申请/专利权人：南京中新赛克科技有限责任公司

申请日：2021-10-20

公开（公告）日：2024-06-28

公开（公告）号：CN114124834B

主分类号：H04L47/2441

分类号：H04L47/2441;H04L69/22;G06N20/20;G06N20/10

优先权：

专利状态码：有效-授权

法律状态：2024.06.28#授权;2022.03.18#实质审查的生效;2022.03.01#公开

摘要：本发明公开了本发明提供的工业控制网络内对ICMP协议搭建的隐蔽隧道的攻击的集成学习模型检测装置及方法，集成学习模型装置包括工业控制网络安全设备流量抓取与解析系统、数据预处理系统、集成学习训练与检测模块。通过利用流量抓取与解析系统获取数据，构建独特的特征工程并生成结构化数据结果，将结构化数据输入给前期训练数据训练生成的集成学习机器学习模型，获取模型输出的分类结果，实现对工业控制网络中ICMP隐蔽隧道的检测，以解决现有技术中对ICMP隐蔽隧道检测不利的问题。

主权项：1.一种工业控制网络内ICMP隐蔽隧道检测的集成学习装置，其特征在于，包括：工业控制网络安全设备流量抓取与解析系统，用以对工业控制网络内流量数据进行抓取解析，提取相关ICMP协议流量内容，并按协议格式解析相关待分析字段，包括协议类型、源目的、协议载荷内容，生成格式化数据表结构，将数据分发数据预处理系统；数据预处理系统，用以接收分发的ICMP协议流量，提取ICMPecho相关类型数据，对payload字段按指定字节位数分解生成字符串，并按指定分割长度生成列表，构建独特的特征工程并生成结构化数据结果；构建特征工程包括：将过滤后的数据按源IP、目的IP以及单位阈值时间进行分组聚合；使用Levenshtein距离作为文本间距离计算方法，即两个文本之间，由一个转成另一个所需的最少操作次数，每一次操作指替换或删除插入一个字符；对每个特定分组，计算组内payload文本相似度和文本长度的均值和方差；计算每个分组内每个payload报文文本的信息熵的均值和方差；计算每个分组内payload报文文本不同值的个数和组内报文总个数；计算每个分组内payload报文长度的均值和方差；计算每个分组内每个payload报文中文本梯度的均值和方差，计算时所有载荷字符按字节转16进制数，计算每两个16进制数的偏差；集成学习训练模块，用以将正常流量数据类及隐蔽隧道流量类随机混合，按一定比例随机抽取，生成训练集与测试集，使用支持向量机、逻辑回归、多层感知器基分类器按分类误差最小化作为目标，使用交叉熵损失函数，不断迭代优化模型结构参数，即训练模型并使用集成学习进行模型融合，提高分类器性能，最终生成可供隐蔽隧道检测使用的集成学习机器学习模型；将结构化数据结果调入集成学习机器学习模型获取模型输出的分类结果。

全文数据：

权利要求：

百度查询： 南京中新赛克科技有限责任公司 一种工业控制网络内ICMP隐蔽隧道检测的集成学习装置及方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD