CN116108394A

CN116108394A - 一种工控系统流量异常检测方法、装置及介质

Info

Publication number: CN116108394A
Application number: CN202211521573.XA
Authority: CN
Inventors: 安成飞; 叶鹏
Original assignee: DBAPPSecurity Co Ltd
Current assignee: DBAPPSecurity Co Ltd
Priority date: 2022-11-30
Filing date: 2022-11-30
Publication date: 2023-05-12

Abstract

本申请公开了一种工控系统流量异常检测方法、装置及介质，涉及工业控制领域，为了解决无法实现针对私有协议的流量特征检测的问题，本申请提供获取工控系统的镜像流量；通过对镜像流量的统计分析获取周期性分量、趋势性分量与随机残差分量；根据S‑H‑ESD模型得到每个点的检测统计量；根据随机残差分量与检测统计量得到最大统计量与检验临界值；判断最大统计量是否大于检验临界值；若大于，则确定当前数据点为流量异常点。获取工控系统的镜像流量，通过时序分析的周期性分量，综合考虑突发情况的反映发展趋势变化的趋势分量，利用S‑H‑ESD算法对随机残差分量进行检测实现对工控系统网络流量的异常检测，不受私有协议制约。

Description

一种工控系统流量异常检测方法、装置及介质

技术领域

本申请涉及工业控制领域，特别是涉及一种工控系统流量异常检测方法、装置及介质。

背景技术

工业控制系统(以下简称工控或工控系统)被广泛的应用于电力、交通、化工、水利、通信和航天等多行业之中。工控系统已经成为国家关键基础设施的重要组成部分。由于工控系统在国计民生中有着举足轻重的作用，尤其是作为关键基础设施的工控系统，每一次安全事件都会带来巨大的影响和危害。更严重的是，由于工控系统在设计时以功能实现为主并未充分考虑可能面临的信息安全问题，导致其存在许多潜在的信息安全漏洞。具备快速检测工控系统存在的异常行为的能力对于保障整个工控系统的正常运行而言，已事关国家安全。

为了保证工控系统的高实时性、稳定性以及低的时延，各个自动化厂商均推出了自有的专用工控协议。这些专用协议由于协议规范不公开和部分厂商的协议采用的加密模式等都给流量异常检测带来了难度和不准确性。因而加强对工控专用协议流量异常检测研究有助于工业控制系统信息安全的发展，异常检测能够提前发现威胁，加之有效的阻断方法能够避免对工业控制系统的破坏，维护社会稳定和国家稳定。

工业控制系统协议存在大量的私有的协议(即不公开协议规范和报文格式)或进行了加密处理，导致针对工控协议流量特征检测的异常检测装置或系统无法实现针对私有协议的流量特征检测的问题。

由此可见，提供一种不受私有协议制约的异常流量检测方法，是本领域人员亟待解决的技术问题。

发明内容

本申请的目的是提供一种不受私有协议制约的工控系统流量异常检测方法、装置及介质。

为解决上述技术问题，本申请提供一种工控系统流量异常检测方法，包括：

获取工控系统的镜像流量；

通过对镜像流量的统计分析获取周期性分量、趋势性分量与随机残差分量；

根据S-H-ESD模型得到每个点的检测统计量；

根据随机残差分量与检测统计量得到最大统计量与检验临界值；

判断最大统计量是否大于检验临界值；

若大于，则确定当前数据点为流量异常点。

优选地，上述的工控系统流量异常检测中，确定当前数据点流量异常之后，还包括：

判断流量异常点的个数是否大于预设阈值；

若大于，则确定当前流量异常。

优选地，上述的工控系统流量异常检测中，通过对镜像流量的统计分析获取周期性分量、趋势性分量，包括：

通过预设生产周期与第一公式得到镜像流量的周期性分量；

第一公式为：

其中，S_t代表工控系统流量周期性分量，p表示周期长度，k表示正余弦的个数，M表示周期的个数；

根据一阶指数平滑模型与第二公式得到趋势性分量；

第二公式为：T_t＝aT_t-1+(1-a)T_t-1；

其中，T_t为t个周期的预测值，a为平滑系数值。

优选地，上述的工控系统流量异常检测中，根据周期性分量与趋势性分量得到随机残差分量，包括：

根据第三公式、周期性分量与趋势性分量得到随机残差分量；

第三公式为：R_t＝Y_t-S_t-T_t，t＝1、2、3、…n，；

其中，Y_t为获取镜像流量的统计分量；R_t代表随机残差分量，n为数据量大小。

优选地，上述的工控系统流量异常检测中，根据S-H-ESD模型得到每个点的检测统计量，包括：

确定中位数R_m；

计算中位数绝对误差R_md；

依据中位数R_m和中位数绝对误差R_md、及第四公式计算数据集中每个点的检测统计量G_i；

第四公式为：G_i＝|R_t-R_m|/R_md，1≤t≤k。

优选地，上述的工控系统流量异常检测中，根据随机残差分量与检测统计量得到最大统计量与检验临界值，包括：

根据每个点的检测统计量G_i得到最大统计量对应的点G_tm，作为备选异常点；

根据第五公式计算检验临界值；

第五公式为：

其中，p＝1-a/2(n-t-1)。

优选地，上述的工控系统流量异常检测中，获取工控系统的镜像流量，包括：

获取相关设备之间通信的核心交换机的镜像流量。

为解决上述技术问题，本申请还提供一种工控系统流量异常检测装置，包括：

获取模块，用于获取工控系统的镜像流量；

第一分析模块，用于通过对镜像流量的统计分析获取周期性分量、趋势性分量；

第二分析模块，用于根据周期性分量与趋势性分量得到随机残差分量；

模型分析模块，用于根据S-H-ESD模型得到每个点的检测统计量；

第三分析模块，用于根据随机残差分量与检测统计量得到最大统计量与检验临界值；

判断模块，用于判断最大统计量是否大于检验临界值；若大于，则触发第一确定模块；

第一确定模块，用于确定当前数据点为流量异常点。

存储器，用于存储计算机程序；

处理器，用于执行计算机程序时实现上述的工控系统流量异常检测方法的步骤。

为解决上述技术问题，本申请还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述的工控系统流量异常检测方法的步骤。

本申请所提供的工控系统流量异常检测方法，包括：获取工控系统的镜像流量；通过对镜像流量的统计分析获取周期性分量、趋势性分量与随机残差分量；根据S-H-ESD模型得到每个点的检测统计量；根据随机残差分量与检测统计量得到最大统计量与检验临界值；判断最大统计量是否大于检验临界值；若大于，则确定当前数据点为流量异常点。通过时序分析的周期性分量，综合考虑突发情况的反映发展趋势变化的趋势分量，利用S-H-ESD算法对随机残差分量进行检测实现对工控系统网络流量的异常检测，以S-H-ESD模型假设检验为基础，具有统计学理论基础，判断更科学准确，本申请不受工业控制系统中的私有协议制约。

另外，本申请还提供一种装置及介质，与上述方法对应，效果同上。

附图说明

为了更清楚地说明本申请实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种工控系统流量异常检测方法的流程图；

图2为本申请实施例提供的一种工控系统流量异常检测装置的结构图；

图3为本申请实施例提供的另一种工控系统流量异常检测装置的结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本申请保护范围。

本申请的核心是提供一种工控系统流量异常检测方法、装置及介质。

为了使本技术领域的人员更好地理解本申请方案，下面结合附图和具体实施方式对本申请作进一步的详细说明。

工业控制系统广泛应用在我国的关键基础设施中，是生产控制的核心控制系统。工业控制系统主要完成对工艺参数的采集和控制指令的下发以及安全联锁保护功能，实现对工业过程的安全、平稳和有序，一旦遭受破坏不仅经会造成财产损失，也会带来社会影响甚至影响国家安全，因而加强工业控制系统信息安全已经迫在眉睫。

工业控制系统和IT信息的最大不同是工控协议的不同，为了保证工控系统的高实时性、稳定性以及低的时延，各个自动化厂商均推出了自有的专用工控协议。这些专用协议由于协议规范不公开和部分厂商的协议采用的加密模式等都给流量异常检测带来了难度和不准确性。因而加强对工控专用协议流量异常检测研究有助于工业控制系统信息安全的发展，异常检测能够提前发现威胁，加之有效的阻断方法能够避免对工业控制系统的破坏，维护社会稳定和国家稳定。

虽然现有技术一种基于深度学习的工控网络流量异常检测方法及装置，使用LSTM深度学习，通过历史数据的特性构建流量基线阈值，通过对比当前流量统计时序序列与历史数据阈值对比发现异常流量，但是工控系统由于工艺特性的不同如流程工业与离散工业、批量生产等不同会呈现周期性季节变化，同时由于操作或突发性事件等问题会产生瞬时流量尖刺变化，而历史数据的学习无法解决这类的问题，造成漏报或误报等缺点，周期性学习和不断调优模型等训练耗时不利于现场突发情况的检测等。

为解决上述技术问题，本申请提供一种工控系统流量异常检测方法，如图1所示，包括：

S11：获取工控系统的镜像流量；

S12：通过对镜像流量的统计分析获取周期性分量、趋势性分量与随机残差分量；

S13：根据S-H-ESD模型得到每个点的检测统计量；

S14：根据随机残差分量与检测统计量得到最大统计量与检验临界值；

S15：判断最大统计量是否大于检验临界值；

S16：若大于，则确定当前数据点为流量异常点。

需要说明的是，流量镜像(Mirroring/traffic-shadow)，也叫作影子流量，是指通过一定的配置将线上的真实流量复制一份到镜像服务中去，我们通过流量镜像转发以达到在不影响线上服务的情况下对流量或请求内容做具体分析的目的，它的设计思想是只做转发而不接收响应(fire and forget)。

在本实施实例中，获取工控系统的镜像流量，优选地，包括：获取相关设备之间通信的核心交换机的镜像流量。例如，通过收集操作员站、服务器、工程师站、控制器以及其他相关设备之间通信的核心交换机的镜像流量来实现对原始流量的取得。

时间序列一般认为包含了趋势和周期以及残差，周期性分量与生产工艺周期相关，工艺生产可分为连续性生产和批量生产过程，连续性生产过程通常以日为周期，批量生产以小时、日、周等为周期。因而工控系统网络流量的统计特性与生产周期相关，周期性分量通过获取的镜像流量历史数据的统计数据(通常为一个生产周期)。

在本实施例中，以工艺操作周期的周期性对镜像流量进行时间序列分析，给定时间序列中特定时间段(日、周、月等)的重复周期。本实施例中，时间序列的检测，可以采用现有的时间序列检测算法，例如S-H-ESD算法等等。本实施例对此没有限制。

S-H-ESD时间序列检测算法是一种异常检测算法。由于时间序列数据具有周期性和趋势性的特点，因此异常检测不能将孤立的样本点单独进行处理，而应该基于历史数据进行分析判断。S-H-ESD算法是基于ESD(Extreme Studentized Deviate test)进行优化的算法。而ESD算法则是基于Grubbs Test(一种假设检验方法)假设检验扩展到多个异常值检验的算法(Grubbs Test只能检验单个异常值)。

对于时间序列的周期性分解，可以采用STL(Seasonal-Trenddecompositionprocedure based on Loess)算法实现，将序列数据拆分为周期性分量(seasonalcomponent)、趋势性分量(trend component)和随机残差分量(remaindercomponent)。也可以利用傅里叶级数的周期函数特性计算周期性分量，利用一阶指数平滑模型计算趋势性分量，依据加法模型计算随机残差分量，根据实际需要选择即可。

通过将最大统计量与检验临界值进行比较判断，若最大统计量大于检验临界值，则确定该点流量异常。

通过本申请实施例提供的工控系统流量异常检测方法，包括：获取工控系统的镜像流量；通过对镜像流量的统计分析获取周期性分量、趋势性分量与随机残差分量；根据S-H-ESD模型得到每个点的检测统计量；根据随机残差分量与检测统计量得到最大统计量与检验临界值；判断最大统计量是否大于检验临界值；若大于，则确定当前数据点为流量异常点。通过时序分析的周期性分量，综合考虑突发情况的反映发展趋势变化的趋势分量，利用S-H-ESD算法对随机残差分量进行检测实现对工控系统网络流量的异常检测，以S-H-ESD模型假设检验为基础，具有统计学理论基础，判断更科学准确。本申请不受工业控制系统中的私有协议制约，且传统的阈值判断法不考虑时序的周期性和趋势性带来的数据合理变化，易造成数据误判。

根据上述实施例，本实施例提供一种优选方案，确定当前数据点流量异常之后，还包括：

判断流量异常点的个数是否大于预设阈值；

若大于，则确定当前流量异常。

如流量异常点个数大于预设阈值，可判定为工控系统网络流量异常，进行流量异常响应程序。例如，根据检测结果进行响应动作，如异常报警、联动防火墙设备或终端安全设备进行入侵拦截等。不申请实施例不具体限制预设阈值及流量异常的响应，根据实际需要设置即可。能够有效的进行工控系统流量异常检测，并避免对工控系统中过多的资源消耗。

根据上述实施例，本申请实施例提供一种计算周期性分量、趋势性分量的优选方案，通过对镜像流量的统计分析获取周期性分量、趋势性分量，包括：

通过预设生产周期与第一公式得到镜像流量的周期性分量；

第一公式为：

根据一阶指数平滑模型与第二公式得到趋势性分量；

第二公式为：T_t＝aT_t-1+(1-a)T_t-1；

其中，T_t为t个周期的预测值，a为平滑系数值。

周期性统计分量与生产工艺周期相关，工艺生产可分为连续性生产和批量生产过程，连续性生产过程通常以日为周期，批量生产以小时、日、周等为周期。因而工控系统网络流量的统计特性与生产周期相关，周期性统计分量通过获取的镜像流量历史数据的统计数据(通常为一个生产周期)，利用傅里叶级数的周期函数特性计算周期性分量。通常年周期k取10，周周期k取3，日周期k取4，k的取值按照生产周期和周期系数的对应关系取值。

趋势性分量通过获取的镜像流量历史数据的统计数据，利用一阶指数平滑模型计算趋势性分量。其中T_t为t个周期的预测值，即本期(t期)的平滑值，a为平滑系数值。一般来说，如果序列变化比较平缓，平滑系数值应该比较小，比如小于0.l；如果序列变化比较剧烈，平滑系数值可以取得大一些，如0.3～0.5之间。根据实际需要设置即可。

根据上述实施例，本申请实施例提供一种计算随机残差分量的优选方案，根据周期性分量与趋势性分量得到随机残差分量，包括：

第三公式为：R_t＝Y_t-S_t-T_t，t＝1、2、3、…n，；

时间序列的分析主要是将时间序列进行分解，得到反映周期变化的周期行统计分量、反映发展趋势变化的趋势性统计分量和反映不规则变动的随机残差分量。如下式的加法模型：

Y_t＝T_t+S_t+R_t，t＝1，2，3,…n

其中，Y_t为获取镜像流量的统计分量，T_t代表趋势性分量，S_t代表周期性分量，R_t代表随机残差分量，n为数据量大小。

因而通过R_t＝Y_t-S_t-T_t，t＝1、2、3、…n，得到随机残差分量。

根据上述实施例，根据S-H-ESD模型得到每个点的检测统计量，S-H-ESD检验首先假设数据集中存在的异常值个数上限为k，然后进行k轮检验，包括：

确定中位数R_m；

计算中位数绝对误差R_md；

第四公式为：G_i＝|R_t-R_m|/R_md，1≤t≤k。

由于个别异常值会极大地拉伸均值和方差，从而导致S-ESD未能很好地捕获到部分异常点，召回率偏低。为了解决这个问题，S-H-ESD采用了更具鲁棒性的中位数与中位数绝对误差。本实施例中，中位数绝对误差R_md＝(|R_t-R_m|)。

优选地，根据随机残差分量与检测统计量得到最大统计量与检验临界值，包括：

根据第五公式计算检验临界值；

第五公式为：

其中，p＝1-a/2(n-t-1)。

将最大统计量与临界值进行比较判断，若最大统计量大于临界值(即G_tm>G_l)，则该备选异常点为流量异常点，记录异常点个数，重复以上步骤k次，将流量异常点个数与预设阈值比较，如异常点个数大于预设阈值，可判定为工控系统网络流量异常，进行流量异常响应程序，例如根据检测结果进行响应动作，如异常报警、联动防火墙设备或终端安全设备进行入侵拦截等。

在上述实施例中，对于工控系统流量异常检测方法进行了详细描述，本申请还提供工控系统流量异常检测装置对应的实施例。需要说明的是，本申请从两个角度对装置部分的实施例进行描述，一种是基于功能模块的角度，另一种是基于硬件的角度。

基于功能模块的角度，图2为本申请实施例提供的一种工控系统流量异常检测装置的结构图，如图2所示，工控系统流量异常检测装置，包括：

获取模块21，用于获取工控系统的镜像流量；

第一分析模块22，用于通过对镜像流量的统计分析获取周期性分量、趋势性分量与随机残差分量；

第二分析模块23，用于根据S-H-ESD模型得到每个点的检测统计量；

第三分析模块24，用于根据随机残差分量与检测统计量得到最大统计量与检验临界值；

判断模块25，用于判断最大统计量是否大于检验临界值；若大于，则触发第一确定模块26；

第一确定模块26，用于确定当前数据点为流量异常点。

具体地，获取模块21获取工控系统的镜像流量，第一分析模块22通过对镜像流量的统计分析获取周期性分量、趋势性分量与随机残差分量，第二分析模块23根据S-H-ESD模型得到每个点的检测统计量，第三分析模块24根据随机残差分量与检测统计量得到最大统计量与检验临界值，判断模块25判断最大统计量是否大于检验临界值；若大于，则触发第一确定模块26确定当前数据点为流量异常点。通过时序分析的周期性分量，综合考虑突发情况的反映发展趋势变化的趋势分量，利用S-H-ESD算法对随机残差分量进行检测实现对工控系统网络流量的异常检测，以S-H-ESD模型假设检验为基础，具有统计学理论基础，判断更科学准确。本申请不受工业控制系统中的私有协议制约，且传统的阈值判断法不考虑时序的周期性和趋势性带来的数据合理变化，易造成数据误判。

由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。

图3为本申请实施例提供的另一种工控系统流量异常检测装置的结构图，如图3所示，工控系统流量异常检测装置包括：存储器30，用于存储计算机程序；

处理器31，用于执行计算机程序时实现如上述实施例(工控系统流量异常检测方法)获取用户操作习惯信息的方法的步骤。

本实施例提供的工控系统流量异常检测装置可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。

其中，处理器31可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器31可以采用数字信号处理器(Digital Signal Processor，DSP)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)、可编程逻辑阵列(Programmable LogicArray，PLA)中的至少一种硬件形式来实现。处理器31也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称中央处理器(CentralProcessing Unit，CPU)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器31可以在集成有图像处理器(Graphics Processing Unit，GPU)，GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器31还可以包括人工智能(Artificial Intelligence，AI)处理器，该AI处理器用于处理有关机器学习的计算操作。

存储器30可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器30还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器30至少用于存储以下计算机程序301，其中，该计算机程序被处理器31加载并执行之后，能够实现前述任一实施例公开的工控系统流量异常检测方法的相关步骤。另外，存储器30所存储的资源还可以包括操作系统302和数据303等，存储方式可以是短暂存储或者永久存储。其中，操作系统302可以包括Windows、Unix、Linux等。数据303可以包括但不限于实现工控系统流量异常检测方法所涉及到的数据等。

在一些实施例中，工控系统流量异常检测装置还可包括有显示屏32、输入输出接口33、通信接口34、电源35以及通信总线36。

本领域技术人员可以理解，图3中示出的结构并不构成对工控系统流量异常检测装置的限定，可以包括比图示更多或更少的组件。

本申请实施例提供的工控系统流量异常检测装置，包括存储器和处理器，处理器在执行存储器存储的程序时，能够实现如下方法：工控系统流量异常检测方法，包括：获取工控系统的镜像流量；通过对镜像流量的统计分析获取周期性分量、趋势性分量与随机残差分量；根据S-H-ESD模型得到每个点的检测统计量；根据随机残差分量与检测统计量得到最大统计量与检验临界值；判断最大统计量是否大于检验临界值；若大于，则确定当前数据点为流量异常点。通过时序分析的周期性分量，综合考虑突发情况的反映发展趋势变化的趋势分量，利用S-H-ESD算法对随机残差分量进行检测实现对工控系统网络流量的异常检测，以S-H-ESD模型假设检验为基础，具有统计学理论基础，判断更科学准确。本申请不受工业控制系统中的私有协议制约，且传统的阈值判断法不考虑时序的周期性和趋势性带来的数据合理变化，易造成数据误判。

最后，本申请还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述工控系统流量异常检测方法实施例中记载的步骤。

可以理解的是，如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

本实施例提供的计算机可读存储介质，其上存储有计算机程序，当处理器执行该程序时，可实现以下方法：工控系统流量异常检测方法，包括：获取工控系统的镜像流量；通过对镜像流量的统计分析获取周期性分量、趋势性分量与随机残差分量；根据S-H-ESD模型得到每个点的检测统计量；根据随机残差分量与检测统计量得到最大统计量与检验临界值；判断最大统计量是否大于检验临界值；若大于，则确定当前数据点为流量异常点。通过时序分析的周期性分量，综合考虑突发情况的反映发展趋势变化的趋势分量，利用S-H-ESD算法对随机残差分量进行检测实现对工控系统网络流量的异常检测，以S-H-ESD模型假设检验为基础，具有统计学理论基础，判断更科学准确。本申请不受工业控制系统中的私有协议制约，且传统的阈值判断法不考虑时序的周期性和趋势性带来的数据合理变化，易造成数据误判。

以上对本申请所提供的工控系统流量异常检测方法、装置及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims

1.一种工控系统流量异常检测方法，其特征在于，包括：

获取工控系统的镜像流量；

通过对所述镜像流量的统计分析获取周期性分量、趋势性分量与随机残差分量；

根据S-H-ESD模型得到每个点的检测统计量；

根据所述随机残差分量与所述检测统计量得到最大统计量与检验临界值；

判断所述最大统计量是否大于所述检验临界值；

若大于，则确定当前数据点为流量异常点。

2.根据权利要求1所述的工控系统流量异常检测，其特征在于，所述确定当前数据点流量异常之后，还包括：

判断所述流量异常点的个数是否大于预设阈值；

若大于，则确定当前流量异常。

3.根据权利要求1所述的工控系统流量异常检测，其特征在于，所述通过对所述镜像流量的统计分析获取周期性分量、趋势性分量，包括：

通过预设生产周期与第一公式得到所述镜像流量的周期性分量；

所述第一公式为：

其中，S_t代表工控系统流量周期性分量，p表示周期长度，k表示正余弦的个数，M表示周期的个数，i表示数据点的个数。

根据一阶指数平滑模型与第二公式得到趋势性分量；

所述第二公式为：T_t＝aT_t-1+(1-a)T_t-1；

其中，t＝1、2、3、...n；n为数据量大小；T_t为t个周期的预测值，a为平滑系数值。

4.根据权利要求3所述的工控系统流量异常检测，其特征在于，获取随机残差分量，包括：

根据第三公式、所述周期性分量与所述趋势性分量得到随机残差分量；

所述第三公式为：R_t＝Y_t-S_t-T_t，t＝1、2、3、...n，；

5.根据权利要求4所述的工控系统流量异常检测，其特征在于，所述根据S-H-ESD模型得到每个点的检测统计量，包括：

确定中位数R_m；

计算中位数绝对误差R_md；

所述第四公式为：G_i＝|R_t-R_m|/R_md，1≤t≤k；

其中，k为上述步骤重复次数。

6.根据权利要求5所述的工控系统流量异常检测，其特征在于，所述根据所述随机残差分量与所述检测统计量得到最大统计量与检验临界值，包括：

根据每个点的检测统计量G_i得到所述最大统计量，作为备选异常点；

根据第五公式计算所述检验临界值；

所述第五公式为：

其中，p＝1-a/2(n-t-1)，a为常数。

7.根据权利要求1所述的工控系统流量异常检测，其特征在于，所述获取工控系统的镜像流量，包括：

获取相关设备之间通信的核心交换机的镜像流量。

8.一种工控系统流量异常检测装置，其特征在于，包括：

获取模块，用于获取工控系统的镜像流量；

第一分析模块，用于通过对所述镜像流量的统计分析获取周期性分量、趋势性分量与随机残差分量；

第二分析模块，用于根据S-H-ESD模型得到每个点的检测统计量；

第三分析模块，用于根据所述随机残差分量与所述检测统计量得到最大统计量与检验临界值；

判断模块，用于判断所述最大统计量是否大于所述检验临界值；若大于，则触发第一确定模块；

所述第一确定模块，用于确定当前数据点为流量异常点。

9.一种工控系统流量异常检测装置，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述的工控系统流量异常检测方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的工控系统流量异常检测方法的步骤。