[发明专利]一种工控网络异常会话检测方法,装置,电子设备以及存储介质有效
| 申请号: | 202010416657.1 | 申请日: | 2020-05-18 |
| 公开(公告)号: | CN111343032B | 公开(公告)日: | 2020-09-01 |
| 发明(设计)人: | 周文;成龙;董贵山;郭晓玲;徐砚;任琳琳 | 申请(专利权)人: | 中国航空油料集团有限公司;中国电子科技网络信息安全有限公司 |
| 主分类号: | H04L12/24 | 分类号: | H04L12/24;H04L29/06 |
| 代理公司: | 北京中知法苑知识产权代理有限公司 11226 | 代理人: | 刘敦枫 |
| 地址: | 100088 北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 网络 异常 会话 检测 方法 装置 电子设备 以及 存储 介质 | ||
1.一种工控网络异常会话检测方法,其特征在于,包括以下步骤:
对通过基检测器集合的会话进行检测,得到检测结果向量R,包括:在基检测器集合中,选择召回率最高的基检测器DA;对通过所述基检测器DA的会话进行初步检测,丢弃检测为正常会话的会话,保留检测为异常会话的会话,得到初步检测结果;使得所述初步检测结果并行通过所述基检测器集合中的其他检测器,得到检测结果向量R;
根据所述检测结果向量R,更新疑似源主机列表;
对所述检测结果向量执行集成策略,得到检测结果R0,其中R0∈[0,1];
根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常会话。
2.根据权利要求1所述的工控网络异常会话检测方法,其特征在于,所述对通过基检测器集合的会话进行检测,得到检测结果向量R的步骤之前还包括步骤:
根据模型评价指标体系,从待选基检测器中选择多个异构的基检测器,构造所述基检测器集合。
3.根据权利要求2所述的工控网络异常会话检测方法,其特征在于,所述基检测器集合中包括基于以下检测模型的多种基检测器:基于线性模型的One-Class-SVM,基于聚类的模型,基于树的模型,基于时间序列的模型。
4.根据权利要求2所述的工控网络异常会话检测方法,其特征在于,所述模型评价指标体系包括以下基于参照模型的评价指标中的至少一种:
参照的召回率FPR1,定义为所述参照模型未召回的正样本被所述待选基检测器召回的比例;
参照的虚警率TPR1,定义为所述参照模型未误报的负样本中被所述待选基检测器误报的比例;
参照的曲线下面积AUC1,定义为坐标点 (FPR1,TPR1) 的ROC曲线下面积;
其中,所述正样本为异常会话样本,所述负样本为正常会话样本,所述参照模型为预先选定的标准模型。
5.根据权利要求1所述的工控网络异常会话检测方法,其特征在于,所述集成策略包括以下集成方法中的至少一种:序贯集成,均匀集成,线性集成,模型堆叠集成。
6.根据权利要求1所述的工控网络异常会话检测方法,其特征在于,所述根据所述检测结果向量R,更新疑似源主机列表的步骤包括:
定义滑窗时间和阈值,提取所述检测结果向量R对应的会话的源主机地址;
在所述滑窗时间内,针对来自所述源主机地址第i条会话,计算似然比系数,其中,
根据所述第i条会话的检测结果向量Ri计算所述源主机地址的得分,
定义指标
,
基于序贯检验的基本思想,定义原假设和备择假设,其中表示所述源主机地址为正常主机,表示所述源主机地址为疑似源主机,并定义条件概率
其中,参数,
初始化似然比系数,并计算似然比系数:
当时,
,
当时,
,
所述滑窗时间结束,计算得到似然比系数;
根据所述更新所述疑似源主机列表,包括以下步骤:
定义经验阈值和,其中;
当时,接受备择假设,将所述源主机地址加入所述疑似源主机列表;
当,接受原假设,将所述源主机地址从所述疑似源主机列表删除。
7.根据权利要求1所述的工控网络异常会话检测方法,其特征在于,所述根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常的步骤包括:
设置阈值和,其中;
当时,判断所述会话为异常会话;
当且所述会话的源主机地址在所述疑似源主机列表中时,判断所述会话为异常会话;
否则,判断所述会话为正常会话。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国航空油料集团有限公司;中国电子科技网络信息安全有限公司,未经中国航空油料集团有限公司;中国电子科技网络信息安全有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010416657.1/1.html,转载请声明来源钻瓜专利网。
