本申请公开了一种可信度量方法、装置、设备及存储介质,包括:当监测到针对目标工业控制程序的系统调用时,则获取与所述系统调用相关的调用信息,得到系统调用数据;对所述系统调用数据进行预处理,并将预处理后的系统调用数据输入至利用训练集对基于CART算法构建的初始决策树模型进行训练后得到的目标决策树模型中,以便通过所述目标决策树模型构建初始决策树,并对所述初始决策树进行剪枝,得到目标决策树;通过所述目标决策树判断所述目标工业控制程序是否可信。本申请通过基于CART算法构建的目标决策树模型,能够有效地判断工业控制系统运行时的程序是否可信,提高恶意行为识别的准确率,降低可信计算的漏报率和误报率。降低可信计算的漏报率和误报率。降低可信计算的漏报率和误报率。
【技术实现步骤摘要】
一种可信度量方法、装置、设备及存储介质
[0001]本申请涉及计算机
,特别涉及一种可信度量方法、装置、设备及存储介质。
技术介绍
[0002]目前,可信计算(Trusted Computing,TC)技术已经实现了普通计算平台的可信启动,并将信任链传递到了应用程序,进而实现了对应用程序的静态完整性度量,并保证了应用程序的可信启动。
[0003]然而,工业控制系统(ICS,Industrial Control Systems)需要程序运行起来后才能实现其功能,不管是可信行为或不可信行为,都会进行敏感操作。基于特征码的传统恶意程序判定方法不能保证程序运行的是预期的程序并且无法识别恶意程序的具体位置,而目前已有的通过分析敏感操作发生之后的程序行为的动态可信度量方法在应用到工业控制系统时存在可信计算的漏报率和误报率较高的问题。
[0004]综上所述,如何有效地判断工业控制系统运行时的程序是否可信是目前还有待进一步解决的问题。
技术实现思路
[0005]有鉴于此,本申请的目的在于提供一种可信度量方法、装置、设备及存储介质,能够有效地判断工业控制系统运行时的程序是否可信,提高恶意行为识别的准确率,降低可信计算的漏报率和误报率。其具体方案如下:
[0006]第一方面,本申请公开了一种可信度量方法,应用于工业控制系统,包括:
[0007]当监测到针对目标工业控制程序的系统调用时,则获取与所述系统调用相关的调用信息,得到系统调用数据;
[0008]对所述系统调用数据进行预处理,得到预处理后的系统调用数据;
[0009]将所述预处理后的系统调用数据输入至训练后的目标决策树模型中,以便通过所述目标决策树模型构建初始决策树,并对所述初始决策树进行剪枝,得到目标决策树;所述目标决策树模型为利用训练集对基于CART算法构建的初始决策树模型进行训练后得到的模型;
[0010]通过所述目标决策树判断所述目标工业控制程序是否可信。
[0011]可选的,所述可信度量方法,还包括:
[0012]获取历史系统调用时工业控制程序对应的系统调用信息,得到历史系统调用信息;
[0013]对所述历史系统调用信息进行预处理,得到所述训练集;
[0014]将所述训练集输入至基于CART算法构建的所述初始决策树模型中进行训练,得到所述目标决策树模型。
[0015]可选的,所述对所述历史系统调用信息进行预处理,得到所述训练集,包括:
[0016]对所述历史系统调用信息中存在预设问题类型的数据进行预处理,得到所述训练集;所述预设问题类型包括数据缺失、数据噪声、数据冗余、数据集不均衡和数据重复中的任意一种或几种。
[0017]可选的,所述对所述历史系统调用信息进行预处理,得到所述训练集,包括:
[0018]按照预设的系统调用属性对所述历史系统调用信息进行划分,并对每个所述历史系统调用进行赋权,得到加权后的历史系统调用数据;
[0019]利用所述加权后的历史系统调用数据分别计算每个所述系统调用属性的系统调用权值之和,并根据预设的权值与威胁度映射表确定出与所述系统调用权值之和对应的目标威胁度值,并将所述目标威胁度值作为所述训练集。
[0020]可选的,所述将所述训练集输入至基于CART算法构建的所述初始决策树模型中进行训练,得到所述目标决策树模型,包括:
[0021]将所述训练集输入至基于CART算法构建的所述初始决策树模型,以便所述初始决策树模型根据预设的样本分类规则对所述训练集进行划分,得到相应的样本分类结果;
[0022]分别计算所述样本分类结果的基尼系数,得到多个样本基尼系数;
[0023]从所述多个样本基尼系数确定出最小值,并将所述最小值对应的所述系统调用属性作为目标属性;
[0024]利用所述目标属性构建初始样本决策树,并对所述初始样本决策树进行剪枝处理,得到所述目标决策树模型。
[0025]可选的,所述对所述系统调用数据进行预处理,得到预处理后的系统调用数据,包括:
[0026]按照进程控制威胁属性、系统控制威胁属性、内存管理威胁属性和网络管理威胁属性对所述系统调用数据进行划分,得到进程控制威胁属性数据、系统控制威胁属性数据、内存管理威胁属性数据和网络管理威胁属性数据;
[0027]分别对所述进程控制威胁属性、所述系统控制威胁属性、所述内存管理威胁属性和所述网络管理威胁属性赋予权值,得到对应的多个加权后威胁属性;
[0028]利用所述多个加权后威胁属性分别对所述进程控制威胁属性数据、所述系统控制威胁属性数据、所述内存管理威胁属性数据和所述网络管理威胁属性数据进行加权处理,得到对应的加权后的威胁属性数据;
[0029]计算每种所述威胁属性对应的所述加权后的威胁属性数据的权值总和,并根据所述权值与威胁度映射表确定出与所述权值总和对应的目标威胁度属性值;
[0030]相应的,所述将所述预处理后的系统调用数据输入至训练后的目标决策树模型中,包括:
[0031]将所述目标威胁度属性值输入至训练后的目标决策树模型中。
[0032]可选的,所述获取与所述系统调用相关的调用信息,得到系统调用数据之前,还包括:
[0033]通过预设的钩子函数对所述系统调用进行拦截。
[0034]第二方面,本申请公开了一种可信度量装置,应用于工业控制系统,包括:
[0035]数据获取模块,用于当监测到针对目标工业控制程序的系统调用时,则获取与所述系统调用相关的调用信息,得到系统调用数据;
[0036]数据预处理模块,用于对所述系统调用数据进行预处理,得到预处理后的系统调用数据;
[0037]决策树生成模块,用于将所述预处理后的系统调用数据输入至训练后的目标决策树模型中,以便通过所述目标决策树模型构建初始决策树,并对所述初始决策树进行剪枝,得到目标决策树;所述目标决策树模型为利用训练集对基于CART算法构建的初始决策树模型进行训练后得到的模型;
[0038]可信度判断模块,用于通过所述目标决策树判断所述目标工业控制程序是否可信。
[0039]第三方面,本申请公开了一种电子设备,包括处理器和存储器;其中,所述处理器执行所述存储器中保存的计算机程序时实现前述的可信度量方法。
[0040]第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述的可信度量方法。
[0041]可见,本申请当监测到针对目标工业控制程序的系统调用时,则获取与所述系统调用相关的调用信息,得到系统调用数据,然后对所述系统调用数据进行预处理,得到预处理后的系统调用数据,再将所述预处理后的系统调用数据输入至利用训练集对基于CART算法构建的初始决策树模型进行训练后得到的目标决策树模型中,以便通过所述目标决策树模型构建初始决策树,并对所述初始决策树进行剪枝得到目标决策树,通过所述目标决策树便可以判断所本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种可信度量方法,其特征在于,应用于工业控制系统,包括:当监测到针对目标工业控制程序的系统调用时,则获取与所述系统调用相关的调用信息,得到系统调用数据;对所述系统调用数据进行预处理,得到预处理后的系统调用数据;将所述预处理后的系统调用数据输入至训练后的目标决策树模型中,以便通过所述目标决策树模型构建初始决策树,并对所述初始决策树进行剪枝,得到目标决策树;所述目标决策树模型为利用训练集对基于CART算法构建的初始决策树模型进行训练后得到的模型;通过所述目标决策树判断所述目标工业控制程序是否可信。2.根据权利要求1所述的可信度量方法,其特征在于,还包括:获取历史系统调用时工业控制程序对应的系统调用信息,得到历史系统调用信息;对所述历史系统调用信息进行预处理,得到所述训练集;将所述训练集输入至基于CART算法构建的所述初始决策树模型中进行训练,得到所述目标决策树模型。3.根据权利要求2所述的可信度量方法,其特征在于,所述对所述历史系统调用信息进行预处理,得到所述训练集,包括:对所述历史系统调用信息中存在预设问题类型的数据进行预处理,得到所述训练集;所述预设问题类型包括数据缺失、数据噪声、数据冗余、数据集不均衡和数据重复中的任意一种或几种。4.根据权利要求2所述的可信度量方法,其特征在于,所述对所述历史系统调用信息进行预处理,得到所述训练集,包括:按照预设的系统调用属性对所述历史系统调用信息进行划分,并对每个所述历史系统调用进行赋权,得到加权后的历史系统调用数据;利用所述加权后的历史系统调用数据分别计算每个所述系统调用属性的系统调用权值之和,并根据预设的权值与威胁度映射表确定出与所述系统调用权值之和对应的目标威胁度值,并将所述目标威胁度值作为所述训练集。5.根据权利要求4所述的可信度量方法,其特征在于,所述将所述训练集输入至基于CART算法构建的所述初始决策树模型中进行训练,得到所述目标决策树模型,包括:将所述训练集输入至基于CART算法构建的所述初始决策树模型,以便所述初始决策树模型根据预设的样本分类规则对所述训练集进行划分,得到相应的样本分类结果;分别计算所述样本分类结果的基尼系数,得到多个样本基尼系数;从所述多个样本基尼系数确定出最小值,并将所述最小值对应的所述系统调用属性作为目标属性;利用所述目标属性构建初始样本决策树,并对所述初始样本决策树进行剪...
【专利技术属性】
技术研发人员:何少鹏,刘奋民,洪波,成贤娟,
申请(专利权)人:杭州和利时自动化有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。