[发明专利]一种工业网络入侵检测的大数据分析的方法

权利要求书

1.一种工业网络入侵检测的大数据分析的方法，其特征在于，所述方法，包括如下步骤：

(1)解析；

(2)融合；

(3)检测；

(4)预诊断；

(5)反解析；

所述解析，将来自结构化和非结构化源的原始数据转化为定量特征；

所述融合，将不同数据源的特征组合成一个数据流；

所述检测，及时发现异常；

所述预诊断，发现与异常相关的特征，通过单变量平方法：来研判，因此，在D-st和/或Q-st图中检测到异常，然后用该单变量平方法进行预诊断，输出是一个1×M向量，其中每个元素包含对应特征、d²表示单变量平方法(Univariate-Squared US)、x_n为特征、D-st表示D统计量、Q-st表示Q统计量；

所述反解析，利用检测和预诊断信息，识别与异常相关的原始数据记录，提取与异常攻击相关联的原始信息中的特定日志，并提交给工业网络事件响应小组CIRT，其完整的反解析过程，由算法1来实现，并包括如下步骤：

(Ⅰ)首先，输入步骤(3)的检测和步骤(4)的预诊断，包括步骤(3)检测的异常发生的时间戳T，该时间戳T的日志L、步骤(4)预诊断的与异常相关的特征F，以及要匹配的特征数的阈值N，并将输出R清空；

(Ⅱ)其次，算法遍历不同数据源对应的所有输入文件，查找给定时间戳T中发生的数据记录，并获得所述时间戳T的日志L；

(Ⅲ)然后，算法遍历L中的所有日志行，并分配一个名为fscore的分数，日志行的fscore是该日志行中出现的预诊断特征F的数目，并根据该fscore对日志行按重要性进行排序；

(Ⅳ)最后，提取与异常攻击相关联的原始信息中的特定日志，并输出到R，在每次迭代中，算法提取fscore等于N的所有日志行，其中N初始化为F中的特征数，这样，首先提取包含所有特征F的日志行，如果日志行的数目不超过阈值，则特征N的数目减少一个，并且重复该过程，对每个数据源执行此操作，直到达到阈值或N达到0；

所述与异常相关的原始数据记录，与异常相关的原始日志，是异常的根本原因，并能够实现异常攻击过程的“回放”。