申请/专利权人:山东云天安全技术有限公司
申请日:2024-03-14
公开(公告)日:2024-06-14
公开(公告)号:CN118199955A
主分类号:H04L9/40
分类号:H04L9/40;G06F18/22;G06F18/23
优先权:
专利状态码:在审-公开
法律状态:2024.06.14#公开
摘要:本申请涉及网络安全测试技术领域,特别是涉及一种异常通讯设备确定方法、装置、介质和设备。该方法包括:首先获取目标设备所在工控网络的数据大小标识列表D;获取目标设备在目标时间窗口内的数据大小标识序列列表U,和设备标识序列列表H;将U输入预训练HMM模型,以得到U对应的预测设备标识序列列表YH;获取设备标识序列匹配度列表PH;获取PH的设备标识序列匹配度波动值PHB;若PHB大于预设设备标识序列匹配度波动值阈值,则确定目标设备为异常设备。本申请仅利用了目标设备发出的流量包的接收设备和流量包的数据大小等特征,未对目标设备发出的流量包的内容进行分析,基于HMM模型的原理,处理过程更简单,处理效率更高。
主权项:1.一种异常通讯设备确定方法,其特征在于,所述方法包括:S100,获取目标设备所在工控网络的数据大小标识列表D=D1,D2,...,Dp,...,Dq,和设备标识列表T=T1,T2,...,Te,...,Tf,W;其中,p=1,2,...,q;Dp为目标设备所在工控网络在预设时间段内发出的第p个流量包对应的数据大小标识;q为目标设备所在工控网络在预设时间段内发出的流量包的数量;e=1,2,...,f;Te为目标设备所在工控网络内除目标设备外的第e个可通讯设备的设备标识;W为预设的外网设备标识;S200,获取目标设备在目标时间窗口内的数据大小标识序列列表U=U1,U2,...,Ui,...,Un,和设备标识序列列表H=H1,H2,...,Hi,...,Hn;i=1,2,...,n;其中,n为目标时间窗口内连续排布的目标时间段的数量;Ui为第i个目标时间段对应的数据大小标识序列;Ui=Ui1,Ui2,...,Uia,...,Uifi;Uia为目标设备在目标时间窗口内的第i个目标时间段内发出的第a个流量包的数据大小标识;Uia∈D;fi为目标设备在目标时间窗口内的第i个目标时间段内发出的流量包的数量;Hi为第i个目标时间段对应的设备标识序列;Hi=Hi1,Hi2,...,Hia,...,Hifi;Hia为第a个流量包对应的接收设备的设备标识;Hia∈T;S300,将U输入预训练HMM模型,以得到U对应的预测设备标识序列列表YH=YH1,YH2,...,YHi,...,YHn;其中,YHi为Hi对应的预测设备标识序列;YHi=YHi1,YHi2,...,YHia,...,YHifi;YHia为Hia对应的预测设备标识;所述预训练HMM模型是根据以目标时间段为长度的目标设备确定为正常设备时对应的历史数据大小标识序列列表和历史设备标识序列列表训练得到的;S400,根据H与YH,获取设备标识序列匹配度列表PH=PH1,PH2,...,PHi,...,PHn;其中,PHi为Hi与YHi的设备标识序列匹配度;S500,获取PH的设备标识序列匹配度波动值PHB;PHB=∑ni=1PHi-avgPH2;其中:avg为预设的平均值确定函数;S600,若PHB大于预设设备标识序列匹配度波动值阈值,则确定目标设备为异常设备。
全文数据:
权利要求:
百度查询: 山东云天安全技术有限公司 异常通讯设备确定方法、装置、介质和设备
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。