System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 异常设备确定方法、装置、介质和设备制造方法及图纸_技高网
当前位置: 首页 > 专利查询>山东云天安全技术有限公司专利>正文

异常设备确定方法、装置、介质和设备制造方法及图纸

技术编号:41709099 阅读:3 留言:0更新日期:2024-06-19 12:39
本申请涉及网络安全测试技术领域,特别是涉及一种异常设备确定方法、装置、介质和设备。该方法包括:获取目标设备对应的数据特征组集X;以数据大小标识作为观测状态、设备标识作为隐藏状态对X进行处理,得到目标设备在目标时间窗口内的目标通讯特征列表MX;获取MX和标准通讯特征列表BX的通讯特征匹配度PX;若PX小于预设通讯特征匹配度阈值,则确定目标设备为异常设备。本申请利用处于工控网络中目标设备流量特征的稳定性,基于HMM模型的原理,得到目标设备的目标通讯特征列表,并根据标准通讯特征列表判断目标设备的状态。处理过程更简单,处理效率更高。

全部详细技术资料下载

【技术实现步骤摘要】

所属的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。根据本申请的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。其中,储存器存储有程序代码,程序代码可以被处理器执行,使得处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(ram)和/或高速缓存储存器,还可以进一步包括只读储存器(rom)。储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(lan),广域网(wan)和/或公共网络,例如因特网)通信。如图所示,网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是cd-rom,u盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本申请的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、rf等等,或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如java、c++等,还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(lan)或广域网(wan),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。此外,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。


技术介绍

1、确定某一可通讯设备是否被入侵时,通常都是分析可通讯设备发出的流量包内容,进而根据分析结果确定其是否被入侵,但在工控网络中,大多使用的通讯协议和通讯方法都是非标准的,尤其是很多系统内部的通讯是加密的,故而,直接对流量包内容进行分析确定其对应的目标设备是否被入侵十分困难。


技术实现思路

1、本申请要解决的技术问题为:如何能够在不分析流量包的内容的情况下,实现对工控网络中可通讯设备的安全检测。

2、针对上述技术问题,根据本申请的第一方面,提供了一种异常设备确定方法,上述方法包括:

3、s100,获取目标设备对应的数据特征组集x=(x1,x2,...,xi,...,xn);i=1,2,...,n;其中,n为目标时间窗口内连续排布的目标时间段的数量;xi为目标设备在第i个目标时间段对应的数据特征组;xi=(ui,hi);ui为第i个目标时间段对应的数据大小标识序列;ui=(ui1,ui2,...,uia,...,uif(i));a=1,2,...,f(i);uia为目标设备在第i个目标时间段内发出的第a个流量包的数据大小标识;uia∈d;d为目标设备所在工控网络对应的数据大小标识列表;f(i)为目标设备在目标时间窗口内的第i个目标时间段内发出的流量包的数量;hi为第i个目标时间段对应的设备标识序列;hi=(hi1,hi2,...,hia,..本文档来自技高网...

【技术保护点】

1.一种异常设备确定方法,其特征在于,所述方法包括:

2.根据权利要求1所述的异常设备确定方法,其特征在于,D通过以下步骤获取:

3.根据权利要求2所述的异常设备确定方法,其特征在于,步骤S110包括:

4.根据权利要求1所述的异常设备确定方法,其特征在于,T通过以下步骤获取:

5.根据权利要求1所述的异常设备确定方法,其特征在于,BX通过如下步骤确定:

6.根据权利要求1所述的异常设备确定方法,其特征在于,所述目标时间窗口的开始时间为目标设备所在工控网络的最近一次开始处理固定任务的时间。

7.根据权利要求1所述的异常设备确定方法,其特征在于,所述PX符合如下条件:

8.一种异常设备确定装置,其特征在于,所述装置包括:

9.一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,其特征在于,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如权利要求1-7中任意一项的所述方法。

10.一种电子设备,其特征在于,包括处理器和权利要求9中所述的非瞬时性计算机可读存储介质。

...

【技术特征摘要】

1.一种异常设备确定方法,其特征在于,所述方法包括:

2.根据权利要求1所述的异常设备确定方法,其特征在于,d通过以下步骤获取:

3.根据权利要求2所述的异常设备确定方法,其特征在于,步骤s110包括:

4.根据权利要求1所述的异常设备确定方法,其特征在于,t通过以下步骤获取:

5.根据权利要求1所述的异常设备确定方法,其特征在于,bx通过如下步骤确定:

6.根据权利要求1所述的异常设备确定方法,其特征在于,所述目标时间窗口的开始时间为目标设备所...

【专利技术属性】
技术研发人员:李峰孙晓鹏王颖卢鹏程
申请(专利权)人:山东云天安全技术有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有