本发明涉及异常数据列表检测领域,特别是涉及一种异常数据列表的确定方法、电子设备及存储介质。
背景技术:
1、目前,工控系统中各种控制设备,如变频器、断路器等,通常是通过相关接入网络的电子设备进行远程控制;由于控制相关工控设备的电子设备接入到网络之中,那么,攻击者则能够利用网络漏洞在电子设备上植入恶意程序,对相关工控设备进行恶意控制;恶意程序运行时会向攻击者的电子设备发送心跳包序列,以保持通讯连接;即使能够获取到恶意程序向攻击者的电子设备发送心跳包序列,由于该心跳包序列与正常的心跳包序列没有区别,因此,无法检测出恶意程序所发送的异常心跳包序列。
技术实现思路
1、针对上述技术问题,本发明采用的技术方案为:
2、根据本申请的第一方面,提供了一种异常数据列表的确定方法,所述方法包括以下步骤:
3、s100,获取w个目标设备在预设时间段内发送的所有的目标数据,以得到每一目标设备对应的至少一个目标数据列表;各目标设备为工控系统中的用于处理相同事件的同类型的电子设备;任一目标数据的数据大小均小于预设阈值,且同一目标数据列表内相邻两个目标数据的数据发送时间的时间间隔属于预设时间范围内;
4、s110,对各目标设备对应的所有目标数据列表进行特征提取,以得到数据列表特征向量组集h=(h1,h2,…,hv,…,hw),v=1,2,…,w;其中,hv为第v个目标设备对应的数据列表特征向量组;hv=(hv,1,hv,2,…,hv,v1,…,hv,y(v)),v1=1,2,…,y(v);hv,v1为第v个目标设备对应的第v1个目标数据列表的数据列表特征向量,y(v)为第v个目标设备对应的目标数据列表的数量;
5、s120,遍历hv,若hv,v1与h中除hv外的任意数据列表特征向量组不符合第一预设匹配条件,则将hv,v1对应的目标数据列表确定为第v个目标设备的异常目标数据列表。
6、根据本申请的另一方面,还提供了一种非瞬时性计算机可读存储介质,存储介质中存储有至少一条指令或至少一段程序,至少一条指令或至少一段程序由处理器加载并执行以实现上述异常数据列表的确定方法。
7、根据本申请的另一方面,还提供了一种电子设备,包括处理器和上述非瞬时性计算机可读存储介质。
8、本发明至少具有以下有益效果:
9、本发明的异常数据列表的确定方法,正常情况下,同一工控系统中多个用于处理相同事件的同类型的目标设备上所安装的应用软件及各应用软件所发送的目标数据列表,即心跳包序列的特征向量是相同的;而如果某一待检测目标数据列表为正常的目标数据列表,那么,该正常目标数据列表的数据列表特征向量应当能够与每一目标设备所发送的目标数据列表的数据列表特征向量均能够匹配;否则,可判断待检测目标数据列表为对应的目标设备发送的异常目标数据列表;因此,本申请能够通过对比各目标设备发送的目标数据列表的数据列表特征向量,来达到确定出异常目标数据列表的目的。
1.一种异常数据列表的确定方法,其特征在于,所述方法包括以下步骤:
2.根据权利要求1所述的异常数据列表的确定方法,其特征在于,所述数据列表特征向量包括目标数据列表内的目标数据的报文长度、目标数据列表内目标数据的字段数、目标数据列表内各相邻的目标数据发送的时间间隔的均值和目标数据列表内各目标数据的数据大小的均值。
3.根据权利要求2所述的异常数据列表的确定方法,其特征在于,所述第一预设匹配条件包括:hv,v1与h中除hv外的任意数据列表特征向量组中的任意数据列表特征向量对应的目标数据的报文长度相等,目标数据的字段数相等,目标数据发送的时间间隔的均值属于第一预设范围且各目标数据的数据大小的均值属于第二预设范围。
4.根据权利要求1所述的异常数据列表的确定方法,其特征在于,所述目标设备为服务器。
5.根据权利要求1所述的异常数据列表的确定方法,其特征在于,所述目标数据列表通过以下步骤得到:
6.根据权利要求5所述的异常数据列表的确定方法,其特征在于,所述步骤s210包括以下步骤:
7.根据权利要求5所述的异常数据列表的确定方法,其特征在于,所述步骤s210包括以下步骤:
8.一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,其特征在于,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如权利要求1-7中任意一项所述的异常数据列表的确定方法。
9.一种电子设备,其特征在于,包括处理器和权利要求8中所述的非瞬时性计算机可读存储介质。