一种工业终端主机监测方法与流程

1.本发明属于网络安全的技术领域，特别是涉及一种工业终端主机监测方法。


背景技术：

2.在计算机技术的大力发展下，工程师站、操作员站等工业主机是工业控制系统重要组成部分。工业主机的安全关乎整个工业控制系统的安全级。如果工控主机感染病毒或恶意程序，将对工业控制系统形成严重的安全威胁，一旦受到攻击，将会导致直接的经济损失，甚至酿成重大的生产安全事故。大量已发生的席卷全球的工控网络安全事件也表明，工控主机是一个脆弱的、极易被利用的攻击入口。
3.现有技术中，主机监测过程中主要是检测某一具体行为是否异常，同时由于攻击类型的多样化以及行为数据量不足，是的针对主机攻击行为的多分类效果不好，难以实现对主机安全的精准化管理。


技术实现要素：

4.发明目的：提出一种工业终端主机监测方法，以解决现有技术存在的上述问题，通过监视和分析主机防御情况，提高入侵检测效果，生成针对性的防御方案，增强安全性能。
5.技术方案：第一方面，提出了一种工业终端主机监测方法，该方法具体包括以下步骤：步骤1、实时捕捉工业终端主机作业状态下的日志数据包；实时捕捉工业终端主机作业状态下的日志数据包的过程中，为了减少实时监测过程中作业资源的占用情况，提高监测效率，进一步构建数据访问白名单；当作业过程是与白名单中的对象进行数据时，根据预设的时间段周期性的捕捉日志数据包；当作业过程不是与白名单中的对象进行数据时，实时捕捉日志数据包；步骤2、对所述日志数据包进行解析；步骤3、对解析后的数据进行特征获取；对解析后的数据进行特征获取的过程具体包括以下步骤：步骤3.1、根据需求构建滑动窗口；步骤3.2、根据所述滑动窗口进行数据截取，获得长度一致的字节片段序列；步骤3.3、通过频率计算获得字节片段序列的频度列表；步骤3.4、将所述频度列表作为一维向量构建特征向量表；步骤4、构建异常分析模型，并对获取到的特征进行分析；步骤5、根据分析结果生成应对方案，实现针对性的入侵防御。
6.在第一方面的一些可实现方式中，异常分析模型包括生成网络模块和判别网络模块，生成网络模块在模型训练的过程中根据训练集的学习，加入随机噪声生成新的样本；判别网络模块用于对输入的样本判断对应的标签。异常分析模型根据接收到的数据生成重构数据，并设定阈值，比对输入与重构之间的差值，进行数据重构实现异常判断；误差值的获
取方式为：式中，表示实际输入数据；表示重构数据；表示数据对应的向量维度。
7.为了提高所述异常分析模型的性能，利用目标函数对其进行性能训练；所述目标函数的表达式为：式中，表示实际数据服从分布；表示生成网络模块的输入服从分布；生成网络模块通过学习x的分布，使得生成网络模块的输出服从达到误导判别网络模块的目的；表示判别网络模块对生成网络模块生成的数据来源进行估计。
8.对所述异常分析模型进行性能训练的过程中，为了减少目标函数出现梯度漂移和梯度消失的问题产生，对所述目标函数进行优化；优化后的目标函数为：式中，表示被判定为正确类别的样本集合对其是否来自实际样本集合进行估计；表示预测样本标签与实际标签之间的平均欧式距离。表示预测样本标签与实际标签之间的平均欧式距离。
9.式中，表示判别网络模块判定样本数据来自真实数据；表示判别网络模块判定样本数据来自生成网络模块生成的数据；表示样本来自真实数据；表示样本来自生成网络模块生成的数据。
10.针对不同种类的入侵行为，进一步通过融合分析的方式，构建多层面攻击检测模型，以rf树形分类器和svm模型作为基础分类器来构建多层的异常检测分类器。
11.在第一方面的一些可实现方式中，提取数据特征的过程为：根据n个字节长度对被测文本中的文字进行滑动窗口操作，形成长度一致的字节片段序列，然后获得字节片段序列的频度列表，每个列表都是最终构成特征向量表的一维向量。
12.经过上述处理后的特征表达式为：经过上述处理后的特征表达式为：经过上述处理后的特征表达式为：式中，m表示获取到的样本数量；表示第i个数据特征；表示样本特征集合
的模；表示用于模型训练的所有特征；表示用于模型训练的特征数。
13.获得字节片段序列的频度列表过程为： 式中，y表示待分析的文件数据在总语料库中的总数；表示包含单词q的文档总数；表示单词q在所有词条数目中出现的次数。如果语料库中某一个文件的某一个词语，在语料库其他文件中几乎不出现，但是仅在该文件中出现的频率较高，那么这个词语就会产生相对高的权重，根据计算出的结果，生成字节片段序列的频度列表。
14.第二方面，提出一种工业终端主机监测系统用于实现工业终端主机监测方法，该系统具体包括以下模块：数据抓取模块，被设置为实时捕捉工业终端主机作业状态下的日志数据包；数据解析模块，被设置为解析数据抓取模块捕捉到的日志数据包；特征提取模块，被设置为对解析后的数据进行特征获取；异常分析模块，被设置为构建异常分析模型，获取异常入侵分析结果；方案制定模块，被设置为根据异常分析模块的分析结果生成应对方案，实现针对性的入侵防御。
15.在第二方面的一些可实现方式中，监测作业过程中，首先利用数据抓取模块实时捕捉工业终端主机作业状态下的数据包；其次，利用数据解析模块对主渠道的数据包进行数据解析；再次，对解析后的数据采用特征提取模块获取数据特征；从次，利用构建好的异常分析模型接收数据特征并分析获得异常入侵结果；最后，利用方案制定模块根据异常入侵分析结果生成对应防御方案，实现入侵预防。
16.第三方面，提出一种工业终端主机监测设备，该设备包括：处理器以及存储有计算机程序指令的存储器。其中，处理器读取并执行计算机程序指令，以实现工业终端主机监测方法。
17.第四方面，提出一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序指令。计算机程序指令被处理器执行时，以实现工业终端主机监测方法。
18.有益效果：本发明提出了一种工业终端主机监测方法，用于监视和分析主机防御情况，通过对日志数据的异常分析，实现工业终端主机的异常检测，同时通过异常特征分析，生成对应的异常应对方案，有效实现针对性的入侵防御。
附图说明
19.图1为本发明的数据处理流程图。
具体实施方式
20.在下文的描述中，给出了大量具体的细节以便提供对本发明更为彻底的理解。然而，对于本领域技术人员而言显而易见的是，本发明可以无需一个或多个这些细节而得以实施。在其他的例子中，为了避免与本发明发生混淆，对于本领域公知的一些技术特征未进行描述。
21.在一个实施例中，随着计算机网络技术的快速发展，大众对计算机的依赖逐渐渗
透到日常生活中的方方面面，因此针对主机漏洞发起的入侵行为层出不穷。为了保证数据安全，本实例提出一种工业终端主机监测方法，用于监视和分析主机防御情况，提高入侵检测效果，生成针对性的防御方案，增强安全性能。如图1所示，该方法具体包括以下步骤：步骤1、实时捕捉工业终端主机作业状态下的日志数据包；步骤2、对日志数据包进行数据解析；步骤3、提取解析后数据的特征；具体的，提取数据特征的过程为：根据n个字节长度对被测文本中的文字进行滑动窗口操作，形成长度一致的字节片段序列，然后获得字节片段序列的频度列表，每个列表都是最终构成特征向量表的一维向量。
22.经过上述处理后的特征表达式为：经过上述处理后的特征表达式为：经过上述处理后的特征表达式为：式中，m表示获取到的样本数量；表示第i个数据特征；表示样本特征集合的模；表示用于模型训练的所有特征；表示用于模型训练的特征数。
23.在进一步的实施例中，将上述获取的特征再导入频率计算模型中，获得最终的数据特征。其中频率计算模型的运算过程为：式中，y表示待分析的文件数据在总语料库中的总数；表示包含单词q的文档总数；表示单词q在所有词条数目中出现的次数。如果语料库中某一个文件的某一个词语，在语料库其他文件中几乎不出现，但是仅在该文件中出现的频率较高，那么这个词语就会产生相对高的权重。
24.本实施例通过结合频率的特征提取，可以有效提高关键特征的提取，从而提高后续的模型分析性能。
25.步骤4、构建异常分析模型，并对获取到的特征进行分析；具体的，异常分析模型可以对主机当前遭受入侵的风险程度进行评估，且评估结果用于作为维护人员部署安全策略的参考依据。
26.异常分析模型包括生成网络模块和判别网络模块，生成网络模块在模型训练的过程中根据训练集的学习，加入随机噪声生成新的样本；判别网络模块用于对输入的样本判断对应的标签。
27.通过数据x进行训练后，异常分析模型就会具有重构与x处于相同分布的其他数据能力，当一个数据具有与x不同的数据分布规律时，重构结果与其本身会存在明显误差，随后通过设定阈值，比对输入与重构之间的差值，进而实现异常判断。
28.其中，异常分析模型根据接收到的数据生成重构数据，并设定阈值，比对输入与重构之间的差值，进行数据重构实现异常判断；误差值的获取方式为：
式中，表示实际输入数据；表示重构数据；表示数据对应的向量维度。
29.为了提高异常分析模型的性能，利用目标函数对其进行性能训练，其中，目标函数的表达式为：式中，表示实际数据服从分布；表示生成网络模块的输入z服从分布；生成网络模块通过学习x的分布，使得生成网络模块的输出服从达到误导判别网络模块的目的；表示判别网络模块对生成网络模块生成的数据来源进行估计。
30.步骤5、根据特征分析结果生成对应方案，实现针对性的入侵防御。
31.本实施例通过对日志数据的异常分析，实现工业终端主机的异常检测，同时通过异常特征分析，生成对应的异常应对方案，有效实现针对性的入侵防御。
32.在进一步的实施例中，构建白名单数据交互对象，将绝对安全的数据交互对象加入白名单中，在实际监测作业过程中，当作业过程是与白名单中的对象进行数据时，根据预设的时间段周期性的捕捉日志数据包；当作业过程不是与白名单中的对象进行数据时，实时捕捉日志数据包。
33.本实施例通过添绝对白名单的方式，在工业终端监测过程中，减少实时捕捉分析数据的方式，有效减少运算资源的占用率，同时，针对绝对白名单采用周期性的数据捕捉分析方式，可以在减少数据分析过程占用运算资源的过程中，避免因绝对信任导致的突发性入侵事件产生。
34.在进一步的实施例中，由于实际作业过程中存在属性取值敏感或部分样本数据不服从独立分布的现象，进而导致目标函数出现梯度漂移或梯度消失的问题，因此，本实施例对目标函数进行优化，针对在数据的非凸区间上因数据不一致或噪声导致的损失函数偏离实际值的现象，进行损失降低。其中，优化后目标函数为：式中，表示被判定为正确类别的样本集合对其是否来自实际样本集合进行估计；表示预测样本标签与实际标签之间的平均欧式距离。
35.具体的，具体的，式中，表示判别网络模块判定样本数据来自真实数据；表示判别网络模块判定样本数据来自生成网络模块生成的数据；表示样本来自真实数据；表示样本来自生成网络模块生成的数据。
36.在进一步的实施例中，针对现有技术中具备针对性的入侵检测方法，本实施例通过融合分析的方式，构建多层面攻击检测模型，以rf树形分类器和svm模型作为基础分类器来构建多层的异常检测分类器。优选实施例中，以6种攻击行为为例，多层面攻击检测模型的第一层将数据分成两组：第一组和第二组，其中第一组只包含正常数据，第二组包含6种异常数据；第二层继续将第二组分成第三组、第四组和第五组；第三层继续将第三组、第四组和第五组细分成6种攻击类型，该模型包含rf分类器和svm分类器，具体地，模型第一层采用svm分类器、第二层采用rf分类器，而针对第三层第三组与第四组采用rf分类器划分，第五组采用svm分类器划分。
37.在一个实施例中，提出一种工业终端主机监测系统用于实现工业终端主机监测方法，该系统具体包括以下模块：数据抓取模块，被设置为实时捕捉工业终端主机作业状态下的日志数据包；数据解析模块，被设置为解析数据抓取模块捕捉到的日志数据包；特征提取模块，被设置为对解析后的数据进行特征获取；异常分析模块，被设置为构建异常分析模型，获取异常入侵分析结果；方案制定模块，被设置为根据异常分析模块的分析结果生成应对方案，实现针对性的入侵防御。
38.在进一步的实施例中，首先利用数据抓取模块实时捕捉工业终端主机作业状态下的数据包；其次，利用数据解析模块对主渠道的数据包进行数据解析；再次，对解析后的数据采用特征提取模块获取数据特征；从次，利用构建好的异常分析模型接收数据特征并分析获得异常入侵结果；最后，利用方案制定模块根据异常入侵分析结果生成对应防御方案，实现入侵预防。
39.在一个实施例中，提出一种工业终端主机监测设备，该设备包括：处理器以及存储有计算机程序指令的存储器。
40.其中，处理器读取并执行计算机程序指令，以实现工业终端主机监测方法。
41.在一个实施例中，提出一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序指令。
42.其中，计算机程序指令被处理器执行时，以实现工业终端主机监测方法。
43.如上所述，尽管参照特定的优选实施例已经表示和表述了本发明，但其不得解释为对本发明自身的限制。在不脱离所附权利要求定义的本发明的精神和范围前提下，可对其在形式上和细节上做出各种变化。