CN113645232A - 一种面向工业互联网的智能化流量监测方法、***及存储介质 - Google Patents
一种面向工业互联网的智能化流量监测方法、***及存储介质 Download PDFInfo
- Publication number
- CN113645232A CN113645232A CN202110912180.0A CN202110912180A CN113645232A CN 113645232 A CN113645232 A CN 113645232A CN 202110912180 A CN202110912180 A CN 202110912180A CN 113645232 A CN113645232 A CN 113645232A
- Authority
- CN
- China
- Prior art keywords
- flow
- abnormal
- cluster
- network
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 71
- 238000012544 monitoring process Methods 0.000 title claims abstract description 50
- 238000003860 storage Methods 0.000 title claims abstract description 23
- 230000002159 abnormal effect Effects 0.000 claims abstract description 125
- 238000001514 detection method Methods 0.000 claims abstract description 55
- 238000010801 machine learning Methods 0.000 claims abstract description 46
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 29
- 238000012549 training Methods 0.000 claims description 46
- 238000004458 analytical method Methods 0.000 claims description 43
- 230000008569 process Effects 0.000 claims description 28
- 230000015654 memory Effects 0.000 claims description 21
- 238000012545 processing Methods 0.000 claims description 20
- 238000004364 calculation method Methods 0.000 claims description 8
- 238000012806 monitoring device Methods 0.000 claims description 7
- 238000010276 construction Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 14
- 238000004590 computer program Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 230000005856 abnormality Effects 0.000 description 5
- 238000009776 industrial production Methods 0.000 description 4
- 230000000875 corresponding effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000005206 flow analysis Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000013145 classification model Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 239000013598 vector Substances 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007635 classification algorithm Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000000465 moulding Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/231—Hierarchical techniques, i.e. dividing or merging pattern sets so as to obtain a dendrogram
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Evolutionary Computation (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computing Systems (AREA)
- Artificial Intelligence (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Software Systems (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供的面向工业互联网的智能化流量监测方法、***及存储介质,涉及网络安全技术领域;该方法包括:对采集到的网络流量通过改进的层次聚类算法实现对网络异常流量的监测,形成海量告警的有效归并分类能力,同时达到使现有的情报信息库智能化自动更新;本发明的方法解决了传统的基于机器学习的检测方法缺少标签数据、自学能力较差、无法适应各种场景的技术问题。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种面向工业互联网的智能化流量监测方法、***及存储介质。
背景技术
工业互联网与工业生产深度融合使工业生产活动呈现“数字化、智能化、网络化”特点,工业生产部分生产环节网络与外部网络互通,在提高效率的同时,也可能引发并导致严重的安全事件。工业互联网打破了传统工业相对封闭可信的制造环境,致使网络攻击对工业生产的威胁日益加剧。为了应对近年来不断增多的针对工业互联网的网络攻击问题,加强工业互联网网络安全防护,针对工业互联网的流量检测与分析成了有效的安全保证手段。流量检测技术经能对网络进行实时的监控,通过分析网络流量直观地了解网络中的举动,从而能实时监测网络安全状态,及时发现网络中存在的危害,并针对网络攻击或者网络入侵及时制定相应的策略,尽可能地避免或者减小损失。工业互联网面临多种异常流量攻击威胁,因为其***、组件、网络、人员安全管理等多个方面都会存在安全风险,从而使网络容易遭受攻击。
机器学习技术虽然可极大地提高对异常流量的检测效率,但也存在特征单一、检测范围有限等问题,同时在对异常流量的分析处理过程中缺少历史数据的支持,难以进行回溯关联,遗漏了很多关键信息。同时,由于目前真实工业互联网环境网络流量中包含了各种环境噪声,不能纯净地未机器学习***提供在未受干扰和攻击下正常行为特征,导致传统基于机器学习的检测分析模型,缺少标签数据,自学习能力较差,无法适应多种应用场景等问题。
发明内容
本发明目的在于提供一种面向工业互联网的智能化流量监测方法、***及存储介质,以威胁情报为基础,结合基于机器学习的检测方法来提高检测准确度,设计并完善了面向工业互联网的异常流量检测模型,同时实现了对威胁情报信息库的自动更新。
为达成上述目的,本发明提出如下技术方案:一种面向工业互联网的智能化流量监测方法,所述方法包括:
根据训练集,构建本地威胁情报库;所述训练集为本地历史流量信息;
获取实时镜像流量,所述实时镜像流量为实时网络流量数据;
根据实时镜像流量与本地威胁情报库的特征匹配,判断实时镜像流量是否异常;
当实时镜像流量与本地威胁情报库的特征不匹配,通过机器学习分析检测模型检测该流量是否为异常流量;
当实时镜像流量与本地威胁情报库的特征匹配或所述机器学习分析检测模型检测与本地威胁情报库的特征属性不匹配的流量为异常流量,输出告警类型和异常类型;
更新本地威胁情报库。
进一步的,所述机器学习分析检测模型包括:
根据层次聚类算法识别网络流量,分类网络流量;所述网络流量的分类包括正常流量和异常流量;
根据层次聚类算法检测异常流量,分类异常流量;所述异常流量的分类包括若干网络攻击类型。
进一步的,所述本地威胁情报库的构建过程为:
采用机器学习分析检测模型训练训练集,获得本地威胁情报库;
所述本地威胁情报库的更新过程为:
采用机器学习分析检测模型训练更新集,获得更新后本地威胁情报库;所述更新集由训练集与所述机器学习分析检测模型检测的异常流量构成。
进一步的,所述根据层次聚类算法识别网络流量的过程如下:
设定距离参数和比例参数,确定待识别网络流量样本集;
划分待识别网络流量样本集中任一样本为第一聚类簇,获得第一聚类簇集合;
计算第一聚类簇集合中任意两个聚类簇的距离;
合并距离不超过距离参数的所有第一聚类簇中的样本,获得第二聚类簇及更新后第一聚类簇集合;
对更新后第一聚类簇集合迭代执行上述计算和合并过后才能,直至聚类完成;
计算更新后第一聚类簇集合各聚类簇内样本数量占网络流量样本集中样本数量的比例;
判断该比例与比例参数的大小;
当该比例大于比例参数,判定该聚类簇中的样本均为异常流量,否则判定为正常流量。
进一步的,所述根据层次聚类算法检测异常流量分类过程如下:
确定异常流量样本集;其中,所述异常流量样本集中任一样本的网络攻击类型已知;
划分异常流量样本集中任一样本为初始聚类簇,获得第二聚类簇集合;
计算第二聚类簇集合中任意两个聚类簇的相似度,合并具有最大相似度的两个聚类簇,获得更新后第二聚类簇集合;
输入待检测异常流量样本,记为待检测聚类簇,并添加至更新后第二聚类簇集合中;
重复上述相似度计算过程,直至更新后第二聚类簇集合中仅包含一个样本簇;
输出分类树,确定待检测异常流量样本的网络攻击类型。
本发明还公开一种面向工业互联网的智能化流量监测***,所述***包括:
构建模块,用于根据训练集,构建本地威胁情报库;所述训练集为本地历史流量信息;
获取模块,用于获取实时镜像流量,所述实时镜像流量为实时网络流量数据;
判断模块,用于根据实时镜像流量与本地威胁情报库的特征匹配,判断实时镜像流量是否异常;所述判断结果为:当实时镜像流量与本地威胁情报库的特征不匹配,通过机器学习分析检测模型检测该流量是否为异常流量;当实时镜像流量与本地威胁情报库的特征匹配或所述机器学习分析检测模型检测与本地威胁情报库的特征属性不匹配的流量为异常流量,输出告警类型和异常类型;
更新模块,用于更新本地威胁情报库。
进一步的,所述机器学习分析检测模型包括如下执行单元:
第一分类单元,用于根据层次聚类算法识别网络流量,分类网络流量;所述网络流量的分类包括正常流量和异常流量;
第二分类单元,用于根据层次聚类算法检测异常流量,分类异常流量;所述异常流量的分类包括若干网络攻击类型。
进一步的,所述构建模块包括:
第一训练单元,用于根据机器学习分析检测模型训练训练集,获得本地威胁情报库;
所述更新模块包括:
第二训练单元,用于根据机器学习分析检测模型训练更新集,获得更新后本地威胁情报库;所述更新集由训练集与所述机器学习分析检测模型检测的异常流量构成。
本发明进一步公开一种面向工业互联网的智能化流量监测设备,该设备包括处理器和存储器:
所述存储器用于存储程序指令,并将所述程序指令传输给所述处理器;
所述处理器用于根据所述程序指令中的指令执行上述的面向工业互联网的智能化流量监测方法。
本发明还提供了一种计算机可读存储介质,该计算机可读存储介质中于存储可执行程序指令,当所述可执行程序指令由计算机处理器执行时,实现上述的面向工业互联网的智能化流量监测方法。
由以上技术方案可知,本发明的技术方案获得了如下有益效果:
本发明公开的面向工业互联网的智能化流量监测方法、***及存储介质,能够准确检测出工业互联网中的异常流量,在产生安全告警的同时对异常流量有效分类;同时,利用层次聚类实现了对异常流量的本地自有威胁情报库的构建与更新,加快了对异常流量的识别速度。通过本地威胁情报库的建立和基于层次聚类的算法,实现了安全监测分析模型的构建,形成海量告警的有效归并与分类能力,达到针对自有情报模型的自动化、智能化更新。
具体包括:1)提供一种面向工业互联网的智能化流量监测方法,实现对实时网络流量的实时检测分析与告警处理,并对异常行为进行分类,在下次遇到同样异常时能快速做出匹配并处理异常流量;
2)构建本地威胁情报库,通过对本地历史流量采用基于层次聚类的异常流量类型识别方法构建并更新本地威胁情报库,通过对已有威胁数据的训练学习,可以通过威胁情报信息监测到之前有过的攻击模式,对异常流量快速进行特征匹配;
3)提出基于层次聚类的异常流量监测模型,首先利用层次聚类算法对异常网络流量进行分类,将其分为正常流量和异常流量,然后利用层次聚类算法对异常流量进行细分类,将其分为不同攻击类型。监测模型可以从新的数据中获取信息,识别未知的攻击模式,并对存在的安全威胁进行告警处理;
4)提出基于层次聚类的网络流量检测算法,通过矩阵存储相关的距离数据,每次分类发生变化,无需重新计算各分类到各样本的距离,可以大为缩减聚类的计算时间;
5)提出基于层次聚类的网络异常流量分类算法,选取有效区分异常类型的数据流特征构建属性,度量向量间的相似度,以相似度最大的原则进行类别的合并,生成分类模型,并实现对未知类型的新异常进行分类。
6)根据本方法,可以实时检测网络流量是否存在异常,并实现对海量告警的有效分类,实现对工业互联网的安全保护与防控,提高检测精度,减少误报率。
应当理解,前述构思以及在下面更加详细地描述的额外构思的所有组合只要在这样的构思不相互矛盾的情况下都可以被视为本公开的发明主题的一部分。
结合附图从下面的描述中可以更加全面地理解本发明教导的前述和其他方面、实施例和特征。本发明的其他附加方面例如示例性实施方式的特征和/或有益效果将在下面的描述中显见,或通过根据本发明教导的具体实施方式的实践中得知。
附图说明
附图不意在按比例绘制。在附图中,在各个图中示出的每个相同或近似相同的组成部分可以用相同的标号表示。为了清晰起见,在每个图中,并非每个组成部分均被标记。现在,将通过例子并参考附图来描述本发明的各个方面的实施例,其中:
图1为本发明监测方法流程框图;
图2为本发明监测方法/***/设备组成图;
图3为本发明本地威胁情报库构建及更新流程框图;
图4为本发明层次聚类算法识别网络流量的流程框图;
图5为本发明层次聚类算法检测异常流量分类的流程框图;
图6为本发明一监测设备实施例组成图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例的附图,对本发明实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于所描述的本发明的实施例,本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。除非另作定义,此处使用的技术术语或者科学术语应当为本发明所属领域内具有一般技能的人士所理解的通常意义。
本发明专利申请说明书以及权利要求书中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。同样,除非上下文清楚地指明其它情况,否则单数形式的“一个”“一”或者“该”等类似词语也不表示数量限制,而是表示存在至少一个。“包括”或者“包含”等类似的词语意指出现在“包括”或者“包含”前面的元件或者物件涵盖出现在“包括”或者“包含”后面列举的特征、整体、步骤、操作、元素和/或组件,并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
基于现有技术中采用机器学习监测异常流程的方案虽然可极大地提高检测效率,但是一方面存在检测范围有限、缺少历史数据支持导致难以回溯关联,另一方面由于真实工业互联网环境网络流量中的环境噪声、能提供的行为特征单一,导致自学能力较差的技术问题;本发明旨在于提供一种面向工业互联网的智能化流量监测方法、***及存储介质,针对上述问题,提出以威胁情报为基础,结合基于机器学习的检测方法来提高检测准确度,设计并完善了面向工业互联网的异常流量检测模型,形成海量告警的有效归并与分类能力,达到针对本地威胁情报库的自动化、智能化更新。
本发明公开的面向工业互联网的智能化流量监测方法/***/设备,其本质如图2所示,包括四大功能组成部分,流量采集输入、流量分析监测、安全告警显示和威胁情报更新。
具体的,流量采集输入主要负责IP流量采集、协议识别、元数据提取的工作,完成元数据标准化输出接口,提供聚合多种协议解析的处理组件,以适配统一和特定的数据输入要求;对采集的数据包进行预处理操作,预处理后信息的形式是网络数据流,接着提取出初始的网络流量特征集合,此流量数据需要使机器学习可以直接训练使用的;当数据量过大时,可以采取抽样处理的方式,可以有效缩短运行时间并且提高流量分类的准确性。
流量分析监测主要是在输入实时流量数据后,将异常流量有效识别并进行攻击类型的分类,实现对异常流量的监测作用。
安全告警显示主要是基于元数据和安全告警存储记录,一旦流量分析监测模块监测到异常流量,安全告警模块就会输出安全告警以及告警类型,同时处理异常流量;结合威胁情报信息,安全告警模块可开展告警统计、告警关联分析、等相关服务和应用;该功能主要用于提醒用户及时进行排查处理。
威胁情报更新作用于本地数据,通过建立本地威胁情报库作为知识库,通过威胁情报库的构建,可以快速有效地将看似正常且相互独立的攻击进行检测并相互关联,提高攻击检测效率和检测精度;每当检测到有新的异常流量输入时,通过异常流量检测模型可实现对异常流量的识别分类,而与此异常相关的特征属性就被会记录在威胁情报库中,以实现对实时流量的快速特征匹配。
下面结合附图和具体实施例,对本发明的面向工业互联网的智能化流量监测方法、***及存储介质作进一步具体介绍。
结合图1所示的面向工业互联网的智能化流量监测方法,该方法包括:根据训练集,构建本地威胁情报库;所述训练集为本地历史流量信息;获取实时镜像流量,所述实时镜像流量为实时网络流量数据;根据实时镜像流量与本地威胁情报库的特征匹配,判断实时镜像流量是否异常;当实时镜像流量与本地威胁情报库的特征不匹配,通过机器学习分析检测模型检测该流量是否为异常流量;当实时镜像流量与本地威胁情报库的特征匹配或所述机器学习分析检测模型检测与本地威胁情报库的特征属性不匹配的流量为异常流量,输出告警类型和异常类型;更新本地威胁情报库。
该方法实施时的步骤如下:1)首先根据本地历史流量信息,本地历史流量信息为本地异常流量,采用层次聚类算法对该流量信息进行训练学习,主要是对本地异常流量的特征属性进行学习,包括协议类型、长度、源IP地址、目的IP地址、源端口和目的端口,得到本地威胁情报库;本地威胁情报库囊括之前有过的攻击类型,用于对后期新出现的异常流量快速进行特征匹配;2)然后,采用镜像流量方式获取实时流量,作为以获取完整的IP数据报文和元数据信息,作为输入数据;具体为,采集的数据预处理后得到网络数据流,接着提取出初始的网络流量特征集合,此流量数据在机器学习时直接训练使用;3)将该输入数据输入本地威胁情报库,检查是否与本地威胁情报库囊括攻击类型相匹配,若是匹配直接输出告警;否则,先采用层次聚类算法识别该输入是否为异常流量,若为异常流量进一步采用层次聚类算法对该异常进行细分类,判断属于哪类攻击类型;4)输入流量判断完毕后,更新本地威胁情报库,主要目的在于将新输入的异常流量的特征属性和攻击类型补充到本地威胁情报库中。
结合上述步骤以及图3所示,本发明本地威胁情报库的构建过程为:采用机器学习分析检测模型训练训练集,获得本地威胁情报库;本地威胁情报库的更新过程为:采用机器学习分析检测模型训练更新集,获得更新后本地威胁情报库;所述更新集由训练集与所述机器学习分析检测模型检测的异常流量构成;机器学习分析检测模型工作过程,如步骤3)所述包括:根据层次聚类算法识别网络流量,分类网络流量;所述网络流量的分类包括正常流量和异常流量;根据层次聚类算法检测异常流量,分类异常流量;所述异常流量的分类包括若干网络攻击类型。
其中,根据层次聚类算法识别网络流量的过程如下:设定距离参数和比例参数,确定待识别网络流量样本集;划分待识别网络流量样本集中任一样本为第一聚类簇,获得第一聚类簇集合;计算第一聚类簇集合中任意两个聚类簇的距离;合并距离不超过距离参数的所有第一聚类簇中的样本,获得第二聚类簇及更新后第一聚类簇集合;对更新后第一聚类簇集合迭代执行上述计算和合并过后才能,直至聚类完成;计算更新后第一聚类簇集合各聚类簇内样本数量占网络流量样本集中样本数量的比例;判断该比例与比例参数的大小;当该比例大于比例参数,判定该聚类簇中的样本均为异常流量,否则判定为正常流量。
结合图4所示,具体实施步骤如下:
11)将第一个样本划分为第一聚类簇,并将其在待识别网络流量样本集中删除;具体的,设待识别网络流量样本集为D={X1,X2,...,Xn},第一聚类簇为C1={X1},其中Xi={d1,d2,...di,...,dm}(i=1,2,3,……,m),i为网络流的特征属性;
12)计算待识别网络流量样本集中各样本到各聚类簇的距离;具体的,采用豪斯多夫距离公式计算距离,计算公式如下:
dist(Ci,Cj)=max(disth(Ci,Cj),disth(Ci,Cj))
13)找到距离最小值distmin,并判断与距离参数D的关系;
具体的,如果distmin>D,则将该样本划分为一个新聚类簇,否则将该样本归入该类簇,记为第二聚类簇。
14)重复以上过程,直到聚类完成;
15)计算各聚类簇中的样本占总样本数的比例ε,并与参数τ作比较;
具体的,若ε>τ,则将该聚类簇中的样本判定为异常流量数据并将其标签设置为1,否则判断为正常流量数据并将其标签设置为0。
根据层次聚类算法检测异常流量分类过程如下:确定异常流量样本集;其中,所述异常流量样本集中任一样本的网络攻击类型已知;划分异常流量样本集中任一样本为初始聚类簇,获得第二聚类簇集合;计算第二聚类簇集合中任意两个聚类簇的相似度,合并具有最大相似度的两个聚类簇,获得更新后第二聚类簇集合;输入待检测异常流量样本,记为待检测聚类簇,并添加至更新后第二聚类簇集合中;重复上述相似度计算过程,直至更新后第二聚类簇集合中仅包含一个样本簇;输出分类树,确定待检测异常流量样本的网络攻击类型。
层次聚类算法对异常流量检测分类的过程可概括为通过训练已知网络攻击类型的异常流量构建分类树,在子树中嵌入相似的异常;再根据不同的数据流对应不同数据流特征属性的,采用特征属性的学习过程建立分类模型,对待检测异常流量进行分类。
结合图5所示,具体实施步骤如下:
111)将异常流量样本集中的每一个样本作为一个初始聚类簇;
具体的,设已知网络异常类型集合T={T1,T2,...,Tn},设DA={X1,X2,...,Xn}为异常流量样本集,其中Xi={d1,d2,...,dm},(i=1,2,3,……,m),i为网络流的特征属性;将DA中的每一个样本作为一个初始聚类簇,并生成初始聚类C={C1,C2,...,Cn},即初始时Cj=Xj(j=1,2,3,……,n)。其中,已知网络异常类型的集合T中包括如T1表示网络中断、T2表示网络遭遇DDOS攻击等等。而表示发生网络异常时的异常流量样本集DA就是通过流量的特征属性来描述的,如流量的大小、时延、抖动、平均长度等。
112)计算每两个聚类簇(Ci,Cj)(i,j=1,2,3,……,n)之间的相似度sim(Ci,Cj);
具体的,采用属性间的相关系数作为相似度的度量方式,其相似度计算公式为:
113)找出相似度最大的两个聚类簇Ci、Cj,进行合并成新的聚类簇Cp=Ci∪Cj,使第二聚类簇集合C的划分得到更新,即更新后第二聚类簇集合C*=C/{Ci,Cj}∪Cp;
114)输入待检测异常流量样本,得到其属性向量Xi,重复步骤112、113,直到C*只剩下一个类;
115)输出分类树T,每个异常流量对应一个叶子,找到包含某异常流量u的同胞的子树Tu。
具体的,若中所有节点都有相同的标记,则用相同标记分类u;若Tu中有多于一个的标记,输出u的真实类别为未知类型。在输出u为未知类型的情况下,由管理员选择Tu中哪个标记最适合描述u的类别。
本发明另一实施例公开了一种面向工业互联网的智能化流量监测***,该***工作时实现上述的面向工业互联网的智能化流量监测方法,该监测方法可划分为如下可执行程序模块:
构建模块,用于根据训练集,构建本地威胁情报库;所述训练集为本地历史流量信息;获取模块,用于获取实时镜像流量,所述实时镜像流量为实时网络流量数据;判断模块,用于根据实时镜像流量与本地威胁情报库的特征匹配,判断实时镜像流量是否异常;所述判断结果为:当实时镜像流量与本地威胁情报库的特征不匹配,通过机器学习分析检测模型检测该流量是否为异常流量;当实时镜像流量与本地威胁情报库的特征匹配或所述机器学习分析检测模型检测与本地威胁情报库的特征属性不匹配的流量为异常流量,输出告警类型和异常类型;更新模块,用于更新本地威胁情报库。
进一步的,该***中机器学习分析检测模型包括如下执行单元:
第一分类单元,用于根据层次聚类算法识别网络流量,分类网络流量;所述网络流量的分类包括正常流量和异常流量;第二分类单元,用于根据层次聚类算法检测异常流量,分类异常流量;所述异常流量的分类包括若干网络攻击类型。
进一步的,该***的构建模块包括:第一训练单元,用于根据机器学习分析检测模型训练训练集,获得本地威胁情报库;更新模块包括:第二训练单元,用于根据机器学习分析检测模型训练更新集,获得更新后本地威胁情报库;所述更新集由训练集与所述机器学习分析检测模型检测的异常流量构成。
上述模块被执行时实现本发明的监测方法的各步骤,即图2所示的实时流量采集、流量分析、威胁情报更新和安全告警的过程。
基于与前述实例施中一种面向工业互联网的智能化流量监测方法的发明构思,本发明还提供一种面向工业互联网的智能化流量监测设备,该设备包括处理器和存储器,存储器和处理器之间互相通信连接,例如通过总线或者其他方式连接,存储器上存储有程序指令,该程序指令能被传输至处理器,并且当该程序指令被处理器执行时实现前文所述的一种面向工业互联网的智能化流量监测方法的执行步骤。
如图6所示,面向工业互联网的智能化流量监测设备包括一个或多个处理器和存储器。
处理器优选但不限于是中央处理器(CPU),还可以是具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制监测设备中的其他组件以执行期望的功能。例如,处理器还可以为其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器作为一种非暂态计算机可读存储介质,可以包括一个或多个计算机程序产品,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的面向工业互联网的智能化流量监测方法对应的程序指令/模块,处理器通过运行存储在存储器的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的一种面向工业互联网的智能化流量监测方法。存储器可以包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需要的应用程序;存储数据区可存储处理器所创建的数据等。此外,存储器优选但不限于高速随机存取存储器,例如,还可以是非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器还可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
在图6所示的电子设备示例中,监测设备还包括:分别连接于处理器的输入装置和输出装置,这些组件通过总线***和/或其他形式的连接机构互连。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成的可执行程序指令,可存储于一计算机可读取存储介质中,该可执行程序指令在执行时,可实现如上述面向工业互联网的智能化流量监测方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(ROM)、随机存储记忆体(RAM)、快闪存储器(Flash Memory)、硬盘(HDD)或固态硬盘(SSD)等;存储介质还可以包括上述种类的存储器的组合。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序指令的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的***。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令***的制造品,该指令***实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
虽然本发明已以较佳实施例揭露如上,然其并非用以限定本发明。本发明所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作各种的更动与润饰。因此,本发明的保护范围当视权利要求书所界定者为准。
Claims (10)
1.一种面向工业互联网的智能化流量监测方法,其特征在于,所述方法包括:
根据训练集,构建本地威胁情报库;所述训练集为本地历史流量信息;
获取实时镜像流量,所述实时镜像流量为实时网络流量数据;
根据实时镜像流量与本地威胁情报库的特征匹配,判断实时镜像流量是否异常;
当实时镜像流量与本地威胁情报库的特征不匹配,通过机器学习分析检测模型检测该流量是否为异常流量;
当实时镜像流量与本地威胁情报库的特征匹配或所述机器学习分析检测模型检测与本地威胁情报库的特征属性不匹配的流量为异常流量,输出告警类型和异常类型;
更新本地威胁情报库。
2.根据权利要求1所述的面向工业互联网的智能化流量监测方法,其特征在于,所述机器学习分析检测模型包括:
根据层次聚类算法识别网络流量,分类网络流量;所述网络流量的分类包括正常流量和异常流量;
根据层次聚类算法检测异常流量,分类异常流量;所述异常流量的分类包括若干网络攻击类型。
3.根据权利要求2所述的面向工业互联网的智能化流量监测方法,其特征在于,所述本地威胁情报库的构建过程为:
采用机器学习分析检测模型训练训练集,获得本地威胁情报库;
所述本地威胁情报库的更新过程为:
采用机器学习分析检测模型训练更新集,获得更新后本地威胁情报库;所述更新集由训练集与所述机器学习分析检测模型检测的异常流量构成。
4.根据权利要求2所述的面向工业互联网的智能化流量监测方法,其特征在于,所述根据层次聚类算法识别网络流量的过程如下:
设定距离参数和比例参数,确定待识别网络流量样本集;
划分待识别网络流量样本集中任一样本为第一聚类簇,获得第一聚类簇集合;
计算第一聚类簇集合中任意两个聚类簇的距离;
合并距离不超过距离参数的所有第一聚类簇中的样本,获得第二聚类簇及更新后第一聚类簇集合;
对更新后第一聚类簇集合迭代执行上述计算和合并过后才能,直至聚类完成;
计算更新后第一聚类簇集合各聚类簇内样本数量占网络流量样本集中样本数量的比例;
判断该比例与比例参数的大小;
当该比例大于比例参数,判定该聚类簇中的样本均为异常流量,否则判定为正常流量。
5.根据权利要求2所述的面向工业互联网的智能化流量监测方法,其特征在于,所述根据层次聚类算法检测异常流量分类过程如下:
确定异常流量样本集;其中,所述异常流量样本集中任一样本的网络攻击类型已知;
划分异常流量样本集中任一样本为初始聚类簇,获得第二聚类簇集合;
计算第二聚类簇集合中任意两个聚类簇的相似度,合并具有最大相似度的两个聚类簇,获得更新后第二聚类簇集合;
输入待检测异常流量样本,记为待检测聚类簇,并添加至更新后第二聚类簇集合中;
重复上述相似度计算过程,直至更新后第二聚类簇集合中仅包含一个样本簇;
输出分类树,确定待检测异常流量样本的网络攻击类型。
6.一种面向工业互联网的智能化流量监测***,其特征在于,所述***包括:
构建模块,用于根据训练集,构建本地威胁情报库;所述训练集为本地历史流量信息;
获取模块,用于获取实时镜像流量,所述实时镜像流量为实时网络流量数据;
判断模块,用于根据实时镜像流量与本地威胁情报库的特征匹配,判断实时镜像流量是否异常;所述判断结果为:当实时镜像流量与本地威胁情报库的特征不匹配,通过机器学习分析检测模型检测该流量是否为异常流量;当实时镜像流量与本地威胁情报库的特征匹配或所述机器学习分析检测模型检测与本地威胁情报库的特征属性不匹配的流量为异常流量,输出告警类型和异常类型;
更新模块,用于更新本地威胁情报库。
7.根据权利要求6所述的面向工业互联网的智能化流量监测***,其特征在于,所述机器学习分析检测模型包括如下执行单元:
第一分类单元,用于根据层次聚类算法识别网络流量,分类网络流量;所述网络流量的分类包括正常流量和异常流量;
第二分类单元,用于根据层次聚类算法检测异常流量,分类异常流量;所述异常流量的分类包括若干网络攻击类型。
8.根据权利要求7所述的面向工业互联网的智能化流量监测***,其特征在于,所述构建模块包括:
第一训练单元,用于根据机器学习分析检测模型训练训练集,获得本地威胁情报库;
所述更新模块包括:
第二训练单元,用于根据机器学习分析检测模型训练更新集,获得更新后本地威胁情报库;所述更新集由训练集与所述机器学习分析检测模型检测的异常流量构成。
9.一种面向工业互联网的智能化流量监测设备,其特征在于,所述设备包括处理器和存储器:
所述存储器用于存储程序指令,并将所述程序指令传输给所述处理器;
所述处理器用于根据所述程序指令中的指令执行权利要求1-5任一项所述的面向工业互联网的智能化流量监测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中于存储可执行程序指令,当所述可执行程序指令由计算机处理器执行时,实现权利要求1-5中任一所述的面向工业互联网的智能化流量监测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110912180.0A CN113645232B (zh) | 2021-08-10 | 2021-08-10 | 一种面向工业互联网的智能化流量监测方法、***及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110912180.0A CN113645232B (zh) | 2021-08-10 | 2021-08-10 | 一种面向工业互联网的智能化流量监测方法、***及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113645232A true CN113645232A (zh) | 2021-11-12 |
CN113645232B CN113645232B (zh) | 2023-04-28 |
Family
ID=78420410
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110912180.0A Active CN113645232B (zh) | 2021-08-10 | 2021-08-10 | 一种面向工业互联网的智能化流量监测方法、***及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113645232B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114374528A (zh) * | 2021-11-24 | 2022-04-19 | 河南中裕广恒科技股份有限公司 | 一种数据安全检测方法、装置、电子设备及介质 |
CN114465823A (zh) * | 2022-04-08 | 2022-05-10 | 杭州海康威视数字技术股份有限公司 | 工业互联网终端加密流量数据安全检测方法、装置及设备 |
CN114666088A (zh) * | 2021-12-30 | 2022-06-24 | 爱普(福建)科技有限公司 | 工业网络数据行为信息的侦测方法、装置、设备和介质 |
CN114884801A (zh) * | 2022-06-09 | 2022-08-09 | 奇安信科技集团股份有限公司 | 告警方法、装置、电子设备及存储介质 |
CN114900452A (zh) * | 2022-05-05 | 2022-08-12 | 中国联合网络通信集团有限公司 | 物联网连接状态监测方法、装置、电子设备及介质 |
CN116582347A (zh) * | 2023-06-05 | 2023-08-11 | 北京网藤科技有限公司 | 安全检测方法、装置、电子设备和介质 |
CN116915512A (zh) * | 2023-09-14 | 2023-10-20 | 国网江苏省电力有限公司常州供电分公司 | 电网中通信流量的检测方法、检测装置 |
CN117118810A (zh) * | 2023-10-25 | 2023-11-24 | 利国智能科技(昆山)有限公司 | 一种网络通信异常预警方法及*** |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111695639A (zh) * | 2020-06-17 | 2020-09-22 | 浙江经贸职业技术学院 | 一种基于机器学习的电力用户用电异常检测方法 |
CN111935170A (zh) * | 2020-08-20 | 2020-11-13 | 杭州安恒信息技术股份有限公司 | 一种网络异常流量检测方法、装置及设备 |
WO2021017614A1 (zh) * | 2019-07-31 | 2021-02-04 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、***、装置及存储介质 |
CN112395608A (zh) * | 2020-12-14 | 2021-02-23 | 深圳中兴网信科技有限公司 | 网络安全威胁监测方法、装置和可读存储介质 |
CN112637220A (zh) * | 2020-12-25 | 2021-04-09 | 中能融合智慧科技有限公司 | 一种工控***安全防护方法及装置 |
CN112769796A (zh) * | 2020-12-30 | 2021-05-07 | 华北电力大学 | 一种基于端侧边缘计算的云网端协同防御方法及*** |
-
2021
- 2021-08-10 CN CN202110912180.0A patent/CN113645232B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021017614A1 (zh) * | 2019-07-31 | 2021-02-04 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、***、装置及存储介质 |
CN111695639A (zh) * | 2020-06-17 | 2020-09-22 | 浙江经贸职业技术学院 | 一种基于机器学习的电力用户用电异常检测方法 |
CN111935170A (zh) * | 2020-08-20 | 2020-11-13 | 杭州安恒信息技术股份有限公司 | 一种网络异常流量检测方法、装置及设备 |
CN112395608A (zh) * | 2020-12-14 | 2021-02-23 | 深圳中兴网信科技有限公司 | 网络安全威胁监测方法、装置和可读存储介质 |
CN112637220A (zh) * | 2020-12-25 | 2021-04-09 | 中能融合智慧科技有限公司 | 一种工控***安全防护方法及装置 |
CN112769796A (zh) * | 2020-12-30 | 2021-05-07 | 华北电力大学 | 一种基于端侧边缘计算的云网端协同防御方法及*** |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114374528A (zh) * | 2021-11-24 | 2022-04-19 | 河南中裕广恒科技股份有限公司 | 一种数据安全检测方法、装置、电子设备及介质 |
CN114666088A (zh) * | 2021-12-30 | 2022-06-24 | 爱普(福建)科技有限公司 | 工业网络数据行为信息的侦测方法、装置、设备和介质 |
CN114465823A (zh) * | 2022-04-08 | 2022-05-10 | 杭州海康威视数字技术股份有限公司 | 工业互联网终端加密流量数据安全检测方法、装置及设备 |
CN114465823B (zh) * | 2022-04-08 | 2022-08-19 | 杭州海康威视数字技术股份有限公司 | 工业互联网终端加密流量数据安全检测方法、装置及设备 |
CN114900452A (zh) * | 2022-05-05 | 2022-08-12 | 中国联合网络通信集团有限公司 | 物联网连接状态监测方法、装置、电子设备及介质 |
CN114900452B (zh) * | 2022-05-05 | 2023-06-27 | 中国联合网络通信集团有限公司 | 物联网连接状态监测方法、装置、电子设备及介质 |
CN114884801A (zh) * | 2022-06-09 | 2022-08-09 | 奇安信科技集团股份有限公司 | 告警方法、装置、电子设备及存储介质 |
CN116582347A (zh) * | 2023-06-05 | 2023-08-11 | 北京网藤科技有限公司 | 安全检测方法、装置、电子设备和介质 |
CN116915512A (zh) * | 2023-09-14 | 2023-10-20 | 国网江苏省电力有限公司常州供电分公司 | 电网中通信流量的检测方法、检测装置 |
CN116915512B (zh) * | 2023-09-14 | 2023-12-01 | 国网江苏省电力有限公司常州供电分公司 | 电网中通信流量的检测方法、检测装置 |
CN117118810A (zh) * | 2023-10-25 | 2023-11-24 | 利国智能科技(昆山)有限公司 | 一种网络通信异常预警方法及*** |
CN117118810B (zh) * | 2023-10-25 | 2023-12-29 | 利国智能科技(昆山)有限公司 | 一种网络通信异常预警方法及*** |
Also Published As
Publication number | Publication date |
---|---|
CN113645232B (zh) | 2023-04-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113645232B (zh) | 一种面向工业互联网的智能化流量监测方法、***及存储介质 | |
CN110505179B (zh) | 一种网络异常流量的检测方法及*** | |
CN105637519A (zh) | 使用行为辨识***的认知信息安全性 | |
JP7069399B2 (ja) | コンピュータセキュリティインシデントを報告するためのシステムおよび方法 | |
CN111294233A (zh) | 网络告警统计分析方法、***及计算机可读存储介质 | |
CN109218321A (zh) | 一种网络入侵检测方法及*** | |
CN117081858B (zh) | 一种基于多决策树入侵行为检测方法、***、设备及介质 | |
CN105376193A (zh) | 安全事件的智能关联分析方法与装置 | |
Tran et al. | Change detection in streaming data in the era of big data: models and issues | |
CN112671767B (zh) | 一种基于告警数据分析的安全事件预警方法及装置 | |
Elsayed et al. | Detecting abnormal traffic in large-scale networks | |
CN113328985A (zh) | 一种被动物联网设备识别方法、***、介质及设备 | |
Roschke et al. | High-quality attack graph-based IDS correlation | |
Kozik et al. | Pattern extraction algorithm for NetFlow‐based botnet activities detection | |
RU148692U1 (ru) | Система мониторинга событий компьютерной безопасности | |
CN110149247B (zh) | 一种网络状态的检测方法及装置 | |
CN116841779A (zh) | 异常日志检测方法、装置、电子设备和可读存储介质 | |
Hendry et al. | Intrusion signature creation via clustering anomalies | |
RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
CN113282920B (zh) | 日志异常检测方法、装置、计算机设备和存储介质 | |
Özdel et al. | Payload-based network traffic analysis for application classification and intrusion detection | |
US20150150132A1 (en) | Intrusion detection system false positive detection apparatus and method | |
CN116647389A (zh) | 一种工业控制***网络访问安全性预警***及方法 | |
CN114697087B (zh) | 一种基于报警时序的报警关联方法 | |
WO2023039973A1 (zh) | 异常误报的处理方法及装置、存储介质、终端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |