CN116881793A - 一种工控网络态势评估方法、装置、电子设备及存储介质 - Google Patents
一种工控网络态势评估方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116881793A CN116881793A CN202310917342.9A CN202310917342A CN116881793A CN 116881793 A CN116881793 A CN 116881793A CN 202310917342 A CN202310917342 A CN 202310917342A CN 116881793 A CN116881793 A CN 116881793A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- control network
- data
- feature matrix
- self
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 76
- 239000011159 matrix material Substances 0.000 claims abstract description 128
- 238000012545 processing Methods 0.000 claims abstract description 45
- 238000011156 evaluation Methods 0.000 claims abstract description 35
- 238000000605 extraction Methods 0.000 claims abstract description 30
- 238000007781 pre-processing Methods 0.000 claims abstract description 14
- 238000007499 fusion processing Methods 0.000 claims abstract description 11
- 238000013527 convolutional neural network Methods 0.000 claims description 26
- 230000003993 interaction Effects 0.000 claims description 18
- 238000011176 pooling Methods 0.000 claims description 18
- 230000006870 function Effects 0.000 claims description 17
- 239000013598 vector Substances 0.000 claims description 17
- 230000004913 activation Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 13
- 238000013507 mapping Methods 0.000 claims description 12
- 230000003213 activating effect Effects 0.000 claims description 4
- 230000004927 fusion Effects 0.000 claims description 4
- 230000006872 improvement Effects 0.000 abstract description 7
- 238000012854 evaluation process Methods 0.000 abstract description 5
- 230000008569 process Effects 0.000 description 31
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000012935 Averaging Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 3
- 238000010606 normalization Methods 0.000 description 3
- 238000012549 training Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000013178 mathematical model Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/10—Pre-processing; Data cleansing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2415—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/25—Fusion techniques
- G06F18/253—Fusion techniques of extracted features
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2123/00—Data types
- G06F2123/02—Data types in the time domain, e.g. time-series data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Probability & Statistics with Applications (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Mathematical Physics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请实施例提供一种工控网络态势评估方法、装置、电子设备及存储介质,其中,该方法包括:获取工控网络攻击数据;对所述工控网络攻击数据进行预处理,得到工控数据特征;根据预先构建的工控网络态势模型对所述工控数据特征进行特征提取,得到特征矩阵;对所述特征矩阵进行融合处理,得到综合特征矩阵;根据自注意力模型对所述综合特征矩阵进行评估,得到评估结果。实施本申请实施例,可以实现对工控网络安全态势的快速评估,提高评估过程中的数据处理能力,减少数据冗余带来的评估误差,有利于完善工控网络的安全漏洞,提高安全性能。
Description
技术领域
本申请涉及深度学习技术领域,具体而言,涉及一种工控网络态势评估方法、装置、电子设备及存储介质。
背景技术
态势感知是指在特定的情境下,对各类要素进行感知和理解,并对这些要素在一段时间内的变化趋势进行预测,现在技术已经将态势感知的技术应用于对网络安全态势进行评估。
现有技术将态势感知应用于网络安全领域,对工控网络安全态势进行评估,常见的方法分为三大类,分别是基于数学模型、基于概率和知识推理和基于模式分类,然而,现有技术在应用这些方法进行网络安全态势评估时存在很多问题,例如,未考虑到各类指标的分类问题:由于在对网络态势进行评估时,通常我们会将整体指标划分多个类,分别评估后再融合得到整体的态势,因为其不同的指标本质含义不同,所以单纯靠模型的理解去完成,存在较大的困难,因此此类模型在进行局部信息提取时存在较大的问题;不适用网络态势序列数据:RBF网络通常用于处理静态输入数据,对于序列数据(例如时间序列或语音信号)的建模能力相对较弱。对于态势感知数据集来说,其数据集本身就容易收到上下文的影响,所以序列数据中的时序信息和相关性通常需要其他技术(如循环神经网络)来捕捉,而RBF网络本身并不具备这种内建的能力。
发明内容
本申请实施例的目的在于提供一种工控网络态势评估方法、装置、电子设备及存储介质,可以实现对工控网络安全态势的快速评估,提高评估过程中的数据处理能力,减少数据冗余带来的评估误差,有利于完善工控网络的安全漏洞,提高安全性能。
第一方面,本申请实施例提供了一种工控网络态势评估方法,所述方法包括:
获取工控网络攻击数据;
对所述工控网络攻击数据进行预处理,得到工控数据特征;
根据预先构建的工控网络态势模型对所述工控数据特征进行特征提取,得到特征矩阵;
对所述特征矩阵进行融合处理,得到综合特征矩阵;
根据自注意力模型对所述综合特征矩阵进行评估,得到评估结果。
在上述实现过程中,根据工控网络态势模型对工控数据特征进行特征提取后进行融合,并利用自注意力模型对综合特征矩阵进行评估,可以实现对工控网络安全态势的快速评估,提高评估过程中的数据处理能力,减少数据冗余带来的评估误差,有利于完善工控网络的安全漏洞,提高安全性能。
进一步地,所述对所述工控网络攻击数据进行预处理,得到工控数据特征的步骤,包括:
获取网络安全数据集;
对所述网络安全数据集对应的安全指标进行多通道分类,得到多个安全指标;
根据所述多个安全指标对所述工控网络攻击数据进行数值化处理,得到攻击数值;
对所述攻击数值进行归一化处理,得到所述工控数据特征。
在上述实现过程中,对网络安全数据集对应的安全指标进行多通道分类,得到多个安全指标再根据多个安全指标对工控网络攻击数据进行数值化处理,使得工控网络攻击数据中可以引入经过多通道分类的安全指标,便于后续对工控网络攻击数据的安全态势进行分类、评估。
进一步地,所述根据预先构建的工控网络态势模型对所述工控数据特征进行特征提取,得到特征矩阵的步骤,包括:
将所述工控数据特征输入所述工控网络态势模型的卷积神经网络中进行多通道特征提取,得到所述特征矩阵。
进一步地,所述将所述工控数据特征输入所述工控网络态势模型的卷积神经网络中进行多通道特征提取,得到所述特征矩阵的步骤,包括:
将所述工控数据特征输入所述卷积神经网络的BN层进行批处理,得到第一特征数据;
将所述第一特征数据输入所述卷积神经网络的池化层进行平均池化,得到第二特征数据;
利用激活函数对所述第二特征数据进行激活,得到所述特征矩阵。
在上述实现过程中,将工控数据特征输入卷积神经网络进行特征提取,再进行平均池化和激活,使得到的特征矩阵精度更高,能够使模型梯度的传播更加稳定,加速收敛速度。
进一步地,根据以下公式将所述工控数据特征输入所述工控网络态势模型的卷积神经网络中进行多通道特征提取,得到所述特征矩阵:
其中,为所述特征矩阵,/>为所述激活函数、GAP为平均池化操作、/>为批处理操作,i为通道,l代表层序,Data为所述工控数据特征,Conv为卷积操作,/>为维度。
进一步地,所述对所述特征矩阵进行融合处理,得到综合特征矩阵的步骤,包括:
对所述特征矩阵中不同通道的特征向量进行拼接,得到初始综合特征矩阵;
在所述初始综合特征矩阵中引入序列位置信息,得到所述综合特征矩阵。
在上述实现过程中,将不同通道的特征向量进行拼接,使得不同通道、维度大小不同的特征向量可以保持一致,并在特征矩阵中引入序列位置信息,使得模型可以学习到不同序列之间的位置关系,提高综合特征矩阵的鲁棒性。
进一步地,所述根据自注意力模型对所述综合特征矩阵进行评估,得到评估结果的步骤,包括:
根据自注意力模型对所述综合特征矩阵进行自注意力处理,得到自注意力值;
将所述自注意力值输入所述自注意力模型的编码器中,得到第一特征信息;
将所述第一特征信息输入所述自注意力模型的解码器中,得到第二特征信息;
将所述第二特征信息进行概率分布映射,得到所述评估结果。
在上述实现过程中,根据编码器和解码器对自注意力值进行学习,可以实现对特征信息的进一步加工,便于提取数据之间的上下联系信息,提高数据的相关性。
进一步地,所述根据自注意力模型对所述综合特征矩阵进行自注意力处理,得到自注意力值的步骤,包括:
获取参数矩阵和权值矩阵;
根据所述参数矩阵和所述权值矩阵对所述综合特征矩阵进行线性映射,得到所述自注意力值。
在上述实现过程中,根据参数矩阵和权值矩阵对综合特征矩阵进行线性映射,可以得到特征在不同序列中的重要性权重,反映出特征之间的相关性和重要程度。
进一步地,所述将所述自注意力值输入所述自注意力模型的编码器中,得到第一特征信息的步骤,包括:
根据所述编码器对所述自注意力值和所述特征矩阵进行交互处理,得到特征交互信息和上下文信息;
根据所述特征交互信息和所述上下文信息获得所述第一特征信息。
在上述实现过程中,对自注意力值和特征矩阵进行交互,得到特征交互信息和上下文信息,可以实现对特征信息的进一步加工,使得第一特征信息可以携带更多特征。
第二方面,本申请实施例还提供了一种工控网络态势评估装置,所述装置包括:
获取模块,用于获取工控网络攻击数据;
预处理模块,用于对所述工控网络攻击数据进行预处理,得到工控数据特征;
特征提取模块,用于根据预先构建的工控网络态势模型对所述工控数据特征进行特征提取,得到特征矩阵;
融合模块,用于对所述特征矩阵进行融合处理,得到综合特征矩阵;
评估模块,用于根据自注意力模型对所述综合特征矩阵进行评估,得到评估结果。
根据工控网络态势模型对工控数据特征进行特征提取后进行融合,并利用自注意力模型对综合特征矩阵进行评估,可以实现对工控网络安全态势的快速评估,提高评估过程中的数据处理能力,减少数据冗余带来的评估误差,有利于完善工控网络的安全漏洞,提高安全性能。
第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
第四方面,本申请实施例提供的一种计算机可读存储介质,所述存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
第五方面,本申请实施例提供的一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行如第一方面任一项所述的方法。
本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
并可依照说明书的内容予以实施,以下以本申请的较佳实施例并配合附图详细说明如后。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围值的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的工控网络态势评估方法的流程示意图;
图2为本申请实施例提供的工控网络态势评估装置的结构组成示意图;
图3为本申请实施例提供的电子设备的结构组成示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
下面结合附图和实施例,对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围值。
实施例一
图1是本申请实施例提供的工控网络态势评估方法的流程示意图,如图1所示,该方法包括:
S1,获取工控网络攻击数据;
S2,对工控网络攻击数据进行预处理,得到工控数据特征;
S3,根据预先构建的工控网络态势模型对工控数据特征进行特征提取,得到特征矩阵;
S4,对特征矩阵进行融合处理,得到综合特征矩阵;
S5,根据自注意力模型对综合特征矩阵进行评估,得到评估结果。
在上述实现过程中,根据工控网络态势模型对工控数据特征进行特征提取后进行融合,并利用自注意力模型对综合特征矩阵进行评估,可以实现对工控网络安全态势的快速评估,提高评估过程中的数据处理能力,减少数据冗余带来的评估误差,有利于完善工控网络的安全漏洞,提高安全性能。
在S1中,将收集到的最近30天的攻击数据信息作为工控网络攻击数据进行特征选择、数据预处理等。
进一步地,S2包括:
获取网络安全数据集;
对网络安全数据集对应的安全指标进行多通道分类,得到多个安全指标;
根据多个安全指标对工控网络攻击数据进行数值化处理,得到攻击数值;
对攻击数值进行归一化处理,得到工控数据特征。
在上述实现过程中,对网络安全数据集对应的安全指标进行多通道分类,得到多个安全指标再根据多个安全指标对工控网络攻击数据进行数值化处理,使得工控网络攻击数据中可以引入经过多通道分类的安全指标,便于后续对工控网络攻击数据的安全态势进行分类、评估。
由于工控网络攻击数据的特征存在很多无用的维度,比如说每个特征的值全部相同或者全部不同,因此需对其进行特征选择,减少计算过程中占用的资源。
本申请实施例根据网络安全数据集的安全指标进行多通道分类,经过选择之后,得到共18个特征维度,将这18个特征维度作为多通道进行分类,得到3类安全指标,包括基于攻击位置的指标、基于漏洞情况的指标、基于子网安全状况的指标。
将工控网络攻击数据转换为数值形式,方便理解和进行计算,由于有的特征维度有比较多的离散化数据,因此需要对其进行数值化,以Flag特征为例,其共有15种攻击类型,数值化之后如表1所示。
表1数值化后的攻击名称
归一化实4将攻击数值范围限定在[0,1]之间,让不同维度之间的特征在数值上有一定的比较性,可以加快计算的速度和精度。
进一步地,S3包括:
将工控数据特征输入工控网络态势模型的卷积神经网络中进行多通道特征提取,得到特征矩阵。
具体地,将工控数据特征输入卷积神经网络的BN层进行批处理,得到第一特征数据;
将第一特征数据输入卷积神经网络的池化层进行平均池化,得到第二特征数据;
利用激活函数对第二特征数据进行激活,得到特征矩阵。
在上述实现过程中,将工控数据特征输入卷积神经网络进行特征提取,再进行平均池化和激活,使得到的特征矩阵精度更高,能够使模型梯度的传播更加稳定,加速收敛速度。
根据以下公式将工控数据特征输入工控网络态势模型的卷积神经网络中进行多通道特征提取,得到特征矩阵:
其中,为所述特征矩阵,/>为所述激活函数、GAP为平均池化操作、/>为批处理操作,i为通道,l代表层序,Data为所述工控数据特征,Conv为卷积操作,/>为维度。最终经过卷积神经网络处理的多通道特征矩阵为TS=[TS1、TS2、TS3]。
本申请实施例结合MCCNN-Transformer模型对工控网络攻击数据进行训练,得到工控网络态势模型,按照时间顺序序列信息将工控网络攻击数据划分为训练集、验证集、测试集,将前21天的数据作为训练集、21-24天的数据作为验证集、24-30天的数据作为测试集。
工控网络态势模型采用两层堆叠的1DCNN网络对数据集进行特征提取,提取出更高级别的特征数据。同时,为了使得每一层的激活值都接近于均值为0、方差为1的标准高斯分布,避免激活值过大或过小的情况,使得梯度的传播更加稳定,加速模型的收敛速度,故加入了BN层。在卷积神经网络之后,加入了全局平均池化层进行特征维度的取平均值操作。通过加入池化层,能够在保留有效特征的同时降低数据维度,减少冗余参数,从而提升模型的鲁棒性。
本申请的激活函数使用Relu函数进行激活,在全局平均池化层之后,使用两层前馈神经网络。这两层网络对特征数据进行最后的融合处理,可以进一步提取和组合特征,以便更好地表达输入数据的关键信息,可以增加工控网络态势模型的网络深度,提高工控网络态势模型的学习能力,从而更好地适应复杂的网络态势。
本申请实施例可以加入交叉熵损失函数,公式如下:
其中,n表示类别数量,y表示经过one-hot编码的实际类别标签向量,a表示神经网络输出的各类别概率分布向量,C即为损失大小,其值越小,说明网络对数据的拟合程度越好。模型通过反向传播算法更新权重,完成整体训练过程。
进一步地,S4包括:
对特征矩阵中不同通道的特征向量进行拼接,得到初始综合特征矩阵;
在初始综合特征矩阵中引入序列位置信息,得到综合特征矩阵。
在上述实现过程中,将不同通道的特征向量进行拼接,使得不同通道、维度大小不同的特征向量可以保持一致,并在特征矩阵中引入序列位置信息,使得模型可以学习到不同序列之间的位置关系,提高综合特征矩阵的鲁棒性。
本申请的工控网络态势模型首先将来自不同通道的特征向量在通道维度进行拼接,得到一个初始综合特征矩阵。尽管不同通道的特征向量维度大小不同,但经过融合处理后,各通道的特征向量大小将保持一致。
在初始综合特征矩阵形成后,需要考虑各通道特征在整个序列中的位置信息。但是,由于Transformer模型不具备处理序列顺序信息的内在能力,因此,本申请实施例在模型融合得到初始综合特征矩阵后,引入位置编码,以提供序列中各个位置的相对顺序信息。本申请实施例中,使用了和特征维度向量相同大小的位置向量。可以得出不同位置p在不同维度的数值,以此可以学习序列中各个位置的相对序列顺序信息。
进一步地,S5包括:
根据自注意力模型对综合特征矩阵进行自注意力处理,得到自注意力值;
将自注意力值输入自注意力模型的编码器中,得到第一特征信息;
将第一特征信息输入自注意力模型的解码器中,得到第二特征信息;
将第二特征信息进行概率分布映射,得到评估结果。
在上述实现过程中,根据编码器和解码器对自注意力值进行学习,可以实现对特征信息的进一步加工,便于提取数据之间的上下联系信息,提高数据的相关性。
进一步地,根据自注意力模型对综合特征矩阵进行自注意力处理,得到自注意力值的步骤,包括:
获取参数矩阵和权值矩阵;
根据参数矩阵和权值矩阵对综合特征矩阵进行线性映射,得到自注意力值。
在上述实现过程中,根据参数矩阵和权值矩阵对综合特征矩阵进行线性映射,可以得到特征在不同序列中的重要性权重,反映出特征之间的相关性和重要程度。
进一步地,将自注意力值输入自注意力模型的编码器中,得到第一特征信息的步骤,包括:
根据编码器对自注意力值和特征矩阵进行交互处理,得到特征交互信息和上下文信息;
根据特征交互信息和上下文信息获得第一特征信息。
在上述实现过程中,对自注意力值和特征矩阵进行交互,得到特征交互信息和上下文信息,可以实现对特征信息的进一步加工,使得第一特征信息可以携带更多特征。
本申请实施例通过自注意力模型的编码器和解码器对综合特征矩阵进行处理,自注意力模型对自注意力值进行编码和解码操作,进一步加工特征信息。
其中,编码器将自注意力值与特征矩阵进行相乘,以捕捉特征之间的特征交互关系信息和上下文信息。解码器进一步对解码器输出的第一特征信息进行处理,可以实现如特征映射、维度变换等进一步的特征加工。
最后,通过应用softmax函数,将第二特征信息映射到一个概率分布上,得出最终的态势评估值。概率分布可以表示不同类别或不同状态的可能性,可以用于判断网络攻击的类型、风险等级或系统的状态。
可选地,根据输出层的概率分布,可以选择概率最高的类别作为最终的评估结果。
实施例二
为了执行上述实施例一对应的方法,以实现相应的功能和技术效果,下面提供一种工控网络态势评估装置,如图2所示,该装置包括:
获取模块1,用于获取工控网络攻击数据;
预处理模块2,用于对工控网络攻击数据进行预处理,得到工控数据特征;
特征提取模块3,用于根据预先构建的工控网络态势模型对工控数据特征进行特征提取,得到特征矩阵;
融合模块4,用于对特征矩阵进行融合处理,得到综合特征矩阵;
评估模块5,用于根据自注意力模型对综合特征矩阵进行评估,得到评估结果。
在上述实现过程中,根据工控网络态势模型对工控数据特征进行特征提取后进行融合,并利用自注意力模型对综合特征矩阵进行评估,可以实现对工控网络安全态势的快速评估,提高评估过程中的数据处理能力,减少数据冗余带来的评估误差,有利于完善工控网络的安全漏洞,提高安全性能。
进一步地,预处理模块2还用于:
获取网络安全数据集;
对网络安全数据集对应的安全指标进行多通道分类,得到多个安全指标;
根据多个安全指标对工控网络攻击数据进行数值化处理,得到攻击数值;
对攻击数值进行归一化处理,得到工控数据特征。
在上述实现过程中,对网络安全数据集对应的安全指标进行多通道分类,得到多个安全指标再根据多个安全指标对工控网络攻击数据进行数值化处理,使得工控网络攻击数据中可以引入经过多通道分类的安全指标,便于后续对工控网络攻击数据的安全态势进行分类、评估。
进一步地,特征提取模块3还用于:
将工控数据特征输入工控网络态势模型的卷积神经网络中进行多通道特征提取,得到特征矩阵。
进一步地,特征提取模块3还用于:
将工控数据特征输入卷积神经网络的BN层进行批处理,得到第一特征数据;
将第一特征数据输入卷积神经网络的池化层进行平均池化,得到第二特征数据;
利用激活函数对第二特征数据进行激活,得到特征矩阵。
在上述实现过程中,将工控数据特征输入卷积神经网络进行特征提取,再进行平均池化和激活,使得到的特征矩阵精度更高,能够使模型梯度的传播更加稳定,加速收敛速度。
进一步地,特征提取模块3还用于:根据以下公式将工控数据特征输入工控网络态势模型的卷积神经网络中进行多通道特征提取,得到特征矩阵:
其中,为所述特征矩阵,/>为所述激活函数、GAP为平均池化操作、/>为批处理操作,i为通道,l代表层序,Data为所述工控数据特征,Conv为卷积操作,/>为维度。
进一步地,融合模块4还用于:
对特征矩阵中不同通道的特征向量进行拼接,得到初始综合特征矩阵;
在初始综合特征矩阵中引入序列位置信息,得到综合特征矩阵。
在上述实现过程中,将不同通道的特征向量进行拼接,使得不同通道、维度大小不同的特征向量可以保持一致,并在特征矩阵中引入序列位置信息,使得模型可以学习到不同序列之间的位置关系,提高综合特征矩阵的鲁棒性。
进一步地,评估模块5还用于:
根据自注意力模型对综合特征矩阵进行自注意力处理,得到自注意力值;
将自注意力值输入自注意力模型的编码器中,得到第一特征信息;
将第一特征信息输入自注意力模型的解码器中,得到第二特征信息;
将第二特征信息进行概率分布映射,得到评估结果。
在上述实现过程中,根据编码器和解码器对自注意力值进行学习,可以实现对特征信息的进一步加工,便于提取数据之间的上下联系信息,提高数据的相关性。
进一步地,评估模块5还用于:
获取参数矩阵和权值矩阵;
根据参数矩阵和权值矩阵对综合特征矩阵进行线性映射,得到自注意力值。
在上述实现过程中,根据参数矩阵和权值矩阵对综合特征矩阵进行线性映射,可以得到特征在不同序列中的重要性权重,反映出特征之间的相关性和重要程度。
进一步地,评估模块5还用于:
根据编码器对自注意力值和特征矩阵进行交互处理,得到特征交互信息和上下文信息;
根据特征交互信息和上下文信息获得第一特征信息。
在上述实现过程中,对自注意力值和特征矩阵进行交互,得到特征交互信息和上下文信息,可以实现对特征信息的进一步加工,使得第一特征信息可以携带更多特征。
上述的工控网络态势评估装置可实施上述实施例一的方法。上述实施例一中的可选项也适用于本实施例,这里不再详述。
本申请实施例的其余内容可参照上述实施例一的内容,在本实施例中,不再进行赘述。
实施例三
本申请实施例提供一种电子设备,包括存储器及处理器,该存储器用于存储计算机程序,该处理器运行计算机程序以使电子设备执行实施例一的工控网络态势评估方法。
可选地,上述电子设备可以是服务器。
请参见图3,图3为本申请实施例提供的电子设备的结构组成示意图。该电子设备可以包括处理器31、通信接口32、存储器33和至少一个通信总线34。其中,通信总线34用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口32用于与其他节点设备进行信令或数据的通信。处理器31可以是一种集成电路芯片,具有信号的处理能力。
上述的处理器31可以是通用处理器,包括中央处理器(Central ProcessingUnit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器31也可以是任何常规的处理器等。
存储器33可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器33中存储有计算机可读取指令,当计算机可读取指令由所述处理器31执行时,设备可以执行上述图1方法实施例涉及的各个步骤。
可选地,电子设备还可以包括存储控制器、输入输出单元。存储器33、存储控制器、处理器31、外设接口、输入输出单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或通信总线34实现电性连接。处理器31用于执行存储器33中存储的可执行模块,例如设备包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是,但不限于,鼠标和键盘等。
可以理解,图3所示的结构仅为示意,电子设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
另外,本申请实施例还提供一种计算机可读存储介质,其存储有计算机程序,该计算机程序被处理器执行时实现实施例一的工控网络态势评估方法。
本申请实施例还提供一种计算机程序产品,该计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的装置来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围值,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围值之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围值并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围值内,可轻易想到变化或替换,都应涵盖在本申请的保护范围值之内。因此,本申请的保护范围值应所述以权利要求的保护范围值为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (12)
1.一种工控网络态势评估方法,其特征在于,所述方法包括:
获取工控网络攻击数据;
对所述工控网络攻击数据进行预处理,得到工控数据特征;
根据预先构建的工控网络态势模型对所述工控数据特征进行特征提取,得到特征矩阵;
对所述特征矩阵进行融合处理,得到综合特征矩阵;
根据自注意力模型对所述综合特征矩阵进行评估,得到评估结果。
2.根据权利要求1所述的工控网络态势评估方法,其特征在于,所述对所述工控网络攻击数据进行预处理,得到工控数据特征的步骤,包括:
获取网络安全数据集;
对所述网络安全数据集对应的安全指标进行多通道分类,得到多个安全指标;
根据所述多个安全指标对所述工控网络攻击数据进行数值化处理,得到攻击数值;
对所述攻击数值进行归一化处理,得到所述工控数据特征。
3.根据权利要求1所述的工控网络态势评估方法,其特征在于,所述根据预先构建的工控网络态势模型对所述工控数据特征进行特征提取,得到特征矩阵的步骤,包括:
将所述工控数据特征输入所述工控网络态势模型的卷积神经网络中进行多通道特征提取,得到所述特征矩阵。
4.根据权利要求3所述的工控网络态势评估方法,其特征在于,所述将所述工控数据特征输入所述工控网络态势模型的卷积神经网络中进行多通道特征提取,得到所述特征矩阵的步骤,包括:
将所述工控数据特征输入所述卷积神经网络的BN层进行批处理,得到第一特征数据;
将所述第一特征数据输入所述卷积神经网络的池化层进行平均池化,得到第二特征数据;
利用激活函数对所述第二特征数据进行激活,得到所述特征矩阵。
5.根据权利要求4所述的工控网络态势评估方法,其特征在于,根据以下公式将所述工控数据特征输入所述工控网络态势模型的卷积神经网络中进行多通道特征提取,得到所述特征矩阵:
其中,为所述特征矩阵,/>为所述激活函数、GAP为平均池化操作、/>为批处理操作,i为通道,l代表层序,Data为所述工控数据特征,Conv为卷积操作,/>为维度。
6.根据权利要求1所述的工控网络态势评估方法,其特征在于,所述对所述特征矩阵进行融合处理,得到综合特征矩阵的步骤,包括:
对所述特征矩阵中不同通道的特征向量进行拼接,得到初始综合特征矩阵;
在所述初始综合特征矩阵中引入序列位置信息,得到所述综合特征矩阵。
7.根据权利要求1所述的工控网络态势评估方法,其特征在于,所述根据自注意力模型对所述综合特征矩阵进行评估,得到评估结果的步骤,包括:
根据自注意力模型对所述综合特征矩阵进行自注意力处理,得到自注意力值;
将所述自注意力值输入所述自注意力模型的编码器中,得到第一特征信息;
将所述第一特征信息输入所述自注意力模型的解码器中,得到第二特征信息;
将所述第二特征信息进行概率分布映射,得到所述评估结果。
8.根据权利要求7所述的工控网络态势评估方法,其特征在于,所述根据自注意力模型对所述综合特征矩阵进行自注意力处理,得到自注意力值的步骤,包括:
获取参数矩阵和权值矩阵;
根据所述参数矩阵和所述权值矩阵对所述综合特征矩阵进行线性映射,得到所述自注意力值。
9.根据权利要求7所述的工控网络态势评估方法,其特征在于,所述将所述自注意力值输入所述自注意力模型的编码器中,得到第一特征信息的步骤,包括:
根据所述编码器对所述自注意力值和所述特征矩阵进行交互处理,得到特征交互信息和上下文信息;
根据所述特征交互信息和所述上下文信息获得所述第一特征信息。
10.一种工控网络态势评估装置,其特征在于,所述装置包括:
获取模块,用于获取工控网络攻击数据;
预处理模块,用于对所述工控网络攻击数据进行预处理,得到工控数据特征;
特征提取模块,用于根据预先构建的工控网络态势模型对所述工控数据特征进行特征提取,得到特征矩阵;
融合模块,用于对所述特征矩阵进行融合处理,得到综合特征矩阵;
评估模块,用于根据自注意力模型对所述综合特征矩阵进行评估,得到评估结果。
11.一种电子设备,其特征在于,包括存储器及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1至9中任一项所述的工控网络态势评估方法。
12.一种计算机存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至9中任一项所述的工控网络态势评估方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310917342.9A CN116881793A (zh) | 2023-07-21 | 2023-07-21 | 一种工控网络态势评估方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310917342.9A CN116881793A (zh) | 2023-07-21 | 2023-07-21 | 一种工控网络态势评估方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116881793A true CN116881793A (zh) | 2023-10-13 |
Family
ID=88269665
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310917342.9A Pending CN116881793A (zh) | 2023-07-21 | 2023-07-21 | 一种工控网络态势评估方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116881793A (zh) |
-
2023
- 2023-07-21 CN CN202310917342.9A patent/CN116881793A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111259142B (zh) | 基于注意力编码和图卷积网络的特定目标情感分类方法 | |
| CN112966074B (zh) | 一种情感分析方法、装置、电子设备以及存储介质 | |
| CN109271627B (zh) | 文本分析方法、装置、计算机设备和存储介质 | |
| CN113705092B (zh) | 基于机器学习的疾病预测方法及装置 | |
| CN112860841A (zh) | 一种文本情感分析方法、装置、设备及存储介质 | |
| CN111783934A (zh) | 卷积神经网络构建方法、装置、设备及介质 | |
| CN114048468A (zh) | 入侵检测的方法、入侵检测模型训练的方法、装置及介质 | |
| CN117434429B (zh) | 芯片的稳定性测试方法及相关装置 | |
| CN116663568A (zh) | 基于优先级的关键任务识别系统及其方法 | |
| CN113239702A (zh) | 意图识别方法、装置、电子设备 | |
| CN115344699A (zh) | 文本分类模型的训练方法、装置、计算机设备及介质 | |
| CN113886548A (zh) | 意图识别模型训练方法、识别方法、装置、设备及介质 | |
| CN111786999B (zh) | 一种入侵行为的检测方法、装置、设备和存储介质 | |
| CN117235606A (zh) | 特种不锈钢的生产质量管理方法及系统 | |
| CN113408722A (zh) | 基于逐层损失补偿深度自编码器的态势评估要素提取方法 | |
| US9864834B2 (en) | High-resolution melt curve classification using neural networks | |
| CN116680401A (zh) | 文档处理方法、文档处理装置、设备及存储介质 | |
| CN116451081A (zh) | 数据漂移的检测方法、装置、终端及存储介质 | |
| CN116881793A (zh) | 一种工控网络态势评估方法、装置、电子设备及存储介质 | |
| CN114139643B (zh) | 一种基于机器视觉的单甘酯质量检测方法及系统 | |
| CN115660060A (zh) | 一种模型训练方法以及检测方法、装置、设备及存储介质 | |
| CN112463964B (zh) | 文本分类及模型训练方法、装置、设备及存储介质 | |
| CN114117037A (zh) | 意图识别方法、装置、设备和存储介质 | |
| CN114036283A (zh) | 一种文本匹配的方法、装置、设备和可读存储介质 | |
| CN113159419A (zh) | 一种群体特征画像分析方法、装置、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |