[发明专利]攻击识别数据模型的生成与应用方法

说明书

本发明提供一种攻击识别数据模型的生成与应用方法。于训练模式下，对多个样本流量进行统计以获得可对第一数量的多个流量类别进行识别的多个样本值，执行分类学习演算法来产生包括可对大于第一数量的第二数量的多个流量类别进行识别的多个识别特征的攻击识别数据模型。于识别模式下，识别模块基于攻击识别数据模型分类多个陌生流量至白名单或黑名单的流量类别。本发明基于相同数量的样本流量可识别更多种的流量类别，并可准确判断未定义的陌生流量属于白名单或黑名单。

技术领域

本发明与网络攻击的识别有关，特别涉及攻击识别数据模型的生成与应用方法。

背景技术

于通信网络中(如网际网络或区域网络)，电脑装置间是通过传递数据流量来进行通信。然而，恶意的流量(即攻击行为)可能导致电脑装置故障。

为了检测来自网络上的攻击，现有攻击识别技术是事先收集已知流量(如封包)的数值，并于收到陌生流量时，将陌生流量的数值与已知流量的数值进行比较，若陌生流量的数值符合任一已知流量的数值，则可判定此陌生流量的目的(如正常流量或攻击流量)。

现有攻击识别技术的缺失在于，仅能对与已知流量完全相同的陌生流量进行识别，一但陌生流量与已知流量存在差异，将无法有效成功识别陌生流量的目的。

是以，现有网络攻击识别技术存在上述问题，而亟待更有效的方案被提出。

发明内容

本发明的主要目的，在于提供一种攻击识别数据模型的生成与应用方法，可基于相同数量的样本流量来对更多种的流量类别进行识别。

为达上述目的，本发明提供一种攻击识别数据模型的生成与应用方法，用于自动控制系统，攻击识别系统包括控制设备、受控设备及识别模块，攻击识别数据模型的生成与应用方法包括以下步骤：于训练模式下，对白名单或黑名单的多个样本流量的多个数值进行统计以获得多个样本值，其中基于所有样本值可对第一数量的多个流量类别进行识别；基于多个样本值与所对应的多个流量类别执行分类学习演算法来对多个样本值以外的数值进行分类，以产生攻击识别数据模型，其中攻击识别数据模型包括多个识别特征，基于所有识别特征可对第二数量的多个流量类别进行识别，第二数量大于第一数量；控制识别模块于识别模式下负责接收多个陌生流量；及，基于攻击识别数据模型的多个识别特征及各陌生流量的数值分类各陌生流量至白名单的流量类别或黑名单的流量类别，其中多个陌生流量是由控制设备发送至受控设备，或由受控设备发送至控制设备。

本发明基于少量的样本流量可识别多种的流量类别，并可准确判断未定义的陌生流量属于白名单或黑名单。

附图说明

图1为现有的攻击检测系统的运行示意图。

图2为本发明一实施方式的自动控制系统的架构图。

图3为本发明一实施方式的自动控制系统的架构图。

图4为本发明一实施方式的电脑装置的架构图。

图5为本发明第一实施例的攻击识别数据模型的生成与应用方法的流程图。

图6为本发明第二实施例的攻击识别数据模型的生成与应用方法的部分流程图。

图7为本发明第三实施例的分类学习演算法的流程图。

图8为本发明第四实施例的攻击识别数据模型的生成与应用方法的流程图。

图9为本发明第五实施例的攻击识别数据模型的生成与应用方法的流程图。

图10为本发明一实施方式的攻击识别数据模型的生成示意图。

图11为本发明一实施方式的基于单栏位的决策树演算法的执行示意图。

图12为本发明一实施方式的基于多栏位的决策树演算法的执行示意图。