用于确定恶意设备的数据处理方法技术

本申请提供了一种用于确定恶意设备的数据处理方法，涉及网络安全领域，该方法包括以下步骤：根据工业设备网络对应的目标数据，得到目标数据列表集BD；根据BD，获取设备特征向量集E；根据E，得到设备平均匹配度集F；根据F对E进行聚类，得到至少一个第一聚类集；其中，每一第一聚类集包含至少一个设备特征向量；若第一聚类集的数量大于1，且存在仅包含1个设备特征向量的第一聚类集，则将仅包含1个设备特征向量的第一聚类集所对应的目标设备确定为恶意设备。本申请通过被入侵设备特征向量的发生变化的特点，进而对设备特征向量进行聚类，根据聚类情况确定恶意设备，能够实现工业设备网络中被入侵设备的精准确定。络中被入侵设备的精准确定。络中被入侵设备的精准确定。

【技术实现步骤摘要】
用于确定恶意设备的数据处理方法


[0001]本申请涉及网络安全领域，特别是涉及一种用于确定恶意设备的数据处理方法。

技术介绍

[0002]工业设备网络中包括多个设备，且设备之间还可能互相影响，如果黑客入侵某一台设备，有可能会对其他设备也造成恶意影响，进而对整个工业设备系统产生恶劣影响。现有技术中在存在黑客入侵行为时，由于无法直接获取黑客入侵的设备对应的设备标识，所以无法确定直接异常设备。
[0003]所以，如何能够在黑客入侵时，精准确定异常设备是目前亟需解决的技术问题。

技术实现思路

[0004]有鉴于此，本申请提供一种用于确定恶意设备的数据处理方法，至少部分解决现有技术中存在的技术问题，本申请采用的技术方案为：根据本申请的第一个方面，提供一种用于确定恶意设备的数据处理方法，包括：S100，根据工业设备网络对应的目标数据，得到目标数据列表集BD=（BD1，BD2，
…
，BDe，
…
，BDf）；e=1，2，
…
，f；其中，BDe为工业设备网络中第e个目标设备对应的目标数据列表；BDe包含若干对应的源设备标识或目的设备标识与Be相同的目标数据，Be为第e个目标设备对应的设备标识；任意两个目标设备的设备类型和处理任务类型均相同；S200，根据BD，获取设备特征向量集E=（E1，E2，
…
，Ee，
…
，Ef）；其中，Ee为对BDe进行特征提取处理后得到的设备特征向量；S300，根据E，得到设备平均匹配度集F=（F1，F2，
…
，Fe，
…
，Ff）；其中，Fe为Ee对应的平均匹配度；Fe=（∑
i=1f
EG
e,i
）/f；EG
e,i
为Ee和Ei之间的设备匹配度；S400，根据F对E进行聚类，得到至少一个第一聚类集；其中，每一第一聚类集包含至少一个设备特征向量；S500，若第一聚类集的数量大于1，且存在仅包含1个设备特征向量的第一聚类集，则将仅包含1个设备特征向量的第一聚类集所对应的目标设备确定为恶意设备。
[0005]本申请至少具有以下有益效果：本申请提供的用于确定恶意设备的数据处理方法，首先根据工业设备网络产生的目标数据，得到目标数据列表集。这里，目标数据列表集包含若干个目标数据列表，每个目标数据列表均对应一个目标设备；任意两个目标设备的设备类型和处理任务类型均相同。其次，基于上述目标数据列表集，获取对目标设备对应的目标数据列表进行特征提取后得到的设备特征向量集。进而，基于设备特征向量集，得到设备平均匹配度集；设备平均匹配度集包含了每一目标设备的特征向量与其他目标设备的特征向量的匹配度的平均值。这里，由于目标设备的设备类型和处理任务类型均相同，所以在每一目标设备均正常（即未被入侵）的情况下其目标数据列表中的目标数据应该是基本相同的，而目标数据基本相同，每一目标设备均正常（即未被入侵）的情况下其设备特征向量也应该是基本相同的。由此，每
个目标设备的设备特征向量与其他目标设备的设备特征向量之间的设备匹配度应该是基本相同的，进而每个目标设备对应的设备特征向量的平均匹配度应该是基本相同的。如果黑客入侵了某一目标设备，则该目标设备的目标数据列表中的目标数据相较于其他目标设备，会发生变化。因此，本申请中进一步对设备特征向量集进行聚类，得到至少一个第一聚类集，使得同一第一聚类集中任意两个设备特征向量对应的平均匹配度基本相同，或对应的差值小于预设阈值。如果第一聚类集的数量为1，说明设备特征向量集中的所有设备特征向量的平均匹配度基本相同，即表示每个目标设备的目标数据列表中的目标数据基本相同，则没有目标设备被黑客入侵。反之，若第一聚类集的数量大于1，且存在仅包含1个设备特征向量的第一聚类集，则说明该设备特征向量的数量为1的设备聚类集合对应的目标数据列表中的目标数据与其他目标设备的目标数据列表中的目标数据不同，所以仅包含1个设备特征向量的第一聚类集对应的目标设备大概率被黑客入侵了，故而本申请中若设备聚类集合的数量大于1，且存在仅包含1个设备特征向量的第一聚类集，则确定设备特征向量的数量为1的设备聚类集合对应的设备为被入侵设备。以实现对被入侵设备的确定。
附图说明
[0006]为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0007]图1为本申请提供的用于确定恶意设备的数据处理方法的一个实施例的流程图。
具体实施方式
[0008]下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0009]如图1所示为根据本申请的一个实施例提供的用于确定恶意设备的数据处理方法的流程图。如图1所示，包括步骤S100
‑
S500。
[0010]S100，根据工业设备网络对应的目标数据，得到目标数据列表集BD=（BD1，BD2，
…
，BDe，
…
，BDf）；e=1，2，
…
，f；其中，BDe为工业设备网络中第e个目标设备对应的目标数据列表；BDe包含若干对应的源设备标识或目的设备标识与Be相同的目标数据，Be为第e个目标设备对应的设备标识；任意两个目标设备的设备类型和处理任务类型均相同。
[0011]在一些实施例中，工业设备网络可以为自动化生产设备网络等。工业设备网络对应的目标数据即为工业设备网络产生的目标数据。进一步，步骤S100包括步骤S110
‑
S130:S110，每间隔预设时间间隔，获取目标时间窗口内工业设备网络中所有设备产生的目标数据，得到目标数据集；其中，目标时间窗口的结束时间为当前时间，目标数据包括源设备标识和目的设备标识；目标时间窗口对应的时长大于预设时间间隔对应的时长。
[0012]具体的，任一目标数据对应的源设备标识对应的电子设备为发出该目标数据的设备，任一目标数据对应的目的设备标识对应的电子设备为接收该目标数据的设备。源设备
标识可以为源IP地址，目的设备标识可以为目的IP地址。
[0013]对于上述预设时间间隔和目标时间窗口，作为示例：预设时间间隔可以为1小时。目标时间窗口可以为当前时间往前24小时。这里，目标数据中还包括源设备标识和目的设备标识。
[0014]S120，获取工业设备网络对应的目标设备标识集B=（B1，B2，
…
，Be，
…
，Bf）；Be为工业设备网络中第e个目标设备对应的目标设备标识。
[0015]具体的，目标设备可以是工业本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于确定恶意设备的数据处理方法，其特征在于，所述方法包括：S100，根据工业设备网络对应的目标数据，得到目标数据列表集BD=（BD1，BD2，
…
，BDe，
…
，BDf）；e=1，2，
…
，f；其中，BDe为工业设备网络中第e个目标设备对应的目标数据列表；BDe包含若干对应的源设备标识或目的设备标识与Be相同的目标数据，Be为第e个目标设备对应的设备标识；任意两个目标设备的设备类型和处理任务类型均相同；S200，根据BD，获取设备特征向量集E=（E1，E2，
…
，Ee，
…
，Ef）；其中，Ee为对BDe进行特征提取处理后得到的设备特征向量；S300，根据E，得到设备平均匹配度集F=（F1，F2，
…
，Fe，
…
，Ff）；其中，Fe为Ee对应的平均匹配度；Fe=（∑
i=1f
EG
e,i
）/f；EG
e,i
为Ee和Ei之间的设备匹配度；S400，根据F对E进行聚类，得到至少一个第一聚类集；其中，每一第一聚类集包含至少一个设备特征向量；S500，若第一聚类集的数量大于1，且存在仅包含1个设备特征向量的第一聚类集，则将仅包含1个设备特征向量的第一聚类集所对应的目标设备确定为恶意设备。2.如权利要求1所述的用于确定恶意设备的数据处理方法，其特征在于，所述步骤S100包括：S110，每间隔预设时间间隔，获取目标时间窗口内工业设备网络中所有设备产生的目标数据，得到目标数据集；其中，所述目标时间窗口的结束时间为当前时间，所述目标数据包括源设备标识和目的设备标识；所述目标时间窗口对应的时长大于预设时间间隔对应的时长；S120，获取工业设备网络对应的目标设备标识集B=（B1，B2，
…
，Be，
…
，Bf）；S130，根据B，从目标数据集中确定出目标数据列表集BD=（BD1，BD2，
…
，BDe，
…
，BDf）。3.如权利要求1所述的用于确定恶意设备的数据处理方法，其特征在于，所述特征提取处理包括：S210，对BDe进行拆分，得到源数据列表BDe1=（BDe
11
，BDe
12
，
…
，BDe
1k
，
…
，BDe
1m
）和目的数据列表BDe2=（BDe
21
，BDe
22
，
…
，BDe
2n
，
…
，BDe
2p
），k=1，2，
…
，m；n=1，2，
…
，p；其中，m为BDe中对应的源设备标识与Be相同的目标数据的数量，BDe
1k
为BDe中第k个源设备标识与Be相同的目标数据；p为BDe中对应的目的设备标识与Be相同的目标数据的数量，BDe
2n
为BDe中第n个目的设备标识与Be相同的目标数据；S220，根据BDe1中每一目标数据对应的目的设备标识对BDe1进行聚类，得到D1个第二聚类集；同一个第二聚类集中的任意两个目标数据对应的目的设备标识相同；S230，根据BDe2中每一目标数据对应的源设备标识对BDe2进行聚类，得到D2个第三聚类集；同一个第三聚类集中的任意两个目标数据对应的源设备标识相同；S240，对D1个第二聚类集进行特征提取，得到第一特征信息DH1=（DH11，DH12，
…
，DH1
q
，
…
，DH1
r
）；q=1，2，
…
，r；其中，r为工业设备网络中的设备数量；DH1
q
为D1个第二聚类集对应的目的设备标识与工业设备网络中第q个设备的设备标识对应的特征信息；S250，对D2个第三聚类集进行特征提取，得到第二特征信息DH2=（DH21，DH22，
…
，DH2
q
，
…
，DH2
r
）；DH2
q
为...

【专利技术属性】
技术研发人员：和希文，吴浩铎，水沝，侯绪森，靳海燕，程学志，
申请(专利权)人：山东溯源安全科技有限公司，
类型：发明
国别省市：