[发明专利]一种基于模糊匹配的工控网络入侵智能感知方法有效
| 申请号: | 202110048287.5 | 申请日: | 2021-01-14 |
| 公开(公告)号: | CN112910841B | 公开(公告)日: | 2022-11-29 |
| 发明(设计)人: | 吴裔;郭乃网;田英杰 | 申请(专利权)人: | 国网上海市电力公司;华东电力试验研究院有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;G06F16/901;G06F16/903;G06F16/9038;G06N7/02 |
| 代理公司: | 上海信好专利代理事务所(普通合伙) 31249 | 代理人: | 朱成之;周荣芳 |
| 地址: | 200126 上*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 模糊 匹配 网络 入侵 智能 感知 方法 | ||
本发明公开了一种基于模糊匹配的工控网络入侵智能感知方法,包含:S1、构建模拟网络环境E;S2、构建网络攻击特征库B的哈希索引H;S3、在模拟网络环境E中重放网络攻击集合A中的每个网络攻击,提取并记录各个网络攻击对应的特征向量;S4、步骤S3所得的各个网络攻击对应的特征向量集合于特征向量集S中,构建特征向量集S的前缀索引树T;S5、模糊查询所述前缀索引树T,判断待检流量x是否为网络攻击流量。其优点是:该方法通过构建网络攻击特征库的索引,然后在索引基础上执行模糊查询来判断待检流量的特征向量是否与已知攻击流量的特征向量近似,从而提升对已知网络攻击的同族或变种的检出能力。
技术领域
本发明涉及电力信息通信领域,尤其涉及一种基于模糊匹配的工控网络入侵智能感知方法。
背景技术
随着电力物联网建设的推进,大量使用互联网通信协议的设备挂网运行,网络拓扑的复杂化和网络边界的模糊化使得安全防护形势日趋严峻。目前,误用检测方法在关键信息基础设施中运用广泛,该类方法首先构建已知网络攻击流量的特征库,接着通过模式匹配查询特征库中是否与待检流量匹配的记录,最后返回查询得到的匹配结果。与异常检测方法相比,误用检测方法的优点在于对已知网络攻击的检出率和误检率较佳,但是对未知网络攻击的检测能力较差。
网络攻击流量数据属于时间序列数据。近年来,以机器学习为代表的误用检测方法在网络攻击流量特征挖掘方面取得了一定研究进展和应用成效,能够借助门控单元、自注意力机制等技术提取网络攻击流量中的全局攻击特征和局部攻击特征。机器学习模型的能力主要依赖于样本学习,对于未知网络攻击流量特征的挖掘能力有待提升。此外,基于机器学习算法的二分类判定模型在部署使用过程中依然存在执行速率慢的问题。
发明内容
本发明的目的在于提供一种基于模糊匹配的工控网络入侵智能感知方法,该方法首先构建网络攻击特征库的索引,然后在索引的基础上执行模糊查询来判断待检流量的特征向量是否与已知攻击流量的特征向量近似,从而提升对已知网络攻击的同族或变种的检出能力。
为了达到上述目的,本发明通过以下技术方案实现:
一种基于模糊匹配的工控网络入侵智能感知方法,包含:
S1、构建模拟网络环境E;
S2、构建网络攻击特征库B的哈希索引H;
S3、基于所述网络攻击特征库B的哈希索引H,在模拟网络环境E中重放网络攻击集合A中的每个网络攻击,提取并记录各个网络攻击对应的特征向量si;
S4、步骤S3所得的各个网络攻击对应的特征向量si集合于特征向量集S中,构建特征向量集S的前缀索引树T;
S5、模糊查询所述前缀索引树T,判断待检流量x是否为网络攻击流量。
可选的,所述步骤S3中,提取网络攻击集合A中第i个网络攻击ai的特征向量si包含:
S31、在模拟网络环境E中重放网络攻击ai,得到其对应的网络攻击流量fi;
S32、从左向右提取网络攻击流量fi中的流量特征,并在网络攻击特征库B的哈希索引H中查询是否有与之匹配的流量特征,将查询结果记录在特征向量si={si1,si2,...,sir}中,sij为网络攻击流量fi与网络攻击特征库B的哈希索引H的第j个共有的流量特征。
可选的,所述步骤S4中构建的特征向量集S的前缀索引树T跨度为1。
可选的,所述步骤S5包含:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国网上海市电力公司;华东电力试验研究院有限公司,未经国网上海市电力公司;华东电力试验研究院有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110048287.5/2.html,转载请声明来源钻瓜专利网。
