[发明专利]一种基于高阶关联挖掘的网络数据异常检测方法与系统

说明书

本申请公开了一种基于高阶关联挖掘的网络数据异常检测方法与系统，其中，该方法包括：步骤1，根据获取到的网络数据集合，生成离散森林，并计算网络数据集合中网络数据的离散值；步骤2，根据聚类算法和异常网络数据，生成聚类中心点，并计算网络数据与聚类中心点的相似值；步骤3，根据离散值和相似值，计算网络数据集合中网络数据的权值；步骤4，根据网络数据的权值和超图模型，计算网络数据集合中未标记网络数据的标签矩阵；步骤5，根据标签矩阵，确定未标记网络数据的安全类型。通过本申请中的技术方案，实现了对工业网络环境中大量未标记网络数据的有效识别，提高了未标记网络数据识别的准确性以及已标记网络数据的利用率。

技术领域

本申请涉及工业网络数据检测的技术领域，具体而言，涉及一种基于高阶关联挖掘的网络数据异常检测方法以及一种基于高阶关联挖掘的网络数据异常检测系统。

背景技术

随着网络技术的快速发展，网络攻击事件也频频发生，面对日益增大的网络数据，如何高效快速的检测出网络数据中的异常数据、并将正常数据和异常数据进行标记，变得越发重要。由于工业网络的特性，导致工业网络中存在大量的未标记网络数据，不利于工业网络的安全运行。由于工业网络中的网络数据遵循的协议类型众多，为了能够高效检测网络数据存在的潜在威胁，并权衡检测质量与检测效率之间的关系，控制异常网络数据对于工业网络的影响，及时、准确的对网络数据的检测十分重要。

而现有技术中，针对异常网络数据的检测方式主要分为三种：监督学习检测、半监督学习检测以及无监督学习检测，首先，由于监督学习检测需要充足的已标记网络数据进行训练，而工业环境中存在标签的已标记网络数据较少，导致监督学习检测的准确性较低；其次，虽然无监督学习方式不需要标记数据，但是其不能充分利用已标记网络数据，不仅数据计算量较大、导致系统硬件性能要求较高，而且还造成了已标记网络数据的浪费；最后，半监督学习方式虽然可以同时利用已标记网络数据以及未标记网络数据，但是其必须具有所有类别异常网络数据的标记，对于未标记类别的异常网络数据无法检测，导致异常网络数据检测的全面识别性能较差。

发明内容

本申请的目的在于：实现对工业网络环境中大量未标记网络数据的有效识别，提高了未标记网络数据识别的准确性以及已标记网络数据的利用率。

本申请第一方面的技术方案是：提供了一种基于高阶关联挖掘的网络数据异常检测方法，该方法包括：步骤1，根据获取到的网络数据集合，生成离散森林，并计算网络数据集合中网络数据的离散值，其中，网络数据可以为正常网络数据、异常网络数据和未标记网络数据中的一种；步骤2，根据聚类算法和异常网络数据，生成聚类中心点，并计算网络数据与聚类中心点的相似值；步骤3，根据离散值和相似值，计算网络数据集合中网络数据的权值；步骤4，根据网络数据的权值和超图模型，计算网络数据集合中未标记网络数据的标签矩阵；步骤5，根据标签矩阵，确定未标记网络数据的安全类型，其中，安全类型包括正常型数据和异常型数据。

上述任一项技术方案中，进一步地，步骤4，具体包括：步骤41，根据网络数据的权值和超图模型，构建网络数据集合对应的第一检测模型；步骤42，根据拉普拉斯正则化函数和代价敏感的经验损失函数，修正第一检测模型，生成第二检测模型；步骤43，采用迭代算法，计算第二检测模型的类型矩阵，当判定第二检测模型收敛时，将类型矩阵记作标签矩阵。

上述任一项技术方案中，进一步地，步骤3，具体包括：步骤31，根据离散值和相似值，计算网络数据的得分；步骤32，根据得分和得分阈值，计算网络数据的权值，权值的计算公式为：

式中，U(O_i)为网络数据O_i对应的权值，TS(O_i)为得分，β为得分阈值。