CN112583825B - 一种工业系统的异常检测方法和装置 - Google Patents
一种工业系统的异常检测方法和装置 Download PDFInfo
- Publication number
- CN112583825B CN112583825B CN202011461382.XA CN202011461382A CN112583825B CN 112583825 B CN112583825 B CN 112583825B CN 202011461382 A CN202011461382 A CN 202011461382A CN 112583825 B CN112583825 B CN 112583825B
- Authority
- CN
- China
- Prior art keywords
- industrial
- industrial device
- flow data
- information
- receiving
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Abstract
本申请提供一种工业系统的异常检测方法和装置,该方法用于对多个工业设备进行异常检测,包括:获取每一工业设备对应的多个流量数据的特征信息,每一特征信息包括对应流量数据的收/发时间信息以及收/发地址信息;根据每一流量数据的收/发地址信息确定多组关联特征;根据每组关联特征对每组对应的多个工业设备进行异常检测,以获得每一工业设备的第一检测结果;根据每一工业设备对应流量数据的收/发时间信息和工业设备的历史流量数据对每一工业设备进行异常检测,以获得每一工业设备的第二检测结果;根据每一工业设备的第一检测结果和第二检测结果确定异常的工业设备。
Description
技术领域
本申请涉及异常检测技术领域,具体而言,涉及一种工业系统的异常检测方法和装置。
背景技术
目前对工业控制系统(ICS)中的各个工业设备进行异常检测的方式主要是通过对工业设备的历史流量进行分析,建立白名单的规则库和分类算法,这种基于历史流量的白名单规则库和分类方法能够防御部分未知异常,但是准确性较低,容易发生误报。
发明内容
本申请实施例的目的在于提供一种工业系统的异常检测方法、装置、电子设备和存储介质,用以解决目前对工业设备的历史流量进行分析,建立白名单的规则库和分类算法存在的准确性较低的问题。
第一方面,本发明提供一种工业系统的异常检测方法,用于对多个工业设备进行异常检测,包括:获取每一所述工业设备对应的多个流量数据的特征信息,每一所述特征信息包括对应流量数据的收/发时间信息以及收/发地址信息;根据每一流量数据的收/发地址信息确定多组关联特征,每组关联特征表示满足同一预设同类条件的多个工业设备的关联信息,所述关联信息表示与工业设备关联的设备信息;根据每组关联特征对每组对应的多个工业设备进行异常检测,以获得每一工业设备的第一检测结果;根据每一工业设备对应流量数据的收/发时间信息和所述工业设备的历史流量数据对每一工业设备进行异常检测,以获得每一工业设备的第二检测结果;根据所述每一工业设备的第一检测结果和第二检测结果确定异常的工业设备。
在上述设计的工业系统的异常检测方法中,通过获取每一工业设备对应的多个流量数据的特征信息,然后基于流量数据的特征信息中的收/发地址信息确定多组关联特征,进而基于每组关联特征对每组对应的工业设备进行异常检测获得每一工业设备的第一异常检测结果,实现了从工业设备的空间连接维度上的异常检测;然后基于流量数据的特征信息中的收/发时间信息以及工业设备的历史数据信息进行异常检测进而获得每一工业设备第二异常检测结果,进而在时间维度上对工业设备进行异常检测,最后基于每一工业设备的第一异常检测结果和第二异常检测结果确定异常的工业设备,使得本申请设计的工业系统的异常检测方法集成时间维度和空间维度的两种检测结果来综合对异常工业设备进行判定,使得对工业系统的异常检测的准确性更高。
在第一方面的可选实施方式中,所述根据每一流量数据的收/发地址信息确定多组关联特征,包括:提取每一所述工业设备对应的每一流量数据的收/发地址信息;根据每一所述工业设备对应的每一流量数据的收/发地址信息确定每一工业设备的所述关联信息;根据多个预设同类条件对多个工业设备的关联信息进行筛选以得到多组满足同一预设同类条件的关联信息以获得所述多组关联特征。
在第一方面的可选实施方式中,所述根据每一所述工业设备对应的每一流量数据的收/发地址信息确定每一工业设备的所述关联信息,包括:根据每一所述工业设备对应的每一流量数据的收/发地址信息建立每一工业设备与其关联工业设备的图数据结构;根据每一工业设备与其关联工业设备的图数据结构确定每一工业设备的所述关联信息。
在第一方面的可选实施方式中,所述根据每一工业设备与其关联工业设备的图数据结构确定每一工业设备的所述关联信息,包括:确定图数据结构中每一工业设备关联的设备数量;将图数据结构中每一工业设备关联的设备数量作为对应工业设备的关联信息,以得到每一工业设备的关联信息。
在上述设计的实施方式中,通过图数据结构来确定每一工业设备在空间连接维度上的关联信息,进而使得工业设备在空间维度上的关联特征更加清晰。
在第一方面的可选实施方式中,所述根据每一工业设备对应流量数据的收/发时间信息和所述工业设备的历史流量数据对每一工业设备进行异常检测,以获得每一工业设备的第二检测结果,包括:提取每一工业设备的对应流量数据的收/发时间信息作为每一工业设备对应的时间特征;获取每一工业设备的历史流量数据;采用预设的异常检测算法对每一工业设备对应的时间特征和对应的历史数据进行异常检测,以获得每一工业设备的第二检测结果。
在第一方面的可选实施方式中,所述根据所述每一工业设备的第一检测结果和第二检测结果确定异常的工业设备,包括:对每一工业设备的第一检测结果和第二检测结果进行加权平均,以获得每一工业设备的第三检测结果;判断所述多个工业设备中是否存在第三检测结果超过预设的数值范围的工业设备;若存在,则将第三检测结果超过预设的数值范围的工业设备确定为异常的工业设备。
在第一方面的可选实施方式中,所述获取每一所述工业设备对应的多个流量数据的特征信息,包括:获取每一所述工业设备对应的多个流量数据;将每一所述工业设备对应的多个流量数据输入流量解析工具进行解析,以获得每一所述工业设备对应的多个流量数据的特征信息。
第二方面,本发明提供一种工业系统的异常检测装置,用于对多个工业设备进行异常检测,所述装置包括:获取模块,用于获取每一所述工业设备对应的多个流量数据的特征信息,每一所述特征信息包括对应流量数据的收/发时间信息以及收/发地址信息;确定模块,用于根据每一流量数据的收/发地址信息确定多组关联特征,每组关联特征表示满足同一预设同类条件的多个工业设备的关联信息,所述关联信息表示与工业设备关联的设备信息;第一异常检测模块,用于根据每组关联特征对每组对应的多个工业设备进行异常检测,以获得每一工业设备的第一检测结果;第二异常检测模块,用于根据每一工业设备对应流量数据的收/发时间信息和所述工业设备的历史流量数据对每一工业设备进行异常检测,以获得每一工业设备的第二检测结果;所述确定模块,还用于根据所述每一工业设备的第一检测结果和第二检测结果确定异常的工业设备。
在上述设计的工业系统的异常检测装置中,通过获取每一工业设备对应的多个流量数据的特征信息,然后基于流量数据的特征信息中的收/发地址信息确定多组关联特征,进而基于每组关联特征对每组对应的工业设备进行异常检测获得每一工业设备的第一异常检测结果,实现了从工业设备的空间连接维度上的异常检测;然后基于流量数据的特征信息中的收/发时间信息以及工业设备的历史数据信息进行异常检测进而获得每一工业设备第二异常检测结果,进而在时间维度上对工业设备进行异常检测,最后基于每一工业设备的第一异常检测结果和第二异常检测结果确定异常的工业设备,使得本申请设计的工业系统的异常检测方法集成时间维度和空间维度的两种检测结果来综合对异常工业设备进行判定,使得对工业系统的异常检测的准确性更高。
在第二方面的可选实施方式中,所述确定模块,具体用于提取每一所述工业设备对应的每一流量数据的收/发地址信息;根据每一所述工业设备对应的每一流量数据的收/发地址信息确定每一工业设备的所述关联信息;根据多个预设同类条件对每一工业设备的关联信息进行筛选以得到多组满足同一预设同类条件的关联信息以获得所述多组关联特征。
在第二方面的可选实施方式中,所述第二异常检测模块,具体用于提取每一工业设备的对应流量数据的收/发时间信息作为每一工业设备对应的时间特征;获取每一工业设备的历史流量数据;采用预设的异常检测算法对每一工业设备对应的时间特征和对应的历史数据进行异常检测,以获得每一工业设备的第二检测结果。
在第二方面的可选实施方式中,所述确定模块,还具体用于对每一工业设备的第一检测结果和第二检测结果进行加权平均,以获得每一工业设备的第三检测结果;判断所述多个工业设备中是否存在第三检测结果超过预设的数值范围的工业设备;若存在,则将第三检测结果超过预设的数值范围的工业设备确定为异常的工业设备。
在第二方面的可选实施方式中,所述获取模块,具体用于获取每一所述工业设备对应的多个流量数据;将每一所述工业设备对应的多个流量数据输入流量解析工具进行解析,以获得每一所述工业设备对应的多个流量数据的特征信息。
第三方面,实施例提供一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时执行第一方面、第一方面的任一可选的实现方式中的所述方法。
第四方面,实施例提供一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时执行第一方面、第一方面的任一可选的实现方式中的所述方法。
第五方面,实施例提供了一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行第一方面、第一方面的任一可选的实现方式中的所述方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的工业系统的结构示意图;
图2为本申请实施例提供的异常检测方法的第一流程图;
图3为本申请实施例提供的异常检测方法的第二流程图;
图4为本申请实施例提供的异常检测方法的第三流程图;
图5为本申请实施例提供的异常检测方法的第四流程图;
图6为本申请实施例提供的异常检测方法的第五流程图;
图7为本申请实施例提供的异常检测方法的第六流程图;
图8为本申请实施例提供的异常检测方法的第七流程图;
图9为本申请实施例提供的电子设备的结构示意图。
图标:10-工业设备;20-交换机;30-计算设备;200-获取模块;201-确定模块;202-第一异常检测模块;203-第二异常检测模块;3-电子设备;301-处理器;302-存储器;303-通信总线。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
本申请实施例提供一种工业系统的异常检测方法,如图1所示,该工业系统包括多个工业设备10、交换机20以及计算设备30,该多个工业设备10与交换机20通信连接,该交换机20与计算设备30通信连接,该交换机20可获取每一工业设备10的流量数据,进而将流量数据传输给计算设备30,其中,计算设备30具体可为计算机、服务器等设备,该计算设备30利用获得的每一工业设备10的流量数据进行处理,以对每一工业设备进行异常检测,进而判断工业设备是否出现异常,其中,如图2所示,进行处理的步骤具体如下,其包括:
步骤S100:获取每一工业设备对应的多个流量数据的特征信息。
步骤S102:根据每一流量数据的收/发地址信息确定多组关联特征。
步骤S104:根据每组关联特征对每组对应的多个工业设备进行异常检测,以获得每一工业设备的第一检测结果。
步骤S106:根据每一工业设备对应流量数据的收/发时间信息和该工业设备的历史流量数据对每一工业设备进行异常检测,以获得每一工业设备的第二检测结果。
步骤S108:根据每一工业设备的第一检测结果和第二检测结果确定异常的工业设备。
在步骤S100中,前述已经描述到计算设备可接收到交换机获取并传输的每一工业设备对应的多个流量数据,进而可基于每一工业设备对应的多个流量数据来得到每一流量数据的特征信息,其中,该特征信息包括对应流量数据的收/发时间信息以及收/发地址信息,该收时间信息表示的是工业设备接收到该流量数据的时间信息,该发时间信息表示的是工业设备发送该流量数据的时间信息;该收地址信息表示的是该流量数据的源地址,该发地址信息表示的是该流量数据的目的地址。
具体的,如图3所示,前述所说的基于每一工业设备对应的多个流量数据来得到每一流量数据的特征信息可通过如下步骤实现:
步骤S1000:获取每一工业设备对应的多个流量数据。
步骤S1002:将每一工业设备对应的多个流量数据输入流量解析工具进行解析,以获得每一工业设备对应的多个流量数据的特征信息。
在上述步骤中,计算设备在得到每一工业设备对应的多个流量数据之后,可将每一工业设备对应的多个流量数据输入流量解析工具进行解析,例如Inter的DPDK包处理库,然后获得每一工业设备对应的多个流量数据的特征信息。具体的,解析后的流量数据的特征信息可按照网络协议分层进行编辑,例如按照应用层划分为源mac地址+目的mac地址+链路层上层协议类型+源ip地址+目的ip地址+网络层上层协议类型+源端口+目的端口+传输层上层协议类型+收/发时间等等。
在通过如上步骤获得每一工业设备对应的多个流量数据的特征信息之后,即可执行步骤S102根据每一流量数据的收/发地址信息确定多组关联特征。
在步骤S102中,多组关联特征表示具有多个组的关联特征,每个组的关联特征表示的是满足同一预设同类条件的多个工业设备的关联信息,其中,每个工业设备的关联信息表示的是与该工业设备关联的设备信息,具体的,与该工业设备关联的设备信息可表示的是与该工业设备直接连接或直接通信的其他工业设备的数量或与该工业设备直接连接或直接通信的其他工业设备的设备标识或者是二者的结合。
具体的,根据每一流量数据的收/发地址信息确定多组关联特征,如图4所示,可以通过如下步骤具体实施:
步骤S1020:提取每一工业设备对应的每一流量数据的收/发地址信息。
步骤S1021:根据每一工业设备对应的每一流量数据的收/发地址信息确定每一工业设备的关联信息。
步骤S1022:根据多个预设同类条件对多个工业设备的关联信息进行筛选以得到多组满足同一预设同类条件的关联信息以获得多组关联特征。
在步骤S1020中,计算设备会提取出每一供设备对应的每一流量数据的收/发地址信息,例如,提取出的收/发地址信息具体为源mac地址+目的mac地址+链路层上层协议类型+源ip地址,在提取出每一流量数据的收/发地址信息之后,即可执行步骤S1021。
在步骤S1021中,计算设备会根据每一工业设备对应的每一流量数据的收/发地址信息确定每一工业设备的关联信息,关联信息已在前述进行了说明,当关联信息为前述所说的与该工业设备直接连接或直接通信的其他工业设备的数量时,如图5所示,具体可通过如下方式进行实现:
步骤S10210:根据每一工业设备对应的每一流量数据的收/发地址信息建立每一工业设备与其关联工业设备的图数据结构。
步骤S10211:根据每一工业设备与其关联工业设备的图数据结构确定每一工业设备的关联信息。
在上述步骤中,本方案可根据每一工业设备对应的每一流量数据的收/发地址信息建立每一工业设备与其关联工业设备的图数据结构,其中,建立图数据结构的方式可才用现有的方式,进而可以得到每一工业设备和其直接连接的设备的图数据结构,进而即可得到每一工业设备与其关联工业设备的数量,进而将图数据结构中每一工业设备关联的设备数量作为对应工业设备的关联信息,以得到每一工业设备的关联信息。
在步骤S1022中,计算设备会基于预设的同类条件来对步骤S1021获得的每一工业设备的关联信息进行筛选也就是进行设备画像,进而得到多组满足同一预设同类条件的关联信息以获得多组关联特征。具体的,当如前述所说关联信息是工业设备关联的设备数量时,同类条件可以是关联的设备数量,进而基于多种不同的预设设备数量来对多个工业设备的关联信息进行筛选进而得到多组满足同一预设同类条件的关联信息以获得多组关联特征,例如,分别以关联设备数量为3、4、5的预设同类条件来对多个工业设备的关联信息进行筛选,进而可以将关联设备数量为3的分为一组,将关联设备数量为4的分为一组,将关联设备数量为5的分为一组,进而可以得到多组关联特征。
在通过如上步骤得到多组关联特征的基础上,执行步骤S104根据每组关联特征对每组对应的多个工业设备进行异常检测,以获得每一工业设备的第一检测结果。前述已经描述到将分成了多组关联特征,在本步骤中会分别对每组关联特征进行异常检测,具体的,在对每组关联特征进行异常检测时,可将每组关联特征输入预设的异常检测算法中,进而获得异常检测算法或异常检测模型的输出结果,其中,异常检测算法具体可为OneClassSVM异常检测算法,其检测原理是筛选出每组关联特征中与大部分关联特征差距较大的关联特征,进而为大部分关联特征输出概率较低的第一异常概率值,为与大部分关联特征差距较大的关联特征输出概率较高的第二异常概率值,进而可以得到每一工业设备对应的第一异常概率值其即为每一工业设备的第一检测结果。
在通过如上步骤获得每一工业设备的第一检测结果之后,即可执行步骤S106根据每一工业设备对应流量数据的收/发时间信息和工业设备的历史流量数据对每一工业设备进行异常检测,以获得每一工业设备的第二检测结果。具体的,如图6所示,步骤S106可通过如下步骤实现:
步骤S1060:提取每一工业设备对应的流量数据的收/发时间信息作为每一工业设备对应的时间特征。
步骤S1061:获取每一工业设备的历史流量数据。
步骤S1062:采用预设的异常检测算法对每一工业设备对应的时间特征和对应的历史数据进行异常检测,以获得每一工业设备的第二检测结果。
在上述步骤中,计算设备会提取每一工业设备对应的流量数据的收/发时间信息作为每一工业设备对应的时间特征,然后获取每一工业设备的历史流量数据,进而采用预设的异常检测算法来对每一工业设备对应的时间特征和对应的历史数据进行异常检测,获得异常检测算法输出的每一工业设备的第二检测结果,其中预设的异常检测算法也可采用OneClass SVM异常检测算法,但这里的原理是比较每一工业设备对应的时间特征的流量数据与对应的历史流量数据相差是否过大,若过大,则对相差过大的工业设备输出较大的第二异常概率值,对相差过小的工业设备输出较小的第二异常概率值,进而可以得到每一工业设备对应的第二异常概率值其即为每一工业设备的第二检测结果。
在执行前述步骤得到每一工业设备的第一检测结果和第二检测结果之后,即可执行步骤S108根据每一工业设备的第一检测结果和第二检测结果确定异常的工业设备,其中,步骤S108具体可通过如下步骤实现:
步骤S1080:对每一工业设备的第一检测结果和第二检测结果进行加权平均,以获得每一工业设备的第三检测结果。
步骤S1081:判断多个工业设备中是否存在第三检测结果超过预设的数值范围的工业设备,若存在,则转到步骤S1082。
步骤S1082:将第三检测结果超过预设的数值范围的工业设备确定为异常的工业设备。
在步骤S1080中,前述已经描述到每一工业设备的第一检测结果为一第一异常概率值,每一工业设备的第二检测结果为一第二异常概率值,在此基础上,可对每一工业设备的第一检测结果和第二检测结果进行加权平均,也就是对每一工业设备的第一异常概率值和第二异常概率值进行加权平均,进而得到每一工业设备的第三异常概率值,该第三异常概率值即为第三检测结果,然后执行步骤S1081。
在步骤S1081中,计算设备在得到每一工业设备的第三检测结果之后会判断多个工业设备中是否存在第三检测结果超过预设的数值范围的工业设备,若存在,则执行步骤S1082将所有的第三检测结果超过预设的数值范围的工业设备确定为异常的工业设备;若不存在,则说明没有异常的工业设备。
在上述设计的工业系统的异常检测方法中,通过获取每一工业设备对应的多个流量数据的特征信息,然后基于流量数据的特征信息中的收/发地址信息确定多组关联特征,进而基于每组关联特征对每组对应的工业设备进行异常检测获得每一工业设备的第一异常检测结果,同时,本申请方案采用图数据结构以及画像的方式来确定满足同一预设同类条件的工业设备的关联信息,进而从空间维度上来对工业设备进行异常检测;然后基于流量数据的特征信息中的收/发时间信息以及工业设备的历史数据信息进行异常检测进而获得每一工业设备第二异常检测结果,进而在时间维度上对工业设备进行异常检测,最后基于每一工业设备的第一异常检测结果和第二异常检测结果确定异常的工业设备,使得本申请设计的工业系统的异常检测方法集成时间维度和空间维度的两种检测结果来综合对异常工业设备进行判定,使得对工业系统的异常检测的准确性更高。
在本实施例的可选实施方式中,在执行步骤S1082确定出异常的工业设备之后,计算设备还可以将异常设备的标号等进行记录进而发送给工作人员的执行终端,进行工业设备异常报警。
图8出示了本申请提供的工业系统的异常检测装置的示意性结构框图,应理解,该装置与上述图2至图7中计算设备执行的方法实施例对应,能够执行前述实施方式中计算设备执行的方法涉及的步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在装置的操作系统(operating system,OS)中的软件功能模块。具体地,该装置包括:获取模块200,用于获取每一工业设备对应的多个流量数据的特征信息,每一特征信息包括对应流量数据的收/发时间信息以及收/发地址信息;确定模块201,用于根据每一流量数据的收/发地址信息确定多组关联特征,每组关联特征表示满足同一预设同类条件的多个工业设备的关联信息;第一异常检测模块202,用于根据每组关联特征对每组对应的多个工业设备进行异常检测,以获得每一工业设备的第一检测结果;第二异常检测模块203,用于根据每一工业设备对应流量数据的收/发时间信息和工业设备的历史流量数据对每一工业设备进行异常检测,以获得每一工业设备的第二检测结果;确定模块201,还用于根据每一工业设备的第一检测结果和第二检测结果确定异常的工业设备。
在上述设计的工业系统的异常检测装置中,通过获取每一工业设备对应的多个流量数据的特征信息,然后基于流量数据的特征信息中的收/发地址信息确定多组关联特征,进而基于每组关联特征对每组对应的工业设备进行异常检测获得每一工业设备的第一异常检测结果,实现了从工业设备的空间连接维度上的异常检测;然后基于流量数据的特征信息中的收/发时间信息以及工业设备的历史数据信息进行异常检测进而获得每一工业设备第二异常检测结果,进而在时间维度上对工业设备进行异常检测,最后基于每一工业设备的第一异常检测结果和第二异常检测结果确定异常的工业设备,使得本申请设计的工业系统的异常检测方法集成时间维度和空间维度的两种检测结果来综合对异常工业设备进行判定,使得对工业系统的异常检测的准确性更高。
在本实施例的可选实施方式中,确定模块201,具体用于提取每一工业设备对应的每一流量数据的收/发地址信息;根据每一工业设备对应的每一流量数据的收/发地址信息确定每一工业设备的关联特征,关联特征表示工业设备与其关联的工业设备的关联信息;根据多个预设同类条件对多个工业设备的关联特征进行筛选以得到多组满足同一预设同类条件的关联特征以获得多组关联特征。
在本实施例的可选实施方式中,第二异常检测模块203,具体用于提取每一工业设备的对应流量数据的收/发时间信息作为每一工业设备对应的时间特征;获取每一工业设备的历史流量数据;采用预设的异常检测算法对每一工业设备对应的时间特征和对应的历史数据进行异常检测,以获得每一工业设备的第二检测结果。
在本实施例的可选实施方式中,确定模块201,还具体用于对每一工业设备的第一检测结果和第二检测结果进行加权平均,以获得每一工业设备的第三检测结果;判断多个工业设备中是否存在第三检测结果超过预设的数值范围的工业设备;若存在,则将第三检测结果超过预设的数值范围的工业设备确定为异常的工业设备。
在本实施例的可选实施方式中,获取模块200,具体用于获取每一工业设备对应的多个流量数据;将每一工业设备对应的多个流量数据输入流量解析工具进行解析,以获得每一工业设备对应的多个流量数据的特征信息。
如图9所示,本申请提供一种电子设备3,包括:处理器301和存储器302,处理器301和存储器302通过通信总线303和/或其他形式的连接机构(未标出)互连并相互通讯,存储器302存储有处理器301可执行的计算机程序,当计算设备运行时,处理器301执行该计算机程序,以执行时执行前述任一实现方式中的方法过程,例如步骤S100至步骤S108:获取每一工业设备对应的多个流量数据的特征信息;根据每一流量数据的收/发地址信息确定多组关联特征;根据每组关联特征对每组对应的多个工业设备进行异常检测,以获得每一工业设备的第一检测结果;根据每一工业设备对应流量数据的收/发时间信息和该工业设备的历史流量数据对每一工业设备进行异常检测,以获得每一工业设备的第二检测结果;根据每一工业设备的第一检测结果和第二检测结果确定异常的工业设备。
本申请提供一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行前述任一实现方式中的方法过程。
其中,存储介质可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read Only Memory,简称EPROM),可编程只读存储器(Programmable Red-Only Memory,简称PROM),只读存储器(Read-OnlyMemory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。
本申请提供一种计算机程序产品,该计算机程序产品在计算机上运行时,使得计算机执行前述任一实现方式中的方法过程。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种工业系统的异常检测方法,其特征在于,用于对多个工业设备进行异常检测,包括:
获取每一所述工业设备对应的多个流量数据的特征信息,每一所述特征信息包括对应流量数据的收/发时间信息以及收/发地址信息;
根据每一流量数据的收/发地址信息确定多组关联特征,每组关联特征表示关联有相同设备数量和/或关联有相同设备标识的多个工业设备的关联信息,所述关联信息表示与该工业设备直接连接或直接通信的其他工业设备的数量和/或与该工业设备直接连接或直接通信的其他工业设备的设备标识;
根据每组关联特征对每组对应的多个工业设备进行异常检测,以获得每一工业设备的第一检测结果;
根据每一工业设备对应流量数据的收/发时间信息和所述工业设备的历史流量数据对每一工业设备进行异常检测,以获得每一工业设备的第二检测结果;
根据所述每一工业设备的第一检测结果和第二检测结果确定异常的工业设备。
2.根据权利要求1所述的方法,其特征在于,所述根据每一流量数据的收/发地址信息确定多组关联特征,包括:
提取每一所述工业设备对应的每一流量数据的收/发地址信息;
根据每一所述工业设备对应的每一流量数据的收/发地址信息确定每一工业设备的所述关联信息;
根据多个预设同类条件对多个工业设备的关联信息进行筛选以得到多组关联有相同设备数量和/或关联有相同设备标识的关联信息,进而获得所述多组关联特征。
3.根据权利要求2所述的方法,其特征在于,所述根据每一所述工业设备对应的每一流量数据的收/发地址信息确定每一工业设备的所述关联信息,包括:
根据每一所述工业设备对应的每一流量数据的收/发地址信息建立每一工业设备与其关联工业设备的图数据结构;
根据每一工业设备与其关联工业设备的图数据结构确定每一工业设备的所述关联信息。
4.根据权利要求3所述的方法,其特征在于,所述根据每一工业设备与其关联工业设备的图数据结构确定每一工业设备的所述关联信息,包括:
确定图数据结构中每一工业设备关联的设备数,每一工业设备关联的设备数量为对应工业设备的关联信息。
5.根据权利要求1所述的方法,其特征在于,所述根据每一工业设备对应流量数据的收/发时间信息和所述工业设备的历史流量数据对每一工业设备进行异常检测,包括:
提取每一工业设备对应的流量数据的收/发时间信息作为每一工业设备对应的时间特征;
获取每一工业设备的历史流量数据;
采用预设的异常检测算法对每一工业设备对应的时间特征和对应的历史数据进行异常检测。
6.根据权利要求1所述的方法,其特征在于,所述根据所述每一工业设备的第一检测结果和第二检测结果确定异常的工业设备,包括:
对每一工业设备的第一检测结果和第二检测结果进行加权平均,以获得每一工业设备的第三检测结果;
判断所述多个工业设备中是否存在第三检测结果超过预设的数值范围的工业设备;
若存在,则将第三检测结果超过预设的数值范围的工业设备确定为异常的工业设备。
7.根据权利要求1所述的方法,其特征在于,所述获取每一所述工业设备对应的多个流量数据的特征信息,包括:
获取每一所述工业设备对应的多个流量数据;
将每一所述工业设备对应的多个流量数据输入流量解析工具进行解析,以获得每一所述工业设备对应的多个流量数据的特征信息。
8.一种工业系统的异常检测装置,其特征在于,用于对多个工业设备进行异常检测,所述装置包括:
获取模块,用于获取每一所述工业设备对应的多个流量数据的特征信息,每一所述特征信息包括对应流量数据的收/发时间信息以及收/发地址信息;
确定模块,用于根据每一流量数据的收/发地址信息确定多组关联特征,每组关联特征表示关联有相同设备数量和/或关联有相同设备标识的多个工业设备的关联信息,所述关联信息表示与该工业设备直接连接或直接通信的其他工业设备的数量和/或与该工业设备直接连接或直接通信的其他工业设备的设备标识;
第一异常检测模块,用于根据每组关联特征对每组对应的多个工业设备进行异常检测,以获得每一工业设备的第一检测结果;
第二异常检测模块,用于根据每一工业设备对应流量数据的收/发时间信息和所述工业设备的历史流量数据对每一工业设备进行异常检测,以获得每一工业设备的第二检测结果;
所述确定模块,还用于根据所述每一工业设备的第一检测结果和第二检测结果确定异常的工业设备。
9.一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法。
10.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011461382.XA CN112583825B (zh) | 2020-12-07 | 2020-12-07 | 一种工业系统的异常检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011461382.XA CN112583825B (zh) | 2020-12-07 | 2020-12-07 | 一种工业系统的异常检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112583825A CN112583825A (zh) | 2021-03-30 |
| CN112583825B true CN112583825B (zh) | 2022-09-27 |
Family
ID=75131617
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011461382.XA Active CN112583825B (zh) | 2020-12-07 | 2020-12-07 | 一种工业系统的异常检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112583825B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113422697B (zh) * | 2021-06-21 | 2023-03-24 | 深信服科技股份有限公司 | 一种追踪方法、装置、电子设备及可读存储介质 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532776B (zh) * | 2013-09-30 | 2016-06-22 | 广东电网公司电力调度控制中心 | 业务流量检测方法及系统 |
| CN103532940B (zh) * | 2013-09-30 | 2016-06-08 | 广东电网公司电力调度控制中心 | 网络安全检测方法及装置 |
| CN108595667B (zh) * | 2018-04-28 | 2020-06-09 | 广东电网有限责任公司 | 一种网络异常数据的关联性分析方法 |
| CN109040084B (zh) * | 2018-08-13 | 2021-03-12 | 广东电网有限责任公司 | 一种网络流量异常检测方法、装置、设备及存储介质 |
| CN110881022A (zh) * | 2018-09-06 | 2020-03-13 | 福建雷盾信息安全有限公司 | 一种大型网络安全态势检测分析方法 |
| CN109462580B (zh) * | 2018-10-24 | 2021-03-30 | 全球能源互联网研究院有限公司 | 训练流量检测模型、检测业务流量异常的方法及装置 |
| CN110519290B (zh) * | 2019-09-03 | 2021-01-26 | 南京中孚信息技术有限公司 | 异常流量检测方法、装置及电子设备 |
| CN111935172B (zh) * | 2020-08-25 | 2023-09-05 | 广东一知安全科技有限公司 | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 |
-
2020
- 2020-12-07 CN CN202011461382.XA patent/CN112583825B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112583825A (zh) | 2021-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11657309B2 (en) | Behavior analysis and visualization for a computer infrastructure | |
| US10860406B2 (en) | Information processing device and monitoring method | |
| EP3258409B1 (en) | Device for detecting terminal infected by malware, system for detecting terminal infected by malware, method for detecting terminal infected by malware, and program for detecting terminal infected by malware | |
| US10164839B2 (en) | Log analysis system | |
| US10104108B2 (en) | Log analysis system | |
| JP6919569B2 (ja) | ログ分析システム、方法、及び記録媒体 | |
| CN111478966A (zh) | 物联网协议的解析方法、装置、计算机设备及存储介质 | |
| US9524223B2 (en) | Performance metrics of a computer system | |
| WO2017110720A1 (ja) | ログ分析システム、ログ分析方法及びプログラムを格納した記録媒体 | |
| CN113313280B (zh) | 云平台的巡检方法、电子设备及非易失性存储介质 | |
| CN113497797A (zh) | 一种icmp隧道传输数据的异常检测方法及装置 | |
| CN112583825B (zh) | 一种工业系统的异常检测方法和装置 | |
| CN114598506B (zh) | 工控网络安全风险溯源方法、装置、电子设备及存储介质 | |
| JPWO2018066661A1 (ja) | ログ分析方法、システムおよび記録媒体 | |
| JP6223380B2 (ja) | 中継装置及びプログラム | |
| CN111371581A (zh) | 物联网卡业务异常检测的方法、装置、设备和介质 | |
| CN109145609B (zh) | 一种数据处理方法和装置 | |
| CN106899977B (zh) | 异常流量检验方法和装置 | |
| CN113765850A (zh) | 物联网异常检测方法、装置、计算设备及计算机存储介质 | |
| JP2017211806A (ja) | 通信の監視方法、セキュリティ管理システム及びプログラム | |
| CN113535458B (zh) | 异常误报的处理方法及装置、存储介质、终端 | |
| CN114846767A (zh) | 用于解决矛盾的设备分析数据的技术 | |
| CN114281774A (zh) | 一种日志识别方法、装置、电子设备及存储介质 | |
| CN112416385A (zh) | 采集组件管理方法和系统 | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |