买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：山东云天安全技术有限公司

摘要：本申请涉及网络安全测试技术领域，特别是涉及一种异常设备确定方法、装置、介质和设备。该方法包括：获取目标设备对应的数据特征组集X；以数据大小标识作为观测状态、设备标识作为隐藏状态对X进行处理，得到目标设备在目标时间窗口内的目标通讯特征列表MX；获取MX和标准通讯特征列表BX的通讯特征匹配度PX；若PX小于预设通讯特征匹配度阈值，则确定目标设备为异常设备。本申请利用处于工控网络中目标设备流量特征的稳定性，基于HMM模型的原理，得到目标设备的目标通讯特征列表，并根据标准通讯特征列表判断目标设备的状态。处理过程更简单，处理效率更高。

主权项：1.一种异常设备确定方法，其特征在于，所述方法包括：S100，获取目标设备对应的数据特征组集X＝X1，X2，...，Xi，...，Xn；i＝1，2，...，n；其中，n为目标时间窗口内连续排布的目标时间段的数量；Xi为目标设备在第i个目标时间段对应的数据特征组；Xi＝Ui，Hi；Ui为第i个目标时间段对应的数据大小标识序列；Ui＝Ui1，Ui2，...，Uia，...，Uifi；a＝1，2，...，fi；Uia为目标设备在第i个目标时间段内发出的第a个流量包的数据大小标识；Uia∈D；D为目标设备所在工控网络对应的数据大小标识列表；fi为目标设备在目标时间窗口内的第i个目标时间段内发出的流量包的数量；Hi为第i个目标时间段对应的设备标识序列；Hi＝Hi1，Hi2，...，Hia，...，Hifi；Hia为第a个流量包对应的接收设备的设备标识；Hia∈T；T为目标设备所在工控网络对应的设备标识列表；S200，以数据大小标识作为观测状态、设备标识作为隐藏状态对X进行处理，得到目标设备在目标时间窗口内的目标通讯特征列表MX＝MA，MT，Mπ；其中，MA为目标设备在目标时间窗口内对应的状态转移概率矩阵；MT为目标设备在目标时间窗口内对应的观测概率矩阵；Mπ为目标设备在目标时间窗口内对应的初始状态概率向量；S300，获取MX和标准通讯特征列表BX的通讯特征匹配度PX；S400，若PX小于预设通讯特征匹配度阈值，则确定目标设备为异常设备；其中，D通过以下步骤获取：S110，根据目标设备所在工控网络在预设时间段内发出的每一流量包的数据大小，得到若干数据大小区间；任意两个数据大小区间不重合；S120，根据若干数据大小区间，得到目标设备所在工控网络对应的数据大小标识列表D＝D1，D2，...，Dp，...，Dq；p＝1，2，...，q；其中，Dp为目标设备所在工控网络在预设时间段内发出的第p个流量包对应的数据大小标识；q为目标设备所在工控网络在预设时间段内发出的流量包的数量；任意两个数据大小区间对应的数据大小标识不同；T通过以下步骤获取：S130，获取目标设备所在工控网络内除目标设备外的每一可通讯设备的设备标识，以得到设备标识列表T＝T1，T2，...，Te，...，Tf，W；e＝1，2，...，f；其中，f为目标设备所在工控网络内除目标设备外的可通讯设备的数量；Te为目标设备所在工控网络内除目标设备外的第e个可通讯设备的设备标识；W为预设的外网设备标识；BX通过如下步骤确定：S310，获取目标设备最近一次确定为正常设备时对应的数据特征组集X；S320，以X作为训练样本，对初始HMM模型进行训练，得到目标HMM模型；S330，根据目标HMM模型，得到标准通讯特征列表BX＝BA,BT,Bπ；其中，BA为标准状态转移概率矩阵；BT为标准观测概率矩阵；Bπ为标准初始状态概率向量；所述PX符合如下条件：PX＝MX·BX|MX|×|BX|。

全文数据：

权利要求：

百度查询： 山东云天安全技术有限公司 异常设备确定方法、装置、介质和设备