本申请实施例提供了一种网络访问行为检测方法及装置,该方法包括在检测到访问工业控制系统的任一网络访问请求时,获取针对网络访问请求的具有多个特征属性的网络访问行为数据包,对具有多个特征属性的网络访问行为数据包进行特征选择,确定出至少一个特征属性满足设定要求的网络访问行为数据,通过异常行为检测模型,对至少一个特征属性满足设定要求的网络访问行为数据进行处理,确定出网络访问请求的网络访问行为类型,根据网络访问请求的网络访问行为类型,确定是否允许网络访问请求。如此,该方案通过基于距离度量所构造出的异常行为检测模型能够及时准确地检测出异常网络访问行为,从而可以有效地提高网络访问行为检测的性能。的性能。的性能。
【技术实现步骤摘要】
一种网络访问行为检测方法及装置
[0001]本申请实施例涉及网络安全
,尤其涉及一种网络访问行为检测方法及装置。
技术介绍
[0002]随着工业自动化的不断发展,通用信息系统与工业控制系统通过网络连接在一起进行数据交互,以此实现工业数据采集、远程监控和集中管理。这种方式在提高企业生产效率、降低管理成本的同时,也改变了工业控制系统“安全孤岛”的状态,使原本因相对封闭而缺乏网络安全防护措施的工业控制系统网络面临着来自外部网络的威胁。因此,入侵检测系统作为网络安全的防线,可以用来监测和分析网络访问行为,近年来被广泛研究和应用。
[0003]现阶段,通常基于误用的检测方法和基于异常的检测方法来进行入侵检测。即,基于误用的检测方法是通过获取处于攻击状态下的系统信息,对攻击信息进行分析,从中提取入侵行为特征模型,并将该特征模型与待检测系统的特征进行比较,若特征匹配则认为系统发生入侵行为。虽然该方法对已知类型的攻击行为检测率较高,但存在对新型的未知攻击则检测能力较弱的问题。此外,基于异常的检测方法则是通过获取工控系统处于正常运行状态下的信息,并对信息加以分析,从中提取正常活动状态下的系统特征模型,并将其与待检测的系统特征进行一一比较,如若不符合正常特征模型,则认为系统已发生入侵,但存在虚警率较高且结果缺乏可解释性的问题。
[0004]综上,目前亟需一种网络访问行为检测方法,用以有效地提高网络访问行为检测的性能。
技术实现思路
[0005]本申请实施例提供了一种网络访问行为检测方法及装置,用以有效地提高网络访问行为检测的性能。
[0006]第一方面,本申请实施例提供了一种网络访问行为检测方法,包括:
[0007]在检测到访问工业控制系统的任一网络访问请求时,获取针对所述网络访问请求的具有多个特征属性的网络访问行为数据包;
[0008]对所述具有多个特征属性的网络访问行为数据包进行特征选择,确定出至少一个特征属性满足设定要求的网络访问行为数据;
[0009]通过异常行为检测模型,对所述至少一个特征属性满足设定要求的网络访问行为数据进行处理,确定出所述网络访问请求的网络访问行为类型;所述异常行为检测模型是基于标注网络访问行为类型的历史网络访问行为样本集的距离度量确定的;
[0010]根据所述网络访问请求的网络访问行为类型,确定是否允许所述网络访问请求。
[0011]上述技术方案中,由于针对工业控制系统中的正常网络访问行为与异常网络访问行为往往没有明确地界限,因此导致由该工业控制系统所产生的数据中包含部分区分度不明显的数据,使得该工业控制系统针对入侵网络访问行为的检测性能较低。针对于此,本申
请中的技术方案在检测到访问工业控制系统的任一网络访问请求时,即可获取针对网络访问请求的具有多个特征属性的网络访问行为数据包,并对该具有多个特征属性的网络访问行为数据包进行特征选择,即可确定出至少一个特征属性满足设定要求的网络访问行为数据。再通过异常行为检测模型,对该至少一个特征属性满足设定要求的网络访问行为数据进行处理,即可及时准确地确定出网络访问请求的网络访问行为类型。然后,通过网络访问请求的网络访问行为类型,即可确定是否允许该网络访问请求。如此,该方案通过基于标注网络访问行为类型的历史网络访问行为样本集的距离度量所构造出的异常行为检测模型能够及时准确地检测出异常网络访问行为,从而可以有效地提高针对访问工业控制系统的网络访问行为检测的性能。
[0012]在一种可能的实现方式中,所述对所述具有多个特征属性的网络访问行为数据包进行特征选择,确定出至少一个特征属性满足设定要求的网络访问行为数据,包括:
[0013]通过设定的特征选择算法,对所述具有多个特征属性的网络访问行为数据包进行处理,确定出多个特征属性各自对应的特征值;
[0014]针对每个特征属性,若所述特征属性对应的特征值大于等于特征阈值,则将所述特征属性的网络访问行为数据确定为用于输入至所述异常行为检测模型的网络访问行为数据。
[0015]上述技术方案中,通过设定的特征选择算法,可以筛选出与网络访问行为类型关联度较高的至少一个网络访问行为数据,并通过该至少一个网络访问行为数据,能够更为准确地识别出网络访问请求的网络访问行为类型。如此,该方案可以筛选掉无用的网络访问行为数据,也即是可以筛除对确定网络访问行为类型的影响度较小的网络访问行为数据,以此可以降低异常行为检测模型所需处理的网络访问行为数据的数量,从而可以提高网络访问行为类型的识别效率。
[0016]在一种可能的实现方式中,在对所述具有多个特征属性的网络访问行为数据包进行特征选择之前,还包括:
[0017]对所述具有多个特征属性的网络访问行为数据包中的各网络访问行为数据进行转换处理,得到转换后的各网络访问行为数据;
[0018]对所述转换后的各网络访问行为数据进行归一化处理,得到归一化后的各网络访问行为数据。
[0019]上述技术方案中,由于各网络访问行为数据所属的各特征属性因取值范围不同,会存在量纲影响,因此通过针对各网络访问行为数据进行归一化处理,可以便于后续异常行为检测模型对网络访问行为数据进行处理,从而可以提高网络访问行为类型的识别准确性。
[0020]在一种可能的实现方式中,基于标注网络访问行为类型的历史网络访问行为样本集的距离度量确定所述异常行为检测模型,包括:
[0021]通过网络访问行为类型属于正常网络访问行为的标准网络访问行为样本和网络访问行为类型属于异常网络访问行为的标准网络访问行为样本,构建初始的异常行为检测模型;
[0022]针对历史网络访问行为样本集中的每个网络访问行为样本,将所述网络访问行为样本输入至所述初始的异常行为检测模型,确定出所述网络访问行为样本的预测网络访问
行为类型;
[0023]通过所述网络访问行为样本的预测网络访问行为类型和所述网络访问行为样本的标注网络访问行为类型,调整所述初始的异常行为检测模型,直至满足设定条件,得到所述异常行为检测模型。
[0024]在一种可能的实现方式中,所述将所述网络访问行为样本输入至所述初始的异常行为检测模型,确定出所述网络访问行为样本的预测网络访问行为类型,包括:
[0025]确定所述网络访问行为样本与所述正常网络访问行为的标准网络访问行为样本的第一距离度量,并确定所述网络访问行为样本与异常网络访问行为的标准网络访问行为样本的第二距离度量;
[0026]确定所述第一距离度量是否小于等于所述第二距离度量;
[0027]若是,则确定所述网络访问行为样本的预测网络访问行为类型为正常网络访问行为,否则确定所述网络访问行为样本的预测网络访问行为类型为异常网络访问行为。
[0028]上述技术方案中,通过引入距离度量,来训练得到异常行为检测模型,可以使得异常行为检测模型能够更为准确地识别出某一网络访问请求的网络访问行为类型。
[0029]在一种可能的实现方式中,距离度量用本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络访问行为检测方法,其特征在于,包括:在检测到访问工业控制系统的任一网络访问请求时,获取针对所述网络访问请求的具有多个特征属性的网络访问行为数据包;对所述具有多个特征属性的网络访问行为数据包进行特征选择,确定出至少一个特征属性满足设定要求的网络访问行为数据;通过异常行为检测模型,对所述至少一个特征属性满足设定要求的网络访问行为数据进行处理,确定出所述网络访问请求的网络访问行为类型;所述异常行为检测模型是基于标注网络访问行为类型的历史网络访问行为样本集的距离度量确定的;根据所述网络访问请求的网络访问行为类型,确定是否允许所述网络访问请求。2.如权利要求1所述的方法,其特征在于,所述对所述具有多个特征属性的网络访问行为数据包进行特征选择,确定出至少一个特征属性满足设定要求的网络访问行为数据,包括:通过设定的特征选择算法,对所述具有多个特征属性的网络访问行为数据包进行处理,确定出多个特征属性各自对应的特征值;针对每个特征属性,若所述特征属性对应的特征值大于等于特征阈值,则将所述特征属性的网络访问行为数据确定为用于输入至所述异常行为检测模型的网络访问行为数据。3.如权利要求1所述的方法,其特征在于,在对所述具有多个特征属性的网络访问行为数据包进行特征选择之前,还包括:对所述具有多个特征属性的网络访问行为数据包中的各网络访问行为数据进行转换处理,得到转换后的各网络访问行为数据;对所述转换后的各网络访问行为数据进行归一化处理,得到归一化后的各网络访问行为数据。4.如权利要求1所述的方法,其特征在于,基于标注网络访问行为类型的历史网络访问行为样本集的距离度量确定所述异常行为检测模型,包括:通过网络访问行为类型属于正常网络访问行为的标准网络访问行为样本和网络访问行为类型属于异常网络访问行为的标准网络访问行为样本,构建初始的异常行为检测模型;针对历史网络访问行为样本集中的每个网络访问行为样本,将所述网络访问行为样本输入至所述初始的异常行为检测模型,确定出所述网络访问行为样本的预测网络访问行为类型;通过所述网络访问行为样本的预测网络访问行为类型和所述网络访问行为样本的标注网络访问行为类型,调整所述初始的异常行为检测模型,直至满足设定条件,得到所述异常行为检测模型。5.如权利要求4所述的方法,其特征...
【专利技术属性】
技术研发人员:谢加良,王鸿辉,刘雅茹,
申请(专利权)人:集美大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。