公开(公告)号：CN115913703A

公开(公告)日：2023-04-04

申请号：CN202211417097.7

申请日：2022-11-14

Applicant: 中国电子科技网络信息安全有限公司

Inventor： 许珑于 ,  徐砚 ,  李立

IPC: H04L9/40 ,  H04L41/14 ,  H04L41/142

Abstract: 本发明公开了一种通用工业协议异常报文检测方法、系统、设备及介质，其中方法包括：数据预处理：对工控协议的原始流量数据报文进行处理并获得数字化的报文表征形式；训练算法构建：基于多分类的识别方式对不同标签的报文正样本进行多分类模型训练，生成基于LightGBM的可更新的检测模型；异常报文检测：利用Top‑K准则设置阈值，判断工控协议报文是否异常。本发明摆脱了基于人工分析提取特征的依赖，直接采用原始流量样本数据，充分利用字节报文的表征信息，通过lightgbm的并行训练，高效快速得到检测模型，可有效检测出异常报文，此方案适用于所有工控协议的异常报文检测。

公开(公告)号：CN115913703B

公开(公告)日：2024-06-18

申请号：CN202211417097.7

申请日：2022-11-14

Applicant: 中国电子科技网络信息安全有限公司

Inventor： 许珑于 ,  徐砚 ,  李立

IPC: H04L9/40 ,  H04L41/14 ,  H04L41/142

Abstract: 本发明公开了一种通用工业协议异常报文检测方法、系统、设备及介质，其中方法包括：数据预处理：对工控协议的原始流量数据报文进行处理并获得数字化的报文表征形式；训练算法构建：基于多分类的识别方式对不同标签的报文正样本进行多分类模型训练，生成基于LightGBM的可更新的检测模型；异常报文检测：利用Top‑K准则设置阈值，判断工控协议报文是否异常。本发明摆脱了基于人工分析提取特征的依赖，直接采用原始流量样本数据，充分利用字节报文的表征信息，通过lightgbm的并行训练，高效快速得到检测模型，可有效检测出异常报文，此方案适用于所有工控协议的异常报文检测。