CN111431937A - 工业网络异常流量的检测方法及系统 - Google Patents

工业网络异常流量的检测方法及系统 Download PDF

Info

Publication number
CN111431937A
CN111431937A CN202010324921.9A CN202010324921A CN111431937A CN 111431937 A CN111431937 A CN 111431937A CN 202010324921 A CN202010324921 A CN 202010324921A CN 111431937 A CN111431937 A CN 111431937A
Authority
CN
China
Prior art keywords
detection
data
network
inputting
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010324921.9A
Other languages
English (en)
Inventor
郑斌
欧阳柳
姚一杨
孙钢
江樱
梅峰
吴恺源
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Zhejiang Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd
Original Assignee
State Grid Zhejiang Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Zhejiang Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd filed Critical State Grid Zhejiang Electric Power Co Ltd
Priority to CN202010324921.9A priority Critical patent/CN111431937A/zh
Publication of CN111431937A publication Critical patent/CN111431937A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/048Activation functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/049Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network

Abstract

本发明公开了一种工业网络异常流量的检测方法及系统,该方法包括:获取待检测的网络通信数据;对所述网络通信数据进行预处理,得到预处理后的数据;将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果;所述预设检测模型组包括至少两个检测模型,且各个检测模型的检测方式不同;对所述检测结果进行判定,得到目标检测结果。由于在本发明中的检测模型为至少两个,可以通过各个模型针对的检测方式不同,实现了检测模型的互补,提升了工业网络异常流量的检测准确性。

Description

工业网络异常流量的检测方法及系统
技术领域
本发明涉及信息处理技术领域,特别是涉及一种工业网络异常流量的检测方法及系统。
背景技术
工业系统的可靠性与安全性近年来越来越受到人们的重视,许多研究所与研究人员也在关注、测试各种针对工控系统的异常检测模型以及技术。对于电力网络工控网络的异常流量控制方法,通常存在参数基线难以确定,灵活性差,误报率高的等缺陷,使得现有的异常检测技术仍然存在缺陷,降低了检测结果的准确性。
发明内容
针对于上述问题,本发明提供一种工业网络异常流量的检测方法及系统,实现了提升检测结果的准确性的目的。
为了实现上述目的,本发明提供了如下技术方案:
一种工业网络异常流量的检测方法,所述方法包括:
获取待检测的网络通信数据;
对所述网络通信数据进行预处理,得到预处理后的数据;
将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果;所述预设检测模型组包括至少两个检测模型,且各个检测模型的检测方式不同;
对所述检测结果进行判定,得到目标检测结果。
可选地,所述网络通信数据包括数值型数据和离散型数据,所述对所述网络通信数据进行预处理,得到预处理的数据,包括:
将网络通信数据中的离散型数据进行数据转换,得到与所述离散型数据对应的数值型数据。
可选地,所述检测模型包括分类模型,所述将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果,包括:将所述预处理后的数据输入至所述分类模型进行处理,得到网络流量异常点,包括:
获取预处理后的数据中的网络流量点;
利用欧式距离计算网络流量点与预设中心点之间的欧式距离;
获取所述网络流量点的属性特征,依据所述属性特征确定加权系数;
利用所述加权系数和所述欧式距离进行计算,得到加权欧式距离;
根据所述加权欧式距离与预设距离阈值进行判断,得到判定结果,所述判定结果表征所述网络流量点是否为网络流量异常点的结果。
可选地,所述检测模型包括时间序列检测模型,所述将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果,包括:将所述预处理后的数据输入至所述时间序列检测模型进行处理,得到网络流量异常点,包括:
基于预处理后的数据生成网络流量点的时间序列;
将所述时间序列输入至所述时间序列检测模型,得到检测结果,所述检测结果表征所述网络流量点是否为网络流量异常点的结果,所述时间序列检测模型表征具有激活函数的神经网络模型。
可选地,所述检测模型包括相关性检测模型,所述将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果,包括:将所述预处理后的数据输入至所述相关性检测模型进行处理,得到异常检测结果,包括:
获取所述预处理会后的数据的属性特征;
利用所述相关性检测模型,对所述属性特征进行相关性检测,得到各个属性特征之间的关系信息;
基于所述关系信息,确定所述与处理后的数据的异常检测结果。
可选地,所述方法还包括:
确定阈值恒定值,所述阈值恒定值表征对工控系统参数进行检测的恒定阈值;
基于所述阈值恒定值,对预处理后的数据中满足预设特征的属性值进行检测,得到与所述属性值相匹配的检测结果;其中,所述预设特征表征所述属性值为在预设时间内恒定的属性值。
可选地,所述对所述检测结果进行判定,得到目标检测结果,包括:
确定各个检测模型的投票权重系数;
依据所述投票权重系数,对所述检测结果进行投票,得到投票结果;
依据所述投票结果,确定目标检测结果。
一种工业网络异常流量的检测系统,所述系统包括:
获取单元,用于获取待检测的网络通信数据;
预处理单元,用于对所述网络通信数据进行预处理,得到预处理后的数据;
模型处理单元,用于将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果;所述预设检测模型组包括至少两个检测模型,且各个检测模型的检测方式不同;
判定单元,用于对所述检测结果进行判定,得到目标检测结果。
可选地,所述与处理单元具体用于:
将网络通信数据中的离散型数据进行数据转换,得到与所述离散型数据对应的数值型数据;所述网络通信数据包括数值型数据和离散型数据。
可选地,所述模型处理单元具体用于:
将所述预处理后的数据输入至所述分类模型进行处理,得到网络流量异常点;
将所述预处理后的数据输入至所述时间序列检测模型进行处理,得到网络流量异常点;
将所述预处理后的数据输入至所述相关性检测模型进行处理,得到异常检测结果。
相较于现有技术,本发明提供了一种工业网络异常流量的检测方法及系统,该方法包括:获取待检测的网络通信数据;对所述网络通信数据进行预处理,得到预处理后的数据;将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果;所述预设检测模型组包括至少两个检测模型,且各个检测模型的检测方式不同;对所述检测结果进行判定,得到目标检测结果。由于在本发明中的检测模型为至少两个,可以通过各个模型针对的检测方式不同,实现了检测模型的互补,提升了工业网络异常流量的检测准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种工业网络异常流量的检测方法的流程示意图;
图2为本发明实施例提供的一种工业网络异常流量的检测系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”和“第二”等是用于区别不同的对象,而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有设定于已列出的步骤或单元,而是可包括没有列出的步骤或单元。
在本发明实施例中提供了一种工业网络异常流量的检测方法,参见图1,该方法可以包括以下步骤:
S101、获取待检测的网络通信数据。
在本发明实施例中的数据源采用电力系统二次配电系统网络核心交换机镜像口采集的网络通信数据,即该数据为待检测的网络数据。
S102、对所述网络通信数据进行预处理,得到预处理后的数据。
所述网络通信数据包括数值型数据和离散型数据,所述对所述网络通信数据进行预处理,得到预处理的数据,包括:将网络通信数据中的离散型数据进行数据转换,得到与所述离散型数据对应的数值型数据。
网络通信数据中的大多数属性是数值型数据,但有个别是离散型数据,它们大多数呈周期性变化。但是由于这些属性大多数不是单纯的布尔型数据,不是非0即1的乐行,而是包含3种状态,需要进行预处理将这些离散型数据都转为数值型数据处理。
S103、将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果。
所述预设检测模型组包括至少两个检测模型,且各个检测模型的检测方式不同。根据电力二次配电系统中的正常报文通过对多种机器学习的异常检测模型的训练与测试,即在本申请中得到了多个可用于电力二次配电系统网络异常检测的模型。例如可以包括基于Kmeans的分类模型、LSTM时间序列预测模型、Pearson相关性系数以及简单但是实用的数值计算。在这些模型中,有些检测结果相似,有些能够互补。
S104、对所述检测结果进行判定,得到目标检测结果。
各个模型的检测结果并不是选择简单的少数服从多数的原则得到异常的结果。而是需要根据不同模型的判定方式设置的权重值对各个检测结果进行判定,依据判定结果得到目标检测结果。
本发明实施例提供的一种工业网络异常流量的检测方法及系统,该方法包括:获取待检测的网络通信数据;对所述网络通信数据进行预处理,得到预处理后的数据;将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果;所述预设检测模型组包括至少两个检测模型,且各个检测模型的检测方式不同;对所述检测结果进行判定,得到目标检测结果。由于在本发明中的检测模型为至少两个,可以通过各个模型针对的检测方式不同,实现了检测模型的互补,提升了工业网络异常流量的检测准确性。
下面对本申请的各个检测模型进行说明。
当所述检测模型包括分类模型,所述将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果,包括:将所述预处理后的数据输入至所述分类模型进行处理,得到网络流量异常点,包括:
获取预处理后的数据中的网络流量点;
利用欧式距离计算网络流量点与预设中心点之间的欧式距离;
获取所述网络流量点的属性特征,依据所述属性特征确定加权系数;
利用所述加权系数和所述欧式距离进行计算,得到加权欧式距离
根据所述加权欧式距离与预设距离阈值进行判断,得到判定结果,所述判定结果表征所述网络流量点是否为网络流量异常点的结果。
例如,分类模型是基于Kmeans的分类模型
采用Kmeans常用的欧式距离进行计算,利用加权欧式距离计算判断异常,计算出正常点簇的中心点后,设定一个阈值X,若某个点到中心点的距离Y超过阈值,则可判定该点不属于正常点簇,即为网络流量异常点。
欧式距离对两个n维数据点的计算公式:
Figure BDA0002462826540000061
该方法可以快速有效地得到正常簇的中心点并据此检测出部分网络通信数据异常点,但仅适用普通的欧氏距离的计算精度不够。对于配电系统,不同属性之间的取值范围差别过大,导致最终的结果容易被某几个属性所决定,造成错误的判断。本发明使用加权欧氏距离计算距离方法,对于不同属性使用不同的权重w进行计算。
加权欧式距离对两个n维数据点的公式:
Figure BDA0002462826540000071
在工控系统中,能够及时发现异常是很重要的,如果能在攻击开始时就能检测出异常,就能很好地避免攻击所可能带来的损失,而不是在攻击已经造成影响后才发现异常。配电系统的数据是含有时间序列特征的数据,通过对不同时间点的比较可以及时地检测到某些异常的出现。因此,可以在此算法中加入时间序列特征,计算一个数据点到5秒前、10秒前等数据点的距离,若超过一定阈值,则可判断系统在短时间内发生了剧变,很可能已经受到了攻击。
对应的,当所述检测模型包括时间序列检测模型,所述将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果,包括:将所述预处理后的数据输入至所述时间序列检测模型进行处理,得到网络流量异常点,包括:
基于预处理后的数据生成网络流量点的时间序列;
将所述时间序列输入至所述时间序列检测模型,得到检测结果,所述检测结果表征所述网络流量点是否为网络流量异常点的结果,所述时间序列检测模型表征具有激活函数的神经网络模型。
例如,时间序列检测模型为LSTM时间序列检测模型。配电系统的历史数据有时间序列性,时间序列的特殊性,在于每一个点都是有一个时间坐标的,这样可以在对条曲线做异常检测时,有很多时序相关的特征可以提取,提高渐变异常值检测成功率,优化异常检测模型。
LSTM时间序列预测异常检测方法:LSTM的预测结果与真实值对比,计算两个数据点之间的加权欧氏距离,超过阈值则为异常点。
LSTM的预测结果过程如下:
如,LSTM时间序列检测模型的隐含层中包含有3个Sigmoid激活函数模块,它的阈值在(0,1)之间。第一个Sigmoid函数的模块被称作遗忘门,输入Xt、Yt-1,输出(0,1)之间的数值,该值决定Ct-1向量中的元素是否遗忘,0为全遗忘,1为全保留。
Figure BDA0002462826540000081
在决定上一层状态参数Ct-1的取舍后,LSTM利用第二个Sigmoid和tanh函数模块增加新的状态参数,Sigmoid函数输出决定增加的分,tanh函数输出值为新的状态备选向量。
Figure BDA0002462826540000082
C=tanh(WC·[Yt-1,Xt]+bC)
得到新增状态参数后,用f1与旧状态参数C(t-1)相乘得到保留下来的旧参数,用f2与新状态参数C相乘得到需要增加的新参数,最后相加得到更新后的当前层的状态参数Ct
Ct=f1·Ct-1+f2·C
隐含层中最后一个Sigmoid函数用于筛选将当前更新后的状态参数Ct的哪一部分作为当前层的结果输出。
Figure BDA0002462826540000083
Yt=f3·tanh(Ct)
当所述检测模型包括相关性检测模型,所述将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果,包括:将所述预处理后的数据输入至所述相关性检测模型进行处理,得到异常检测结果,包括:
获取所述预处理会后的数据的属性特征;
利用所述相关性检测模型,对所述属性特征进行相关性检测,得到各个属性特征之间的关系信息;
基于所述关系信息,确定所述与处理后的数据的异常检测结果。
配电系统中属性(如继电器开关状态、故障指示信息、线路运行状态参数等)之间的关联性较强,检测属性之间的关联关系是否发生变化,可以判断异常。利用Pearson相关性系数计算各个属性之间的可视化视图,x轴与y轴相互对称,例如可以在可视化视图中不同的颜色表示不同的关系,如,利用黑色代表两个属性之间呈正相关关系,白色代表两个属性之间呈负相关关系,颜色的深浅表示相关关系的强弱程度,可以通过可视化图清晰地看出各属性间的关系。
皮尔森相关性系数(Pearson Correlation Coefficient)是计算变量之间的相似程度与线性相关关系的一种方法,它可以表示出两个属性之间的正负两种关系情况。一般Pearson相关性系数ρ的取值的判断范围为,当0.8<ρ<1.0时,表示极强正相关;当0.6<ρ<0.8时,表示强正相关;当-0.8<ρ<-0.6时,表示强负相关;当-1.0<ρ<-0.8时,表示极强负相关。
Pearson相关性系数的计算方法是用两个变量的协方差除以两个变量的标准差,计算公式:
Figure BDA0002462826540000091
Pearson相关性系数在计算变量之间的协方差之后除以变量的标准差,得到(-1,1)之间的值,不仅可以得到相关关系,还能更好地表达出两个变量之间的相关性强弱程度。
另外在本发明实施例中还包括:
确定阈值恒定值,所述阈值恒定值表征对工控系统参数进行检测的恒定阈值;
基于所述阈值恒定值,对预处理后的数据中满足预设特征的属性值进行检测,得到与所述属性值相匹配的检测结果;其中,所述预设特征表征所述属性值为在预设时间内恒定的属性值。
数值计算为设立阈值、检测恒定值的变化,对配电系统工控系统参数设定阈值,一旦参数值超过阈值则表示系统出现异常;对长期恒定的属性值做检测,如果该属性的值发生变化则表示系统出现异常。
在一种可能的实现方式中,所述对所述检测结果进行判定,得到目标检测结果,包括:
确定各个检测模型的投票权重系数;
依据所述投票权重系数,对所述检测结果进行投票,得到投票结果;
依据所述投票结果,确定目标检测结果。
根据预先对各个检测模型的检测效果的统计,以上模型的各自投票权重会有所不同(参见表1),而不是选择简单的少数服从多数原则。例如,当超过设立的阈值或恒定值发生改变时,系统一定已经出现异常,则该票数的权重会很高,直接影响最后的检测结果使之为异常。
根据对不同模型结果的对比分析,给出的投票权值如表1,当总票数超过2时,判断系统出现异常。
表1投票权值表
Figure BDA0002462826540000101
在表1中系统中阈值分为极低(LL)、低(L)、高(H)、极高(HH)四个阈值。
通过具体应用场景和数据进行验证,本发明中的测试机器学习、时间序列预测、关联关系分析等算法的异常检测效果,将异常检测效果较好并能互补的模型聚合成一个电力配电系统的网络异常检测算法,对电力配电系统工控网络异常检测率高达88.9%,优于同类检测方法。
在本发明实施例中还提供了一种工业网络异常流量的检测系统,参见图2,所述系统包括:
获取单元10,用于获取待检测的网络通信数据;
预处理单元20,用于对所述网络通信数据进行预处理,得到预处理后的数据;
模型处理单元30,用于将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果;所述预设检测模型组包括至少两个检测模型,且各个检测模型的检测方式不同;
判定单元40,用于对所述检测结果进行判定,得到目标检测结果。
在上述实施例的基础上,所述与处理单元具体用于:
将网络通信数据中的离散型数据进行数据转换,得到与所述离散型数据对应的数值型数据;所述网络通信数据包括数值型数据和离散型数据。
在上述实施例的基础上,其特征在于,所述模型处理单元具体用于:
将所述预处理后的数据输入至所述分类模型进行处理,得到网络流量异常点;
将所述预处理后的数据输入至所述时间序列检测模型进行处理,得到网络流量异常点;
将所述预处理后的数据输入至所述相关性检测模型进行处理,得到异常检测结果。
其中,将所述预处理后的数据输入至所述分类模型进行处理,得到网络流量异常点,包括:
获取预处理后的数据中的网络流量点;
利用欧式距离计算网络流量点与预设中心点之间的欧式距离;
获取所述网络流量点的属性特征,依据所述属性特征确定加权系数;
利用所述加权系数和所述欧式距离进行计算,得到加权欧式距离
根据所述加权欧式距离与预设距离阈值进行判断,得到判定结果,所述判定结果表征所述网络流量点是否为网络流量异常点的结果。
其中,将所述预处理后的数据输入至所述时间序列检测模型进行处理,得到网络流量异常点,包括:
基于预处理后的数据生成网络流量点的时间序列;
将所述时间序列输入至所述时间序列检测模型,得到检测结果,所述检测结果表征所述网络流量点是否为网络流量异常点的结果,所述时间序列检测模型表征具有激活函数的神经网络模型。
其中,将所述预处理后的数据输入至所述相关性检测模型进行处理,得到异常检测结果,包括:
获取所述预处理会后的数据的属性特征;
利用所述相关性检测模型,对所述属性特征进行相关性检测,得到各个属性特征之间的关系信息;
基于所述关系信息,确定所述与处理后的数据的异常检测结果。
在上述实施例的基础上,所述系统还包括:
阈值确定单元,用于确定阈值恒定值,所述阈值恒定值表征对工控系统参数进行检测的恒定阈值;
检测单元,用于基于所述阈值恒定值,对预处理后的数据中满足预设特征的属性值进行检测,得到与所述属性值相匹配的检测结果;其中,所述预设特征表征所述属性值为在预设时间内恒定的属性值。
在上述实施例的基础上,所述判定单元包括:
系数确定子单元,用于确定各个检测模型的投票权重系数;
投票子单元,用于依据所述投票权重系数,对所述检测结果进行投票,得到投票结果;
结果确定子单元,用于依据所述投票结果,确定目标检测结果。
本发明提供了一种工业网络异常流量的检测系统,获取单元获取待检测的网络通信数据;预处理单元对所述网络通信数据进行预处理,得到预处理后的数据;模型处理单元将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果;所述预设检测模型组包括至少两个检测模型,且各个检测模型的检测方式不同;判定单元对所述检测结果进行判定,得到目标检测结果。由于在本发明中的检测模型为至少两个,可以通过各个模型针对的检测方式不同,实现了检测模型的互补,提升了工业网络异常流量的检测准确性。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种工业网络异常流量的检测方法,其特征在于,所述方法包括:
获取待检测的网络通信数据;
对所述网络通信数据进行预处理,得到预处理后的数据;
将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果;所述预设检测模型组包括至少两个检测模型,且各个检测模型的检测方式不同;
对所述检测结果进行判定,得到目标检测结果。
2.根据权利要求1所述的方法,其特征在于,所述网络通信数据包括数值型数据和离散型数据,所述对所述网络通信数据进行预处理,得到预处理的数据,包括:
将网络通信数据中的离散型数据进行数据转换,得到与所述离散型数据对应的数值型数据。
3.根据权利要求1所述的方法,其特征在于,所述检测模型包括分类模型,所述将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果,包括:将所述预处理后的数据输入至所述分类模型进行处理,得到网络流量异常点,包括:
获取预处理后的数据中的网络流量点;
利用欧式距离计算网络流量点与预设中心点之间的欧式距离;
获取所述网络流量点的属性特征,依据所述属性特征确定加权系数;
利用所述加权系数和所述欧式距离进行计算,得到加权欧式距离;
根据所述加权欧式距离与预设距离阈值进行判断,得到判定结果,所述判定结果表征所述网络流量点是否为网络流量异常点的结果。
4.根据权利要求1所述的方法,其特征在于,所述检测模型包括时间序列检测模型,所述将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果,包括:将所述预处理后的数据输入至所述时间序列检测模型进行处理,得到网络流量异常点,包括:
基于预处理后的数据生成网络流量点的时间序列;
将所述时间序列输入至所述时间序列检测模型,得到检测结果,所述检测结果表征所述网络流量点是否为网络流量异常点的结果,所述时间序列检测模型表征具有激活函数的神经网络模型。
5.根据权利要求1所述的方法,其特征在于,所述检测模型包括相关性检测模型,所述将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果,包括:将所述预处理后的数据输入至所述相关性检测模型进行处理,得到异常检测结果,包括:
获取所述预处理会后的数据的属性特征;
利用所述相关性检测模型,对所述属性特征进行相关性检测,得到各个属性特征之间的关系信息;
基于所述关系信息,确定所述与处理后的数据的异常检测结果。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定阈值恒定值,所述阈值恒定值表征对工控系统参数进行检测的恒定阈值;
基于所述阈值恒定值,对预处理后的数据中满足预设特征的属性值进行检测,得到与所述属性值相匹配的检测结果;其中,所述预设特征表征所述属性值为在预设时间内恒定的属性值。
7.根据权利要求1所述的方法,其特征在于,所述对所述检测结果进行判定,得到目标检测结果,包括:
确定各个检测模型的投票权重系数;
依据所述投票权重系数,对所述检测结果进行投票,得到投票结果;
依据所述投票结果,确定目标检测结果。
8.一种工业网络异常流量的检测系统,其特征在于,所述系统包括:
获取单元,用于获取待检测的网络通信数据;
预处理单元,用于对所述网络通信数据进行预处理,得到预处理后的数据;
模型处理单元,用于将所述预处理后的数据输入至预设检测模型组进行处理,得到至少两个检测结果;所述预设检测模型组包括至少两个检测模型,且各个检测模型的检测方式不同;
判定单元,用于对所述检测结果进行判定,得到目标检测结果。
9.根据权利要求8所述的系统,其特征在于,所述与处理单元具体用于:
将网络通信数据中的离散型数据进行数据转换,得到与所述离散型数据对应的数值型数据;所述网络通信数据包括数值型数据和离散型数据。
10.根据权利要求8所述的系统,其特征在于,所述模型处理单元具体用于:
将所述预处理后的数据输入至所述分类模型进行处理,得到网络流量异常点;
将所述预处理后的数据输入至所述时间序列检测模型进行处理,得到网络流量异常点;
将所述预处理后的数据输入至所述相关性检测模型进行处理,得到异常检测结果。
CN202010324921.9A 2020-04-23 2020-04-23 工业网络异常流量的检测方法及系统 Pending CN111431937A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010324921.9A CN111431937A (zh) 2020-04-23 2020-04-23 工业网络异常流量的检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010324921.9A CN111431937A (zh) 2020-04-23 2020-04-23 工业网络异常流量的检测方法及系统

Publications (1)

Publication Number Publication Date
CN111431937A true CN111431937A (zh) 2020-07-17

Family

ID=71558485

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010324921.9A Pending CN111431937A (zh) 2020-04-23 2020-04-23 工业网络异常流量的检测方法及系统

Country Status (1)

Country Link
CN (1) CN111431937A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111860897A (zh) * 2020-08-05 2020-10-30 青岛特来电新能源科技有限公司 一种异常检测方法、装置、设备及计算机可读存储介质
CN112202736A (zh) * 2020-09-15 2021-01-08 浙江大学 基于统计学习和深度学习的工业控制系统通信网络异常分类方法
CN114338109A (zh) * 2021-12-17 2022-04-12 北京安天网络安全技术有限公司 流量检测方法及装置、电子设备和计算机可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108667856A (zh) * 2018-08-10 2018-10-16 广东电网有限责任公司 一种网络异常检测方法、装置、设备及存储介质
CN108900546A (zh) * 2018-08-13 2018-11-27 杭州安恒信息技术股份有限公司 基于lstm的时间序列网络异常检测的方法与装置
CN109040084A (zh) * 2018-08-13 2018-12-18 广东电网有限责任公司 一种网络流量异常检测方法、装置、设备及存储介质
CN110266728A (zh) * 2019-07-17 2019-09-20 杨鲲 基于mqtt消息队列的安全防御及异常检测方法、装置及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108667856A (zh) * 2018-08-10 2018-10-16 广东电网有限责任公司 一种网络异常检测方法、装置、设备及存储介质
CN108900546A (zh) * 2018-08-13 2018-11-27 杭州安恒信息技术股份有限公司 基于lstm的时间序列网络异常检测的方法与装置
CN109040084A (zh) * 2018-08-13 2018-12-18 广东电网有限责任公司 一种网络流量异常检测方法、装置、设备及存储介质
CN110266728A (zh) * 2019-07-17 2019-09-20 杨鲲 基于mqtt消息队列的安全防御及异常检测方法、装置及系统

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111860897A (zh) * 2020-08-05 2020-10-30 青岛特来电新能源科技有限公司 一种异常检测方法、装置、设备及计算机可读存储介质
CN112202736A (zh) * 2020-09-15 2021-01-08 浙江大学 基于统计学习和深度学习的工业控制系统通信网络异常分类方法
CN112202736B (zh) * 2020-09-15 2021-07-06 浙江大学 基于统计学习和深度学习的通信网络异常分类方法
WO2022057260A1 (zh) * 2020-09-15 2022-03-24 浙江大学 一种工业控制系统通信网络异常分类方法
US11927949B2 (en) 2020-09-15 2024-03-12 Zhejiang University Method for anomaly classification of industrial control system communication network
CN114338109A (zh) * 2021-12-17 2022-04-12 北京安天网络安全技术有限公司 流量检测方法及装置、电子设备和计算机可读存储介质

Similar Documents

Publication Publication Date Title
CN111431937A (zh) 工业网络异常流量的检测方法及系统
WO2019237492A1 (zh) 一种基于半监督学习的异常用电用户检测方法
CN113242259B (zh) 网络异常流量检测方法及装置
CN109766992B (zh) 基于深度学习的工控异常检测及攻击分类方法
CN109787979B (zh) 一种电力网络事件和入侵的检测方法
CN109633369B (zh) 一种基于多维数据相似性匹配的电网故障诊断方法
CN108508297B (zh) 一种基于突变系数和svm的故障电弧检测方法
CN111563468B (zh) 一种基于神经网络注意力的驾驶员异常行为检测方法
CN113542241A (zh) 一种基于CNN-BiGRU混合模型的入侵检测方法及装置
CN110086767A (zh) 一种混合入侵检测系统及方法
CN114004331A (zh) 一种基于关键指标和深度学习的故障分析方法
CN114897109A (zh) 一种割草机异常监测预警方法
CN113870254B (zh) 目标对象的检测方法、装置、电子设备及存储介质
CN111600878A (zh) 一种基于maf-adm的低速率拒绝服务攻击检测方法
CN113343123A (zh) 一种生成对抗多关系图网络的训练方法和检测方法
CN112949714A (zh) 一种基于随机森林的故障可能性预估方法
CN112422546A (zh) 一种基于变邻域算法和模糊聚类的网络异常检测方法
CN115690677A (zh) 基于局部直觉模糊支持向量机的异常行为识别方法
CN114936614B (zh) 一种基于神经网络的作业风险识别方法及系统
CN115189961B (zh) 一种故障识别方法、装置、设备及存储介质
CN108932788B (zh) 一种纸币厚度异常等级的检测方法、装置及设备
CN110942089B (zh) 一种基于多级决策的击键识别方法
CN114764867A (zh) 基于图像主特征提取的风机故障诊断系统、方法及应用
JPH07219581A (ja) 音響信号の識別方法および装置
CN108520005A (zh) 基于机器学习的针对网络主动监控系统的误报消除方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200717

RJ01 Rejection of invention patent application after publication