买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：山东云天安全技术有限公司

摘要：本申请涉及网络安全测试技术领域，特别是涉及一种工控网络中异常设备的确定方法、装置、介质和设备。该方法包括：获取目标设备在目标时间窗口内的数据大小标识序列NU表；获取目标设备在目标时间窗口内的第一设备标识序列NH1和第二设备标识序列NH2；将NU分别输入预训练第一HMM模型和预训练第二HMM模型，以得到对应的第一预测设备标识序列YNH1和第二预测设备标识序列YNH2；根据NH1、NH2、YNH1和YNH2，得到目标匹配度PN；若小于预设目标匹配度阈值，则确定目标设备为异常设备。本申请从设备组之间和组内设备之间的流量特征变化情况两个维度综合判断目标设备的状态，得到的目标设备的状态更精准。

主权项：1.一种工控网络中异常设备的确定方法，其特征在于，所述方法包括：S100，获取目标设备在目标时间窗口内的数据大小标识序列NU=NU1，NU2，...，NUg，...，NUh；g=1，2，...，h；其中，h为目标设备在目标时间窗口内发出的流量包的数量；NUg为目标设备在目标时间窗口内发出的第g个流量包的数据大小标识；NUg∈D；D为目标设备所在工控网络对应的数据大小标识序列表；S200，获取目标设备在目标时间窗口内的第一设备标识序列NH1=NH11，NH12，...，NH1g，...，NH1h，和第二设备标识序列NH2=NH21，NH22，...，NH2g，...，NH2h；NH1g为第g个流量包的接收设备对应的设备组标识；NH1g∈Z，Z为目标设备所在工控网络对应的第一设备标识序列表；NH2g为第g个流量包的接收设备对应的设备标识；NH2g∈E；E为目标设备所在工控网络对应的第二设备标识序列表；S300，将NU分别输入预训练第一HMM模型和预训练第二HMM模型，以得到对应的第一预测设备标识序列YNH1=YNH11，YNH12，...，YNH1g，...，YNH1h；和第二预测设备标识序列YNH2=YNH21，YNH22，...，YNH2g，...，YNH2h；其中，YNH1g为NH1g对应的预测设备组标识；YNH2g为NH2g对应的预测设备标识；预训练第一HMM模型是根据以目标时间窗口为长度的目标设备确定为正常设备时对应的历史数据大小标识序列和历史第一设备标识序列训练得到的；预训练第二HMM模型是根据以目标时间窗口为长度的目标设备确定为正常设备时对应的历史数据大小标识序列和历史第二设备标识序列训练得到的；S400，根据NH1、NH2、YNH1和YNH2，得到目标匹配度PN；S500，若PN小于预设目标匹配度阈值，则确定目标设备为异常设备。

全文数据：

权利要求：

百度查询： 山东云天安全技术有限公司 工控网络中异常设备的确定方法、装置、介质和设备