一种异常数据列表的确定方法、电子设备及存储介质技术

本发明专利技术提供了一种异常数据列表的确定方法、电子设备及存储介质，涉及异常数据列表检测领域，所述方法包括以下步骤：获取w个目标设备在预设时间段内发送的所有的目标数据，以得到每一目标设备对应的至少一个目标数据列表；对各目标设备对应的所有目标数据列表进行特征提取，以得到数据列表特征向量组集H；遍历H

【技术实现步骤摘要】
一种异常数据列表的确定方法、电子设备及存储介质


[0001]本专利技术涉及异常数据列表检测领域，特别是涉及一种异常数据列表的确定方法、电子设备及存储介质。

技术介绍

[0002]目前，工控系统中各种控制设备，如变频器、断路器等，通常是通过相关接入网络的电子设备进行远程控制；由于控制相关工控设备的电子设备接入到网络之中，那么，攻击者则能够利用网络漏洞在电子设备上植入恶意程序，对相关工控设备进行恶意控制；恶意程序运行时会向攻击者的电子设备发送心跳包序列，以保持通讯连接；即使能够获取到恶意程序向攻击者的电子设备发送心跳包序列，由于该心跳包序列与正常的心跳包序列没有区别，因此，无法检测出恶意程序所发送的异常心跳包序列。

技术实现思路

[0003]针对上述技术问题，本专利技术采用的技术方案为：
[0004]根据本申请的第一方面，提供了一种异常数据列表的确定方法，所述方法包括以下步骤：
[0005]S100，获取w个目标设备在预设时间段内发送的所有的目标数据，以得到每一目标设备对应的至少一个目标数据列表；各目标设备为工控系统中的用于处理相同事件的同类型的电子设备；任一目标数据的数据大小均小于预设阈值，且同一目标数据列表内相邻两个目标数据的数据发送时间的时间间隔属于预设时间范围内；
[0006]S110，对各目标设备对应的所有目标数据列表进行特征提取，以得到数据列表特征向量组集H＝(H1,H2,
…
,H
v
,
…
,H
w
)，v＝1,2,
…
,w；其中，H
v
为第v个目标设备对应的数据列表特征向量组；H
v
＝(H
v,1
,H
v,2
,
…
,H
v,v1
,
…
,H
v,y(v)
)，v1＝1,2,
…
,y(v)；H
v,v1
为第v个目标设备对应的第v1个目标数据列表的数据列表特征向量，y(v)为第v个目标设备对应的目标数据列表的数量；
[0007]S120，遍历H
v
，若H
v,v1
与H中除H
v
外的任意数据列表特征向量组不符合第一预设匹配条件，则将H
v,v1
对应的目标数据列表确定为第v个目标设备的异常目标数据列表。
[0008]根据本申请的另一方面，还提供了一种非瞬时性计算机可读存储介质，存储介质中存储有至少一条指令或至少一段程序，至少一条指令或至少一段程序由处理器加载并执行以实现上述异常数据列表的确定方法。
[0009]根据本申请的另一方面，还提供了一种电子设备，包括处理器和上述非瞬时性计算机可读存储介质。
[0010]本专利技术至少具有以下有益效果：
[0011]本专利技术的异常数据列表的确定方法，正常情况下，同一工控系统中多个用于处理相同事件的同类型的目标设备上所安装的应用软件及各应用软件所发送的目标数据列表，即心跳包序列的特征向量是相同的；而如果某一待检测目标数据列表为正常的目标数据列
表，那么，该正常目标数据列表的数据列表特征向量应当能够与每一目标设备所发送的目标数据列表的数据列表特征向量均能够匹配；否则，可判断待检测目标数据列表为对应的目标设备发送的异常目标数据列表；因此，本申请能够通过对比各目标设备发送的目标数据列表的数据列表特征向量，来达到确定出异常目标数据列表的目的。
附图说明
[0012]为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0013]图1为本专利技术实施例提供的异常数据列表的确定方法的流程图；
[0014]图2为本专利技术实施例提供的异常数据列表的确定方法的应用场景图；
[0015]图3为本专利技术实施例提供的一种电子设备的结构图。
具体实施方式
[0016]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0017]需要说明的是，下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见，本文中所描述的方面可体现于广泛多种形式中，且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开，所属领域的技术人员应了解，本文中所描述的一个方面可与任何其它方面独立地实施，且可以各种方式组合这些方面中的两者或两者以上。举例来说，可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外，可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
[0018]参见图1，为本实施例提供的异常数据列表的确定方法的流程图，所述方法包括以下步骤：
[0019]S100，获取w个目标设备在预设时间段内发送的所有的目标数据，以得到每一目标设备对应的至少一个目标数据列表；各目标设备为工控系统中的用于处理相同事件的同类型的电子设备；任一目标数据的数据大小均小于预设阈值，且同一目标数据列表内相邻两个目标数据的数据发送时间的时间间隔属于预设时间范围内。
[0020]本实施例中，目标数据列表为目标设备所发送的心跳包序列，工控系统中的用于处理相同事件的同类型的电子设备上所安装的应用软件是相同的，在应用软件运行时会发送对应的有若干目标数据构成的目标数据列表；目标数据列表内的目标数据的数据大小一般较小，例如，目标数据的数据大小小于1KB，且同一目标数据列表内的相邻两个目标数据的数据发送时间的时间间隔理论上是相等的，但是，由于网络存在波动和延迟，导致相邻两个目标数据的数据发送时间的时间间隔不是完全相等的，存在一定的误差，该误差较小；目标数据列表具有若干较为固定的特征，例如，目标数据的数据大小、相邻两个目标数据的数
据发送时间的时间间隔、目标数据的长度以及目标数据的字段数等，根据以上特征，能够获取到目标设备在预设时间段内，例如24小时内发送的所有的目标数据列表。
[0021]S110，对各目标设备对应的所有目标数据列表进行特征提取，以得到数据列表特征向量组集H＝(H1,H2,
…
,H
v
,
…
,H
w
)，v＝1,2,
…
,w；其中，H
v
为第v个目标设备对应的数据列表特征向量组；H
v
＝(H
v,1
,H
v,2
,
…
,H
v,v1
,
...

【技术保护点】

【技术特征摘要】
1.一种异常数据列表的确定方法，其特征在于，所述方法包括以下步骤：S100，获取w个目标设备在预设时间段内发送的所有的目标数据，以得到每一目标设备对应的至少一个目标数据列表；各目标设备为工控系统中的用于处理相同事件的同类型的电子设备；任一目标数据的数据大小均小于预设阈值，且同一目标数据列表内相邻两个目标数据的数据发送时间的时间间隔属于预设时间范围内；S110，对各目标设备对应的所有目标数据列表进行特征提取，以得到数据列表特征向量组集H＝(H1,H2,
…
,H
v
,
…
,H
w
)，v＝1,2,
…
,w；其中，H
v
为第v个目标设备对应的数据列表特征向量组；H
v
＝(H
v,1
,H
v,2
,
…
,H
v,v1
,
…
,H
v,y(v)
)，v1＝1,2,
…
,y(v)；H
v,v1
为第v个目标设备对应的第v1个目标数据列表的数据列表特征向量，y(v)为第v个目标设备对应的目标数据列表的数量；S120，遍历H
v
，若H
v,v1
与H中除H
v
外的任意数据列表特征向量组不符合第一预设匹配条件，则将H
v,v1
对应的目标数据列表确定为第v个目标设备的异常目标数据列表。2.根据权利要求1所述的异常数据列表的确定方法，其特征在于，所述数据列表特征向量包括目标数据列表内的目标数据的报文长度、目标数据列表内目标数据的字段数、目标数据列表内各相邻的目标数据发送的时间间隔的均值和目标数据列表内各目标数据的数据大小的均值。3.根据权利要求2所述的异常数据列表的确定方法，其特征在于，所述第一预设匹配条件包括：H
v,v1
与H中除H
v
外的任意数据列表特征向量组中的任意数据列表特征向量对应的目标数据的报文长度相等，目标数据的字段数相等，目标数据发送的时间间隔的均值属于第一预设范围且各目标数据的数据大小的均值属于第二预设范围。4.根据权利要求1所述的异常数据列表的确定方法，其特征在于，所述目标设备为服务器。5.根据权利要求1所述的异常数据列表的确定方法，其特征在于，所述目标数据列表通过以下步骤得到：S200，获取目标设备在目标时间段内发出的所有数据；其中，每条数据包含对应的目的IP地址；S210，根据各条数据的目的IP地址和数据大小对各条数据进行聚类及筛选，以得到第一数据列表集A＝(A1,A2,
…
,A
i
,
…
,A
m
)，i＝1,2,
…
,m；其中，A
i
为第i个第一数据列表，m为第一数据列表的数量；A
i
＝(A
i,1
,A
i,2
,
…
,A
i,h
,
…
,A
i,f(i)
)，h＝1,2,
…
,f(i)；A
i,h
为A
i
中的第h条数据，f(i)为A
i
中数据的条数；A
i
中各条数据的目的IP地址相同且数据大小均小于预设的数据大小阈值；任意两个第一数据列表对应的目的IP地址不同；S220，遍历A，将A
i
中字段数相同的若干条数据划分为同一组，以得到A
i
对应的第二数据列表集A
’
i
＝(A
’
i,1
,A
’
i,2
,
…
,A
’
i,j
,
…
,A
’
i,g(i)
)，j＝1,2,
…
,g(i)；其中，A
’
i,j
为A
i
对应的第j个第二数据列表，g(i)为第二数据列表的数量；A
’
i,j
＝(A
’

【专利技术属性】
技术研发人员：王绍密，靳海燕，胡景，张帅民，杨少飞，
申请(专利权)人：山东溯源安全科技有限公司，
类型：发明
国别省市：