【技术实现步骤摘要】
一种确定异常数据的方法、电子设备及存储介质
[0001]本申请涉及数据处理领域,尤其涉及一种确定异常数据的方法、电子设备及存储介质。
技术介绍
[0002]IEC104是一种广泛应用于电力工控等领域的通讯协议。能够用于主控设备(如上位机等)和被控设备(如采样器或可编程逻辑控制器等)之间的通讯。二者进行通讯时可以采用长连接进行报文的发送,如S帧报文、U帧报文和I帧报文等。而一次长连接中的通讯过程称为一次session会话。
[0003]现在有很多恶意攻击者,会通过中间人攻击等方式对工控系统的入侵,从而破坏工控系统的正常运行。但这种攻击方式很难通过例如杀毒软件的方式进行识别,所以亟需一种可以通过对报文进行识别检测异常的方法。
技术实现思路
[0004]有鉴于此,本申请提供一种确定异常数据的方法、电子设备及存储介质,至少部分解决现有技术中存在的问题。
[0005]在本申请的一方面,提供一种确定异常数据的方法,包括以下步骤:
[0006]S100,获取待处理会话的待处理会话数据集;所述待处理会...
【技术保护点】
【技术特征摘要】
1.一种确定异常数据的方法,其特征在于,包括以下步骤:S100,获取待处理会话的待处理会话数据集;所述待处理会话数据集中包括属于同一会话的若干S帧报文、U帧报文和I帧报文;每一I帧报文包括其对应的数据类型;S200,对所述待处理会话数据集进行第一特征提取处理,得到所述待处理会话的待处理会话向量A=(NumS,NumU,NumI,NumF1,NumF2,
…
,NumFi,
…
,NumFn),i=1,2,
…
,n;其中,n为预设的数据类型的数量,NumS为所述待处理会话数据集中S帧报文的数量,NumU为所述待处理会话数据集中U帧报文的数量,NumI为所述待处理会话数据集中I帧报文的数量,NumFi为待处理会话数据集中第i种数据类型的I帧的数量;S300,确定A与预设的标准正常会话向量B之间的第一匹配度P1,以及A与预设的标准异常会话向量C之间的第二匹配度P2;其中,B为根据历史正常会话数据集列表中的若干历史正常会话数据集对应的历史正常会话向量得到的,历史正常会话向量为通过对其对应的历史正常会话数据集进行第一特征提取处理得到的;C为根据历史异常会话数据集列表中的若干历史异常会话数据集对应的历史异常会话向量得到的,历史异常会话向量为通过对其对应的历史异常会话数据集进行第一特征提取处理得到的;S400,根据P1和P2,确定所述待处理会话是否为正常会话,若是,则进入步骤S500,否则,进入步骤S600;S500,使用所述待处理会话数据集替换历史正常会话数据集列表中任一历史正常会话数据集,并根据替换后的历史正常会话数据集列表更新B;S600,将所述待处理会话数据集作为历史异常会话数据集添加进历史异常会话数据集列表内,并根据添加后的历史异常会话数据集列表更新C。2.根据权利要求1所述的确定异常数据的方法,其特征在于,B与A的特征维度数量相同,C与A的特征维度数量相同;所述步骤S300,包括:S310,获取A与预设的标准正常会话向量B之间的第一匹配度其中,m=n+3,TAj为A中第j个特征维度的特征值,TBj为B中第j个特征维度的特征值;S320,获取A与预设的标准异常会话向量C之间的第二匹配度其中,TCj为C中第j个特征维度的特征值。3.根据权利要求2所述的确定异常数据的方法,其特征在于,所述步骤S400,包括:S410,若P1<P2,则确定所述待处理会话为正常会话;否则,确定所述待处理会话为异常会话。4.根据权利要求3所述的确定异常数据的方法,其特征在于,B与C通过以下步骤得到:S010,获取若干历史正常会话数据集和若干历史异常会话数据集;S020,分别对每一历史正常会话数据集进行第一特征提取处理,得到历史正常会话...
【专利技术属性】
技术研发人员:李峰,孙瑞勇,宋衍龙,程志忠,王玉红,
申请(专利权)人:山东云天安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。