识别监控信息系统应用的方法及装置制造方法及图纸

本公开是关于一种识别监控信息系统应用的方法及装置，其中所述方法包括获取网络中的数据包；提取所述数据包中的多个流量特征值；根据所述多个流量特征值建立特征值向量；对所述特征值向量进行聚类处理以形成多个向量簇；以及通过确定所述多个向量簇中数据密集度最高的向量簇来识别所述监控信息系统应用。其识别准确度高，并且属于一种通用识别方法，适用于采用任意网络协议的监控信息系统。

Method and device for identifying application of monitoring information system

This disclosure is a method and a device for identifying and monitoring information system application, wherein the method comprises the steps of obtaining network packets; extracting a plurality of flow characteristics in the data packet; according to the plurality of flow characteristic values establish feature vector; the feature vector cluster to the formation of multiple vector clusters; and by determining the data intensive multiple vectors in the cluster cluster with the highest degree vector to identify the monitoring information system application. The utility model has the advantages of high recognition accuracy, and belongs to a general identification method and is suitable for monitoring information system using any network protocol.

【技术实现步骤摘要】
识别监控信息系统应用的方法及装置
本公开涉及网络安全领域，尤其涉及识别监控信息系统应用的方法及装置。
技术介绍
监控信息系统，例如厂级监控信息系统，主要为发电厂全厂的实时生产过程提供综合优化服务，其能够实现整个电厂范围内信息共享和全厂生产过程的实时信息监控。监控信息系统的应用对电厂效率提升有显著作用，为了有效保障监控信息系统的运行，安全审计产品必不可少，在行业内，提供监控信息系统的厂家非常多，如何有效识别监控信息系统应用，成为了关键。相关技术中，主要有两种方式来实现对监控信息系统应用的识别。一种方式是采用三层协议及四层端口的方式来唯一确定一个应用，这种方式不适合私有协议，仅适合公开协议。另一种方式通过分析数据流内容，提取唯一性的特征码来标记应用，这种方式误识别率相对较高，容易造成误报，并且投入大，需要保持更新。
技术实现思路
为克服相关技术中存在的问题，本公开提供一种识别监控信息系统应用的方法及装置。根据本公开实施例的第一方面，提供一种识别监控信息系统应用的方法，所述方法可以包括：获取网络中的数据包；提取所述数据包中的多个流量特征值；根据所述多个流量特征值建立特征值向量；对所述特征值向量进行聚类处理以形成多个向量簇；以及通过确定所述多个向量簇中数据密集度最高的向量簇来识别所述监控信息系统应用。可选地，所述对所述特征值向量进行聚类处理以形成多个向量簇包括：根据所述特征值向量来生成聚类特征；以及对所述聚类特征进行所述聚类处理以形成所述多个向量簇。可选地，所述根据所述特征值向量来生成所述聚类特征包括使用以下公式来生成所述聚类特征：其中，表示所述聚类特征，N表示所述特征值向量的元素个数，di表示所述向量中第i个元素的值。可选地，所述对所述聚类特征进行所述聚类处理以形成所述多个向量簇包括：根据所述聚类特征之间的距离来对所述聚类特征进行所述聚类处理以形成所述多个向量簇。可选地，所述方法还包括：在形成新的聚类特征之后，根据该新的聚类特征与所述多个向量簇的每一个向量簇的簇中心的距离来确定该新的聚类特征所属的向量簇。可选地，所述获取网络中的数据包包括：利用网络探针来获取所述网络中的所述数据包。可选地，所述多个流量特征值至少包括：目的MAC地址、目的IP地址、传输协议以及目的端口。可选地，所述多个流量特征值还包括以下中的至少一者：源MAC地址、源IP地址、源端口以及数据包净荷长度。根据本公开实施例的第二方面，提供一种识别监控信息系统的应用的装置，该装置包括：获取单元，用于获取所述网络中的数据包；提取单元，用于提取所述数据包中的多个流量特征值；建立单元，用于根据所述多个流量特征值建立特征值向量；聚类单元，用于对所述向量进行聚类处理以形成多个向量簇；以及识别单元，用于通过确定所述多个向量簇中数据密集度最高的向量簇来识别所述监控信息系统应用。可选地，所述聚类单元用于：根据所述特征值向量来生成聚类特征；以及对所述聚类特征进行所述聚类处理以形成所述多个向量簇。本公开的实施例提供的技术方案可以包括以下有益效果：能够有效识别出监控信息系统应用的关键流量，从而为流量保证业务提供基础识别服务并且能够防止一些病毒因占有大量宽带而影响监控信息系统运行。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。附图说明此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本专利技术的实施例，并与说明书一起用于解释本专利技术的原理。图1是根据一示例性实施例示出的一种识别监控信息系统应用的方法的流程图；图2是BIRCH算法进行聚类的聚类结果示意图；图3是根据又一示例性实施例示出的一种识别监控信息系统应用的方法的流程图；以及图4是根据一示例性实施例示出的一种识别监控信息系统应用的装置的框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本专利技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本专利技术的一些方面相一致的装置和方法的例子。图1是根据一示例性实施例示出的一种识别监控信息系统应用的方法的流程图，所述监控信息系统例如可以电厂监控信息系统。如图1所示，识别监控信息系统应用的方法可以包括以下步骤。在步骤S11中，获取网络中的数据包。可选地，可以利用网络探针来获取网络中的数据包。在步骤S12中，提取所述数据包中的多个流量特征值。可选地，可以根据网络中数据流特点设置需要提取的流量特征值。例如，所提取的流量特征值至少可以包括目的MAC地址、目的IP地址、传输协议以及目的端口。除此之外，所提取的流量特征值还可以进一步包括：源MAC地址、源IP地址、源端口以及数据包净荷长度。在步骤S13中，根据所述多个流量特征值建立特征值向量。例如，可以将所提取数据包中的多个流量特征值直接组合成特征值向量。在步骤S14中，对所述特征值向量进行聚类处理以形成多个向量簇。对网络中的每一个数据包均执行步骤S11至步骤S13的处理，这样针对每一个数据包均可以形成一特征值向量，对所形成的这些特征值向量进行聚类处理后可以形成多个向量簇。例如可以使用BIRCH(BalancedIterativeReducingandClusteringusingHierarchies，利用层次方法的平衡迭代规约和聚类)聚类算法来对步骤S13中所建立的特征值向量进行聚类处理，但是本专利技术实施例并不限制于此，也可以使用任意的其它聚类算法对所述特征值向量进行聚类处理。BIRCH算法是通过CF-Tree(ClusterFeature-Tree，聚类特征树)来实现的，其包括以下两个执行过程：(1)生成聚类特征，聚类特征定义如下：CF＝<n,LS,SS>，其中聚类特征CF为一个3维向量，n为需要聚类的数据点总数，LS为n个数据点的线性和，SS为n个数据点的平方和。(2)执行CF聚类。得到CF聚类特征后，通过一个类似于B-树的算法进行聚类，其中B-树算法属于一种公开算法，这里将不再进行介绍。聚类后可以得到类似于图2所示的聚类结果，图2中第一层为聚类树的根节点，第二层为中间节点，第三层为叶节点，叶节点为对应的聚类结果，图2的示意图中，CF90…CF94为一类，而CF95…CF99为另外一类。在步骤S15中，通过确定所述多个向量簇中数据密集度最高的向量簇来识别所述监控信息系统应用。例如，可以通过统计所形成的多个向量簇中每个向量簇的元素个数来确定数据密集度最高的向量簇。监控信息系统正常运行时，网络中60％至95％以上的流量都是监控信息系统的流量，对应于这些监控信息系统的流量的数据包在所提取的流量特征值上具有非常好的相似性，经过上述步骤S11至步骤S15，相似性很好的数据包可以被聚类在同一个向量簇中，这样，数据密集度最高的向量簇所代表的数据包就对应于监控信息系统的流量，从而实现识别监控信息系统应用的目的。通过采用上述技术方案，能够有效识别出监控信息系统应用的关键流量，从而为流量保证业务提供基础识别服务并且能够防止一些病毒因占有大量宽带而影响监控信息系统运行。在一示例性实施例中，所述对所述特征值向量进行聚类处理以形成多个向量簇可以本文档来自技高网...

【技术保护点】
一种识别监控信息系统应用的方法，其特征在于，所述方法包括：获取网络中的数据包；提取所述数据包中的多个流量特征值；根据所述多个流量特征值建立特征值向量；对所述特征值向量进行聚类处理以形成多个向量簇；以及通过确定所述多个向量簇中数据密集度最高的向量簇来识别所述监控信息系统应用。

【技术特征摘要】
1.一种识别监控信息系统应用的方法，其特征在于，所述方法包括：获取网络中的数据包；提取所述数据包中的多个流量特征值；根据所述多个流量特征值建立特征值向量；对所述特征值向量进行聚类处理以形成多个向量簇；以及通过确定所述多个向量簇中数据密集度最高的向量簇来识别所述监控信息系统应用。2.根据权利要求1所述的方法，其特征在于，所述对所述特征值向量进行聚类处理以形成多个向量簇包括：根据所述特征值向量来生成聚类特征；以及对所述聚类特征进行所述聚类处理以形成所述多个向量簇。3.根据权利要求2所述的方法，其特征在于，所述根据所述特征值向量来生成所述聚类特征包括使用以下公式来生成所述聚类特征：其中，表示所述聚类特征，N表示所述特征值向量的元素个数，di表示所述向量中第i个元素的值。4.根据权利要求2或3所述的方法，其特征在于，所述对所述聚类特征进行所述聚类处理以形成所述多个向量簇包括：根据所述聚类特征之间的距离来对所述聚类特征进行所述聚类处理以形成所述多个向量簇。5.根据权利要求1所述的方法，其特...

【专利技术属性】
技术研发人员：肖海涛，陈庶樵，
申请(专利权)人：北京匡恩网络科技有限责任公司，
类型：发明
国别省市：北京,11