当前位置: 首页 > 专利查询>浙江大学专利>正文

一种基于归一化处理的工控系统数据异常检测方法技术方案

技术编号:20545101 阅读:31 留言:0更新日期:2019-03-09 18:04
本发明专利技术公开了一种基于归一化处理的工控系统数据异常检测方法,其方法包括:在线获取工控设备接入的网络流量数据;利用归一化处理算法对网络流量数据进行检测并输出检测结果;根据检测结果与已有的数据特征库中的数据比较确定网络流量数据是否出现异常,从而实现工控系统网络流量数据异常检测。本发明专利技术方法提高了工控系统网络流量数据异常检测的检测率,从而提高了工控系统的安全预警和防护能力。

A Data Anomaly Detection Method for Industrial Control System Based on Normalization Processing

The invention discloses an anomaly detection method for industrial control system data based on normalization processing, which includes: online acquisition of network traffic data accessed by industrial control equipment; use normalization processing algorithm to detect network traffic data and output test results; and determine whether network traffic data is abnormal by comparing test results with data in existing database features. In order to realize abnormal detection of network traffic data in industrial control system. The method of the invention improves the detection rate of abnormal detection of network traffic data in industrial control system, thereby improving the safety early warning and protection ability of industrial control system.

【技术实现步骤摘要】
一种基于归一化处理的工控系统数据异常检测方法
本专利技术属于工业信息安全
,涉及一种基于归一化处理的工控系统数据异常检测方法。
技术介绍
工控系统数据异常检测技术常常采用传统方法,如手工测试技术、静态分析技术、二进制比较技术等,其工作量巨大、灵活性差、误报率高。因此,本专利技术提供基于归一化处理的工控系统数据异常检测方法,其具备思想简单,容易理解、从发现数据异常到异常数据重现检测容易、不存在误报的优点。
技术实现思路
本专利技术的主要目的在于提供一种基于归一化处理的工控系统数据异常检测方法,以解决现有技术中工控系统数据异常检测准确率低、误报率高的问题,从而提高了工控系统的安全预警和防护能力。为了实现上述目的,根据本专利技术提供一种基于归一化处理的工控系统数据异常检测方法,包括以下步骤:1.在线获取工控设备接入的网络流量数据;2.根据网络流量数据完成样本处理;3.利用归一化处理算法对网络流量数据进行归一化处理,并输出处理结果;4.读取已有的数据特征库中的数据,对比归一化处理后的处理结果,输出检测结果;5.根据检测结果确定网络流量数据是否出现异常。进一步,所述归一化处理的建立方法如下:1)读取完成样本处理的流量数据;2)通过以下公式对采集到的数据进行归一化处理:其中,xi′是第i条网络异常归一化处理后的数据,数值在0~1之间;是流特征数据的数值平均值,S是样本的特征标准差,n是网络异常流量数据样本的数量,xi表示第i条网络异常流量数据样本;3)对归一化后的数据与已有的数据特征库中的数据进行对比,输出检测结果。本专利技术提供的基于归一化处理的工控系统数据异常检测方法,从整体上考虑了在线获取的工控设备接入网络流量数据的离散性、随机性和非线性,但是通过归一化处理后可以提取出样本数据的特征,通过对比匹配即可快速实现工控系统数据异常检测。此外,借助于归一化处理算法的自适应能力,本专利技术还能自动适应不同特性和数值的流量数据(即不同工控系统其所产生的流量数据特性不一致)。附图说明图1为本专利技术的原理框图。具体实施方式为使本专利技术的目的、技术方案和优点更加清晰明白,结合具体实施案例,对本专利技术进行说明。应该指出,此处所述的具体实施案例仅用于解释本专利技术,并非用于限定本专利技术。如图1所示,一种基于归一化处理的工控系统数据异常检测方法,包括以下步骤:1.在线获取工控设备接入的网络流量数据;2.根据网络流量数据完成样本处理;3.利用归一化处理算法对网络流量数据进行归一化处理,并输出处理结果;4.读取已有的数据特征库中的数据,对比归一化处理后的处理结果,输出检测结果;5.根据检测结果确定网络流量数据是否出现异常。为了评价和判定本专利技术建立的工控数据流量检测方法的性能,对比传统检测方法,对测试数据进行检测得到的准确率和误报率对比如表1、表2、表3所示。表1:与手工测试技术对比表2:与静态分析技术对比表3:与二进制比较技术对比异常流量数据包括但不限于MODBUS-TCP通讯时的异常通信流量,Ethernet/IP通讯时的异常通信流量,OPC通讯时的异常通信流量等。进一步地,工控系统通讯时在线获取工控设备接入的网络流量数据均需要进行归一化处理:其中,xi′是第i条网络异常归一化处理后的数据,数值在0~1之间;是流特征数据的数值平均值,S是样本的特征标准差,n是网络异常流量数据样本的数量,xi表示第i条网络异常流量数据样本。需要说明的是,对于前述的方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本专利技术并不受所描述的动作顺序的限制,因为依据本专利技术,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本专利技术所必须的。另外,在本专利技术各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。以上所述仅为本专利技术的优选实施例而已,并不用于限制本专利技术,对于本领域的技术人员来说,本专利技术可以有各种更改和变化。凡在本专利技术的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本专利技术的保护范围之内。本文档来自技高网...

【技术保护点】
1.一种基于归一化处理的工控系统数据异常检测方法,其特征在于,包括以下步骤:1)在线获取工控设备接入的网络流量数据;2)根据网络流量数据完成样本处理;3)利用归一化处理算法对网络流量数据进行归一化处理,并输出处理结果;4)读取已有的数据特征库中的数据,对比归一化处理后的处理结果,输出检测结果;5)根据检测结果确定网络流量数据是否出现异常。

【技术特征摘要】
1.一种基于归一化处理的工控系统数据异常检测方法,其特征在于,包括以下步骤:1)在线获取工控设备接入的网络流量数据;2)根据网络流量数据完成样本处理;3)利用归一化处理算法对网络流量数据进行归一化处理,并输出处理结果;4)读取已有的数据特征库中的数据,对比归一化处理后的处理结果,输出检测结果;5)根据检测结果确定网络流量数据是否出现异常。2.根据权利要求1所述的一种基于归一化处理的工控系统...

【专利技术属性】
技术研发人员:阮伟陈亮吴春明杨柳
申请(专利权)人:浙江大学
类型:发明
国别省市:浙江,33

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1