买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:山东云天安全技术有限公司
摘要:本申请涉及网络安全测试技术领域,特别是涉及一种异常通讯设备确定方法、装置、介质和设备。该方法包括:首先获取目标设备所在工控网络的数据大小标识列表D;获取目标设备在目标时间窗口内的数据大小标识序列列表U,和设备标识序列列表H;将U输入预训练HMM模型,以得到U对应的预测设备标识序列列表YH;获取设备标识序列匹配度列表PH;获取PH的设备标识序列匹配度波动值PHB;若PHB大于预设设备标识序列匹配度波动值阈值,则确定目标设备为异常设备。本申请仅利用了目标设备发出的流量包的接收设备和流量包的数据大小等特征,未对目标设备发出的流量包的内容进行分析,基于HMM模型的原理,处理过程更简单,处理效率更高。
主权项:1.一种异常通讯设备确定方法,其特征在于,所述方法包括:S100,获取目标设备所在工控网络的数据大小标识列表D=D1,D2,...,Dp,...,Dq,和设备标识列表T=T1,T2,...,Te,...,Tf,W;其中,p=1,2,...,q;Dp为目标设备所在工控网络在预设时间段内发出的第p个流量包对应的数据大小标识;q为目标设备所在工控网络在预设时间段内发出的流量包的数量;e=1,2,...,f;Te为目标设备所在工控网络内除目标设备外的第e个可通讯设备的设备标识;W为预设的外网设备标识;S200,获取目标设备在目标时间窗口内的数据大小标识序列列表U=U1,U2,...,Ui,...,Un,和设备标识序列列表H=H1,H2,...,Hi,...,Hn;i=1,2,...,n;其中,n为目标时间窗口内连续排布的目标时间段的数量;Ui为第i个目标时间段对应的数据大小标识序列;Ui=Ui1,Ui2,...,Uia,...,Uifi;Uia为目标设备在目标时间窗口内的第i个目标时间段内发出的第a个流量包的数据大小标识;Uia∈D;fi为目标设备在目标时间窗口内的第i个目标时间段内发出的流量包的数量;Hi为第i个目标时间段对应的设备标识序列;Hi=Hi1,Hi2,...,Hia,...,Hifi;Hia为第a个流量包对应的接收设备的设备标识;Hia∈T;S300,将U输入预训练HMM模型,以得到U对应的预测设备标识序列列表YH=YH1,YH2,...,YHi,...,YHn;其中,YHi为Hi对应的预测设备标识序列;YHi=YHi1,YHi2,...,YHia,...,YHifi;YHia为Hia对应的预测设备标识;所述预训练HMM模型是根据以目标时间段为长度的目标设备确定为正常设备时对应的历史数据大小标识序列列表和历史设备标识序列列表训练得到的;S400,根据H与YH,获取设备标识序列匹配度列表PH=PH1,PH2,...,PHi,...,PHn;其中,PHi为Hi与YHi的设备标识序列匹配度;S500,获取PH的设备标识序列匹配度波动值PHB;PHB=∑ni=1PHi-avgPH2;其中:avg为预设的平均值确定函数;S600,若PHB大于预设设备标识序列匹配度波动值阈值,则确定目标设备为异常设备;在若PHB大于预设设备标识序列匹配度波动值阈值之后,所述方法还包括:S700,根据PH,得到平均设备标识序列匹配度PHJ=avgPH;其中:avg为预设的平均值确定函数;S800,根据PHJ和通讯特征匹配度PX,得到综合匹配度PHM;其中,PHM符合如下条件:PHM=k1×PHJ+k2×PX;其中,k1为预设的平均设备标识序列权重;k2为预设的通讯特征权重;其中,PX为目标设备在目标时间窗口内的目标通讯特征列表MX和标准通讯特征列表BX之间的匹配度;S900,若PHM小于预设综合匹配度阈值,则确定目标设备为异常设备;通讯特征匹配度PX通过如下步骤确定:S810,获取目标设备对应的数据特征组集X=X1,X2,...,Xi,...,Xn;i=1,2,...,n;其中,n为目标时间窗口内连续排布的目标时间段的数量;Xi为目标设备在第i个目标时间段对应的数据特征组;Xi=(Ui,Hi);S820,以数据大小标识作为观测状态、设备标识作为隐藏状态对X进行处理,得到目标设备在目标时间窗口内的目标通讯特征列表MX=(MA,MT,Mπ);其中,MA为目标设备在目标时间窗口内对应的状态转移概率矩阵;MT为目标设备在目标时间窗口内对应的观测概率矩阵;Mπ为目标设备在目标时间窗口内对应的初始状态概率向量;S830,获取MX和标准通讯特征列表BX=(BA,BT,Bπ)的第二匹配度PX;其中,BA为标准状态转移概率矩阵;BT为标准观测概率矩阵;Bπ为标准初始状态概率向量;BX通过如下步骤确定:S831,获取目标设备最近B次确定为正常设备时对应的B个目标序列组集X;S832,将B个目标序列组集X作为B个特征向量,得到B个特征向量的中心向量;S833,根据所述中心向量,得到标准通讯特征列表BX=(BA,BT,Bπ);其中,BA为标准状态转移概率矩阵;BT为标准观测概率矩阵;Bπ为标准初始状态概率向量。
全文数据:
权利要求:
百度查询: 山东云天安全技术有限公司 异常通讯设备确定方法、装置、介质和设备
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。