CN118487872B - 一种面向核电行业的网络异常行为检测分析方法 - Google Patents
一种面向核电行业的网络异常行为检测分析方法 Download PDFInfo
- Publication number
- CN118487872B CN118487872B CN202410928414.4A CN202410928414A CN118487872B CN 118487872 B CN118487872 B CN 118487872B CN 202410928414 A CN202410928414 A CN 202410928414A CN 118487872 B CN118487872 B CN 118487872B
- Authority
- CN
- China
- Prior art keywords
- abnormal
- target
- nodes
- decision tree
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 182
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 61
- 238000001514 detection method Methods 0.000 title claims abstract description 39
- 238000003066 decision tree Methods 0.000 claims abstract description 220
- 230000002159 abnormal effect Effects 0.000 claims abstract description 200
- 230000005856 abnormality Effects 0.000 claims description 56
- 238000012549 training Methods 0.000 claims description 52
- 238000000034 method Methods 0.000 claims description 44
- 230000008569 process Effects 0.000 claims description 30
- 238000004590 computer program Methods 0.000 claims description 24
- 230000006399 behavior Effects 0.000 claims description 10
- 238000000605 extraction Methods 0.000 claims description 2
- 230000002829 reductive effect Effects 0.000 abstract description 5
- 238000012545 processing Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 238000011161 development Methods 0.000 description 4
- 238000009826 distribution Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000004140 cleaning Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000000670 limiting effect Effects 0.000 description 3
- 238000007781 pre-processing Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000001364 causal effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/0636—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis based on a decision tree analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/50—Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本申请适用于网络安全技术领域,提供了一种面向核电行业的网络异常行为检测分析方法,包括:获取核电网络数据;提取目标异常特征;将目标异常特征输入至预警树模型,得到目标异常分析结果;预警树模型包括多个决策树,决策树的分支节点与至少两个子节点通过子路径连接,第一决策树的叶子节点和与其存在关联关系的第二决策树的分支节点通过子路径连接;预警树模型对目标异常特征沿子路径进行划分,最后根据叶子节点的信息得到目标异常分析结果。本申请通过多个决策树对核电网络数据进行异常行为分析,可以满足多种分析要求,并将存在关联关系的不同决策树进行连接,使不同决策树之间的分析结果相互参考,可以减少分析工作量,并提高分析准确率。
Description
技术领域
本申请属于网络安全技术领域,尤其涉及一种面向核电行业的网络异常行为检测分析方法。
背景技术
目前,由于核电行业中实时监测数据量的庞大和异常情况的多样性,网络异常行为可能源于多种不同的因素,包括但不限于人为操作失误、网络攻击和设备故障等。在进行异常行为分析时,通常需要深入剖析异常行为的多个层面,以确定其背后的根本原因。在核电站运行过程中,若出现异常数据,工作人员往往只能对各种可能的问题点进行一一排查,工作量大,并且无法及时响应异常报警。
发明内容
本申请实施例提供了一种面向核电行业的网络异常行为检测分析方法,可以解决核电行业的网络异常行为检测问题。
第一方面,本申请实施例提供了一种面向核电行业的网络异常行为检测分析方法,包括:
获取核电网络数据;
从所述核电网络数据中提取目标异常特征;
将所述目标异常特征输入至预警树模型,得到所述预警树模型输出的目标异常分析结果;其中,所述预警树模型包括多个决策树,每个所述决策树包括多个节点,所述节点包括分支节点和叶子节点,每个所述分支节点与至少两个子节点通过子路径连接,且所述至少两个子节点为所述分支节点或所述叶子节点,所述多个决策树中第一决策树的叶子节点和与其存在关联关系的第二决策树的分支节点通过子路径连接;所述预警树模型用于对所述目标异常特征沿所述子路径进行划分,直至到达叶子节点时,根据到达的叶子节点的信息,得到所述目标异常分析结果。
本申请实施例与现有技术相比存在的有益效果是:
通过预警树模型中的多个决策树对核电网络数据进行异常行为分析,可以满足多种分析要求,并且将存在关联关系的不同决策树进行连接,使不同决策树之间的分析结果可以相互参考,不仅可以减少重复分析的过程,减少分析工作量,还可以提高预警树模型的分析准确率。
在第一方面的一种可能的实现方式中,所述多个决策树包括:
异常类型分析决策树,用于根据所述目标异常特征确定目标异常类型;
与所述异常类型分析决策树连接的异常原因分析决策树,用于根据所述目标异常特征和所述目标异常类型确定目标异常原因;
与所述异常类型分析决策树和所述异常原因分析决策树连接的异常处理策略分析决策树,用于根据所述目标异常特征、所述目标异常类型和所述目标异常原因确定目标异常处理策略。
在上述方案中,通过异常类型分析决策树、异常原因分析决策树和异常处理策略分析决策树依次的确定异常行为的类型,该异常行为产生的原因以及该异常行为的处理策略,通过一体化自动流程实现对异常行为的及时判断和处理。
在第一方面的一种可能的实现方式中,所述根据所述目标异常特征分析得到目标异常类型的步骤包括:
从所述异常类型分析决策树的分支节点中搜索目标分支节点;每个所述分支节点分别对应一种异常特征,所述目标分支节点对应的异常特征与所述目标异常特征相匹配;
根据所述目标异常特征的特征值,遍历所述异常类型分析决策树的每一层级,在当前层级的所述目标分支节点的至少两个子节点中确定出目标子节点;
当所述目标子节点为所述目标分支节点时,在所述目标子节点的至少两个子节点中继续确定新的目标子节点,直至所述新的目标子节点为所述叶子节点;
当所述目标子节点为所述叶子节点时,根据所述目标子节点的信息,确定所述目标异常类型。
在上述方案中,异常类型分析决策树的分支节点表示异常特征,叶子节点表示异常类型,异常特征和异常类型通过决策树产生关系,决策树的搜索过程就是异常类型的分析过程,只需要从初始层级开始,通过将目标异常特征及其特征值与异常类型分析决策树中的分支节点的异常特征及其特征值进行匹配并确定新的目标子节点,最终到达叶子节点,就能确定目标异常类型。
在第一方面的一种可能的实现方式中,所述决策树的训练过程包括:
获取包含多种异常特征的训练样本;
计算所述训练样本中每种所述异常特征对应的信息增益;
在所述训练样本中,对所述信息增益最大的第一异常特征创建至少两个分支节点,将所述训练样本按照所述第一异常特征划分为每个分支节点对应的第一子集;
当所述第一子集存在多种异常特征时,对所述第一异常特征以外所述信息增益最大的第二异常特征创建至少两个分支节点,并作为前一次创建的分支节点的子节点,将所述第一子集按照所述第二异常特征划分为每个分支节点对应的第二子集,直至划分得到的子集只存在一种异常特征;
当所述第一子集只存在一种异常特征时,对所述异常特征创建至少两个叶子节点,并作为前一次创建的分支节点的子节点。
在上述方案中,计算每个异常特征对应的信息增益,信息增益表示随机变量不确定性减少的程度,将最大信息增益对应的异常特征作为划分特征并划分每个分支节点对应的训练样本,使得划分后的子集更加纯净,有助于提高决策树的预测准确性,基于分支节点创建出多个子节点,并重复上述过程,当不再产生新的划分特征时,决策树训练完成。
在第一方面的一种可能的实现方式中,通过以下公式计算每个所述异常特征对应的信息增益:
其中,表示异常特征a在训练样本D的信息增益,表示训练样本D的整体熵,表示异常特征a在第i个特征取值下的特征熵,表示异常特征a在第i个特征取值下的样本数量,表示训练样本D的样本数量。
在第一方面的一种可能的实现方式中,所述每个所述分支节点与至少两个子节点通过子路径连接包括:
所述分支节点与所述子节点通过逻辑门进行连接;所述逻辑门包括与门、或门、异或门、优先与门、禁门和表决门中的至少一种。
在上述方案中,通过逻辑门连接不同的分支节点,表明不同节点之间的逻辑关系,有助于理解异常行为的分析过程。
在第一方面的一种可能的实现方式中,所述根据到达的所述叶子节点的信息,得到所述目标异常分析结果的步骤包括:
将所述多个决策树各自到达的叶子节点的信息确定为所述目标异常分析结果。
在上述方案中,预警树模型的每个决策树相互独立,并各自输出在某种异常分析要求下的结果,可以根据实际需求确定决策树的数量,使得整个预警树模型能够承载较大数据量以及适应各种分析要求。
第二方面,本申请实施例提供了一种面向核电行业的网络异常行为检测分析装置,其特征在于,包括:
获取模块,用于获取核电网络数据;
提取模块,用于从所述核电网络数据中提取目标异常特征;
分析模块,用于将所述目标异常特征输入至预警树模型,得到所述预警树模型输出的目标异常分析结果;其中,所述预警树模型包括存在关联关系的多个决策树,每个所述决策树包括多个节点,所述节点包括分支节点和叶子节点,每个所述分支节点与至少两个子节点通过子路径连接,且所述至少两个子节点为所述分支节点或所述叶子节点,所述多个决策树中第一决策树的叶子节点和与其存在关联关系的第二决策树的分支节点通过子路径连接;所述预警树模型用于对所述目标异常特征沿所述子路径进行划分,直至到达叶子节点时,根据到达的叶子节点的信息,得到所述目标异常分析结果。
第三方面,本申请实施例提供了一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面中任一项所述的面向核电行业的网络异常行为检测分析方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现上述第一方面中任一项所述的面向核电行业的网络异常行为检测分析方法。
第五方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述第一方面中任一项所述的面向核电行业的网络异常行为检测分析方法。
可以理解的是,上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提供的面向核电行业的网络异常行为检测分析方法的流程示意图;
图2是本申请一实施例提供的一预警树模型的结构示意图;
图3是本申请另一实施例提供的一预警树模型的多个决策树的连接示意图;
图4是本申请一实施例提供面向核电行业的网络异常行为检测分析方法中步骤S13的流程示意图;
图5是本申请一实施例提供的面向核电行业的网络异常行为检测分析方法中步骤S13中的步骤S131的流程示意图;
图6是本申请另一实施例提供的一种训练决策树的流程示意图;
图7是本申请一实施例提供的面向核电行业的网络异常行为检测分析装置的结构示意图;
图8是本申请一实施例提供的电子设备的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
本申请实施例提供了一种面向核电行业的网络异常行为检测分析方法的示意性流程图,其中,核电行业主要采用工业互联网进行互联,从而实现工业控制。随着数字化技术在核电行业的应用,核电行业在信息化与工业化进行了深度融合,核电行业内部的数据交换、远程控制、监测预警等关键操作无一不依赖于互联网或专用的高效网络系统进行,数据的高速传输和远程操控极大地提升了核电行业运行的效率和便捷性,但同时由于核电行业的控制系统同其他业务信息系统的连接越来越多,网络攻击威胁也日益增加。网络攻击会影响到软件和数据的可用性、完整性、机密性,从而对核电行业中相关设备的运行产生不利影响,甚至对核安全构成威胁,核电行业的网络安全问题值得重视。
核电行业的网络安全问题属于一个高度专业化的领域,对于大多数异常行为检测,经常需要专业网络安全人员结合经验来进行管理和维护,一旦出现专业人员不足的情况,可能会导致部分异常行为的分析不够及时和准确。核电行业作为现代工业的重要组成部分,其网络技术的发展十分迅速,传统的依靠网络专家人工方式进行的网络异常行为检测分析已经不能满足需要了,而是需要智能化的检测分析技术来实现网络异常行为检测分析的自动化。本申请根据核电行业具有故障分析和判断经验的专家经验,建立预警树模型来对核电行业中发生的异常现象进行综合分析。
当然,本身申请实施例并不仅限于应用于核电行业,还可以应用于交通行业和水利行业等重要的工控行业。图1示出了本申请提供的一种面向核电行业的网络异常行为检测分析方法,作为示例而非限定,该面向核电行业的网络异常行为检测分析方法可以包括以下步骤:
S11、获取核电网络数据。
其中,核电网络数据指的是核电行业中待进行检测分析的与网络异常行为相关的数据。具体地,核电网络数据包括网络流量数据、设备运行数据和日志数据中的至少一种。
S12、从核电网络数据中提取目标异常特征。
其中,目标异常特征指的是网络异常行为的特征,在一种可能的实现方式中,核电网络数据中的网络异常行为是指攻击事件对应的网络行为,目标异常特征包括攻击时间、攻击源地址、受害者地址、攻击者的身份信息、攻击者使用的工具、攻击路线和攻击行为特征中的至少一种,其中,攻击行为特征可以包括数据包字节数、数据包流量、目的端口数量、数据流源子网数量、源端口数量、源IP数量以及流量分布等。
S13、将目标异常特征输入至预警树模型,得到预警树模型输出的目标异常分析结果。
作为示例而非限定,图2示出了一种预警树模型,该预警树模型包括多个决策树,每个决策树包括多个节点。参见图2,每个决策树的节点包括分支节点和叶子节点,每个分支节点与至少两个子节点通过子路径连接,且至少两个子节点为分支节点或叶子节点。
在这多个决策树中,存在不同的决策树与决策树之间具有关联关系,可以将具有关联关系的决策树进行连接。其中,关联关系主要是指不同决策树的叶子节点中信息的关联关系满足条件和结论的关系。具体地,关联关系可以是因果关系,假设两个决策树之间存在因果关系,则将叶子节点信息为因的决策树作为第一决策树,叶子节点为果的决策树作为第二决策树,将第一决策树的叶子节点和与其存在关联关系的第二决策树的分支节点通过子路径连接,从而在得到第一决策树的叶子节点的信息后,将第一决策树的叶子节点信息传递至第二决策树,并得到第二决策树的叶子节点信息。预警树模型用于对目标异常特征沿子路径进行划分,直至到达叶子节点时,根据到达的叶子节点的信息,得到目标异常分析结果。
本实施例提供的一种面向核电行业的网络异常行为检测分析方法,通过预警树模型中的多个决策树对核电网络数据进行异常行为分析,可以满足多种分析要求,并且将存在关联关系的不同决策树进行连接,使不同决策树之间的分析结果可以相互参考,不仅可以减少重复分析的过程,减少分析工作量,还可以提高预警树模型的分析准确率。
在步骤S13一种可能的实现方式中,关联关系也可以是相关关系,即假设两个决策树之间存在相关关系,其中任一决策树的不同结果,会使得另一决策树的结果出现一定规律的变化,则这两个决策树可以互为第一决策树和第二决策树,即每个决策树都是结合当前的输入状态,并基于另一个决策树的输出进行新的输出评估,从而更新叶子节点信息。
需要说明的是,存在关联关系的决策树数量也可以是两个以上,如图2所示,作为示例而非限定,相连接的三个决策树中,中间的决策树可能同时作为前一个决策树的果以及作为后一个决策树的因。
预警树模型中每个决策树可以是第一决策树也可以是第二决策树,当然,预警树模型中也可能存在独立的决策树。具体地,可以依次获取预警树模型中任意两个决策树之间的关联关系,如果当其中一个决策树的叶子节点信息与另一个决策树的叶子节点信息满足条件与结论的关系,则将其中一个决策树的叶子节点和另一个决策树的分支节点通过子路径连接,如果一个决策树与其它决策树均无关联关系,则该决策树不与其他决策树进行连接。
在步骤S13一种可能的实现方式中,其中,每个叶子节点的信息可以表示异常分析结果在单个层面的分析结果,例如,异常分析结果包括分析出异常类型、异常发生的原因、异常的影响程度、异常的变化情况和异常的处理策略等多个层面的分析结果,每个决策树的叶子节点信息则对应其中一个层面的分析结果。
在步骤S13一种可能的实现方式中,可能存在不同决策树的叶子节点信息是相同的,同一个分析结果可能通过不同的异常特征和分析方式得到,可以根据实际需求选择合适的决策树对输入的异常特征进行分析,也可以使这几个决策树共同对输入的异常特征进行分析,再根据每个决策树得到的叶子节点信息对这几个决策树进行反向验证。
在步骤S13一种可能的实现方式中,将多个决策树各自到达的叶子节点的信息确定为目标异常分析结果。具体地,目标异常特征会分别输入每个决策树的初始层级的分支节点,比如一个决策树存在目标异常特征与该分支节点相匹配,就可以继续往这个决策树的其它分支节点进行匹配,一直到达这个决策树的某个叶子节点后,得到这个叶子节点的信息,如果这个决策树的叶子节点与另一个决策的分支节点相连接,则继续对另一个决策树进行遍历,得到另一个决策树的叶子节点信息,以此类推,根据预警树模型中所有与目标异常特征相匹配的决策树的叶子节点的信息得到目标异常分析结果。
本实施例提供的一种面向核电行业的网络异常行为检测分析方法,预警树模型的每个决策树相互独立,并各自输出在某种异常分析要求下的结果,可以根据实际需求确定决策树的数量,使得整个预警树模型能够承载较大数据量以及适应各种分析要求。
需要说明的是,本申请的预警树模型中看做是一个面向核电行业的庞大规则分析库,其中涵盖了核电行业中和网络异常检测分析相关的各种异常分析规则,可以通过决策树算法实现自动匹配并应用相应的异常分析规则,以提供准确且及时的异常分析结果。
具体地,决策树可以用于知识表示,知识表示是指将人理解的知识表示成机器能够处理的数据结构,本申请实施例的知识是指根据核电行业中的专家经验整理得到的各种异常分析规则,也就是说,将核电行业中的异常分析规则以决策树的形式表示出来。
在步骤S13一种可能的实现方式中,决策树的分支节点和子路径表示异常分析规则的条件部分,叶子节点表示异常分析规则的结论部分。在对目标异常特征沿子路径进行划分,直至到达某个叶子节点的过程中,所经过的节点和子路径的组合表示一条异常分析规则。
可选的,分支节点与子节点通过逻辑门进行连接;逻辑门包括与门、或门、异或门、优先与门、禁门和表决门中的至少一种。
示例性的,与门可以是分支节点A和分支节点B的和关系,共同对子节点C进行作用。或门可以是分支节点A和分支节点B的或关系,满足其中分支节点A或分支节点B就可以对子节点C进行作用。异或门可以是分支节点A和分支节点B均满足条件,或者分支节点A和分支节点B均不满足条件时,可以对子节点C进行作用。优先与门可以是分支节点A和分支节点B既有与关系,又有或关系时,当分支节点A和分支节点B是和关系的时候,优先对子节点C进行作用。禁止门可以是禁止分支节点A对子节点C产生作用。表决门可以是在N个分支节点中存在满足预设数量个满足条件的分支节点的时候,可以对子节点C产生作用。
在上述方案中,通过逻辑门连接不同的分支节点,表明不同节点之间的逻辑关系,有助于理解异常行为的分析过程。
在步骤S11的一种可能的实现方式中,核电网络数据可以是指核电行业中发生某些网络异常事件前一段时间的网络、设备、系统和应用程序等方面的相关数据,通过对核电网络数据进行分析,得到网络异常事件发生前的网络传输规则、设备运行规则或操作规则等,可以在后续还没有发生这些网络异常事件前进行提前预警,从而有效地消除安全隐患。
在步骤S11的一种可能的实现方式中,核电网络数据也可以是指核电行业中发生某些网络异常事件后的一段时间的网络、设备、系统和应用程序等方面的相关数据,通过对核电网络数据进行分析,得到网络异常事件的发展趋势和影响程度,可以在后续判断出各种网络异常事件的处理优先级、每种网络异常事件的处理方法等处理策略,确保对整个核电网络进行及时恢复。
可选的,步骤S11的实现方式包括使用各种传感器(如温度、压力、振动、流量等)收集设备运行状态数据;通过网络镜像收集网络流量数据,网络数据包含了设备之间的通信信息;以及从设备、系统或应用程序中收集日志文件,日志文件记录了系统操作和异常行为。
由于核电网络数据是从不同的数据源获取得到的,在一种可能的实现方式中,使用数据实时同步技术确保来自不同数据源的核电网络数据能够实时集成,数据实时同步保证了核电网络数据的时效性和完整性,对于核电行业中的数据分析尤为重要。
可选的,在步骤S11之后还包括对核电网络数据进行预处理。具体地,预处理操作包括数据清洗和数据标准化,其中,数据清洗去除重复项、修正错误数据、填补缺失值等,数据清洗提高了数据质量,确保后续分析的准确性;数据标准化是指将数据缩放到统一的范围或分布,如使用Z-score(标准分数)标准化或Min-Max(离差标准)标准化,标准化使得不同量级和分布的数据具有可比性。
可选的,在对核电网络数据进行预处理后还包括对不同来源的数据进行关联,作为示例而非限定,通过挖掘核电网络数据的时空特征,获取不同时间、不同地点以及不同设备的核电网络数据的时空关系,通过时空关系对不同来源的核电网络数据进行关联。例如,在核电行业中,来自设备D的告警信息中提取到的时空特征信息可以包括攻击者发起攻击的地点在甲区,来自设备E的告警信息中提取到的时空特征信息可以包括攻击者发起攻击的地点也在甲区,则可以通过时空特征信息推测这两起攻击的源自同一攻击者,即可以对设备D的告警信息和设备E的告警信息进行关联分析。
当然本实施例并不仅限于基于时空特征进行关联,也可以通过神经网络进行数据融合,从而关联不同来源的核电网络网络。
可选的,图3示出了一种预警树模型中的多个决策树的连接示意图。具体地,在这多个决策树中,包括异常类型分析决策树,与异常类型分析决策树连接的异常原因分析决策树,以及与异常类型分析决策树和异常原因分析决策树连接的异常处理策略分析决策树。
可选的,异常类型分析决策树可以由上往下的演绎式失效分析法,利用布林逻辑组合低阶事件,分析系统中不希望出现的状态。也可通过预警树模型学习的异常行为检测方法,从海量日志和流量元数据中选择网络的多种属性特征进行正常行为的学习,构建用户与实体的正常行为基线模型,通过正常值与异常值的偏差分析识别异常行为,超出偏差值阈值的网络行为判断为异常行为事件,并根据各种不同属性特征的偏差值大小确定各种异常行为事件的异常类型。
可选的,异常原因分析决策树可以按照故事发展得时间顺序由初始事件开始推论可能得后果,从而进行危险源辨识,系统将可能发生得某种事故与导致事故发现的各个原因之间的逻辑关系用一种树形图表示,找出事故发生的主要原因,为确定安全对策提供可靠性依据,以达到猜测与预防事故发生的目的。
可选的,异常处理策略分析决策树可以定性、定量分析当前网络的安全状态和薄弱环节,并给出响应的应对措施,预测网络安全状态的发展趋势。通过对企业安全威胁及风险的提前预警,全局视角掌握资产威胁,设备故障、网络漏洞等,自动化触发流程运转,帮助客户建立快速响应机制,对安全威胁一键封堵。
在一种可能的实现方式中,利用图3所示的预警树模型实现步骤S13,参见图4,步骤S13的一种实现方式可以包括:
S131、根据目标异常特征确定目标异常类型。
S132、根据目标异常特征和目标异常类型确定目标异常原因。
S133、根据目标异常特征、目标异常类型和目标异常原因确定目标异常处理策略。
本实施例提供的一种面向核电行业的网络异常行为检测分析方法,通过异常类型分析决策树、异常原因分析决策树和异常处理策略分析决策树依次的确定异常行为的类型,该异常行为产生的原因以及该异常行为的处理策略,通过一体化自动流程实现对异常行为的及时判断和处理。
需要说明的是,本实施例的异常类型分析决策树、异常原因分析决策树和异常处理策略分析决策树只是预警树模型中多个决策树的一部分,预警树模型还可以包括针对其它分析目的的决策树,比如异常行为统计分析决策树,可以用于统计不同异常类型对应的异常事件的增长趋势和下降趋势,异常持续时长,不同异常原因的占比,以及使用不同异常处理策略后的网络异常恢复情况等。异常行为统计分析决策树有助于对网络异常行为进行提前防护和检修,提高核电网络的可靠性。
可选的,以异常类型分析决策树为例来说明决策树的分析过程,如图5所示,步骤S131的一种实现方式可以包括以下步骤:
S1311、从异常类型分析决策树的分支节点中搜索目标分支节点。
其中,每个分支节点分别对应一种异常特征,目标分支节点对应的异常特征与目标异常特征相匹配。
S1312、根据目标异常特征的特征值,遍历异常类型分析决策树的每一层级,在当前层级的目标分支节点的至少两个子节点中确定出目标子节点。
S1313、判断目标子节点是否为目标分支节点,若是,则返回执行步骤S1312;若否,则执行步骤S1314。
S1314、判断目标子节点是否为叶子节点,若是,则执行步骤S1315;若否,则输出提示信息,提示信息用于表示搜索失败。
S1315、根据目标子节点的信息,确定目标异常类型。
参考图1中的决策树,决策树中的每个节点位于树结构的其中一个层级,以其中一个分支节点为例,假设其所在决策树的一个层级A,该分支节点对应的两个子节点则在层级A的下一个层级B中。层级可以用于表示对分支节点进行了分组,一个层级内的分支节点对应的异常特征属于同一组别,使得每个层级内的分支节点成为了可以进行比较的节点。
本实施例提供的一种面向核电行业的网络异常行为检测分析方法,异常类型分析决策树的分支节点表示异常特征,叶子节点表示异常类型,异常特征和异常类型通过决策树产生关系,决策树的搜索过程就是异常类型的分析过程,只需要从初始层级开始,通过将目标异常特征及其特征值与异常类型分析决策树中的分支节点的异常特征及其特征值进行匹配并确定新的目标子节点,最终到达叶子节点,就能确定目标异常类型。
可选的,步骤S1311的一种实现方式可以是从异常类型分析决策树的第一层级开始,将目标异常特征与当前层级中每个分支节点的异常特征进行匹配,在能够到达下一层级后再将下一层级作为当前层级,并重复上述的匹配操作,进而依次在每个层级的分支节点中搜索目标分支节点。其中,核电网络数据可能检测分析出多个不同异常类型的异常行为事件,每个层级中搜索到的目标分支节点可能是一个,也可能是多个。
可选的,步骤S1312的一种实现方式包括根据目标异常特征的特征值确定异常类型分析决策树的分支节点向下连接的子路径,以通过选取的子路径到达下一层级的分支节点或者是叶子节点。
可选的,在步骤S1314之后,当通过选取的子路径到达的目标子节点既不属于目标分支节点,也不属于叶子节点时,则该目标子节点缺少已知条件,无法判定其下一步该往哪条子路径走,此时输出提示提醒信息,用于表示这条路径搜索失败。需要说明的是,这种情况的发生可能是在因为核电网络数据提取目标异常特征的过程中出现失误,从而漏掉了这个目标子节点对应的异常特征,也有可能是在选择子路径中出现失误,走向了错误的方向,还有一种可能是异常类型分析决策树本身的知识表示不足,出现了异常类型分析决策树无法分析的异常类型,可以针对性的修正失误,比如重新检查并提取核电网络数据中的目标异常特征,重新遍历异常类型分析决策树的分支节点或者是对异常类型分析决策树进行更新,然后再根据目标异常特征确定核电网络数据中的目标异常类型。
可选的,异常原因分析决策树和异常处理策略分析决策树的分析过程和异常类型分析决策树的分析过程基本一致,只是在最开始,将异常类型分析决策树得到的异常类型作为异常原因分析决策树和异常处理策略分析决策树的其中一种异常特征,并与原有的核电网络数据中得到的目标异常特征一起输入至异常原因分析决策树和异常处理策略分析决策树中,同理,将异常原因分析决策树得到的异常原因作为异常处理策略分析决策树的其中一种异常特征。
在一种可能的实现方式中,本实施例提供的一种面向核电行业的网络异常行为检测分析方法还包括训练决策树,参见图6,决策树的训练过程包括:
S21、获取包含多种异常特征的训练样本。
S22、计算每个异常特征对应的信息增益。
S23、在训练样本中,对信息增益最大的第一异常特征创建至少两个分支节点,将训练样本按照第一异常特征划分为每个分支节点对应的第一子集。
S24、判断第一子集是否存在多种异常特征;若是,则执行步骤S25,再执行步骤S26;若否,则执行步骤S26。
S25、对第一异常特征以外信息增益最大的第二异常特征创建至少两个分支节点,并作为前一次创建的分支节点的子节点,将第一子集按照第二异常特征划分为每个分支节点对应的第二子集,直至划分得到的子集只存在一种异常特征。
S26、对异常特征创建至少两个叶子节点,并作为前一次创建的分支节点的子节点。
具体的,决策树的训练过程实质上是使用满足特征选择的准则将训练样本不断地划分为最优的子集的过程,其对于训练样本的每一次划分,都希望划分得到最优的子集,由此使得最终生成的决策树结构是最优的。决策树的生成过程所依据的特征选择的准则主要包括信息增益和信息熵,也即是通过信息增益和信息熵来度量训练样本的每次划分是否最优。
可选的,步骤S22的一种实现方式包括通过以下公式计算每个所述异常特征对应的信息增益:
其中,表示异常特征a在训练样本D的信息增益,表示训练样本D的整体熵,表示异常特征a在第i个特征取值下的特征熵,表示异常特征a在第i个特征取值下的样本数量,表示训练样本D的样本数量。
信息增益是表示以某特征属性划分训练样本前后的信息熵的差值,对于待划分的训练样本,若将划分前的信息熵表示为整体熵,将划分之后的信息熵表示为特征熵,整体熵通常是一定的,特征熵则是不定的,特征熵越小说明使用当前特征划分得到的子集的不确定性越小,也即整体熵和特征熵之间的差值越大,说明使用当前特征属性划分训练样本的不确定越小,因此可使用划分前后子集的信息熵的差值(即信息增益)来衡量使用当前特征属性对于训练样本划分效果的好坏。
在决策树的训练过程中,总是希望能更快速地达到不确定性更小的训练样本划分,使得决策树结构能达到的分类效果更优,因此通常选择信息增益最大的异常特征来划分当前的训练样本。
本实施例提供的一种面向核电行业的网络异常行为检测分析方法,计算每个异常特征对应的信息增益,信息增益表示随机变量不确定性减少的程度,将最大信息增益对应的异常特征作为划分特征并划分每个分支节点对应的训练样本,使得划分后的子集更加纯净,有助于提高决策树的预测准确性,基于分支节点创建出多个子节点,并重复上述过程,当不再产生新的划分特征时,决策树训练完成。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
对应于上文实施例所述的面向核电行业的网络异常行为检测分析方法,图7示出了本申请实施例提供的面向核电行业的网络异常行为检测分析装置的结构框图,为了便于说明,仅示出了与本申请实施例相关的部分。
参照图7,该面向核电行业的网络异常行为检测分析装置包括:
获取模块31,用于获取核电网络数据。
提取模块32,用于从核电网络数据中提取目标异常特征。
分析模块33,用于将目标异常特征输入至预警树模型,得到预警树模型输出的目标异常分析结果。
其中,如图2所示,预警树模型包括多个决策树,每个决策树包括多个节点,节点包括分支节点和叶子节点,每个分支节点与至少两个子节点通过子路径连接,且至少两个子节点为分支节点或叶子节点,多个决策树中第一决策树的叶子节点和与其存在关联关系的第二决策树的分支节点通过子路径连接;预警树模型用于对目标异常特征沿子路径进行划分,直至到达叶子节点时,根据到达的叶子节点的信息,得到目标异常分析结果。
可选的,如图3所示,多个决策树包括:
异常类型分析决策树,用于根据目标异常特征确定目标异常类型。
与异常类型分析决策树连接的异常原因分析决策树,用于根据目标异常特征和目标异常类型确定目标异常原因;
与异常类型分析决策树和异常原因分析决策树连接的异常处理策略分析决策树,用于根据目标异常特征、目标异常类型和目标异常原因确定目标异常处理策略。
在本申请的一些实施方式中,以异常类型分析决策树为例,分析模块33包括:搜索单元,用于从异常类型分析决策树的分支节点中搜索目标分支节点,每个分支节点分别对应一种异常特征,目标分支节点对应的异常特征与目标异常特征相匹配;匹配单元,用于根据目标异常特征的特征值,遍历异常类型分析决策树的每一层级,在当前层级的目标分支节点的至少两个子节点中确定出目标子节点;第一确定单元,用于当目标子节点为目标分支节点时,在目标子节点的至少两个子节点中继续确定新的目标子节点,直至新的目标子节点为所述叶子节点;第二确定单元,用于当目标子节点为叶子节点时,根据目标子节点的信息,确定目标异常类型。
在本申请的一些实施方式中,决策树的训练过程包括:获取单元,用于获取包含多种异常特征的训练样本;计算单元,用于计算每个异常特征对应的信息增益;第一创建单元,用于在训练样本中,对信息增益最大的第一异常特征创建至少两个分支节点,将训练样本按照第一异常特征划分为每个分支节点对应的第一子集;第二创建单元,用于当第一子集存在多种异常特征时,对第一异常特征以外信息增益最大的第二异常特征创建至少两个分支节点,并作为前一次创建的分支节点的子节点,将第一子集按照第二异常特征划分为每个分支节点对应的第二子集,直至划分得到的子集只存在一种异常特征;第三创建单元,用于当第一子集只存在一种异常特征时,对异常特征创建至少两个叶子节点,并作为前一次创建的分支节点的子节点。
在本申请的一些实施方式中,通过以下公式计算每个所述异常特征对应的信息增益:
其中,表示异常特征a在训练样本D的信息增益,表示训练样本D的整体熵,表示异常特征a在第i个特征取值下的特征熵,表示异常特征a在第i个特征取值下的样本数量,表示训练样本D的样本数量。
可选的,在分析模块33中,分支节点与子节点通过逻辑门进行连接;逻辑门包括与门、或门、异或门、优先与门、禁门和表决门中的至少一种。
在本申请的一些实施方式中,分析模块33还用于将多个决策树各自到达的叶子节点的信息确定为目标异常分析结果。
需要说明的是,上述装置/单元之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
图8为本申请一实施例提供的电子设备的结构示意图。如图8所示,该实施例的电子设备4包括:至少一个处理器40(图8中仅示出一个)处理器、存储器41以及存储在存储器41中并可在所述至少一个处理器40上运行的计算机程序42,处理器40执行计算机程序42时实现上述的一种面向核电行业的网络异常行为检测分析方法实施例中的步骤。
电子设备4可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。电子设备4可包括,但不仅限于,处理器40、存储器41。本领域技术人员可以理解,图8仅仅是电子设备4的举例,并不构成对电子设备4的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如还可以包括输入输出设备、网络接入设备等。
所称处理器40可以是中央处理单元(Central Processing Unit,CPU),该处理器40还可以是其他通用处理器、数字信号处理器 (Digital Signal Processor,DSP)、专用集成电路 (Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器41在一些实施例中可以是电子设备4的内部存储单元,例如电子设备4的硬盘或内存。存储器41在另一些实施例中也可以是电子设备4的外部存储设备,例如电子设备4上配备的插接式硬盘,智能存储卡(Smart Media Card, SMC),安全数字(SecureDigital, SD)卡,闪存卡(Flash Card)等。进一步地,存储器41还可以既包括电子设备4的内部存储单元也包括外部存储设备。存储器41用于存储操作系统、应用程序、引导装载程序(BootLoader)、数据以及其他程序等,例如计算机程序的程序代码等。所述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现可实现上述的一种面向核电行业的网络异常行为检测分析方法实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在移动终端上运行时,使得移动终端执行时实现可实现上述的一种面向核电行业的网络异常行为检测分析方法实施例中的步骤。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质至少可以包括:能够将计算机程序代码携带到拍照装置/终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区,根据立法和专利实践,计算机可读介质不可以是电载波信号和电信信号。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/网络设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/网络设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (7)
1.一种面向核电行业的网络异常行为检测分析方法,其特征在于,包括:
获取核电网络数据;
从所述核电网络数据中提取目标异常特征;
将所述目标异常特征输入至预警树模型,得到所述预警树模型输出的目标异常分析结果;其中,所述预警树模型包括多个决策树,每个所述决策树包括多个节点,所述节点包括分支节点和叶子节点,每个所述分支节点与至少两个子节点通过子路径连接,且所述至少两个子节点为所述分支节点或所述叶子节点,所述多个决策树中第一决策树的叶子节点和与其存在关联关系的第二决策树的分支节点通过子路径连接;所述预警树模型用于对所述目标异常特征沿所述子路径进行划分,直至到达叶子节点时,根据到达的叶子节点的信息,得到所述目标异常分析结果,其中,所述多个决策树包括:异常类型分析决策树,用于根据所述目标异常特征确定目标异常类型;与所述异常类型分析决策树连接的异常原因分析决策树,用于根据所述目标异常特征和所述目标异常类型确定目标异常原因;与所述异常类型分析决策树和所述异常原因分析决策树连接的异常处理策略分析决策树,用于根据所述目标异常特征、所述目标异常类型和所述目标异常原因确定目标异常处理策略;
所述决策树的训练过程包括:获取包含多种异常特征的训练样本;计算每个所述异常特征对应的信息增益;在所述训练样本中,对所述信息增益最大的第一异常特征创建至少两个分支节点,将所述训练样本按照所述第一异常特征划分为每个分支节点对应的第一子集;当所述第一子集存在多种异常特征时,对所述第一异常特征以外所述信息增益最大的第二异常特征创建至少两个分支节点,并作为前一次创建的分支节点的子节点,将所述第一子集按照所述第二异常特征划分为每个分支节点对应的第二子集,直至划分得到的子集只存在一种异常特征;当所述第一子集只存在一种异常特征时,对所述异常特征创建至少两个叶子节点,并作为前一次创建的分支节点的子节点;
其中,通过以下公式计算每个所述异常特征对应的信息增益:
表示异常特征a在训练样本D的信息增益,表示训练样本D的整体熵,表示异常特征a在第i个特征取值下的特征熵,表示异常特征a在第i个特征取值下的样本数量,表示训练样本D的样本数量。
2.根据权利要求1所述的面向核电行业的网络异常行为检测分析方法,其特征在于,所述根据所述目标异常特征分析得到目标异常类型的步骤包括:
从所述异常类型分析决策树的分支节点中搜索目标分支节点;每个所述分支节点分别对应一种异常特征,所述目标分支节点对应的异常特征与所述目标异常特征相匹配;
根据所述目标异常特征的特征值,遍历所述异常类型分析决策树的每一层级,在当前层级的所述目标分支节点的至少两个子节点中确定出目标子节点;
当所述目标子节点为所述目标分支节点时,在所述目标子节点的至少两个子节点中继续确定新的目标子节点,直至所述新的目标子节点为所述叶子节点;
当所述目标子节点为所述叶子节点时,根据所述目标子节点的信息,确定所述目标异常类型。
3.根据权利要求1所述的面向核电行业的网络异常行为检测分析方法,其特征在于,所述每个所述分支节点与至少两个子节点通过子路径连接包括:
所述分支节点与所述子节点通过逻辑门进行连接;所述逻辑门包括与门、或门、异或门、优先与门、禁门和表决门中的至少一种。
4.根据权利要求1所述的面向核电行业的网络异常行为检测分析方法,其特征在于,所述根据到达的所述叶子节点的信息,得到所述目标异常分析结果的步骤包括:
将所述多个决策树各自到达的叶子节点的信息确定为所述目标异常分析结果。
5.一种面向核电行业的网络异常行为检测分析装置,其特征在于,包括:
获取模块,用于获取核电网络数据;
提取模块,用于从所述核电网络数据中提取目标异常特征;
分析模块,用于将所述目标异常特征输入至预警树模型,得到所述预警树模型输出的目标异常分析结果;其中,所述预警树模型包括存在关联关系的多个决策树,每个所述决策树包括多个节点,所述节点包括分支节点和叶子节点,每个所述分支节点与至少两个子节点通过子路径连接,且所述至少两个子节点为所述分支节点或所述叶子节点,所述多个决策树中第一决策树的叶子节点和与其存在关联关系的第二决策树的分支节点通过子路径连接;所述预警树模型用于对所述目标异常特征沿所述子路径进行划分,直至到达叶子节点时,根据到达的叶子节点的信息,得到所述目标异常分析结果,其中,所述多个决策树包括:异常类型分析决策树,用于根据所述目标异常特征确定目标异常类型;与所述异常类型分析决策树连接的异常原因分析决策树,用于根据所述目标异常特征和所述目标异常类型确定目标异常原因;与所述异常类型分析决策树和所述异常原因分析决策树连接的异常处理策略分析决策树,用于根据所述目标异常特征、所述目标异常类型和所述目标异常原因确定目标异常处理策略;
所述决策树的训练过程包括:获取包含多种异常特征的训练样本;计算每个所述异常特征对应的信息增益;在所述训练样本中,对所述信息增益最大的第一异常特征创建至少两个分支节点,将所述训练样本按照所述第一异常特征划分为每个分支节点对应的第一子集;当所述第一子集存在多种异常特征时,对所述第一异常特征以外所述信息增益最大的第二异常特征创建至少两个分支节点,并作为前一次创建的分支节点的子节点,将所述第一子集按照所述第二异常特征划分为每个分支节点对应的第二子集,直至划分得到的子集只存在一种异常特征;当所述第一子集只存在一种异常特征时,对所述异常特征创建至少两个叶子节点,并作为前一次创建的分支节点的子节点;
其中,通过以下公式计算每个所述异常特征对应的信息增益:
表示异常特征a在训练样本D的信息增益,表示训练样本D的整体熵,表示异常特征a在第i个特征取值下的特征熵,表示异常特征a在第i个特征取值下的样本数量,表示训练样本D的样本数量。
6.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至4任一项所述的面向核电行业的网络异常行为检测分析方法。
7.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的面向核电行业的网络异常行为检测分析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410928414.4A CN118487872B (zh) | 2024-07-11 | 2024-07-11 | 一种面向核电行业的网络异常行为检测分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410928414.4A CN118487872B (zh) | 2024-07-11 | 2024-07-11 | 一种面向核电行业的网络异常行为检测分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN118487872A CN118487872A (zh) | 2024-08-13 |
| CN118487872B true CN118487872B (zh) | 2024-10-01 |
Family
ID=92195294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410928414.4A Active CN118487872B (zh) | 2024-07-11 | 2024-07-11 | 一种面向核电行业的网络异常行为检测分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118487872B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN119052003B (zh) * | 2024-11-01 | 2025-01-03 | 湖北能源集团西北新能源发展有限公司 | 一种数据安全与网络安全监控系统及方法 |
| CN119728389B (zh) * | 2024-12-18 | 2025-09-23 | 深圳供电局有限公司 | 双模通信抄表异常分析方法及相关装置 |
| CN119644184B (zh) * | 2025-02-19 | 2025-07-18 | 宁德时代新能源科技股份有限公司 | 电池失效分析方法、装置、设备、存储介质和程序产品 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935063A (zh) * | 2020-05-28 | 2020-11-13 | 国网电力科学研究院有限公司 | 一种终端设备异常网络访问行为监测系统及方法 |
| CN116582417A (zh) * | 2023-07-14 | 2023-08-11 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、计算机设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100628329B1 (ko) * | 2005-07-30 | 2006-09-27 | 한국전자통신연구원 | 네트워크 세션 특성 정보에 대한 공격 행위 탐지규칙 생성장치 및 그 방법 |
-
2024
- 2024-07-11 CN CN202410928414.4A patent/CN118487872B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935063A (zh) * | 2020-05-28 | 2020-11-13 | 国网电力科学研究院有限公司 | 一种终端设备异常网络访问行为监测系统及方法 |
| CN116582417A (zh) * | 2023-07-14 | 2023-08-11 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN118487872A (zh) | 2024-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN118487872B (zh) | 一种面向核电行业的网络异常行为检测分析方法 | |
| CN117544420B (zh) | 一种基于数据分析的融合系统安全管理方法及系统 | |
| CN110598180B (zh) | 一种基于统计分析的事件检测方法、装置及系统 | |
| US12206694B2 (en) | Cyberattack identification in a network environment | |
| CN119182607B (zh) | 一种网络异常检测方法、装置、模型训练方法及电子设备 | |
| CN112925805A (zh) | 基于网络安全的大数据智能分析应用方法 | |
| CN112560029A (zh) | 基于智能分析技术的网站内容监测和自动化响应防护方法 | |
| EP2747365A1 (en) | Network security management | |
| CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
| CN117978480A (zh) | 基于海量告警信息的网络态势感知方法及装置 | |
| CN118041587A (zh) | 一种网络安全测试评估系统及方法 | |
| CN113378161A (zh) | 一种安全检测方法、装置、设备及存储介质 | |
| CN113032774B (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 | |
| KR20220116410A (ko) | 보안 규제 준수 자동화 장치 | |
| RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
| CN112600828B (zh) | 基于数据报文的电力控制系统攻击检测防护方法及装置 | |
| CN113535458A (zh) | 异常误报的处理方法及装置、存储介质、终端 | |
| CN118432873A (zh) | 一种异常识别方法、装置、设备及介质 | |
| CN117708808A (zh) | 安全事件识别方法、设备以及计算机可读存储介质 | |
| US11914461B1 (en) | Organization segmentation for anomaly detection | |
| CN115659351B (zh) | 一种基于大数据办公的信息安全分析方法、系统及设备 | |
| CN114205146A (zh) | 一种多源异构安全日志的处理方法及装置 | |
| CN114363148A (zh) | 一种检测攻击告警的方法、装置、检测设备及存储介质 | |
| CN114186232A (zh) | 一种网络攻击团队识别方法、装置、电子设备及存储介质 | |
| CN113055396B (zh) | 一种跨终端溯源分析的方法、装置、系统和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |