CN117896181A - 基于hmm模型的异常数据确定方法、装置、介质和设备 - Google Patents

基于hmm模型的异常数据确定方法、装置、介质和设备 Download PDF

Info

Publication number
CN117896181A
CN117896181A CN202410289498.1A CN202410289498A CN117896181A CN 117896181 A CN117896181 A CN 117896181A CN 202410289498 A CN202410289498 A CN 202410289498A CN 117896181 A CN117896181 A CN 117896181A
Authority
CN
China
Prior art keywords
target
data
equipment
identifier
data size
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202410289498.1A
Other languages
English (en)
Other versions
CN117896181B (zh
Inventor
李峰
郭举
王颖
刘忠航
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Yuntian Safety Technology Co ltd
Original Assignee
Shandong Yuntian Safety Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Yuntian Safety Technology Co ltd filed Critical Shandong Yuntian Safety Technology Co ltd
Priority to CN202410289498.1A priority Critical patent/CN117896181B/zh
Publication of CN117896181A publication Critical patent/CN117896181A/zh
Application granted granted Critical
Publication of CN117896181B publication Critical patent/CN117896181B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Computational Mathematics (AREA)
  • Algebra (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及网络安全测试技术领域,特别是涉及一种基于HMM模型的异常数据确定方法、装置、介质和设备。该方法包括:获取目标设备对应的数据大小标识序列NU和设备标识序列NH;将NU输入预设HMM模型,以得到NH对应的预测设备标识序列YNH;获取NH和YNH的序列匹配度PNH;若PNH小于预设序列匹配度阈值,则将NU确定为异常数据。本申请根据目标设备在目标时间窗口内产生的目标数据的流量特征以及训练好的预设HMM模型,无需获取目标数据的数据内容,即可完成对异常设备的安全检测。处理过程更简单,处理的效率更高。

Description

基于HMM模型的异常数据确定方法、装置、介质和设备
技术领域
本申请涉及网络安全测试技术领域,特别是涉及一种基于HMM模型的异常数据确定方法、装置、介质和设备。
背景技术
在确定某一可通讯设备是否被入侵时,通常都是分析可通讯设备发出的流量包的内容,进而根据分析结果确定其是否被入侵,但在工控网络中,大多使用的通讯协议和通讯方法都是非标准的,尤其是很多系统内部的通讯是加密的,故而,直接对流量包内容进行分析确定其对应的目标设备是否被入侵十分困难。
发明内容
本申请要解决的技术问题为:如何能够在不分析流量包的内容的情况下,实现对工控网络中可通讯设备的安全检测。
针对上述技术问题,根据本申请的第一方面,提供了一种基于HMM模型的异常数据确定方法,上述方法包括:
S100,获取目标设备对应的数据大小标识序列NU=(NU1,NU2,...,NUg,...,NUh),和设备标识序列NH=(NH1,NH2,...,NHg,...,NHh);g=1,2,...,h;其中,h为目标设备对应的目标数据中,数据生成时间在目标时间窗口内的目标数据的数量;NUg为第g个目标数据的数据大小标识;NHg为NUg对应的关键电子设备的设备标识;任意设备标识对应的关键电子设备与上述目标设备在同一工控网络内;
S200,将NU输入预设HMM模型,以得到NH对应的预测设备标识序列YNH=(YH1,YH2,...,YHg,...,YHh);其中,YHg为NHg对应的预测设备标识;预设HMM模型对应的隐藏状态为设备标识,对应的观测状态为数据大小标识;
S300,获取NH和YNH的序列匹配度PNH;
S400,若PNH小于预设序列匹配度阈值,则将NU确定为异常数据。
根据本申请的第二个方面,提供一种基于HMM模型的异常数据确定装置,上述装置包括:
列表获取模块,用于获取目标设备对应的数据大小标识序列NU=(NU1,NU2,...,NUg,...,NUh),和设备标识序列NH=(NH1,NH2,...,NHg,...,NHh);g=1,2,...,h;其中,h为目标设备对应的目标数据中,数据生成时间在目标时间窗口内的目标数据的数量;NUg为第g个目标数据的数据大小标识;NHg为NUg对应的关键电子设备的设备标识;任意设备标识对应的关键电子设备与上述目标设备在同一工控网络内;
预测列表获取模块,用于将NU输入预设HMM模型,以得到NH对应的预测设备标识序列YNH=(YH1,YH2,...,YHg,...,YHh);其中,YHg为NHg对应的预测设备标识;预设HMM模型对应的隐藏状态为设备标识,对应的观测状态为数据大小标识;
匹配度获取模块,用于获取NH和YNH的序列匹配度PNH;
异常数据确定模块,用于若PNH小于预设序列匹配度阈值,则将NU确定为异常数据。
根据本申请的第三个方面,提供一种非瞬时性计算机可读存储介质,存储介质中存储有至少一条指令或至少一段程序,至少一条指令或至少一段程序由处理器加载并执行以实现上述基于HMM模型的异常数据确定方法。
根据本申请的第四个方面,提供一种电子设备,包括处理器和上述的非瞬时性计算机可读存储介质。
本申请至少具有以下有益效果:
本申请提供的基于HMM模型的异常数据确定方法,首先获取目标设备在目标时间窗口内生成的目标数据对应的数据大小标识序列和根据目标数据的每一接收设备得到的设备标识序列;以确定目标设备在目标时间窗口内产生的目标数据的流量特征。然后,将目标设备在目标时间窗口内生成的目标数据对应的数据大小标识序列输入预设HMM模型,以得到对应的预测设备标识序列。这里,预设HMM模型对应的隐藏状态为设备标识,对应的观测状态为数据大小标识。根据预设HMM模型得到的目标设备在目标时间窗口内生成的目标数据对应的数据大小标识序列对应的预测设备标识序列,其表示目标设备为正常设备时对应的设备表示序列,进而,获取预测设备标识序列与目标设备在目标时间窗口内生成的目标数据对应的设备标识序列之间的匹配度,匹配度越高,则说明目标设备在目标时间窗口内生成的目标数据对应的设备标识序列与预测设备标识序列越相似,即目标设备为正常设备的可能性越大。反之则说明目标设备可能为异常设备。本申请根据目标设备在目标时间窗口内产生的目标数据的流量特征(目标数据大小以及接收设备的设备标识)以及训练好的预设HMM模型,无需获取目标数据的数据内容,即可完成对异常设备的安全检测。处理过程更简单,处理的效率更高。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一个实施例提供的基于HMM模型的异常数据确定方法的流程图;
图2为本申请一个实施例提供的基于HMM模型的异常数据确定装置的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
如图1所示,为根据本申请的一个实施例提供一种基于HMM模型的异常数据确定方法,包括:
S100,获取目标设备对应的数据大小标识序列NU=(NU1,NU2,...,NUg,...,NUh),和设备标识序列NH=(NH1,NH2,...,NHg,...,NHh);g=1,2,...,h;其中,h为目标设备对应的目标数据中,数据生成时间在目标时间窗口内的目标数据的数量;NUg为第g个目标数据的数据大小标识;NHg为NUg对应的关键电子设备的设备标识;任意设备标识对应的关键电子设备与上述目标设备在同一工控网络内。
具体的,目标设备可能为工控网络内的任一可通讯设备。目标数据可能为目标设备发出的流量包。上述目标时间窗口的开始时间可以为目标设备所在工控网络的最近一次开始处理固定任务的时间。这里,获取目标设备在目标时间窗口内生成的目标数据对应的数据大小标识序列和根据目标数据的每一接收设备得到的设备标识序列;以确定目标设备在目标时间窗口内产生的目标数据的流量特征。
S200,将NU输入预设HMM模型,以得到NH对应的预测设备标识序列YNH=(YH1,YH2,...,YHg,...,YHh);其中,YHg为NHg对应的预测设备标识;预设HMM模型对应的隐藏状态为设备标识,对应的观测状态为数据大小标识。
具体的,预设HMM模型即为预设隐马尔可夫模型,预设HMM模型是以目标时间窗口为长度的目标设备确定为正常设备时对应的若干历史数据大小标识序列和若干历史设备标识序列训练得到的。进一步,预设HMM模型具有对应的数据大小标识列表D;NUg∈D;D通过以下步骤获取:
S210,根据目标设备所在工控网络在预设时间段内生成的每一关键数据的数据大小,得到若干数据大小区间;任意两个数据大小区间不重合。
这里,步骤S210包括:
S211,获取目标设备所在工控网络在预设时间段内生成的每一关键数据的数据大小,得到数据大小集L=(L1,L2,...,Lp,...,Lq);其中,Lp为目标设备所在工控网络在预设时间段内生成的第p个关键数据的数据大小。
这里,目标设备所在工控网络内可能有若干可通讯设备,获取目标设备所在工控网络在预设时间段内的每一关键数据的数据大小。需要说明的是,预设时间段是在目标时间窗口的开始时间之前的一段时间,且预设时间段的时间长度远大于目标时间窗口的长度,以此获取尽可能多的关键数据的数据大小。
S212,对L进行聚类,得到第一聚类簇标识集J=(J1,J2,...,Jc,...,Jd);c=1,2,...,d;其中,J通过对每一第一聚类簇内的全部关键数据的平均值按照从小到大的顺序进行排序得到;d为第一聚类簇的数量;Jc为第c个第一聚类簇标识;Jc=[Jc,1,Jc,2];Jc,1为第c个第一聚类簇内数据大小最小的数据包的数据大小;Jc,2为第c个第一聚类簇内数据大小最大的数据包的数据大小。
这里,每一关键数据的数据大小不同,根据每一关键数据的数据大小对其进行聚类,将数据大小相近的关键数据聚为一类得到一个第一聚类簇,以得到J,且J中的第一聚类簇是有序的,其按照对应的关键数据的数据大小平均值从小到大对每一第一聚类簇进行排序,即Jc对应的第一聚类簇包含的所有的关键数据的数据大小的平均值小于Jc+1对应的第一聚类簇包含的所有的关键数据的数据大小的平均值。且每一第一聚类簇以其对应的数据大小的最大值和最小值组成的数据区间作为该第一聚类簇的聚类簇标识。
S213,遍历J,得到若干第二聚类簇标识;其中,若Jc,2≠Jc+1,1,则得到Jc对应的第二聚类簇标识Jc’=(Jc,2,Jc+1,1)。
这里,由于在对L进行聚类时,会存在一些离散值不存在任何一个第一聚类簇内,即J中的相邻的两个第一聚类簇之间可能存在部分离散值,则导致相邻的两个第一聚类簇中数据大小平均值较小的聚类簇的最大值和数据大小平均值较大的聚类簇的最小值不同。此时为了保证数据大小区间的连贯性,则获取若干第二聚类簇标识,这里,当相邻的两个第一聚类簇中数据大小平均值较小的聚类簇的最大值和数据大小平均值较大的聚类簇的最小值不同时,则将上述最大值和最小值作为对应的第二聚类簇标识,该第二聚类簇标识的最小值即为上述相邻的两个第一聚类簇中数据大小平均值较小的聚类簇的最大值,同理,该第二聚类簇标识的最大值即为上述相邻的两个第一聚类簇中数据大小平均值较大的聚类簇的最小值。由此,得到若干第二聚类簇标识。
S214,将每一第一聚类簇标识和每一第二聚类簇标识均确定为数据大小区间。
这里,由于第二聚类簇标识对应的区间均是穿插在相邻的两个第一聚类簇中间的,由此每一上述若干第一聚类簇标识和上述若干第二聚类簇标识能够得到若干数据大小连贯的数据大小区间。
S220,根据若干数据大小区间,得到目标设备所在工控网络对应的数据大小标识序列表D=(D1,D2,...,Dp,...,Dq);p=1,2,...,q;其中,Dp为目标设备所在工控网络在预设时间段内生成的第p个关键数据对应的数据大小标识;q为目标设备所在工控网络在预设时间段内生成的关键数据的数量;任意两个数据大小区间对应的数据大小标识不同。
本实施例中,由于在时间长度远大于目标时间窗口的长度的预设时间段内获取的关键数据数量较大,且关键数据的数据大小可能相差很大,所以,本申请对上述预设时间段内获取的关键数据的数据大小进行分箱处理,将数据大小相近的关键数据进行聚类,并根据每一第一聚类簇内的关键数据的平均数据大小对若干离散值设置若干第二聚类簇标识,以使得最终得到的数据大小区间是连贯的,能够使得各种数据大小的关键数据均具有对应的数据大小区间。最后,为每一数据大小区间设置一个对应的数据大小标识,即同一数据大小区间内的任两个关键数据对应的数据大小标识,相较于对于每一关键数据设置一个数据大小标识,需要设置的数据大小标识的数量较少,减少了数据处理量,节约了数据处理时间,进而提高了数据处理效率。
另外,预设HMM模型具有对应的设备标识列表T;NHg∈T;T通过以下步骤获取:
S230,获取目标设备所在工控网络内除目标设备外的每一可通讯设备的设备标识,以得到设备标识列表T=(T1,T2,...,Te,...,Tf,W);e=1,2,...,f;其中,f为目标设备所在工控网络内除目标设备外的可通讯设备的数量;Te为目标设备所在工控网络内除目标设备外的第e个可通讯设备的设备标识;W为预设的外网设备标识。
这里,由于工控网络内各个可通讯设备可能在工控网络内进行互相通讯,也可能与工控网络外的设备进行通讯,所以,设备标识序列表T内包括目标设备所在工控网络内除目标设备外的每一可通讯设备的设备标识,还包括表示与外网进行通讯的预设的外网设备标识W。
S300,获取NH和YNH的序列匹配度PNH。
具体的,PNH符合如下条件:PNH=(NH·YNH)/(|NH|×|YNH|)。
S400,若PNH小于预设序列匹配度阈值,则将NU确定为异常数据。
具体的,获取预测设备标识序列与目标设备在目标时间窗口内生成的目标数据对应的设备标识序列之间的匹配度,匹配度越高,则说明目标设备在目标时间窗口内生成的目标数据对应的设备标识序列与预测设备标识序列越相似,即目标设备为正常设备的可能性越大。反之则说明目标设备可能为异常设备。本申请根据目标设备在目标时间窗口内产生的目标数据的流量特征(目标数据大小以及接收设备的设备标识)以及训练好的预设HMM模型,无需获取目标数据的数据内容,即可完成对异常设备的安全检测。处理过程更简单,处理的效率更高。
在本申请的一个示例性实施例中,目标设备还可以通过以下方法确定是否为异常设备:上述方法还包括:
S500,获取目标设备对应的数据特征组集X=(X1,X2,...,Xi,...,Xn);i=1,2,...,n;其中,n为目标时间窗口内连续排布的目标时间段的数量;Xi为目标设备在第i个目标时间段对应的数据特征组;Xi=(Ui,Hi);Ui为第i个目标时间段对应的数据大小标识序列;Ui=(Ui1,Ui2,...,Uia,...,Uif(i));a=1,2,...,f(i);Uia为目标设备在第i个目标时间段内发出的第a个流量包的数据大小标识;Uia∈D;D为目标设备所在工控网络对应的数据大小标识列表;f(i)为目标设备在目标时间窗口内的第i个目标时间段内发出的流量包的数量;Hi为第i个目标时间段对应的设备标识序列;Hi=(Hi1,Hi2,...,Hia,...,Hif(i));Hia为第a个流量包对应的接收设备的设备标识;Hia∈T;T为目标设备所在工控网络对应的设备标识列表。
具体的,目标设备可能为工控网络的任一可通讯设备。这里,通过目标设备对应的数据特征组集可以获知目标设备在目标时间窗口的每一目标时间段内发出的每一流量包的数据大小标识和对应的接收设备的设备标识。上述目标时间窗口的开始时间可以为目标设备所在工控网络的最近一次开始处理固定任务的时间。
S600,以数据大小标识作为观测状态、设备标识作为隐藏状态对X进行处理,得到目标设备在目标时间窗口内的目标通讯特征列表MX=(MA,MT,Mπ);其中,MA为目标设备在目标时间窗口内对应的状态转移概率矩阵;MT为目标设备在目标时间窗口内对应的观测概率矩阵;Mπ为目标设备在目标时间窗口内对应的初始状态概率向量。
具体的,以数据大小标识作为观测状态、设备标识作为隐藏状态对X进行处理,获取其对应的目标通讯特征列表MX=(MA,MT,Mπ)。这里,MX表示了目标设备在目标时间窗口內发送的每一流量包对应的数据大小标识和接收设备的对应关系。
S700,获取MX和标准通讯特征列表BX的通讯特征匹配度PX。
具体的,BX通过如下步骤确定:
第一步,获取目标设备最近一次确定为正常设备时对应的数据特征组集X。
第二步,以X作为训练样本,对初始HMM模型进行训练,得到目标HMM模型。
第三步,根据目标HMM模型,得到标准通讯特征列表BX=(BA,BT,Bπ);其中,BA为标准状态转移概率矩阵;BT为标准观测概率矩阵;Bπ为标准初始状态概率向量。
本申请首先获取目标设备最近一次确定为正常设备时对应的数据特征组集X,然后以X作为训练样本,得到目标HMM模型。该目标HMM模型是基于目标设备处于正常状态时的观测序列和隐藏序列进行训练得到的。所以根据该目标HMM模型得到的标准通讯特征列表BX表示的是目标设备处于正常状态时,其数据大小标识列表(观测序列)和设备标识列表(隐藏序列)符合BX中的标准状态转移概率矩阵、标准观测概率矩阵以及标准初始状态概率向量。
S800,若PX小于预设通讯特征匹配度阈值,则确定目标设备为异常设备。
具体的,PX=(MX·BX)/(|MX|×|BX|)。这里,获取目标设备在目标时间窗口内获取到的目标通讯特征列表MX,此时,若目标设备在目标时间窗口内为正常设备,由于其流量特征(流量包的数据大小标识和流量包对应的接收设备的设备标识)变化不大,所以根据目标设备在目标时间窗口内获取到的目标通讯特征列表MX与BX应该是相似的。所以,若PX小于预设通讯特征匹配度阈值,则确定目标设备为异常设备。
在本申请的一个示例性实施例中,在若PX小于预设通讯特征匹配度阈值之后,上述方法还包括:
S900,根据通讯特征匹配度PX和序列匹配度PNH,得到关键匹配度PS;其中,PNH为目标设备对应的设备标识序列NH和基于预设HMM模型的得到的NH对应的预测设备标识序列YNH之间的匹配度;PS符合如下条件:PS=b1PX+b2/>PNH;b1为预设第一权重;b2为预设第二权重。
具体的,PNH通过上述步骤获取,此处不再赘述。
S1000,若PS大于预设关键匹配度阈值,则确定目标设备为异常设备。
具体的,这里,为了提高异常设备判断的准确性,本申请还获取了目标设备对应的设备标识序列NH和基于预设HMM模型的得到的NH对应的预测设备标识序列YNH之间的匹配度PNH,并以根据上述两个匹配度得到的关键匹配度确定目标设备是否为异常设备。相较于只根据PX判断目标设备是否为异常设备,对于异常设备的确定更加精准。
在本申请的一个示例性实施例中,目标设备还可以通过以下方法确定是否为异常设备:上述方法还包括:
S1100,获取目标设备在目标时间窗口内的数据大小标识序列列表U=(U1,U2,...,Ui,...,Un),和设备标识序列列表H=(H1,H2,...,Hi,...,Hn);i=1,2,...,n;其中,n为目标时间窗口内连续排布的目标时间段的数量;Ui为第i个目标时间段对应的数据大小标识序列;Ui=(Ui1,Ui2,...,Uia,...,Uif(i));Uia为目标设备在目标时间窗口内的第i个目标时间段内发出的第a个流量包的数据大小标识;Uia∈D;f(i)为目标设备在目标时间窗口内的第i个目标时间段内发出的流量包的数量;Hi为第i个目标时间段对应的设备标识序列;Hi=(Hi1,Hi2,...,Hia,...,Hif(i));Hia为第a个流量包对应的接收设备的设备标识;Hia∈T。
S1200,将U输入预训练HMM模型,以得到U对应的预测设备标识序列列表YH=(YH1,YH2,...,YHi,...,YHn);其中,YHi为Hi对应的预测设备标识序列;YHi=(YHi1,YHi2,...,YHia,...,YHif(i));YHia为Hia对应的预测设备标识;上述预训练HMM模型是根据以目标时间段为长度的目标设备确定为正常设备时对应的历史数据大小标识序列列表和历史设备标识序列列表训练得到的。
具体的,预训练HMM模型是以目标设备获取数据大小标识序列列表时的目标时间段的 长度为训练样本的时间长度,获取在目标设备确定为正常设备时,对应的若干历史数据大小标识序列列表和历史设备标识序列列表;根据上述训练样本训练得到的预训练HMM模型,在获取每一目标时间段的数据大小标识序列对应的预测设备标识序列列表时,由于采用的训练样本的获取时间长度与实际输入的数据大小标识序列列表的获取时间的长度一致,且是根据实际输入的数据大小标识序列列表对应的目标设备为正常设备时的历史数据训练的,所以,其输出的预测设备标识序列列表为实际输入的数据大小标识序列列表(U)对应的目标设备为正常设备时的概率较高的输出结果。
S1300,根据H与YH,获取设备标识序列匹配度列表PH=(PH1,PH2,...,PHi,...,PHn);其中,PHi为Hi与YHi的设备标识序列匹配度。
具体的,根据H与YH,得到若干设备标识序列匹配度,进而得到PH。PHi符合如下条件:PHi=(Hi·YHi)/(|Hi|×|YHi|)。这里,PHi越大,说明Hi与YHi的匹配度越高,即Hi与YHi越相似。反之则说明Hi与YHi越不相似。
S1400,获取PH的设备标识序列匹配度波动值PHB;PHB=(∑ni=1(PHi-avg(PH))2)/n;其中:avg()为预设的平均值确定函数。
S1500,若PHB大于预设设备标识序列匹配度波动值阈值,则确定目标设备为异常设备。
具体的,由于PH包括若干设备标识序列与对应的预测设备标识序列之间的匹配度,为了能够综合反映整体的匹配度情况,获取PH的设备标识序列匹配度波动值PHB,这里,PHB越大,说明若干匹配度的大小不均匀,可能存在较小的匹配度,即可能存在某一个或某几个设备标识序列和对应的预测设备标识序列之间的差异较大,该目标设备可能是异常设备。当其大于预设预设设备标识序列匹配度波动值阈值,则确定目标设备为异常设备。
在本申请的一个示例性实施例中,在若PHB大于预设设备标识序列匹配度波动值阈值之后,上述方法还包括:
S1600,根据PH,得到平均设备标识序列匹配度PHJ=avg(PH)/n;其中:avg()为预设的平均值确定函数。
S1700,根据PHJ和通讯特征匹配度PX,得到综合匹配度PHM;其中,PHM符合如下条件:PHM=k1PHJ+k2/>PX;其中,k1为预设的平均设备标识序列权重;k2为预设的通讯特征权重;其中,PX为目标设备在目标时间窗口内的目标通讯特征列表MX和标准通讯特征列表BX之间的匹配度。
具体的,PHB越大,说明若干匹配度的大小不均匀,可能存在较小的匹配度,也可能时由于存在较大的匹配度导致匹配度的波动值较大。所以,本实施例中,为了提高异常设备确定的准确性,设置了通讯特征匹配度PX,并根据PHJ和通讯特征匹配度PX,得到综合匹配度PHM。这里,PX为上述通讯特征匹配度。在此不再赘述。
S1800,若PHM小于预设综合匹配度阈值,则确定目标设备为异常设备。
本实施例中,若PHB大于预设设备标识序列匹配度波动值阈值,说明若干匹配度的大小较不均匀,可能存在较小的匹配度,也可能是由于存在较大的匹配度导致匹配度的波动值较大。所以,仅根据PHB判断目标设备是否为异常设备不够精准,所以本实施例在PHB大于预设设备标识序列匹配度波动值阈值时,获取了通讯特征匹配度PX,这里,PX是目标设备在目标时间窗口内的目标通讯特征列表MX和标准通讯特征列表BX之间的匹配度。根据PHB和PX得到综合匹配度PHM,进行进一步的匹配度判断,若PHM也小于预设综合匹配度阈值,则确定目标设备为异常设备。相较于只根据PHB判断目标设备是否为异常设备,对于异常设备的确定更加精准。
在本申请的一个示例性实施例中,BX还可以通过如下步骤确定:
第一步,获取目标设备最近B次确定为正常设备时对应的B个目标序列组集X。
第二步,将B个目标序列组集X作为B个特征向量,得到B个特征向量的中心向量。
第三步,根据上述中心向量,得到标准通讯特征列表BX=(BA,BT,Bπ);其中,BA为标准状态转移概率矩阵;BT为标准观测概率矩阵;Bπ为标准初始状态概率向量。
这里,获取上述B个历史目标序列组集X作为B个特征向量,得到B个特征向量的中心向量。这里,中心向量相较于任意一个目标设备在历史时间确定为正常设备时的目标序列组集X,降低了采用随机的一个目标序列组集而导致的偶然性,使得得到的标准通讯特征列表BX更精准,不会是偏大或者偏小。
在本申请的一个示例性实施例中,上述目标时间窗口的开始时间为目标设备所在工控网络最近一次初始化的结束时间。
在本申请的一个示例性实施例中,目标设备还可以通过以下方法确定是否为异常设备:
S1900,获取目标设备在目标时间窗口内的数据大小标识序列NU=(NU1,NU2,...,NUg,...,NUh);g=1,2,...,h;其中,h为目标设备在目标时间窗口内发出的流量包的数量;NUg为目标设备在目标时间窗口内发出的第g个流量包的数据大小标识;NUg∈D;D为目标设备所在工控网络对应的数据大小标识序列表。
具体的,相较于上一实施例,这里以目标时间窗口为时间长度,不再划分目标时间段。
S2000,获取目标设备在目标时间窗口内的第一设备标识序列NH1=(NH11,NH12,...,NH1g,...,NH1h),和第二设备标识序列NH2=(NH21,NH22,...,NH2g,...,NH2h);NH1g为第g个流量包的接收设备对应的设备组标识;NH1g∈Z,Z为目标设备所在工控网络对应的第一设备标识序列表;NH2g为第g个流量包的接收设备对应的设备标识;NH1g∈E;E为目标设备所在工控网络对应的第二设备标识序列表。
具体的,Z通过以下步骤获取:
获取目标设备所在工控网络的每一设备组的设备组标识,以得到第一设备标识序列表Z=(Z1,Z2,...,Zr,...,Zs,W);r=1,2,...,s;其中,s为目标设备所在工控网络内除目标设备所在设备组之外的设备组的数量;Zr为目标设备所在工控网络内除目标设备所在设备组之外的第r个设备组的设备组标识;W为预设的外网设备标识。
这里,目标设备所在工控网络包括若干设备组,作为示例:可以依据可通讯设备的属性进行分组,即每一设备组内的每一可通讯设备的属性相同。获取目标设备所在工控网络内除目标设备所在设备组之外的其他设备组的标识,每一设备组对应一个设备组标识,任意两个设备组的设备组标识不同。另外,目标设备还可能与工控网络外的设备进行通讯,将工控网络外的设备的每一设备标识均确定为W。以此表示目标设备与外部设备进行了通讯。
另外,E通过以下步骤获取:
获取目标设备所在设备组的每一可通讯设备的设备标识,以得到第二设备标识序列表E=(E1,E2,...,Et,...,Eu,E(u+1);W);t=1,2,...,u;其中,u为目标设备所在设备组除目标设备外可通讯设备的数量;Et为目标设备所在设备组除目标设备外第t个可通讯设备的设备标识;E(u+1)为目标设备所在工控网络内除目标设备所在设备组之外的其他设备组的预设设备组统一标识;W为预设的外网设备标识。
这里,获取目标设备与所在设备组内的设备的通讯情况,作为目标设备的流量特征的一部分。同时记录目标设备与所在设备组之外的其他设备组的预设设备组统一标识,即目标设备向所在设备组之外的任一设备组内的任一可通讯设备发送流量包,均将其设备标识确定为E(u+1)。
S2100,将NU分别输入预训练第一HMM模型和预训练第二HMM模型,以得到对应的第一预测设备标识序列YNH1=(YNH11,YNH12,...,YNH1g,...,YNH1h);和第二预测设备标识序列YNH2=(YNH21,YNH22,...,YNH2g,...,YNH2h);其中,YNH1g为NH1g对应的预测设备组标识;YNH2g为NH2g对应的预测设备标识;预训练第一HMM模型是根据以目标时间窗口为长度的目标设备确定为正常设备时对应的历史数据大小标识序列和历史第一设备标识序列训练得到的;预训练第二HMM模型是根据以目标时间窗口为长度的目标设备确定为正常设备时对应的历史数据大小标识序列和历史第二设备标识序列训练得到的。
具体的,预训练第一HMM模型是根据以目标时间窗口为长度的目标设备确定为正常设备时对应的历史数据大小标识序列和历史第一设备标识序列训练得到的;预训练第二HMM模型是根据以目标时间窗口为长度的目标设备确定为正常设备时对应的历史数据大小标识序列和历史第二设备标识序列训练得到的;所以对应的第一预测设备标识序列和第二预测设备标识序列均是目标设备为正常状态时,根据目标设备在目标时间窗口内的数据大小标识序列得到的。
S2200,根据NH1、NH2、YNH1和YNH2,得到目标匹配度PN。
具体的,步骤S2200包括:
第一步,获取NH1和YNH1的匹配度PN1;PN1符合如下条件:PN1=(NH1·YNH1)/(|NH1|×|YNH1|);
第二步,获取NH2和YNH2的匹配度PN2;PN2符合如下条件:PN2=(NH2·YNH2)/(|NH2|×|YNH2|);
第三步,根据PN1和PN2得到目标匹配度PN;PN=z1PN1+z2/>PN2;其中,z1为第一预设目标权重;z2为第二预设目标权重。
第四步,若PN小于预设目标匹配度阈值,则确定目标设备为异常设备。
具体的,根据NH1、NH2、YNH1和YNH2,得到目标匹配度PN,即分别获取第一预测设备标识序列和第二预测设备标识序列与对应的实际得到的第一设备标识序列和第二设备标识序列的匹配度,进而获取综合匹配度。能分别获取设备组之间和组内设备之间的流量特征变化情况,进而综合判断目标设备是否为异常设备。
本实施例以目标时间窗口为数据获取维度,从设备组之间和组内设备之间的流量特征变化情况两个维度综合判断目标设备的状态,得到的目标设备的状态更精准。
本申请的实施例还提供一种基于HMM模型的异常数据确定装置200,如图2所示,上述装置包括:
列表获取模块210,用于获取目标设备对应的数据大小标识序列NU=(NU1,NU2,...,NUg,...,NUh),和设备标识序列NH=(NH1,NH2,...,NHg,...,NHh);g=1,2,...,h;其中,h为目标设备对应的目标数据中,数据生成时间在目标时间窗口内的目标数据的数量;NUg为第g个目标数据的数据大小标识;NHg为NUg对应的关键电子设备的设备标识;任意设备标识对应的关键电子设备与上述目标设备在同一工控网络内;
预测列表获取模块220,用于将NU输入预设HMM模型,以得到NH对应的预测设备标识序列YNH=(YH1,YH2,...,YHg,...,YHh);其中,YHg为NHg对应的预测设备标识;预设HMM模型对应的隐藏状态为设备标识,对应的观测状态为数据大小标识;
匹配度获取模块230,用于获取NH和YNH的序列匹配度PNH;
异常数据确定模块240,用于若PNH小于预设序列匹配度阈值,则将NU确定为异常数据。
本申请的实施例还提供一种计算机程序产品,其包括程序代码,当程序产品在电子设备上运行时,程序代码用于使该电子设备执行本说明书上述描述的根据本申请各种示例性实施方式的方法中的步骤。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本申请的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,储存器存储有程序代码,程序代码可以被处理器执行,使得处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本申请的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (9)

1.一种基于HMM模型的异常数据确定方法,其特征在于,所述方法包括:
S100,获取目标设备对应的数据大小标识序列NU=(NU1,NU2,...,NUg,...,NUh),和设备标识序列NH=(NH1,NH2,...,NHg,...,NHh);g=1,2,...,h;其中,h为目标设备对应的目标数据中,数据生成时间在目标时间窗口内的目标数据的数量;NUg为第g个目标数据的数据大小标识;NHg为NUg对应的关键电子设备的设备标识;任意设备标识对应的关键电子设备与所述目标设备在同一工控网络内;
S200,将NU输入预设HMM模型,以得到NH对应的预测设备标识序列YNH=(YH1,YH2,...,YHg,...,YHh);其中,YHg为NHg对应的预测设备标识;预设HMM模型对应的隐藏状态为设备标识,对应的观测状态为数据大小标识;
S300,获取NH和YNH的序列匹配度PNH;
S400,若PNH小于预设序列匹配度阈值,则将NU确定为异常数据。
2.根据权利要求1所述的基于HMM模型的异常数据确定方法,其特征在于,预设HMM模型具有对应的数据大小标识列表D;NUg∈D;D通过以下步骤获取:
S210,根据目标设备所在工控网络在预设时间段内生成的每一关键数据的数据大小,得到若干数据大小区间;任意两个数据大小区间不重合;
S220,根据若干数据大小区间,得到目标设备所在工控网络对应的数据大小标识序列表D=(D1,D2,...,Dp,...,Dq);p=1,2,...,q;其中,Dp为目标设备所在工控网络在预设时间段内生成的第p个关键数据对应的数据大小标识;q为目标设备所在工控网络在预设时间段内生成的关键数据的数量;任意两个数据大小区间对应的数据大小标识不同。
3.根据权利要求2所述的基于HMM模型的异常数据确定方法,其特征在于,步骤S210包括:
S211,获取目标设备所在工控网络在预设时间段内生成的每一关键数据的数据大小,得到数据大小集L=(L1,L2,...,Lp,...,Lq);其中,Lp为目标设备所在工控网络在预设时间段内生成的第p个关键数据的数据大小;
S212,对L进行聚类,得到第一聚类簇标识集J=(J1,J2,...,Jc,...,Jd);c=1,2,...,d;其中,J通过对每一第一聚类簇内的全部关键数据的平均值按照从小到大的顺序进行排序得到;d为第一聚类簇的数量;Jc为第c个第一聚类簇标识;Jc=[Jc,1,Jc,2];Jc,1为第c个第一聚类簇内数据大小最小的数据包的数据大小;Jc,2为第c个第一聚类簇内数据大小最大的数据包的数据大小;
S213,遍历J,得到若干第二聚类簇标识;其中,若Jc,2≠Jc+1,1,则得到Jc对应的第二聚类簇标识Jc’=(Jc,2,Jc+1,1);
S214,将每一第一聚类簇标识和每一第二聚类簇标识均确定为数据大小区间。
4.根据权利要求1所述的基于HMM模型的异常数据确定方法,其特征在于,预设HMM模型具有对应的设备标识列表T;NHg∈T;T通过以下步骤获取:
S230,获取目标设备所在工控网络内除目标设备外的每一可通讯设备的设备标识,以得到设备标识列表T=(T1,T2,...,Te,...,Tf,W);e=1,2,...,f;其中,f为目标设备所在工控网络内除目标设备外的可通讯设备的数量;Te为目标设备所在工控网络内除目标设备外的第e个可通讯设备的设备标识;W为预设的外网设备标识。
5.根据权利要求1所述的基于HMM模型的异常数据确定方法,其特征在于,所述目标时间窗口的开始时间为目标设备所在工控网络的最近一次开始处理固定任务的时间。
6.根据权利要求1所述的基于HMM模型的异常数据确定方法,其特征在于,PNH符合如下条件:
PNH=(NH·YNH)/(|NH|×|YNH|)。
7.一种基于HMM模型的异常数据确定装置,其特征在于,所述装置包括:
列表获取模块,用于获取目标设备对应的数据大小标识序列NU=(NU1,NU2,...,NUg,...,NUh),和设备标识序列NH=(NH1,NH2,...,NHg,...,NHh);g=1,2,...,h;其中,h为目标设备对应的目标数据中,数据生成时间在目标时间窗口内的目标数据的数量;NUg为第g个目标数据的数据大小标识;NHg为NUg对应的关键电子设备的设备标识;任意设备标识对应的关键电子设备与所述目标设备在同一工控网络内;
预测列表获取模块,用于将NU输入预设HMM模型,以得到NH对应的预测设备标识序列YNH=(YH1,YH2,...,YHg,...,YHh);其中,YHg为NHg对应的预测设备标识;预设HMM模型对应的隐藏状态为设备标识,对应的观测状态为数据大小标识;
匹配度获取模块,用于获取NH和YNH的序列匹配度PNH;
异常数据确定模块,用于若PNH小于预设序列匹配度阈值,则将NU确定为异常数据。
8.一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,其特征在于,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如权利要求1-6中任意一项的所述方法。
9.一种电子设备,其特征在于,包括处理器和权利要求8中所述的非瞬时性计算机可读存储介质。
CN202410289498.1A 2024-03-14 2024-03-14 基于hmm模型的异常数据确定方法、装置、介质和设备 Active CN117896181B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410289498.1A CN117896181B (zh) 2024-03-14 2024-03-14 基于hmm模型的异常数据确定方法、装置、介质和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410289498.1A CN117896181B (zh) 2024-03-14 2024-03-14 基于hmm模型的异常数据确定方法、装置、介质和设备

Publications (2)

Publication Number Publication Date
CN117896181A true CN117896181A (zh) 2024-04-16
CN117896181B CN117896181B (zh) 2024-05-31

Family

ID=90639913

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410289498.1A Active CN117896181B (zh) 2024-03-14 2024-03-14 基于hmm模型的异常数据确定方法、装置、介质和设备

Country Status (1)

Country Link
CN (1) CN117896181B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118069674A (zh) * 2024-04-22 2024-05-24 中航信移动科技有限公司 基于多数据源的数据调取方法、装置、介质及电子设备

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160285700A1 (en) * 2015-03-24 2016-09-29 Futurewei Technologies, Inc. Adaptive, Anomaly Detection Based Predictor for Network Time Series Data
WO2019047593A1 (zh) * 2017-09-05 2019-03-14 百度在线网络技术(北京)有限公司 处理自动驾驶训练数据的方法和装置
CN111709765A (zh) * 2020-03-25 2020-09-25 中国电子科技集团公司电子科学研究院 一种用户画像评分方法、装置和存储介质
WO2021068513A1 (zh) * 2019-10-12 2021-04-15 平安科技(深圳)有限公司 异常对象识别方法、装置、介质及电子设备
CN113315781A (zh) * 2021-06-10 2021-08-27 浙江惠瀜网络科技有限公司 基于hmm模型的异常数据检测方法
CN114218998A (zh) * 2021-11-02 2022-03-22 国家电网有限公司信息通信分公司 一种基于隐马尔可夫模型的电力系统异常行为分析方法
CN114282169A (zh) * 2021-10-12 2022-04-05 腾讯科技(深圳)有限公司 一种异常数据的检测方法以及相关装置
US20230137489A1 (en) * 2021-11-02 2023-05-04 China Automotive Innovation Co., Ltd Method for detecting can bus intrusion of vehicle-mounted network based on gmm-hmm and system
WO2023137212A1 (en) * 2022-01-16 2023-07-20 Board Of Regents, The University Of Texas System Anomaly detection in manufacturing processes using hidden markov model-based segmentation error correction of time-series sensor data
CN116866047A (zh) * 2023-07-18 2023-10-10 山东溯源安全科技有限公司 工业设备网络中恶意设备的确定方法、介质及设备
CN117034276A (zh) * 2023-10-10 2023-11-10 北京安天网络安全技术有限公司 一种异常进程确定方法、装置、电子设备及存储介质
CN117688342A (zh) * 2024-02-01 2024-03-12 山东云天安全技术有限公司 一种基于模型的设备状态预测方法、电子设备及存储介质

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160285700A1 (en) * 2015-03-24 2016-09-29 Futurewei Technologies, Inc. Adaptive, Anomaly Detection Based Predictor for Network Time Series Data
WO2019047593A1 (zh) * 2017-09-05 2019-03-14 百度在线网络技术(北京)有限公司 处理自动驾驶训练数据的方法和装置
WO2021068513A1 (zh) * 2019-10-12 2021-04-15 平安科技(深圳)有限公司 异常对象识别方法、装置、介质及电子设备
CN111709765A (zh) * 2020-03-25 2020-09-25 中国电子科技集团公司电子科学研究院 一种用户画像评分方法、装置和存储介质
CN113315781A (zh) * 2021-06-10 2021-08-27 浙江惠瀜网络科技有限公司 基于hmm模型的异常数据检测方法
CN114282169A (zh) * 2021-10-12 2022-04-05 腾讯科技(深圳)有限公司 一种异常数据的检测方法以及相关装置
CN114218998A (zh) * 2021-11-02 2022-03-22 国家电网有限公司信息通信分公司 一种基于隐马尔可夫模型的电力系统异常行为分析方法
US20230137489A1 (en) * 2021-11-02 2023-05-04 China Automotive Innovation Co., Ltd Method for detecting can bus intrusion of vehicle-mounted network based on gmm-hmm and system
WO2023137212A1 (en) * 2022-01-16 2023-07-20 Board Of Regents, The University Of Texas System Anomaly detection in manufacturing processes using hidden markov model-based segmentation error correction of time-series sensor data
CN116866047A (zh) * 2023-07-18 2023-10-10 山东溯源安全科技有限公司 工业设备网络中恶意设备的确定方法、介质及设备
CN117034276A (zh) * 2023-10-10 2023-11-10 北京安天网络安全技术有限公司 一种异常进程确定方法、装置、电子设备及存储介质
CN117688342A (zh) * 2024-02-01 2024-03-12 山东云天安全技术有限公司 一种基于模型的设备状态预测方法、电子设备及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
张响亮, 王伟, 管晓宏: "基于隐马尔可夫模型的程序行为异常检测", 西安交通大学学报, no. 10, 10 October 2005 (2005-10-10) *
赵静;黄厚宽;田盛丰;: "基于隐Markov模型的协议异常检测", 计算机研究与发展, no. 04, 15 April 2010 (2010-04-15) *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118069674A (zh) * 2024-04-22 2024-05-24 中航信移动科技有限公司 基于多数据源的数据调取方法、装置、介质及电子设备

Also Published As

Publication number Publication date
CN117896181B (zh) 2024-05-31

Similar Documents

Publication Publication Date Title
CN117896181B (zh) 基于hmm模型的异常数据确定方法、装置、介质和设备
EP3117361B1 (en) Behavioral analysis for securing peripheral devices
CN109992473B (zh) 应用系统的监控方法、装置、设备及存储介质
CN117688342B (zh) 一种基于模型的设备状态预测方法、电子设备及存储介质
CN113515399A (zh) 数据异常检测方法及装置
CN112634904B (zh) 热词识别方法、装置、介质和电子设备
CN116112271B (zh) 一种会话数据处理方法、电子设备及存储介质
CN117034276B (zh) 一种异常进程确定方法、装置、电子设备及存储介质
CN117033146B (zh) 指定共识合约执行进程的识别方法、装置、设备及介质
JP2022126818A (ja) セキュリティ情報の処理方法、装置、電子機器、記憶媒体およびコンピュータプログラム
CN113641544A (zh) 用于检测应用状态的方法、装置、设备、介质和产品
CN116866047A (zh) 工业设备网络中恶意设备的确定方法、介质及设备
NL2024236B1 (en) Method and device of generating opposed sample image
CN118199955A (zh) 异常通讯设备确定方法、装置、介质和设备
CN118199954A (zh) 异常设备确定方法、装置、介质和设备
CN118199953A (zh) 设备的异常确定方法、装置、介质和设备
CN118199956A (zh) 工控网络中异常设备的确定方法、装置、介质和设备
CN110046670B (zh) 特征向量降维方法和装置
CN116861430A (zh) 一种恶意文件检测方法、装置、设备及介质
CN112035334A (zh) 异常设备检测方法、装置、存储介质与电子设备
CN114237962B (zh) 告警根因判断方法、模型训练方法、装置、设备和介质
CN112379967B (zh) 模拟器检测方法、装置、设备及介质
CN113010571A (zh) 数据检测方法、装置、电子设备、存储介质和程序产品
CN117978612B (zh) 网络故障检测方法、存储介质以及电子设备
CN113704322B (zh) 基于云边协同的数据采集方法、装置和介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant