面向海量工控网络日志数据的异常事件挖掘方法及系统技术方案

本发明专利技术涉及面向海量工控网络日志数据的异常事件挖掘方法及系统，其特征在于，包括以下步骤：S1：根据历史日志信息，建立专业语料库；S2：构建异常事件挖掘模型，并将语料库输入所述异常事件挖掘模型训练；S3：将上文日志数据输入训练好的异常事件挖掘模型，并输出预测结果；S4：将所述预测结果与下文日志数据进行比较，得到异常事件挖掘结果。本发明专利技术所提供的面向海量工控网络日志数据的异常事件挖掘方法及系统，能够对工控网络的日志信息进行解析，从而建立一个专业语料库，并将该专业语料库作为训练集，训练一个基于长短期记忆神经网络的异常事件挖掘模型，进而能够根据该模型对日志序列进行预测，进而根据预测结果，来判断日志的异常事件。日志的异常事件。日志的异常事件。

【技术实现步骤摘要】
面向海量工控网络日志数据的异常事件挖掘方法及系统


[0001]本专利技术涉及工业控制网络信息
，具体涉及面向海量工控网络日志数据的异常事件挖掘方法及系统。

技术介绍

[0002]工控网络是用于驱动和调控工业设施体系的信息化网络，用于在工业智能化生产中进行各类指令和数据的传输，同时当然也会伴随着产生海量的工控网络日志数据，而工控网络的日志数据记载了工业生产过程中系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。因此对于工控网络的日志数据的监管，对于企业的日常生产网络安全具有十分重要的意义。
[0003]然而，现有工控网络中对于工控网络日志数据的管理审核仍旧非常繁琐，面对海量的日志数据缺乏有效的监控手段，若只是单纯采用将日志信息进行提取识，然后进行别人工审核，不仅产生大量的运算，还增加了管理人员的管理难度。

技术实现思路

[0004]本专利技术提供的面向海量工控网络日志数据的异常事件挖掘方法及系统，能够解决上述过程中的技术问题。
[0005]本专利技术解决上述技术问题的技术方案如下：第一方面，本专利技术提供了面向海量工控网络日志数据的异常事件挖掘方法，包括以下步骤：S1：根据历史日志信息，建立专业语料库；S2：构建异常事件挖掘模型，并将语料库输入所述异常事件挖掘模型训练；S3：将上文日志数据输入训练好的异常事件挖掘模型，并输出预测结果；S4：将所述预测结果与下文日志数据进行比较，得到异常事件挖掘结果。
[0006]在一些实施例中，所述S1包括：S11：提取部分正常历史日志信息；S12：对所述正常历史日志信息中的每一条日志数据进行状态编码；S13：将所述正常历史日志信息的状态编码结果生成专业语料库。
[0007]在一些实施例中，所述S12包括：S121：读取所述正常历史日志信息，并将所述正常历史日志信息转化为状态序列；S122：逐一比较所述状态序列中每一条日志数据的最大公共部分，若所述最大公共部分长度大于所在日志数据长度的一半，将所述最大公共部分作为一类状态，并赋予状态编码；S123：利用状态编码，对所述状态序列中的每一条日志数据进行标记。
[0008]在一些实施例中，所述异常事件挖掘模型为长短期记忆神经网络模型，包括多个
LSTM单元，每个所述LSTM单元的输出门后均设置有全连接层，用于输出对应LSTM单元的时间步输出结果。
[0009]在一些实施例中，所述S3包括：S31：对所述上文日志数据进行状态编码处理；S32：将状态编码处理后的上文日志数据输入所述异常事件挖掘模型，并通过所述异常事件挖掘模型的全连接层输出预测结果。
[0010]在一些实施例中，所述S4中“将所述预测结果与下文日志数据进行比较”包括：S41：比较所述预测结果与所述下文日志数据的差异值，并比较差异值与预设阈值之间的大小关系。
[0011]第二方面，本专利技术还提供了面向海量工控网络日志数据的异常事件挖掘系统，包括，语料库构建模块，用于配置安全策略并生成安全策略配置文件；异常事件挖掘模型训练模块，用于构建异常事件挖掘模型，并将语料库输入所述异常事件挖掘模型训练；异常预测模块，用于将上文日志数据输入训练好的异常事件挖掘模型，并输出预测结果；结果比较模块，用于将所述预测结果与下文日志数据进行比较，得到异常事件挖掘结果。
[0012]在一些实施例中，所述语料库构建模块包括：历史日志信息提取子模块，用于提取部分正常历史日志信息；状态编码子模块，用于对所述正常历史日志信息中的每一条日志数据进行状态编码；语料库生成子模块，用于将所述正常历史日志信息的状态编码结果生成专业语料库。
[0013]在一些实施例中，所述状态编码子模块包括：状态序列转化单元，用于读取所述正常历史日志信息，并将所述正常历史日志信息转化为状态序列；状态编码赋予单元，用于逐一比较所述状态序列中每一条日志数据的最大公共部分，若所述最大公共部分长度大于所在日志数据长度的一半，将所述最大公共部分作为一类状态，并赋予状态编码；日志数据标记单元，用于利用状态编码，对所述状态序列中的每一条日志数据进行标记。
[0014]在一些实施例中，所述异常预测模块包括：数据预处理子模块，用于对所述上文日志数据进行状态编码处理；结果输出子模块，用于将状态编码处理后的上文日志数据输入所述异常事件挖掘模型，并通过所述异常事件挖掘模型的全连接层输出预测结果。
[0015]本申请的有益效果是：本申请提供的面向海量工控网络日志数据的异常事件挖掘方法及系统，能够对工控网络的日志信息进行解析，从而建立一个专业语料库，并将该专业语料库作为训练集，训
练一个基于长短期记忆神经网络的异常事件挖掘模型，进而能够根据该异常事件挖掘模型对日志序列进行预测，进而根据预测结果与预设阈值的比较，来判断日志的异常事件。通过本方法，能够利用少部分的正常历史日志信息数据，建立一个长短期记忆神经网络的异常事件挖掘模型，来对海量的工控网络日志数据异常事件进行挖掘，不仅计算效率高，其预测准确率也能够得到保障。
附图说明
[0016]图1为本申请的面向海量工控网络日志数据的异常事件挖掘方法流程图；图2为本申请步骤S1的子流程图；图3为本申请步骤S12的子流程图；图4为本申请步骤S3的子流程图；图5为本申请步骤S4的子流程图。
具体实施方式
[0017]以下结合附图对本专利技术的原理和特征进行描述，所举实例只用于解释本专利技术，并非用于限定本专利技术的范围。
[0018]为了能够更清楚地理解本申请的上述目的、特征和优点，下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是，所描述的实施例是本公开的一部分实施例，而不是全部的实施例。此处所描述的具体实施例仅仅用于解释本公开，而非对本申请的限定。基于所描述的本申请的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本申请保护的范围。
[0019]需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
[0020]图1为本申请的面向海量工控网络日志数据的异常事件挖掘方法流程图。
[0021]面向海量工控网络日志数据的异常事件挖掘方法流程图，结合图1，包括以下步骤：S1：根据历史日志信息，建立专业语料库；在一些实施例中，结合图2，即本方案步骤S1的子流程图，所述步骤S1包括：S11：提取部分正常历史日志信息；S12：对所述正常历史日志信息中的每一条日志数据进行状态编码；S13：将所述正常历史日志信息的状态编码结果生成专业语料库。
[0022]在一些实施例中，结合图3，基本方案步骤S12的子流程图，所述S12包括：S121：读取所述正常历史日志信息，并将所述正常历史日志信息转化为状态序列；S122：逐一比较所述状态序列中每一条日志数据的最大公共部分，若所述最大公本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.面向海量工控网络日志数据的异常事件挖掘方法，其特征在于，包括以下步骤：S1：根据历史日志信息，建立专业语料库；S2：构建异常事件挖掘模型，并将语料库输入所述异常事件挖掘模型训练；S3：将上文日志数据输入训练好的异常事件挖掘模型，并输出预测结果；S4：将所述预测结果与下文日志数据进行比较，得到异常事件挖掘结果。2.根据权利要求1所述的面向海量工控网络日志数据的异常事件挖掘方法，其特征在于，所述S1包括：S11：提取部分正常历史日志信息；S12：对所述正常历史日志信息中的每一条日志数据进行状态编码；S13：将所述正常历史日志信息的状态编码结果生成专业语料库。3.根据权利要求2所述的面向海量工控网络日志数据的异常事件挖掘方法，其特征在于，所述S12包括：S121：读取所述正常历史日志信息，并将所述正常历史日志信息转化为状态序列；S122：逐一比较所述状态序列中每一条日志数据的最大公共部分，若所述最大公共部分长度大于所在日志数据长度的一半，将所述最大公共部分作为一类状态，并赋予状态编码；S123：利用状态编码，对所述状态序列中的每一条日志数据进行标记。4.根据权利要求3所述的面向海量工控网络日志数据的异常事件挖掘方法，其特征在于，所述异常事件挖掘模型为长短期记忆神经网络模型，包括多个LSTM单元，每个所述LSTM单元的输出门后均设置有全连接层，用于输出对应LSTM单元的时间步输出结果。5.根据权利要求4所述的面向海量工控网络日志数据的异常事件挖掘方法，其特征在于，所述S3包括：S31：对所述上文日志数据进行状态编码处理；S32：将状态编码处理后的上文日志数据输入所述异常事件挖掘模型，并通过所述异常事件挖掘模型的全连接层输出预测结果。6.根据权利要求5所述的面向海量工控网络日志数据的异常事件挖掘方法，其特征在于，所述S4中“将所述预测结...

【专利技术属性】
技术研发人员：周磊，姜双林，韩洋，
申请(专利权)人：北京安帝科技有限公司，
类型：发明
国别省市：