CN117579499B - 网络行为审计记录方法、装置、计算设备及存储介质 - Google Patents
网络行为审计记录方法、装置、计算设备及存储介质 Download PDFInfo
- Publication number
- CN117579499B CN117579499B CN202311828214.3A CN202311828214A CN117579499B CN 117579499 B CN117579499 B CN 117579499B CN 202311828214 A CN202311828214 A CN 202311828214A CN 117579499 B CN117579499 B CN 117579499B
- Authority
- CN
- China
- Prior art keywords
- preset
- network
- network behavior
- current
- occurrence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000012550 audit Methods 0.000 title claims abstract description 27
- 238000003860 storage Methods 0.000 title claims abstract description 20
- 230000006399 behavior Effects 0.000 claims abstract description 356
- 238000012549 training Methods 0.000 claims abstract description 27
- 230000008569 process Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 11
- 230000002776 aggregation Effects 0.000 claims description 3
- 238000004220 aggregation Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000012423 maintenance Methods 0.000 abstract description 3
- 238000005516 engineering process Methods 0.000 abstract 1
- 230000006870 function Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Physics & Mathematics (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络行为审计技术领域,特别涉及一种网络行为审计记录方法、装置、计算设备及存储介质。方法包括:获取含有若干个预设网络行为的初始预设合集;其中,预设网络行为包括源IP、目的IP、网络协议名称、出现次数和风险系数,风险系数用于计算该预设网络行为出现次数的预设范围;利用工控网络若干个周期的网络行为,对初始预设合集进行迭代训练,生成目标预设合集;利用目标预设合集,对工控网络的网络行为进行审计。本方案可以可以自动对预设合集进行范围训练,不仅可以提高审计精度,还可以减少维护人员手动调整预设规则的不准确性和不便利性。
Description
技术领域
本发明实施例涉及网络行为审计技术领域,特别涉及一种网络行为审计记录方法、装置、计算设备及存储介质。
背景技术
现有的网络行为审计记录方法大多通过预设的规则进行网络行为的审计,而预设的规则需要人为设置和调整,人为设置和调整不仅需要耗费大量人力,而且由于不同使用者的网络行为不尽相同,人为设置的规则往往无法较为精准的涵盖使用者的网络行为。
因此,亟需一种新的网络行为审计记录方法。
发明内容
为了解决现有的网络行为审计记录方法耗费人力大、记录不够精准的问题,本发明实施例提供了一种网络行为审计记录方法、装置、计算设备及存储介质。
第一方面,本发明实施例提供了一种网络行为审计记录方法,方法包括:
获取含有若干个预设网络行为的初始预设合集;其中,所述预设网络行为包括源IP、目的IP、网络协议名称、出现次数和风险系数,所述风险系数用于计算该预设网络行为出现次数的预设范围;
利用工控网络若干个周期的网络行为,对初始预设合集进行迭代训练,生成目标预设合集;
利用所述目标预设合集,对所述工控网络的网络行为进行审计。
第二方面,本发明实施例还提供了一种网络行为审计记录装置,装置包括:
获取单元,用于获取含有若干个预设网络行为的初始预设合集;其中,所述预设网络行为包括源IP、目的IP、网络协议名称、出现次数和风险系数,所述风险系数用于计算该预设网络行为出现次数的预设范围;
训练单元,用于利用工控网络若干个周期的网络行为,对初始预设合集进行迭代训练,生成目标预设合集;
审计单元,用于利用所述目标预设合集,对所述工控网络的网络行为进行审计。
第三方面,本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种网络行为审计记录方法、装置、计算设备及存储介质,通过利用工控网络若干个周期的网络行为,对初始预设合集进行自动迭代训练,使得生成的目标预设合集能够精准地涵盖该工控网络的网络行为。本方案,通过自动对预设合集进行范围训练,来提高审计精度,既保证了对危险网络行为的记录,又不会记录大量正常的网络行为,而且还可以大大减少维护人员手动调整预设规则的不准确性和不便利性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种网络行为审计记录方法的流程图;
图2是本发明一实施例提供的一种计算设备的硬件架构图;
图3是本发明一实施例提供的一种网络行为审计记录装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如前所述,现有的网络行为审计记录方法大多通过人为预设规则进行网络行为的审计,为了减少常态化网络行为的误报,大多会将预设规则设置较大的范围,但是这样会减小对非常态化网络行为的监控,而当人为将预设规则范围调小,又可能会上报记录大量正常的网络行为,造成存储资源浪费。
为了解决上述技术问题,发明人考虑利用工控网络若干个周期的网络行为,对初始预设合集进行自动迭代训练,使得生成的目标预设合集能够精准地涵盖该工控网络的网络行为,以此在利用目标预设合集进行网络行为的审计时,可以提高审计精度,而且还可以大大减少维护人员手动调整预设规则的不准确性和不便利性。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种网络行为审计记录方法,该方法包括:
步骤100,获取含有若干个预设网络行为的初始预设合集;其中,预设网络行为包括源IP、目的IP、网络协议名称、出现次数和风险系数,风险系数用于计算该预设网络行为出现次数的预设范围;
步骤102,利用工控网络若干个周期的网络行为,对初始预设合集进行迭代训练,生成目标预设合集;
步骤104,利用目标预设合集,对工控网络的网络行为进行审计。
本发明实施例中,通过利用工控网络若干个周期的网络行为,对初始预设合集进行自动迭代训练,使得生成的目标预设合集能够精准地涵盖该工控网络的网络行为。本方案,通过自动对预设合集进行范围训练,来提高审计精度,既保证了对危险网络行为的记录,又不会记录大量正常的网络行为,而且还可以大大减少维护人员手动调整预设规则的不准确性和不便利性。
针对步骤100:
在一些实施方式中,初始预设合集是通过如下方式生成的:
在初始周期中,记录工控网络的网络行为;其中,记录的每一条网络行为包括源IP、目的IP、网络协议名称、传输内容、发生时间段和在发生时间段内的出现频率;
对各网络行为在初始周期内的出现次数进行统计,生成初始预设合集。
在本实施例中,初始预设合集可以根据经验直接人为设定,也可以通过对初始周期内工控网络的网络行为进行统计,来生成初始预设合集。显然,利用初始周期内工控网络的网络行为生成该工控网络的初始预设合集更为精准。
可以理解,通过连接工控网络中的所有交换机,能够搜集到初始周期中工控网络的网络行为,每一条网络行为的发生时间段一般为1个小时记录一次,而初始预设合集中预设网络行为的出现次数需要统计整个初始周期的,本实施例中的周期设置为一个星期。因此,将源IP、目的IP、网络协议名称均相同的网络行为进行合并,统计整个初始周期的出现次数,作为初始预设合集中的一个预设网络行为,以此来生成初始预设合集。
针对步骤102:
在一些实施方式中,步骤102可以包括:
针对接下来的每一个周期,均执行:
对当前周期中工控网络的网络行为进行统计,并将当前周期中的网络行为与当前预设合集进行比对;
若当前周期中的网络行为与当前预设合集中的预设网络行为相符,则保持预设合集不变;
若当前周期中的网络行为与当前预设合集中的预设网络行为不相符,则基于超出的网络行为和少于的网络行为,分别对预设合集的范围进行调整,并将调整后的预设合集作为新的预设合集;
直至连续设定数量的周期下预设合集均保持不变时,得到目标预设合集。
在本实施例中,如果统计过后当前周期中的网络行为与当前预设合集中的预设网络行为相符,则保持预设合集不变。不相符包括达不到(即少于)预设合集和超出预设合集两种情况,如果达不到预设合集,则缩小预设合集的范围,如果超出了预设合集,则需要扩大预设合集的范围,以此来通过多个周期的网络行为对初始预设合集进行迭代训练,直至连续4个周期下预设合集均保持不变时,生成目标预设合集。
可以理解,设定数量可以为4个,也可以为任何大于1的整数,可根据实际情况设置,在此不进行具体限定。
在一些实施方式中,当前周期中的网络行为是否与当前预设合集中的预设网络行为相符是通过如下方式确定的:
针对当前周期中的每一个网络行为,均执行:
基于当前网络行为的源IP、目的IP和网络协议名称,与预设合集的预设网络行为进行匹配;
若匹配成功,则继续判断当前网络行为在当前周期的出现次数是否位于该预设网络行为出现次数的预设范围,若位于,则确定当前网络行为与该预设网络行为相符;若不位于,则确定当前网络行为的出现次数超出该预设网络行为;
若匹配不成功,则确定当前网络行为超出预设合集;
在当前周期中的所有网络行为均匹配完成后,将预设合集中没有匹配成功过的预设网络行为确定为少于项;
当当前周期中的所有网络行为均与预设合集的预设网络行为相符,且预设合集中不存在少于项时,当前周期保持预设合集不变。
在本实施例中,超出包括出现次数超出和整个网络行为超出的情况,当当前周期中某一网络行为的出现次数超出匹配到的预设网络行为的出现次数预设范围,则需要调整预设网络行为的出现次数预设范围,当当前周期中某一网络行为在预设合集中未匹配到,就是整个网络行为超出的情况,需要将该网络行为作为新的预设网络行为,添加至预设合集。
而达不到(即少于)预设合集的情况只有当前周期中的所有网络行为均匹配完成后,预设合集中存在没有匹配成功过的预设网络行为,那么说明预设合集中该预设网络行为并未出现在工控网络的当前周期中,需要将该少于项从预设合集中删。只有当当前周期中的所有网络行为均与预设合集的预设网络行为相符,且预设合集中不存在少于项时,则在当前周期中不需要调整当前预设合集。
在一些实施方式中,步骤“基于超出的网络行为和少于的网络行为,分别对预设合集的范围进行调整”,可以包括:
将超出预设合集的网络行为添加至预设合集;
将少于项从预设合集删除;
针对当前周期中出现次数超出预设网络行为的每一个网络行为,均执行:
当当前网络行为在当前周期的出现次数超出匹配确定的预设网络行为出现次数的预设范围中的上限值,则基于当前网络行为在当前周期的出现次数、该预设网络行为的当前出现次数和风险系数,增大该预设网络行为的出现次数,以调整该预设网络行为出现次数的预设范围;其中,预设网络行为出现次数的预设范围是基于预设网络行为的出现次数和风险系数确定的;
当当前网络行为在当前周期的出现次数小于匹配确定的预设网络行为出现次数的预设范围中的下限值,则基于当前网络行为在当前周期的出现次数、该预设网络行为的当前出现次数和风险系数,减小该预设网络行为的出现次数,以调整该预设网络行为出现次数的预设范围。
在本实施例中,风险系数是预先设置好的,取值范围可以为(0,1]。为了减小个例对预设范围的影响,本实施例不直接使用当前网络行为在当前周期的出现次数直接代替预设网络行为的当前出现次数,或者直接将当前网络行的出现次数作为预设范围的上限或下限,而是采用适当调整预设网络行为的出现次数的方式,来根据风险系数调整预设范围的。
具体地,预设网络行为出现次数的预设范围可以通过如下公式计算:
式中,[Tm′in,Tm′ax]为预设网络行为出现次数的预设范围,Tm′in和Tm′ax分别为预设范围的上限值和下限值,T0为预设网络行为的出现次数,K为风险系数。
举例来说,风险系数设置为1,某一个预设网络行为的出现次数T0为100,那么根据上述公式,可以得到该预设网络行为出现次数的预设范围为[50,200]。
而预设网络行为的出现次数可以通过如下公式增大:
式中,为预设网络行为增大后的出现次数,T为当前网络行为在当前周期的出现次数,T0为预设网络行为的当前出现次数,K为风险系数;
预设网络行为的出现次数可以通过如下公式减小:
式中,为预设网络行为减小后的出现次数,T为当前网络行为在当前周期的出现次数,T0为预设网络行为的当前出现次数,K为风险系数。
继续使用上述例子进行说明,假设某一个网络行为在当前周期的出现次数T为250,而对应预设网络行为的的出现次数T0为100,风险系数设置为1,可以计算得到预设范围为[50,200]。由于网络行为在当前周期的出现次数大于上限值200,那么可以利用上述增大公式,更新预设网络行为的出现次数,可以得到增大后的出现次数为150,那么基于预设范围计算公式,可以得到该预设网络行为调整后的出现次数的预设范围为[75,300]。
同理,假设该网络行为在当前周期的出现次数T为40,而对应预设网络行为的的出现次数T0为100,风险系数设置为1,可以计算得到预设范围为[50,200]。由于该网络行为在当前周期的出现次数小于下限值50,那么可以利用上述减小公式,更新预设网络行为的出现次数,可以得到减小后的出现次数为90,那么基于预设范围计算公式,可以得到该预设网络行为调整后的出现次数的预设范围为[45,180]。
可见,当当前网络行为在当前周期的出现次数超出匹配确定的预设网络行为出现次数的预设范围的上限值或下限值,可以通过上述增大公式和减小公式来更新该预设网络行为的出现次数,进而调整该预设网络行为出现次数的预设范围的。
针对步骤104:
在本步骤中,在训练生成目标预设合集之后,可以利用目标预设合集,对工控网络的网络行为进行日常审计,先统计工控网络运行过程中的网络行为,将不符合目标预设合集中预设网络行为的网络行为进行记录上报。
举例来说,预设网络行为“192.168.1.5”和“192.168.1.8”之间只有这样一个小的数据集:
在生产环境下统计得到一个如下的网络行为:
生产环境中的该网络行为明显不符合预设网络行为,因此该网络行为会被记录上报,同时由于在当前周期中生产环境中没有产生"protocol_name":"http"的内容,那么预设网络行为也会被记录上报。
如图2、图3所示,本发明实施例提供了一种网络行为审计记录装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图2所示,为本发明实施例提供的一种网络行为审计记录装置所在计算设备的一种硬件架构图。除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的计算设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图3所示,作为一个逻辑意义上的装置,是通过其所在计算设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种网络行为审计记录装置,装置包括:
获取单元301,用于获取含有若干个预设网络行为的初始预设合集;其中,预设网络行为包括源IP、目的IP、网络协议名称、出现次数和风险系数,风险系数用于计算该预设网络行为出现次数的预设范围;
训练单元302,用于利用工控网络若干个周期的网络行为,对初始预设合集进行迭代训练,生成目标预设合集;
审计单元303,用于利用目标预设合集,对工控网络的网络行为进行审计。
在本发明一个实施例中,获取单元301中初始预设合集是通过如下方式生成的:
在初始周期中,记录工控网络的网络行为;其中,记录的每一条网络行为包括源IP、目的IP、网络协议名称、传输内容、发生时间段和在发生时间段内的出现频率;
对各网络行为在初始周期内的出现次数进行统计,生成初始预设合集。
在本发明一个实施例中,训练单元302用于执行:
针对接下来的每一个周期,均执行:
对当前周期中工控网络的网络行为进行统计,并将当前周期中的网络行为与当前预设合集进行比对;
若当前周期中的网络行为与当前预设合集中的预设网络行为相符,则保持预设合集不变;
若当前周期中的网络行为与当前预设合集中的预设网络行为不相符,则基于超出的网络行为和少于的网络行为,分别对预设合集的范围进行调整,并将调整后的预设合集作为新的预设合集;
直至连续设定数量的周期下预设合集均保持不变时,得到目标预设合集。
在本发明一个实施例中,训练单元302中当前周期中的网络行为是否与当前预设合集中的预设网络行为相符是通过如下方式确定的:
针对当前周期中的每一个网络行为,均执行:
基于当前网络行为的源IP、目的IP和网络协议名称,与预设合集的预设网络行为进行匹配;
若匹配成功,则继续判断当前网络行为在当前周期的出现次数是否位于该预设网络行为出现次数的预设范围,若位于,则确定当前网络行为与该预设网络行为相符;若不位于,则确定当前网络行为的出现次数超出该预设网络行为;
若匹配不成功,则确定当前网络行为超出预设合集;
在当前周期中的所有网络行为均匹配完成后,将预设合集中没有匹配成功过的预设网络行为确定为少于项;
当当前周期中的所有网络行为均与预设合集的预设网络行为相符,且预设合集中不存在少于项时,当前周期保持预设合集不变。
在本发明一个实施例中,训练单元302在执行基于超出的网络行为和少于的网络行为,分别对预设合集的范围进行调整时,用于:
将超出预设合集的网络行为添加至预设合集;
将少于项从预设合集删除;
针对当前周期中出现次数超出预设网络行为的每一个网络行为,均执行:
当当前网络行为在当前周期的出现次数超出匹配确定的预设网络行为出现次数的预设范围中的上限值,则基于当前网络行为在当前周期的出现次数、该预设网络行为的当前出现次数和风险系数,增大该预设网络行为的出现次数,以调整该预设网络行为出现次数的预设范围;其中,预设网络行为出现次数的预设范围是基于预设网络行为的出现次数和风险系数确定的;
当当前网络行为在当前周期的出现次数小于匹配确定的预设网络行为出现次数的预设范围中的下限值,则基于当前网络行为在当前周期的出现次数、该预设网络行为的当前出现次数和风险系数,减小该预设网络行为的出现次数,以调整该预设网络行为出现次数的预设范围。
在本发明一个实施例中,训练单元302中预设网络行为的出现次数是通过如下公式增大的:
式中,为预设网络行为增大后的出现次数,T为当前网络行为在当前周期的出现次数,T0为预设网络行为的当前出现次数,K为风险系数;
预设网络行为的出现次数是通过如下公式减小的:
式中,为预设网络行为减小后的出现次数,T为当前网络行为在当前周期的出现次数,T0为预设网络行为的当前出现次数,K为风险系数。
在本发明一个实施例中,训练单元302中预设网络行为出现次数的预设范围是通过如下公式计算的:
式中,[Tm′in,Tm′ax]为预设网络行为出现次数的预设范围,Tm′in和Tm′ax分别为预设范围的上限值和下限值,T0为预设网络行为的出现次数,K为风险系数。
可以理解的是,本发明实施例示意的结构并不构成对一种网络行为审计记录装置的具体限定。在本发明的另一些实施例中,一种网络行为审计记录装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种网络行为审计记录方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种网络行为审计记录方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (5)
1.一种网络行为审计记录方法,其特征在于,包括:
获取含有若干个预设网络行为的初始预设合集;其中,所述预设网络行为包括源IP、目的IP、网络协议名称、出现次数和风险系数,所述风险系数用于计算该预设网络行为出现次数的预设范围;
利用工控网络若干个周期的网络行为,对初始预设合集进行迭代训练,生成目标预设合集;
利用所述目标预设合集,对所述工控网络的网络行为进行审计;
所述利用工控网络若干个周期的网络行为,对初始预设合集进行迭代训练,生成目标预设合集,包括:
针对接下来的每一个周期,均执行:
对当前周期中工控网络的网络行为进行统计,并将当前周期中的网络行为与当前预设合集进行比对;
若当前周期中的网络行为与当前预设合集中的预设网络行为相符,则保持所述预设合集不变;
若当前周期中的网络行为与当前预设合集中的预设网络行为不相符,则基于超出的网络行为和少于的网络行为,分别对所述预设合集的范围进行调整,并将调整后的预设合集作为新的预设合集;
直至连续设定数量的周期下所述预设合集均保持不变时,得到目标预设合集;
当前周期中的网络行为是否与当前预设合集中的预设网络行为相符是通过如下方式确定的:
针对当前周期中的每一个网络行为,均执行:
基于当前网络行为的源IP、目的IP和网络协议名称,与所述预设合集的预设网络行为进行匹配;
若匹配成功,则继续判断当前网络行为在当前周期的出现次数是否位于该预设网络行为出现次数的预设范围,若位于,则确定当前网络行为与该预设网络行为相符;若不位于,则确定当前网络行为的出现次数超出该预设网络行为;
若匹配不成功,则确定当前网络行为超出所述预设合集;
在当前周期中的所有网络行为均匹配完成后,将所述预设合集中没有匹配成功过的预设网络行为确定为少于项;
当当前周期中的所有网络行为均与所述预设合集的预设网络行为相符,且所述预设合集中不存在少于项时,当前周期保持所述预设合集不变;
基于超出的网络行为和少于的网络行为,分别对所述预设合集的范围进行调整,包括:
将超出所述预设合集的网络行为添加至所述预设合集;
将所述少于项从所述预设合集删除;
针对当前周期中出现次数超出所述预设网络行为的每一个网络行为,均执行:
当当前网络行为在当前周期的出现次数超出匹配确定的预设网络行为出现次数的预设范围中的上限值,则基于当前网络行为在当前周期的出现次数、该预设网络行为的当前出现次数和所述风险系数,增大该预设网络行为的出现次数,以调整该预设网络行为出现次数的预设范围;其中,所述预设网络行为出现次数的预设范围是基于预设网络行为的出现次数和所述风险系数确定的;
当当前网络行为在当前周期的出现次数小于匹配确定的预设网络行为出现次数的预设范围中的下限值,则基于当前网络行为在当前周期的出现次数、该预设网络行为的当前出现次数和所述风险系数,减小该预设网络行为的出现次数,以调整该预设网络行为出现次数的预设范围;
预设网络行为的出现次数是通过如下公式增大的:
式中,为预设网络行为增大后的出现次数,T为当前网络行为在当前周期的出现次数,T0为所述预设网络行为的当前出现次数,K为所述风险系数;
预设网络行为的出现次数是通过如下公式减小的:
式中,为预设网络行为减小后的出现次数,T为当前网络行为在当前周期的出现次数,T0为所述预设网络行为的当前出现次数,K为所述风险系数;
所述预设网络行为出现次数的预设范围是通过如下公式计算的:
式中,[Tm′in,Tm′ax]为所述预设网络行为出现次数的预设范围,Tm′in和Tm′ax分别为预设范围的上限值和下限值,T0为所述预设网络行为的出现次数,K为所述风险系数。
2.根据权利要求1所述的方法,其特征在于,所述初始预设合集是通过如下方式生成的:
在初始周期中,记录工控网络的网络行为;其中,记录的每一条网络行为包括源IP、目的IP、网络协议名称、传输内容、发生时间段和在发生时间段内的出现频率;
对各网络行为在初始周期内的出现次数进行统计,生成初始预设合集。
3.一种网络行为审计记录装置,其特征在于,包括:
获取单元,用于获取含有若干个预设网络行为的初始预设合集;其中,所述预设网络行为包括源IP、目的IP、网络协议名称、出现次数和风险系数,所述风险系数用于计算该预设网络行为出现次数的预设范围;
训练单元,用于利用工控网络若干个周期的网络行为,对初始预设合集进行迭代训练,生成目标预设合集;
审计单元,用于利用所述目标预设合集,对所述工控网络的网络行为进行审计;
训练单元用于执行:
针对接下来的每一个周期,均执行:
对当前周期中工控网络的网络行为进行统计,并将当前周期中的网络行为与当前预设合集进行比对;
若当前周期中的网络行为与当前预设合集中的预设网络行为相符,则保持预设合集不变;
若当前周期中的网络行为与当前预设合集中的预设网络行为不相符,则基于超出的网络行为和少于的网络行为,分别对预设合集的范围进行调整,并将调整后的预设合集作为新的预设合集;
直至连续设定数量的周期下预设合集均保持不变时,得到目标预设合集;
训练单元中当前周期中的网络行为是否与当前预设合集中的预设网络行为相符是通过如下方式确定的:
针对当前周期中的每一个网络行为,均执行:
基于当前网络行为的源IP、目的IP和网络协议名称,与预设合集的预设网络行为进行匹配;
若匹配成功,则继续判断当前网络行为在当前周期的出现次数是否位于该预设网络行为出现次数的预设范围,若位于,则确定当前网络行为与该预设网络行为相符;若不位于,则确定当前网络行为的出现次数超出该预设网络行为;
若匹配不成功,则确定当前网络行为超出预设合集;
在当前周期中的所有网络行为均匹配完成后,将预设合集中没有匹配成功过的预设网络行为确定为少于项;
当当前周期中的所有网络行为均与预设合集的预设网络行为相符,且预设合集中不存在少于项时,当前周期保持预设合集不变;
训练单元在执行基于超出的网络行为和少于的网络行为,分别对预设合集的范围进行调整时,用于:
将超出预设合集的网络行为添加至预设合集;
将少于项从预设合集删除;
针对当前周期中出现次数超出预设网络行为的每一个网络行为,均执行:
当当前网络行为在当前周期的出现次数超出匹配确定的预设网络行为出现次数的预设范围中的上限值,则基于当前网络行为在当前周期的出现次数、该预设网络行为的当前出现次数和风险系数,增大该预设网络行为的出现次数,以调整该预设网络行为出现次数的预设范围;其中,预设网络行为出现次数的预设范围是基于预设网络行为的出现次数和风险系数确定的;
当当前网络行为在当前周期的出现次数小于匹配确定的预设网络行为出现次数的预设范围中的下限值,则基于当前网络行为在当前周期的出现次数、该预设网络行为的当前出现次数和风险系数,减小该预设网络行为的出现次数,以调整该预设网络行为出现次数的预设范围;
训练单元中预设网络行为的出现次数是通过如下公式增大的:
式中,为预设网络行为增大后的出现次数,T为当前网络行为在当前周期的出现次数,T0为预设网络行为的当前出现次数,K为风险系数;
预设网络行为的出现次数是通过如下公式减小的:
式中,为预设网络行为减小后的出现次数,T为当前网络行为在当前周期的出现次数,T0为预设网络行为的当前出现次数,K为风险系数;
训练单元中预设网络行为出现次数的预设范围是通过如下公式计算的:
式中,[Tm′in,Tm′ax]为预设网络行为出现次数的预设范围,Tm′in和Tm′ax分别为预设范围的上限值和下限值,T0为预设网络行为的出现次数,K为风险系数。
4.一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-2中任一项所述的方法。
5.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-2中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311828214.3A CN117579499B (zh) | 2023-12-27 | 2023-12-27 | 网络行为审计记录方法、装置、计算设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311828214.3A CN117579499B (zh) | 2023-12-27 | 2023-12-27 | 网络行为审计记录方法、装置、计算设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117579499A CN117579499A (zh) | 2024-02-20 |
CN117579499B true CN117579499B (zh) | 2024-05-31 |
Family
ID=89861057
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311828214.3A Active CN117579499B (zh) | 2023-12-27 | 2023-12-27 | 网络行为审计记录方法、装置、计算设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117579499B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
CN110752951A (zh) * | 2019-10-24 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 工业网络流量监测审计方法、装置及系统 |
CN111683107A (zh) * | 2020-08-14 | 2020-09-18 | 北京东方通软件有限公司 | 面向互联网的安全审计方法和系统 |
CN112231712A (zh) * | 2020-10-23 | 2021-01-15 | 新华三信息安全技术有限公司 | 一种漏洞风险评估方法及装置 |
CN112348310A (zh) * | 2020-09-21 | 2021-02-09 | 西安交大捷普网络科技有限公司 | 一种网络行为的风险评估方法与系统 |
CN113128538A (zh) * | 2019-12-31 | 2021-07-16 | 苏州三六零智能安全科技有限公司 | 网络行为分类方法、设备、存储介质及装置 |
CN115098705A (zh) * | 2022-08-25 | 2022-09-23 | 成都航空职业技术学院 | 基于知识图谱推理的网络安全事件分析方法及系统 |
CN116405418A (zh) * | 2023-04-11 | 2023-07-07 | 中国电子信息产业集团有限公司第六研究所 | 一种工业网络监测审计方法、装置、电子设备和存储介质 |
-
2023
- 2023-12-27 CN CN202311828214.3A patent/CN117579499B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
CN110752951A (zh) * | 2019-10-24 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 工业网络流量监测审计方法、装置及系统 |
CN113128538A (zh) * | 2019-12-31 | 2021-07-16 | 苏州三六零智能安全科技有限公司 | 网络行为分类方法、设备、存储介质及装置 |
CN111683107A (zh) * | 2020-08-14 | 2020-09-18 | 北京东方通软件有限公司 | 面向互联网的安全审计方法和系统 |
CN112348310A (zh) * | 2020-09-21 | 2021-02-09 | 西安交大捷普网络科技有限公司 | 一种网络行为的风险评估方法与系统 |
CN112231712A (zh) * | 2020-10-23 | 2021-01-15 | 新华三信息安全技术有限公司 | 一种漏洞风险评估方法及装置 |
CN115098705A (zh) * | 2022-08-25 | 2022-09-23 | 成都航空职业技术学院 | 基于知识图谱推理的网络安全事件分析方法及系统 |
CN116405418A (zh) * | 2023-04-11 | 2023-07-07 | 中国电子信息产业集团有限公司第六研究所 | 一种工业网络监测审计方法、装置、电子设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN117579499A (zh) | 2024-02-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10248528B2 (en) | System monitoring method and apparatus | |
US9628499B1 (en) | Statistics-based anomaly detection | |
US8095608B2 (en) | Email wrong transmission preventing apparatus and method | |
US20170213025A1 (en) | Methods, systems, apparatus, and storage media for use in detecting anomalous behavior and/or in preventing data loss | |
US9471544B1 (en) | Anomaly detection in a signal | |
US8868993B1 (en) | Data replacement policy | |
CN111478963B (zh) | 消息推送方法、装置、电子设备及计算机可读存储介质 | |
CN109471783B (zh) | 预测任务运行参数的方法和装置 | |
US10275476B2 (en) | Machine to machine data aggregator | |
US10657263B2 (en) | Management of alerts using a budget-dependent adjustable working threshold | |
US20170091190A1 (en) | Computer system programmed to identify common subsequences in logs | |
CN111104342A (zh) | 用于存储的方法、电子设备和计算机程序产品 | |
EP3761133A1 (en) | Diagnosis device and diagnosis method | |
CN112907128A (zh) | 基于ab测试结果的数据分析方法、装置、设备及介质 | |
CN111046141B (zh) | 一种基于历史时间特征的文本库关键词精炼方法 | |
CN112990715A (zh) | 政策信息的推送方法和装置 | |
CN114091704A (zh) | 一种告警压制方法和装置 | |
CN113641567B (zh) | 一种数据库巡检方法、装置、电子设备及存储介质 | |
CN117579499B (zh) | 网络行为审计记录方法、装置、计算设备及存储介质 | |
CN110196805B (zh) | 数据处理方法、装置、存储介质和电子装置 | |
CN117057849A (zh) | 一种基于数据分级分类的处理方法、系统及存储介质 | |
CN111178421A (zh) | 检测用户状态的方法、装置、介质以及电子设备 | |
CN108429632B (zh) | 一种业务监控方法和装置 | |
CN114416492A (zh) | 联网设备安全监控方法、装置、电子设备及存储介质 | |
CN112148551B (zh) | 用于确定存储系统的使用变化率的方法、设备和计算机程序产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |