CN116112271A - 一种会话数据处理方法、电子设备及存储介质 - Google Patents
一种会话数据处理方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116112271A CN116112271A CN202310119515.2A CN202310119515A CN116112271A CN 116112271 A CN116112271 A CN 116112271A CN 202310119515 A CN202310119515 A CN 202310119515A CN 116112271 A CN116112271 A CN 116112271A
- Authority
- CN
- China
- Prior art keywords
- session
- historical
- processed
- session data
- data set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 17
- 239000013598 vector Substances 0.000 claims abstract description 64
- 230000002159 abnormal effect Effects 0.000 claims abstract description 62
- 238000000034 method Methods 0.000 claims abstract description 31
- 238000000605 extraction Methods 0.000 claims abstract description 20
- 238000012545 processing Methods 0.000 claims abstract description 12
- 238000012549 training Methods 0.000 claims description 8
- 101100049938 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) exr-1 gene Proteins 0.000 claims description 4
- 230000006870 function Effects 0.000 claims description 4
- 101150101384 rat1 gene Proteins 0.000 claims description 4
- 238000003064 k means clustering Methods 0.000 claims description 2
- 230000006854 communication Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 9
- 230000003287 optical effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- Computational Mathematics (AREA)
- Pure & Applied Mathematics (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Algebra (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请提供一种会话数据处理方法、电子设备及存储介质,包括以下步骤:获取待处理会话的待处理会话数据集;所述待处理会话数据集中包括若干S帧报文、U帧报文和I帧报文;对所述待处理会话数据集进行第一特征提取处理,得到所述待处理会话的待处理会话向量A;将A输入目标AI模型,以得到所述待处理会话对应的目标会话特征值VA;获取第一标准特征值BT1以及第二标准特征值BT2;若|BT1‑VA|<|BT2‑VA|,则将所述待处理会话确定为正常会话,否则,将所述待处理会话确定为异常会话;本申请根据VA、BT1以及BT2确定待处理会话是否为异常会话,实现了通过待处理会话的报文的特征确定出待处理会话是否为异常会话。
Description
背景技术
IEC104是一种广泛应用于电力工控等领域的通讯协议。能够用于主控设备(如上位机等)和被控设备(如采样器或可编程逻辑控制器等)之间的通讯。二者进行通讯时可以采用长连接进行报文的发送,如S帧报文、U帧报文和I帧报文等。而一次长连接中的通讯过程称为一次session会话。
现在有很多恶意攻击者,会通过中间人攻击等方式对工控系统的入侵,从而破坏工控系统的正常运行。但这种攻击方式很难通过例如杀毒软件的方式进行识别,所以亟需一种可以通过对报文进行识别检测异常的方法。
发明内容
有鉴于此,本申请提供一种会话数据处理方法、电子设备及存储介质,至少部分解决现有技术中存在的问题。
在本申请的一方面,提供一种会话数据处理方法,包括以下步骤:
S100,获取待处理会话的待处理会话数据集;所述待处理会话数据集中包括属于同一会话的若干S帧报文、U帧报文和I帧报文;每一I帧报文包括其对应的数据类型。
S200,对所述待处理会话数据集进行第一特征提取处理,得到所述待处理会话的待处理会话向量A=(NumS,NumU,NumI,NumF1,NumF2,…,NumFi,…,NumFn),i=1,2,…,n;其中,n为预设的数据类型的数量,NumS为所述待处理会话数据集中S帧报文的数量,NumU为所述待处理会话数据集中U帧报文的数量,NumI为所述待处理会话数据集中I帧报文的数量,NumFi为待处理会话数据集中第i种数据类型的I帧的数量。
S300,将A输入目标AI模型,以得到目标AI模型输出的所述待处理会话对应的目标会话特征值VA。
VA符合如下条件:
VA=1/(1+ef(A))。
f(A)=a1*NumS+a2*NumU+a3*NumI+w1*NumF1+w1*NumF2+…+wi*NumFi+…+wn*NumFn。
其中,e为自然常数,f(A)为A对应的中间会话特征值,a1、a2、a3、w1、w2、…、wi、…、wn为所述目标AI模型在经过训练后得到的参数。
S400,获取第一标准特征值BT1以及第二标准特征值BT2。
S500,若|BT1-VA|<|BT2-VA|,则将所述待处理会话确定为正常会话,否则,将所述待处理会话确定为异常会话。
BT1和BT2通过以下步骤确定:
S010,根据若干历史正常会话数据集和若干历史异常会话数据集,获取历史正常会话向量列表LB=(LB1,LB2,…,LBy,…,LBx)和历史异常会话向量列表LC=(LC1,LC2,…,LCq,…,LCp);其中,y=1,2,…,x;x为历史正常会话数据集的数量,LBy为对第y个历史正常会话数据集进行第一特征提取处理得到的历史正常会话向量;q=1,2,…,p;p为历史异常会话数据集的数量,LCq为对第q个历史异常会话数据集进行第一特征提取处理得到的历史异常会话向量。
S020,分别将LB和LC输入目标AI模型,以得到目标AI模型输出的第一历史会话特征值列表LT1=(LT11,LT12,…,LT1y,…,LT1x)和第二历史会话特征值列表LT2=(LT21,LT22,…,LT2q,…,LT2p);其中,LT1y为LBy对应的第一历史会话特征值,LT2q为LCq对应的第二历史会话特征值。
S030,根据LT1和LT2,得到第一标准特征值BT1以及第二标准特征值BT2。
在本申请的另一方面,提供一种电子设备,包括处理器和存储器。
所述处理器通过调用所述存储器存储的程序或指令,用于执行上述任一项所述方法的步骤。
在本申请的另一方面,提供一种非瞬时性计算机可读存储介质,所述非瞬时性计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行上述任一项所述方法的步骤。
本申请提供的会话数据处理方法,通过待处理会话数据集进行第一特征提取处理得到待处理会话向量A,A中包含了待处理会话数据集中U帧报文数量、I帧报文的数量、S帧报文的数量以及每一数据类型的I帧报文的数量,使得A可以体现出待处理会话中的报文的特征。通过对历史正常会话数据集和历史异常会话数据集进行第一特征提取,使得提取到的历史正常会话向量和历史异常会话向量的向量形式与待处理会话向量A相同。经研究发现,在工控系统中,由于大量的通讯工作都是重复性的,故而各个通讯环节中其报文特征相对较为统一。
故而,本申请中,构建上述的待处理会话向量A,使得目标AI模型在根据A,确定目标会话特征值VA时,能够考虑到不同的会话中不同类型的报文的数量和同一会话中包含哪些数据类型对应的I帧报文之间的内在联系,从而输出能够体现待处理会话的会话特征的VA。
同时,第一标准特征值BT1以及第二标准特征值BT2是根据历史正常会话向量和历史异常会话向量得到的,故而,BT1和BT2可以理解为所有历史正常会话向量和历史异常会话向量的特征值重心,因此本实施例通过比较|BT1-VA|与|BT2-VA|之间的大小可以确定出待处理会话是否为异常会话,从而实现了根据会话对应的报文确定出会话是否为异常会话。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种会话数据处理方法的流程图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。
需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
名词解释:
IEC104:IEC104协议是一个广泛应用于电力、城市轨道交通等行业的国际标准。IEC104协议由国际电工委员会制定。IEC104协议把IEC101的应用服务数据单元(ASDU)用网络协议TCP/IP进行传输的标准,该标准为远动信息的网络传输提供了通信协议依据。采用104协议组合101协议的ASDU的方式后,可很好的保证协议的标准化和通信的可靠性。
IEC104协议的报文格式有三种,具体为I帧报文、U帧报文和S帧报文。
I帧报文为数据帧报文,用于传输数据,且内部具有数据类型ID,数据类型ID用于表示其携带的数据的数据类型。其中,数据类型可以通过实际所在的工控系统的需求进行设定,一般数据类型的数量为50种到255种。
U帧报文为控制帧报文,用于控制启动、停止和测试等。
S帧报文为确认帧报文,用于确认接收的I帧报文等。
请参考图1,在本申请的一方面,提供一种会话数据处理方法,包括以下步骤:
S100,获取待处理会话的待处理会话数据集;所述待处理会话数据集中包括属于同一会话的若干S帧报文、U帧报文和I帧报文;每一I帧报文包括其对应的数据类型。其中,一次会话指IEC104协议中的一次会话,即一次长连接或多个长连接组成的一次完整通讯过程。具体的可参考IEC104协议中对session会话的定义。I帧报文中可以具有对应的typeID字段,用于记录对应的数据类型ID,从而可以通过数据类型ID确定该I帧报文对应的数据类型。
S200,对所述待处理会话数据集进行第一特征提取处理,得到所述待处理会话的待处理会话向量A=(NumS,NumU,NumI,NumF1,NumF2,…,NumFi,…,NumFn),i=1,2,…,n;其中,n为预设的数据类型的数量,NumS为所述待处理会话数据集中S帧报文的数量,NumU为所述待处理会话数据集中U帧报文的数量,NumI为所述待处理会话数据集中I帧报文的数量,NumFi为待处理会话数据集中第i种数据类型的I帧的数量。
本实施例中,待处理会话向量A能够体现出待处理会话数据集中各类型帧报文的特征,从而可以用于后续确定待处理会话是否为异常会话。
具体的,第一特征提取处理,可以是对对应的会话数据集(如待处理会话数据集)中每一报文进行遍历,确定每一报文的帧类型,从而确定出S帧报文的数量、U帧报文的数量和I帧报文的数量。以及,针对I帧报文,获取其typeID字段中的数据类型ID,从而确定出每一I帧报文对应的数据类型,以确定出NumF1,NumF2,…,NumFi,…,NumFn的具体特征值。
S300,将A输入目标AI模型,以得到目标AI模型输出的所述待处理会话对应的目标会话特征值VA。
VA符合如下条件:
VA=1/(1+ef(A))。
f(A)=a1*NumS+a2*NumU+a3*NumI+w1*NumF1+w1*NumF2+…+wi*NumFi+…+wn*NumFn。
其中,e为自然常数,f(A)为A对应的中间会话特征值,a1、a2、a3、w1、w2、…、wi、…、wn为所述目标AI模型在经过训练后得到的参数。
S400,获取第一标准特征值BT1以及第二标准特征值BT2。
S500,若|BT1-VA|<|BT2-VA|,则将所述待处理会话确定为正常会话,否则,将所述待处理会话确定为异常会话。
BT1和BT2通过以下步骤确定:
S010,根据若干历史正常会话数据集和若干历史异常会话数据集,获取历史正常会话向量列表LB=(LB1,LB2,…,LBy,…,LBx)和历史异常会话向量列表LC=(LC1,LC2,…,LCq,…,LCp);其中,y=1,2,…,x;x为历史正常会话数据集的数量,LBy为对第y个历史正常会话数据集进行第一特征提取处理得到的历史正常会话向量;q=1,2,…,p;p为历史异常会话数据集的数量,LCq为对第q个历史异常会话数据集进行第一特征提取处理得到的历史异常会话向量。
S020,分别将LB和LC输入目标AI模型,以得到目标AI模型输出的第一历史会话特征值列表LT1=(LT11,LT12,…,LT1y,…,LT1x)和第二历史会话特征值列表LT2=(LT21,LT22,…,LT2q,…,LT2p);其中,LT1y为LBy对应的第一历史会话特征值,LT2q为LCq对应的第二历史会话特征值。
S030,根据LT1和LT2,得到第一标准特征值BT1以及第二标准特征值BT2。
本申请提供的会话数据处理方法,通过待处理会话数据集进行第一特征提取处理得到待处理会话向量A,A中包含了待处理会话数据集中U帧报文数量、I帧报文的数量、S帧报文的数量以及每一数据类型的I帧报文的数量,使得A可以体现出待处理会话中的报文的特征。通过对历史正常会话数据集和历史异常会话数据集进行第一特征提取,使得提取到的历史正常会话向量和历史异常会话向量的向量形式与待处理会话向量A相同。经研究发现,在工控系统中,由于大量的通讯工作都是重复性的,故而各个通讯环节中其报文特征相对较为统一。
故而,本申请中,构建上述的待处理会话向量A,使得目标AI模型在根据A,确定目标会话特征值VA时,能够考虑到不同的会话中不同类型的报文的数量和同一会话中包含哪些数据类型对应的I帧报文之间的内在联系,从而输出能够体现待处理会话的会话特征的VA。
同时,第一标准特征值BT1以及第二标准特征值BT2是根据历史正常会话向量和历史异常会话向量得到的,故而,BT1和BT2可以理解为所有历史正常会话向量和历史异常会话向量的特征值重心,因此本实施例通过比较|BT1-VA|与|BT2-VA|之间的大小可以确定出待处理会话是否为异常会话,从而实现了根据会话对应的报文确定出会话是否为异常会话。
在本申请的一种示例性实施例中,所述步骤S030,包括:
S031,将LT1中每一第一历史会话特征值和LT2中每一第二历史会话特征值添加至预设的空列表中,得到中间历史会话特征值列表ZLT=(ZLT1,ZLT2,…,ZLTr,…,ZLTR),r=1,2,…,R;其中,R=x+p,ZLTr为ZLT中第r个中间历史会话特征值。即可以理解为R为若干历史正常会话数据集和若干历史异常会话数据集的总数量。
S032,使用K均值聚类算法对ZLT进行聚类,得到第一聚类结果ZG1=(ZG11,ZG12,…,ZG1d,…,ZG1D)和第二聚类结果ZG2=(ZG21,ZG22,…,ZG2e,…,ZG2E);其中,ZG1d为ZG1中第d个中间历史会话特征值,D为ZG1中的中间历史会话特征值的数量,d=1,2,…,D;D≤x;ZG2e为ZG2中第e个中间历史会话特征值,E为ZG2中的中间历史会话特征值的数量,e=1,2,…,E;E≤p。本实施例中,聚类时的K值为2,即聚类结果回出现两类。
S033,获取BT1=avg(ZG1)和BT2=avg(ZG2);其中,avg()为预设的平均值确定函数。
本实施例中,通过对每一历史会话数据集(即历史正常会话数据集和历史异常会话数据特征值)的的特征值(即第一历史会话特征值和第二历史会话特征值)进行聚类。使得可以得到两个聚类结果,其中第一聚类结果可以理解为正样本的特征值的聚类结果,第二聚类结构可以理解为负样本的特征值的聚类结果。如此,通过聚类可以将离散的特征值,即没被聚类到第一聚类结果和第二聚类结果中的中间历史会话特征值排除,从而提高最终确定的BT1和BT2的准确度。
在本申请的一种示例性实施例中,在所述步骤S500之后,所述方法还包括:
S510,若所述待处理会话为正常会话,则获取第一候选会话特征值HT1=avg(VA+ZG1)。
S520,若|HT1-BT2|>|BT1-BT2|,则获取BT1=HT1。
S530,若所述待处理会话为异常会话,则获取第二候选会话特征值HT2=avg(VA+ZG2)。
S540,若|BT1-HT2|>|BT1-BT2|,则获取BT2=HT2。
本实施例中,由于使用BT1和BT2确定A对应的待处理会话是否为异常会话,故而为了挺高识别的准确性,BT1和BT2之间的差异性越大(即|BT1-BT2|的值越大),则识别的结果的准确度越高。本实施例中,在确定A对应的待处理会话是否为异常会话后,会根据A以及其对应的聚类结果(即第一聚类结果和第二聚类结果),确定出新的第一候选会话特征值或第二候选会话特征值并只有|HT1-BT2|>|BT1-BT2|或|BT1-HT2|>|BT1-BT2|时(即新获取的候选会话特征值与对应的另一个标准特征值之间的差异度更大),才会对对应的标准特征值进行更新(即获取BT1=HT1或获取BT2=HT2)。如此,可以使得本实施例提供的方法在运行的过程中,逐渐优化BT1和BT2,使得识别的准确度逐渐提升。
在本申请的一种示例性实施例中,a1、a2、a3、w1、w2、…、wi、…、wn,根据以下步骤得到:
S010,获取若干历史正常会话数据集和若干历史异常会话数据集。
具体的,历史正常会话数据集和历史异常会话数据集可以通过所在的工控系统的日志进行获取。日志中记录了历史中每一会话的报文的相关数据。进一步的,其中正常会话和异常会话,可以是工作人员对对应的会话数据集进行标记确定的。同时,历史异常会话数据集也可以是工作人员工作进行对工控系统的模拟攻击从而获取的。
S020,分别对每一历史正常会话数据集进行第一特征提取处理,得到历史正常会话向量列表LB=(LB1,LB2,…,LBy,…,LBx),y=1,2,…,x;其中,x为历史正常会话数据集的数量,LBy为第y个历史正常会话数据集对应的历史正常会话向量。
S030,分别对每一历史异常会话数据集进行第一特征提取处理,得到历史异常会话向量列表LC=(LC1,LC2,…,LCq,…,LCp),q=1,2,…,p;其中,p为历史异常会话数据集的数量,LCq为第q个历史异常会话数据集对应的历史异常会话向量。
其中,由于历史正常会话向量和历史异常会话向量是通过对若干历史正常会话数据集和若干历史异常会话数据集进行与待处理会话数据集相同的第一特征提取处理而得到的,故而,待处理会话向量,历史正常会话向量和历史异常会话向量的向量形式均相同,如向量的特征维度数量均为n+3,且相同特征维度的特征值表示的含义相同。可以理解的是,每一历史正常会话向量均可以标记为正样本,每一历史异常会话向量均可以标记为负样本。
S040,根据LB和LC对初始AI模型进行训练,以得到目标AI模型。
训练所述初始AI模型时的约束条件为:
a1、a2、a3、w1、w2、…、wi、…、wn均大于0。
a1+a2+a3=rat1。
w1+w2+…+wi+…+wn=rat2。
rat1+rat2=1。
其中,rat1和rat2为预设的系数约束值。
本实施例中,通过对历史正常会话数据集和历史异常会话数据集进行第一特征提取,使得提取到的历史正常会话向量和历史异常会话向量的向量形式与待处理会话向量A相同。使得本身实施例中得到的待处理会话向量、历史正常会话向量和历史异常会话向量能够体现出对应的会话中的报文的特征(如每一类型的报文的数量,以及I帧报文中各种数据类型的数量)。从而使得训练后的目标AI模型能够学习到不同的会话中不同类型的报文的数量和同一会话中I帧报文中各种数据类型的数量之间的内在联系,使得能够目标AI模型能够得到A对应的高精度VA。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本申请的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,所述储存器存储有程序代码,所述程序代码可以被所述处理器执行,使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本申请的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (9)
1.一种会话数据处理方法,其特征在于,包括以下步骤:
S100,获取待处理会话的待处理会话数据集;所述待处理会话数据集中包括属于同一会话的若干S帧报文、U帧报文和I帧报文;每一I帧报文包括其对应的数据类型;
S200,对所述待处理会话数据集进行第一特征提取处理,得到所述待处理会话的待处理会话向量A=(NumS,NumU,NumI,NumF1,NumF2,…,NumFi,…,NumFn),i=1,2,…,n;其中,n为预设的数据类型的数量,NumS为所述待处理会话数据集中S帧报文的数量,NumU为所述待处理会话数据集中U帧报文的数量,NumI为所述待处理会话数据集中I帧报文的数量,NumFi为待处理会话数据集中第i种数据类型的I帧的数量;
S300,将A输入目标AI模型,以得到目标AI模型输出的所述待处理会话对应的目标会话特征值VA;
VA符合如下条件:
VA=1/(1+ef(A));
f(A)=a1*NumS+a2*NumU+a3*NumI+w1*NumF1+w1*NumF2+…+wi*NumFi+…+wn*NumFn;
其中,e为自然常数,f(A)为A对应的中间会话特征值,a1、a2、a3、w1、w2、…、wi、…、wn为所述目标AI模型在经过训练后得到的参数;
S400,获取第一标准特征值BT1以及第二标准特征值BT2;
S500,若|BT1-VA|<|BT2-VA|,则将所述待处理会话确定为正常会话,否则,将所述待处理会话确定为异常会话;
BT1和BT2通过以下步骤确定:
S010,根据若干历史正常会话数据集和若干历史异常会话数据集,获取历史正常会话向量列表LB=(LB1,LB2,…,LBy,…,LBx)和历史异常会话向量列表LC=(LC1,LC2,…,LCq,…,LCp);其中,y=1,2,…,x;x为历史正常会话数据集的数量,LBy为对第y个历史正常会话数据集进行第一特征提取处理得到的历史正常会话向量;q=1,2,…,p;p为历史异常会话数据集的数量,LCq为对第q个历史异常会话数据集进行第一特征提取处理得到的历史异常会话向量;
S020,分别将LB和LC输入目标AI模型,以得到目标AI模型输出的第一历史会话特征值列表LT1=(LT11,LT12,…,LT1y,…,LT1x)和第二历史会话特征值列表LT2=(LT21,LT22,…,LT2q,…,LT2p);其中,LT1y为LBy对应的第一历史会话特征值,LT2q为LCq对应的第二历史会话特征值;
S030,根据LT1和LT2,得到第一标准特征值BT1以及第二标准特征值BT2。
2.根据权利要求1所述的会话数据处理方法,其特征在于,所述步骤S030,包括:
S031,将LT1中每一第一历史会话特征值和LT2中每一第二历史会话特征值添加至预设的空列表中,得到中间历史会话特征值列表ZLT=(ZLT1,ZLT2,…,ZLTr,…,ZLTR),r=1,2,…,R;其中,R=x+p,ZLTr为ZLT中第r个中间历史会话特征值;
S032,使用K均值聚类算法对ZLT进行聚类,得到第一聚类结果ZG1=(ZG11,ZG12,…,ZG1d,…,ZG1D)和第二聚类结果ZG2=(ZG21,ZG22,…,ZG2e,…,ZG2E);其中,ZG1d为ZG1中第d个中间历史会话特征值,D为ZG1中的中间历史会话特征值的数量,d=1,2,…,D;D≤x;ZG2e为ZG2中第e个中间历史会话特征值,E为ZG2中的中间历史会话特征值的数量,e=1,2,…,E;E≤p;
S033,获取BT1=avg(ZG1)和BT2=avg(ZG2);其中,avg()为预设的平均值确定函数。
3.根据权利要求1所述的会话数据处理方法,其特征在于,在所述步骤S500之后,所述方法还包括:
S510,若所述待处理会话为正常会话,则获取第一候选会话特征值HT1=avg(VA+ZG1);
S520,若|HT1-BT2|>|BT1-BT2|,则获取BT1=HT1。
4.根据权利要求3所述的会话数据处理方法,其特征在于,在所述步骤S500之后,所述方法还包括:
S530,若所述待处理会话为异常会话,则获取第二候选会话特征值HT2=avg(VA+ZG2);
S540,若|BT1-HT2|>|BT1-BT2|,则获取BT2=HT2。
5.根据权利要求1所述的会话数据处理方法,其特征在于,a1、a2、a3、w1、w2、…、wi、…、wn,根据以下步骤得到:
S010,获取若干历史正常会话数据集和若干历史异常会话数据集;
S020,分别对每一历史正常会话数据集进行第一特征提取处理,得到历史正常会话向量列表LB=(LB1,LB2,…,LBy,…,LBx),y=1,2,…,x;其中,x为历史正常会话数据集的数量,LBy为第y个历史正常会话数据集对应的历史正常会话向量;
S030,分别对每一历史异常会话数据集进行第一特征提取处理,得到历史异常会话向量列表LC=(LC1,LC2,…,LCq,…,LCp),q=1,2,…,p;其中,p为历史异常会话数据集的数量,LCq为第q个历史异常会话数据集对应的历史异常会话向量;
S040,根据LB和LC对初始AI模型进行训练,以得到目标AI模型。
6.根据权利要求5所述的会话数据处理方法,其特征在于,训练所述初始AI模型时的约束条件为:
a1、a2、a3、w1、w2、…、wi、…、wn均大于0。
7.根据权利要求6所述的会话数据处理方法,其特征在于,训练所述初始AI模型时的约束条件为:
a1+a2+a3=rat1;
w1+w2+…+wi+…+wn=rat2;
rat1+rat2=1;
其中,rat1和rat2为预设的系数约束值。
8.一种电子设备,其特征在于,包括处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行如权利要求1至7任一项所述方法的步骤。
9.一种非瞬时性计算机可读存储介质,其特征在于,所述非瞬时性计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行如权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310119515.2A CN116112271B (zh) | 2023-02-13 | 2023-02-13 | 一种会话数据处理方法、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310119515.2A CN116112271B (zh) | 2023-02-13 | 2023-02-13 | 一种会话数据处理方法、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116112271A true CN116112271A (zh) | 2023-05-12 |
| CN116112271B CN116112271B (zh) | 2024-02-20 |
Family
ID=86253978
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310119515.2A Active CN116112271B (zh) | 2023-02-13 | 2023-02-13 | 一种会话数据处理方法、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116112271B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116595529A (zh) * | 2023-07-18 | 2023-08-15 | 山东溯源安全科技有限公司 | 一种信息安全检测方法、电子设备及存储介质 |
| CN116781389A (zh) * | 2023-07-18 | 2023-09-19 | 山东溯源安全科技有限公司 | 一种异常数据列表的确定方法、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109246027A (zh) * | 2018-09-19 | 2019-01-18 | 腾讯科技(深圳)有限公司 | 一种网络维护的方法、装置和终端设备 |
| CN111935170A (zh) * | 2020-08-20 | 2020-11-13 | 杭州安恒信息技术股份有限公司 | 一种网络异常流量检测方法、装置及设备 |
| CN112685273A (zh) * | 2020-12-29 | 2021-04-20 | 京东数字科技控股股份有限公司 | 异常检测方法、装置、计算机设备和存储介质 |
| US20210185072A1 (en) * | 2018-09-27 | 2021-06-17 | Bayshore Networks, Inc. | System and methods for automated computer security policy generation and anomaly detection |
| CN114124478A (zh) * | 2021-11-08 | 2022-03-01 | 湖南大学 | 电力系统工控流量异常检测方法及系统 |
| CN115001853A (zh) * | 2022-07-18 | 2022-09-02 | 山东云天安全技术有限公司 | 一种异常数据的识别方法、装置、存储介质及计算机设备 |
-
2023
- 2023-02-13 CN CN202310119515.2A patent/CN116112271B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109246027A (zh) * | 2018-09-19 | 2019-01-18 | 腾讯科技(深圳)有限公司 | 一种网络维护的方法、装置和终端设备 |
| US20210185072A1 (en) * | 2018-09-27 | 2021-06-17 | Bayshore Networks, Inc. | System and methods for automated computer security policy generation and anomaly detection |
| CN111935170A (zh) * | 2020-08-20 | 2020-11-13 | 杭州安恒信息技术股份有限公司 | 一种网络异常流量检测方法、装置及设备 |
| CN112685273A (zh) * | 2020-12-29 | 2021-04-20 | 京东数字科技控股股份有限公司 | 异常检测方法、装置、计算机设备和存储介质 |
| CN114124478A (zh) * | 2021-11-08 | 2022-03-01 | 湖南大学 | 电力系统工控流量异常检测方法及系统 |
| CN115001853A (zh) * | 2022-07-18 | 2022-09-02 | 山东云天安全技术有限公司 | 一种异常数据的识别方法、装置、存储介质及计算机设备 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116595529A (zh) * | 2023-07-18 | 2023-08-15 | 山东溯源安全科技有限公司 | 一种信息安全检测方法、电子设备及存储介质 |
| CN116595529B (zh) * | 2023-07-18 | 2023-09-19 | 山东溯源安全科技有限公司 | 一种信息安全检测方法、电子设备及存储介质 |
| CN116781389A (zh) * | 2023-07-18 | 2023-09-19 | 山东溯源安全科技有限公司 | 一种异常数据列表的确定方法、电子设备及存储介质 |
| CN116781389B (zh) * | 2023-07-18 | 2023-12-22 | 山东溯源安全科技有限公司 | 一种异常数据列表的确定方法、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116112271B (zh) | 2024-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN116112271B (zh) | 一种会话数据处理方法、电子设备及存储介质 | |
| CN117688342B (zh) | 一种基于模型的设备状态预测方法、电子设备及存储介质 | |
| CN111954240A (zh) | 网络故障处理方法、装置及电子设备 | |
| CN116192494B (zh) | 一种确定异常数据的方法、电子设备及存储介质 | |
| CN116861430B (zh) | 一种恶意文件检测方法、装置、设备及介质 | |
| CN117294833A (zh) | 摄像头芯片的测试方法及相关设备 | |
| CN117033146A (zh) | 指定共识合约执行进程的识别方法、装置、设备及介质 | |
| CN116112266B (zh) | 一种识别会话数据的方法、电子设备及存储介质 | |
| CN116112263B (zh) | 一种报文处理方法、电子设备及存储介质 | |
| CN116318872B (zh) | 一种通过报文确定异常会话的方法、电子设备及存储介质 | |
| CN116112265B (zh) | 一种异常会话的确定方法、电子设备及存储介质 | |
| CN114817923A (zh) | 生成入侵检测规则的方法、装置、计算机设备及存储介质 | |
| CN116910756B (zh) | 一种恶意pe文件的检测方法 | |
| CN116781389B (zh) | 一种异常数据列表的确定方法、电子设备及存储介质 | |
| CN117390898B (zh) | 一种医疗线缆可靠性预测方法及系统 | |
| CN115941357B (zh) | 基于工业安全的流量日志检测方法、装置与电子设备 | |
| CN117056927B (zh) | 一种基于指令的恶意进程确定方法、装置、设备及介质 | |
| CN117972348B (zh) | 一种基于模型的集群运行状态确定方法、设备及介质 | |
| CN117040938B (zh) | 一种异常ip检测方法及装置、电子设备及存储介质 | |
| CN116915506B (zh) | 一种异常流量检测方法、装置、电子设备及存储介质 | |
| CN112232068B (zh) | 一种意图识别方法、装置、电子设备及存储介质 | |
| CN114221823B (zh) | 一种信息处理方法、装置、电子设备及存储介质 | |
| CN117951625B (zh) | 一种设备集群运行异常确定方法、电子设备及存储介质 | |
| CN116595529B (zh) | 一种信息安全检测方法、电子设备及存储介质 | |
| CN116760644B (zh) | 一种终端异常判定方法、系统、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |