CN111506599B - 基于规则匹配和深度学习的工控设备识别方法及*** - Google Patents
基于规则匹配和深度学习的工控设备识别方法及*** Download PDFInfo
- Publication number
- CN111506599B CN111506599B CN202010312484.9A CN202010312484A CN111506599B CN 111506599 B CN111506599 B CN 111506599B CN 202010312484 A CN202010312484 A CN 202010312484A CN 111506599 B CN111506599 B CN 111506599B
- Authority
- CN
- China
- Prior art keywords
- characteristic
- industrial control
- rule
- control equipment
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/215—Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computational Linguistics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于规则匹配和深度学习的工业控制或工控设备识别方法及***,包括下述步骤:获取工控设备特征数据集;获取数据值特征集;进行关键字特征采集、关联特征采集和多协议特征采集,特征库去重后组合构造成规则集;对工控设备特征数据集和规则集进行规则匹配识别,将规则匹配识别成功的特征数据和识别结果设为带标签数据集,匹配失败的设为无标签数据集;将带标签数据集输入到深度学习模型进行迭代训练,设定训练阈值;将无标签数据集输入训练好的深度学习模型进行设备识别,将识别结果进行规则挖掘得到规则分析结果,将规则分析结果添加到规则集中,更新规则集。本发明将深度学习模型训练和规则匹配模型识别相结合,提高了设备识别的准确性。
Description
技术领域
本发明涉及工业控制或工控设备识别技术领域,具体涉及一种基于规则匹配和深度学习的工控设备识别方法及***。
背景技术
随着智能联网设备的迅速发展,越来越多的工控设备向着网络化、智能化的方向发展。网络通信是非常脆弱的,攻击者有可能会伪造成其它联网设备进行通信。攻击溯源技术虽然可以将攻击的路径追溯到源,但是无法映射到特定的设备终端。可以利用设备识别方法,来为设备认证再添加一道锁,在一定程度上提高网络的设备管理能力。从攻击者角度来说,攻击者利用设备识别采集设备情报信息,选定特定设备进行攻击,只有了解攻击者是如何进行设备识别的,才能更好的反识别,防御攻击者。
现有工控设备识别方法主要存在以下缺点:现有的基于规则匹配的方法将已有的特征信息构造成设备特征库,也可以称为指纹库,将特征库中的特征形成规则集,然后通过规则匹配算法进行匹配,选取匹配成功率最高的结果所对应的设备类型作为最终的识别结果,只使用单一来源数据进行规则匹配,形式单一,设备识别具有局限性,设备来源有限,只能看到这个设备的某个角度,无法更好地识别设备;再者,工控设备识别规则少,依靠研究者所拥有的经验知识,对不同的工控设备会由于知识积累程度不同导致设备识别具有偏向性,可能部分设备识别很好,其它设备却识别率低;而且现有工控设备识别方法固定,缺乏更新机制,很难根据不同需求动态调整,选取的规则固定、模型固定,当有新的识别规则被发现后,模型无法自动加入规则信息,只能重新训练新模型;另外,现有基于机器学习的工控设备识别方法并未提出训练数据如何获取,也缺少公开的工控设备数据集,同时,由于不同识别方法对识别特征需求不同,工控设备数据集也很难适用于不同的识别方法。
发明内容
为了克服现有技术存在的缺陷与不足,本发明提供一种基于规则匹配和深度学习的工控设备识别方法及***,本发明将深度学习模型和规则匹配模型相融合,将规则匹配得到的一些带标签数据作为深度学习的输入,可以很好地解决工控设备带标签数据集少的问题,没有标签的数据说明对应的规则可以匹配,使用训练好的深度学习模型进行识别后,训练好的学习模型可以分析无标签数据,找到新的对应规则添加到规则匹配模型中,使得匹配规则持续更新,最终形成一体化设备识别方案,保证模型持续更新,使得整个一体化架构不断完备。
为了达到上述目的,本发明采用以下技术方案:
本发明提供一种基于规则匹配和深度学习的工控设备识别方法,包括下述步骤:
从工控设备源数据中获取每个工控设备对应特征,得到工控设备特征数据集;
在工控设备特征数据集中提取规则匹配特征,得到数据值特征集,所述数据值特征集中的特征值用于关键字特征采集与关联特征采集;
进行关键字特征采集、关联特征采集和多协议特征采集,得到关键字特征库、关联特征库和多协议特征库;
将关键字特征库、关联特征库、多协议特征库进行查重,去重后组合构造成规则集;
对工控设备特征数据集和所述规则集进行规则匹配识别,将规则匹配识别成功的特征数据和识别结果存储,得到带标签数据集,将规则匹配识别失败的特征数据存储,得到无标签数据集;
将带标签数据集输入到深度学习模型进行迭代训练,设定训练阈值;
将无标签数据集输入到训练好的深度学习模型进行设备识别,得到识别结果;
将识别结果进行规则挖掘,输出规则分析结果,将规则分析结果添加到规则集中,更新规则集。
作为优选的技术方案,所述关键字特征采集的具体步骤为:
根据特征从工控设备源数据查询对应的工控设备类型,得到关键字特征库,所述关键字特征库包括设备特征值和设备类型;
从数据值特征集中提取相关特征属性和特征值,查看关键字特征库中是否存在特征值对应的工控设备类型,如果不存在,则从工控设备源数据中根据特征值查询对应的工控设备类型,如果查询成功,则将特征值和对应的工控设备类型存入关键字特征库。
作为优选的技术方案,所述关联特征采集的具体步骤为:
根据已有特征查询其它属性特征,间接得到设备类型,得到关联特征库,所述关联特征库包含特征值和设备类型;
根据已有数据,从数据值特征集中提取相关特征属性和特征值,查看关联特征库中是否存在特征值对应的工控设备类型,如果不存在,从工控设备源数据中根据已有特征值查询对应的关联特征值,添加关联特征,再查询关联特征值对应的工控设备类型,如果查询成功,则将特征值和对应的工控设备类型存入关联特征库。
作为优选的技术方案,所述多协议特征采集的具体步骤为:
给同一目标联网工控设备发送不同协议探测报文,根据响应报文提取特征属性和特征值到多协议特征库;
查看多协议特征库中是否存在特征值对应的工控设备类型,如果存在,则结束采集,如果不存在,则从工控设备源数据中查询特征值对应的工控设备类型;
如果查询成功并且存在两个或多个协议返回的设备类型不相同,则选择最佳设备类型,将特征值和对应的最佳设备类型存入多协议特征库中;
如果查询成功并且每个协议返回的设备类型相同,则将特征值和对应的工控设备类型存入多协议特征库中。
作为优选的技术方案,所述多协议采用Modbus、S7、HTTP或FTP协议中的一种或多种。
作为优选的技术方案,所述最佳设备类型的选择方法为:根据设备类型数量选择最佳设备类型。
作为优选的技术方案,所述规则匹配识别的终止判断条件为:将带标签数据集与无标签数据集组成总数据集,判断无标签数据集占总数据集的比例是否小于设定阈值,如果小于设定阈值,则结束规则匹配识别。
作为优选的技术方案,所述将带标签数据集输入到深度学习模型进行迭代训练,设定训练阈值,具体步骤包括:
将带标签数据集分为训练数据和测试数据,将训练数据输入深度学习模型进行训练,然后输入测试数据进行设备识别,将识别结果和标签进行比对,得到正确率,最后判断迭代次数是否达到设定阈值或者正确率是否达到阈值,如果迭代次数达到设定阈值或者正确率达到阈值,则结束深度学习模型训练。
作为优选的技术方案,所述将规则分析结果添加到规则集中,更新规则集,具体步骤包括:
将深度学习模型识别结果作为规则挖掘的输入,分析经过深度学习模型识别后的无标签数据集;
所述规则分析结果包括已知设备类型新的规则或者未知设备类型新的规则;
判断规则集中是否存在对应特征,如果存在,则结束,否则更新规则集。
本发明还提供一种基于规则匹配和深度学习的工控设备识别***,包括:工控设备特征数据集获取模块、数据值特征集获取模块、特征库采集模块、规则集构造模块、规则匹配识别模块、深度学习模型训练模块、设备识别模块、规则挖掘及规则集更新模块;
所述工控设备特征数据集获取模块用于从工控设备源数据中获取每个工控设备对应特征,得到工控设备特征数据集;
所述数据值特征集获取模块用于在工控设备特征数据集中提取规则匹配特征,得到数据值特征集,所述数据值特征集中的特征值用于关键字特征采集与关联特征采集;
所述特征库采集模块用于进行关键字特征库采集、关联特征库采集和多协议特征库采集;
所述规则集构造模块用于将关键字特征库、关联特征库、多协议特征库进行查重,去重后组合构造成规则集;
所述规则匹配识别模块用于对工控设备特征数据集和所述规则集进行规则匹配识别,将规则匹配识别成功的特征数据和识别结果存储,得到带标签数据集,将规则匹配识别失败的特征数据存储,得到无标签数据集;
所述深度学习模型训练模块用于将带标签数据集输入到深度学习模型进行迭代训练,设定训练阈值;
所述设备识别模块用于将无标签数据集输入训练好的深度学习模型进行设备识别,得到识别结果;
所述规则挖掘及规则集更新模块用于将识别结果进行规则挖掘,输出规则分析结果,将规则分析结果添加到规则集中,更新规则集。
本发明与现有技术相比,具有如下优点和有益效果:
(1)本发明在关键字匹配、关联匹配基础上,进一步融合多协议匹配方法来丰富规则匹配的形式,从多种角度进行分析,能够尽可能更多地识别设备,识别数量更准确,提高设备探测的准确性,同时对设备反识别研究具有推动作用,能够提高设备的隐私性。
(2)本发明将基于关键字匹配、关联匹配、多协议匹配的规则匹配作为设备识别深度学习模型的输入,提供面向设备识别的规则匹配方法,以批量获取多种类型的样本数据,满足样本多样性需求,保持模型持续更新,支持设备识别的动态变化需求,有效提高了设备识别的准确率。
(3)本发明将深度学习模型训练和规则匹配模型识别相结合,融合多种识别来源,支持对多种工控设备的准确识别,通过分析无标签数据及其在深度学习模型中的识别结果,查询新的特征,更新规则集,满足规则匹配模型的持续更新,提高扩展能力。
附图说明
图1为本实施例工控设备识别方法的整体架构图;
图2为本实施例工控设备识别方法的流程示意图;
图3为本实施例多协议特征库采集的流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例
如图1、图2所示,本实施例提供一种基于规则匹配和深度学习的工控设备识别方法,通过规则匹配和深度学习相结合方式训练深度学习模型,更新规则集进行工控设备识别,包括下述步骤:
规则构建过程:
基于工控设备源数据的特征数据提取:从工控设备源数据中读取每个设备对应特征并存储到工控设备特征数据集;
从工控设备特征数据集中提取规则匹配需要的特征并存储到数据值特征集中,数据值特征集中的特征值用于关键字特征采集与关联特征采集;
进行关键字特征采集:根据相关特征从数据源查询对应的工控设备类型,得到包括设备特征值、设备类型的关键字特征库;
在本实施例中,从数据值特征集中提取相关特征值,首先查看关键字特征库中是否存在特征值对应的工控设备类型,如果不存在,则从数据源中根据特征值查询对应的工控设备类型,如果查询成功,则将相关特征值和对应的工控设备类型存入关键字特征库,如果查询失败,则结束;
进行关联特征采集:根据数据值特征集中已有特征查询其它属性特征,进而得到设备类型,得到包含特征值、设备类型的关联特征库;
在本实施例中,根据已有数据,从数据值特征集中提取相关特征属性和特征值,首先查看关联特征库中是否存在特征值对应的工控设备类型,如果不存在,从数据源中根据已有特征值查询对应的关联特征值,添加关联特征,进而再查询关联特征值对应的工控设备类型,如果查询成功,则将相关特征值和对应的工控设备类型存入关联特征库,如果查询失败,则结束;
进行多协议特征采集:发送给同一目标联网工控设备不同协议探测报文,根据响应报文,提取相关特征到多协议特征库;
如图3所示,基于专家知识构造探测报文集合,首先构造协议集合,协议集合包括但不限于工控设备协议Modbus、S7、通用协议HTTP、FTP,向工控设备发送不同协议的探测报文,接收、处理响应报文,针对不同协议提取不同特征属性和值,包括但不限于HTTP协议的标题信息、S7协议的模块型号信息,构成特征集合,首先查看多协议特征库中是否存在特征值对应的工控设备类型,如果存在,则结束,如果不存在,则从数据源中查询特征值对应的工控设备类型,如果查询成功并且如果存在两个或多个协议返回的设备类型不相同,则选择最佳设备类型,选择方法包括但不限于依据设备类型数量选择最佳设备类型,比如根据多个协议的特征值得到的设备类型不同,如果某个设备类型的数量最多,则选择这个设备类型作为最佳设备类型,然后将相关特征值和对应的最佳设备类型存入多协议特征库中,如果查询成功并且每个协议返回的设备类型相同,则将相关特征值和对应的工控设备类型存入多协议特征库中。
将关键字特征库、关联特征库、多协议特征库进行查重,去重后组合构造成规则集;
规则匹配过程:将已有的设备数据提取的特征和构造的规则集进行规则匹配,如果识别成功,规则匹配识别成功的特征数据和识别结果一起存入带标签数据集,这类数据将作为深度学习模型的训练数据集,如果识别失败,规则匹配失败的特征数据存入到无标签数据集中,带标签数据集与无标签数据集一起组成总数据集;
判断无标签数据集占总数据集的比例是否小于阈值,如果小于阈值,则结束规则匹配过程;否则,将带标签数据作为模型训练的训练数据输入到深度学习模型中;
模型训练过程:深度学习模型对训练数据进行训练,不断迭代、改善,最后得到训练好的深度学习模型;
在本实施例中,模型训练使用的数据集为规则匹配输出的带标签数据集,首先将带标签数据集进行分类,分为训练数据和测试数据,取出训练数据进行深度学习模型训练,然后输入测试数据,进行设备识别,将识别结果和标签进行比对,得到正确率,最后判断迭代次数是否达到设定阈值或者正确率是否达到阈值,如果迭代次数达到设定阈值或者正确率达到阈值,则模型训练结束,否则,则改善深度学习模型的结构,进入下一次深度学习模型训练过程中;
将无标签数据集带入训练好的深度学习模型进行设备识别,返回识别结果;
特征挖掘过程:将深度学习模型识别结果作为规则挖掘器的输入,包括对于规则匹配失败的数据集和规则匹配成功的数据集,将识别后的无标签数据集和带标签数据集做对比,分析这些设备数据之间的差异,得到已知设备类型新的规则或者未知设备类型新的规则,更新规则匹配模型。
将规则挖掘器的分析结果,添加到规则集中,更新规则集。
在本实施例中,分析深度学习模型结果中无标签数据中可能存在的和设备类型相关的关键字特征,同一个设备类型某个关键字出现的频率很多,则可以考虑用来匹配的特征,本实施例从两方面分析,分别是工控协议响应报文中包含的关键字和其它协议响应报文中包含的关键字,查询到特征值后,判断规则集中是否存在对应特征,如果存在,则结束,否则更新规则集。
本实施例还提供一种基于规则匹配和深度学习的工控设备识别***,包括:工控设备特征数据集获取模块、数据值特征集获取模块、特征库采集模块、规则集构造模块、规则匹配识别模块、深度学习模型训练模块、设备识别模块、规则挖掘及规则集更新模块;
在本实施例中,工控设备特征数据集获取模块用于从工控设备源数据中获取每个工控设备对应特征,得到工控设备特征数据集;
在本实施例中,数据值特征集获取模块用于在工控设备特征数据集中提取规则匹配特征,得到数据值特征集,数据值特征集中的特征值用于关键字特征采集与关联特征采集;
在本实施例中,特征库采集模块用于进行关键字特征库采集、关联特征库采集和多协议特征库采集;
在本实施例中,规则集构造模块用于将关键字特征库、关联特征库、多协议特征库进行查重,去重后组合构造成规则集;
在本实施例中,规则匹配识别模块用于对工控设备特征数据集和所述规则集进行规则匹配识别,将规则匹配识别成功的特征数据和识别结果存储,得到带标签数据集,将规则匹配识别失败的特征数据存储,得到无标签数据集;
在本实施例中,深度学习模型训练模块用于将带标签数据集输入到深度学习模型进行迭代训练,设定训练阈值;
在本实施例中,设备识别模块用于将无标签数据集输入训练好的深度学习模型进行设备识别,得到识别结果;
在本实施例中,规则挖掘及规则集更新模块用于将识别结果进行规则挖掘,输出规则分析结果,将规则分析结果添加到规则集中,更新规则集。
本实施例融合深度学习模型训练和规则匹配,采用基于规则匹配、迭代更新的深度学习模型训练和规则挖掘的方法进行设备识别,从不同角度进行分析,丰富了规则匹配的形式,尽可能更多的识别设备;并且将训练好的学习模型识别无标签数据,规则挖掘器根据识别结果找到新的规则,添加到规则匹配模型中,提高了规则匹配的扩展能力和适应能力,最终形成一体化设备识别方案。
本实施例将规则匹配得到的带标签数据作为深度学习的输入,可以很好的解决工控带标签数据集少的问题,而且通过基于规则匹配模型的更新,带标签数据集也会不断更新,深度学习训练模型就会学习新的数据集,提高模型识别的准确率。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。
Claims (9)
1.一种基于规则匹配和深度学习的工控设备识别方法,其特征在于,包括下述步骤:
从工控设备源数据中获取每个工控设备对应特征,得到工控设备特征数据集;
在工控设备特征数据集中提取规则匹配特征,得到数据值特征集,所述数据值特征集中的特征值用于关键字特征采集与关联特征采集;
进行关键字特征采集、关联特征采集和多协议特征采集,得到关键字特征库、关联特征库和多协议特征库;
所述关键字特征采集的具体步骤为:
根据特征从工控设备源数据查询对应的工控设备类型,得到关键字特征库,所述关键字特征库包括设备特征值和设备类型;
从数据值特征集中提取相关特征属性和特征值,查看关键字特征库中是否存在特征值对应的工控设备类型,如果不存在,则从工控设备源数据中根据特征值查询对应的工控设备类型,如果查询成功,则将特征值和对应的工控设备类型存入关键字特征库;
将关键字特征库、关联特征库、多协议特征库进行查重,去重后组合构造成规则集;
对工控设备特征数据集和所述规则集进行规则匹配识别,将规则匹配识别成功的特征数据和识别结果存储,得到带标签数据集,将规则匹配识别失败的特征数据存储,得到无标签数据集;
将带标签数据集输入到深度学习模型进行迭代训练,设定训练阈值;
将无标签数据集输入到训练好的深度学习模型进行设备识别,得到识别结果;
将识别结果进行规则挖掘,输出规则分析结果,将规则分析结果添加到规则集中,更新规则集。
2.根据权利要求1所述的基于规则匹配和深度学习的工控设备识别方法,其特征在于,所述关联特征采集的具体步骤为:
根据已有特征查询其它属性特征,间接得到设备类型,得到关联特征库,所述关联特征库包含特征值和设备类型;
根据已有数据,从数据值特征集中提取相关特征属性和特征值,查看关联特征库中是否存在特征值对应的工控设备类型,如果不存在,从工控设备源数据中根据已有特征值查询对应的关联特征值,添加关联特征,再查询关联特征值对应的工控设备类型,如果查询成功,则将特征值和对应的工控设备类型存入关联特征库。
3.根据权利要求1所述的基于规则匹配和深度学习的工控设备识别方法,其特征在于,所述多协议特征采集的具体步骤为:
给同一目标联网工控设备发送不同协议探测报文,根据响应报文提取特征属性和特征值到多协议特征库;
查看多协议特征库中是否存在特征值对应的工控设备类型,如果存在,则结束采集,如果不存在,则从工控设备源数据中查询特征值对应的工控设备类型;
如果查询成功并且存在两个或多个协议返回的设备类型不相同,则选择最佳设备类型,将特征值和对应的最佳设备类型存入多协议特征库中;
如果查询成功并且每个协议返回的设备类型相同,则将特征值和对应的工控设备类型存入多协议特征库中。
4.根据权利要求3所述的基于规则匹配和深度学习的工控设备识别方法,其特征在于,所述多协议采用Modbus、S7、HTTP或FTP协议中的一种或多种。
5.根据权利要求3所述的基于规则匹配和深度学习的工控设备识别方法,其特征在于,所述最佳设备类型的选择方法为:根据设备类型数量选择最佳设备类型。
6.根据权利要求1所述的基于规则匹配和深度学习的工控设备识别方法,其特征在于,所述规则匹配识别的终止判断条件为:将带标签数据集与无标签数据集组成总数据集,判断无标签数据集占总数据集的比例是否小于设定阈值,如果小于设定阈值,则结束规则匹配识别。
7.根据权利要求1所述的基于规则匹配和深度学习的工控设备识别方法,其特征在于,所述将带标签数据集输入到深度学习模型进行迭代训练,设定训练阈值,具体步骤包括:
将带标签数据集分为训练数据和测试数据,将训练数据输入深度学习模型进行训练,然后输入测试数据进行设备识别,将识别结果和标签进行比对,得到正确率,最后判断迭代次数是否达到设定阈值或者正确率是否达到阈值,如果迭代次数达到设定阈值或者正确率达到阈值,则结束深度学习模型训练。
8.根据权利要求1所述的基于规则匹配和深度学习的工控设备识别方法,其特征在于,所述将规则分析结果添加到规则集中,更新规则集,具体步骤包括:
将深度学习模型识别结果作为规则挖掘的输入,分析经过深度学习模型识别后的无标签数据集;
所述规则分析结果包括已知设备类型新的规则或者未知设备类型新的规则;
判断规则集中是否存在对应特征,如果存在,则结束,否则更新规则集。
9.一种基于规则匹配和深度学习的工控设备识别***,其特征在于,包括:工控设备特征数据集获取模块、数据值特征集获取模块、特征库采集模块、规则集构造模块、规则匹配识别模块、深度学习模型训练模块、设备识别模块、规则挖掘及规则集更新模块;
所述工控设备特征数据集获取模块用于从工控设备源数据中获取每个工控设备对应特征,得到工控设备特征数据集;
所述数据值特征集获取模块用于在工控设备特征数据集中提取规则匹配特征,得到数据值特征集,所述数据值特征集中的特征值用于关键字特征采集与关联特征采集;
所述特征库采集模块用于进行关键字特征库采集、关联特征库采集和多协议特征库采集;
所述关键字特征采集具体为:
根据特征从工控设备源数据查询对应的工控设备类型,得到关键字特征库,所述关键字特征库包括设备特征值和设备类型;
从数据值特征集中提取相关特征属性和特征值,查看关键字特征库中是否存在特征值对应的工控设备类型,如果不存在,则从工控设备源数据中根据特征值查询对应的工控设备类型,如果查询成功,则将特征值和对应的工控设备类型存入关键字特征库;
所述规则集构造模块用于将关键字特征库、关联特征库、多协议特征库进行查重,去重后组合构造成规则集;
所述规则匹配识别模块用于对工控设备特征数据集和所述规则集进行规则匹配识别,将规则匹配识别成功的特征数据和识别结果存储,得到带标签数据集,将规则匹配识别失败的特征数据存储,得到无标签数据集;
所述深度学习模型训练模块用于将带标签数据集输入到深度学习模型进行迭代训练,设定训练阈值;
所述设备识别模块用于将无标签数据集输入训练好的深度学习模型进行设备识别,得到识别结果;
所述规则挖掘及规则集更新模块用于将识别结果进行规则挖掘,输出规则分析结果,将规则分析结果添加到规则集中,更新规则集。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010312484.9A CN111506599B (zh) | 2020-04-20 | 2020-04-20 | 基于规则匹配和深度学习的工控设备识别方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010312484.9A CN111506599B (zh) | 2020-04-20 | 2020-04-20 | 基于规则匹配和深度学习的工控设备识别方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111506599A CN111506599A (zh) | 2020-08-07 |
CN111506599B true CN111506599B (zh) | 2023-07-07 |
Family
ID=71877737
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010312484.9A Active CN111506599B (zh) | 2020-04-20 | 2020-04-20 | 基于规则匹配和深度学习的工控设备识别方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111506599B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111814472B (zh) * | 2020-09-03 | 2021-04-06 | 平安国际智慧城市科技股份有限公司 | 文本识别方法、装置、设备及存储介质 |
CN112363465B (zh) * | 2020-10-21 | 2022-04-01 | 北京工业大数据创新中心有限公司 | 一种专家规则集训练方法、训练器和工业设备预警*** |
CN112600793A (zh) * | 2020-11-23 | 2021-04-02 | 国网山东省电力公司青岛供电公司 | 一种基于机器学习的物联网设备分类识别方法及*** |
CN112948404B (zh) * | 2021-02-09 | 2022-11-15 | 国电南瑞科技股份有限公司 | 多源监控数据分类建模及流转方法和*** |
CN113095788B (zh) * | 2021-04-22 | 2023-07-11 | 北京百度网讯科技有限公司 | 问题分发方法、装置、电子设备以及存储介质 |
CN115052035B (zh) * | 2022-05-13 | 2024-05-31 | 北京大豪工缝智控科技有限公司 | 消息推送方法、设备及存储介质 |
CN115150661B (zh) * | 2022-06-23 | 2024-04-09 | 深圳市闪剪智能科技有限公司 | 视频关键片段的包装方法及相关装置 |
CN115081628B (zh) * | 2022-08-15 | 2022-12-09 | 浙江大华技术股份有限公司 | 一种深度学习模型适配度的确定方法及装置 |
CN117220911B (zh) * | 2023-08-11 | 2024-03-29 | 释空(上海)品牌策划有限公司 | 一种基于协议深度分析的工控安全审计*** |
CN117688485B (zh) * | 2024-02-02 | 2024-04-30 | 北京中卓时代消防装备科技有限公司 | 一种基于深度学习的火灾诱因分析方法及*** |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789416A (zh) * | 2016-12-13 | 2017-05-31 | 中兴软创科技股份有限公司 | 工控***专用协议识别方法与*** |
CN110288001A (zh) * | 2019-05-28 | 2019-09-27 | 西南电子技术研究所(中国电子科技集团公司第十研究所) | 基于目标数据特征训练学习的目标识别方法 |
-
2020
- 2020-04-20 CN CN202010312484.9A patent/CN111506599B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789416A (zh) * | 2016-12-13 | 2017-05-31 | 中兴软创科技股份有限公司 | 工控***专用协议识别方法与*** |
CN110288001A (zh) * | 2019-05-28 | 2019-09-27 | 西南电子技术研究所(中国电子科技集团公司第十研究所) | 基于目标数据特征训练学习的目标识别方法 |
Non-Patent Citations (1)
Title |
---|
蔡乐 ; 石荣 ; 许都 ; .基于关联规则挖掘的未知协议特征提取方法.电子信息对抗技术.2016,(06),全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN111506599A (zh) | 2020-08-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111506599B (zh) | 基于规则匹配和深度学习的工控设备识别方法及*** | |
CN107665191B (zh) | 一种基于扩展前缀树的私有协议报文格式推断方法 | |
EP3846048A1 (en) | Online log analysis method, system, and electronic terminal device thereof | |
CN111833172A (zh) | 一种基于孤立森林的消费信贷欺诈行为检测方法及其*** | |
CN111026653B (zh) | 异常程序行为检测方法、装置、电子设备和存储介质 | |
CN105187242B (zh) | 一种基于变长序列模式挖掘的用户异常行为检测方法 | |
CN111740946A (zh) | Webshell报文的检测方法及装置 | |
CN114153980A (zh) | 知识图谱构建方法和装置、检查方法、存储介质 | |
CN111835738B (zh) | 一种基于时间序列挖掘的网络异常流量自动检测方法 | |
CN116881430B (zh) | 一种产业链识别方法、装置、电子设备及可读存储介质 | |
CN110765329B (zh) | 一种数据的聚类方法和电子设备 | |
CN116186759A (zh) | 一种面向隐私计算的敏感数据识别与脱敏方法 | |
CN115953123A (zh) | 机器人自动化流程的生成方法、装置、设备及存储介质 | |
CN115422479A (zh) | 轨迹关联方法、装置、电子设备及机器可读存储介质 | |
CN114328942A (zh) | 关系抽取方法、装置、设备、存储介质和计算机程序产品 | |
CN106407254B (zh) | 用户点击行为链的处理方法及装置 | |
CN115567306B (zh) | 基于双向长短时记忆网络的apt攻击溯源分析方法 | |
CN115643153A (zh) | 基于图神经网络的报警关联分析方法 | |
CN112968865B (zh) | 一种基于关联规则挖掘的网络协议语法特征快速提取方法 | |
CN110336817B (zh) | 一种基于TextRank的未知协议帧定位方法 | |
CN117235137B (zh) | 一种基于向量数据库的职业信息查询方法及装置 | |
CN114666391B (zh) | 访问轨迹确定方法、装置、设备及存储介质 | |
CN114726653B (zh) | 基于分布式随机森林的异常流量检测方法和*** | |
CN117057329B (zh) | 表格数据处理方法及装置、计算设备 | |
CN118070281A (zh) | 一种基于日志信息和图神经网络的恶意代码检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |