欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

一種基于半監(jiān)督異常檢測的工控資產(chǎn)風(fēng)險(xiǎn)識別方法及系統(tǒng)與流程

文檔序號:40653748發(fā)布日期:2025-01-10 19:02閱讀:4來源:國知局
一種基于半監(jiān)督異常檢測的工控資產(chǎn)風(fēng)險(xiǎn)識別方法及系統(tǒng)與流程

本發(fā)明涉及網(wǎng)絡(luò)安全,具體為一種基于半監(jiān)督異常檢測的工控資產(chǎn)風(fēng)險(xiǎn)識別方法及系統(tǒng)。


背景技術(shù):

1、隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展,云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和人工智能等技術(shù)日益普及,工業(yè)控制系統(tǒng)也因此變得更加智能化和復(fù)雜化。在此背景下,資產(chǎn)識別相關(guān)的專利和應(yīng)用也越來越多。然而,由于工業(yè)控制系統(tǒng)的獨(dú)特性,其資產(chǎn)識別面臨諸多挑戰(zhàn)。與傳統(tǒng)的設(shè)備和流量特征不同,工業(yè)控制系統(tǒng)具有其獨(dú)特性,因此現(xiàn)有的資產(chǎn)識別技術(shù)很少專門針對工業(yè)控制系統(tǒng)進(jìn)行優(yōu)化。在現(xiàn)有的資產(chǎn)識別系統(tǒng)中,收集資產(chǎn)信息通常通過主動(dòng)掃描或被動(dòng)掃描的方式進(jìn)行。其中,主動(dòng)掃描往往只是簡單地發(fā)送類似nmap的掃描請求,而對于工業(yè)控制系統(tǒng),這種簡單的掃描可能無法獲取到足夠的數(shù)據(jù),甚至可能不返回流量數(shù)據(jù)。此外,對于少量返回的數(shù)據(jù),現(xiàn)有的技術(shù)也未必有能力準(zhǔn)確地識別它們。

2、此外,現(xiàn)有的資產(chǎn)識別系統(tǒng)在風(fēng)險(xiǎn)資產(chǎn)識別方面也存在明顯不足。目前,該功能通常只能手動(dòng)或聯(lián)網(wǎng)式地更新特征庫,而無法實(shí)現(xiàn)離線式的風(fēng)險(xiǎn)特征庫迭代更新。這意味著在無法聯(lián)網(wǎng)的情況下,系統(tǒng)無法獲取最新的風(fēng)險(xiǎn)特征信息,從而影響風(fēng)險(xiǎn)識別的準(zhǔn)確性。更為嚴(yán)重的是,現(xiàn)有的資產(chǎn)識別模塊普遍缺乏對資產(chǎn)突然變更的有效監(jiān)控。一旦資產(chǎn)發(fā)生人為變更,系統(tǒng)很可能將其誤判為風(fēng)險(xiǎn)資產(chǎn),從而導(dǎo)致設(shè)備被錯(cuò)誤地屏蔽,造成不必要的損失。


技術(shù)實(shí)現(xiàn)思路

1、鑒于上述現(xiàn)有存在的問題,提出了本發(fā)明。

2、因此,本發(fā)明提供了一種基于半監(jiān)督異常檢測的工控資產(chǎn)風(fēng)險(xiǎn)識別方法及系統(tǒng)解決現(xiàn)有資產(chǎn)識別技術(shù)未針對工業(yè)控制系統(tǒng)優(yōu)化、收集資產(chǎn)信息方式效果不佳、風(fēng)險(xiǎn)資產(chǎn)識別和特征庫更新存在不足及缺乏對資產(chǎn)變更有效監(jiān)控的問題。

3、為解決上述技術(shù)問題,本發(fā)明提供如下技術(shù)方案:

4、第一方面,本發(fā)明提供了一種基于半監(jiān)督異常檢測的工控資產(chǎn)風(fēng)險(xiǎn)識別方法,包括:通過結(jié)合主動(dòng)掃描、被動(dòng)掃描和日志探測三種方式獲取相關(guān)資產(chǎn)信息,基于所述相關(guān)資產(chǎn)信息提取資產(chǎn)特征流量;利用半監(jiān)督異常檢測模型對所述資產(chǎn)特征流量進(jìn)行流量異常檢測,并對流量異常的資產(chǎn)數(shù)據(jù)特征進(jìn)行更新;對所述更新的資產(chǎn)數(shù)據(jù)特征進(jìn)行特征流量哈希值匹配和特征庫比對后判斷所述資產(chǎn)信息是否存在漏洞風(fēng)險(xiǎn),并判斷資產(chǎn)的風(fēng)險(xiǎn)等級。

5、作為本發(fā)明所述的基于半監(jiān)督異常檢測的工控資產(chǎn)風(fēng)險(xiǎn)識別方法的一種優(yōu)選方案,其中:所述通過結(jié)合主動(dòng)掃描、被動(dòng)掃描和日志探測三種方式獲取相關(guān)資產(chǎn)信息包括:

6、將檢測設(shè)備連接待測目標(biāo)對象最近的交換機(jī),所述主動(dòng)掃描為主動(dòng)發(fā)送探測流量掃描所述待測目標(biāo)對象子網(wǎng)域內(nèi)的所有設(shè)備,以代理方式監(jiān)聽工控設(shè)備之間的流量,并鏈接主機(jī)掃描日志獲得各類與工控資產(chǎn)有關(guān)的信息;

7、所述被動(dòng)掃描為在不主動(dòng)發(fā)送任何探測流量的前提下,利用部署在網(wǎng)絡(luò)中的監(jiān)聽設(shè)備捕獲和分析流經(jīng)所述待測目標(biāo)對象子網(wǎng)域內(nèi)的網(wǎng)絡(luò)流量,進(jìn)而識別子網(wǎng)絡(luò)中的工控設(shè)備、服務(wù)類型、協(xié)議使用情況,還可結(jié)合日志分析工具,對收集到的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行深度挖掘,提取出與工控資產(chǎn)安全狀態(tài)相關(guān)的關(guān)鍵信息;

8、所述日志探測為接收從目標(biāo)日志文件夾中篩選主要能夠收獲資產(chǎn)信息的日志文件,對所述日志文件進(jìn)行預(yù)處理,刪除服務(wù)初始化、啟動(dòng)日志、非關(guān)鍵的權(quán)限變更與認(rèn)證失敗步驟中的信息,解析日志文件并搜索與資產(chǎn)信息相關(guān)的字段。

9、作為本發(fā)明所述的基于半監(jiān)督異常檢測的工控資產(chǎn)風(fēng)險(xiǎn)識別方法的一種優(yōu)選方案,其中:還包括:

10、將在多次流量探測后得到的固定流量通過md5加密后上傳區(qū)塊鏈,所述區(qū)塊鏈中保存所述固定流量的哈希值,若要修改或變更資產(chǎn),則運(yùn)維人員需要在區(qū)塊鏈中對應(yīng)資產(chǎn)再上傳一個(gè)常規(guī)規(guī)范流量哈希值以更新前一個(gè)固定流量,并設(shè)置變更標(biāo)簽和變更人員;

11、基于所述相關(guān)資產(chǎn)信息提取資產(chǎn)特征流量,判斷所述資產(chǎn)特征流量的哈希值與所述區(qū)塊鏈中的固定流量的哈希值是否一致,進(jìn)而確認(rèn)所述資產(chǎn)特征流量是否為資產(chǎn)的固有流量特征,若是則說明資產(chǎn)未變更,若不是則將流量處理后上傳區(qū)塊鏈中作為資產(chǎn)的常規(guī)規(guī)范流量用于判斷后續(xù)資產(chǎn)是否變更;

12、再次基于所述相關(guān)資產(chǎn)信息提取資產(chǎn)特征流量與區(qū)塊鏈中資產(chǎn)對應(yīng)的最新的常規(guī)規(guī)范流量進(jìn)行匹配,若不匹配則將資產(chǎn)標(biāo)記為待定風(fēng)險(xiǎn)資產(chǎn),并進(jìn)行特征流量哈希值匹配進(jìn)一步判斷,若匹配則判斷區(qū)塊鏈中資產(chǎn)對應(yīng)的常規(guī)規(guī)范流量是否已變更,從而得到資產(chǎn)是未變更資產(chǎn)或已變更資產(chǎn)。

13、作為本發(fā)明所述的基于半監(jiān)督異常檢測的工控資產(chǎn)風(fēng)險(xiǎn)識別方法的一種優(yōu)選方案,其中:所述利用半監(jiān)督異常檢測模型對所述資產(chǎn)特征流量進(jìn)行流量異常檢測包括:

14、利用半監(jiān)督異常檢測模型對所述資產(chǎn)特征流量進(jìn)行流量異常檢測,在獲取資產(chǎn)的異常流量數(shù)據(jù)后使用流特征提取算法提取數(shù)據(jù)特征,并將帶有特征的數(shù)據(jù)作為風(fēng)險(xiǎn)資產(chǎn)特征學(xué)習(xí)模塊的輸入,則設(shè)定輸入空間和輸出空間分別是和令φ(·;w):χ→z作為一個(gè)l層隱藏層的神經(jīng)網(wǎng)絡(luò),其中w={w1,w2,…,wl}為加權(quán)值,表示n個(gè)無標(biāo)簽樣本,表示m個(gè)有標(biāo)簽的數(shù)據(jù)樣本,其中γ={-1,+1},當(dāng)?shù)臅r(shí)候表示已知的正常樣本,表示已知的異常樣本;

15、通過訓(xùn)練學(xué)習(xí)使得以中心點(diǎn)為c的輸出空間z封閉數(shù)據(jù)球體最小化,學(xué)習(xí)訓(xùn)練后獲得新的風(fēng)險(xiǎn)資產(chǎn)特征流量存入特征庫中,其中半監(jiān)督異常檢測深度學(xué)習(xí)模型的損失函數(shù)表示為:

16、

17、其中,wl表示權(quán)值,和分別表示輸入空間和輸出控件的數(shù)據(jù)樣本,||.||f表示弗羅貝尼烏斯范數(shù),λ表示超參數(shù),參數(shù)η>0表示用于控制標(biāo)簽樣本和無標(biāo)簽樣本之間的平衡,η>1表示更為強(qiáng)調(diào)有標(biāo)簽樣本,η<1表示更為強(qiáng)調(diào)無標(biāo)簽樣本。

18、作為本發(fā)明所述的基于半監(jiān)督異常檢測的工控資產(chǎn)風(fēng)險(xiǎn)識別方法的一種優(yōu)選方案,其中:所述特征庫比對的過程包括:

19、對更新后的資產(chǎn)數(shù)據(jù)特征進(jìn)行預(yù)處理,所述預(yù)處理包括基礎(chǔ)信息提取、哈希值轉(zhuǎn)換和二進(jìn)制字節(jié)碼轉(zhuǎn)換,在所述預(yù)處理過程中將基礎(chǔ)信息中具有異常的資產(chǎn)識別出來并標(biāo)記為風(fēng)險(xiǎn)資產(chǎn);

20、將流量類型與流量協(xié)議作為特征庫的搜索索引,若流量無問題,則剔除arp廣播流量、重復(fù)流量和不可達(dá)非關(guān)鍵流量后獲得處理后的流量;

21、在所述處理后的流量的數(shù)據(jù)量較小的情況下使用線性查找算法查找風(fēng)險(xiǎn)點(diǎn),在所述處理后的流量的數(shù)據(jù)量較大的情況下按照所述特征庫中的哈希值進(jìn)行對比,所述特征庫中存放風(fēng)險(xiǎn)資產(chǎn)帶有標(biāo)簽的哈希值,只需在資產(chǎn)的流量信息中進(jìn)行查找比對,若發(fā)現(xiàn)所述帶有標(biāo)簽的哈希值,則將資產(chǎn)標(biāo)記為風(fēng)險(xiǎn)資產(chǎn)。

22、作為本發(fā)明所述的基于半監(jiān)督異常檢測的工控資產(chǎn)風(fēng)險(xiǎn)識別方法的一種優(yōu)選方案,其中:還包括:

23、根據(jù)資產(chǎn)對應(yīng)流量庫與收集到的資產(chǎn)流量數(shù)據(jù)進(jìn)行異常流量分析,在收到待定風(fēng)險(xiǎn)資產(chǎn)的流量或發(fā)現(xiàn)異常流量后,需要將所述待定風(fēng)險(xiǎn)資產(chǎn)與區(qū)塊鏈上的資產(chǎn)對應(yīng)流量進(jìn)行對比,若對比失敗,則將所述待定風(fēng)險(xiǎn)資產(chǎn)定位為風(fēng)險(xiǎn)資產(chǎn),若對比成功,則定位為正常資產(chǎn)。

24、作為本發(fā)明所述的基于半監(jiān)督異常檢測的工控資產(chǎn)風(fēng)險(xiǎn)識別方法的一種優(yōu)選方案,其中:所述判斷資產(chǎn)的風(fēng)險(xiǎn)等級包括:

25、通過各種掃描技術(shù)對風(fēng)險(xiǎn)資產(chǎn)進(jìn)行掃描識別潛在安全漏洞,每種掃描技術(shù)為每個(gè)檢測到的潛在漏洞生成評分,公式表示為:

26、

27、其中,l(x)表示資產(chǎn)x的初步漏洞評分,di(x)表示第i種技術(shù)對資產(chǎn)x的漏洞深度評估,αi表示第i種技術(shù)的權(quán)重因子,hj(x)表示第j項(xiàng)漏洞嚴(yán)重性指標(biāo)的平方根,n和m分別表示不同掃描技術(shù)和漏洞嚴(yán)重性指標(biāo)的數(shù)量;

28、對每個(gè)識別的潛在漏洞進(jìn)行嚴(yán)重性分析,并計(jì)算漏洞利用的難度、影響范圍和潛在破壞性,將所有單獨(dú)技術(shù)的評分進(jìn)行整合形成綜合評分,表示為:

29、

30、其中,k表示不同評價(jià)方法的數(shù)量,ck和βk分別表示權(quán)重因子和調(diào)節(jié)參數(shù),lk(x)表示k種不同的漏洞評價(jià)方法;

31、在得到每個(gè)資產(chǎn)的綜合評分后判定資產(chǎn)的風(fēng)險(xiǎn)等級并生成風(fēng)險(xiǎn)判定報(bào)告。

32、第二方面,本發(fā)明提供了一種基于半監(jiān)督異常檢測的工控資產(chǎn)風(fēng)險(xiǎn)識別系統(tǒng),包括:

33、資產(chǎn)收集模塊,用于通過結(jié)合主動(dòng)掃描、被動(dòng)掃描和日志探測三種方式獲取相關(guān)資產(chǎn)信息;

34、資產(chǎn)變更監(jiān)控模塊,用于基于所述相關(guān)資產(chǎn)信息提取資產(chǎn)特征流量,將在多次流量探測后得到的固定流量通過md5加密后上傳區(qū)塊鏈,所述區(qū)塊鏈中保存所述固定流量的哈希值,若要修改或變更資產(chǎn),則運(yùn)維人員需要在區(qū)塊鏈中對應(yīng)資產(chǎn)再上傳一個(gè)常規(guī)規(guī)范流量哈希值以更新前一個(gè)固定流量,并設(shè)置變更標(biāo)簽和變更人員;

35、深度學(xué)習(xí)模塊,用于利用半監(jiān)督異常檢測模型對所述資產(chǎn)特征流量進(jìn)行流量異常檢測,并對流量異常的資產(chǎn)數(shù)據(jù)特征進(jìn)行更新;

36、風(fēng)險(xiǎn)資產(chǎn)識別模塊,用于對所述更新的資產(chǎn)數(shù)據(jù)特征進(jìn)行特征流量哈希值匹配和特征庫比對后判斷所述資產(chǎn)信息是否存在漏洞風(fēng)險(xiǎn),并判斷資產(chǎn)的風(fēng)險(xiǎn)等級。

37、第三方面,本發(fā)明提供了一種計(jì)算設(shè)備,包括:

38、存儲(chǔ)器和處理器;

39、所述存儲(chǔ)器用于存儲(chǔ)計(jì)算機(jī)可執(zhí)行指令,所述處理器用于執(zhí)行所述計(jì)算機(jī)可執(zhí)行指令,該計(jì)算機(jī)可執(zhí)行指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)所述方法的步驟。

40、第四方面,本發(fā)明提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),其存儲(chǔ)有計(jì)算機(jī)可執(zhí)行指令,該計(jì)算機(jī)可執(zhí)行指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)所述方法的步驟。

41、與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果為:本發(fā)明通過結(jié)合主動(dòng)掃描、被動(dòng)掃描和日志探測三種方式獲取相關(guān)資產(chǎn)信息,能夠更加全面、更加準(zhǔn)確的收集資產(chǎn);在風(fēng)險(xiǎn)資產(chǎn)識別的基礎(chǔ)上增加資產(chǎn)變更監(jiān)控的功能,能夠感知資產(chǎn)變更,同時(shí)為異常流量分析提供了數(shù)據(jù)基礎(chǔ);且本發(fā)明區(qū)塊鏈中保存常規(guī)規(guī)范流量哈希值,并且為運(yùn)維人員變更資產(chǎn)提供了更為簡便的方案,只需重新提交一個(gè)新的常規(guī)規(guī)范流量哈希值即可,保證了資產(chǎn)數(shù)據(jù)實(shí)時(shí)性和可追蹤性;此外,本發(fā)明在具有基本風(fēng)險(xiǎn)庫和新的異常流量作為輸入的基礎(chǔ)上,能夠?qū)崿F(xiàn)輸出較為準(zhǔn)確的新的具有風(fēng)險(xiǎn)的特征值補(bǔ)充特征庫,進(jìn)而實(shí)現(xiàn)風(fēng)險(xiǎn)資產(chǎn)識別系統(tǒng)特征庫離線的更新保證了資產(chǎn)數(shù)據(jù)實(shí)時(shí)性和可追蹤性。

當(dāng)前第1頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會(huì)獲得點(diǎn)贊!
1
吉首市| 龙泉市| 湖南省| 尚志市| 宁津县| 平昌县| 甘洛县| 天柱县| 通州区| 威海市| 彰化市| 全椒县| 洛川县| 河津市| 专栏| 江源县| 石首市| 张家港市| 武定县| 孝昌县| 青河县| 金昌市| 永定县| 稻城县| 新晃| 嫩江县| 墨竹工卡县| 普安县| 诸城市| 宾川县| 鄯善县| 新蔡县| 临武县| 邯郸市| 北票市| 云安县| 嫩江县| 白沙| 海阳市| 茶陵县| 泉州市|