[发明专利]一种通过报文确定异常会话的方法、电子设备及存储介质

说明书

本申请一种通过报文确定异常会话的方法、电子设备及存储介质，包括：对每一历史会话的历史会话数据集进行第一特征提取处理，得到历史会话特征矩阵LT；根据LT，获取XG1，XG2，XG3；根据XG1，XG2，XG3，获取特征权重列表W；对待处理会话的待处理会话数据集进行第一特征提取处理，得到所述待处理会话的待处理会话向量A；根据W确定A对应的会话特征值VA，以根据VA确定所述待处理会话是否为异常会话。本申请通过A与W确定出A对应的会话特征值VA，使得可以通过VA的大小确定待处理回话是否为异常会话，从而实现了根据会话对应的报文确定出会话是否为异常会话。

背景技术

IEC104是一种广泛应用于电力工控等领域的通讯协议。能够用于主控设备(如上位机等)和被控设备(如采样器或可编程逻辑控制器等)之间的通讯。二者进行通讯时可以采用长连接进行报文的发送，如S帧报文、U帧报文和I帧报文等。而一次长连接中的通讯过程称为一次session会话。

现在有很多恶意攻击者，会通过中间人攻击等方式对工控系统的入侵，从而破坏工控系统的正常运行。但这种攻击方式很难通过例如杀毒软件的方式进行识别，所以亟需一种可以通过对报文进行识别检测异常的方法。

发明内容

有鉴于此，本申请提供一种通过报文确定异常会话的方法、电子设备及存储介质，至少部分解决现有技术中存在的问题。

在本申请的一方面，提供一种通过报文确定异常会话的方法，包括：

S100，对每一历史会话的历史会话数据集进行第一特征提取处理，得到历史会话特征矩阵LT；其中，每一所述历史会话数据集中包括属于同一历史会话的若干S帧报文、U帧报文和I帧报文，每一I帧报文包括其对应的数据类型；TL的第j行用于表示第j个历史会话数据集的特征值，j＝1，2，…，m；m为所述历史会话数据集的数量；TL的第y列用于表示历史会话数据集的第y个特征维度，y＝1，2，…，x；x为历史会话数据集对应的特征维度的数量，x＝n+3，n为预设的数据类型的数量；TL的第j行为(Num1j，Num2j，Num3j，NumFj1，NumFj2，…，NumFji，…，NumFjn)，i＝1，2，…，n；Num1j为第j个历史会话数据集中S帧报文的数量，Num2j为第j个历史会话数据集中U帧报文的数量，Num3j为第j个历史会话数据集中I帧报文的数量，NumFji为第j个历史会话数据集中第i种数据类型的I帧的数量。

S200，根据LT，获取XG1，XG2，XG3；XG1为S帧报文的数量对应的相关度列表，XG2为U帧报文的数量对应的相关度列表，XG3为I帧报文的数量对应的相关度列表。

其中，XG1＝(XG11，XG12，…，XG1i，…，XG1n)，XG1i为S帧报文的数量与第i个数据类型之间的相关度；XG2＝(XG21，XG22，…，XG2i，…，XG2n)，XG2i为U帧报文的数量与第i个数据类型之间的相关度；XG3＝(XG31，XG32，…，XG3i，…，XG3n)，XG3i为I帧报文的数量与第i个数据类型之间的相关度；所述相关度符合以下条件：

其中，XGyq为XGy中第q-3个相关度，用于表示XGy对应的报文类型与第q-3个数据类型之间的相关度；Ky为TL中的第y列，Ky＝(Ky1，Ky2，…，Kyj，…，Kym)，Kyj为TL中第y列第j行的特征值，Kq为TL中的第q列，Kq＝(Kq1，Kq2，…，Kqj，…，Kqm)，Kqj为TL中第q列第j行的特征值，avg()为预设的均值确定函数。

S300，根据XG1，XG2，XG3，获取特征权重列表W＝(W1，W2，…，Wy，…，Wx)；其中，Wy为历史会话数据集的第y个特征维度的特征权重；特征权重符合以下条件：

S400，对待处理会话的待处理会话数据集进行第一特征提取处理，得到所述待处理会话的待处理会话向量A。