基于大数据的工业互联网入侵检测方法与流程

专利检索2022-05-10  206


本发明涉及大数据和工业互联网领域,尤其涉及一种基于大数据的工业互联网入侵检测方法。

背景技术

随着工业化和信息化融合的不断深化,工业互联网和制造业加速渗透,推动工业生产设备从数字化向网络化转变,工业生产环境从封闭向开放转变,生产过程从自动化向智能化转变。物理空间的工业设备和系统以及制造、管理和服务过程通过数字化技术被映射到网络空间,信息系统与工业系统的安全边界不断模糊,工业互联网安全防护的重要性和紧迫性日益凸显。为了满足工业防护对象安全保障的新需求、新特点、新趋势,工业互联网安全边界持续延伸和安全技术体系快速演进。

近年来,频发的工业互联网安全事件给工业企业造成愈加严重的经济损失和更为广泛而恶劣的社会影响。平台和设备受网络边界模糊的影响成为主要攻击目标,工业互联网平台仍处在初级阶段,安全防护体系还不完善,诸如弱口令、远程命令执行、信息泄露、权限绕过等安全漏洞普遍存在,平台联网设备频繁遭受扫描探测和恶意程序监测,重要敏感数据时有泄露。



技术实现要素:

有鉴于此,本发明提供了一种基于大数据的工业互联网入侵检测方法,其包括:基于所有第一终端的终端行为数据和工业互联网的历史入侵数据生成多维稳态域;

获取目标终端的终端行为数据并基于所述目标终端的终端行为数据获取目标终端的终端接收数据和终端发送数据;

提取所述目标终端的终端发送数据的时序特征,并将其作为目标终端的第一时序行为特征;提取所述目标终端的终端接收数据的时序特征,并将其作为目标终端的第二时序行为特征;所述第一时序行为特征包括按时间顺序记录的数据发送特征;所述第二时序行为特征包括按时间顺序记录的数据接收特征;

基于所述第一时序行为特征和第二时序行为特征建立行为预测函数,并基于所述第一时序行为特征提取当前时刻目标终端的第一行为特征,然后基于所述第二时序行为特征提取当前时刻目标终端的第二行为特征;所述第一行为特征为数据发送特征;所述第二行为特征为数据接收特征;

基于所述行为预测函数、当前时刻目标终端的第一行为特征和当前时刻目标终端的第二行为特征预测下一时刻目标终端的第一行为特征和下一时刻目标终端的第二行为特征;

基于所述当前时刻目标终端的第一行为特征、当前时刻目标终端的第二行为特征、下一时刻目标终端的第一行为特征和下一时刻目标终端的第二行为特征获取当前时刻目标终端的第一行为状态向量、当前时刻目标终端的第二行为状态向量、下一时刻目标终端的第一行为状态向量和下一时刻目标终端的第二行为状态向量;

基于所述当前时刻目标终端的第一行为状态向量、当前时刻目标终端的第二行为状态向量、下一时刻目标终端的第一行为状态向量和下一时刻目标终端的第二行为状态向量确定下一时刻目标终端的时序运行方向;

基于当前时刻目标终端的第一行为状态向量和当前时刻目标终端的第二行为状态向量获取当前时刻目标终端的状态点;

基于所述时序运行方向对工业互联网的防御状态进行不断攻击以得到多维稳态域的边界点,计算当前时刻的目标终端的状态点与多维稳态域的边界点的距离并将其作为域边界距离;在所述域边界距离小于域边界阈值时拦截目标终端的所有操作行为。

根据一个优选实施方式,所述目标终端为正在访问工业互联网的终端设备;所述第一终端为历史访问过工业互联网的终端设备;所述第二终端为存在入侵行为的终端设备;所述终端设备为具有数据传输功能和通信功能的设备,其包括:智能手机、智能手表、平板电脑、笔记本电脑和台式电脑。

根据一个优选实施方式,基于所有的第一终端的终端行为数据和工业互联网的历史入侵数据生成多维稳态域包括:

基于工业互联网的历史入侵数据识别所有入侵过工业互联网的第一终端并将其作为第二终端;随机选取一个第二终端,并将其作为目标第二终端,然后获取所述目标第二终端的终端行为数据;

基于所述目标第二终端的终端行为数据获取目标第二终端的终端发送数据和终端接收数据,并提取所述目标第二终端的终端发送数据和终端接收数据的数据特征以获取目标第二终端的终端发送特征和终端接收特征;

基于目标第二终端的终端发送特征和终端接收特征确定目标第二终端的若干个网络攻击方向,并基于所述目标第二终端的若干个网络攻击方向不断攻击工业互联网的防御状态,直到工业互联网的防御状态被破坏时停止攻击以得到目标第二终端的二维稳态域;

选择其他的第二终端作为目标第二终端,重复执行以上步骤,直到遍历完所有的第二终端以得到每个第二终端的二维稳态域;

基于所有第二终端的二维稳态域生成多维稳态域。

根据一个优选实施方式,基于目标第二终端的若干个网络攻击方向得到目标第二终端的二维稳态域包括:

从目标第二终端的若干个网络攻击方向中随机选取一个网络攻击方向作为目标网络攻击方向,并基于所述目标网络攻击方向不断攻击工业互联网的防御状态,直到工业互联网在所述目标网络攻击方向的防御状态被破坏时停止攻击;所述工业互联网在所述目标网络攻击方向的防御状态被破坏为工业互联网在所述目标网络攻击方向的防御状态从稳定态转换为波动态;

获取工业互联网在所述目标网络攻击方向的防御状态从稳定态转换为波动态时的极限点,并将工业互联网在所述目标网络攻击方向的防御状态从稳定态转换为波动态时的极限点作为工业互联网在所述目标网络攻击方向的防御破坏点;

选择目标第二终端的其他网络攻击方向作为目标网络攻击方向,重复进行上述操作,直到遍历完目标第二终端的所有网络攻击方向以得到工业互联网在目标第二终端的每个网络攻击方向的防御破坏点;

将工业互联网在目标第二终端的每个网络攻击方向的防御破坏点进行连接以获取目标第二终端的二维稳态域。

根据一个优选实施方式,基于目标第二终端的终端发送特征和终端接收特征确定目标第二终端的若干个网络攻击方向包括:

基于所述终端发送特征生成发送特征向量,并基于所述终端接收特征生成接收特征向量,然后基于所述发送特征向量和接收特征向量识别目标第二终端对工业互联网的若干个攻击节点;

获取每个攻击节点的第一节点特征向量和第二节点特征向量;所述第一节点特征向量表征攻击节点的数据发送特征;所述第二节点特征向量表征攻击节点的数据接收特征;

基于所述每个攻击节点的第一节点特征向量和第二节点特征向量获取每个攻击节点的所有邻居攻击节点,并将每个攻击节点与其邻居攻击节点依次进行连接以生成每个攻击节点的攻击曲线;

将每个攻击节点的攻击曲线的切线方向作为每个攻击节点的网络攻击方向,然后基于所有攻击节点的网络攻击方向得到目标第二终端的若干个网络攻击方向。

根据一个优选实施方式,基于攻击节点的第一节点特征向量和第二节点特征向量获取攻击节点的邻居攻击节点包括:

计算每个攻击节点的第一节点特征向量与其他每个攻击节点的第一节点特征向量的相似度得到每个攻击节点与其他每个攻击节点的第一邻近值;

计算每个攻击节点的第二节点特征向量与其他每个攻击节点的第二节点特征向量的相似度得到每个攻击节点与其他每个攻击节点的第二邻近值;

计算每个攻击节点的第一节点特征向量与其他每个攻击节点的第二节点特征向量的相似度得到每个攻击节点与其他每个攻击节点的第三邻近值;

计算每个攻击节点的第二节点特征向量与其他每个攻击节点的第一节点特征向量的相似度得到每个攻击节点与其他每个攻击节点的第四邻近值。

根据一个优选实施方式,基于攻击节点的第一节点特征向量和第二节点特征向量获取攻击节点的邻居攻击节点包括:

遍历所有的攻击节点并将正在遍历的攻击节点作为目标攻击节点,然后将除了目标攻击节点外的其他攻击节点作为目标攻击节点的候选攻击节点;

遍历目标攻击节点的所有候选攻击节点,并将正在遍历的候选攻击节点作为目标候选攻击节点;

分别将目标攻击节点与目标候选攻击节点的第一邻近值、第二邻近值、第三邻近值、第四邻近值与第一邻近阈值、第二邻近阈值、第三邻近阈值、第四邻近阈值进行比较;

在目标攻击节点与目标候选攻击节点的第一邻近值大于第一邻近阈值、第二邻近值大于第二邻近阈值、第三邻近值小于第三邻近阈值并且第四邻近值小于第四邻近阈值时,将目标候选攻击节点作为目标攻击节点的邻居攻击节点。

根据一个优选实施方式,获取工业互联网在目标网络攻击方向的防御状态从稳定态转换为波动态时的极限点包括:

从数据库获取工业互联网的网络结构数据、稳定态的网络结构数据和波动态的网络结构数据,并基于所述工业互联网的网络结构参数、稳定态的网络结构数据和波动态的网络结构数据确定工业互联网的稳态约束条件;

从数据库获取工业互联网的历史入侵数据,并提取所述历史入侵数据的入侵时序特征,然后获取当前时刻工业互联网的防御状态;

基于所述入侵时序特征和当前时刻工业互联网的防御状态预测下一时刻工业互联网的防御状态,并基于当前时刻工业互联网的防御状态获取当前时刻的防御状态向量,然后基于下一时刻工业互联网的防御状态获取下一时刻的防御状态向量;

基于当前时刻的防御状态向量和下一时刻的防御状态向量计算下一时刻的网络攻击方向,并提取当前时刻工业互联网的网络结构特征和工业互联网的防御状态处于波动态时的网络结构特征;

计算当前时刻工业互联网的网络结构特征和工业互联网的防御状态处于波动态时的网络结构特征的相似度,并基于所述稳态约束条件和所述相似度验证当前时刻工业互联网的防御状态是否处于波动态;

在当前时刻工业互联网的防御状态处于波动态时,基于当前时刻的防御状态向量生成当前时刻的状态点,并将其作为极限点;

在当前时刻的防御状态处于稳定态时,将下一时刻作为当前时刻,重复以上步骤,直到工业互联网的防御状态处于波动态时,基于当前时刻的防御状态向量生成当前时刻的状态点,并将其作为极限点。

根据一个优选实施方式,在工业互联网的网络结构特征满足稳态约束条件并且工业互联网的网络结构特征与工业互联网的防御状态处于波动态时的网络结构特征的相似度小于相似度阈值时工业互联网的防御状态处于稳定态;所述稳定态为工业互联网的防御状态为正常状态;

在工业互联网的网络结构特征不满足稳态约束条件并且工业互联网的网络结构特征与工业互联网的防御状态处于波动态时的网络结构特征的相似度大于或等于相似度阈值时工业互联网的防御状态处于波动态;所述波动状态为工业互联网的防御状态为破坏状态;

在工业互联网的网络结构特征不满足稳态约束条件并且工业互联网的网络结构特征与工业互联网的防御状态处于波动态时的网络结构特征的相似度小于相似度阈值时工业互联网的防御状态处于临界态;所述临界态为工业互联网的防御状态处于稳定态和波动态的临界状态。

本发明具有以下有益效果:本发明通过第一终端的终端行为数据和工业互联网的历史入侵数据生成多维稳态域,并根据目标终端的终端行为数据判断目标终端与多维稳态域的域边界距离从而判断目标终端是否为入侵终端。此外,本发明实现对工业互联网平台进行入侵检测,在目标终端为入侵终端时拦截目标终端的所有操作行为以确保与工业互联网内数据的安全性,避免数据泄露带来的经济损失。

附图说明

图1为一示例性实施例提供的基于大数据的工业互联网入侵检测方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

参见图1,在一个实施例中,基于大数据的工业互联网入侵检测方法可以包括:

S1、基于所有的第一终端的终端行为数据和工业互联网的历史入侵数据生成多维稳态域。

在一个实施例中,基于所有的第一终端的终端行为数据和工业互联网的历史入侵数据生成多维稳态域包括:

基于工业互联网的历史入侵数据识别所有入侵过工业互联网的第一终端并将其作为第二终端;随机选取一个第二终端,并将其作为目标第二终端,然后获取所述目标第二终端的终端行为数据;

基于所述目标第二终端的终端行为数据获取目标第二终端的终端发送数据和终端接收数据,并提取所述目标第二终端的终端发送数据和终端接收数据的数据特征以获取目标第二终端的终端发送特征和终端接收特征;

基于目标第二终端的终端发送特征和终端接收特征确定目标第二终端的若干个网络攻击方向,并基于所述目标第二终端的若干个网络攻击方向不断攻击工业互联网的防御状态,直到工业互联网的防御状态被破坏时停止攻击以得到目标第二终端的二维稳态域;

选择其他的第二终端作为目标第二终端,重复执行以上步骤,直到遍历完所有的第二终端以得到每个第二终端的二维稳态域;

基于所有的第二终端的二维稳态域生成多维稳态域。

在一个实施例中,基于目标第二终端的若干个网络攻击方向得到目标第二终端的二维稳态域包括:

从目标第二终端的若干个网络攻击方向中随机选取一个网络攻击方向作为目标网络攻击方向,并基于所述目标网络攻击方向不断攻击工业互联网的防御状态,直到工业互联网在所述目标网络攻击方向的防御状态被破坏时停止攻击;所述工业互联网在所述目标网络攻击方向的防御状态被破坏为工业互联网在所述目标网络攻击方向的防御状态从稳定态转换为波动态;

获取工业互联网在所述目标网络攻击方向的防御状态从稳定态转换为波动态时的极限点,并将工业互联网在所述目标网络攻击方向的防御状态从稳定态转换为波动态时的极限点作为工业互联网在所述目标网络攻击方向的防御破坏点;

选择目标第二终端的其他网络攻击方向作为目标网络攻击方向,重复进行上述操作,直到遍历完目标第二终端的所有网络攻击方向以得到工业互联网在目标第二终端的每个网络攻击方向的防御破坏点;

将工业互联网在目标第二终端的每个网络攻击方向的防御破坏点进行连接以获取目标第二终端的二维稳态域。

在一个实施例中,基于目标第二终端的终端发送特征和终端接收特征确定目标第二终端的若干个网络攻击方向包括:

基于所述终端发送特征生成发送特征向量,并基于所述终端接收特征生成接收特征向量,然后基于所述发送特征向量和接收特征向量识别目标第二终端对工业互联网的若干个攻击节点;

获取每个攻击节点的第一节点特征向量和第二节点特征向量;所述第一节点特征向量表征攻击节点的数据发送特征;所述第二节点特征向量表征攻击节点的数据接收特征;

基于所述每个攻击节点的第一节点特征向量和第二节点特征向量获取每个攻击节点的所有邻居攻击节点,并将每个攻击节点与其邻居攻击节点依次进行连接以生成每个攻击节点的攻击曲线;

将每个攻击节点的攻击曲线的切线方向作为每个攻击节点的网络攻击方向,然后基于所有攻击节点的网络攻击方向得到目标第二终端的若干个网络攻击方向。

在一个实施例中,基于攻击节点的第一节点特征向量和第二节点特征向量获取攻击节点的邻居攻击节点包括:

计算每个攻击节点的第一节点特征向量与其他每个攻击节点的第一节点特征向量的相似度得到每个攻击节点与其他每个攻击节点的第一邻近值;

计算每个攻击节点的第二节点特征向量与其他每个攻击节点的第二节点特征向量的相似度得到每个攻击节点与其他每个攻击节点的第二邻近值;

计算每个攻击节点的第一节点特征向量与其他每个攻击节点的第二节点特征向量的相似度得到每个攻击节点与其他每个攻击节点的第三邻近值;

计算每个攻击节点的第二节点特征向量与其他每个攻击节点的第一节点特征向量的相似度得到每个攻击节点与其他每个攻击节点的第四邻近值。

在一个实施例中,基于攻击节点的第一节点特征向量和第二节点特征向量获取攻击节点的邻居攻击节点包括:

遍历所有的攻击节点并将正在遍历的攻击节点作为目标攻击节点,然后将除了目标攻击节点外的其他攻击节点作为目标攻击节点的候选攻击节点;

遍历目标攻击节点的所有候选攻击节点,并将正在遍历的候选攻击节点作为目标候选攻击节点;

分别将目标攻击节点与目标候选攻击节点的第一邻近值、第二邻近值、第三邻近值、第四邻近值与第一邻近阈值、第二邻近阈值、第三邻近阈值、第四邻近阈值进行比较;

在目标攻击节点与目标候选攻击节点的第一邻近值大于第一邻近阈值、第二邻近值大于第二邻近阈值、第三邻近值小于第三邻近阈值并且第四邻近值小于第四邻近阈值时,将目标候选攻击节点作为目标攻击节点的邻居攻击节点。

在一个实施例中,获取工业互联网在目标网络攻击方向的防御状态从稳定态转换为波动态时的极限点包括:

从数据库获取工业互联网的网络结构数据、稳定态的网络结构数据和波动态的网络结构数据,并基于所述工业互联网的网络结构参数、稳定态的网络结构数据和波动态的网络结构数据确定工业互联网的稳态约束条件;

从数据库获取工业互联网的历史入侵数据,并提取所述历史入侵数据的入侵时序特征,然后获取当前时刻工业互联网的防御状态;

基于所述入侵时序特征和当前时刻工业互联网的防御状态预测下一时刻工业互联网的防御状态,并基于当前时刻工业互联网的防御状态获取当前时刻的防御状态向量,然后基于下一时刻工业互联网的防御状态获取下一时刻的防御状态向量;

基于当前时刻的防御状态向量和下一时刻的防御状态向量计算下一时刻的网络攻击方向,并提取当前时刻工业互联网的网络结构特征和工业互联网的防御状态处于波动态时的网络结构特征;

计算当前时刻工业互联网的网络结构特征和工业互联网的防御状态处于波动态时的网络结构特征的相似度,并基于所述稳态约束条件和所述相似度验证当前时刻工业互联网的防御状态是否处于波动态;

在当前时刻工业互联网的防御状态处于波动态时,基于当前时刻的防御状态向量生成当前时刻的状态点,并将其作为极限点;

在当前时刻的防御状态处于稳定态时,将下一时刻作为当前时刻,重复以上步骤,直到工业互联网的防御状态处于波动态时,基于当前时刻的防御状态向量生成当前时刻的状态点,并将其作为极限点。

在一个实施例中,在工业互联网的网络结构特征满足稳态约束条件并且工业互联网的网络结构特征与工业互联网的防御状态处于波动态时的网络结构特征的相似度小于相似度阈值时工业互联网的防御状态处于稳定态;所述稳定态为工业互联网的防御状态为正常状态;

在工业互联网的网络结构特征不满足稳态约束条件并且工业互联网的网络结构特征与工业互联网的防御状态处于波动态时的网络结构特征的相似度大于或等于相似度阈值时工业互联网的防御状态处于波动态;所述波动状态为工业互联网的防御状态为破坏状态;

在工业互联网的网络结构特征不满足稳态约束条件并且工业互联网的网络结构特征与工业互联网的防御状态处于波动态时的网络结构特征的相似度小于相似度阈值时工业互联网的防御状态处于临界态;所述临界态为工业互联网的防御状态处于稳定态和波动态的临界状态。

在一个实施例中,目标终端为正在访问工业互联网的终端设备;第一终端为历史访问过工业互联网的终端设备;第二终端为存在入侵行为的终端设备;终端设备为具有数据传输功能和通信功能的设备,其包括:智能手机、智能手表、平板电脑、笔记本电脑和台式电脑。

S2、获取目标终端的终端行为数据并基于目标终端的终端行为数据获取目标终端的终端接收数据和终端发送数据;提取目标终端的终端发送数据的时序特征,并将其作为目标终端的第一时序行为特征;提取目标终端的终端接收数据的时序特征,并将其作为目标终端的第二时序行为特征。

终端行为数据包括终端发送数据和终端接收数据,终端发送数据为终端设备发送到工业互联网的数据,终端接收数据为终端设备从工业互联网接收的数据。

第一时序行为特征包括按时间顺序记录的数据发送特征,第二时序行为特征包括按时间顺序记录的数据接收特征。

S3、根据第一时序行为特征和第二时序行为特征建立行为预测函数,并根据第一时序行为特征提取当前时刻目标终端的第一行为特征,然后根据第二时序行为特征提取当前时刻目标终端的第二行为特征。

第一行为特征为数据发送特征,第二行为特征为数据接收特征。

S4、基于行为预测函数、当前时刻目标终端的第一行为特征和当前时刻目标终端的第二行为特征预测下一时刻目标终端的第一行为特征和下一时刻目标终端的第二行为特征。

S5、基于当前时刻目标终端的第一行为特征、当前时刻目标终端的第二行为特征、下一时刻目标终端的第一行为特征和下一时刻目标终端的第二行为特征获取当前时刻目标终端的第一行为状态向量、当前时刻目标终端的第二行为状态向量、下一时刻目标终端的第一行为状态向量和下一时刻目标终端的第二行为状态向量。

第一行为状态向量表征数据发送状态,第二行为状态向量表征数据接收状态。

S6、基于所述当前时刻目标终端的第一行为状态向量、当前时刻目标终端的第二行为状态向量、下一时刻目标终端的第一行为状态向量和下一时刻目标终端的第二行为状态向量确定下一时刻目标终端的时序运行方向。

S7、基于当前时刻目标终端的第一行为状态向量和当前时刻目标终端的第二行为状态向量获取当前时刻目标终端的状态点;基于所述时序运行方向对工业互联网的防御状态进行不断攻击以得到多维稳态域的边界点,计算当前时刻目标终端的状态点与多维稳态域的边界点的距离,并将其作为目标终端的域边界距离;在目标终端的域边界距离小于域边界阈值时拦截目标终端的所有操作行为。

目标终端的状态点表征目标终端运行状态在多维稳态域中所处的位置。多维稳态域的边界点处于多维稳态域边界位置。

域边界阈值用于识别目标终端是否存在入侵行为,在目标终端的域边界距离大于域边界阈值时,表示目标终端不存在入侵行为,在目标终端的域边界距离小于域边界阈值时,表示目标终端存在入侵行为。

本发明通过第一终端的终端行为数据和工业互联网的历史入侵数据生成多维稳态域,并根据目标终端的终端行为数据判断目标终端与多维稳态域的域边界距离从而判断目标终端是否为入侵终端。此外,本发明实现对工业互联网平台进行入侵检测,在目标终端为入侵终端时拦截目标终端的所有操作行为以确保与工业互联网内数据的安全性,避免数据泄露带来的经济损失。

本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

转载请注明原文地址:https://win.8miu.com/read-28.html

最新回复(0)