CN116112270A - 一种确定异常流量的数据处理系统 - Google Patents

Abstract

本发明涉及一种确定异常流量的数据处理系统，所述系统包括目标工控设备对应的工控流量信息集、处理器和存储有计算机程序的存储器，当所述计算机程序被处理器执行时，实现以下步骤：从所述工控流量信息集中获取第一流量时间列表且根据第一流量时间列表，获取第一流量时间列表对应的第一传输时长参数，以使得根据第一传输时长参确定出异常流量；可知，本发明能够根据流量的传输时间确定出异常流量，进而对于将的按照不同的时间进行发送以躲避工控设备的安全防控的异常流量识别出来，提高了工控设备的安全性。

Description

一种确定异常流量的数据处理系统

技术领域

本发明涉及工控设备安全技术领域，尤其涉及一种确定异常流量的数据处理系统。

背景技术

随着工业控制系统的发展，互联互通成为趋势，但这同时也对工控系统的网络安全防护提出了更高的要求。工控系统网络安全存在设备和操作系统老旧、通信协议没有安全机制等历史固有问题，容易遭受网络攻击，从而造成设备安全、经济受损等严重不良影响；所以需要针对工业控制系统做好网络安全防护措施。

现有技术中，异常流量的发起方通过将异常流量的按照不同的时间进行发送以躲避工控设备的安全防控，进而导致工控设备的安全隐患；因此，如何确定出异常流量是目前本领域技术人员急需解决的技术问题。

发明内容

针对上述技术问题，本发明采用的技术方案为一种确定异常流量的数据处理系统，所述系统包括：目标工控设备对应的工控流量信息集、处理器和存储有计算机程序的存储器，当所述计算机程序被处理器执行时，实现以下步骤：

S100，从所述工控流量信息集中获取第一流量时间列表A＝{A₁，……，A_i，……，A_m}，A_i为第i个第一工控流量的时间，i＝1……m，m为目标工控设备对应的第一工控流量数量。

S120，根据A，获取A对应的第一传输时长参数A'，其中，A'符合如下条件：

S140，当|A'-ΔA'|≤ΔA⁰时，确定第一工控流量为异常流量，ΔA⁰为预设的时长阈值。

S160，当|A'-ΔA'|＞ΔA⁰时，获取第一时长区间列表C＝{C₁，……，C_j，……，C_n}，C_j为第j个第一时长区间，j＝1……n，n为第一时长区间数量。

S180，根据C，确定出目标工控设备对应的异常流量。

本发明与现有技术相比具有明显的优点和有益效果。借由上述技术方案，本发明提供的一种确定异常流量的数据处理系统可达到相当的技术进步性及实用性，并具有产业上的广泛利用价值，其至少具有下列优点：

本发明的一种确定异常流量的数据处理系统，所述系统包括目标工控设备对应的工控流量信息集、处理器和存储有计算机程序的存储器，当所述计算机程序被处理器执行时，实现以下步骤：从所述工控流量信息集中获取第一流量时间列表且根据第一流量时间列表，获取第一流量时间列表对应的第一传输时长参数，以使得根据第一传输时长参确定出异常流量；可知，能够根据流量的传输时间确定出异常流量，进而对于将的按照不同的时间进行发送以躲避工控设备的安全防控的异常流量识别出来，提高了工控设备的安全性。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图,详细说明如下。

附图说明

图1为本发明实施例一提供的一种确定异常流量的数据处理系统的执行计算机程序的流程图；

图2为本发明实施例二提供的一种确定异常流量的数据处理系统的执行计算机程序的流程图；

图3为本发明实施例三提供的一种确定异常流量的数据处理系统的执行计算机程序的流程图。

具体实施方式

为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例，对依据本发明提出的一种监测异常流量的数据处理系统的具体实施方式及其功效，详细说明如后。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例一

本实施例一提供了一种确定异常流量的数据处理系统，所述系统包括：目标工控设备对应的工控流量信息集、处理器和存储有计算机程序的存储器，当所述计算机程序被处理器执行时，实现以下步骤，如图1所示：

S100，从所述工控流量信息集中获取第一流量时间列表A＝{A₁，……，A_i，……，A_m}，A_i为第i个第一工控流量的时间，i＝1……m，m为目标工控设备对应的第一工控流量数量。

具体的，所述目标工控设备为用户预先设置的待监控的工控设备，即工控设备为工控机。

具体的，所述工控流量信息集包括若干个目标工控设备对应的工控流量信息，其中，每一工控流量信息包括目标工控设备对应的工控流量大小和目标工控设备对应的工控流量的传输时长，可以理解为：工控流量发送至流量监控系统的时长且接收到的流量监控系统的反馈信息的时长之和。

进一步的，所述第一工控流量为与目标工控设备对应的异常心跳包大小之间的流量大小差不大于预设的流量大小差阈值的工控流量。

S120，根据A，获取A对应的第一传输时长参数A'，其中，A'符合如下条件：

S140，当|A'-ΔA'|≤ΔA⁰时，确定第一工控流量为异常流量，ΔA⁰为预设的时长阈值。

S160，当|A'-ΔA'|＞ΔA⁰时，获取第一时长区间列表C＝{C₁，……，C_j，……，C_n}，C_j为第j个第一时长区间，j＝1……n，n为第一时长区间数量。

具体的，C_j＝[C_j1，C_j2)，其中，C_j1为C_j对应的最小值，C_j2为C_j对应的最大值。

进一步的，C_j2与C_(j-1)1相等。

具体的，在S140步骤中还包括如下步骤：

S1401，当|A'-ΔA'|＞ΔA⁰'时，获取第一关键时长区间ΔC⁰＝[ΔC⁰ ₁，ΔC⁰ ₂]，其中，ΔC⁰ ₁为第一关键时长区间的最小值和ΔC⁰ ₂为第一关键时长区间的最大值。

进一步的，ΔC⁰ ₁符合如下条件：

ΔC⁰ ₁＝min(A_i×m/∑^m _i＝1A_i)。

进一步的，ΔC⁰ ₂符合如下条件：

ΔC⁰ ₂＝max(A_i×m/∑^m _i＝1A_i)。

S1403，对ΔC⁰进行处理，生成ΔC⁰对应的第二关键时长列表C⁰＝{C⁰ ₁，……，C⁰ _y，……，C⁰ _q}，C⁰ _y为第y个第二关键时长，y＝1……q，q为第二关键时长数量。

进一步的，q符合如下条件：

q＝n-2。

进一步的，C⁰ _y符合如下条件：

C⁰ _y＝y×(ΔC⁰ ₂-ΔC⁰ ₁)/(n-2)。

S1405，根据ΔC⁰ ₁、ΔC⁰ ₂和C⁰，获取第三关键时长列表C'＝{ΔC⁰ ₁，C⁰ ₁，……，C⁰ _y，……，C⁰ _q，ΔC⁰ ₂}。

S1407，根据C'，生成C；可以理解为：C'中相邻的任一两个第三关键时长构建成一个第一时长区间。

进一步的，ΔA'符合如下条件：

其中，A⁰ _α为目标异常心跳包列表的第α个目标异常心跳包的传输时长，α＝1……β，β为目标异常心跳包列表中目标异常心跳包数量。

上述，通过流量的传输时间的最大参数值和最小参数值，确定出流的时长区间，根据时长区间中流量大小变化确定出异常流量，以将的按照不同传输时间进行发送以躲避工控设备的安全防控的异常流量识别出来，提高了工控设备的安全性。

S180，根据C，确定出目标工控设备对应的异常流量。

具体的，在S180步骤中还包括如下步骤：

S1801，获取A对应的初始流量大小列表Q＝{Q₁，……，Q_i，……，Q_m}，Q_i为A_i对应的初始流量大小。

S1803，对A对应的初始流量按照C对应的每一所述第一时长区间进行处理，获取到C对应的关键流量大小集Q⁰＝{Q⁰ ₁，……，Q⁰ _j，……，Q⁰ _n}，Q⁰ _j＝{Q⁰ _j1，……，Q⁰ _jr，……Q⁰ _js(j)}，Q⁰ _jr为C_j内的第r个关键流量大小，r＝1……s(j)，s(j)为C_j内的关键流量数量。

S1805，根据Q⁰，获取Q⁰对应的流量差ΔQ⁰＝{ΔQ⁰ ₁，……，ΔQ⁰ _j，……，ΔQ⁰ _n}，ΔQ⁰ _j为Q⁰ _j对应的流量差。

进一步的，ΔQ⁰ _j符合如下条件：

S1807，当ΔQ⁰ _j＜ΔQ时，确定出ΔQ⁰ _j对应的第一工控流量为异常流量，其中，ΔQ为预设流量差阈值。

S1809，当ΔQ⁰ _j≥ΔQ时，确定出ΔQ⁰ _j对应的第一工控流量为非异常流量。

本实施例一提供了一种确定异常流量的数据处理系统，所述系统包括目标工控设备对应的工控流量信息集、处理器和存储有计算机程序的存储器，当所述计算机程序被处理器执行时，实现以下步骤：从所述工控流量信息集中获取第一流量时间列表且根据第一流量时间列表，获取第一流量时间列表对应的第一传输时长参数，以使得根据第一传输时长参确定出异常流量；可知，能够根据流量的传输时间确定出异常流量，进而对于将的按照不同传输时间进行发送以躲避工控设备的安全防控的异常流量识别出来，提高了工控设备的安全性。

实施例二

本实施例二提供了一种确定异常流量的数据处理系统，所述系统当所述计算机程序被处理器执行时，还实现以下步骤，如图2所示：

S200，当目标工控设备的某一工控流量为异常流量时，获取预设时间段T内的所述第二工控流量列表和B＝{B₁，……，B_x，……，B_p}和B对应的第二传输时长列表B⁰＝{B⁰ ₁，……，B⁰ _x，……，B⁰ _p}，其中，B_x为第x个第二工控流量，B⁰ _x为B_x对应的第二传输时长，x＝1……p，p为第二工控流量数量。

具体的，在S200步骤中确定异常流量的方法可以参照实施例一中S100-S180步骤，在此不在赘述。

具体的，所述第二工控流量为与预设的异常心跳包大小一致的工控流量。

具体的，所述第二传输时长为所述第二工控流量对应的传输时长。

S220，根据B⁰，确定出第一异常流量设置措施，以使得基于所述第一异常流量设置措施，生成异常心跳包识别措施。

具体的，在S220步骤中还包括如下步骤：

S2201，根据B⁰，获取B⁰对应的中间时长区间列表D＝{D₁，……，D_v，……，D_w}，D_v＝[D_v1，D_v2)，D_v1为B⁰对应的第v个中间时长区间的下限值，D_v2为B⁰对应的第v个中间时长区间的上限值；可以理解为：B⁰中相邻的两个第二传输时长构建成任一中间时长区间，其中，v＝1……w，w为B⁰对应的中间时长区间数量。

S2203，根据B⁰，获取B⁰对应的第一中间传输时长集D⁰＝{D⁰ ₁，……，D⁰ _v，……，D⁰ _w}，D⁰ _v为D_v对应的第一中间传输时长列表。

进一步的，每一第一中间传输时长列表中的第一中间传输时长数量λ，其中，λ符合如下条件：

λ＝T/T⁰×p，T⁰为异常心跳包的预设传输时长。

进一步的，在S2203步骤中还包括如下步骤：

S10，根据B，获取B对应的中间时间差ΔB，其中，ΔB符合如下条件：

ΔB＝(∑ⁿ _x＝1(B⁰ _x-B⁰ _x-1))/(x-1)。

S30，当|D_v2-D_v1|≤ΔB时，生成

为D⁰ _v中第η个第一中间传输时长，η＝1……λ。

进一步的，

S50，当|D_v2-D_v1|＞ΔB时，生成

为D⁰ _v中第η个第一中间传输时长，η＝1……λ。

进一步的，

S2205，将D⁰ _v插入至D_v中，生成D_v对应的第二中间传输时长列表。

S2207，将异常心跳包的传输时间按照每一D_v对应的第二中间传输时长列表进行设置生成第一异常流量设置措施，以使得基于所述第一异常流量设置措施，生成异常心跳包识别措施；本领域技术人员根据实际需求设置异常心跳包识别措施，在此不再赘述。

本实施例二提供了一种确定异常流量的数据处理系统，所述系统当所述计算机程序被处理器执行时，还实现以下步骤：当目标工控设备的某一工控流量为异常流量时，获取预设时间段内的所述第二工控流量列表，再根据所述第二工控流量列表，确定出第一异常流量设置措施，以使得基于所述第一异常流量设置措施，生成异常心跳包识别措施；可知，本申请模拟出根据所述第二工控流量列表，设置出不同的传输时长的变化规律，以避开工控设备的安全防控系统的策略，有利于工控设备的安全防控系统的设计和升级，进而提高了工控设备的安全性。

实施例三

本实施例三提供了一种确定异常流量的数据处理系统，所述系统当所述计算机程序被处理器执行时，还实现以下步骤，如图3所示：

S300，当目标工控设备的某一工控流量为异常流量时，获取工控流量信息集U＝{U₁，……，U_g，……，U_z}，U_g＝{U_g1，……，U_ga，……，U_gk(g)}，U_gv为第g类工控流量列表中第a个工控流量，g＝1……z，z为目标流量列表数量，a＝1……k(g)，k(g)为第g个工控流量列表中工控流量数量且k(g)不小于2。

具体的，在S300步骤中确定异常流量的方法可以参照实施例一中S100-S180步骤，在此不在赘述。

具体的，在S300步骤中工控流量可以参照实施例一中工控流量，在此不再赘述。

S320，根据U，确定出第二异常流量设置措施，以使得基于所述第二异常流量设置措施，生成异常心跳包识别措施。

具体的，在S320步骤中还包括如下步骤：

S3201，获取U对应的传输时长列表T＝{T₁，……，T_g，……，T_z}，T_g＝{T_g1，……，T_ga，……，T_gk(g)}，T_ga为U_ga对应的传输时长。

具体的，在S3201步骤中工控流量对应的传输时长可以参照实施例一中工控流量对应的传输时长，在此不再赘述。

S3202，根据T，获取T对应的目标时间间隔集ΔT＝{ΔT₁，……，

ΔT_g，……，ΔT_z}，ΔT_g＝{ΔT_g1，……，ΔT_gb，……，ΔT_gh}，ΔT_gb

为T_g对应的目时间间隔列表中第b个目标时间间隔，b＝1……h，h为目标时间间隔。

具体的，在T_g对应的目时间间隔列表中任一目标时间间隔为相邻的U_ga对应的传输时长之间的时间间隔。

具体的，h符合如下条件：

h＝k(g)-1。

S3203，根据ΔT，获取ΔT对应的目标时间差列表ΔT⁰＝{ΔT⁰ ₁，……，ΔT⁰ _g，……，ΔT⁰ _z}，ΔT⁰ _g为ΔT_g对应的第一目标时间参数。

具体的，ΔT⁰ _g符合如下条件：

其中，T⁰为异常心跳包的预设传输时长。

S3204，根据ΔT⁰，获取ΔT⁰对应的第二目标时间参数ΔT'。

进一步的，ΔT'符合如下条件：

S3205，当ΔT'＞ΔG时，获取第一中间工控流量集U⁰＝{U⁰ ₁，……，U⁰ _e，……，U⁰ _f}，U⁰ _e为第一中间工控流量列表，e＝1……f，f为第一中间工控流量列表数量；可以理解为：第一中间工控流量列表为当ΔT'＞ΔG时的工控流量列表，其中，ΔG为预设的时间参数阈值。

S3206，从U⁰中获取任一所述第一中间工控流量列表中与异常心跳包大小一致的第一中间工控流量数量不小于预设的流量数量阈值时的第一中间工控流量列表作为第二中间工控流量列表。

S3207，根据所述第二中间工控流量列表，设置异常心跳包的传输时长作为第二异常流量设置措施，以使得基于所述第二异常流量设置措施，生成异常心跳包识别措施；本领域技术人员根据实际需求设置异常心跳包识别措施，在此不再赘述。

具体的，在S3207步骤中还包括如下步骤：

S1，将任一所述第二中间工控流量列表中最大时间间隔ΔU⁰ _max和最小时间间隔ΔU⁰ _min。

S3，当任一所述第二中间工控流量列表对应的关键时间间隔差ΔU⁰为最大的关键时间间隔差时，将目标标异常流量的传输时长设置与ΔU⁰对应的所述第二中间工控流量列表的传输时长一致。

进一步的，ΔU⁰符合合如下条件：

ΔU⁰＝(ΔU⁰ _max-ΔU⁰ _min)。

本实施例三提供了一种确定异常流量的数据处理系统，所述系统当所述计算机程序被处理器执行时，还实现以下步骤：当当目标工控设备的某一工控流量为异常流量时，获取工控流量信息集，再根据工控流量信息集，确定出第二异常流量设置措施，以使得基于所述第二异常流量设置措施，生成异常心跳包识别措施；可知，本申请模拟出根据所述工控流量信息集，确定出与异常流量大小类似的正常流量的变化规律，将异常流量按照正常流量的传输时长变化规律进行设置，以避开工控设备的安全防控系统的策略，有利于工控设备的安全防控系统的设计和升级，进而提高了工控设备的安全性。

以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，虽然本发明已以较佳实施例揭露如上，然而并非用以限定本发明,任何熟悉本专业的技术人员，在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均仍属于本发明技术方案的范围内。

Claims (8)

1.一种确定异常流量的数据处理系统，其特征在于，所述系统包括：目标工控设备对应的工控流量信息集、处理器和存储有计算机程序的存储器，当所述计算机程序被处理器执行时，实现以下步骤：

S100，从所述工控流量信息集中获取第一流量时间列表A＝{A₁，……，A_i，……，A_m}，A_i为第i个第一工控流量的时间，i＝1……m，m为目标工控设备对应的第一工控流量数量；

S120，根据A，获取A对应的第一传输时长参数A'，其中，A'符合如下条件：

S140，当|A'-ΔA'|≤ΔA⁰时，确定第一工控流量为异常流量，ΔA⁰为预设的时长阈值；

S160，当|A'-ΔA'|＞ΔA⁰时，获取第一时长区间列表C＝{C₁，……，C_j，……，C_n}，C_j为第j个第一时长区间，j＝1……n，n为第一时长区间数量；

S180，根据C，确定出目标工控设备对应的异常流量。

2.根据权利要求1所述的确定异常流量的数据处理系统，其特征在于，所述目标工控设备为用户预先设置的待监控的工控设备。

3.根据权利要求1所述的确定异常流量的数据处理系统，其特征在于，所述工控流量信息集包括若干个目标工控设备对应的工控流量信息，其中，每一工控流量信息包括目标工控设备对应的工控流量大小和目标工控设备对应的工控流量的传输时长。

4.根据权利要求1所述的确定异常流量的数据处理系统，其特征在于，所述第一工控流量为与目标工控设备对应的异常心跳包大小之间的流量大小差不大于预设的流量大小差阈值的工控流量。

5.根据权利要求1所述的确定异常流量的数据处理系统，其特征在于，在S160步骤中C_j＝[C_j1，C_j2)，其中，C_j1为C_j对应的最小值，C_j2为C_j对应的最大值。

6.根据权利要求5所述的确定异常流量的数据处理系统，其特征在于，C_j2与C_(j-1)1相等。

7.根据权利要求1所述的确定异常流量的数据处理系统，其特征在于，在S180步骤中还包括如下步骤：

S1801，获取A对应的初始流量大小列表Q＝{Q₁，……，Q_i，……，Q_m}，Q_i为A_i对应的初始流量大小；

S1803，对A对应的初始流量按照C对应的每一所述第一时长区间进行处理，获取到C对应的关键流量大小集Q⁰＝{Q⁰ ₁，……，Q⁰ _j，……，Q⁰ _n}，Q⁰ _j＝{Q⁰ _j1，……，Q⁰ _jr，……Q⁰ _js(j)}，Q⁰ _jr为C_j内的第r个关键流量大小，r＝1……s(j)，s(j)为C_j内的关键流量数量；

S1805，根据Q⁰，获取Q⁰对应的流量差ΔQ⁰＝{ΔQ⁰ ₁，……，ΔQ⁰ _j，……，ΔQ⁰ _n}，ΔQ⁰ _j为Q⁰ _j对应的流量差；

S1807，当ΔQ⁰ _j＜ΔQ时，确定出ΔQ⁰ _j对应的第一工控流量为异常流量，其中，ΔQ为预设流量差阈值；

S1809，当ΔQ⁰ _j≥ΔQ时，确定出ΔQ⁰ _j对应的第一工控流量为非异常流量。

8.根据权利要求7所述的确定异常流量的数据处理系统，其特征在于，ΔQ⁰ _j符合如下条件：

Images