(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111483574.5 (22)申请日 2021.12.07 (71)申请人 集美大学 地址 361021 福建省厦门市集美区银 江路 185号 (72)发明人 谢加良　王鸿辉　刘雅茹　 (74)专利代理 机构 泉州市潭思专利代理事务所 (普通合伙) 35221 代理人 朱玉珍 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/14(2022.01) H04L 41/147(2022.01) H04L 43/16(2022.01) (54)发明名称 一种网络访问行为检测方法及装置 (57)摘要 本申请实施例提供了一种网络访问行为检 测方法及装置， 该方法包括在检测到访问工业控 制系统的任一网络访问请求时， 获取针对网络访 问请求的具有多个特征属性的网络访问行为数 据包， 对具有多个特征属性的网络访问行为数据 包进行特征选择， 确定出至少一个特征属性满足 设定要求的网络访问行为数据， 通过异常行为检 测模型， 对至少一个特征属性满足设定要求的网 络访问行为数据进行处理， 确定出网络访问请求 的网络访问行为类型， 根据网络访问请求的网络 访问行为类型， 确定是否允许网络访问请求。 如 此， 该方案通过基于距离度量所构造出的异常行 为检测模型能够及时准确地检测出异常网络访 问行为， 从而可以有效地提高网络访问行为检测 的性能。 权利要求书2页 说明书13页 附图2页 CN 114285604 A 2022.04.05 CN 114285604 A 1.一种网络访问行为检测方法， 其特 征在于， 包括： 在检测到访问工业控制系统的任一网络访问请求 时， 获取针对所述网络访问请求的具 有多个特征属性的网络访问行为数据包； 对所述具有多个特征属性的网络访问行为数据包进行特征选择， 确定出至少一个特征 属性满足设定要求的网络访问行为数据； 通过异常行为检测模型， 对所述至少一个特征属性满足设定要求的网络访问行为数据 进行处理， 确定出所述网络访问请求的网络访问行为类型； 所述异常行为检测模型是基于 标注网络访问行为类型的历史网络访问行为样本集的距离度量确定的； 根据所述网络访问请求的网络访问行为类型， 确定是否允许 所述网络访问请求。 2.如权利要求1所述的方法， 其特征在于， 所述对所述具有多个特征属性的网络访问行 为数据包进行特征选择， 确定出至少一个特征属 性满足设定要求的网络访问行为数据， 包 括： 通过设定的特征选择算法， 对所述具有多个特征属性的网络访问行为数据包进行处 理， 确定出多个特 征属性各自对应的特 征值； 针对每个特征属性， 若所述特征属性对应的特征值大于等于特征阈值， 则将所述特征 属性的网络访问行为数据确定为用于 输入至所述异常行为检测模型的网络访问行为数据。 3.如权利要求1所述的方法， 其特征在于， 在对所述具有多个特征属性的网络访问行为 数据包进行 特征选择之前， 还 包括： 对所述具有多个特征属性的网络访问行为数据包中的各网络访问行为数据进行转换 处理， 得到转换后的各网络访问行为数据； 对所述转换后的各网络访问行为数据进行归一化处理， 得到归一化后的各网络访问行 为数据。 4.如权利要求1所述的方法， 其特征在于， 基于标注网络访问行为类型的历史网络访问 行为样本集的距离度量确定所述异常行为检测模型， 包括： 通过网络访问行为类型属于正常网络访问行为的标准网络访问行为样本和网络访问 行为类型属于异常网络访问行为的标准网络访问行为样本， 构建初始的异常行为检测模 型； 针对历史网络访问行为样本集中的每个网络访问行为样本， 将所述网络访问行为样本 输入至所述初始的异常行为检测模型， 确定出所述网络访问行为样本的预测网络访问行为 类型； 通过所述网络访问行为样本的预测网络访问行为类型和所述网络访问行为样本的标 注网络访问行为类型， 调整 所述初始的异常行为检测模型， 直至满足设定条件， 得到所述异 常行为检测模型。 5.如权利要求4所述的方法， 其特征在于， 所述将所述网络访问行为样本输入至所述初 始的异常行为检测模型， 确定出 所述网络访问行为样本的预测网络访问行为类型， 包括： 确定所述网络访问行为样本与所述正常网络访问行为的标准网络访问行为样本的第 一距离度量， 并确定所述网络访问行为样本与 异常网络访问行为的标准网络访问行为样本 的第二距离度量； 确定所述第一距离度量是否小于等于所述第二距离度量；权　利　要　求　书 1/2 页 2 CN 114285604 A 2若是， 则确定所述网络访 问行为样本的预测网络访 问行为类型为正常网络访 问行为， 否则确定所述网络访问行为样本的预测网络访问行为类型为异常网络访问行为。 6.如权利要求1所述的方法， 其特征在于， 距离度量用于表征相同网络访问行为类型的 网络访问行为数据之间的相似程度， 以及用于表征不同网络访问行为类型的网络访问行为 数据之间的相似程度。 7.如权利要求1至6任一项所述的方法， 其特征在于， 根据所述网络访 问请求的网络访 问行为类型， 确定是否允许 所述网络访问请求， 包括： 若所述网络访问请求的网络访问行为类型为正常网络访问行为， 则允许所述网络访问 请求针对所述工业控制系统的访问； 若所述网络访问请求的网络访问行为类型为异常网络访问行为， 则拒 绝所述网络访问 请求针对所述工业控制系统的访问。 8.一种网络访问行为检测装置， 其特 征在于， 包括： 获取单元， 用于在检测到访 问工业控制系统的任一网络访 问请求时， 获取针对所述网 络访问请求的具有 多个特征属性的网络访问行为数据包； 处理单元， 用于对所述具有多个特征属性的网络访 问行为数据包进行特征选择， 确定 出至少一个特征属 性满足设定要求的网络访问行为数据； 通过异常行为检测模型， 对所述 至少一个特征属性满足设定要求的网络访问行为数据进行 处理， 确定出所述网络访问请求 的网络访问行为类型； 所述异常行为检测模型是基于标注网络访问行为类型的历史网络访 问行为样本集的距离度量确定的； 根据所述网络访问请求的网络访问行为类型， 确定是否 允许所述网络访问请求。 9.一种计算设备， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于调用所述存储器 中存储的计算机程序， 按照获得的程序 执行权利要求1至 7任一项所述的方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机可 执行程序， 所述计算机可 执行程序用于使计算机执 行权利要求1至7任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114285604 A 3