CN118381682B - 工控网络攻击事件综合分析溯源方法及装置 - Google Patents

工控网络攻击事件综合分析溯源方法及装置 Download PDF

Info

Publication number
CN118381682B
CN118381682B CN202410832685.XA CN202410832685A CN118381682B CN 118381682 B CN118381682 B CN 118381682B CN 202410832685 A CN202410832685 A CN 202410832685A CN 118381682 B CN118381682 B CN 118381682B
Authority
CN
China
Prior art keywords
industrial control
control network
determining
data
fingerprint
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202410832685.XA
Other languages
English (en)
Other versions
CN118381682A (zh
Inventor
侯方圆
王湖
赵世杰
宋雨浓
许欣
孟岗
李小川
李铁根
杨亦松
苏云涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Shengborun High Tech Co ltd
MILITARY SECRECY QUALIFICATION CERTIFICATION CENTER
Original Assignee
Beijing Shengborun High Tech Co ltd
MILITARY SECRECY QUALIFICATION CERTIFICATION CENTER
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Shengborun High Tech Co ltd, MILITARY SECRECY QUALIFICATION CERTIFICATION CENTER filed Critical Beijing Shengborun High Tech Co ltd
Priority to CN202410832685.XA priority Critical patent/CN118381682B/zh
Publication of CN118381682A publication Critical patent/CN118381682A/zh
Application granted granted Critical
Publication of CN118381682B publication Critical patent/CN118381682B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供一种工控网络攻击事件综合分析溯源方法及装置,方法包括:通过预设协议分析规则对工控网络流量数据中的协议信息进行特征提取,根据谱聚类算法确定初始化聚类中心,将工控网络流量数据输入预设卷积神经循环网络进行不确定性采样操作和信息密度采样操作,确定半监督特征数据集并对初始化聚类中心进行约束聚类操作,确定对应的工控系统数据报文分析模型。判断工控网络流量数据是否与指纹特征数据库中的指纹特征匹配,若是,则输出第一分析结果进行溯源操作,否则,输出第二分析结果并进行综合分析溯源操作,本申请能够基于半监督聚类算法进行攻击事件综合分析溯源,提高工控网络攻击事件溯源的精度和可操作性。

Description

工控网络攻击事件综合分析溯源方法及装置
技术领域
本申请涉及数据处理领域,具体涉及一种工控网络攻击事件综合分析溯源方法及装置。
背景技术
工业控制系统(Industrial Control Systems, ICS)通常用于监控和控制工业生产过程中的设备和机械。由于工控网络通常涉及到关键基础设施,如电力、水务、石油和天然气、交通等,它们对于信息安全和经济运行至关重要。因此,工控网络攻击可能会带来严重的后果。
在工控网络攻击事件中,工控网络攻击溯源是一个重要的环节,目前对于工控网络攻击溯源的主流方法是通过探针采集异常数据,对异常数据进行深入分析寻找攻击证据,结合攻击数据进行IP追踪、域名分析和外部威胁情报分析,确定攻击的来源。
然而,当前盛行的伪造源IP地址攻击、利用跳板机(又称“肉鸡”、傀儡机、僵尸主机等)攻击等攻击手段,隐藏了真正的攻击者,给工控网络攻击事件的溯源带来了极大的挑战,为此,有学者提出了分组标记分析溯源法、发送特定ICMP分析溯源法、链路测试分析溯源法等攻击溯源方法,但这些方法普遍存在分析溯源精度不高、可操作性不强等问题,难以在实际工控网络环境中推广应用。
发明内容
针对现有技术中的问题,本申请提供一种工控网络攻击事件综合分析溯源方法及装置,能够基于半监督聚类算法进行攻击事件综合分析溯源,提高工控网络攻击事件溯源的精度和可操作性。
为了解决上述问题中的至少一个,本申请提供以下技术方案:
第一方面,本申请提供一种工控网络攻击事件综合分析溯源方法,包括:
获取历史工控网络流量数据包,根据预设协议分析规则对所述历史工控网络流量数据包中的协议信息进行特征提取操作,根据经过所述特征提取操作后得到的指纹特征确定对应的指纹特征数据库,其中,所述指纹特征包括特定字段、字节序列以及统计信息中的至少一种;
根据所述历史工控网络流量数据包和预设谱聚类算法确定对应的初始化聚类中心,将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作,根据经过所述特征提取操作后的第一特征进行不确定性采样操作和信息密度采样操作,确定对应的特征样本,根据所述特征样本和预设特征标注规则确定对应的第二特征,根据所述第一特征和所述第二特征确定对应的半监督特征数据集,根据所述半监督特征数据集对所述初始化聚类中心进行约束聚类操作,根据经过所述约束聚类操作之后得到的优化聚类中心更新所述预设谱聚类算法的参数,确定对应的工控系统数据报文分析模型。
接收工控网络流量数据,判断所述工控网络流量数据是否与所述指纹特征数据库中的所述指纹特征匹配,若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将所述工控网络流量数据输入所述工控系统数据报文分析模型,得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作。
进一步地,所述根据经过所述特征提取操作后得到的指纹特征确定指纹特征数据库,包括:
根据预设标注规则对经过所述特征提取操作后得到的指纹特征进行标签标注操作,得到对应的标签信息,根据所述指纹特征和所述标签信息确定对应的流量样本库;
对所述流量样本库进行数据聚类操作和数据分类操作,确定对应的指纹特征数据库。
进一步地,所述根据所述历史工控网络流量数据包和预设谱聚类算法确定对应的初始化聚类中心,包括:
对所述历史工控网络流量数据包进行数据标准化和数据归一化操作,确定对应的预处理数据;
根据所述预处理数据进行相似性矩阵构建操作,根据经过所述相似性矩阵构建操作后得到的相似度确定对应的度矩阵;
根据所述度矩阵和所述相似度确定对应的特征向量矩阵,根据所述特征向量矩阵确定对应的初始化聚类中心。
进一步地,所述根据经过所述特征提取操作后的第一特征进行不确定性采样操作和信息密度采样操作,确定对应的特征样本,包括:
根据经过所述特征提取操作后的第一特征进行不确定性采样操作确定对应的最不确定样本;
根据经过所述特征提取操作后的第一特征进行信息密度采样操作确定对应的高密度区域样本;
根据所述最不确定样本和所述高密度区域样本确定对应的特征样本。
进一步地,所述根据所述半监督特征数据集对所述初始化聚类中心进行约束聚类操作,根据经过所述约束聚类操作之后得到的优化聚类中心更新所述预设谱聚类算法的参数,确定对应的工控系统数据报文分析模型,包括:
对所述半监督特征数据集进行相似性矩阵构建操作和特征向量分解操作,确定对应的半监督特征向量;
根据所述半监督特征向量对所述初始化聚类中心进行硬约束操作,确定对应的优化聚类中心;
根据所述优化聚类中心对所述预设谱聚类算法的参数进行调整操作,确定对应的工控系统数据报文分析模型。
进一步地,所述接收工控网络流量数据,判断所述工控网络流量数据是否与所述指纹特征数据库中的指纹特征匹配,若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,包括:
接收工控网络流量数据,根据预设哈希匹配算法判断所述工控网络流量数据是否与所述指纹特征数据库中的指纹特征匹配;
若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,其中,所述第一分析结果包括流量数据的协议类型、正常行为标签以及异常行为标签中的至少一种。
进一步地,所述对所述流量样本库进行数据聚类操作和数据分类操作,确定对应的指纹特征数据库,包括:
根据所述流量样本库和预设谱聚类算法进行数据聚类操作,确定对应的流量聚类特征;
根据所述流量样本库、所述标签信息以及预设支持向量机分类算法进行数据分类操作,确定对应的流量分类特征;
根据所述流量聚类特征和所述流量分类特征进行特征有效性验证,根据经过所述特征有效性验证的最优指纹特征确定对应的指纹特征数据库。
第二方面,本申请提供一种工控网络攻击事件综合分析溯源装置,包括:
指纹特征数据库确定模块,用于获取历史工控网络流量数据包,根据预设协议分析规则对所述历史工控网络流量数据包中的协议信息进行特征提取操作,根据经过所述特征提取操作后得到的指纹特征确定指纹特征数据库,其中,所述指纹特征包括特定字段、字节序列以及统计信息中的至少一种;
工控系统数据报文分析模型确定模块,用于根据所述历史工控网络流量数据包和预设谱聚类算法确定对应的初始化聚类中心,将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作,根据经过所述特征提取操作后的第一特征进行不确定性采样操作和信息密度采样操作,确定对应的特征样本,根据所述特征样本和预设特征标注规则确定对应的第二特征,根据所述第一特征和所述第二特征确定对应的半监督特征数据集,根据所述半监督特征数据集对所述初始化聚类中心进行约束聚类操作,根据经过所述约束聚类操作之后得到的优化聚类中心更新所述谱聚类算法的参数,确定对应的工控系统数据报文分析模型。
综合分析溯源模块,用于接收工控网络流量数据,判断所述工控网络流量数据是否与所述指纹特征数据库中的指纹特征匹配,若是,则输出与所述指纹特征对应的第一分析结果,否则,将所述工控网络流量数据输入所述工控系统数据报文分析模型,得到所述工控系统数据报文分析模型输出的第二分析结果,根据所述第一分析结果和所述第二分析结果进行综合分析溯源操作。
第三方面,本申请提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述的工控网络攻击事件综合分析溯源方法的步骤。
第四方面,本申请提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述的工控网络攻击事件综合分析溯源方法的步骤。
第五方面,本申请提供一种计算机程序产品,包括计算机程序/指令,该计算机程序/指令被处理器执行时实现所述的工控网络攻击事件综合分析溯源方法的步骤。
由上述技术方案可知,本申请提供一种工控网络攻击事件综合分析溯源方法及装置,通过预设协议分析规则对工控网络流量数据中的协议信息进行特征提取,根据谱聚类算法确定初始化聚类中心,将工控网络流量数据输入预设卷积神经循环网络进行不确定性采样操作和信息密度采样操作,确定半监督特征数据集并对初始化聚类中心进行约束聚类操作,确定对应的工控系统数据报文分析模型。判断工控网络流量数据是否与指纹特征数据库中的指纹特征匹配,若是,则输出第一分析结果进行溯源操作,否则,输出第二分析结果并进行综合分析溯源操作,由此能够基于半监督聚类算法进行攻击事件综合分析溯源,提高工控网络攻击事件溯源的精度和可操作性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中的工控网络攻击事件综合分析溯源方法的流程示意图之一;
图2为本申请实施例中的工控网络攻击事件综合分析溯源方法的流程示意图之二;
图3为本申请实施例中的工控网络攻击事件综合分析溯源方法的流程示意图之三;
图4为本申请实施例中的工控网络攻击事件综合分析溯源方法的流程示意图之四;
图5为本申请实施例中的工控网络攻击事件综合分析溯源方法的流程示意图之五;
图6为本申请实施例中的工控网络攻击事件综合分析溯源方法的流程示意图之六;
图7为本申请实施例中的工控网络攻击事件综合分析溯源方法的流程示意图之七;
图8为本申请实施例中的工控网络攻击事件综合分析溯源装置的结构图;
图9为本申请实施例中的电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请技术方案中对数据的获取、存储、使用、处理等均符合国家法律法规的相关规定。
考虑到当前盛行的伪造源IP地址攻击、利用跳板机攻击等攻击手段,隐藏了真正的攻击者,给工控网络攻击事件的溯源带来了极大的挑战,当前的攻击溯源方法普遍存在分析溯源精度不高、可操作性不强,难以在实际工控网络环境中推广应用的问题。本申请提供一种工控网络攻击事件综合分析溯源方法及装置,通过预设协议分析规则对工控网络流量数据中的协议信息进行特征提取,根据谱聚类算法确定初始化聚类中心,将工控网络流量数据输入预设卷积神经循环网络进行不确定性采样操作和信息密度采样操作,确定半监督特征数据集并对初始化聚类中心进行约束聚类操作,确定对应的工控系统数据报文分析模型。判断工控网络流量数据是否与指纹特征数据库中的指纹特征匹配,若是,则输出第一分析结果进行溯源操作,否则,输出第二分析结果并进行综合分析溯源操作,由此能够基于半监督聚类算法进行攻击事件综合分析溯源,提高工控网络攻击事件溯源的精度和可操作性。
为了基于半监督聚类算法进行攻击事件综合分析溯源,提高工控网络攻击事件溯源的精度和可操作性,本申请提供一种工控网络攻击事件综合分析溯源方法的实施例,参见图1,所述工控网络攻击事件综合分析溯源方法具体包含有如下内容:
步骤S101:获取历史工控网络流量数据包,根据预设协议分析规则对所述历史工控网络流量数据包中的协议信息进行特征提取操作,根据经过所述特征提取操作后得到的指纹特征确定对应的指纹特征数据库,其中,所述指纹特征包括特定字段、字节序列以及统计信息中的至少一种;
可选的,本实施例中,根据预设协议分析规则对所述历史工控网络流量数据包中的协议信息进行特征提取操作,其中,预设协议包括ModbusTCP、ProfiNet、EtherNet/IP以及S7中的至少一种。可以理解的是,采用这些协议,系统能够根据预设协议分析规则识别这些协议的通信模式,并分析通信行为以检测异常活动。
可选的,本实施例中,预设协议分析规则包括:
1.对捕获到的数据包进行解码,将原始的二进制数据转换为可读的格式。
2.通过分析数据包的头部信息,如源地址、目的地址、端口号等,初步识别数据包所属的协议类型。
3.对于每个识别出的协议,提取其关键字段,如TCP/UDP的端口号、IP数据包的TTL(Time to Live)值、HTTP请求的URL等。
4.对协议数据包中的有效载荷(payload)进行分析,提取特定的字段、字节序列以及统计信息中的至少一种。
可以理解的是,本实施例中,根据提取的字段、字节序列和统计信息,形成每个协议的指纹特征,指纹特征具有唯一性和可识别性,以便于区分不同的协议流量,这些指纹特征将作为区分不同协议流量的关键依据。
可选的,本实施例中,在指纹特征的基础上建立指纹特征库,指纹特征数据库采用高效的数据存储和索引技术,实现对指纹特征的快速查询和匹配。同时,结合机器学习等技术,对指纹特征进行聚类、分类等操作,提高异常检测的准确性和效率。
可以理解的是,这一步骤提供了一个对捕获到的工控网络流量数据进行数据分析并进行数据比对的指纹特征数据库,该指纹特征数据库包括但不限于既往的异常流量信息。通过实时采集网络流量数据,并与指纹特征数据库进行比对,可以检测是否存在异常流量,一旦发现异常流量,立即触发告警机制,通知管理人员进行处理。
步骤S102:根据所述历史工控网络流量数据包和预设谱聚类算法确定对应的初始化聚类中心,将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作,根据经过所述特征提取操作后的第一特征进行不确定性采样操作和信息密度采样操作,确定对应的特征样本,根据所述特征样本和预设特征标注规则确定对应的第二特征,根据所述第一特征和所述第二特征确定对应的半监督特征数据集,根据所述半监督特征数据集对所述初始化聚类中心进行约束聚类操作,根据经过所述约束聚类操作之后得到的优化聚类中心更新所述预设谱聚类算法的参数,确定对应的工控系统数据报文分析模型;
可选的,本实施例中,谱聚类是一种基于图论的聚类方法,它利用数据点之间的相似性来构建一个相似性图,并通过分析这个图的谱特性来确定聚类中心。
可选的,本实施例中,不确定性采样操作是选择那些模型预测最不确定的样本,在分类任务训练中,模型对于某些样本的类别判断非常接近,即分类概率分布接近于均匀分布,这种情况下,模型无法确定这些样本的真实类别,因此它们被认为是不确定性较高的样本。
不确定性采样的实现方式包括但不限于:
1.预测概率:对于每个样本,计算模型预测的类别概率分布。选择那些概率分布最接近均匀分布的样本。
2.置信区间:计算每个样本预测的置信区间。选择那些置信区间最宽的样本,表示模型对这些样本的预测最不确定。
3.熵:使用熵的概念来量化样本的不确定性。熵越高,表示样本的不确定性越大。
可以理解的是,不确定性采样可以帮助模型学习那些难以分类的样本,从而提高模型的泛化能力。
可选的,本实施例中,信息密度采样是选择那些包含最多信息量的样本,这些样本大部分位于数据分布的边界区域,因为它们提供了关于数据分布的更多信息。
信息密度采样的实现方式包括但不限于:
1.边界样本:选择那些位于不同类别决策边界附近的样本。这些样本可以帮助模型更好地理解不同类别之间的界限。
2.密度估计:使用密度估计技术(如核密度估计)来确定样本的密度。选择那些位于低密度区域的样本,因为这些区域的样本提供了更多关于数据分布的信息。
3.聚类分析:通过聚类分析确定样本的分布,选择那些位于聚类边界或聚类中心的样本。
可以理解的是,信息密度采样可以帮助模型学习数据分布的细节,特别是在数据分布的边缘区域,这些区域通常包含了更多的信息。
可选的,本实施例中将不确定性采样和信息密度采样结合使用,以选择那些既具有高不确定性又包含丰富信息的特征样本。这种结合使用可以更有效地利用有限的标注数据,提高半监督学习模型的性能。
可以理解的是,通过这两种采样策略,模型可以更专注于那些对提高性能最有帮助的样本,从而在有限的标注数据下实现更好的学习效果。
可选的,本实施例中,预设特征标注规则是在聚类算法中引入的主动学习策略,选择对聚类结果影响较大的未标记样本进行人工标注,生成新的带标记数据。主动学习是一种让算法能够主动选择需要标注的数据样本进行人工标注的策略,从而有效减少人工标注的成本。在半监督聚类算法中,引入主动学习可以使得算法更加智能地选择那些对聚类结果影响较大的未标记样本进行标注,从而提高聚类的准确性。
可以理解的是,第一特征是历史工控流量网络数据中提取的特征,第二特征是采集第一特征中最不确定和密度最大的信息并进行主动学习标注得到的,这样得到的第二特征用来约束训练,优化聚类结果。
可选的,本实施例中,结合新的主动学习标记数据和深度学习提取的特征,集成为半监督数据集用于训练谱聚类算法模型,半监督学习结合了有标签和无标签的数据,以提高模型在有限标签数据情况下的性能。
可选的,本实施例中,使用半监督特征数据集对初始化聚类中心进行约束聚类操作,是进行调整聚类中心的操作,使得它们更加符合特征数据集的分布。根据约束聚类操作之后得到的优化聚类中心来更新预设谱聚类算法的参数,有助于改进聚类算法的性能。
可以理解的是,这一步骤结合了谱聚类、深度学习和主动学习三种技术,得到了一个工控系统数据报文分析模型,这个模型可以用于实时分析和识别工控系统中的网络流量模式,以便于检测异常行为或潜在的安全威胁。
步骤S103:接收工控网络流量数据,判断所述工控网络流量数据是否与所述指纹特征数据库中的所述指纹特征匹配,若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将所述工控网络流量数据输入所述工控系统数据报文分析模型,得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作。
可选的,本实施例中,系统需要接收来自工控网络的实时流量数据,这些数据包括各种协议的通信信息、数据包的头部和有效载荷等。
可选的,本实施例中,接收到的数据将与步骤S101中得到的指纹特征数据库进行匹配,指纹特征数据库包含了已知的正常通信模式和潜在的异常或恶意行为的特征,这些特征包括但不限于特定字段、字节序列以及统计信息。
可选的,本实施例中,系统将判断接收到的工控网络流量数据是否与指纹特征数据库中的任何指纹特征匹配。
匹配:如果数据与指纹特征数据库中的条目匹配,说明流量数据属于已知的正常或异常模式,系统将输出与该指纹特征对应的第一分析结果并执行综合分析溯源操作。
不匹配:如果数据与指纹特征数据库中的任何指纹特征都不匹配,说明流量数据属于未知的模式,则将该数据输入步骤S102中得到的工控系统数据报文分析模型进行实时数据分析,该模型用于识别和分析未知或新的网络行为。
可选的,本实施例中,工控系统数据报文分析模型将处理输入的流量数据,输出第二分析结果并执行综合分析溯源操作,以进一步理解数据的性质和潜在的安全含义。
这个例子展示了本实施例如何通过自动化的方式快速识别和响应潜在的安全威胁,通过结合已知的指纹特征和先进的数据分析模型,系统能够提供更全面的网络安全保护。
从上述描述可知,本申请实施例提供的工控网络攻击事件综合分析溯源方法,能够通过预设协议分析规则对工控网络流量数据中的协议信息进行特征提取,根据谱聚类算法确定初始化聚类中心,将工控网络流量数据输入预设卷积神经循环网络进行不确定性采样操作和信息密度采样操作,确定半监督特征数据集并对初始化聚类中心进行约束聚类操作,确定对应的工控系统数据报文分析模型。判断工控网络流量数据是否与指纹特征数据库中的指纹特征匹配,若是,则输出第一分析结果进行溯源操作,否则,输出第二分析结果并进行综合分析溯源操作,由此能够基于半监督聚类算法进行攻击事件综合分析溯源,提高工控网络攻击事件溯源的精度和可操作性。
在本申请的工控网络攻击事件综合分析溯源方法的一实施例中,参见图2,还可以具体包含如下内容:
步骤S201:根据预设标注规则对经过所述特征提取操作后得到的指纹特征进行标签标注操作,得到对应的标签信息,根据所述指纹特征和所述标签信息确定对应的流量样本库;
步骤S202:对所述流量样本库进行数据聚类操作和数据分类操作,确定对应的指纹特征数据库。
可选的,本实施例中,协议指纹特征提取,针对采集到的网络流量数据,利用协议分析技术提取出各种协议的指纹特征。指纹特征可以是协议的特定字段、字节序列或统计信息等,具有唯一性和可识别性。这些指纹特征将作为区分不同协议流量的关键依据。
可选的,本实施例中,流量样本库建立,基于提取的协议指纹特征,建立流量样本库。流量样本库中包含各类协议的典型流量样本,每个样本都带有相应的指纹特征和标签信息。这些样本可以用于后续的异常检测、模式识别等任务。
可选的,本实施例中,指纹特征数据库构建,在流量样本库的基础上,进一步构建指纹特征数据库。指纹特征数据库采用高效的数据存储和索引技术,实现对指纹特征的快速查询和匹配。同时,结合机器学习等技术,对指纹特征进行聚类、分类等操作,提高异常检测的准确性和效率。
可选的,本实施例中,基于构建的指纹特征数据库,实现的应用功能包括但不限于以下几点:
(1)实时监控与异常检测:通过实时采集网络流量数据,并与指纹特征数据库进行比对,检测是否存在异常流量。一旦发现异常流量,立即触发告警机制,通知管理人员进行处理。
(2)溯源处理:当发生工控网络攻击事件时,利用指纹特征数据库对攻击流量进行溯源分析。通过追踪攻击流量的来源和路径,确定攻击者的身份和位置,为后续的应对和处置提供依据。
(3)业务健康度分析与故障预警:结合指纹特征数据库中的历史流量数据和统计分析结果,对工控系统的业务健康度进行评估。同时,根据流量变化的趋势和规律,预测可能出现的故障或异常情况,并提前发出预警信息,以便管理人员及时采取措施进行防范和应对。
通过基于协议指纹特征进行流量样本库的建立及指纹特征数据库的应用,可以有效提升工控网络的安全防护能力。这不仅可以减少网络攻击事件对工控系统造成的损失和影响,还可以提高系统的可靠性和稳定性,为工控网络系统的持续发展提供有力保障。
通过步骤S202,本实施例构建了一个指纹特征数据库,该数据库可以实现对指纹特征的快速查询和匹配提高异常检测的准确性和效率。
在本申请的工控网络攻击事件综合分析溯源方法的一实施例中,参见图3,还可以具体包含如下内容:
步骤S301:对所述历史工控网络流量数据包进行数据标准化和数据归一化操作,确定对应的预处理数据;
步骤S302:根据所述预处理数据进行相似性矩阵构建操作,根据经过所述相似性矩阵构建操作后得到的相似度确定对应的度矩阵;
步骤S303:根据所述度矩阵和所述相似度确定对应的特征向量矩阵,根据所述特征向量矩阵确定对应的初始化聚类中心。
可选的,本实施例中,数据标准化(Data Standardization):指将数据按比例缩放,使之落入一个小的、指定的范围,如0到1,或者转换为具有零均值和单位方差的分布。这有助于不同特征之间进行比较,因为它们被调整到了同一量级。数据归一化(DataNormalization):是将数据按比例缩放,使之落入一个固定的区间,如[0, 1]区间。归一化有助于避免某些特征由于数值范围较大而对模型结果产生不成比例的影响。在完成数据标准化和归一化之后,得到的数据被称为预处理数据,预处理数据被用于进一步的分析和建模。
可选的,本实施例中,根据预处理数据,构建一个相似性矩阵,用于表示数据集中各个样本之间的相似度。相似度可以基于不同的度量标准来计算,举例说明,例如欧氏距离、曼哈顿距离、余弦相似度等。
可选的,本实施例中,相似性矩阵构建完成后,相似度信息被用来确定度矩阵(Laplacian Matrix)。度矩阵是一个对角矩阵,其对角线上的元素表示每个样本的度(即样本与其他样本相似度的总和),非对角线元素通常为0。
可选的,本实施例中,度矩阵和相似度共同用于确定特征向量矩阵。在谱聚类算法中,特征向量矩阵是通过求解度矩阵的特征值问题得到的。这些特征向量可以表示数据在低维空间中的分布。根据特征向量矩阵,可以确定初始化聚类中心。谱聚类涉及到选择特征向量矩阵中的一部分行作为聚类中心的候选,然后通过K-means++策略来选择最终的聚类中心。
通过步骤S303,本实施例通过数据标准化和归一化,确保了不同特征在分析中的一致性,相似性矩阵和度矩阵的构建为谱聚类算法提供了必要的数学基础,而特征向量矩阵和初始化聚类中心的确定则是谱聚类算法的核心步骤。通过这些步骤,有效地为后续工控网络流量数据聚类分析做准备,从而识别出数据中的不同模式或异常行为。
在本申请的工控网络攻击事件综合分析溯源方法的一实施例中,参见图4,还可以具体包含如下内容:
步骤S401:根据经过所述特征提取操作后的第一特征进行不确定性采样操作确定对应的最不确定样本;
步骤S402:根据所述最不确定样本和所述高密度区域样本确定对应的特征样本。
可选的,本实施例中,不确定性采样的实现方式包括但不限于:
1.预测概率:对于每个样本,计算模型预测的类别概率分布。选择那些概率分布最接近均匀分布的样本。
2.置信区间:计算每个样本预测的置信区间。选择那些置信区间最宽的样本,表示模型对这些样本的预测最不确定。
3.熵:使用熵的概念来量化样本的不确定性。熵越高,表示样本的不确定性越大。
可选的,本实施例中,信息密度采样的实现方式包括但不限于:
1.边界样本:选择那些位于不同类别决策边界附近的样本。这些样本可以帮助模型更好地理解不同类别之间的界限。
2.密度估计:使用密度估计技术(如核密度估计)来确定样本的密度。选择那些位于低密度区域的样本,因为这些区域的样本提供了更多关于数据分布的信息。
3.聚类分析:通过聚类分析确定样本的分布,选择那些位于聚类边界或聚类中心的样本。
可选的,本实施例中,特征样本由以下部分组成:
最不确定样本:通过不确定性采样实现,这些样本可以帮助模型学习如何处理那些难以分类的情况。
高密度区域样本:通过信息密度采样实现,这些样本有助于模型捕捉数据的主要特征和分布,提高模型对常见情况的识别能力。
特征样本的确定涉及到对不确定性采样和信息密度采样得到的样本进行综合考虑,选择那些既具有代表性又能够提供最多信息的样本。
通过步骤S402,本实施例通过这种结合不确定性采样和信息密度采样的方法,可以构建一个更加全面的特征样本集,这个样本集既包含了模型难以预测的样本,也包含了数据中常见的、信息丰富的样本。这样的样本集对于提高模型的泛化能力和对复杂情况的处理能力是非常有帮助的。
在本申请的工控网络攻击事件综合分析溯源方法的一实施例中,参见图5,还可以具体包含如下内容:
步骤S501:对所述半监督特征数据集进行相似性矩阵构建操作和特征向量分解操作,确定对应的半监督特征向量;
步骤S502:根据所述半监督特征向量对所述初始化聚类中心进行硬约束操作,确定对应的优化聚类中心;
步骤S503:根据所述优化聚类中心对所述预设谱聚类算法的参数进行调整操作,确定对应的工控系统数据报文分析模型。
可选的,本实施例中,半监督特征数据集的相似性矩阵构建,这个矩阵表示数据集中样本之间的相似度,相似度可以使用距离度量或相似度度量(如欧氏距离或余弦相似度)来计算。
可选的,本实施例中,对相似性矩阵进行特征向量分解操作,计算相似性矩阵的特征值和特征向量,特征向量分解允许找到数据在低维空间中的表示,这些表示能够捕捉到数据的主要结构和模式。
可选的,本实施例中,半监督特征向量是指那些结合了有标签和无标签数据信息的特征向量,它们用于指导聚类过程。
可选的,本实施例中,硬约束操作优化聚类中心,利用半监督特征向量,对初始化聚类中心进行硬约束操作。硬约束是指在聚类过程中,某些样本必须属于特定的聚类中心。
可以理解的是,硬约束操作是使用有标签数据来指导聚类中心的确定,确保聚类结果与已知的标签信息一致。通过硬约束操作,可以得到一组优化的聚类中心,更符合数据的实际分布,并且与有标签数据的标签信息相匹配。
可选的,本实施例中,根据优化的聚类中心,对预设的谱聚类算法的参数进行调整。包括调整聚类的数量、相似性阈值以及其他控制聚类过程的参数,参数调整的目的是提高聚类算法的性能,确保聚类结果的准确性和可靠性。最终,根据调整后的谱聚类算法参数,确定工控系统数据报文分析模型。
可以理解的是,上述整个过程是一个迭代和反馈的过程,通过结合有标签和无标签数据,不断优化聚类算法的性能,以适应工控系统数据报文的复杂性和动态性。通过这种方法,可以提高工控系统网络安全的监控和预警能力。
通过S503步骤,本实施例成功确定了工控系统数据报文分析模型,该模型能够实时对新的数据报文进行有效的聚类分析,识别出数据中的正常模式和潜在的异常行为。
在本申请的工控网络攻击事件综合分析溯源方法的一实施例中,参见图6,还可以具体包含如下内容:
步骤S601:接收工控网络流量数据,根据预设哈希匹配算法判断所述工控网络流量数据是否与所述指纹特征数据库中的指纹特征匹配;
步骤S602:若是,则输出与所述指纹特征对应的第一分析结果,其中,所述第一分析结果包括流量数据的协议类型、正常行为标签以及异常行为标签中的至少一种。
可选的,本实施例中,哈希匹配算法是一种快速的数据匹配技术,通常用于检查数据是否与数据库中的条目相匹配,算法预先设置好,将接收到的流量数据与指纹特征数据库中的指纹特征进行比较,以判断是否有匹配项。
可选的,本实施例中,如果流量数据与指纹特征数据库中的某个指纹特征匹配,系统将输出第一分析结果。结果包括但不限于:
协议类型:流量数据中使用的网络协议类型,如TCP、UDP、ICMP等。
正常行为标签:如果匹配的指纹特征代表正常网络行为,系统将输出正常行为的标签或描述。
异常行为标签:如果匹配的指纹特征代表异常或潜在的恶意网络行为,系统将输出异常行为的标签或描述。
通过S602步骤,本实施例通过哈希匹配算法,系统能够快速识别流量数据是否符合已知的正常或异常模式,并据此采取相应的安全措施。这种方法提高了工控网络的安全性,减少了对人工分析的依赖,并提高了响应速度。
在本申请的工控网络攻击事件综合分析溯源方法的一实施例中,参见图7,还可以具体包含如下内容:
步骤S701:根据所述流量样本库和预设谱聚类算法进行数据聚类操作,确定对应的流量聚类特征;
步骤S702:根据所述流量样本库、所述标签信息以及预设支持向量机分类算法进行数据分类操作,确定对应的流量分类特征;
步骤S703:根据所述流量聚类特征和所述流量分类特征进行特征有效性验证,根据经过所述特征有效性验证的最优指纹特征确定对应的指纹特征数据库。
可选的,本实施例中,谱聚类是一种基于图论的聚类方法,通过分析数据点之间的相似性来构建一个相似性图,并利用图的谱(即拉普拉斯矩阵)来执行聚类。聚类操作的目的是将相似的流量数据分组,以识别网络流量中的不同模式或行为。
可选的,本实施例中,结合流量样本库和标签信息(已知的正常和异常行为标签),使用预设的支持向量机(SVM)分类算法进行数据分类。支持向量机是一种监督学习算法,用于分类和回归分析,它通过找到数据点之间的最优边界来区分不同的类别。分类操作的目的是训练一个分类器,能够区分网络流量中的正常行为和异常行为。
可选的,本实施例中,根据从聚类操作中得到的流量聚类特征和从分类操作中得到的流量分类特征,进行特征有效性验证。特征有效性验证方式包括但不限于,统计测试、交叉验证以及使用其他机器学习模型来评估特征的预测能力和区分能力。有效性验证的目的是确定哪些特征对于流量分析最为有效和有用。
可选的,本实施例中,在特征有效性验证之后,选择最优的指纹特征,这些特征在区分正常和异常网络行为方面表现最好。
可选的,本实施例中,使用经过验证的最优指纹特征来构建或更新指纹特征数据库。指纹特征数据库包含网络行为特征的集合,这些特征可以用于快速识别和分类网络流量,构建这个数据库的目的是为了提高未来网络流量分析的效率和准确性,使得系统能够快速匹配和实时响应网络中的新流量模式。
通过S703步骤,本实施例成功地集成了多种数据分析技术的综合方法,通过自动化的方式提高工控网络流量分析的准确性和效率,可以有效地识别和分类网络流量,及时发现和响应潜在的安全威胁。
为了基于半监督聚类算法进行攻击事件综合分析溯源,提高工控网络攻击事件溯源的精度和可操作性,本申请提供一种用于实现所述工控网络攻击事件综合分析溯源方法的全部或部分内容的工控网络攻击事件综合分析溯源装置的实施例,参见图8,所述工控网络攻击事件综合分析溯源装置具体包含有如下内容:
指纹特征数据库确定模块10,用于获取历史工控网络流量数据包,根据预设协议分析规则对所述历史工控网络流量数据包中的协议信息进行特征提取操作,根据经过所述特征提取操作后得到的指纹特征确定对应的指纹特征数据库,其中,所述指纹特征包括特定字段、字节序列以及统计信息中的至少一种;
工控系统数据报文分析模型确定模块20,用于根据所述历史工控网络流量数据包和预设谱聚类算法确定对应的初始化聚类中心,将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作,根据经过所述特征提取操作后的第一特征进行不确定性采样操作和信息密度采样操作,确定对应的特征样本,根据所述特征样本和预设特征标注规则确定对应的第二特征,根据所述第一特征和所述第二特征确定对应的半监督特征数据集,根据所述半监督特征数据集对所述初始化聚类中心进行约束聚类操作,根据经过所述约束聚类操作之后得到的优化聚类中心更新所述预设谱聚类算法的参数,确定对应的工控系统数据报文分析模型;
综合分析溯源模块30,用于接收工控网络流量数据,判断所述工控网络流量数据是否与所述指纹特征数据库中的所述指纹特征匹配,若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将所述工控网络流量数据输入所述工控系统数据报文分析模型,得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作。
从上述描述可知,本申请实施例提供的工控网络攻击事件综合分析溯源装置,能够通过预设协议分析规则对工控网络流量数据中的协议信息进行特征提取,根据谱聚类算法确定初始化聚类中心,将工控网络流量数据输入预设卷积神经循环网络进行不确定性采样操作和信息密度采样操作,确定半监督特征数据集并对初始化聚类中心进行约束聚类操作,确定对应的工控系统数据报文分析模型。判断工控网络流量数据是否与指纹特征数据库中的指纹特征匹配,若是,则输出第一分析结果进行溯源操作,否则,输出第二分析结果并进行综合分析溯源操作,由此能够基于半监督聚类算法进行攻击事件综合分析溯源,提高工控网络攻击事件溯源的精度和可操作性。
从硬件层面来说,为了基于半监督聚类算法进行攻击事件综合分析溯源,提高工控网络攻击事件溯源的精度和可操作性,本申请提供一种用于实现所述工控网络攻击事件综合分析溯源方法中的全部或部分内容的电子设备的实施例,所述电子设备具体包含有如下内容:
处理器(processor) 、存储器(memory) 、通信接口(Communications Interface)和总线;其中,所述处理器、存储器、通信接口通过所述总线完成相互间的通信;所述通信接口用于实现工控网络攻击事件综合分析溯源方法与核心业务系统、用户终端以及相关数据库等相关设备之间的信息传输;该逻辑控制器可以是台式计算机、平板电脑及移动终端等,本实施例不限于此。在本实施例中,该逻辑控制器可以参照实施例中的工控网络攻击事件综合分析溯源方法的实施例,以及工控网络攻击事件综合分析溯源方法的实施例进行实施,其内容被合并于此,重复之处不再赘述。
可以理解的是,所述用户终端可以包括智能手机、平板电子设备、网络机顶盒、便携式计算机、台式电脑、个人数字助理(PDA)、车载设备、智能穿戴设备等。其中,所述智能穿戴设备可以包括智能眼镜、智能手表、智能手环等。
在实际应用中,工控网络攻击事件综合分析溯源方法的部分可以在如上述内容所述的电子设备侧执行,也可以所有的操作都在所述客户端设备中完成。具体可以根据所述客户端设备的处理能力,以及用户使用场景的限制等进行选择。本申请对此不作限定。若所有的操作都在所述客户端设备中完成,所述客户端设备还可以包括处理器。
上述的客户端设备可以具有通信模块(即通信单元),可以与远程的服务器进行通信连接,实现与所述服务器的数据传输。所述服务器可以包括任务调度中心一侧的服务器,其他的实施场景中也可以包括中间平台的服务器,例如与任务调度中心服务器有通信链接的第三方服务器平台的服务器。所述的服务器可以包括单台计算机设备,也可以包括多个服务器组成的服务器集群,或者分布式装置的服务器结构。
图9为本申请实施例的电子设备9600的系统构成的示意框图。如图9所示,该电子设备9600可以包括中央处理器9100和存储器9140;存储器9140耦合到中央处理器9100。值得注意的是,该图9是示例性的;还可以使用其他类型的结构,来补充或代替该结构,以实现电信功能或其他功能。
一实施例中,工控网络攻击事件综合分析溯源方法功能可以被集成到中央处理器9100中。其中,中央处理器9100可以被配置为进行如下控制:
步骤S101:获取历史工控网络流量数据包,根据预设协议分析规则对所述历史工控网络流量数据包中的协议信息进行特征提取操作,根据经过所述特征提取操作后得到的指纹特征确定对应的指纹特征数据库,其中,所述指纹特征包括特定字段、字节序列以及统计信息中的至少一种;
步骤S102:根据所述历史工控网络流量数据包和预设谱聚类算法确定对应的初始化聚类中心,将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作,根据经过所述特征提取操作后的第一特征进行不确定性采样操作和信息密度采样操作,确定对应的特征样本,根据所述特征样本和预设特征标注规则确定对应的第二特征,根据所述第一特征和所述第二特征确定对应的半监督特征数据集,根据所述半监督特征数据集对所述初始化聚类中心进行约束聚类操作,根据经过所述约束聚类操作之后得到的优化聚类中心更新所述预设谱聚类算法的参数,确定对应的工控系统数据报文分析模型;
步骤S103:接收工控网络流量数据,判断所述工控网络流量数据是否与所述指纹特征数据库中的所述指纹特征匹配,若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将所述工控网络流量数据输入所述工控系统数据报文分析模型,得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作。
从上述描述可知,本申请实施例提供的电子设备,通过预设协议分析规则对工控网络流量数据中的协议信息进行特征提取,根据谱聚类算法确定初始化聚类中心,将工控网络流量数据输入预设卷积神经循环网络进行不确定性采样操作和信息密度采样操作,确定半监督特征数据集并对初始化聚类中心进行约束聚类操作,确定对应的工控系统数据报文分析模型。判断工控网络流量数据是否与指纹特征数据库中的指纹特征匹配,若是,则输出第一分析结果进行溯源操作,否则,输出第二分析结果并进行综合分析溯源操作,由此能够基于半监督聚类算法进行攻击事件综合分析溯源,提高工控网络攻击事件溯源的精度和可操作性。
在另一个实施方式中,工控网络攻击事件综合分析溯源方法可以与中央处理器9100分开配置,例如可以将工控网络攻击事件综合分析溯源方法配置为与中央处理器9100连接的芯片,通过中央处理器的控制来实现工控网络攻击事件综合分析溯源方法功能。
如图9所示,该电子设备9600还可以包括:通信模块9110、输入单元9120、音频处理器9130、显示器9160、电源9170。值得注意的是,电子设备9600也并不是必须要包括图9中所示的所有部件;此外,电子设备9600还可以包括图9中没有示出的部件,可以参考现有技术。
如图9所示,中央处理器9100有时也称为控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该中央处理器9100接收输入并控制电子设备9600的各个部件的操作。
其中,存储器9140,例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息,此外还可存储执行有关信息的程序。并且中央处理器9100可执行该存储器9140存储的该程序,以实现信息存储或处理等。
输入单元9120向中央处理器9100提供输入。该输入单元9120例如为按键或触摸输入装置。电源9170用于向电子设备9600提供电力。显示器9160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器,但并不限于此。
该存储器9140可以是固态存储器,例如,只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器,其即使在断电时也保存信息,可被选择性地擦除且设有更多数据,该存储器的示例有时被称为EPROM等。存储器9140还可以是某种其它类型的装置。存储器9140包括缓冲存储器9141(有时被称为缓冲器)。存储器9140可以包括应用/功能存储部9142,该应用/功能存储部9142用于存储应用程序和功能程序或用于通过中央处理器9100执行电子设备9600的操作的流程。
存储器9140还可以包括数据存储部9143,该数据存储部9143用于存储数据,例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器9140的驱动程序存储部9144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
通信模块9110即为经由天线9111发送和接收信号的发送机/接收机9110。通信模块(发送机/接收机)9110耦合到中央处理器9100,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。
基于不同的通信技术,在同一电子设备中,可以设置有多个通信模块9110,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)9110还经由音频处理器9130耦合到扬声器9131和麦克风9132,以经由扬声器9131提供音频输出,并接收来自麦克风9132的音频输入,从而实现通常的电信功能。音频处理器9130可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器9130还耦合到中央处理器9100,从而使得可以通过麦克风9132能够在本机上录音,且使得可以通过扬声器9131来播放本机上存储的声音。
本申请的实施例还提供能够实现上述实施例中的执行主体为服务器或客户端的工控网络攻击事件综合分析溯源方法中全部步骤的一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中的执行主体为服务器或客户端的工控网络攻击事件综合分析溯源方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
步骤S101:获取历史工控网络流量数据包,根据预设协议分析规则对所述历史工控网络流量数据包中的协议信息进行特征提取操作,根据经过所述特征提取操作后得到的指纹特征确定对应的指纹特征数据库,其中,所述指纹特征包括特定字段、字节序列以及统计信息中的至少一种;
步骤S102:根据所述历史工控网络流量数据包和预设谱聚类算法确定对应的初始化聚类中心,将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作,根据经过所述特征提取操作后的第一特征进行不确定性采样操作和信息密度采样操作,确定对应的特征样本,根据所述特征样本和预设特征标注规则确定对应的第二特征,根据所述第一特征和所述第二特征确定对应的半监督特征数据集,根据所述半监督特征数据集对所述初始化聚类中心进行约束聚类操作,根据经过所述约束聚类操作之后得到的优化聚类中心更新所述预设谱聚类算法的参数,确定对应的工控系统数据报文分析模型;
步骤S103:接收工控网络流量数据,判断所述工控网络流量数据是否与所述指纹特征数据库中的所述指纹特征匹配,若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将所述工控网络流量数据输入所述工控系统数据报文分析模型,得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作。
从上述描述可知,本申请实施例提供的计算机可读存储介质,通过预设协议分析规则对工控网络流量数据中的协议信息进行特征提取,根据谱聚类算法确定初始化聚类中心,将工控网络流量数据输入预设卷积神经循环网络进行不确定性采样操作和信息密度采样操作,确定半监督特征数据集并对初始化聚类中心进行约束聚类操作,确定对应的工控系统数据报文分析模型。判断工控网络流量数据是否与指纹特征数据库中的指纹特征匹配,若是,则输出第一分析结果进行溯源操作,否则,输出第二分析结果并进行综合分析溯源操作,由此能够基于半监督聚类算法进行攻击事件综合分析溯源,提高工控网络攻击事件溯源的精度和可操作性。
本申请的实施例还提供能够实现上述实施例中的执行主体为服务器或客户端的工控网络攻击事件综合分析溯源方法中全部步骤的一种计算机程序产品,该计算机程序/指令被处理器执行时实现所述的工控网络攻击事件综合分析溯源方法的步骤,例如,所述计算机程序/指令实现下述步骤:
步骤S101:获取历史工控网络流量数据包,根据预设协议分析规则对所述历史工控网络流量数据包中的协议信息进行特征提取操作,根据经过所述特征提取操作后得到的指纹特征确定对应的指纹特征数据库,其中,所述指纹特征包括特定字段、字节序列以及统计信息中的至少一种;
步骤S102:根据所述历史工控网络流量数据包和预设谱聚类算法确定对应的初始化聚类中心,将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作,根据经过所述特征提取操作后的第一特征进行不确定性采样操作和信息密度采样操作,确定对应的特征样本,根据所述特征样本和预设特征标注规则确定对应的第二特征,根据所述第一特征和所述第二特征确定对应的半监督特征数据集,根据所述半监督特征数据集对所述初始化聚类中心进行约束聚类操作,根据经过所述约束聚类操作之后得到的优化聚类中心更新所述预设谱聚类算法的参数,确定对应的工控系统数据报文分析模型;
步骤S103:接收工控网络流量数据,判断所述工控网络流量数据是否与所述指纹特征数据库中的所述指纹特征匹配,若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将所述工控网络流量数据输入所述工控系统数据报文分析模型,得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作。
从上述描述可知,本申请实施例提供的计算机程序产品,通过预设协议分析规则对工控网络流量数据中的协议信息进行特征提取,根据谱聚类算法确定初始化聚类中心,将工控网络流量数据输入预设卷积神经循环网络进行不确定性采样操作和信息密度采样操作,确定半监督特征数据集并对初始化聚类中心进行约束聚类操作,确定对应的工控系统数据报文分析模型。判断工控网络流量数据是否与指纹特征数据库中的指纹特征匹配,若是,则输出第一分析结果进行溯源操作,否则,输出第二分析结果并进行综合分析溯源操作,由此能够基于半监督聚类算法进行攻击事件综合分析溯源,提高工控网络攻击事件溯源的精度和可操作性。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (7)

1.一种工控网络攻击事件综合分析溯源方法,其特征在于,所述方法包括:
获取历史工控网络流量数据包,根据预设协议分析规则对所述历史工控网络流量数据包中的协议信息进行特征提取操作,根据经过所述特征提取操作后得到的指纹特征确定对应的指纹特征数据库,其中,所述指纹特征包括特定字段、字节序列以及统计信息中的至少一种;
根据所述历史工控网络流量数据包和预设谱聚类算法确定对应的初始化聚类中心,具体包括:对所述历史工控网络流量数据包进行数据标准化和数据归一化操作,确定对应的预处理数据,根据所述预处理数据进行相似性矩阵构建操作,根据经过所述相似性矩阵构建操作后得到的相似度确定对应的度矩阵,根据所述度矩阵和所述相似度确定对应的特征向量矩阵,根据所述特征向量矩阵确定对应的初始化聚类中心;将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作,根据经过所述特征提取操作后的第一特征进行不确定性采样操作确定对应的最不确定样本;根据经过所述特征提取操作后的第一特征进行信息密度采样操作确定对应的高密度区域样本;根据所述最不确定样本和所述高密度区域样本确定对应的特征样本,根据所述特征样本和预设特征标注规则确定对应的第二特征,根据所述第一特征和所述第二特征确定对应的半监督特征数据集,对所述半监督特征数据集进行相似性矩阵构建操作和特征向量分解操作,确定对应的半监督特征向量;根据所述半监督特征向量对所述初始化聚类中心进行硬约束操作,确定对应的优化聚类中心;根据所述优化聚类中心对所述预设谱聚类算法的参数进行调整操作,确定对应的工控系统数据报文分析模型;
接收工控网络流量数据,判断所述工控网络流量数据是否与所述指纹特征数据库中的所述指纹特征匹配,若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将所述工控网络流量数据输入所述工控系统数据报文分析模型,得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作。
2.根据权利要求1所述的工控网络攻击事件综合分析溯源方法,其特征在于,所述根据经过所述特征提取操作后得到的指纹特征确定指纹特征数据库,包括:
根据预设标注规则对经过所述特征提取操作后得到的指纹特征进行标签标注操作,得到对应的标签信息,根据所述指纹特征和所述标签信息确定对应的流量样本库;
对所述流量样本库进行数据聚类操作和数据分类操作,确定对应的指纹特征数据库。
3.根据权利要求1所述的工控网络攻击事件综合分析溯源方法,其特征在于,所述接收工控网络流量数据,判断所述工控网络流量数据是否与所述指纹特征数据库中的指纹特征匹配,若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,包括:
接收工控网络流量数据,根据预设哈希匹配算法判断所述工控网络流量数据是否与所述指纹特征数据库中的指纹特征匹配;
若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,其中,所述第一分析结果包括流量数据的协议类型、正常行为标签以及异常行为标签中的至少一种。
4.根据权利要求2所述的工控网络攻击事件综合分析溯源方法,其特征在于,所述对所述流量样本库进行数据聚类操作和数据分类操作,确定对应的指纹特征数据库,包括:
根据所述流量样本库和预设谱聚类算法进行数据聚类操作,确定对应的流量聚类特征;
根据所述流量样本库、所述标签信息以及预设支持向量机分类算法进行数据分类操作,确定对应的流量分类特征;
根据所述流量聚类特征和所述流量分类特征进行特征有效性验证,根据经过所述特征有效性验证的最优指纹特征确定对应的指纹特征数据库。
5.根据权利要求1所述的工控网络攻击事件综合分析溯源方法,其特征在于,还包括一种工控网络攻击事件综合分析溯源装置,所述装置包括:
指纹特征数据库确定模块,用于获取历史工控网络流量数据包,根据预设协议分析规则对所述历史工控网络流量数据包中的协议信息进行特征提取操作,根据经过所述特征提取操作后得到的指纹特征确定指纹特征数据库,其中,所述指纹特征包括特定字段、字节序列以及统计信息中的至少一种;
工控系统数据报文分析模型确定模块,用于根据所述历史工控网络流量数据包和预设谱聚类算法确定对应的初始化聚类中心,将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作,根据经过所述特征提取操作后的第一特征进行不确定性采样操作和信息密度采样操作,确定对应的特征样本,根据所述特征样本和预设特征标注规则确定对应的第二特征,根据所述第一特征和所述第二特征确定对应的半监督特征数据集,根据所述半监督特征数据集对所述初始化聚类中心进行约束聚类操作,根据经过所述约束聚类操作之后得到的优化聚类中心更新所述谱聚类算法的参数,确定对应的工控系统数据报文分析模型;
综合分析溯源模块,用于接收工控网络流量数据,判断所述工控网络流量数据是否与所述指纹特征数据库中的所述指纹特征匹配,若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将所述工控网络流量数据输入所述工控系统数据报文分析模型,得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作。
6.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至4任一项所述的工控网络攻击事件综合分析溯源方法的步骤。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至4任一项所述的工控网络攻击事件综合分析溯源方法的步骤。
CN202410832685.XA 2024-06-26 2024-06-26 工控网络攻击事件综合分析溯源方法及装置 Active CN118381682B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410832685.XA CN118381682B (zh) 2024-06-26 2024-06-26 工控网络攻击事件综合分析溯源方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410832685.XA CN118381682B (zh) 2024-06-26 2024-06-26 工控网络攻击事件综合分析溯源方法及装置

Publications (2)

Publication Number Publication Date
CN118381682A CN118381682A (zh) 2024-07-23
CN118381682B true CN118381682B (zh) 2024-08-30

Family

ID=91906090

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410832685.XA Active CN118381682B (zh) 2024-06-26 2024-06-26 工控网络攻击事件综合分析溯源方法及装置

Country Status (1)

Country Link
CN (1) CN118381682B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111385243A (zh) * 2018-12-27 2020-07-07 中国移动通信集团山西有限公司 一种DDoS检测方法、装置及设备
CN112769796A (zh) * 2020-12-30 2021-05-07 华北电力大学 一种基于端侧边缘计算的云网端协同防御方法及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020022953A1 (en) * 2018-07-26 2020-01-30 Singapore Telecommunications Limited System and method for identifying an internet of things (iot) device based on a distributed fingerprinting solution
CN116647353A (zh) * 2022-02-14 2023-08-25 中国科学院计算机网络信息中心 基于层次特征的LDoS隐蔽攻击检测方法以及装置
CN117411703A (zh) * 2023-11-02 2024-01-16 上海电力大学 一种面向Modbus协议的工业控制网络异常流量检测方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111385243A (zh) * 2018-12-27 2020-07-07 中国移动通信集团山西有限公司 一种DDoS检测方法、装置及设备
CN112769796A (zh) * 2020-12-30 2021-05-07 华北电力大学 一种基于端侧边缘计算的云网端协同防御方法及系统

Also Published As

Publication number Publication date
CN118381682A (zh) 2024-07-23

Similar Documents

Publication Publication Date Title
US11522873B2 (en) Detecting network attacks
CN109284606B (zh) 基于经验特征与卷积神经网络的数据流异常检测系统
US11171977B2 (en) Unsupervised spoofing detection from traffic data in mobile networks
CN111275546A (zh) 金融客户欺诈风险识别方法及装置
CN104541293A (zh) 用于客户端-云行为分析器的架构
CN109784015B (zh) 一种身份鉴别方法及装置
US11706236B2 (en) Autonomous application of security measures to IoT devices
CN112884204B (zh) 网络安全风险事件预测方法及装置
CN116305168B (zh) 一种多维度信息安全风险评估方法、系统及存储介质
Bodström et al. State of the art literature review on network anomaly detection with deep learning
CN109547466B (zh) 基于机器学习提高风险感知能力的方法及装置、计算机设备和存储介质
CN116992299B (zh) 区块链交易异常检测模型的训练方法、检测方法及装置
CN115314268A (zh) 基于流量指纹和行为的恶意加密流量检测方法和系统
Yang et al. Cloud-edge coordinated traffic anomaly detection for industrial cyber-physical systems
Wan et al. DevTag: A benchmark for fingerprinting IoT devices
CN111431872B (zh) 一种基于tcp/ip协议特征的两阶段物联网设备识别方法
CN118381682B (zh) 工控网络攻击事件综合分析溯源方法及装置
Zhang The WSN intrusion detection method based on deep data mining
Flores et al. Network anomaly detection by continuous hidden markov models: An evolutionary programming approach
Li et al. Application-oblivious L7 parsing using recurrent neural networks
CN118353724B (zh) 基于多特征选择堆叠的加密恶意流量检测方法、系统
CN116708313B (zh) 流量检测方法、流量检测装置、存储介质和电子设备
CN118400191B (zh) 工控网络攻击事件溯源处理方法及装置
CN117633665B (zh) 一种网络数据监控方法及系统
CN115529145B (zh) 网络安全入侵检测与防护系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant