一种加密流量的行为识别方法、装置及电子设备制造方法及图纸

本申请提供了一种加密流量的行为识别方法、装置及电子设备，其中，该方法包括获取从工控系统使用的工业通讯网络中所采集到的目标流量数据；对目标流量数据进行分割和过滤预处理，以获取多个加密流量样本；针对每个加密流量样本，将该加密流量样本转换为该加密流量样本对应的整型特征值向量；将多个加密流量样本对应的整形特性向量输入预先训练好的加密流量行为识别模型，以输出每个加密流量样本对应的行为识别结果，行为识别结果用于指示加密流量样本中的加密流量在工控系统中对应实现的控制意图，提高了加密流量识别技术的精确性。提高了加密流量识别技术的精确性。提高了加密流量识别技术的精确性。

【技术实现步骤摘要】
一种加密流量的行为识别方法、装置及电子设备


[0001]本申请涉及流量分析
，具体而言，涉及一种加密流量的行为识别方法、装置及电子设备。

技术介绍

[0002]现有工控系统流量分析研究主要针对的是明文协议下的非加密流量，然而随着工控安全问题日益严重，许多工控网络协议逐渐支持加密，加密流量在工控网络流量中占比越来越高，这使得传统流量分析技术逐渐失效。目前针对加密流量的识别技术仍处在不成熟阶段，需要依赖开发人员的经验知识，为不同任务的流量搭建不同平台，费时费力且识别效果不佳。

技术实现思路

[0003]有鉴于此，本申请的目的在于提供一种加密流量的行为方法、装置及电子设备，以提高加密流量识别技术的精确性。
[0004]第一方面，本申请提供了一种加密流量的行为识别方法，方法包括：获取从工控系统使用的工业通讯网络中所采集到的目标流量数据；对目标流量数据进行分割和过滤预处理，以获取多个加密流量样本；针对每个加密流量样本，将该加密流量样本转换为该加密流量样本对应的整型特征值向量；将多个加密流量样本对应的整形特性向量输入预先训练好的加密流量行为识别模型，以输出每个加密流量样本对应的行为识别结果，行为识别结果用于指示加密流量样本中的加密流量在工控系统中对应实现的控制意图。
[0005]优选的，通过以下方式对目标流量数据进行分割和过滤预处理：确定目标流量数据中每个数据包的源端口号和目的端口号；针对每个数据包，根据该数据包的源端口号或目的端口号，确定该数据包为异常数据包或正常数据包；针对每个正常数据包，按照预设窗口长度对该正常数据包中的数据进行切割，以生成多个流量样本；针对每个流量样本，去除该流量样本中的明文字段，以生成加密流量样本。
[0006]优选的，加密流量行为识别模型包括嵌入层、编码层、解码层、重构层和分类层，嵌入层的输入作为加密流量行为识别模型的输入，嵌入层的输出与编码层的输入连接，编码层的输出分别与解码层的输入以及分类层的输入连接，解码层的输出分别与嵌入层的输入以及分类层的输入连接，分类层的输出段作为加密流量行为识别模型的输出。
[0007]优选的，编码层包括第一多头注意力单元、多个残差连接与归一化单元和第一前馈单元，其中，第一多头注意力单元的输入与第一残差连接与归一化单元的输入共同作为编码层的输入，第一多头注意力单元的输出与第一残差连接与归一化单元的输入连接，第一残差连接与归一化单元的输出分别与第一前馈单元的输入以及第二残差连接与归一化单元的输入连接，第一前馈单元的输出与第二残差连接与归一化单元的输入连接，第二残差连接与归一化单元的输出作为编码层的输出。
[0008]优选的，第一多头注意力单元通过以下方式对嵌入层输出的每个加密流量样本对
应的嵌入特征向量进行处理：针对每个加密流量样本，根据该加密流量样本对应的嵌入特征向量与目标第一参数矩阵的乘积，计算出目标查询矩阵，根据该加密流量样本对应的嵌入特征向量与目标第二参数矩阵的乘积，计算出目标键矩阵，根据该加密流量样本对应的嵌入特征向量与目标第三参数矩阵的乘积，计算出目标值矩阵；针对每个加密流量样本，根据目标查询矩阵、目标键矩阵以及目标值矩阵，确定该加密流量样本对应的单头注意力输出；针对每个加密流量样本，根据所有单体注意力输出和第四参数矩阵，作为第一多头注意力单元所输出的该加密流量样本对应的拼接特征向量。
[0009]优选的，解码层包括掩码注意力单元、第二多头注意力单元、多个残差连接与归一化单元和第二前馈单元，其中，掩码注意力单元的输出与第三残差连接与归一化单元的输入连接，第三残差连接与归一化单元的输出分别与第二多头注意力单元的输入以及第四残差连接与归一化单元的输入连接，第二多头注意力单元的输入还与编码层的输出连接，第二多头注意力单元的输出与第四残差连接与归一化单元的输入连接，第四残差连接与归一化单元的输出分别与第二前馈单元的输入以及第五残差连接与归一化单元的输入连接，第二前馈单元的输出与第五残差连接与归一化单元的输入连接，第五残差连接与归一化单元的输出与掩码注意力单元和第三残差连接与归一化单元的输入连接，并作为解码层的输出。
[0010]优选的，针对每个加密流量样本，通过以下方式确定该加密流量样本对应的整型特征值向量：将加密流量样本切割为多个加密流量子样本，每个加密流量子样本的大小为8比特；针对每个加密流量子样本，合并为大小在预设范围内的一个整型值；根据所有整型值，构建该加密流量样本对应的整型特征值向量。
[0011]第二方面，本申请提供了一种加密流量的行为识别方装置，装置包括：
[0012]获取模块，用于获取从工控系统使用的工业通讯网络中所采集到的目标流量数据；
[0013]预处理模块，用于对目标流量数据进行分割和过滤预处理，以获取多个加密流量样本；
[0014]转换模块，用于针对每个加密流量样本，将该加密流量样本转换为该加密流量样本对应的整型特征值向量；
[0015]识别模块，用于将多个加密流量样本对应的整形特性向量输入预先训练好的加密流量行为识别模型，以输出每个加密流量样本对应的行为识别结果，行为识别结果用于指示加密流量样本中的加密流量在工控系统中对应实现的控制意图。
[0016]优选的，预处理模块具体用于：确定目标流量数据中每个数据包的源端口号和目的端口号；针对每个数据包，根据该数据包的源端口号或目的端口号，确定该数据包为异常数据包或正常数据包；针对每个正常数据包，按照预设窗口长度对该正常数据包中的数据进行切割，以生成多个流量样本；针对每个流量样本，去除该流量样本中的明文字段，以生成加密流量样本。
[0017]优选的，加密流量行为识别模型包括嵌入层、编码层、解码层、重构层和分类层，嵌入层的输入作为加密流量行为识别模型的输入，嵌入层的输出与编码层的输入连接，编码层的输出分别与解码层的输入以及分类层的输入连接，解码层的输出分别与嵌入层的输入以及分类层的输入连接，分类层的输出段作为加密流量行为识别模型的输出。
[0018]优选的，编码层包括第一多头注意力单元、多个残差连接与归一化单元和第一前馈单元，其中，第一多头注意力单元的输入与第一残差连接与归一化单元的输入共同作为编码层的输入，第一多头注意力单元的输出与第一残差连接与归一化单元的输入连接，第一残差连接与归一化单元的输出分别与第一前馈单元的输入以及第二残差连接与归一化单元的输入连接，第一前馈单元的输出与第二残差连接与归一化单元的输入连接，第二残差连接与归一化单元的输出作为编码层的输出。
[0019]优选的，第一多头注意力单元通过以下方式对嵌入层输出的每个加密流量样本对应的嵌入特征向量进行处理：针对每个加密流量样本，根据该加密流量样本对应的嵌入特征向量与目标第一参数矩阵的乘积，计算出目标查询矩阵，根据该加密流量样本对应的嵌入特征向量与目标第二参数矩阵的乘积，计算出目标键矩阵，根据该加密流量样本对应的嵌入特征向量与目标第三参数矩阵的乘积，计算出目标值矩阵；针对每个加密流量样本，根据目标查询矩阵、目标键矩阵以本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种加密流量的行为识别方法，其特征在于，所述方法包括：获取从工控系统使用的工业通讯网络中所采集到的目标流量数据；对所述目标流量数据进行分割和过滤预处理，以获取多个加密流量样本；针对每个加密流量样本，将该加密流量样本转换为该加密流量样本对应的整型特征值向量；将多个加密流量样本对应的整形特性向量输入预先训练好的加密流量行为识别模型，以输出每个加密流量样本对应的行为识别结果，所述行为识别结果用于指示加密流量样本中的加密流量在工控系统中对应实现的控制意图。2.根据权利要求1所述的方法，其特征在于，通过以下方式对所述目标流量数据进行分割和过滤预处理：确定目标流量数据中每个数据包的源端口号和目的端口号；针对每个数据包，根据该数据包的源端口号或目的端口号，确定该数据包为异常数据包或正常数据包；针对每个正常数据包，按照预设窗口长度对该正常数据包中的数据进行切割，以生成多个流量样本；针对每个流量样本，去除该流量样本中的明文字段，以生成加密流量样本。3.根据权利要求2所述的方法，其特征在于，所述加密流量行为识别模型包括嵌入层、编码层、解码层、重构层和分类层，所述嵌入层的输入作为所述加密流量行为识别模型的输入，所述嵌入层的输出与所述编码层的输入连接，所述编码层的输出分别与所述解码层的输入以及所述分类层的输入连接，所述解码层的输出分别与所述嵌入层的输入以及分类层的输入连接，所述分类层的输出段作为所述加密流量行为识别模型的输出。4.根据权利要求3所述的方法，其特征在于，所述编码层包括第一多头注意力单元、多个残差连接与归一化单元和第一前馈单元，其中，所述第一多头注意力单元的输入与第一残差连接与归一化单元的输入共同作为所述编码层的输入，所述第一多头注意力单元的输出与第一残差连接与归一化单元的输入连接，所述第一残差连接与归一化单元的输出分别与所述第一前馈单元的输入以及第二残差连接与归一化单元的输入连接，所述第一前馈单元的输出与第二残差连接与归一化单元的输入连接，所述第二残差连接与归一化单元的输出作为所述编码层的输出。5.根据权利要求4所述的方法，其特征在于，所述第一多头注意力单元通过以下方式对嵌入层输出的每个加密流量样本对应的嵌入特征向量进行处理：针对每个加密流量样本，根据该加密流量样本对应的嵌入特征向量与目标第一参数矩阵的乘积，计算出目标查询矩阵，根据该加密流量样本对应的嵌入特征向量与目标第二参数矩阵的乘积，计算出目标键矩阵，根据该加密流量样本对应的嵌入特征向量与目标第三参数矩阵的乘积，计算出目标值矩阵；针对每个加密流量样本，根据所述目标查询矩阵、目标键矩阵以及目标值矩阵，确定该加密流量样本对应的单头注意力输出；针对每个加密流量样本，根据所有单体注意力输出和第四参数矩阵，作为所述第一多头注意力单元所输出的该加密流量样本对应的拼接特征向量。6.根据权利要求3所述的方法，其特征在于，所述解码层包括掩码注意力单元、第二多
头注意力单元、多个残差连接与归一化单元和第二前馈单元，其中，所述掩码注意力单元的输出与第三残差连接与归一化单元的输入连接，所述第三残差连接与归一化单元的输出分别与所述第二多头注意力单元的输入以及第四残差连接与归一化单元的输入连接，所述第二多头注意力单元的输入还与所述编码层的输出连接，所述第二多头注意力单元的输出与第四残差连接与归一化单元的输入连接，第四残差连接与归一化单元的输出分别与第二前馈单元的输入以及第五残差连接与归一化单元的输入连接，所述第二前馈单元的输出与第五残差连接与归一化单元的输入连接，第五残差连接与归一化单元的输出与所述掩码注意力单元和第三残差连接与归一化单元的输入连接，并作为所述解码层的输出。7.根据权利要求1所述的方法，其特征在于，针对每个加密流量样本，通过以下方式确定该加密流量样本对应的整型特征值向量：将加密流量样本切割为多个加密流量子样本，每个加密流量子样本的大小为8比特；针对每个加密流量子样本，合并为大小在预设范围内的一个整型值；根据所有整型值，构建该加密流量样本对应的整型特征值向量。8.一种加密流量的行为识别方装置，其特征在于，所述装置包括：获取模块，用于获取从工控系统使用的工业通讯网络中所采集到的目标流量数据；预处理模块，用于对所述目标流量数据进行分割和过滤预处理，以获取多个加密流量样本；转换模...

【专利技术属性】
技术研发人员：付笑，李致成，周小明，董伟，胡博，赵云飞，冯志，高凯，刘颖，李仕奇，张雅勤，孟贵民，兰培霖，赵云泽，吕乐乐，盖欣钰，蒋彦钊，刘文超，夏泽虹，
申请(专利权)人：国网辽宁省电力有限公司信息通信分公司国网辽宁省电力有限公司大连供电公司，
类型：发明
国别省市：