CN116112265B - 一种异常会话的确定方法、电子设备及存储介质 - Google Patents
一种异常会话的确定方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116112265B CN116112265B CN202310113517.0A CN202310113517A CN116112265B CN 116112265 B CN116112265 B CN 116112265B CN 202310113517 A CN202310113517 A CN 202310113517A CN 116112265 B CN116112265 B CN 116112265B
- Authority
- CN
- China
- Prior art keywords
- session
- abnormal
- processed
- data set
- vector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种异常会话的确定方法、电子设备及存储介质,方法包括以下步骤:获取待处理会话的待处理会话数据集;所述待处理会话数据集中包括属于同一会话的若干S帧报文、U帧报文和I帧报文;每一I帧报文包括其对应的数据类型;对所述待处理会话数据集进行第一特征提取处理,得到所述待处理会话的待处理会话向量A;获取第一匹配度P1=1‑(A·B)/(|A|×|B|);获取第二匹配度P2=1‑(A·C)/(|A|×|C|);若P1<P2,则确定所述待处理会话为正常会话;否则,确定所述待处理会话为异常会话;本申请中,通过分别对比A与B之间的匹配度以及A与C之间的匹配度,确定出A对应的待处理会话是否为异常会话。
Description
技术领域
本申请涉及数据处理领域,尤其涉及一种异常会话的确定方法、电子设备及存储介质。
背景技术
IEC104是一种广泛应用于电力工控等领域的通讯协议。能够用于主控设备(如上位机等)和被控设备(如采样器或可编程逻辑控制器等)之间的通讯。二者进行通讯时可以采用长连接进行报文的发送,如S帧报文、U帧报文和I帧报文等。而一次长连接中的通讯过程称为一次session会话。
现在有很多恶意攻击者,会通过中间人攻击等方式对工控系统的入侵,从而破坏工控系统的正常运行。但这种攻击方式很难通过例如杀毒软件的方式进行识别,所以亟需一种可以通过对报文进行识别检测异常的方法。
发明内容
有鉴于此,本申请提供一种异常会话的确定方法、电子设备及存储介质,至少部分解决现有技术中存在的问题。
在本申请的一方面,提供一种异常会话的确定方法,包括以下步骤:
S100,获取待处理会话的待处理会话数据集;所述待处理会话数据集中包括属于同一会话的若干S帧报文、U帧报文和I帧报文;每一I帧报文包括其对应的数据类型。
S200,对所述待处理会话数据集进行第一特征提取处理,得到所述待处理会话的待处理会话向量A=(NumS,NumU,NumI,F1,F2,…,Fi,…,Fn),i=1,2,…,n;其中,NumS为所述待处理会话数据集中S帧报文的数量,NumU为所述待处理会话数据集中U帧报文的数量,NumI为所述待处理会话数据集中I帧报文的数量,n为预设的数据类型的数量,Fi为第i种数据类型的类型标识,若Fi=1,表示待处理会话数据集中包含第i种数据类型的I帧报文,若Fi=2,表示待处理会话数据集中不包含第i种数据类型的I帧报文。
S300,获取第一匹配度P1=1-(A·B)/(|A|×|B|);其中,B为预设的标准正常会话向量。
S400,获取第二匹配度P2=1-(A·C)/(|A|×|C|);其中,C为预设的标准异常会话向量。
S500,若P1<P2,则确定所述待处理会话为正常会话;否则,确定所述待处理会话为异常会话。
其中,B和C通过以下步骤确定:
S010,获取若干历史正常会话数据集和若干历史异常会话数据集。
S020,分别对每一历史正常会话数据集进行第一特征提取处理,得到历史正常会话向量列表LB=(LB1,LB2,…,LBy,…,LBx),y=1,2,…,x;其中,x为历史正常会话数据集的数量,LBy为第y个历史正常会话数据集对应的历史正常会话向量。
S030,分别对每一历史异常会话数据集进行第一特征提取处理,得到历史异常会话向量列表LC=(LC1,LC2,…,LCq,…,LCp),q=1,2,…,p;其中,p为历史异常会话数据集的数量,LCq为第q个历史异常会话数据集对应的历史异常会话向量。
S040,根据LB,获取标准正常会话向量B=(∑x y=1LBy)/x。
S050,根据LC,获取标准异常会话向量C=(∑p q=1LCq)/p。
在本申请的另一方面,提供一种电子设备,包括处理器和存储器。
所述处理器通过调用所述存储器存储的程序或指令,用于执行上述任一项所述方法的步骤。
在本申请的另一方面,提供一种非瞬时性计算机可读存储介质,所述非瞬时性计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行上述任一项所述方法的步骤。
本申请提供的异常会话的确定方法,通过对历史正常会话数据集和历史异常会话数据集进行第一特征提取,使得提取到的历史正常会话向量和历史异常会话向量的向量形式与待处理会话向量A相同。使得本身申请中得到的待处理会话向量、历史正常会话向量和历史异常会话向量能够体现出对应的会话中的报文的特征(如每一帧类型的报文的数量,以及包含哪些数据类型的I帧报文)。经研究发现,在工控系统中,由于大量的通讯工作都是重复性的,故而各个通讯环节中其报文特征相对较为统一。因此,本申请中,通过对历史正常会话向量进行处理得到标准正常会话向量,以及通过对历史异常会话向量进行处理得到标准异常会话向量,从而可以通过分别对比A与B之间的匹配度以及A与C之间的匹配度,确定出A对应的待处理会话是否为异常会话,从而确定对应的工控系统是否存在异常。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请提供的一种异常会话的确定方法的流程图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。
需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
名词解释:
IEC104:IEC104协议是一个广泛应用于电力、城市轨道交通等行业的国际标准。IEC104协议由国际电工委员会制定。IEC104协议把IEC101的应用服务数据单元(ASDU)用网络协议TCP/IP进行传输的标准,该标准为远动信息的网络传输提供了通信协议依据。采用104协议组合101协议的ASDU的方式后,可很好的保证协议的标准化和通信的可靠性。
IEC104协议的报文格式有三种,具体为I帧报文、U帧报文和S帧报文。
I帧报文为数据帧报文,用于传输数据,且内部具有数据类型ID,数据类型ID用于表示其携带的数据的数据类型。其中,数据类型可以通过实际所在的工控系统的需求进行设定,一般数据类型的数量为50种到255种。
U帧报文为控制帧报文,用于控制启动、停止和测试等。
S帧报文为确认帧报文,用于确认接收的I帧报文等。
请参考图1,在本申请的一方面,提供一种异常会话的确定方法,包括以下步骤:
S100,获取待处理会话的待处理会话数据集;所述待处理会话数据集中包括属于同一会话的若干S帧报文、U帧报文和I帧报文;每一I帧报文包括其对应的数据类型。其中,一次会话指IEC104协议中的一次会话,即一次长连接或多个长连接组成的一次完整通讯过程。具体的可参考IEC104协议中对session会话的定义。I帧报文中可以具有对应的typeID字段,用于记录对应的数据类型ID,从而可以通过数据类型ID确定该I帧报文对应的数据类型。
S200,对所述待处理会话数据集进行第一特征提取处理,得到所述待处理会话的待处理会话向量A=(NumS,NumU,NumI,F1,F2,…,Fi,…,Fn),i=1,2,…,n;其中,NumS为所述待处理会话数据集中S帧报文的数量,NumU为所述待处理会话数据集中U帧报文的数量,NumI为所述待处理会话数据集中I帧报文的数量,n为预设的数据类型的数量,Fi为第i种数据类型的类型标识,若Fi=1,表示待处理会话数据集中包含第i种数据类型的I帧报文,若Fi=2,表示待处理会话数据集中不包含第i种数据类型的I帧报文。
本实施例中,待处理会话向量A能够体现出待处理会话数据集中各类型帧报文的特征,从而可以用于后续确定待处理会话是否为异常会话。
具体的,第一特征提取处理,可以是对对应的会话数据集(如待处理会话数据集)中每一报文进行遍历,确定每一报文的帧类型,从而确定出S帧报文的数量、U帧报文的数量和I帧报文的数量。以及,针对I帧报文,获取其typeID字段中的数据类型ID,从而确定出每一I帧报文对应的数据类型,以确定出F1,F2,…,Fi,…,Fn的具体特征值。
S300,获取第一匹配度P1=1-(A·B)/(|A|×|B|);其中,B为预设的标准正常会话向量。
S400,获取第二匹配度P2=1-(A·C)/(|A|×|C|);其中,C为预设的标准异常会话向量。
S500,若P1<P2,则确定所述待处理会话为正常会话;否则,确定所述待处理会话为异常会话。
其中,B和C通过以下步骤确定:
S010,获取若干历史正常会话数据集和若干历史异常会话数据集。
S020,分别对每一历史正常会话数据集进行第一特征提取处理,得到历史正常会话向量列表LB=(LB1,LB2,…,LBy,…,LBx),y=1,2,…,x;其中,x为历史正常会话数据集的数量,LBy为第y个历史正常会话数据集对应的历史正常会话向量。
S030,分别对每一历史异常会话数据集进行第一特征提取处理,得到历史异常会话向量列表LC=(LC1,LC2,…,LCq,…,LCp),q=1,2,…,p;其中,p为历史异常会话数据集的数量,LCq为第q个历史异常会话数据集对应的历史异常会话向量。
其中,由于历史正常会话向量和历史异常会话向量是通过对若干历史正常会话数据集和若干历史异常会话数据集进行与待处理会话数据集相同的第一特征提取处理而得到的,故而,待处理会话向量,历史正常会话向量和历史异常会话向量的向量形式均相同,如向量的特征维度数量均为n+3,且相同特征维度的特征值表示的含义相同。
S040,根据LB,获取标准正常会话向量B=(∑x y=1LBy)/x。
S050,根据LC,获取标准异常会话向量C=(∑p q=1LCq)/p。
具体的,历史正常会话数据集和历史异常会话数据集可以通过所在的工控系统的日志进行获取。日志中记录了历史中每一会话的报文的相关数据。进一步的,其中正常会话和异常会话,可以是工作人员对对应的会话数据集进行标记确定的。同时,历史异常会话数据集也可以是工作人员工作进行对工控系统的模拟攻击从而获取的。
本实施例提供的异常会话的确定方法,通过对历史正常会话数据集和历史异常会话数据集进行第一特征提取,使得提取到的历史正常会话向量和历史异常会话向量的向量形式与待处理会话向量A相同。使得本身实施例中得到的待处理会话向量、历史正常会话向量和历史异常会话向量能够体现出对应的会话中的报文的特征(如每一类型的报文的数量,以及包含哪些数据类型的I帧报文)。经研究发现,在工控系统中,由于大量的通讯工作都是重复性的,故而各个通讯环节中其报文特征相对较为统一。因此,本实施例中,通过对历史正常会话向量进行处理得到标准正常会话向量,以及通过对历史异常会话向量进行处理得到标准异常会话向量,从而可以通过分别对比A与B之间的匹配度以及A与C之间的匹配度,确定出A对应的待处理会话是否为异常会话,从而确定对应的工控系统是否存在异常。
进一步的,若待处理会话被确定为异常会话,工作人员通对待处理会话数据集的分析从而进行异常定位,进行进行工控系统的修复。
在本申请的一种示例性实施例中,在所述步骤S500之后,所述方法还包括:
S510,若所述待处理会话为正常会话,则获取中间正常会话向量b1=(A+∑x y= 1LBy)/(x+1)。
S520,根据b1和C,获取第一中间匹配度ZP1=1-(b1·C)/(|b1|×|C|)。
S530,根据B和C,获取第二中间匹配度ZP2=1-(B·C)/(|B|×|C|)。
S540,若ZP1和ZP2符合预设的更新规则,则令B=b1。若ZP1和ZP2不符合预设的更新规则,则丢弃b1,不对B进行更新。
S550,若所述待处理会话为异常会话,则获取中间异常会话向量c1=(A+∑p 1= 1LCq)/(p+1)。
S560,根据c1和B,获取第三中间匹配度ZP3=1-(c1·B)/(|c1|×|B|)。
S570,根据B和C,获取第二中间匹配度ZP2=1-(B·C)/(|B|×|C|)。
S580,若ZP3和ZP2符合预设的更新规则,则令C=c1。若ZP3和ZP2不符合预设的更新规则,则丢弃c1,不对C进行更新。
所述更新规则包括:
若ZP1>ZP2或ZP3>ZP2,则符合更新规则。
本实施例中,由于使用B和C确定A对应的待处理会话是否为异常会话,故而为了挺高识别的准确性,B和C之间的差异性越大(即匹配度越小),则识别的结果的准确度越高。本实施例中,在确定A对应的待处理会话是否为异常会话后,会根据A以及其对应的标准会话向量(即B或C),确定出新的中间会话向量(即b1或c1),并只有ZP1>ZP2或ZP3>ZP2时(即新获取的中间会话向量与对应的另一个标准会话向量之间的差异度更大),才会对对应的标准会话向量进行更新(即令B=b1或令C=c1)。如此,可以使得本实施例提供的方法在运行的过程中,逐渐优化标准正常会话向量和标准异常会话向量,使得识别的准确度逐渐提升。
在本申请的一种示例性实施例中,更新规则还可以为:
若ZP1-ZP2>Up或ZP3-ZP2>Up,则符合更新规则,Up>0。
其中,Up为预设的匹配度阈值。Up=ZP2/(x+p)。
本实施例相较于上一实施例,仅在新获取的中间会话向量与对应的另一个标准会话向量之间的差异度更大,且差异度变大的幅度超过Up后,才会对对应的标准会话向量进行更新。若每次差异度变大,则均更新,会导致标准会话向量的更新频率过大,从而使得系统的处理量提升,故而,本实施例中,通过Up限定了更新的频率,从而降低了更新频率。
在本申请的一种示例性实施例中,在所述步骤S500之后,所述方法还包括:
S590,若所述待处理会话为异常会话,则确定当前确定出的异常会话的数量是否达到设定数量,若达到,则根据获取到的异常会话更新C。若所述待处理会话为正常会话,则直接结束本次处理。设定数量可以为5-50,本实施例中,设定数量为20。
周知的,获取正常数据的难度要远小于获取异常数据的难度,故而在实际实施中,获取到的历史异常会话数据集的数量会远小于历史正常会话数据集的数量。这也会导致起始阶段得到的标准异常会话向量不够精准。故而,本实施例中,仅在所述待处理会话为异常会话时,且累计获取到的异常会话的数量达到设定数量后,才对根据新获取的会话数据集和之前的历史异常会话数据集一起更新C,从而不断地提高C的准确性。且也能够降低更新的频率。
在本申请的一种示例性实施例中,在所述步骤S500之后,所述方法还包括:
若所述待处理会话为正常会话,若是,则使用所述待处理会话数据集替换历史正常会话数据集列表中任一历史正常会话数据集,并根据替换后的历史正常会话数据集列表更新B。
否则,将所述待处理会话数据集作为历史异常会话数据集添加进历史异常会话数据集列表内,并根据添加后的历史异常会话数据集列表更新C。
本实施例中,在待处理会话为正常会话时,仅会替换历史正常会话数据集列表中任一历史正常会话数据集,并根据替换后的历史正常会话数据集列表更新B,从而维持历史正常会话数据集列表中历史正常会话数据集的数量不变,并在待处理会话为异常会话时,将待处理会话数据集作为历史异常会话数据集添加进历史异常会话数据集列表内,并根据添加后的历史异常会话数据集列表更新C,以使得历史异常会话数据集列表内的历史异常会话数据集数量不断增加,使得两个列表中的数据集的数量逐渐趋同,从而提高了对待处理会话的识别结果的准确性。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本申请的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,所述储存器存储有程序代码,所述程序代码可以被所述处理器执行,使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本申请的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (9)
1.一种异常会话的确定方法,其特征在于,包括以下步骤:
S100,获取待处理会话的待处理会话数据集;所述待处理会话数据集中包括属于同一会话的若干S帧报文、U帧报文和I帧报文;每一I帧报文包括其对应的数据类型;
S200,对所述待处理会话数据集进行第一特征提取处理,得到所述待处理会话的待处理会话向量A=(NumS,NumU,NumI,F1,F2,…,Fi,…,Fn),i=1,2,…,n;其中,NumS为所述待处理会话数据集中S帧报文的数量,NumU为所述待处理会话数据集中U帧报文的数量,NumI为所述待处理会话数据集中I帧报文的数量,n为预设的数据类型的数量,Fi为第i种数据类型的类型标识,若Fi=1,表示待处理会话数据集中包含第i种数据类型的I帧报文,若Fi=2,表示待处理会话数据集中不包含第i种数据类型的I帧报文;
S300,获取第一匹配度P1=1-(A·B)/(|A|×|B|);其中,B为预设的标准正常会话向量;
S400,获取第二匹配度P2=1-(A·C)/(|A|×|C|);其中,C为预设的标准异常会话向量;
S500,若P1<P2,则确定所述待处理会话为正常会话;否则,确定所述待处理会话为异常会话;
其中,B和C通过以下步骤确定:
S010,获取若干历史正常会话数据集和若干历史异常会话数据集;
S020,分别对每一历史正常会话数据集进行第一特征提取处理,得到历史正常会话向量列表LB=(LB1,LB2,…,LBy,…,LBx),y=1,2,…,x;其中,x为历史正常会话数据集的数量,LBy为第y个历史正常会话数据集对应的历史正常会话向量;
S030,分别对每一历史异常会话数据集进行第一特征提取处理,得到历史异常会话向量列表LC=(LC1,LC2,…,LCq,…,LCp),q=1,2,…,p;其中,p为历史异常会话数据集的数量,LCq为第q个历史异常会话数据集对应的历史异常会话向量;
S040,根据LB,获取标准正常会话向量B=(∑x y=1LBy)/x;
S050,根据LC,获取标准异常会话向量C=(∑p q=1LCq)/p。
2.根据权利要求1所述的异常会话的确定方法,其特征在于,在所述步骤S500之后,所述方法还包括:
S510,若所述待处理会话为正常会话,则获取中间正常会话向量b1=(A+∑x y=1LBy)/(x+1);
S520,根据b1和C,获取第一中间匹配度ZP1=1-(b1·C)/(|b1|×|C|);
S530,根据B和C,获取第二中间匹配度ZP2=1-(B·C)/(|B|×|C|);
S540,若ZP1和ZP2符合预设的更新规则,则令B=b1。
3.根据权利要求2所述的异常会话的确定方法,其特征在于,在所述步骤S500之后,所述方法还包括:
S550,若所述待处理会话为异常会话,则获取中间异常会话向量c1=(A+∑p 1=1LCq)/(p+1);
S560,根据c1和B,获取第三中间匹配度ZP3=1-(c1·B)/(|c1|×|B|);
S570,根据B和C,获取第二中间匹配度ZP2=1-(B·C)/(|B|×|C|);
S580,若ZP3和ZP2符合预设的更新规则,则令C=c1。
4.根据权利要求3所述的异常会话的确定方法,其特征在于,所述更新规则包括:
若ZP1>ZP2或ZP3>ZP2,则符合更新规则。
5.根据权利要求3所述的异常会话的确定方法,其特征在于,所述更新规则包括:
若ZP1-ZP2>Up或ZP3-ZP2>Up,则符合更新规则;
其中,Up为预设的匹配度阈值。
6.根据权利要求5所述的异常会话的确定方法,其特征在于,Up=ZP2/(x+p)。
7.根据权利要求1所述的异常会话的确定方法,其特征在于,在所述步骤S500之后,所述方法还包括:
S590,若所述待处理会话为异常会话,则确定当前确定出的异常会话的数量是否达到设定数量,若达到,则根据获取到的异常会话更新C。
8.一种电子设备,其特征在于,包括处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行如权利要求1至7任一项所述方法的步骤。
9.一种非瞬时性计算机可读存储介质,其特征在于,所述非瞬时性计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行如权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310113517.0A CN116112265B (zh) | 2023-02-13 | 2023-02-13 | 一种异常会话的确定方法、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310113517.0A CN116112265B (zh) | 2023-02-13 | 2023-02-13 | 一种异常会话的确定方法、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116112265A CN116112265A (zh) | 2023-05-12 |
| CN116112265B true CN116112265B (zh) | 2023-07-28 |
Family
ID=86263595
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310113517.0A Active CN116112265B (zh) | 2023-02-13 | 2023-02-13 | 一种异常会话的确定方法、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116112265B (zh) |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105763563A (zh) * | 2016-04-19 | 2016-07-13 | 浙江神州量子网络科技有限公司 | 一种量子密钥申请过程中的身份认证方法 |
| CN105959144A (zh) * | 2016-06-02 | 2016-09-21 | 中国科学院信息工程研究所 | 面向工业控制网络的安全数据采集与异常检测方法与系统 |
| WO2017193271A1 (zh) * | 2016-05-10 | 2017-11-16 | 华为技术有限公司 | 检测网络攻击的方法及设备 |
| KR101880907B1 (ko) * | 2017-09-22 | 2018-08-16 | 펜타시큐리티시스템 주식회사 | 비정상 세션 감지 방법 |
| CN109167762A (zh) * | 2018-08-14 | 2019-01-08 | 杭州迪普科技股份有限公司 | 一种iec104报文校验方法及装置 |
| CN109818970A (zh) * | 2019-03-07 | 2019-05-28 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及装置 |
| CN110046297A (zh) * | 2019-03-28 | 2019-07-23 | 广州视源电子科技股份有限公司 | 运维违规操作的识别方法、装置和存储介质 |
| CN112543176A (zh) * | 2020-10-22 | 2021-03-23 | 新华三信息安全技术有限公司 | 一种异常网络访问检测方法、装置、存储介质及终端 |
| CN113055374A (zh) * | 2021-03-10 | 2021-06-29 | 湖南大学 | 一种用于iec104电力协议安全性测试的检测方法及系统 |
| CN113590802A (zh) * | 2021-09-27 | 2021-11-02 | 北京明略软件系统有限公司 | 一种会话内容异常检测方法、装置、电子设备及存储介质 |
| CN113612814A (zh) * | 2021-06-28 | 2021-11-05 | 深圳震有科技股份有限公司 | 一种会话信息的筛选方法、装置、终端及存储介质 |
| WO2022144908A1 (en) * | 2020-12-30 | 2022-07-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and network node for detecting anomalous access behaviours |
| CN114997629A (zh) * | 2022-05-25 | 2022-09-02 | 北京明略昭辉科技有限公司 | 用户会话的异常监测方法、装置、电子设备及存储介质 |
| CN115186158A (zh) * | 2022-07-18 | 2022-10-14 | 山东云天安全技术有限公司 | 一种异常数据确定方法、电子设备及存储介质 |
| CN115587132A (zh) * | 2022-11-11 | 2023-01-10 | 北京中安星云软件技术有限公司 | 一种基于会话聚类识别数据库异常访问的方法及系统 |
-
2023
- 2023-02-13 CN CN202310113517.0A patent/CN116112265B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105763563A (zh) * | 2016-04-19 | 2016-07-13 | 浙江神州量子网络科技有限公司 | 一种量子密钥申请过程中的身份认证方法 |
| WO2017193271A1 (zh) * | 2016-05-10 | 2017-11-16 | 华为技术有限公司 | 检测网络攻击的方法及设备 |
| CN105959144A (zh) * | 2016-06-02 | 2016-09-21 | 中国科学院信息工程研究所 | 面向工业控制网络的安全数据采集与异常检测方法与系统 |
| KR101880907B1 (ko) * | 2017-09-22 | 2018-08-16 | 펜타시큐리티시스템 주식회사 | 비정상 세션 감지 방법 |
| CN109167762A (zh) * | 2018-08-14 | 2019-01-08 | 杭州迪普科技股份有限公司 | 一种iec104报文校验方法及装置 |
| CN109818970A (zh) * | 2019-03-07 | 2019-05-28 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及装置 |
| CN110046297A (zh) * | 2019-03-28 | 2019-07-23 | 广州视源电子科技股份有限公司 | 运维违规操作的识别方法、装置和存储介质 |
| CN112543176A (zh) * | 2020-10-22 | 2021-03-23 | 新华三信息安全技术有限公司 | 一种异常网络访问检测方法、装置、存储介质及终端 |
| WO2022144908A1 (en) * | 2020-12-30 | 2022-07-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and network node for detecting anomalous access behaviours |
| CN113055374A (zh) * | 2021-03-10 | 2021-06-29 | 湖南大学 | 一种用于iec104电力协议安全性测试的检测方法及系统 |
| CN113612814A (zh) * | 2021-06-28 | 2021-11-05 | 深圳震有科技股份有限公司 | 一种会话信息的筛选方法、装置、终端及存储介质 |
| CN113590802A (zh) * | 2021-09-27 | 2021-11-02 | 北京明略软件系统有限公司 | 一种会话内容异常检测方法、装置、电子设备及存储介质 |
| CN114997629A (zh) * | 2022-05-25 | 2022-09-02 | 北京明略昭辉科技有限公司 | 用户会话的异常监测方法、装置、电子设备及存储介质 |
| CN115186158A (zh) * | 2022-07-18 | 2022-10-14 | 山东云天安全技术有限公司 | 一种异常数据确定方法、电子设备及存储介质 |
| CN115587132A (zh) * | 2022-11-11 | 2023-01-10 | 北京中安星云软件技术有限公司 | 一种基于会话聚类识别数据库异常访问的方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| "工控网络恶意行为检测研究与应用";丁晓聪;《中国优秀硕士学位论文信息科技辑》;全文 * |
| "Research on Deep Detection Technology of Abnormal Behavior of Power Industrial Control System";B. Wang等;《022 IEEE 6th Information Technology and Mechatronics Engineering Conference (ITOEC)》;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116112265A (zh) | 2023-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN116112271B (zh) | 一种会话数据处理方法、电子设备及存储介质 | |
| CN109714230B (zh) | 一种流量监控方法、装置和计算设备 | |
| JP7258083B2 (ja) | 車両ベースの音声処理方法、音声プロセッサ、車載プロセッサ | |
| CN112911013B (zh) | 云应用的处理方法、装置、计算机设备和存储介质 | |
| CN114885332B (zh) | 流量处理方法及装置、存储介质及电子设备 | |
| CN116192494B (zh) | 一种确定异常数据的方法、电子设备及存储介质 | |
| CN111954240A (zh) | 网络故障处理方法、装置及电子设备 | |
| CN116112265B (zh) | 一种异常会话的确定方法、电子设备及存储介质 | |
| CN116112266B (zh) | 一种识别会话数据的方法、电子设备及存储介质 | |
| WO2021024476A1 (ja) | ソフトウェア解析装置、ソフトウェア解析方法及びコンピュータ可読媒体 | |
| CN117201310A (zh) | 网元扩容方法、装置、电子设备及存储介质 | |
| CN116566739A (zh) | 一种安全检测系统、电子设备及存储介质 | |
| CN116112263B (zh) | 一种报文处理方法、电子设备及存储介质 | |
| CN114143079B (zh) | 包过滤策略的验证装置及方法 | |
| CN116318872B (zh) | 一种通过报文确定异常会话的方法、电子设备及存储介质 | |
| CN114363879A (zh) | 无线终端的漫游处理方法及系统 | |
| CN114416507A (zh) | 通信行为监控方法、装置、计算机设备及存储介质 | |
| CN114710390A (zh) | 针对互联网系统的监控告警方法及系统、设备及介质 | |
| CN117040938B (zh) | 一种异常ip检测方法及装置、电子设备及存储介质 | |
| CN117040945B (zh) | 一种电子设备防护策略的确定方法、装置、介质及设备 | |
| TWI818721B (zh) | 具中斷點因應處理的機器人流程自動化快速審貸系統及其方法 | |
| CN115174224B (zh) | 一种适用于工业控制网络的信息安全监测方法和装置 | |
| CN116781389B (zh) | 一种异常数据列表的确定方法、电子设备及存储介质 | |
| CN113676466B (zh) | 一种网络安全检测的方法和装置 | |
| CN116866047A (zh) | 工业设备网络中恶意设备的确定方法、介质及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |