(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113691505A(43)申请公布日2021.11.23(21)申请号202110897841.7(22)申请日2021.08.05(71)申请人黎阳地址610000四川省成都市武侯区天府大道北段金融城(72)发明人黎阳(51)Int.Cl.H04L29/06(2006.01)H04L29/08(2006.01)权利要求书3页说明书8页附图1页(54)发明名称基于大数据的工业互联网入侵检测方法(57)摘要本发明涉及一种基于大数据的工业互联网入侵检测方法，其包括：基于所有第一终端的终端行为数据和工业互联网的历史入侵数据生成多维稳态域。根据第一时序行为特征和第二时序特征建立行为预测函数，并根据行为预测函数、当前时刻目标终端的第一行为特征和第二行为特征预测下一时刻目标终端的第一行为特征和第二行为特征以确定下一时刻目标终端的时序运行方向，然后根据下一时刻目标终端的时序运行方向得到多维稳态域的边界点；计算当前时刻的目标终端的状态点与多维稳态域的边界点的距离以得到域边界距离，并在域边界距离小于域边界阈值时拦截目标终端的所有操作行为。CN113691505ACN113691505A权利要求书1/3页1.一种基于大数据的工业互联网入侵检测方法，其特征在于，基于所有第一终端的终端行为数据和工业互联网的历史入侵数据生成多维稳态域；获取目标终端的终端行为数据并基于所述目标终端的终端行为数据获取目标终端的终端接收数据和终端发送数据；提取所述目标终端的终端发送数据的时序特征，并将其作为目标终端的第一时序行为特征；提取所述目标终端的终端接收数据的时序特征，并将其作为目标终端的第二时序行为特征；所述第一时序行为特征包括按时间顺序记录的数据发送特征；所述第二时序行为特征包括按时间顺序记录的数据接收特征；基于所述第一时序行为特征和第二时序行为特征建立行为预测函数，并基于所述第一时序行为特征提取当前时刻目标终端的第一行为特征，然后基于所述第二时序行为特征提取当前时刻目标终端的第二行为特征；所述第一行为特征为数据发送特征；所述第二行为特征为数据接收特征；基于所述行为预测函数、当前时刻目标终端的第一行为特征和当前时刻目标终端的第二行为特征预测下一时刻目标终端的第一行为特征和下一时刻目标终端的第二行为特征；基于所述当前时刻目标终端的第一行为特征、当前时刻目标终端的第二行为特征、下一时刻目标终端的第一行为特征和下一时刻目标终端的第二行为特征获取当前时刻目标终端的第一行为状态向量、当前时刻目标终端的第二行为状态向量、下一时刻目标终端的第一行为状态向量和下一时刻目标终端的第二行为状态向量；基于所述当前时刻目标终端的第一行为状态向量、当前时刻目标终端的第二行为状态向量、下一时刻目标终端的第一行为状态向量和下一时刻目标终端的第二行为状态向量确定下一时刻目标终端的时序运行方向；基于当前时刻目标终端的第一行为状态向量和当前时刻目标终端的第二行为状态向量获取当前时刻目标终端的状态点；基于所述时序运行方向对工业互联网的防御状态进行不断攻击以得到多维稳态域的边界点，计算当前时刻的目标终端的状态点与多维稳态域的边界点的距离并将其作为域边界距离；在所述域边界距离小于域边界阈值时拦截目标终端的所有操作行为。2.根据权利要求1所述的方法，其特征在于，基于所有的第一终端的终端行为数据和工业互联网的历史入侵数据生成多维稳态域包括：基于工业互联网的历史入侵数据识别所有入侵过工业互联网的第一终端并将其作为第二终端；随机选取一个第二终端，并将其作为目标第二终端，然后获取所述目标第二终端的终端行为数据；基于所述目标第二终端的终端行为数据获取目标第二终端的终端发送数据和终端接收数据，并提取所述目标第二终端的终端发送数据和终端接收数据的数据特征以获取目标第二终端的终端发送特征和终端接收特征；基于目标第二终端的终端发送特征和终端接收特征确定目标第二终端的若干个网络攻击方向，并基于所述目标第二终端的若干个网络攻击方向不断攻击工业互联网的防御状态，直到工业互联网的防御状态被破坏时停止攻击以得到目标第二终端的二维稳态域；选择其他的第二终端作为目标第二终端，重复执行以上步骤，直到遍历完所有的第二终端以得到每个第二终端的二维稳态域；2CN113691505A权利要求书2/3页基于所有第二终端的二维稳态域生成多维稳态域。3.根据权利要求2所述的方法，其特征在于，基于目标第二终端的若干个网络攻击方向得到目标第二终端的二维稳态域包括：从目标第二终端的若干个网络攻击方向中随机选取一个网络攻击方向作为目标网络攻击方向，并基于所述目标网络攻击方向不断攻击工业互联网的防御状态，直到工业互联网在所述目标网络攻击方向的防御状态被破坏时停止攻击；所述工业互联网在所