正常行为的数据进行深度数据包检测,提取每个所述正常行为的数据的特征数据,所述正常行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值;所述语义向量训练单元用于基于所述正常行为的数据的特征数据,通过经过预训练的向量生成模型获取每个所述正常行为的数据的特征数据的语义向量;所述正常行为链构建单元用于基于每个正常行为的数据的特征数据的语义向量和时序建立正常行为链;所述正常行为特征链提取单元用于基于所述正常行为链中每个行为的频次建立正常行为链的特征链;所述当前行为特征链构建模块包括时间窗口设置单元、当前行为数据采集单元、当前行为数据特征数据提取单元、当前行为链构建单元和当前行为特征链提取单元;其中所述时间窗口设置单元用于设置时间窗口,所述时间窗口的每个子时间窗口内的数据为一个行为的完成数据,包括:设置每个子时间窗口的增加量,每个所述子时间窗口内的数据为所述多个当前行为中的每个行为对应的进程的编码数据;所述当前行为数据采集单元用于滑动时间窗口实时采集工业控制网络当前状态设备间的多个当前行为的数据;所述当前行为数据特征数据提取单元用于提取时间窗口内的当前行为的数据的特征数据,所述当前行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值;所述当前行为链构建单元用于基于所述多个当前行为中的每个行为的数据的特征数据的语义向量和时序建立所述当前行为链;基于所述多个当前行为中的每个行为的特征数据的语义向量确定所述多个当前行为中的每个行为与其他行为之间的关系,基于所述当前行为中的每个行为与其他行为之间的关系及时序通过神经网络预测训练模型建立对所述当前行为链的预测,对所述当前行为链的预测为通过现有的当前行为作为输入来预测完整的当前行为链,对所述当前行为链的预测通过前期正常行为链的神经网络预测训练模型来处理;所述当前行为特征链提取单元用于基于所述当前行为链中每个行为的频次建立当前行为链的特征链。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211341764.8A CN115604016B (zh) | 2022-10-31 | 2022-10-31 | 一种行为特征链模型的工控异常行为监测方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211341764.8A CN115604016B (zh) | 2022-10-31 | 2022-10-31 | 一种行为特征链模型的工控异常行为监测方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115604016A CN115604016A (zh) | 2023-01-13 |
| CN115604016B true CN115604016B (zh) | 2023-06-23 |
Family
ID=84851302
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211341764.8A Active CN115604016B (zh) | 2022-10-31 | 2022-10-31 | 一种行为特征链模型的工控异常行为监测方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115604016B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114915501A (zh) * | 2022-07-15 | 2022-08-16 | 北京微步在线科技有限公司 | 基于进程行为图的入侵事件检测方法、装置及电子设备 |
| CN115190191A (zh) * | 2022-09-13 | 2022-10-14 | 中电运行(北京)信息技术有限公司 | 基于协议解析的电网工业控制系统及控制方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170124464A1 (en) * | 2015-10-28 | 2017-05-04 | Fractal Industries, Inc. | Rapid predictive analysis of very large data sets using the distributed computational graph |
| US11277420B2 (en) * | 2017-02-24 | 2022-03-15 | Ciena Corporation | Systems and methods to detect abnormal behavior in networks |
| CN108664375B (zh) * | 2017-03-28 | 2021-05-18 | 瀚思安信(北京)软件技术有限公司 | 用于检测计算机网络系统用户的异常行为的方法 |
| US11483326B2 (en) * | 2019-08-30 | 2022-10-25 | Palo Alto Networks, Inc. | Context informed abnormal endpoint behavior detection |
| CN111131314B (zh) * | 2019-12-31 | 2022-04-12 | 奇安信科技集团股份有限公司 | 网络行为的检测方法、装置、计算机设备和存储介质 |
| CN114500075B (zh) * | 2022-02-11 | 2023-11-07 | 中国电信股份有限公司 | 用户异常行为检测方法、装置、电子设备及存储介质 |
| CN114553606B (zh) * | 2022-04-26 | 2022-08-26 | 科大天工智能装备技术(天津)有限公司 | 一种工业控制网络入侵检测方法和系统 |
-
2022
- 2022-10-31 CN CN202211341764.8A patent/CN115604016B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114915501A (zh) * | 2022-07-15 | 2022-08-16 | 北京微步在线科技有限公司 | 基于进程行为图的入侵事件检测方法、装置及电子设备 |
| CN115190191A (zh) * | 2022-09-13 | 2022-10-14 | 中电运行(北京)信息技术有限公司 | 基于协议解析的电网工业控制系统及控制方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于链码特征的几何图形快速识别算法;胡晓宏;;吉林大学学报(理学版)(第03期);第143-147页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115604016A (zh) | 2023-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Zolanvari et al. | Effect of imbalanced datasets on security of industrial IoT using machine learning | |
| CN111600919B (zh) | 智能网络应用防护系统模型的构建方法和装置 | |
| CN110909811A (zh) | 一种基于ocsvm的电网异常行为检测、分析方法与系统 | |
| CN111245848B (zh) | 一种分层依赖关系建模的工控入侵检测方法 | |
| CN110535878B (zh) | 一种基于事件序列的威胁检测方法 | |
| CN111598179B (zh) | 电力监控系统用户异常行为分析方法、存储介质和设备 | |
| Nakhodchi et al. | Steeleye: An application-layer attack detection and attribution model in industrial control systems using semi-deep learning | |
| CN112738014B (zh) | 一种基于卷积时序网络的工控流量异常检测方法及系统 | |
| CN111885060B (zh) | 面向车联网的无损式信息安全漏洞检测系统和方法 | |
| KR20210115991A (ko) | 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치 | |
| CN111224973A (zh) | 一种基于工业云的网络攻击快速检测系统 | |
| CN113556319B (zh) | 物联网下基于长短期记忆自编码分类器的入侵检测方法 | |
| CN111383128A (zh) | 一种用于监测电网嵌入式终端设备运行状态的方法及系统 | |
| CN110768946A (zh) | 一种基于布隆过滤器的工控网络入侵检测系统及方法 | |
| CN114330544A (zh) | 一种业务流量异常检测模型建立方法及异常检测方法 | |
| CN112491860A (zh) | 一种面向工业控制网络的协同入侵检测方法 | |
| CN110851422A (zh) | 一种基于机器学习的数据异常监测模型构建方法 | |
| CN111181930A (zh) | DDoS攻击检测的方法、装置、计算机设备及存储介质 | |
| CN117113262B (zh) | 网络流量识别方法及其系统 | |
| CN117220920A (zh) | 基于人工智能的防火墙策略管理方法 | |
| CN114444096B (zh) | 一种基于数据分析的网络数据储存加密检测系统 | |
| CN115604016B (zh) | 一种行为特征链模型的工控异常行为监测方法和系统 | |
| CN115632887A (zh) | 一种区块链网络异常数据检测方法、装置及设备 | |
| CN114172715B (zh) | 一种基于安全多方计算的工控入侵检测系统及方法 | |
| CN113822337A (zh) | 一种基于多维间序列的工控异常检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |