CN116599778B - 用于确定恶意设备的数据处理方法 - Google Patents

用于确定恶意设备的数据处理方法 Download PDF

Info

Publication number
CN116599778B
CN116599778B CN202310880425.5A CN202310880425A CN116599778B CN 116599778 B CN116599778 B CN 116599778B CN 202310880425 A CN202310880425 A CN 202310880425A CN 116599778 B CN116599778 B CN 116599778B
Authority
CN
China
Prior art keywords
target
equipment
bde
target data
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310880425.5A
Other languages
English (en)
Other versions
CN116599778A (zh
Inventor
和希文
吴浩铎
水沝
侯绪森
靳海燕
程学志
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Guokun Power Group Co ltd
Original Assignee
Shandong Traceability Safety Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Traceability Safety Technology Co ltd filed Critical Shandong Traceability Safety Technology Co ltd
Priority to CN202310880425.5A priority Critical patent/CN116599778B/zh
Publication of CN116599778A publication Critical patent/CN116599778A/zh
Application granted granted Critical
Publication of CN116599778B publication Critical patent/CN116599778B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Virology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种用于确定恶意设备的数据处理方法,涉及网络安全领域,该方法包括以下步骤:根据工业设备网络对应的目标数据,得到目标数据列表集BD;根据BD,获取设备特征向量集E;根据E,得到设备平均匹配度集F;根据F对E进行聚类,得到至少一个第一聚类集;其中,每一第一聚类集包含至少一个设备特征向量;若第一聚类集的数量大于1,且存在仅包含1个设备特征向量的第一聚类集,则将仅包含1个设备特征向量的第一聚类集所对应的目标设备确定为恶意设备。本申请通过被入侵设备特征向量的发生变化的特点,进而对设备特征向量进行聚类,根据聚类情况确定恶意设备,能够实现工业设备网络中被入侵设备的精准确定。

Description

用于确定恶意设备的数据处理方法
技术领域
本申请涉及网络安全领域,特别是涉及一种用于确定恶意设备的数据处理方法。
背景技术
工业设备网络中包括多个设备,且设备之间还可能互相影响,如果黑客入侵某一台设备,有可能会对其他设备也造成恶意影响,进而对整个工业设备系统产生恶劣影响。现有技术中在存在黑客入侵行为时,由于无法直接获取黑客入侵的设备对应的设备标识,所以无法确定直接异常设备。
所以,如何能够在黑客入侵时,精准确定异常设备是目前亟需解决的技术问题。
发明内容
有鉴于此,本申请提供一种用于确定恶意设备的数据处理方法,至少部分解决现有技术中存在的技术问题,本申请采用的技术方案为:
根据本申请的第一个方面,提供一种用于确定恶意设备的数据处理方法,包括:
S100,根据工业设备网络对应的目标数据,得到目标数据列表集BD=(BD1,BD2,…,BDe,…,BDf);e=1,2,…,f;其中,BDe为工业设备网络中第e个目标设备对应的目标数据列表;BDe包含若干对应的源设备标识或目的设备标识与Be相同的目标数据,Be为第e个目标设备对应的设备标识;任意两个目标设备的设备类型和处理任务类型均相同;
S200,根据BD,获取设备特征向量集E=(E1,E2,…,Ee,…,Ef);其中,Ee为对BDe进行特征提取处理后得到的设备特征向量;
S300,根据E,得到设备平均匹配度集F=(F1,F2,…,Fe,…,Ff);其中,Fe为Ee对应的平均匹配度;Fe=(∑i=1 fEGe,i)/f;EGe,i为Ee和Ei之间的设备匹配度;
S400,根据F对E进行聚类,得到至少一个第一聚类集;其中,每一第一聚类集包含至少一个设备特征向量;
S500,若第一聚类集的数量大于1,且存在仅包含1个设备特征向量的第一聚类集,则将仅包含1个设备特征向量的第一聚类集所对应的目标设备确定为恶意设备。
本申请至少具有以下有益效果:
本申请提供的用于确定恶意设备的数据处理方法,首先根据工业设备网络产生的目标数据,得到目标数据列表集。这里,目标数据列表集包含若干个目标数据列表,每个目标数据列表均对应一个目标设备;任意两个目标设备的设备类型和处理任务类型均相同。其次,基于上述目标数据列表集,获取对目标设备对应的目标数据列表进行特征提取后得到的设备特征向量集。进而,基于设备特征向量集,得到设备平均匹配度集;设备平均匹配度集包含了每一目标设备的特征向量与其他目标设备的特征向量的匹配度的平均值。这里,由于目标设备的设备类型和处理任务类型均相同,所以在每一目标设备均正常(即未被入侵)的情况下其目标数据列表中的目标数据应该是基本相同的,而目标数据基本相同,每一目标设备均正常(即未被入侵)的情况下其设备特征向量也应该是基本相同的。由此,每个目标设备的设备特征向量与其他目标设备的设备特征向量之间的设备匹配度应该是基本相同的,进而每个目标设备对应的设备特征向量的平均匹配度应该是基本相同的。如果黑客入侵了某一目标设备,则该目标设备的目标数据列表中的目标数据相较于其他目标设备,会发生变化。因此,本申请中进一步对设备特征向量集进行聚类,得到至少一个第一聚类集,使得同一第一聚类集中任意两个设备特征向量对应的平均匹配度基本相同,或对应的差值小于预设阈值。如果第一聚类集的数量为1,说明设备特征向量集中的所有设备特征向量的平均匹配度基本相同,即表示每个目标设备的目标数据列表中的目标数据基本相同,则没有目标设备被黑客入侵。反之,若第一聚类集的数量大于1,且存在仅包含1个设备特征向量的第一聚类集,则说明该设备特征向量的数量为1的设备聚类集合对应的目标数据列表中的目标数据与其他目标设备的目标数据列表中的目标数据不同,所以仅包含1个设备特征向量的第一聚类集对应的目标设备大概率被黑客入侵了,故而本申请中若设备聚类集合的数量大于1,且存在仅包含1个设备特征向量的第一聚类集,则确定设备特征向量的数量为1的设备聚类集合对应的设备为被入侵设备。以实现对被入侵设备的确定。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的用于确定恶意设备的数据处理方法的一个实施例的流程图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
如图1所示为根据本申请的一个实施例提供的用于确定恶意设备的数据处理方法的流程图。如图1所示,包括步骤S100-S500。
S100,根据工业设备网络对应的目标数据,得到目标数据列表集BD=(BD1,BD2,…,BDe,…,BDf);e=1,2,…,f;其中,BDe为工业设备网络中第e个目标设备对应的目标数据列表;BDe包含若干对应的源设备标识或目的设备标识与Be相同的目标数据,Be为第e个目标设备对应的设备标识;任意两个目标设备的设备类型和处理任务类型均相同。
在一些实施例中,工业设备网络可以为自动化生产设备网络等。工业设备网络对应的目标数据即为工业设备网络产生的目标数据。进一步,步骤S100包括步骤S110-S130:
S110,每间隔预设时间间隔,获取目标时间窗口内工业设备网络中所有设备产生的目标数据,得到目标数据集;其中,目标时间窗口的结束时间为当前时间,目标数据包括源设备标识和目的设备标识;目标时间窗口对应的时长大于预设时间间隔对应的时长。
具体的,任一目标数据对应的源设备标识对应的电子设备为发出该目标数据的设备,任一目标数据对应的目的设备标识对应的电子设备为接收该目标数据的设备。源设备标识可以为源IP地址,目的设备标识可以为目的IP地址。
对于上述预设时间间隔和目标时间窗口,作为示例:预设时间间隔可以为1小时。目标时间窗口可以为当前时间往前24小时。这里,目标数据中还包括源设备标识和目的设备标识。
S120,获取工业设备网络对应的目标设备标识集B=(B1,B2,…,Be,…,Bf);Be为工业设备网络中第e个目标设备对应的目标设备标识。
具体的,目标设备可以是工业设备网络中设备类型和处理任务类型均相同的一类设备,作为示例:目标设备可以是工业设备网络中控制Z类传感器的若干台控制设备。任意的两个目标设备的设备类型和处理任务类型均相同。同一工业设备网络中可以包含多类设备类型和处理任务类型均相同的设备。每个目标设备均具有其唯一性的目标设备标识(目标设备标识可以为IP地址)。
S130,根据B,从目标数据集中确定出目标数据列表集BD=(BD1,BD2,…,BDe,…,BDf)。
具体的,根据目标设备标识集中的每个目标设备的目标设备标识从目标数据集中确定出目标数据,这里,由于目标数据中包括源设备标识和目的设备标识,所以,若目标设备标识与目标数据中的源设备标识或目的设备标识相同,则确定该目标数据属于BD。这里,目的是从工业设备网络中所有设备对应的目标数据集中确定目标设备对应的目标数据列表集BD。需要说明的是,本申请中的目标数据可以是多种类型的目标数据,作为示例:在自动化生产设备网络中目标数据可以为流量包,其获取方式可以为通过网关获取。
S200,根据BD,获取设备特征向量集E=(E1,E2,…,Ee,…,Ef);其中,Ee为对BDe进行特征提取处理后得到的设备特征向量。
在一些实施例中,对每个目标设备对应的目标数据列表进行特征提取处理后得到每个设备的特征向量集,进而得到设备特征向量集。其中,上述特征提取处理具体包括以下步骤S210-S260:
S210,对BDe进行拆分,得到源数据列表BDe1=(BDe1 1,BDe1 2,…,BDe1 k,…,BDe1 m)和目的数据列表BDe2=(BDe2 1,BDe2 2,…,BDe2 n,…,BDe2 p),k=1,2,…,m;n=1,2,…,p;其中,m为BDe中对应的源设备标识与Be相同的目标数据的数量,BDe1 k为BDe中第k个源设备标识与Be相同的目标数据;p为BDe中对应的目的设备标识与Be相同的目标数据的数量,BDe2 n为BDe中第n个目的设备标识与Be相同的目标数据。
具体的,基于目标数据中的源设备标识或Be以及目标设备标识对BDe进行拆分,即根据源设备标识和Be相同的目标数据得到源数据列表BDe1,根据目的设备标识和Be相同的目标数据得到目的数据列表BDe2
由于目标设备的设备类型和处理任务类型均相同,则任两个目标设备的源数据列表和目的数据列表中的目标数据的数量应该是基本相同的。所以,本申请中分别获取同一目标设备的源数据列表BDe1和目的数据列表BDe2
S220,根据BDe1中每一目标数据对应的目的设备标识对BDe1进行聚类,得到D1个第二聚类集;同一个第二聚类集中的任意两个目标数据对应的目的设备标识相同。
具体的,BDe1中的目标数据的源设备标识均和Be相同,进而,基于BDe1中的目标数据的目的设备标识对BDe1进行聚类,即将BDe1中目的设备标识相同的目标数据聚为一类,由此,得到D1个第二聚类集。即,同一个第二聚类集中的目标数据都是由Be对应的目标设备发送给同一电子设备的,同时,该电子设备可以是变电站设备网络中的任一设备,也可以是变电站设备网络外的设备。
S230,根据BDe2中每一目标数据对应的源设备标识对BDe2进行聚类,得到D2个第三聚类集;同一个第三聚类集中的任意两个目标数据对应的源设备标识相同。
具体的,BDe2中的目标数据的目的设备标识均和Be相同,进而,基于BDe2中的目标数据的源设备标识对BDe2进行聚类,即将BDe2中源设备标识相同的目标数据聚为一类,由此,得到D2个第三聚类集。即,同一个第三聚类集中的目标数据都是由同一电子设备发送给Be对应的目标设备的,同时,该电子设备可以是变电站设备网络中的任一设备,也可以是变电站设备网络外的设备。
这里,将BDe1中目的设备标识相同的目标数据聚为一类,得到D1个第二聚类集,即基于不同的发出端对目标数据列表中的目标数据进行分类;将BDe2中源设备标识相同的目标数据聚为一类,得到D2个第三聚类集,即基于不同的接收端对目标数据列表中的目标数据进行分类。任一目标数据对应的源设备标识对应的电子设备为发出该目标数据的设备,任一目标数据对应的目的设备标识对应的电子设备为接收该目标数据的设备。
S240,对D1个第二聚类集进行特征提取,得到第一特征信息DH1=(DH11,DH12,…,DH1q,…,DH1r);q=1,2,…,r;其中,r为工业设备网络中的设备数量;DH1q为D1个第二聚类集对应的目的设备标识与工业设备网络中第q个设备的设备标识对应的特征信息。
这里,对上述个第二聚类集进行特征提取。具体包括以下步骤S241-S242:
S241,获取工业设备网络内每一设备的设备标识G=(G1,G2,…,Gq,…,Gr);Gq为工业设备网络内第q个设备的设备标识。
S242,根据Gq遍历D1个第二聚类集中每个第二聚类集对应的目的设备标识,若Gq与任一第二聚类集对应的目的设备标识相同,获取DH1q=(Gq,tag11,NUM1);其中,tag11为第一标识,用于表示D1个第二聚类集对应的目的设备标识中存在与Gq相同的目的设备标识;NUM1为与Gq相同的目的设备标识对应的第二聚类集中的目标数据的数量。
具体的,根据Gq遍历D1个第二聚类集中每个第二聚类集对应的目的设备标识,若Gq与任一第二聚类集对应的目的设备标识相同,作为示例:若Gq与第二聚类集X1对应的目的设备标识y1相同,则获取DH1q=(Gq,tag11,NUM1);tag11用于表示D1个第二聚类集对应的目的设备标识中存在与Gq相同的目的设备标识,即以Gq对应的设备为目标数据接收端,以y1对应的目标设备为目标数据发出端,进行了通信;NUM1则表示X1中目标数据的数量,即表示y1对应的目标设备与Gq对应的设备之间传输的目标数据的数量。
另外,在根据Gq遍历D1个第二聚类集中每个第二聚类集对应的目的设备标识之后,方法还包括:
S243,若Gq与每一第二聚类集对应的目的设备标识均不同,获取DH1q=(Gq,tag12,0);其中,tag12为第二标识,用于表示D1个第二聚类集对应的目的设备标识中不存在与Gq相同的目的设备标识;0表示与Gq相同的目的设备标识对应的第二聚类集中的目标数据的数量为0。
具体的,若Gq与每一第二聚类集对应的目的设备标识均不同,作为示例:若Gq每一第二聚类集对应的目的设备标识均不同,为了保证特征向量的长度一致性,方便后续进一步处理,获取DH1q=(Gq,tag12,0);tag12用于表示D1个第二聚类集对应的目的设备标识中不存在与Gq相同的目的设备标识,即Gq对应的设备与每一第二聚类集对应的目标设备均未进行通信;所以,与Gq相同的目的设备标识对应的第二聚类集中的目标数据的数量为0。
S250,对D2个第三聚类集进行特征提取,得到第二特征信息DH2=(DH21,DH22,…,DH2q,…,DH2r);DH2q为D2个第三聚类集对应的源设备标识与工业设备网络中第q个设备的设备标识对应的特征信息。
参照步骤S240,同样的,对上述D2个第三聚类集进行特征提取。具体包括以下步骤S251-S252:
S251,获取工业设备网络内每一设备的设备标识G=(G1,G2,…,Gq,…,Gr)。
S252,根据Gq遍历D2个第三聚类集中每个第三聚类集对应的源设备标识,若Gq与任一第三聚类集对应的源设备标识相同,获取DH2q=(Gq,tag21,NUM2);其中,tag21为第三标识,用于表示D2个第三聚类集对应的源设备标识中存在与Gq相同的源设备标识;NUM2为与Gq相同的目的设备标识对应的第三聚类集中的目标数据的数量。
具体的,作为示例:若Gq与第三聚类集X2对应的目的设备标识y2相同,则获取DH1q=(Gq,tag21,NUM2);tag12用于表示D2个第三聚类集对应的源设备标识存在与Gq相同的源设备标识,即以Gq对应的设备为目标数据发出端,以y2对应的目标设备为目标数据接收端,进行了通信;NUM1则表示X2中目标数据的数量,即表示y2对应的目标设备与Gq对应的设备之间传输的目标数据的数量。
另外,根据Gq遍历D2个第三聚类集中每个第三聚类集对应的源设备标识之后,方法还包括:
S253,若Gq与每一第三聚类集对应的源设备标识均不同,获取DH2q=(Gq,tag22,0);其中,tag22为第四标识,用于表示D2个第三聚类集对应的源设备标识中不存在与Gq相同的源设备标识;0表示与Gq相同的目的设备标识对应的第三聚类集中的目标数据的数量为0。
S260,根据DH1和DH2,得到Ee=(DH1,DH2)。
具体的,根据上述DH1,DH2,得到Ee=(DH1,DH2)。
综上,DH1q中包括的特征有:工业设备网络中与y1(与Gq相同的任一第二聚类集对应的目的设备标识)对应的目标设备进行通信的设备的设备标识;y1对应的目标设备与Gq对应的设备是否以Gq对应的设备为目标数据接收端,以y1对应的目标设备为目标数据发出端进行通信的标识(tag11、tag12);以及y1对应的目标设备与Gq对应的设备之间传输的目标数据的数量(NUM1、0)。DH2q同DH1q,因此,每个目标设备对应的设备特征向量反映了每个目标设备与工业设备网络内其他设备的详细通信情况(包括Gq对应的设备为目标数据接收端或发起端两种情况)。由于多个目标设备中每个目标设备的设备类型和处理任务类型均相同,所以对于多个目标设备中每个目标设备的设备特征向量应该是基本相同的,如果任一目标设备被黑客入侵,则被黑客入侵的目标设备与系统的通信情况会发生变化,则被黑客入侵的目标设备的特征向量会发生变化。
S300,根据E,得到设备平均匹配度集F=(F1,F2,…,Fe,…,Ff);其中,Fe为Ee对应的平均匹配度;Fe=(∑i=1 fEGe,i)/f;EGe,i为Ee和Ei之间的设备匹配度;其中,EGe,i符合如下条件:EGe,i=(Ee·Ei)/(|Ee|×|Ei|)。需要说明的是:点积在数学中,又称数量积,是指接受在实数R上的两个向量并返回一个实数值标量的二元运算。向量积,数学中又称外积、叉积,物理中称矢积、叉乘,是一种在向量空间中向量的二元运算。与点积不同,向量积的运算结果是一个向量而不是一个标量。本申请中上述Ee·Ei使用的是点积,|Ee|×|Ei|使用的是向量积。
具体的,获取每个目标设备的设备特征向量的设备平均匹配度,得到设备平均匹配度集,这里,如果每两个目标设备的设备特征向量的平均匹配度相同,则表示这两个目标设备的设备特征向量的相似度高。
由于目标设备的设备类型和处理任务类型均相同,所以在每一目标设备均正常(即未被入侵)的情况下其设备特征向量应该是基本相同的,即每个目标设备的设备特征向量与其他目标设备的设备特征向量的设备匹配度应该是基本相同的,进而每个目标设备的设备特征向量对应的平均匹配度应该是基本相同的。
S400,根据F对E进行聚类,得到至少一个第一聚类集;其中,每一第一聚类集包含至少一个设备特征向量。
具体的,基于上述F对E进行聚类,将设备特征向量对应的平均匹配度基本相同,或对应的差值小于预设阈值的设备特征向量聚为一类,得到至少一个第一聚类集,其中,每一第一聚类集包含至少一个设备特征向量。这里,同一第一聚类集中任意两个设备特征向量对应的平均匹配度基本相同,或对应的差值小于预设阈值。
S500,若第一聚类集的数量大于1,且存在仅包含1个设备特征向量的第一聚类集,则将仅包含1个设备特征向量的第一聚类集所对应的目标设备确定为恶意设备。
具体的,若第一聚类集的数量大于1,且存在仅包含1个设备特征向量的第一聚类集,则说明该设备特征向量的数量为1的设备聚类集合对应的设备特征向量的平均匹配度与其他大多数的目标设备的设备特征向量的平均匹配度不同,进而该设备特征向量的数量为1的设备聚类集合对应的设备特征向量与其他大多数的目标设备的设备特征向量不同,所以仅包含1个设备特征向量的第一聚类集对应的目标设备大概率被黑客入侵了。反之,如果第一聚类集的数量为1,说明设备特征向量集中的所有设备特征向量的平均匹配度基本相同,即表示每个目标设备的设备特征向量基本相同,则没有目标设备被黑客入侵。故而本申请中若设备聚类集合的数量大于1,且存在仅包含1个设备特征向量的第一聚类集,则确定设备特征向量的数量为1的设备聚类集合对应的设备为被入侵设备。以实现对被入侵设备的确定。
在一些实施例的一些可选的实现方式中,在步骤S400之后,方法还包括:
S600,若第一聚类集的数量大于1,且不存在仅包含1个设备特征向量的第一聚类集,获取包含设备特征向量数量最少的第一聚类集作为目标聚类集。
具体的,若第一聚类集的数量大于1,且不存在仅包含1个设备特征向量的第一聚类集,即不能直接确定被入侵设备时,获取第一聚类集中包含设备特征向量数量最少的作为目标聚类集。
S700,将目标聚类集中任一设备特征向量作为目标设备特征向量Eu。
S800,获取Eu对应的目标设备的历史设备特征向量集H=(H1,H2,…,Hs,…,Ht)。s=1,2,…,t;其中,t为获取的历史设备特征向量的数量;Hs为第s个预设时间间隔前获取的Eu对应的目标设备的历史设备特征向量。
具体的,获取Eu对应的目标设备的历史设备特征向量,得到历史设备特征向量集H。
S900,获取Eu与H中每一历史设备特征向量的匹配度,得到目标匹配度集K=(K1,K2,…,Ks,…,Kt);其中,Ks为Eu与Hs的目标匹配度。
这里,Ks符合如下条件:Ks=(Eu·Hs)/(|Eu|×|Hs|)。需要说明的是:点积在数学中,又称数量积,是指接受在实数R上的两个向量并返回一个实数值标量的二元运算。向量积,数学中又称外积、叉积,物理中称矢积、叉乘,是一种在向量空间中向量的二元运算。与点积不同,向量积的运算结果是一个向量而不是一个标量。本申请中上述Eu·Hs使用的是点积,|Eu|×|Hs|使用的是向量积。
S1000,获取K的目标匹配度波动值KM;KM=(∑t s=1(Ks-avg(K))2)/t;其中:avg()为预设的平均值确定函数。
S1100,若KM大于预设目标匹配度波动值阈值,或KM小于预设目标匹配度波动值阈值且K中所有的匹配度小于预设匹配度阈值,则确定Eu对应的目标设备确定为恶意设备。
具体的,对于Eu对应的目标设备,在此前并未被标记为恶意设备,所以其历史设备特征向量集中的每个历史设备特征向量应该是基本相同的,进而,Eu与历史设备特征向量集中的每个历史设备特征向量的匹配度应该是基本相同的,即其匹配度波动值KM应该较小,小于预设的目标匹配度波动值阈值。所以,若KM大于预设目标匹配度波动值阈值,则表示历史设备特征向量集中存在至少一个历史设备特征向量的匹配度与其他历史设备特征向量的匹配度的差值较大,即导致匹配度波动值大于预设目标匹配度波动值阈值。则确定Eu对应的目标设备确定为恶意设备。这里可能由于Eu对应的目标设备在历史某一时刻被入侵但未检出。
另外,若KM小于预设目标匹配度波动值阈值,且K中所有的匹配度小于预设匹配度阈值,则表示其历史设备特征向量集中的每个历史设备特征向量是基本相同的,但Eu与历史设备特征向量集中的每个历史设备特征向量的匹配度较低,则说明Eu对应的目标设备在Eu对应的时间窗口(目标时间窗口)内大概率被入侵,所以确定Eu对应的目标设备确定为恶意设备。
在另一些实施例中,在步骤S300之后,上述方法还包括:
S1200,根据F,获取平均匹配度波动值FH;FH=(∑f e=1(Fe-avg(F))2)/f;其中:avg()为预设的平均值确定函数。
S1300,若FH大于预设的平均匹配度波动值阈值,则确定目标设备中存在恶意设备。
具体的,获取平均匹配度波动值,由于目标设备的设备类型和处理任务类型均相同,所以在每一目标设备均正常(即未被入侵)的情况下其设备特征向量应该是基本相同的,即每个目标设备的设备特征向量与其他目标设备的设备特征向量的设备匹配度应该是基本相同的,进而每个目标设备对应的平均匹配度应该是基本相同的。如果黑客入侵了某一目标设备,则该目标设备的设备特征向量相较于其他目标设备,会发生变化。因此,本申请进一步获取上述平均匹配度集的平均匹配度波动值,如果平均匹配度波动值小,表示平均匹配度集中的平均匹配度均值基本相同,即表示每个目标设备的设备特征向量基本相同,则没有目标设备被黑客入侵,反之,如果上述平均匹配度集的波动值大于预设的平均匹配度波动值阈值,则表示某些目标设备的设备特征向量发生了变化,则大概率存在被黑客入侵的目标设备。故而,本申请中若目标设备的平均匹配度大于预设的平均匹配度波动值阈值,则确定目标设备中存在恶意设备。
此外,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (9)

1.一种用于确定恶意设备的数据处理方法,其特征在于,所述方法包括:
S100,根据工业设备网络对应的目标数据,得到目标数据列表集BD=(BD1,BD2,…,BDe,…,BDf);e=1,2,…,f;其中,BDe为工业设备网络中第e个目标设备对应的目标数据列表;BDe包含若干对应的源设备标识或目的设备标识与Be相同的目标数据,Be为第e个目标设备对应的设备标识;任意两个目标设备的设备类型和处理任务类型均相同;
S200,根据BD,获取设备特征向量集E=(E1,E2,…,Ee,…,Ef);其中,Ee为对BDe进行特征提取处理后得到的设备特征向量;
S300,根据E,得到设备平均匹配度集F=(F1,F2,…,Fe,…,Ff);其中,Fe为Ee对应的平均匹配度;Fe=(∑i=1 fEGe,i)/f;EGe,i为Ee和Ei之间的设备匹配度;
S400,根据F对E进行聚类,得到至少一个第一聚类集;其中,每一第一聚类集包含至少一个设备特征向量;
S500,若第一聚类集的数量大于1,且存在仅包含1个设备特征向量的第一聚类集,则将仅包含1个设备特征向量的第一聚类集所对应的目标设备确定为恶意设备;
其中,所述特征提取处理包括:
S210,对BDe进行拆分,得到源数据列表BDe1=(BDe1 1,BDe1 2,…,BDe1 k,…,BDe1 m)和目的数据列表BDe2=(BDe2 1,BDe2 2,…,BDe2 n,…,BDe2 p),k=1,2,…,m;n=1,2,…,p;其中,m为BDe中对应的源设备标识与Be相同的目标数据的数量,BDe1 k为BDe中第k个源设备标识与Be相同的目标数据;p为BDe中对应的目的设备标识与Be相同的目标数据的数量,BDe2 n为BDe中第n个目的设备标识与Be相同的目标数据;
S220,根据BDe1中每一目标数据对应的目的设备标识对BDe1进行聚类,得到D1个第二聚类集;同一个第二聚类集中的任意两个目标数据对应的目的设备标识相同;
S230,根据BDe2中每一目标数据对应的源设备标识对BDe2进行聚类,得到D2个第三聚类集;同一个第三聚类集中的任意两个目标数据对应的源设备标识相同;
S240,对D1个第二聚类集进行特征提取,得到第一特征信息DH1=(DH11,DH12,…,DH1q,…,DH1r);q=1,2,…,r;其中,r为工业设备网络中的设备数量;DH1q为D1个第二聚类集对应的目的设备标识与工业设备网络中第q个设备的设备标识对应的特征信息;
S250,对D2个第三聚类集进行特征提取,得到第二特征信息DH2=(DH21,DH22,…,DH2q,…,DH2r);DH2q为D2个第三聚类集对应的源设备标识与工业设备网络中第q个设备的设备标识对应的特征信息;
S260,根据DH1和DH2,得到Ee=(DH1,DH2)。
2.如权利要求1所述的用于确定恶意设备的数据处理方法,其特征在于,所述步骤S100包括:
S110,每间隔预设时间间隔,获取目标时间窗口内工业设备网络中所有设备产生的目标数据,得到目标数据集;其中,所述目标时间窗口的结束时间为当前时间,所述目标数据包括源设备标识和目的设备标识;所述目标时间窗口对应的时长大于预设时间间隔对应的时长;
S120,获取工业设备网络对应的目标设备标识集B=(B1,B2,…,Be,…,Bf);
S130,根据B,从目标数据集中确定出目标数据列表集BD=(BD1,BD2,…,BDe,…,BDf)。
3.如权利要求1所述的用于确定恶意设备的数据处理方法,其特征在于,所述步骤S240包括:
S241,获取工业设备网络内每一设备的设备标识G=(G1,G2,…,Gq,…,Gr);Gq为工业设备网络内第q个设备的设备标识;
S242,根据Gq遍历D1个第二聚类集中每个第二聚类集对应的目的设备标识,若Gq与任一第二聚类集对应的目的设备标识相同,获取DH1q=(Gq,tag11,NUM1);其中,tag11为第一标识,用于表示D1个第二聚类集对应的目的设备标识中存在与Gq相同的目的设备标识;NUM1为与Gq相同的目的设备标识对应的第二聚类集中的目标数据的数量。
4.如权利要求3所述的用于确定恶意设备的数据处理方法,其特征在于,在根据Gq遍历D1个第二聚类集中每个第二聚类集对应的目的设备标识之后,所述方法还包括:
S243,若Gq与每一第二聚类集对应的目的设备标识均不同,获取DH1q=(Gq,tag12,0);其中,tag12为第二标识,用于表示D1个第二聚类集对应的目的设备标识中不存在与Gq相同的目的设备标识;0表示与Gq相同的目的设备标识对应的第二聚类集中的目标数据的数量为0。
5.如权利要求1所述的用于确定恶意设备的数据处理方法,其特征在于,所述步骤S250包括:
S251,获取工业设备网络内每一设备的设备标识G=(G1,G2,…,Gq,…,Gr);
S252,根据Gq遍历D2个第三聚类集中每个第三聚类集对应的源设备标识,若Gq与任一第三聚类集对应的源设备标识相同,获取DH2q=(Gq,tag21,NUM2);其中,tag21为第三标识,用于表示D2个第三聚类集对应的源设备标识中存在与Gq相同的源设备标识;NUM2为与Gq相同的目的设备标识对应的第三聚类集中的目标数据的数量。
6.如权利要求5所述的用于确定恶意设备的数据处理方法,其特征在于,所述根据Gq遍历D2个第三聚类集中每个第三聚类集对应的源设备标识之后,所述方法还包括:
S253,若Gq与每一第三聚类集对应的源设备标识均不同,获取DH2q=(Gq,tag22,0);其中,tag22为第四标识,用于表示D2个第三聚类集对应的源设备标识中不存在与Gq相同的源设备标识;0表示与Gq相同的目的设备标识对应的第三聚类集中的目标数据的数量为0。
7.如权利要求2所述的用于确定恶意设备的数据处理方法,其特征在于,在步骤S400之后,所述方法还包括:
S600,若第一聚类集的数量大于1,且不存在仅包含1个设备特征向量的第一聚类集,获取包含设备特征向量数量最少的第一聚类集作为目标聚类集;
S700,将目标聚类集中任一设备特征向量作为目标设备特征向量Eu;
S800,获取Eu对应的目标设备的历史设备特征向量集H=(H1,H2,…,Hs,…,Ht);s=1,2,…,t;其中,t为获取的历史设备特征向量的数量;Hs为第s个预设时间间隔前获取的Eu对应的目标设备的历史设备特征向量;
S900,获取Eu与H中每一历史设备特征向量的匹配度,得到目标匹配度集K=(K1,K2,…,Ks,…,Kt);其中,Ks为Eu与Hs的目标匹配度;
S1000,获取K的目标匹配度波动值KM;KM=(∑t s=1(Ks-avg(K))2)/t;其中:avg()为预设的平均值确定函数;
S1100,若KM大于预设目标匹配度波动值阈值,或KM小于预设目标匹配度波动值阈值且K中所有的匹配度小于预设匹配度阈值,则确定Eu对应的目标设备确定为恶意设备。
8.如权利要求7所述的用于确定恶意设备的数据处理方法,其特征在于,Ks符合如下条件:Ks=(Eu·Hs)/(|Eu|×|Hs|)。
9.如权利要求1所述的用于确定恶意设备的数据处理方法,其特征在于,EGe,i符合如下条件:EGe,i=(Ee·Ei)/(|Ee|×|Ei|)。
CN202310880425.5A 2023-07-18 2023-07-18 用于确定恶意设备的数据处理方法 Active CN116599778B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310880425.5A CN116599778B (zh) 2023-07-18 2023-07-18 用于确定恶意设备的数据处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310880425.5A CN116599778B (zh) 2023-07-18 2023-07-18 用于确定恶意设备的数据处理方法

Publications (2)

Publication Number Publication Date
CN116599778A CN116599778A (zh) 2023-08-15
CN116599778B true CN116599778B (zh) 2023-09-26

Family

ID=87599568

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310880425.5A Active CN116599778B (zh) 2023-07-18 2023-07-18 用于确定恶意设备的数据处理方法

Country Status (1)

Country Link
CN (1) CN116599778B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7500266B1 (en) * 2002-12-03 2009-03-03 Bbn Technologies Corp. Systems and methods for detecting network intrusions
CN107465648A (zh) * 2016-06-06 2017-12-12 腾讯科技(深圳)有限公司 异常设备的识别方法及装置
CN112235283A (zh) * 2020-10-10 2021-01-15 南方电网科学研究院有限责任公司 一种基于脆弱性描述攻击图的电力工控系统网络攻击评估方法
WO2021057382A1 (zh) * 2019-09-23 2021-04-01 中兴通讯股份有限公司 一种异常检测方法、装置、终端及存储介质
WO2021203823A1 (zh) * 2020-04-10 2021-10-14 Oppo广东移动通信有限公司 图像分类方法、装置、存储介质及电子设备
CN113810351A (zh) * 2020-06-16 2021-12-17 深信服科技股份有限公司 网络攻击的攻击者确定方法及装置和计算机可读存储介质
CN114491082A (zh) * 2022-03-31 2022-05-13 南京众智维信息科技有限公司 基于网络安全应急响应知识图谱特征提取的预案匹配方法
KR20220071878A (ko) * 2020-11-24 2022-05-31 서울대학교산학협력단 네트워크 공격 탐지 방법 및 장치
CN115860008A (zh) * 2023-02-24 2023-03-28 山东云天安全技术有限公司 用于异常日志信息确定的数据处理方法、电子设备及介质
CN116185783A (zh) * 2023-04-24 2023-05-30 山东溯源安全科技有限公司 一种电子设备的监控方法、装置、电子设备及存储介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7500266B1 (en) * 2002-12-03 2009-03-03 Bbn Technologies Corp. Systems and methods for detecting network intrusions
CN107465648A (zh) * 2016-06-06 2017-12-12 腾讯科技(深圳)有限公司 异常设备的识别方法及装置
WO2021057382A1 (zh) * 2019-09-23 2021-04-01 中兴通讯股份有限公司 一种异常检测方法、装置、终端及存储介质
WO2021203823A1 (zh) * 2020-04-10 2021-10-14 Oppo广东移动通信有限公司 图像分类方法、装置、存储介质及电子设备
CN113810351A (zh) * 2020-06-16 2021-12-17 深信服科技股份有限公司 网络攻击的攻击者确定方法及装置和计算机可读存储介质
CN112235283A (zh) * 2020-10-10 2021-01-15 南方电网科学研究院有限责任公司 一种基于脆弱性描述攻击图的电力工控系统网络攻击评估方法
KR20220071878A (ko) * 2020-11-24 2022-05-31 서울대학교산학협력단 네트워크 공격 탐지 방법 및 장치
CN114491082A (zh) * 2022-03-31 2022-05-13 南京众智维信息科技有限公司 基于网络安全应急响应知识图谱特征提取的预案匹配方法
CN115860008A (zh) * 2023-02-24 2023-03-28 山东云天安全技术有限公司 用于异常日志信息确定的数据处理方法、电子设备及介质
CN116185783A (zh) * 2023-04-24 2023-05-30 山东溯源安全科技有限公司 一种电子设备的监控方法、装置、电子设备及存储介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
基于余弦测度下K-means的网络空间终端设备识别;曹来成;赵建军;崔翔;李可;;中国科学院大学学报(第04期);全文 *
基于改进K-means算法的网络入侵行为取证研究;许彩滇;刘晓丽;;中国人民公安大学学报(自然科学版)(第02期);全文 *
基于聚类算法的DNS攻击检测;李建;;计算机时代(第07期);全文 *

Also Published As

Publication number Publication date
CN116599778A (zh) 2023-08-15

Similar Documents

Publication Publication Date Title
CN109902721B (zh) 异常点检测模型验证方法、装置、计算机设备及存储介质
CN110401662B (zh) 一种工控设备指纹识别方法、存储介质
CN110287078B (zh) 基于zabbix性能基线的异常检测和告警方法
CN111177505A (zh) 指标异常检测模型的训练方法、推荐的方法及装置
CN110061931B (zh) 工控协议的聚类方法、装置、系统及计算机存储介质
CN111314910B (zh) 一种映射隔离森林的无线传感器网络异常数据检测方法
CN110807339A (zh) Rfid系统的丢失标签检测方法
CN111970229B (zh) 一种针对多种攻击方式的can总线数据异常检测方法
EP3720061B1 (en) Bit assignment estimating device, bit assignment estimating method, and program
CN112418289A (zh) 一种不完全标注数据的多标签分类处理方法及装置
CN104767736A (zh) 将未知单协议数据流分离为不同类型的数据帧的方法
CN116866047A (zh) 工业设备网络中恶意设备的确定方法、介质及设备
CN116599778B (zh) 用于确定恶意设备的数据处理方法
CN109523129B (zh) 一种无人车多传感器信息实时融合的方法
CN112633353B (zh) 基于包长概率分布与k近邻算法的物联网设备识别方法
CN114067224A (zh) 一种基于多传感器数据融合的无人机集群目标数量检测方法
US20210080384A1 (en) Method of creating characteristic profiles of mass spectra and identification model for analyzing and identifying features of microorganizms
US11847187B2 (en) Device identification device, device identification method, and device identification program
CN111698321A (zh) 物联网设备数据同步方法、装置及控制中心
CN111258788B (zh) 磁盘故障预测方法、装置及计算机可读存储介质
CN111814147B (zh) 基于模型库的安卓恶意软件检测方法
CN109711222B (zh) 射频识别防碰撞性能测试方法、测试仪器及存储介质
CN113326412A (zh) 汽车主机厂网络数据的水军识别方法及装置
CN113420791A (zh) 边缘网络设备接入控制方法、装置及终端设备
JP6980231B2 (ja) 通信状況予測装置、通信状況予測方法、および、プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20240926

Address after: 250000 Room 310, Research and Production Building, No. 2766 Yingxiu Road, Shunhua Road Street, Jinan Area, China (Shandong) Pilot Free Trade Zone, Jinan City, Shandong Province

Patentee after: Shandong Guokun Power Group Co.,Ltd.

Country or region after: China

Address before: Room 1905, Dingfeng Center, No. 6 Jiefang Road, Lixia District, Jinan City, Shandong Province, 250014

Patentee before: Shandong Traceability Safety Technology Co.,Ltd.

Country or region before: China