[发明专利]基于电力终端攻击行为特征的攻击建模分析方法

权利要求书

1.一种基于电力终端攻击行为特征的攻击建模分析方法，其特征在于，包括：通过收集典型的电力终端攻击样本，对收集的攻击样本数据进行数据预处理和特征提取，使用分类器对收集到的数据进行训练，构建电力终端攻击样本分类模型进行分析；具体包括以下步骤：

1)收集电力工控系统攻击样本；

2)对异常报文和漏洞攻击样本进行数据清洗；

3)将其放入典型攻击样本；

4)对样本数据做预处理，进行缺失值填充；

5)提取电力工控报文的数据流特征；

6)使用K-means算法对攻击样本进行循环交叉验证以分类；

7)输出分类结果。

2.根据权利要求1所述的一种基于电力终端攻击行为特征的攻击建模分析方法，其特征在于，所述的步骤4)具体为：

步骤4.1：采集电力工控报文的TCP连接基本特征；包括连接持续时间、协议类型、目标主机的网络服务类型、连接状态的标示量、从源主机到目标主机的报文传输字节大小、从目标主机到源主机的报文传输字节大小、错误分段的数量、加急包的个数；

步骤4.2：采集电力工控报文的TCP连接的内容特征；包括访问敏感文件和目录的次数、登录尝试失败的次数、是否成功登录、是否获得“root shell”命令、是否出现“su shell”命令、用户访问次数、文件创建操作的次数、使用shell命令的次数、访问控制文件的次数、一个FTP会话中出站连接的次数；

步骤4.3：对于采集到的电力工控报文的TCP连接基本特征和TCP连接的内容特征进行缺失值填充：

若缺失值特征为类别量，则使用平均值估计对特征进行补全，即将缺失值用该特征数量最多的特征值替代；若缺失值特征为数值变量，则使用线性差值法对特征进行补全，其计算公式为：

式中，y₀和x₀分别为该数据的之前一条记录特征值和对应特征的行数，y₁和x₁分别为该数据的之后一条记录特征值和对应特征的行数。

3.根据权利要求1所述的一种基于电力终端攻击行为特征的攻击建模分析方法，其特征在于，所述的步骤5)具体为：

步骤5.1：计算固定源IP地址到固定目的IP地址中的报文数量；

步骤5.2：计算固定源IP地址到固定目的IP地址中平均连接持续时间；

步骤5.3：计算固定源IP地址到固定目的IP地址中平均源主机到目标主机的数据字节数；

步骤5.4：计算固定源IP地址到固定目的IP地址中平均目标主机到源主机的数据字节数；

步骤5.5：计算固定协议类型的平均连接时间；

步骤5.6：计算固定源IP地址到固定目的IP地址在不同协议下的报文数量；

步骤5.7：计算固定源IP地址到固定目的IP地址在不同协议下的平均源主机到目标主机的数据字节数；

步骤5.8：计算固定源IP地址到固定目的IP地址在不同协议下的平均目标主机到源主机的数据字节数；

步骤5.9：计算固定源IP地址到固定目的IP地址中错误分段的数量；

步骤5.10：计算固定源IP地址到固定目的IP地址在不同协议下的错误分段数量；

步骤5.11：计算固定源IP地址到固定目的IP地址在不同协议下的错误分段平均数；

步骤5.12：计算固定源IP地址到固定目的IP地址下的平均登陆尝试失败的次数；

步骤5.13：计算固定源IP地址到固定目的IP地址下的非guest用户登录次数；

步骤5.14：计算不同目标主机服务类型下的非guest用户登录次数；

步骤5.15：计算固定源IP地址到固定目的IP地址下不同目标主机服务类型下的用户登录成功次数。

4.根据权利要求1所述的一种基于电力终端攻击行为特征的攻击建模分析方法，其特征在于，所述的步骤6)具体为：

步骤6.1：从具有步骤5所提取的p个数值流特征的典型电力攻击样本集中随机选取一些报文作为初始的k个簇的中心μ₁,μ₂,…,μ_k；

步骤6.2：计算每个样本x_i的簇标签：式中，||x_i-μ_j||为欧式距离；而欧式距离||x_i-μ_j||的计算公式为

步骤6.3：所有样本得到簇标签后，更新每个簇中心：其中C_j为第j个簇，n是样本集中报文总数量；

步骤6.4：重复步骤6.2和步骤6.3，直至最小化平方误差E最小：

步骤6.5：输出簇划分C＝{C₁,C₂,C₃,C₄,...C_k}。