CN115834105A - 工控数据流检测模型构建及工控数据流检测方法、装置 - Google Patents
工控数据流检测模型构建及工控数据流检测方法、装置 Download PDFInfo
- Publication number
- CN115834105A CN115834105A CN202211175444.XA CN202211175444A CN115834105A CN 115834105 A CN115834105 A CN 115834105A CN 202211175444 A CN202211175444 A CN 202211175444A CN 115834105 A CN115834105 A CN 115834105A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- control data
- data stream
- data flow
- binary sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Image Analysis (AREA)
Abstract
本发明提供了一种工控数据流检测模型构建及工控数据流检测方法、装置,其中,工控数据流检测模型构建方法包括:获取工控数据流样本集,工控数据流样本集包括:正常工控数据流样本和异常工控数据流样本;将工控数据流样本集中的每一个工控数据流样本转换为二进制序列;对二进制序列按照预设字节大小进行划分并将划分后的每一个字节数据作为一个像素点构建得到对应的灰度图像;利用构建得到的每一个灰度图像对预设深度学习模型进行训练直至训练结果满足预设条件,得到工控数据流检测模型。本发明实施例用于解决现有技术中对异常工控数据流的检测中无法检测未知的威胁,误检、漏检的概率大的技术问题。
Description
技术领域
本发明实施例涉及工业控制系统安全技术领域,尤其涉及一种工控数据流检测模型构建及工控数据流检测方法、装置。
背景技术
随着工业化和信息化融合发展不断深入,工业控制系统面临更严峻的威胁。面对大规模的工控网络接入互联网,传统的网络攻击将有更多的机会对工业网络进行攻击,造成十分严重的后果。
目前大部分异常工控数据流检测基本都是针对特定的内容进行检测,对工控数据流中的异常字节进行匹配,无法检测未知的威胁,误检、漏检的概率较大。因此传统的异常工控数据流的检测方法往往难以达到理想效果。
发明内容
本申请提供了一种工控数据流检测模型构建及工控数据流检测方法、装置,以解决现有技术中对异常工控数据流的检测中无法检测未知的威胁,误检、漏检的概率较大的技术问题。
本发明第一方面提供了一种工控数据流检测模型构建方法,包括:获取工控数据流样本集,工控数据流样本集包括:正常工控数据流样本和异常工控数据流样本;将工控数据流样本集中的每一个工控数据流样本转换为二进制序列;对二进制序列按照预设字节大小进行划分并将划分后的每一个字节数据作为一个像素点构建得到对应的灰度图像;利用构建得到的每一个灰度图像对预设深度学习模型进行训练直至训练结果满足预设条件,得到工控数据流检测模型。
本发明实施例提供的工控数据流检测模型构建方法,不需要对工控数据流中的异常字节进行匹配,而是将工控数据流转换为图像,利用图像识别领域高性能、高识别率、高准确率的特点对异常工控数据流进行检测,解决了神经网络训练工控数据流时输入格式不统一的问题,以达到输入训练数据简洁、易处理的效果。同时解决了目前工控流量检测方式中存在的逐个异常数据字节匹配困难的问题。另一方面,通过设置神经网络方式训练、运用深度学习技术,通过采用特征自学习的方式构建工控数据流检测模型,产生检测模型能够快速学习到工控正常数据流和异常数据流中未知的特征,可以学习新的异常工控数据流的特点,对已知的和未知的工控数据流进行检测,解决了检测未知异常工控数据流由于异常字节匹配缺失造成的检测滞后的问题,以达到对未知异常工控数据流预检测的效果。解决传统检测方式中误检、漏检的技术问题。
可选地,将工控数据流样本集中的每一个工控数据流样本转换为二进制序列以及对二进制序列按照字节大小进行划分并将划分后的每一个字节数据作为一个像素点构建得到对应的灰度图像,包括:将每一个工控数据流中的每一个预设格式的数据包转换为二进制序列;对二进制序列按照字节大小进行划分并将划分后的每一个字节数据作为一个像素点构建得到每一个数据包对应的灰度图像。
可选地,将工控数据流样本集中的每一个工控数据流样本转换为二进制序列步骤之前,方法还包括:
对获取到的工控数据流样本集中工控数据流中的数据包进行筛选预处理。
可选地,对二进制序列按照字节大小进行划分步骤之前,方法包括:对转换得到的二进制序列的长度进行归一化处理。
可选地,对二进制字节序列的长度进行归一化处理,包括:获取二进制序列中包含的字节长度;若二进制序列中字节长度小于预设长度,不足部分用零补足;若二进制序列中字节长度大于预设长度,从对应的二进制序列截取预设长度的二进制序列。
可选地,将划分后的每一个字节数据作为一个像素点构建得到对应的灰度图像,方法包括:基于归一化后的二进制序列包含的字节长度,确定待构建的灰度图像的尺寸;根据划分后的每一个字节数据对应的十进制大小来确定待构建的灰度图像中每一个像素点的灰度值;对各像素点的灰度值按照预设顺序依次排列,构建得到灰度图像。
本发明第二方面提供了一种工控数据流检测方法,包括:
获取根据待检测工控数据流转换得到的灰度图像;将灰度图像输入利用第一方面或第一方面任一可选方案中的工控数据流检测模型构建方法构建得到的目标检测模型;根据目标检测模型的输出结果确定待检测工控数据流是否发生异常。
本发明第三方面提供了一种工控数据流检测模型构建装置,包括:第一获取模块,用于获取工控数据流样本集,工控数据流样本集包括:正常工控数据流样本和异常工控数据流样本;转换模块,用于将工控数据流样本集中的每一个工控数据流样本转换为二进制序列;构建模块,用于对二进制序列按照预设字节大小进行划分并将划分后的每一个字节数据作为一个像素点构建得到对应的灰度图像;训练模块,用于利用构建得到的每一个灰度图像对预设深度学习模型进行训练直至训练结果满足预设条件,得到工控数据流检测模型。
本发明提供的工控数据流检测模型构建装置中各部件所执行的功能均已在上述第一方面任一方法实施例中得以应用,因此这里不再赘述。
本发明第四方面提供了一种工控数据流检测装置,包括:第二获取模块,用于获取根据待检测工控数据流转换而来的灰度图像;输入模块,用于将灰度图像输入利用利用第一方面或第一方面任一可选方案中的工控数据流检测模型构建方法构建得到的目标检测模型;确定模块,用于根据目标检测模型的输出结果确定待检测工控数据流是否发生异常。
本发明第五方面提供了一种计算机设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;存储器,用于存放计算机程序;处理器,用于执行存储器上所存放的程序时,实现上述第一方面的工控数据流检测模型构建方法的步骤,或者实现上述第二方面的工控数据流检测方法的步骤。
本发明第六方面提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,计算机指令用于使计算机执行如本发明第一方面提供的工控数据流检测模型构建方法,或者执行如本发明第二方面提供的工控数据流检测方法。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的一种工控数据流检测方法的流程示意图;
图2为本发明一实施例提供的一种工控数据流检测模型构建方法的流程示意图;
图3为本发明一实施例提供的一种工控数据流检测模型构建方法的流程示意图;
图4为本发明一实施例提供的一种工控数据流检测模型构建方法的流程示意图;
图5为本发明一实施例提供的一种工控数据流检测模型构建方法的流程示意图;
图6为本发明一实施例提供的一种工控数据流检测模型构建方法的流程示意图;
图7为本发明一实施例提供的一种工控数据流检测方法的流程示意图;
图8为本发明实施例提供的一种工控数据流检测模型构建装置结构示意图;
图9为本发明实施例提供的一种工控数据流检测装置结构示意图;
图10为本发明实施例提供的一种计算机设备结构示意图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例的附图,对本公开实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例是本公开的一部分实施例,而不是全部的实施例。基于所描述的本公开的实施例,本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例,都属于本公开保护的范围。
除非另外定义,本公开使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开中使用的“一个”、“一”或者“该”等类似词语也不表示数量限制,而是表示存在至少一个。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
背景技术中提到的目前异常工控数据流检测方法,如图1所示,针对特定的内容进行检测,对工控数据流中的异常字节进行匹配,无法检测未知的威胁,检测的难度大,耗费资源多,误检、漏检的概率比较大。同时在面对大规模的工控网络接入互联网,传统的网络攻击将有更多的机会对工业网络进行攻击,将造成十分严重的后果。针对工业网络中传输数据内容具有特定形式的特点,如在时间布置、传输控制动作、联动动作等都和普通网络有很大不同,传统的异常工控数据流的检测方法也不能有较好的效果。并且工控网络基于控制的原因,对网络内传输特定控制动作的数据流不易检测到异常情况。
针对背景技术中所提及的技术问题,本发明实施例提供了一种工控数据流检测模型构建方法,如图2所示,该方法的步骤包括:
步骤S110,获取工控数据流样本集,工控数据流样本集包括:正常工控数据流样本和异常工控数据流样本。
示例性地,从工控数据流中采集大量正常工控数据流和异常工控数据流,形成工控数据流样本集。
步骤S120,将工控数据流样本集中的每一个工控数据流样本转换为二进制序列。
示例性地,获取的工控数据流样本中存储的数据是以工控设备可以解读处理的格式表示的,而不适合直接用来进行图像转换,所以需要将这些数据流转换为二进制序列来进行后续操作。
将不同格式的数据流转换为二进制序列的技术相对成熟,实际应用中可根据具体需要进行适应性选择,此处不再赘述。
步骤S130,对二进制序列按照预设字节大小进行划分并将划分后的每一个字节数据作为一个像素点构建得到对应的灰度图像。
示例性地,对二进制序列按字节进行划分,每个字节值都可以映射到[0,255]中某个值,如果用0代表黑色,255代表白色,[0,255]范围内的值可以表示不同的灰度值。二进制序列中每个字节对应一个像素点,每个字节值对应一个灰度值,从而将二进制序列可视化生成灰度图像。
步骤S140,利用构建得到的每一个灰度图像对预设深度学习模型进行训练直至训练结果满足预设条件,得到工控数据流检测模型。
示例性地,深度学习模型可根据实际需要利用不同的架构来进行构建。作为一种可选实施方式,本实施例中工控数据流检测模型利用Caffe框架建立深度学习模型,选用Fast-CNN的深度学习算法,利用步骤S130所得灰度图像对模型进行训练。
具体地,如图3所示,基于Caffe框架构建的深度学习模型设计共有5层结构组成。从左到右依次为输入层、第一卷积层(C1)、第一池化层(P2)、第二卷积层(C3)、第二池化层(P4)、全连接层(F5)以及输出层(F5’),其中第一卷积层(C1),使用64个尺寸为6*6的卷积核对转换得到的灰度图像进行卷积运算,经过卷积特征补全后的特征图的尺寸为64*64,输出特征图数量为128个。第一池化层(P2),采用4*4池化操作,输出特征图的尺寸为16*16,输出特征图数量为128个。进一步,第二个卷积层(C3),使用64个尺寸为6*6的卷积核对转换后的图片进行卷积运算,经过卷积特征补全后的特征图的尺寸为16*16,输出特征图数量为256个。第二个池化层(P4),采用2*2池化操作,输出128个8*8的特征图。神经元的个数为128*6*6=4068个,输出特征图数量为256个。全连接层(F5),使用6*6的卷积核对P4层进行卷积,同时对权值较低的特征进行丢失处理,对于特征进行全连接,最后输出层(F5’)输出2张特征图。
本发明实施例提供的工控数据流检测模型构建方法,不需要对工控数据流中的异常字节进行匹配,而是将工控数据流转换为图像,利用图像识别领域高性能、高识别率、高准确率的特点对异常工控数据流进行检测,解决了神经网络训练工控数据流时输入格式不统一的问题,以达到输入训练数据简洁、易处理的效果。同时解决了目前工控流量检测方式中存在的逐个异常数据字节匹配困难的问题。另一方面,通过设置神经网络方式训练、运用深度学习技术,通过采用特征自学习的方式构建工控数据流检测模型,产生检测模型能够快速学习到工控正常数据流和异常数据流中未知的特征,可以学习新的异常工控数据流的特点,对已知的和未知的工控数据流进行检测,解决了检测未知异常工控数据流由于异常字节匹配缺失造成的检测滞后的问题,以达到对未知异常工控数据流预检测的效果。解决传统检测方式中误检、漏检的技术问题。
作为本发明一可选实施方式,步骤S120以及步骤S130,包括:
步骤S210,将每一个工控数据流中的每一个预设格式的数据包转换为二进制序列。
示例性地,由于数据是按照数据流的方式采集的,需要将数据流分开成为包的形式来处理。例如本实施例中采用将数据流中的数据包转换为二进制序列的方式来处理。
本实施例中采取预设格式的数据包的目的在于,在实际应用中为了方便对数据包进行操作,会根据需要将数据包存储为预设格式。比如某种软件或程序擅长处理某种格式的数据,则需要将数据包转换为指定的格式交由相应软件或程序来处理。具体地,在本实施例中,为了便于操作,将获取到的数据流存储为pcap格式,然后将pcap格式的数据包转换为二进制文件,如图4所示,图中bin表示二进制文件格式。此处对数据包存储格式不做限制,根据实际应用需要适应性选择。
步骤S220,对二进制序列按照字节大小进行划分并将划分后的每一个字节数据作为一个像素点构建得到每一个数据包对应的灰度图像。
本实施例中,步骤S220与上述实施例中的步骤S130类似,此处不再赘述。
本发明实施例提供的工控数据流检测模型构建方法,通过将数据包存储为指定格式来方便软件或程序对数据进行操作,提高数据处理效率。
作为本发明一可选实施方式,还包括:
步骤S310,对获取到的工控数据流样本集中工控数据流中的数据包进行筛选预处理。
示例性地,获取到的工控数据流可能包含不同种类的数据包,比如由同一个源IP发送到不同的目的IP的数据包,有发送出去的数据包,也有反馈数据包等,这些数据包不一定都是训练模型所需要的或所获取的一些数据包数据存在瑕疵,所以需要对获取到的工控数据流中的数据包进行筛选预处理。具体地,筛选之前需要对数据包进行分类,如图4所示。由于数据是按照数据流的方式采集的,需要将数据流分开成为包的形式,本实施例中按照五元组(源端口号、目的端口号、协议、源IP、目的IP)、开始发送时间、包长度将数据流分开成为不同的数据包形式。为了数据样本的多样性,实现对数据样本的增强,本实施例样本数据包包括按照源和目的IP、源和目的端口反向后获取反方向的数据包。
按照上述分类规则对数据流中数据包进行分类,从分好类的数据包中筛选训练模型所需数据包,比如训练模型所需数据包类型需要满足五元组中五个参数中的某几个参数条件,则可以将这几个参数条件设置为筛选条件来对数据包进行过滤。此处对数据筛选条件的设置不做限制,可根据实际需要进行适应性调整设置。同时,所获取的数据包中还可能存在重复数据包或者不完整数据包,这些数据包也需要过滤和清理掉,如图4所示。还有由于数据包中特征包括MAC和IP,但是MAC和IP很少具有工业数据流中的攻击特征,所以将MAC和IP作为检测模型的训练特征将导致训练的数据产生更多的特征,影响模型的训练,所以将分好类的数据包中的MAC和IP进行随机化处理来减少训练特征。
本发明实施例提供的工控数据流检测模型构建方法,通过对数据进行预处理精准地筛选有效数据,从而得到符合准确、完整、简洁等标准的高质量数据,保证该数据包能更好地服务于检测模型的构建。
作为本发明一可选实施方式,还包括:
步骤S410,对转换得到的二进制序列的长度进行归一化处理。
示例性地,由于不同数据包转换而来的二进制序列的长度不同,这样直接构建出的灰度图像二维尺寸不同,造成评价指标不统一,在机器学习领域中,不同评价指标往往具有不同的量纲和量纲单位,这样的情况会影响到数据分析的结果,为了消除指标之间的量纲影响,需要进行数据归一化处理,以解决数据指标之间的可比性。原始数据经过数据归一化处理后,各指标处于同一数量级,适合进行综合对比评价。同时将不同长度的二进制序列进行归一化处理后再转换为灰度图像进入检测模型,检测模型更易识别,有助于提高检测模型的检测精度。具体的归一化过程详见步骤S510至步骤S530。
本发明实施例提供的工控数据流检测模型构建方法,对二进制序列进行数据归一化处理,消除评价指标之间的量纲影响,以解决数据指标之间的可比性。原始数据经过数据归一化处理后,各指标处于同一数量级,适合进行综合对比评价,提高分类模型的分类精度。
作为本发明一可选实施方式,步骤S410,包括:
步骤S510,获取二进制序列中包含的字节长度。
示例性地,在对二进制序列进行归一化时,首先需要确定归一化执行的长度标准,即预设长度,以此预设长度为参照对获取的二进制序列包含的字节长度进行截长补短,使其最终满足归一化要求的预设长度。
步骤S520,若二进制序列中字节长度小于预设长度,不足部分用零补足。
示例性地,如图5所示,以预设长度为1024个字节为列,由于训练的数据集中的样本数据需要具有相同的长度,不足1024字节的数据包用0x00补齐。
步骤S530,若二进制序列中字节长度大于预设长度,从对应的二进制序列截取预设长度的二进制序列。
示例性地,如图5所示,以预设长度为1024个字节为列,若数据包转换而来的二进制序列长度大于1024个字节,则该序列取1024个字节形成新的二进制序列。此处需要说明的是若数据包转换而来的二进制序列长度大于预设长度时,在截取时,可截取二进制序列前预设长度的字节,也可在二进制序列的中段部分截取预设长度,根据实际情况进行调整,此处不做限制。
本发明实施例提供的工控数据流检测模型构建方法,对二进制序列进行数据归一化处理,消除评价指标之间的量纲影响,以解决数据指标之间的可比性。原始数据经过数据归一化处理后,各指标处于同一数量级,适合进行综合对比评价,提高分类模型的分类精度。
作为本发明一可选实施方式,还包括:
步骤S610,基于归一化后的二进制序列包含的字节长度,确定待构建的灰度图像的尺寸。
示例性地,灰度图像的尺寸与归一化后的二进制序列包含的字节长度对应。具体地,如经归一化后的二进制序列包含的字节长度为1024个字节,则可以确定的一种图像尺寸为32*32,或者其它尺寸,只需灰度图像的二维尺寸乘积为1024即可。
步骤S620,根据划分后的每一个字节数据对应的十进制大小来确定待构建的灰度图像中每一个像素点的灰度值。
示例性地,对二进制序列按字节进行划分,每个字节值都可以映射到[0,255]中某个值,如果用0代表黑色,255代表白色,[0,255]范围内的值可以表示不同的灰度值。
步骤S630,对各像素点的灰度值按照预设顺序依次排列,构建得到灰度图像。
示例性地,二进制序列中每个字节对应一个像素点,每个字节值对应一个灰度值,将二进制文件的每个字节依次转换为[width,height]的2D数组,最后将2D数组可视化为[0,255]范围内的灰度图像。
示例性地,作为一种可选实施方式,在实际应用中为了便于对灰度图像进行操作,本实施例中可以将灰度图像封装成为idx格式的文件,然后输入到检测模型进行训练或者检测,如图6。此处对数据包存储格式不做限制,根据实际应用需要进行适应性选择。
本发明实施例提供的工控数据流检测模型构建方法,通过将不同长度的二进制序列进行归一化处理后来确定待构建的灰度图像的尺寸,再将归一化处理后的二进制序列转换为统一尺寸的灰度图像进入检测模型,消除评价指标之间的量纲影响,解决数据指标之间的可比性,使得检测模型更易识别,提高检测模型的检测精度。
本发明实施例提供了一种工控数据流检测方法,如图7所示,该方法步骤包括:
步骤S710,获取根据待检测工控数据流转换得到的灰度图像;
步骤S720,将灰度图像输入利用上述任一工控数据流检测模型构建方法实施例构建得到的目标检测模型;
步骤S730,根据目标检测模型的输出结果确定待检测工控数据流是否发生异常。
本实施例具体实现过程详参上述工控数据流检测模型构建方法实施例,此处不在赘述。
图8为本发明一实施例提供的一种工控数据流检测模型构建装置,本实施例中的工控数据流检测模型构建装置包括:
第一获取模块810,用于获取工控数据流样本集,工控数据流样本集包括:正常工控数据流样本和异常工控数据流样本。详细内容参见上述实施例中步骤S110的描述,在此不再赘述。
转换模块820,用于将工控数据流样本集中的每一个工控数据流样本转换为二进制序列。详细内容参见上述实施例中步骤S120的描述,在此不再赘述。
构建模块830,用于对二进制序列按照预设字节大小进行划分并将划分后的每一个字节数据作为一个像素点构建得到对应的灰度图像。详细内容参见上述实施例中步骤S130的描述,在此不再赘述。
训练模块840,用于利用构建得到的每一个灰度图像对预设深度学习模型进行训练直至训练结果满足预设条件,得到工控数据流检测模型。详细内容参见上述实施例中步骤S140的描述,在此不再赘述。
作为本实施例一可选装置,转换模块820,包括:
转换子模块,用于将每一个工控数据流中的每一个预设格式的数据包转换为二进制序列。详细内容参见上述实施例中步骤S210的描述,在此不再赘述。
作为本实施例一可选装置,构建模块830,包括:
第一构建子模块,用于对二进制序列按照字节大小进行划分并将划分后的每一个字节数据作为一个像素点构建得到每一个数据包对应的灰度图像。详细内容参见上述实施例中步骤S220的描述,在此不再赘述。
作为本实施例一可选装置,还包括:
筛选模块,用于对获取到的工控数据流样本集中工控数据流中的数据包进行筛选预处理。详细内容参见上述实施例中步骤S310的描述,在此不再赘述。
作为本实施例一可选装置,还包括:
归一化模块,用于对转换得到的二进制序列的长度进行归一化处理。详细内容参见上述实施例中步骤S410的描述,在此不再赘述。
作为本实施例一可选装置,归一化模块,包括:
获取子模块,用于获取二进制序列中包含的字节长度。详细内容参见上述实施例中步骤S510的描述,在此不再赘述。
补足子模块,用于若二进制序列中字节长度小于预设长度,不足部分用零补足。详细内容参见上述实施例中步骤S520的描述,在此不再赘述。
截取子模块,用于若二进制序列中字节长度大于预设长度,从对应的二进制序列截取预设长度的二进制序列。详细内容参见上述实施例中步骤S530的描述,在此不再赘述。
作为本实施例一可选装置,构建模块830,包括:
第一确定子模块,用于基于归一化后的二进制序列包含的字节长度,确定待构建的灰度图像的尺寸。详细内容参见上述实施例中步骤S610的描述,在此不再赘述。
第二确定子模块,用于根据划分后的每一个字节数据对应的十进制大小来确定待构建的灰度图像中每一个像素点的灰度值。详细内容参见上述实施例中步骤S620的描述,在此不再赘述。
第二构建子模块,用于对各像素点的灰度值按照预设顺序依次排列,构建得到灰度图像。详细内容参见上述实施例中步骤S630的描述,在此不再赘述。
图9为本发明一实施例提供的一种工控数据流检测装置,本实施例中的工控数据流检测装置包括:
第二获取模块910,用于获取根据待检测工控数据流转换而来的灰度图像。详细内容参见上述实施例中步骤S710的描述,在此不再赘述。
输入模块920,用于将灰度图像输入利用上述任一工控数据流检测模型构建方法构建得到的目标检测模型。详细内容参见上述实施例中步骤S720的描述,在此不再赘述。
确定模块930,用于根据目标检测模型的输出结果确定待检测工控数据流是否发生异常。详细内容参见上述实施例中步骤S730的描述,在此不再赘述。
本发明实施例提供了一种计算机设备,如图10所示,该设备包括一个或多个处理器1010以及存储器1020,存储器1020包括持久内存、易失内存和硬盘,图10中以一个处理器1010为例。该设备还可以包括:输入装置1030和输出装置1040。
处理器1010、存储器1020、输入装置1030和输出装置1040可以通过总线或者其他方式连接,图10中以通过总线连接为例。
处理器1010可以为中央处理器(Central Processing Unit,CPU)。处理器1010还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。存储器1020可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据工控数据流检测模型构建装置,或者工控数据流检测装置的使用所创建的数据等。此外,存储器1020可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器1020可选包括相对于处理器1010远程设置的存储器,这些远程存储器可以通过网络连接至工控数据流检测模型构建装置,或者工控数据流检测装置。输入装置1030可接收用户输入的计算请求(或其他数字或字符信息),以及产生与工控数据流检测模型构建装置,或者工控数据流检测装置有关的键信号输入。输出装置1040可包括显示屏等显示设备,用以输出计算结果。
本发明实施例提供了一种计算机可读存储介质,该计算机可读存储介质存储计算机指令,计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例中的工控数据流检测模型构建方法,或者工控数据流检测方法。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(RandomAccess Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读存储介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读存储介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读存储介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RandomAccess Memory,RAM),只读存储器(Read-Only Memory,ROM),可擦除可编辑只读存储器(Erasable Programmable Read-Only Memory,EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(Compact Disc Read-Only Memory,CDROM)。另外,计算机可读存储介质甚至可以是可在其上打印程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得程序,然后将其存储在计算机存储器中。
应当理解,本公开的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(Programmable Gate Array,PGA),现场可编程门阵列(Field Programmable Gate Array,FPGA)等。
在本说明书的描述中,参考术语“本实施例”、“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本公开的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。在本公开描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (11)
1.一种工控数据流检测模型构建方法,其特征在于,包括:
获取工控数据流样本集,所述工控数据流样本集包括:正常工控数据流样本和异常工控数据流样本;
将所述工控数据流样本集中的每一个工控数据流样本转换为二进制序列;
对所述二进制序列按照预设字节大小进行划分并将划分后的每一个字节数据作为一个像素点构建得到对应的灰度图像;
利用构建得到的每一个所述灰度图像对预设深度学习模型进行训练直至训练结果满足预设条件,得到工控数据流检测模型。
2.根据权利要求1所述的工控数据流检测模型构建方法,所述将所述工控数据流样本集中的每一个工控数据流样本转换为二进制序列以及对所述二进制序列按照字节大小进行划分并将划分后的每一个字节数据作为一个像素点构建得到对应的灰度图像,包括:
将每一个工控数据流中的每一个预设格式的数据包转换为二进制序列;
对所述二进制序列按照字节大小进行划分并将划分后的每一个字节数据作为一个像素点构建得到每一个数据包对应的灰度图像。
3.根据权利要求1所述的工控数据流检测模型构建方法,其特征在于,所述将所述工控数据流样本集中的每一个工控数据流样本转换为二进制序列步骤之前,所述方法还包括:
对获取到的工控数据流样本集中工控数据流中的数据包进行筛选预处理。
4.根据权利要求1所述的工控数据流检测模型构建方法,其特征在于,所述对所述二进制序列按照字节大小进行划分步骤之前,所述方法包括:
对转换得到的所述二进制序列的长度进行归一化处理。
5.根据权利要求4所述的工控数据流检测模型构建方法,其特征在于,所述对所述二进制字节序列的长度进行归一化处理,包括:
获取所述二进制序列中包含的字节长度;
若所述二进制序列中字节长度小于预设长度,不足部分用零补足;
若所述二进制序列中字节长度大于所述预设长度,从对应的二进制序列截取预设长度的二进制序列。
6.根据权利要求4所述的工控数据流检测模型构建方法,其特征在于,所述将划分后的每一个字节数据作为一个像素点构建得到对应的灰度图像,所述方法包括:
基于归一化后的二进制序列包含的字节长度,确定待构建的灰度图像的尺寸;
根据划分后的每一个字节数据对应的十进制大小来确定所述待构建的灰度图像中每一个像素点的灰度值;
对各像素点的灰度值按照预设顺序依次排列,构建得到灰度图像。
7.一种工控数据流检测方法,其特征在于,包括:
获取根据待检测工控数据流转换得到的灰度图像;
将所述灰度图像输入利用如权利要求1-6中任一项所述的工控数据流检测模型构建方法构建得到的目标检测模型;
根据所述目标检测模型的输出结果确定待检测工控数据流是否发生异常。
8.一种工控数据流检测模型构建装置,其特征在于,包括:
第一获取模块,用于获取工控数据流样本集,所述工控数据流样本集包括:正常工控数据流样本和异常工控数据流样本;
转换模块,用于将所述工控数据流样本集中的每一个工控数据流样本转换为二进制序列;
构建模块,用于对所述二进制序列按照预设字节大小进行划分并将划分后的每一个字节数据作为一个像素点构建得到对应的灰度图像;
训练模块,用于利用构建得到的每一个所述灰度图像对预设深度学习模型进行训练直至训练结果满足预设条件,得到工控数据流检测模型。
9.一种工控数据流检测装置,其特征在于,包括:
第二获取模块,用于获取根据待检测工控数据流转换而来的灰度图像;
输入模块,用于将所述灰度图像输入利用如权利要求1-6中任一项所述的工控数据流检测模型构建方法构建得到的目标检测模型;
确定模块,用于根据所述目标检测模型的输出结果确定待检测工控数据流是否发生异常。
10.一种计算机设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-6任一项所述工控数据流检测模型构建方法的步骤,或者实现权利要求7所述的工控数据流检测方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6任一项所述的工控数据流检测模型构建方法的步骤,或者实现如权利要求7所述的工控数据流检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211175444.XA CN115834105A (zh) | 2022-09-26 | 2022-09-26 | 工控数据流检测模型构建及工控数据流检测方法、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211175444.XA CN115834105A (zh) | 2022-09-26 | 2022-09-26 | 工控数据流检测模型构建及工控数据流检测方法、装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115834105A true CN115834105A (zh) | 2023-03-21 |
Family
ID=85523982
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211175444.XA Pending CN115834105A (zh) | 2022-09-26 | 2022-09-26 | 工控数据流检测模型构建及工控数据流检测方法、装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115834105A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116719483A (zh) * | 2023-08-09 | 2023-09-08 | 成都泛联智存科技有限公司 | 数据去重方法、装置、存储设备和计算机可读存储介质 |
-
2022
- 2022-09-26 CN CN202211175444.XA patent/CN115834105A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116719483A (zh) * | 2023-08-09 | 2023-09-08 | 成都泛联智存科技有限公司 | 数据去重方法、装置、存储设备和计算机可读存储介质 |
| CN116719483B (zh) * | 2023-08-09 | 2023-10-27 | 成都泛联智存科技有限公司 | 数据去重方法、装置、存储设备和计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108985361B (zh) | 一种基于深度学习的恶意流量检测实现方法和装置 | |
| CN107944427B (zh) | 动态人脸识别方法及计算机可读存储介质 | |
| CN111447190A (zh) | 一种加密恶意流量的识别方法、设备及装置 | |
| CN112566174B (zh) | 一种基于深度学习的异常i/q信号识别方法及系统 | |
| US10997469B2 (en) | Method and system for facilitating improved training of a supervised machine learning process | |
| CN111079764B (zh) | 一种基于深度学习的低照度车牌图像识别方法及装置 | |
| CN111766253A (zh) | 锡膏印刷品质检测方法、数据处理装置及计算机存储介质 | |
| CN114998695B (zh) | 一种提高图像识别速度的方法及系统 | |
| CN110826429A (zh) | 一种基于景区视频的旅游突发事件自动监测的方法及系统 | |
| CN115834105A (zh) | 工控数据流检测模型构建及工控数据流检测方法、装置 | |
| CN114039901A (zh) | 基于残差网络和循环神经网络混合模型的协议识别方法 | |
| CN105095835A (zh) | 行人检测方法及系统 | |
| CN117147561B (zh) | 用于金属拉链的表面质量检测方法及系统 | |
| CN111901594B (zh) | 面向视觉分析任务的图像编码方法、电子设备及介质 | |
| CN112383828B (zh) | 一种具有类脑特性的体验质量预测方法、设备及系统 | |
| CN110909674A (zh) | 一种交通标志识别方法、装置、设备和存储介质 | |
| CN114429640A (zh) | 图纸分割方法、装置及电子设备 | |
| CN116346452B (zh) | 一种基于stacking的多特征融合恶意加密流量识别方法和装置 | |
| CN116451081A (zh) | 数据漂移的检测方法、装置、终端及存储介质 | |
| Liu et al. | Visual privacy-preserving level evaluation for multilayer compressed sensing model using contrast and salient structural features | |
| CN104780310A (zh) | 一种图像模糊的检测方法、系统及摄像机 | |
| WO2023273196A1 (zh) | 一种文本识别方法及相关装置 | |
| CN115761667A (zh) | 一种基于改进fcos算法的无人车辆搭载摄像头目标检测方法 | |
| CN115314239A (zh) | 基于多模型融合的隐匿恶意行为的分析方法和相关设备 | |
| CN114708247A (zh) | 基于深度学习的烟盒包装缺陷识别方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |