CN116192494A - 一种确定异常数据的方法、电子设备及存储介质 - Google Patents
一种确定异常数据的方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116192494A CN116192494A CN202310119511.4A CN202310119511A CN116192494A CN 116192494 A CN116192494 A CN 116192494A CN 202310119511 A CN202310119511 A CN 202310119511A CN 116192494 A CN116192494 A CN 116192494A
- Authority
- CN
- China
- Prior art keywords
- session
- data set
- session data
- processed
- historical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 99
- 238000000034 method Methods 0.000 title claims abstract description 42
- 239000013598 vector Substances 0.000 claims abstract description 57
- 238000000605 extraction Methods 0.000 claims abstract description 23
- 238000012545 processing Methods 0.000 claims abstract description 16
- 230000006870 function Effects 0.000 claims description 4
- 230000002547 anomalous effect Effects 0.000 claims description 2
- 230000006854 communication Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 9
- 230000003287 optical effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请提供一种确定异常数据的方法、电子设备及存储介质,包括以下步骤:获取待处理会话的待处理会话数据集;所述待处理会话数据集中包括属于同一会话的若干S帧报文、U帧报文和I帧报文;每一I帧报文包括其对应的数据类型;对所述待处理会话数据集进行第一特征提取处理,得到所述待处理会话的待处理会话向量A;确定A与预设的标准正常会话向量B之间的第一匹配度P1,以及A与预设的标准异常会话向量C之间的第二匹配度P2;根据P1和P2,确定所述待处理会话是否为正常会话。本申请中,根据A分别与B和C之间的匹配度,确定出A对应的待处理会话是否为异常会话,从而确定对应的工控系统是否存在异常。
Description
技术领域
本申请涉及数据处理领域,尤其涉及一种确定异常数据的方法、电子设备及存储介质。
背景技术
IEC104是一种广泛应用于电力工控等领域的通讯协议。能够用于主控设备(如上位机等)和被控设备(如采样器或可编程逻辑控制器等)之间的通讯。二者进行通讯时可以采用长连接进行报文的发送,如S帧报文、U帧报文和I帧报文等。而一次长连接中的通讯过程称为一次session会话。
现在有很多恶意攻击者,会通过中间人攻击等方式对工控系统的入侵,从而破坏工控系统的正常运行。但这种攻击方式很难通过例如杀毒软件的方式进行识别,所以亟需一种可以通过对报文进行识别检测异常的方法。
发明内容
有鉴于此,本申请提供一种确定异常数据的方法、电子设备及存储介质,至少部分解决现有技术中存在的问题。
在本申请的一方面,提供一种确定异常数据的方法,包括以下步骤:
S100,获取待处理会话的待处理会话数据集;所述待处理会话数据集中包括属于同一会话的若干S帧报文、U帧报文和I帧报文;每一I帧报文包括其对应的数据类型。
S200,对所述待处理会话数据集进行第一特征提取处理,得到所述待处理会话的待处理会话向量A=(NumS,NumU,NumI,NumF1,NumF2,…,NumFi,…,NumFn),i=1,2,…,n;其中,n为预设的数据类型的数量,NumS为所述待处理会话数据集中S帧报文的数量,NumU为所述待处理会话数据集中U帧报文的数量,NumI为所述待处理会话数据集中I帧报文的数量,NumFi为待处理会话数据集中第i种数据类型的I帧的数量。
S300,确定A与预设的标准正常会话向量B之间的第一匹配度P1,以及A与预设的标准异常会话向量C之间的第二匹配度P2;其中,B为根据历史正常会话数据集列表中的若干历史正常会话数据集对应的历史正常会话向量得到的,历史正常会话向量为通过对其对应的历史正常会话数据集进行第一特征提取处理得到的;C为根据历史异常会话数据集列表中的若干历史异常会话数据集对应的历史异常会话向量得到的,历史异常会话向量为通过对其对应的历史异常会话数据集进行第一特征提取处理得到的。
S400,根据P1和P2,确定所述待处理会话是否为正常会话,若是,则进入步骤S500,否则,进入步骤S600。
S500,使用所述待处理会话数据集替换历史正常会话数据集列表中任一历史正常会话数据集,并根据替换后的历史正常会话数据集列表更新B。
S600,将所述待处理会话数据集作为历史异常会话数据集添加进历史异常会话数据集列表内,并根据添加后的历史异常会话数据集列表更新C。
在本申请的另一方面,提供一种电子设备,包括处理器和存储器。
所述处理器通过调用所述存储器存储的程序或指令,用于执行上述任一项所述方法的步骤。
在本申请的另一方面,提供一种非瞬时性计算机可读存储介质,所述非瞬时性计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行上述任一项所述方法的步骤。
本申请提供的确定异常数据的方法,通过待处理会话数据集进行第一特征提取处理得到待处理会话向量A,A中包含了待处理会话数据集中U帧报文数量、I帧报文的数量、S帧报文的数量以及每一数据类型的I帧报文的数量,使得A可以体现出待处理会话中的报文的特征。经研究发现,在工控系统中,由于大量的通讯工作都是重复性的,故而各个通讯环节中其报文特征相对较为统一。因此,本申请中,第一特征提取处理得到能够表现出待处理会话中的报文的特征的A,从而根据A分别与B和C之间的匹配度,确定出A对应的待处理会话是否为异常会话,从而确定对应的工控系统是否存在异常。
进一步的,本申请中,B和C分别是通过对历史正常会话数据集和历史异常会话数据集进行第一特征提取处理得到的。其中,历史正常会话数据集和历史异常会话数据集可以通过所在的工控系统的日志进行获取。日志中记录了历史中每一会话的报文的相关数据。进一步的,其中正常会话和异常会话,可以是工作人员对对应的会话数据集进行标记确定的。同时,历史异常会话数据集也可以是工作人员工作进行对工控系统的模拟攻击从而获取的。
周知的,获取正常数据的难度要远小于获取异常数据的难度,故而在实际实施中,获取到的历史异常会话数据集的数量会远小于历史正常会话数据集的数量。这也会导致起始阶段得到的标准异常会话向量不够精准。故而,本申请中,在待处理会话为正常会话时,仅会替换历史正常会话数据集列表中任一历史正常会话数据集,并根据替换后的历史正常会话数据集列表更新B,从而维持历史正常会话数据集列表中历史正常会话数据集的数量不变,并在待处理会话为异常会话时,将待处理会话数据集作为历史异常会话数据集添加进历史异常会话数据集列表内,并根据添加后的历史异常会话数据集列表更新C,以使得历史异常会话数据集列表内的历史异常会话数据集数量不断增加,使得两个列表中的数据集的数量逐渐趋同,从而提高了对待处理会话的识别结果的准确性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种确定异常数据的方法的流程图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。
需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
名词解释:
IEC104:IEC104协议是一个广泛应用于电力、城市轨道交通等行业的国际标准。IEC104协议由国际电工委员会制定。IEC104协议把IEC101的应用服务数据单元(ASDU)用网络协议TCP/IP进行传输的标准,该标准为远动信息的网络传输提供了通信协议依据。采用104协议组合101协议的ASDU的方式后,可很好的保证协议的标准化和通信的可靠性。
IEC104协议的报文格式有三种,具体为I帧报文、U帧报文和S帧报文。
I帧报文为数据帧报文,用于传输数据,且内部具有数据类型ID,数据类型ID用于表示其携带的数据的数据类型。其中,数据类型可以通过实际所在的工控系统的需求进行设定,一般数据类型的数量为50种到255种。
U帧报文为控制帧报文,用于控制启动、停止和测试等。
S帧报文为确认帧报文,用于确认接收的I帧报文等。
请参考图1,在本申请的一方面,提供一种确定异常数据的方法,包括以下步骤:
S100,获取待处理会话的待处理会话数据集;所述待处理会话数据集中包括属于同一会话的若干S帧报文、U帧报文和I帧报文;每一I帧报文包括其对应的数据类型。其中,一次会话指IEC104协议中的一次会话,即一次长连接或多个长连接组成的一次完整通讯过程。具体的可参考IEC104协议中对session会话的定义。I帧报文中可以具有对应的typeID字段,用于记录对应的数据类型ID,从而可以通过数据类型ID确定该I帧报文对应的数据类型。
S200,对所述待处理会话数据集进行第一特征提取处理,得到所述待处理会话的待处理会话向量A=(NumS,NumU,NumI,NumF1,NumF2,…,NumFi,…,NumFn),i=1,2,…,n;其中,n为预设的数据类型的数量,NumS为所述待处理会话数据集中S帧报文的数量,NumU为所述待处理会话数据集中U帧报文的数量,NumI为所述待处理会话数据集中I帧报文的数量,NumFi为待处理会话数据集中第i种数据类型的I帧的数量。
本实施例中,待处理会话向量A能够体现出待处理会话数据集中各类型帧报文的特征,从而可以用于后续确定待处理会话是否为异常会话。
具体的,第一特征提取处理,可以是对对应的会话数据集(如待处理会话数据集)中每一报文进行遍历,确定每一报文的帧类型,从而确定出S帧报文的数量、U帧报文的数量和I帧报文的数量。以及,针对I帧报文,获取其typeID字段中的数据类型ID,从而确定出每一I帧报文对应的数据类型,以确定出NumF1,NumF2,…,NumFi,…,NumFn的具体特征值。
S300,确定A与预设的标准正常会话向量B之间的第一匹配度P1,以及A与预设的标准异常会话向量C之间的第二匹配度P2;其中,B为根据历史正常会话数据集列表中的若干历史正常会话数据集对应的历史正常会话向量得到的,历史正常会话向量为通过对其对应的历史正常会话数据集进行第一特征提取处理得到的;C为根据历史异常会话数据集列表中的若干历史异常会话数据集对应的历史异常会话向量得到的,历史异常会话向量为通过对其对应的历史异常会话数据集进行第一特征提取处理得到的。
S400,根据P1和P2,确定所述待处理会话是否为正常会话,若是,则进入步骤S500,否则,进入步骤S600。
S500,使用所述待处理会话数据集替换历史正常会话数据集列表中任一历史正常会话数据集,并根据替换后的历史正常会话数据集列表更新B。
S600,将所述待处理会话数据集作为历史异常会话数据集添加进历史异常会话数据集列表内,并根据添加后的历史异常会话数据集列表更新C。
本实施例提供的确定异常数据的方法,通过待处理会话数据集进行第一特征提取处理得到待处理会话向量A,A中包含了待处理会话数据集中U帧报文数量、I帧报文的数量、S帧报文的数量以及每一数据类型的I帧报文的数量,使得A可以体现出待处理会话中的报文的特征。经研究发现,在工控系统中,由于大量的通讯工作都是重复性的,故而各个通讯环节中其报文特征相对较为统一。因此,本实施例中,第一特征提取处理得到能够表现出待处理会话中的报文的特征的A,从而根据A分别与B和C之间的匹配度,确定出A对应的待处理会话是否为异常会话,从而确定对应的工控系统是否存在异常。
进一步的,本实施例中,B和C分别是通过对历史正常会话数据集和历史异常会话数据集进行第一特征提取处理得到的。其中,历史正常会话数据集和历史异常会话数据集可以通过所在的工控系统的日志进行获取。日志中记录了历史中每一会话的报文的相关数据。进一步的,其中正常会话和异常会话,可以是工作人员对对应的会话数据集进行标记确定的。同时,历史异常会话数据集也可以是工作人员工作进行对工控系统的模拟攻击从而获取的。
周知的,获取正常数据的难度要远小于获取异常数据的难度,故而在实际实施中,获取到的历史异常会话数据集的数量会远小于历史正常会话数据集的数量。这也会导致起始阶段得到的标准异常会话向量不够精准。故而,本实施例中,在待处理会话为正常会话时,仅会替换历史正常会话数据集列表中任一历史正常会话数据集,并根据替换后的历史正常会话数据集列表更新B,从而维持历史正常会话数据集列表中历史正常会话数据集的数量不变,并在待处理会话为异常会话时,将待处理会话数据集作为历史异常会话数据集添加进历史异常会话数据集列表内,并根据添加后的历史异常会话数据集列表更新C,以使得历史异常会话数据集列表内的历史异常会话数据集数量不断增加,使得两个列表中的数据集的数量逐渐趋同,从而提高了对待处理会话的识别结果的准确性。
在本申请的一种示例性实施例中,B与A的特征维度数量相同,C与A的特征维度数量相同。
所述步骤S300,包括:
所述步骤S400,包括:
S410,若P1<P2,则确定所述待处理会话为正常会话;否则,确定所述待处理会话为异常会话。
B与C通过以下步骤得到:
S010,获取若干历史正常会话数据集和若干历史异常会话数据集。
S020,分别对每一历史正常会话数据集进行第一特征提取处理,得到历史正常会话向量列表LB=(LB1,LB2,…,LBy,…,LBx),y=1,2,…,x;其中,x为历史正常会话数据集的数量,LBy为第y个历史正常会话数据集对应的历史正常会话向量。
S030,分别对每一历史异常会话数据集进行第一特征提取处理,得到历史异常会话向量列表LC=(LC1,LC2,…,LCq,…,LCp),q=1,2,…,p;其中,p为历史异常会话数据集的数量,LCq为第q个历史异常会话数据集对应的历史异常会话向量。
S040,根据LB,获取标准正常会话向量B=(∑x y=1LBy)/x。
S050,根据LC,获取标准异常会话向量C=(∑p q=1LCq)/p。
其中,由于历史正常会话向量和历史异常会话向量是通过对若干历史正常会话数据集和若干历史异常会话数据集进行与待处理会话数据集相同的第一特征提取处理而得到的,故而,待处理会话向量,历史正常会话向量和历史异常会话向量的向量形式均相同,如向量的特征维度数量均为n+3,且相同特征维度的特征值表示的含义相同。
本申请中,B和C可以理解为所有历史正常会话向量和历史异常会话向量的重心,故而可以通过确定A分别与B和C之间的匹配度确定出A对应的待处理会话是否为异常会话。
在本申请的一种示例性实施例中,所述步骤S500,包括:
S520,使用所述待处理会话数据集替换历史正常会话数据集列表中min(ZP)对应的历史正常会话数据集,得到替换后的历史正常会话数据集列表;其中,min()为预设的最小值确定函数。
S530,根据替换后的历史正常会话数据集列表更新B。
本实施例中,若待处理会话为正常会话,则会使用使用其对应的待处理会话数据集替换min(ZP)对应的历史正常会话数据集。由于min(ZP)对应的历史正常会话数据集由于其与B之间的中间匹配度最小,故而,可以明确得出,其在历史正常会话数据集列表中对B的贡献也是最小的,故而本实施例中,将使用待处理会话数据集替换历史正常会话数据集列表中min(ZP)对应的历史正常会话数据集,并根据替换后的历史正常会话数据集列表更新B,可以是实现对B的优化,从而进一步提高了后续处理中的识别准确性。
具体的,对B进行更新可以理解为使用替换后的历史正常会话数据集列表重新执行步骤S020和步骤S040。以实现对B的更新。
在本申请的一种示例性实施例中,在所述步骤S510之前,所述步骤S500,还包括:
S501,若x>p,则进入步骤S510;否则,进入步骤S502。
S502,将所述待处理会话数据集作为历史正常会话数据集添加进历史正常会话数据集列表内,并根据添加后的历史正常会话数据集列表更新B。
通过前述内容可知,本前述实施例中使用待处理会话数据集替换历史正常会话数据集列表中任一历史正常会话数据集,并根据替换后的历史正常会话数据集列表更新B,是为了维持历史正常会话数据集列表中历史正常会话数据集的数量不变,从而使得两个列表中的数据集的数量逐渐趋同。但若在本实施例提供的方法实施了一定时间后,若历史异常会话数据集的数量超过了历史正常会话数据集的数量,还维持历史正常会话数据集的数量不变的话,也会发生正负样本数量失衡导致识别准确度下降的问题。故而,本实施例中,若待处理会话为正常会话,会通过确定x与p之间的大小关系,确定执行步骤S502还是步骤S510从而避免历史异常会话数据集过多的问题。
在本申请的一种示例性实施例中,在所述步骤S510之前,所述步骤S500,还包括:
S503,若x-p>Up,则进入步骤S510;否则,进入步骤S504;Up为预设数量,Up≥0,具体的Up=20。
S504,将所述待处理会话数据集作为历史正常会话数据集添加进历史正常会话数据集列表内,并根据添加后的历史正常会话数据集列表更新B。
本是实施例相较于前述实施例,会在x-p≤Up时,就开始增加历史正常会话数据集的数量,使得历史异常会话数据集的数量不会超过历史正常会话数据集的数量。从而实现更加合理的动态位置历史正常会话数据集的数量与历史异常会话数据集的数量之间的关系。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本申请的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,所述储存器存储有程序代码,所述程序代码可以被所述处理器执行,使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本申请的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (9)
1.一种确定异常数据的方法,其特征在于,包括以下步骤:
S100,获取待处理会话的待处理会话数据集;所述待处理会话数据集中包括属于同一会话的若干S帧报文、U帧报文和I帧报文;每一I帧报文包括其对应的数据类型;
S200,对所述待处理会话数据集进行第一特征提取处理,得到所述待处理会话的待处理会话向量A=(NumS,NumU,NumI,NumF1,NumF2,…,NumFi,…,NumFn),i=1,2,…,n;其中,n为预设的数据类型的数量,NumS为所述待处理会话数据集中S帧报文的数量,NumU为所述待处理会话数据集中U帧报文的数量,NumI为所述待处理会话数据集中I帧报文的数量,NumFi为待处理会话数据集中第i种数据类型的I帧的数量;
S300,确定A与预设的标准正常会话向量B之间的第一匹配度P1,以及A与预设的标准异常会话向量C之间的第二匹配度P2;其中,B为根据历史正常会话数据集列表中的若干历史正常会话数据集对应的历史正常会话向量得到的,历史正常会话向量为通过对其对应的历史正常会话数据集进行第一特征提取处理得到的;C为根据历史异常会话数据集列表中的若干历史异常会话数据集对应的历史异常会话向量得到的,历史异常会话向量为通过对其对应的历史异常会话数据集进行第一特征提取处理得到的;
S400,根据P1和P2,确定所述待处理会话是否为正常会话,若是,则进入步骤S500,否则,进入步骤S600;
S500,使用所述待处理会话数据集替换历史正常会话数据集列表中任一历史正常会话数据集,并根据替换后的历史正常会话数据集列表更新B;
S600,将所述待处理会话数据集作为历史异常会话数据集添加进历史异常会话数据集列表内,并根据添加后的历史异常会话数据集列表更新C。
3.根据权利要求2所述的确定异常数据的方法,其特征在于,所述步骤S400,包括:
S410,若P1<P2,则确定所述待处理会话为正常会话;否则,确定所述待处理会话为异常会话。
4.根据权利要求3所述的确定异常数据的方法,其特征在于,B与C通过以下步骤得到:
S010,获取若干历史正常会话数据集和若干历史异常会话数据集;
S020,分别对每一历史正常会话数据集进行第一特征提取处理,得到历史正常会话向量列表LB=(LB1,LB2,…,LBy,…,LBx),y=1,2,…,x;其中,x为历史正常会话数据集的数量,LBy为第y个历史正常会话数据集对应的历史正常会话向量;
S030,分别对每一历史异常会话数据集进行第一特征提取处理,得到历史异常会话向量列表LC=(LC1,LC2,…,LCq,…,LCp),q=1,2,…,p;其中,p为历史异常会话数据集的数量,LCq为第q个历史异常会话数据集对应的历史异常会话向量;
S040,根据LB,获取标准正常会话向量B=(∑x y=1LBy)/x;
S050,根据LC,获取标准异常会话向量C=(∑p q=1LCq)/p。
6.根据权利要求5所述的确定异常数据的方法,其特征在于,在所述步骤S510之前,所述步骤S500,还包括:
S501,若x>p,则进入步骤S510;否则,进入步骤S502;
S502,将所述待处理会话数据集作为历史正常会话数据集添加进历史正常会话数据集列表内,并根据添加后的历史正常会话数据集列表更新B。
7.根据权利要求5所述的确定异常数据的方法,其特征在于,在所述步骤S510之前,所述步骤S500,还包括:
S503,若x-p>Up,则进入步骤S510;否则,进入步骤S504;Up为预设数量,Up≥0;
S504,将所述待处理会话数据集作为历史正常会话数据集添加进历史正常会话数据集列表内,并根据添加后的历史正常会话数据集列表更新B。
8.一种电子设备,其特征在于,包括处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行如权利要求1至7任一项所述方法的步骤。
9.一种非瞬时性计算机可读存储介质,其特征在于,所述非瞬时性计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行如权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310119511.4A CN116192494B (zh) | 2023-02-13 | 2023-02-13 | 一种确定异常数据的方法、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310119511.4A CN116192494B (zh) | 2023-02-13 | 2023-02-13 | 一种确定异常数据的方法、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116192494A true CN116192494A (zh) | 2023-05-30 |
CN116192494B CN116192494B (zh) | 2023-10-20 |
Family
ID=86448212
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310119511.4A Active CN116192494B (zh) | 2023-02-13 | 2023-02-13 | 一种确定异常数据的方法、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116192494B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116781389A (zh) * | 2023-07-18 | 2023-09-19 | 山东溯源安全科技有限公司 | 一种异常数据列表的确定方法、电子设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104486101A (zh) * | 2014-11-28 | 2015-04-01 | 国家电网公司 | 一种在线电力远动iec104传输异常检测方法 |
CN109818970A (zh) * | 2019-03-07 | 2019-05-28 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及装置 |
CN111262722A (zh) * | 2019-12-31 | 2020-06-09 | 中国广核电力股份有限公司 | 一种用于工业控制系统网络的安全监测方法 |
US20200380119A1 (en) * | 2019-05-29 | 2020-12-03 | Easy Solutions Enterprises Corp. | Anti-impersonation techniques using device-context information and user behavior information |
CN113055374A (zh) * | 2021-03-10 | 2021-06-29 | 湖南大学 | 一种用于iec104电力协议安全性测试的检测方法及系统 |
CN115186158A (zh) * | 2022-07-18 | 2022-10-14 | 山东云天安全技术有限公司 | 一种异常数据确定方法、电子设备及存储介质 |
-
2023
- 2023-02-13 CN CN202310119511.4A patent/CN116192494B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104486101A (zh) * | 2014-11-28 | 2015-04-01 | 国家电网公司 | 一种在线电力远动iec104传输异常检测方法 |
CN109818970A (zh) * | 2019-03-07 | 2019-05-28 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及装置 |
US20200380119A1 (en) * | 2019-05-29 | 2020-12-03 | Easy Solutions Enterprises Corp. | Anti-impersonation techniques using device-context information and user behavior information |
CN111262722A (zh) * | 2019-12-31 | 2020-06-09 | 中国广核电力股份有限公司 | 一种用于工业控制系统网络的安全监测方法 |
CN113055374A (zh) * | 2021-03-10 | 2021-06-29 | 湖南大学 | 一种用于iec104电力协议安全性测试的检测方法及系统 |
CN115186158A (zh) * | 2022-07-18 | 2022-10-14 | 山东云天安全技术有限公司 | 一种异常数据确定方法、电子设备及存储介质 |
Non-Patent Citations (3)
Title |
---|
QIANMU LI; SHUNMEI MENG; SHUO WANG; JING ZHANG; JUN HOU: "CAD: Command-Level Anomaly Detection for Vehicle-Road Collaborative Charging Network", IEEE ACCESS * |
厉彦杰: "基于机器学习的电力物联网终端设备安全监测技术研究", 中国优秀硕士学位论文全文数据库 信息科技辑 * |
菜菜的小阿卓: "工业协议解析——IEC60870-104", Retrieved from the Internet <URL:https://blog.csdn.net/weixin_38843284/article/details/110739065> * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116781389A (zh) * | 2023-07-18 | 2023-09-19 | 山东溯源安全科技有限公司 | 一种异常数据列表的确定方法、电子设备及存储介质 |
CN116781389B (zh) * | 2023-07-18 | 2023-12-22 | 山东溯源安全科技有限公司 | 一种异常数据列表的确定方法、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN116192494B (zh) | 2023-10-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN116112271B (zh) | 一种会话数据处理方法、电子设备及存储介质 | |
CN116192494B (zh) | 一种确定异常数据的方法、电子设备及存储介质 | |
CN114448830B (zh) | 一种设备检测系统及方法 | |
CN111193633B (zh) | 异常网络连接的检测方法及装置 | |
CN111954240A (zh) | 网络故障处理方法、装置及电子设备 | |
CN111277602A (zh) | 网络数据包的识别处理方法、装置、电子设备及存储介质 | |
CN114036533A (zh) | 日志的传输方法及装置、电子设备和存储介质 | |
CN117040945B (zh) | 一种电子设备防护策略的确定方法、装置、介质及设备 | |
US11070615B2 (en) | Method, device and computer program product for transaction negotiation | |
CN116866047A (zh) | 工业设备网络中恶意设备的确定方法、介质及设备 | |
US11283880B2 (en) | Termination of database connection | |
CN116112266B (zh) | 一种识别会话数据的方法、电子设备及存储介质 | |
CN116112265B (zh) | 一种异常会话的确定方法、电子设备及存储介质 | |
CN116318872B (zh) | 一种通过报文确定异常会话的方法、电子设备及存储介质 | |
CN115412346B (zh) | 一种报文检测方法、装置、电子设备及存储介质 | |
CN116112263B (zh) | 一种报文处理方法、电子设备及存储介质 | |
CN115622787A (zh) | 异常流量检测方法、装置、电子设备及存储介质 | |
CN114817923A (zh) | 生成入侵检测规则的方法、装置、计算机设备及存储介质 | |
CN116320053A (zh) | 协议传输接口参数的适配方法、装置、设备和介质 | |
CN109474478B (zh) | 用于监测传输数据异常的方法、装置和系统 | |
TWI818721B (zh) | 具中斷點因應處理的機器人流程自動化快速審貸系統及其方法 | |
CN114500679B (zh) | can协议转换方法、装置、电子设备和存储介质 | |
CN116781389B (zh) | 一种异常数据列表的确定方法、电子设备及存储介质 | |
CN115174224B (zh) | 一种适用于工业控制网络的信息安全监测方法和装置 | |
CN113703880B (zh) | 应用程序的启动方法、装置、电子设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |