CN112165471A - 一种工控系统流量异常检测方法、装置、设备及介质 - Google Patents

一种工控系统流量异常检测方法、装置、设备及介质 Download PDF

Info

Publication number
CN112165471A
CN112165471A CN202011001310.7A CN202011001310A CN112165471A CN 112165471 A CN112165471 A CN 112165471A CN 202011001310 A CN202011001310 A CN 202011001310A CN 112165471 A CN112165471 A CN 112165471A
Authority
CN
China
Prior art keywords
flow
time period
current time
vector
control system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011001310.7A
Other languages
English (en)
Other versions
CN112165471B (zh
Inventor
王晓翔
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN202011001310.7A priority Critical patent/CN112165471B/zh
Publication of CN112165471A publication Critical patent/CN112165471A/zh
Application granted granted Critical
Publication of CN112165471B publication Critical patent/CN112165471B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

本申请公开了一种工控系统流量异常检测方法、装置、设备及介质,包括:获取工控系统的当前时间段流量以及历史流量;通过矩阵轮廓分析从所述历史流量中确定与当前时间段流量之间的欧氏距离最小的目标历史时间段流量;确定当前时间段流量与所述目标历史时间段流量的相关度以及增减趋势相似度;基于当前时间段流量与所述目标历史时间段流量的欧氏距离、所述相关度和所述增减趋势相似度判断当前时间段流量是否存在异常。这样,能够有效的进行工控系统流量异常检测,并避免对工控系统中资源过多的消耗。

Description

一种工控系统流量异常检测方法、装置、设备及介质
技术领域
本申请涉及网络安全技术领域,特别涉及一种工控系统流量异常检测方法、装置、设备及介质。
背景技术
随着工业控制系统的发展,互联互通成为趋势,但这同时也对工控系统的网络安全防护提出了更高的要求。工控系统网络安全存在设备和操作系统老旧、通信协议没有安全机制等历史固有问题,容易遭受网络攻击,从而造成设备停车、经济受损甚至影响社会安定等严重不良影响。所以需要针对工业控制系统做好网络安全防护措施。
目前,常用的流量异常检测方法包括:基于神经网络的异常检测方法;基于支持向量机的异常检测方法。基于神经网络的异常检测方法,主要过程是将网络流量的各个维度(五元组、数据包大小、流起止时间、字节数上下限等)作为输入向量,输出结果至正常、异常的结果向量中。基于支持向量机的异常检测方法根据网络流量的特征描述对网络流量进行正常/异常二元分类。通过利用包含一定数量异常流量样本的数据集进行建模,支持向量机方法求得在给定数据集上使得正常/异常样本区分性最大的支撑样本向量,进而在样本特征空间内确定分类超平面用于网络流量数据进行正常/异常判定。现有技术存在以下缺点:1、无法泛化出统一的模型,需要对特定场景做大量前期的训练工作,并不断调整超级参数等。2、训练工作需要大量数据,且训练周期长,训练所需硬件资源要求高。3、训练出来的模型参数较多,运行时资源要求较高。
发明内容
有鉴于此,本申请的目的在于提供一种工控系统流量异常检测方法、装置、设备及介质,能够有效的进行工控系统流量异常检测,并避免对工控系统中资源过多的消耗。其具体方案如下:
第一方面,本申请公开了一种工控系统流量异常检测方法,包括:
获取工控系统的当前时间段流量以及历史流量;
通过矩阵轮廓分析从所述历史流量中确定与当前时间段流量之间的欧氏距离最小的目标历史时间段流量;
确定当前时间段流量与所述目标历史时间段流量的相关度以及增减趋势相似度;
基于当前时间段流量与所述目标历史时间段流量的欧氏距离、所述相关度和所述增减趋势相似度判断当前时间段流量是否存在异常。
可选的,确定当前时间段流量与所述目标历史时间段流量的相关度,包括:
计算当前时间段流量与所述目标历史时间段流量的简单相关系数,以得到所述相关度。
可选的,确定当前时间段流量与所述目标历史时间段流量的增减趋势相似度,包括:
确定当前时间段流量对应的第一流量向量、所述目标历史时间段流量的对应的第二流量向量;所述第一流量向量中包括当前时间段流量中多个时刻的流量;所述第二流量向量中包括所述目标历史时间段流量中多个时刻的流量;
分别判断所述第一流量向量以及所述第二流量向量中每一元素是否大于该元素的前一元素,确定每一元素的增减标识,以得到所述第一流量向量对应的第一增减向量以及所述第二流量向量对应的第二增减向量;
利用所述第一增减向量和所述第二增减向量确定当前时间段流量与所述目标历史时间段流量的增减趋势相似度。
可选的,所述利用所述第一增减向量和所述第二增减向量确定当前时间段流量与所述目标历史时间段流量的增减趋势相似度,包括:
确定所述第一增减向量与所述第二增减向量相对应的所述增减标识一致的目标数量;
利用所述目标数量以及所述第一增减向量的全部元素数量确定所述第一增减向量与所述第二增减向量中一致的所述增减标识的占比,以得到所述增减趋势相似度。
可选的,所述基于当前时间段流量与所述目标历史时间段流量的欧氏距离、所述相关度和所述增减趋势相似度判断当前时间段流量是否存在异常,包括:
对所述欧式距离、所述相关度和所述增减趋势相似度进行加权计算,以得到当前时间段流量对应的异常得分;
基于所述异常得分判断当前时间段流量是否存在异常。
可选的,所述基于所述异常得分判断当前时间段流量是否存在异常,包括:判断所述异常得分是否大于第一预设阈值,若所述异常得分大于或等于所述第一预设阈值,则判定当前时间段流量存在异常,若所述异常得分小于所述第一预设阈值,则判断所述异常得分是否大于第二预设阈值,若所述异常得分大于所述第二预设阈值,则判定当前时间段流量为待确认流量,若所述异常得分小于或等于所述第二预设阈值,则判定当前时间段流量为正常流量。
可选的,所述方法,还包括:
若当前时间段流量存在异常,则生成对应的告警信息。
第二方面,本申请公开了一种工控系统流量异常检测装置,包括:
流量数据获取模块,用于获取工控系统的当前时间段流量以及历史流量;
目标历史时间段流量确定模块,用于通过矩阵轮廓分析从所述历史流量中确定与当前时间段流量之间的欧氏距离最小的目标历史时间段流量;
相关度确定模块,用于确定当前时间段流量与所述目标历史时间段流量的相关度;
趋势相似度确定模块,用于确定当前时间段流量与所述目标历史时间段流量的增减趋势相似度;
流量异常判断模块,用于基于当前时间段流量与所述目标历史时间段流量的欧氏距离、所述相关度和所述增减趋势相似度判断当前时间段流量是否存在异常。
第三方面,本申请公开了一种工控系统流量异常检测设备,包括处理器和存储器;其中,
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序以实现前述的工控系统流量异常检测方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述的工控系统流量异常检测方法。
可见,本申请先获取工控系统的当前时间段流量以及历史流量,之后通过矩阵轮廓分析从所述历史流量中确定与当前时间段流量之间的欧氏距离最小的目标历史时间段流量,然后确定当前时间段流量与所述目标历史时间段流量的相关度以及增减趋势相似度,最后基于当前时间段流量与所述目标历史时间段流量的欧氏距离、所述相关度和所述增减趋势相似度判断当前时间段流量是否存在异常。这样,确定历史流量中与当前时间段流量欧式距离最小的目标历史时间段流量,然后基于当前时间段流量与目标历史时间段流量的欧氏距离、相关度和增减趋势相似度判断当前时间段流量是否存在异常,能够有效的进行工控系统流量异常检测,并避免对工控系统中资源过多的消耗。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种工控系统流量异常检测方法流程图;
图2为本申请公开的一种增减向量确定流程图;
图3为本申请公开的一种同增同减向量确定流程图;
图4为本申请公开的一种增减趋势相似度确定流程图;
图5为本申请公开的一种具体的工控系统流量异常检测方法流程图;
图6为本申请公开的一种工控系统流量异常检测装置结构示意图;
图7为本申请公开的一种工控系统流量异常检测设备结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,常用的流量异常检测方法包括:基于神经网络的异常检测方法;基于支持向量机的异常检测方法。基于神经网络的异常检测方法,主要过程是将网络流量的各个维度(五元组、数据包大小、流起止时间、字节数上下限等)作为输入向量,输出结果至正常、异常的结果向量中。基于支持向量机的异常检测方法根据网络流量的特征描述对网络流量进行正常/异常二元分类。通过利用包含一定数量异常流量样本的数据集进行建模,支持向量机方法求得在给定数据集上使得正常/异常样本区分性最大的支撑样本向量,进而在样本特征空间内确定分类超平面用于网络流量数据进行正常/异常判定。现有技术存在以下缺点:1、无法泛化出统一的模型,需要对特定场景做大量前期的训练工作,并不断调整超级参数等。2、训练工作需要大量数据,且训练周期长,训练所需硬件资源要求高。3、训练出来的模型参数较多,运行时资源要求较高。为此,本申请提供了一种工控系统流量异常检测方案,能够有效的进行工控系统流量异常检测,并避免对工控系统中资源过多的消耗。
参见图1所示,本申请实施例公开了一种工控系统流量异常检测方法,包括:
步骤S11:获取工控系统的当前时间段流量以及历史流量。
需要指出的是,工业控制系统的固有特征较为明显:首先,工业控制系统中的行为是较为固定、可预测的;其次,工业控制系统中的网络结构通常是较为稳定的。因此可以基于历史流量进行针对当前时间段流量的异常检测,以实时监测网络流量、探测异常状况。
在具体的实施方式中,当前时间段流量和历史流量可以为时间上连续的流量。当前时间段流量可以为时间长度为2/3天,也就是16个小时的流量。也即,最近2/3天的流量。
步骤S12:通过矩阵轮廓分析从所述历史流量中确定与当前时间段流量之间的欧氏距离最小的目标历史时间段流量。
在具体的实施方式中,可以通过时间序列分析方法Matrix Profile(矩阵轮廓)找到与当前时间段流量最相近的目标历史时间段流量。矩阵轮廓通过滑动窗口比较两个向量的z标准化欧几里得距离的方式,得到与待考察向量相似程度最高的向量。在本实施例中,可以以当前时间段流量对应的向量X为参考,从历史流量中寻找最相似的流量向量Y,以得到对应的目标历史时间段流量,最理想的情况下,两个流量片段完全一致,此时z标准化欧几里得距离为零;若找到的最相似流量向量与当前时间段流量的向量的z标准化欧氏距离较大,则表明当前时间段流量在历史情况中未出现过,这与工业控制系统网络的特征是不相符的。任何网络攻击或者异常操作,因为会生成新的特征的网络流量,对应不同的流量向量。
步骤S13:确定当前时间段流量与所述目标历史时间段流量的相关度以及增减趋势相似度。
在具体的实施方式中,可以计算当前时间段流量与所述目标历史时间段流量的简单相关系数,以得到所述相关度。并且,可以确定当前时间段流量对应的第一流量向量、所述目标历史时间段流量的对应的第二流量向量;所述第一流量向量中包括当前时间段流量中多个时刻的流量;所述第二流量向量中包括所述目标历史时间段流量中多个时刻的流量;分别判断所述第一流量向量以及所述第二流量向量中每一元素是否大于该元素的前一元素,确定每一元素的增减标识,以得到所述第一流量向量对应的第一增减向量以及所述第二流量向量对应的第二增减向量;利用所述第一增减向量和所述第二增减向量确定当前时间段流量与所述目标历史时间段流量的增减趋势相似度。具体的,确定所述第一增减向量与所述第二增减向量相对应的所述增减标识一致的目标数量;利用所述目标数量以及所述第一增减向量的全部元素数量确定所述第一增减向量与所述第二增减向量中一致的所述增减标识的占比,以得到所述增减趋势相似度。
具体的,简单相关系数计算公式如下:
Figure BDA0002694427270000071
其中,Cov(X,Y)为X与Y的协方差,Var[X]为X的方差,Var[Y]为Y的方差,X表示当前时间段流量对应的第一流量向量,Y表示目标历史时间段流量的对应的第二流量向量。
并且,可以基于流量统计,确定当前时间段流量对应的第一流量向量X=(x1,x2,x3…xn),目标历史时间段流量的对应的第二流量向量Y=(y1,y2,y3…yn);其中,xn表示当前时间段中第n个时刻的流量,yn表示目标历史时间段流量中第n个时刻的流量。然后分别判断所述第一流量向量以及所述第二流量向量中每一元素是否大于该元素的前一元素,确定每一元素的增减标识,以得到所述第一流量向量对应的第一增减向量以及所述第二流量向量对应的第二增减向量,第一增减向量与第二增减向量均以对应的增减标识为元素,针对第一流量向量和第二流量向量中的首个元素,选取预设参考元素,确定第一流量向量和第二流量向量中的首个元素对应的增减标识。具体的增减标识可以为1,-1,0,其中,若当前元素大于该元素的前一元素,则当前元素对因的增减标识为1,若当前元素等于该元素的前一元素,则当前元素对因的增减标识为0,若当前元素小于该元素的前一元素,则当前元素对因的增减标识为-1。例如,参见图2所示,图2为本申请公开的一种增减向量确定流程图,通过该流程可以得到第一增减向量A=(a1,a2,a3…an),图2中x0为参考元素。第二增减向量B=(b1,b2,b3…bn)的确定参考图2。进一步的,可以对第一增减向量和第二增减向量进行乘法运算,以得到同增同减向量,根据所述同增同减向量为确定所述第一增减向量与所述第二增减向量相对应的所述增减标识一致的目标数量;利用所述目标数量以及所述第一增减向量的全部元素数量确定所述第一增减向量与所述第二增减向量中一致的所述增减标识的占比,以得到所述增减趋势相似度。例如,参见图3所示,图3为本申请实施例公开的一种同增同减向量确定流程图。同增同减向量为C=(c1,c2,c3…cn),同增同减向量表示,对应的时间刻度上,两个向量是同时增减还是同时减少的。例如,参见图4所示,图4为本申请实施例公开的一种增减趋势相似度确定流程图,sim为所述增减趋势相似度,为同时增减的时刻数量在整体时间段内占比。
步骤S14:基于当前时间段流量与所述目标历史时间段流量的欧氏距离、所述相关度和所述增减趋势相似度判断当前时间段流量是否存在异常。
其中,本实施例中异常检测可以指内部和外部的网络攻击、非法操作等。
并且,本实施例中,若当前时间段流量存在异常,则生成对应的告警信息。
需要指出的是,根据MITER的ATT&CK for Enterprise和ATT&CK for ICS模型,当攻击者获取了攻击目标网络中的前哨站之后,为了达到攻击目的或者获取更大的战果,通常会通过一系列的探测等方法进行横向扩散。在此过程中,会产生多层级的模式趋同的扩散行为。因此基于流量数值统计的异常分析检测方法(包括流量趋势相似性分析、流量相关性分析、流量矩阵轮廓分析)在网络威胁入侵检测中就有重要的指示作用,在工业控制系统网络环境中尤为重要。也即,本实施例采用被动式的网络流量审计,在保证不对工控环境造成任何功能和性能影响的前提下,实时监测网络流量,探测异常状况,生成告警信息。
可见,本申请实施例先获取工控系统的当前时间段流量以及历史流量,之后通过矩阵轮廓分析从所述历史流量中确定与当前时间段流量之间的欧氏距离最小的目标历史时间段流量,然后确定当前时间段流量与所述目标历史时间段流量的相关度以及增减趋势相似度,最后基于当前时间段流量与所述目标历史时间段流量的欧氏距离、所述相关度和所述增减趋势相似度判断当前时间段流量是否存在异常。这样,确定历史流量中与当前时间段流量欧式距离最小的目标历史时间段流量,然后基于当前时间段流量与目标历史时间段流量的欧氏距离、相关度和增减趋势相似度判断当前时间段流量是否存在异常,能够有效的进行工控系统流量异常检测,并避免对工控系统中资源过多的消耗。
参见图5所示,本申请实施例公开了一种具体的工控系统流量异常检测方法,包括:
步骤S21:获取工控系统的当前时间段流量以及历史流量。
步骤S22:通过矩阵轮廓分析从所述历史流量中确定与当前时间段流量之间的欧氏距离最小的目标历史时间段流量。
步骤S23:确定当前时间段流量与所述目标历史时间段流量的相关度以及增减趋势相似度。
步骤S24:对所述欧式距离、所述相关度和所述增减趋势相似度进行加权计算,以得到当前时间段流量对应的异常得分。
在具体的实施方式中,可以通过公式:
ano(flow)=0.7*znormadist(flow1,flow2)-0.2*Cov(flow1,flow2)-0.1*sim(flow1,flow2)
计算异常得分,ano(flow)为异常得分,flow1为当前时间段流量,flow2为目标历史时间段流量,znormadist(flow1,flow2)为基于矩阵轮廓分析得到的当前时间段流量与目标历史时间段流量之间的欧式距离,Cov(flow1,flow2)为相关度,sim(flow1,flow2)为增减趋势相似度。0.7、0.2、0.1为对应的权重。
根据上式可知,ano(flow)的阈值为[-0.3,0.7]。
在具体的实施方式中,可以基于本实施例公开的方法对历史流量数据进行分析处理,得到所述欧式距离、所述相关度和所述增减趋势相似度对应的权重。也即,本实施例可以基于历史流量数据建立对工控系统流量进行异常检测的基线模型,即计算异常得分的公式,然后利用基线模型对实时流量数据进行异常检测。
步骤S25:基于所述异常得分判断当前时间段流量是否存在异常。
在具体的实施方式中,可以判断所述异常得分是否大于第一预设阈值,若所述异常得分大于或等于所述第一预设阈值,则判定当前时间段流量存在异常,若所述异常得分小于所述第一预设阈值,则判断所述异常得分是否大于第二预设阈值,若所述异常得分大于所述第二预设阈值,则判定当前时间段流量为待确认流量,若所述异常得分小于或等于所述第二预设阈值,则判定当前时间段流量为正常流量。
其中,第一预设阈值和第二预设阈值为基于对历史流量数据分析处理得到的经验值。
具体的,可以采用如下公式:
Figure BDA0002694427270000091
其中,第一预设阈值为0.35,第二预设阈值为0.25。
参见图6所示,本申请实施例公开了一种工控系统流量异常检测装置,包括:
流量数据获取模块11,用于获取工控系统的当前时间段流量以及历史流量;
目标历史时间段流量确定模块12,用于通过矩阵轮廓分析从所述历史流量中确定与当前时间段流量之间的欧氏距离最小的目标历史时间段流量;
相关度确定模块13,用于确定当前时间段流量与所述目标历史时间段流量的相关度;
趋势相似度确定模块14,用于确定当前时间段流量与所述目标历史时间段流量的增减趋势相似度;
流量异常判断模块15,用于基于当前时间段流量与所述目标历史时间段流量的欧氏距离、所述相关度和所述增减趋势相似度判断当前时间段流量是否存在异常。
可见,本申请实施例先获取工控系统的当前时间段流量以及历史流量,之后通过矩阵轮廓分析从所述历史流量中确定与当前时间段流量之间的欧氏距离最小的目标历史时间段流量,然后确定当前时间段流量与所述目标历史时间段流量的相关度以及增减趋势相似度,最后基于当前时间段流量与所述目标历史时间段流量的欧氏距离、所述相关度和所述增减趋势相似度判断当前时间段流量是否存在异常。这样,确定历史流量中与当前时间段流量欧式距离最小的目标历史时间段流量,然后基于当前时间段流量与目标历史时间段流量的欧氏距离、相关度和增减趋势相似度判断当前时间段流量是否存在异常,能够有效的进行工控系统流量异常检测,并避免对工控系统中资源过多的消耗。
其中,所述相关度确定模块13,具体用于计算当前时间段流量与所述目标历史时间段流量的简单相关系数,以得到所述相关度。
趋势相似度确定模块14,具体包括:
流量向量确定子模块,用于确定当前时间段流量对应的第一流量向量、所述目标历史时间段流量的对应的第二流量向量;所述第一流量向量中包括当前时间段流量中多个时刻的流量;所述第二流量向量中包括所述目标历史时间段流量中多个时刻的流量;
增减向量确定子模块,用于分别判断所述第一流量向量以及所述第二流量向量中每一元素是否大于该元素的前一元素,确定每一元素的增减标识,以得到所述第一流量向量对应的第一增减向量以及所述第二流量向量对应的第二增减向量;
增减趋势相似度确定子模块,用于利用所述第一增减向量和所述第二增减向量确定当前时间段流量与所述目标历史时间段流量的增减趋势相似度。
在具体的实施方式中,所述增减趋势相似度确定子模块,具体用于确定所述第一增减向量与所述第二增减向量相对应的所述增减标识一致的目标数量;利用所述目标数量以及所述第一增减向量的全部元素数量确定所述第一增减向量与所述第二增减向量中一致的所述增减标识的占比,以得到所述增减趋势相似度。
所述流量异常判断模块15,具体包括:
异常得分计算子模块,用于对所述欧式距离、所述相关度和所述增减趋势相似度进行加权计算,以得到当前时间段流量对应的异常得分;
流量异常判断子模块,用于基于所述异常得分判断当前时间段流量是否存在异常。
其中,所述流量异常判断子模块,具体用于判断所述异常得分是否大于第一预设阈值,若所述异常得分大于或等于所述第一预设阈值,则判定当前时间段流量存在异常,若所述异常得分小于所述第一预设阈值,则判断所述异常得分是否大于第二预设阈值,若所述异常得分大于所述第二预设阈值,则判定当前时间段流量为待确认流量,若所述异常得分小于或等于所述第二预设阈值,则判定当前时间段流量为正常流量。
所述装置还包括告警模块,用于若流量异常判断模块15判定当前时间段流量存在异常,则生成对应的告警信息。
参见图7所示,本申请实施例公开了一种工控系统流量异常检测设备,包括处理器21和存储器22;其中,所述存储器22,用于保存计算机程序;所述处理器21,用于执行所述计算机程序,以实现前述实施例公开的工控系统流量异常检测方法。
关于上述工控系统流量异常检测方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
进一步的,本申请实施例还公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述实施例公开的工控系统流量异常检测方法。
关于工控系统流量异常检测方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种工控系统流量异常检测方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种工控系统流量异常检测方法,其特征在于,包括:
获取工控系统的当前时间段流量以及历史流量;
通过矩阵轮廓分析从所述历史流量中确定与当前时间段流量之间的欧氏距离最小的目标历史时间段流量;
确定当前时间段流量与所述目标历史时间段流量的相关度以及增减趋势相似度;
基于当前时间段流量与所述目标历史时间段流量的欧氏距离、所述相关度和所述增减趋势相似度判断当前时间段流量是否存在异常。
2.根据权利要求1所述的工控系统流量异常检测方法,其特征在于,确定当前时间段流量与所述目标历史时间段流量的相关度,包括:
计算当前时间段流量与所述目标历史时间段流量的简单相关系数,以得到所述相关度。
3.根据权利要求1所述的工控系统流量异常检测方法,其特征在于,确定当前时间段流量与所述目标历史时间段流量的增减趋势相似度,包括:
确定当前时间段流量对应的第一流量向量、所述目标历史时间段流量的对应的第二流量向量;所述第一流量向量中包括当前时间段流量中多个时刻的流量;所述第二流量向量中包括所述目标历史时间段流量中多个时刻的流量;
分别判断所述第一流量向量以及所述第二流量向量中每一元素是否大于该元素的前一元素,确定每一元素的增减标识,以得到所述第一流量向量对应的第一增减向量以及所述第二流量向量对应的第二增减向量;
利用所述第一增减向量和所述第二增减向量确定当前时间段流量与所述目标历史时间段流量的增减趋势相似度。
4.根据权利要求3所述的工控系统流量异常检测方法,其特征在于,所述利用所述第一增减向量和所述第二增减向量确定当前时间段流量与所述目标历史时间段流量的增减趋势相似度,包括:
确定所述第一增减向量与所述第二增减向量相对应的所述增减标识一致的目标数量;
利用所述目标数量以及所述第一增减向量的全部元素数量确定所述第一增减向量与所述第二增减向量中一致的所述增减标识的占比,以得到所述增减趋势相似度。
5.根据权利要求1所述的工控系统流量异常检测方法,其特征在于,所述基于当前时间段流量与所述目标历史时间段流量的欧氏距离、所述相关度和所述增减趋势相似度判断当前时间段流量是否存在异常,包括:
对所述欧式距离、所述相关度和所述增减趋势相似度进行加权计算,以得到当前时间段流量对应的异常得分;
基于所述异常得分判断当前时间段流量是否存在异常。
6.根据权利要求5所述的工控系统流量异常检测方法,其特征在于,所述基于所述异常得分判断当前时间段流量是否存在异常,包括:
判断所述异常得分是否大于第一预设阈值,若所述异常得分大于或等于所述第一预设阈值,则判定当前时间段流量存在异常,若所述异常得分小于所述第一预设阈值,则判断所述异常得分是否大于第二预设阈值,若所述异常得分大于所述第二预设阈值,则判定当前时间段流量为待确认流量,若所述异常得分小于或等于所述第二预设阈值,则判定当前时间段流量为正常流量。
7.根据权利要求1至6任一项所述的工控系统流量异常检测方法,其特征在于,还包括:
若当前时间段流量存在异常,则生成对应的告警信息。
8.一种工控系统流量异常检测装置,其特征在于,包括:
流量数据获取模块,用于获取工控系统的当前时间段流量以及历史流量;
目标历史时间段流量确定模块,用于通过矩阵轮廓分析从所述历史流量中确定与当前时间段流量之间的欧氏距离最小的目标历史时间段流量;
相关度确定模块,用于确定当前时间段流量与所述目标历史时间段流量的相关度;
趋势相似度确定模块,用于确定当前时间段流量与所述目标历史时间段流量的增减趋势相似度;
流量异常判断模块,用于基于当前时间段流量与所述目标历史时间段流量的欧氏距离、所述相关度和所述增减趋势相似度判断当前时间段流量是否存在异常。
9.一种工控系统流量异常检测设备,其特征在于,包括处理器和存储器;其中,
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序以实现如权利要求1至7任一项所述的工控系统流量异常检测方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的工控系统流量异常检测方法。
CN202011001310.7A 2020-09-22 2020-09-22 一种工控系统流量异常检测方法、装置、设备及介质 Active CN112165471B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011001310.7A CN112165471B (zh) 2020-09-22 2020-09-22 一种工控系统流量异常检测方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011001310.7A CN112165471B (zh) 2020-09-22 2020-09-22 一种工控系统流量异常检测方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN112165471A true CN112165471A (zh) 2021-01-01
CN112165471B CN112165471B (zh) 2022-05-24

Family

ID=73863130

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011001310.7A Active CN112165471B (zh) 2020-09-22 2020-09-22 一种工控系统流量异常检测方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN112165471B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112988512A (zh) * 2021-03-12 2021-06-18 北京奇艺世纪科技有限公司 一种时序数据异常检测方法、装置、设备及存储介质
CN113534731A (zh) * 2021-07-16 2021-10-22 珠海市鸿瑞信息技术股份有限公司 一种基于工控的下装数据安全分析系统及方法
CN116112380A (zh) * 2023-02-13 2023-05-12 山东云天安全技术有限公司 一种基于异常流量的工控安全控制系统
CN116132170A (zh) * 2023-02-13 2023-05-16 山东云天安全技术有限公司 一种工控设备安全防控系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106506556A (zh) * 2016-12-29 2017-03-15 北京神州绿盟信息安全科技股份有限公司 一种网络流量异常检测方法及装置
CN107851156A (zh) * 2015-07-30 2018-03-27 日本电信电话株式会社 分析方法、分析装置和分析程序
US20180219723A1 (en) * 2017-01-27 2018-08-02 Bmc Software, Inc. Automated scoring of unstructured events in information technology environments
CN108881326A (zh) * 2018-09-27 2018-11-23 深圳市联软科技股份有限公司 确定网络流量异常行为的方法、系统、介质及设备
CN109327345A (zh) * 2017-08-01 2019-02-12 中国移动通信集团湖北有限公司 网络异常流量的检测方法和装置、计算机可读存储介质
CN109617868A (zh) * 2018-12-06 2019-04-12 腾讯科技(深圳)有限公司 一种ddos攻击的检测方法、装置及检测服务器
CN110012009A (zh) * 2019-04-03 2019-07-12 华南师范大学 基于决策树和自相似模型结合的物联网入侵检测方法
CN110086649A (zh) * 2019-03-19 2019-08-02 深圳壹账通智能科技有限公司 异常流量的检测方法、装置、计算机设备及存储介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107851156A (zh) * 2015-07-30 2018-03-27 日本电信电话株式会社 分析方法、分析装置和分析程序
CN106506556A (zh) * 2016-12-29 2017-03-15 北京神州绿盟信息安全科技股份有限公司 一种网络流量异常检测方法及装置
US20180219723A1 (en) * 2017-01-27 2018-08-02 Bmc Software, Inc. Automated scoring of unstructured events in information technology environments
CN109327345A (zh) * 2017-08-01 2019-02-12 中国移动通信集团湖北有限公司 网络异常流量的检测方法和装置、计算机可读存储介质
CN108881326A (zh) * 2018-09-27 2018-11-23 深圳市联软科技股份有限公司 确定网络流量异常行为的方法、系统、介质及设备
CN109617868A (zh) * 2018-12-06 2019-04-12 腾讯科技(深圳)有限公司 一种ddos攻击的检测方法、装置及检测服务器
CN110086649A (zh) * 2019-03-19 2019-08-02 深圳壹账通智能科技有限公司 异常流量的检测方法、装置、计算机设备及存储介质
CN110012009A (zh) * 2019-04-03 2019-07-12 华南师范大学 基于决策树和自相似模型结合的物联网入侵检测方法

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
任俊玲等: "基于自相似指数变化率的网络数据流异常分析", 《中国科技论文》, no. 10, 31 October 2019 (2019-10-31) *
李金明等: "基于Hurst参数的DoS/DDoS攻击实时检测技术研究", 《计算机工程与应用》 *
李金明等: "基于Hurst参数的DoS/DDoS攻击实时检测技术研究", 《计算机工程与应用》, no. 06, 21 February 2007 (2007-02-21), pages 3 *
李闰平等: "基于相似度的异常检测方法", 《微计算机信息》, no. 12, 25 April 2008 (2008-04-25) *
陈兴蜀等: "基于多维时间序列分析的网络异常检测", 《工程科学与技术》, no. 01, 20 January 2017 (2017-01-20) *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112988512A (zh) * 2021-03-12 2021-06-18 北京奇艺世纪科技有限公司 一种时序数据异常检测方法、装置、设备及存储介质
CN113534731A (zh) * 2021-07-16 2021-10-22 珠海市鸿瑞信息技术股份有限公司 一种基于工控的下装数据安全分析系统及方法
CN113534731B (zh) * 2021-07-16 2022-03-11 珠海市鸿瑞信息技术股份有限公司 一种基于工控的下装数据安全分析系统及方法
CN116112380A (zh) * 2023-02-13 2023-05-12 山东云天安全技术有限公司 一种基于异常流量的工控安全控制系统
CN116132170A (zh) * 2023-02-13 2023-05-16 山东云天安全技术有限公司 一种工控设备安全防控系统
CN116132170B (zh) * 2023-02-13 2023-09-29 山东云天安全技术有限公司 一种工控设备安全防控系统
CN116112380B (zh) * 2023-02-13 2024-02-02 山东云天安全技术有限公司 一种基于异常流量的工控安全控制系统

Also Published As

Publication number Publication date
CN112165471B (zh) 2022-05-24

Similar Documents

Publication Publication Date Title
CN112165471B (zh) 一种工控系统流量异常检测方法、装置、设备及介质
CN108667856B (zh) 一种网络异常检测方法、装置、设备及存储介质
CN106657057B (zh) 反爬虫系统及方法
CN110493179B (zh) 基于时间序列的网络安全态势感知系统和方法
CN107493277B (zh) 基于最大信息系数的大数据平台在线异常检测方法
CN107231382B (zh) 一种网络威胁态势评估方法及设备
CN111600880A (zh) 异常访问行为的检测方法、系统、存储介质和终端
CN113992340B (zh) 用户异常行为识别方法、装置、设备和存储介质
CN107682317A (zh) 建立数据检测模型的方法、数据检测方法及设备
CN111814776B (zh) 一种图像处理方法、设备、服务器及存储介质
CN107808100B (zh) 针对特定测试样本的隐写分析方法
CN110097120B (zh) 网络流量数据分类方法、设备及计算机存储介质
CN113794680B (zh) 基于频域分析的高带宽场景下的恶意流量检测方法和装置
CN111064719A (zh) 文件异常下载行为的检测方法及装置
CN114726581A (zh) 一种异常检测方法、装置、电子设备及存储介质
CN111784404A (zh) 一种基于行为变量预测的异常资产识别方法
CN108761250B (zh) 一种基于工控设备电压电流的入侵检测方法
CN108509796B (zh) 一种风险性的检测方法及服务器
CN115546736A (zh) 基于图像采集的河道采砂监控处理方法及系统
CN112200254A (zh) 一种网络入侵检测模型生成方法、检测方法及电子设备
CN112199131B (zh) 一种页面检测方法、装置及设备
CN113886765A (zh) 错误数据注入攻击的检测方法及装置
CN113037728A (zh) 一种实现零信任的风险判定方法、装置、设备及介质
CN107809430B (zh) 一种基于极值点分类的网络入侵检测方法
CN112541177A (zh) 一种基于数据安全的异常检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant