The invention discloses an anomaly detection method for industrial control system data based on normalization processing, which includes: online acquisition of network traffic data accessed by industrial control equipment; use normalization processing algorithm to detect network traffic data and output test results; and determine whether network traffic data is abnormal by comparing test results with data in existing database features. In order to realize abnormal detection of network traffic data in industrial control system. The method of the invention improves the detection rate of abnormal detection of network traffic data in industrial control system, thereby improving the safety early warning and protection ability of industrial control system.
【技术实现步骤摘要】
一种基于归一化处理的工控系统数据异常检测方法
本专利技术属于工业信息安全
,涉及一种基于归一化处理的工控系统数据异常检测方法。
技术介绍
工控系统数据异常检测技术常常采用传统方法,如手工测试技术、静态分析技术、二进制比较技术等,其工作量巨大、灵活性差、误报率高。因此,本专利技术提供基于归一化处理的工控系统数据异常检测方法,其具备思想简单,容易理解、从发现数据异常到异常数据重现检测容易、不存在误报的优点。
技术实现思路
本专利技术的主要目的在于提供一种基于归一化处理的工控系统数据异常检测方法,以解决现有技术中工控系统数据异常检测准确率低、误报率高的问题,从而提高了工控系统的安全预警和防护能力。为了实现上述目的,根据本专利技术提供一种基于归一化处理的工控系统数据异常检测方法,包括以下步骤:1.在线获取工控设备接入的网络流量数据;2.根据网络流量数据完成样本处理;3.利用归一化处理算法对网络流量数据进行归一化处理,并输出处理结果;4.读取已有的数据特征库中的数据,对比归一化处理后的处理结果,输出检测结果;5.根据检测结果确定网络流量数据是否出现异常。进一步,所述归一化处理的建立方法如下:1)读取完成样本处理的流量数据;2)通过以下公式对采集到的数据进行归一化处理:其中,xi′是第i条网络异常归一化处理后的数据,数值在0~1之间;是流特征数据的数值平均值,S是样本的特征标准差,n是网络异常流量数据样本的数量,xi表示第i条网络异常流量数据样本;3)对归一化后的数据与已有的数据特征库中的数据进行对比,输出检测结果。本专利技术提供的基于归一化处理的工控系统数据异常检 ...
【技术保护点】
1.一种基于归一化处理的工控系统数据异常检测方法,其特征在于,包括以下步骤:1)在线获取工控设备接入的网络流量数据;2)根据网络流量数据完成样本处理;3)利用归一化处理算法对网络流量数据进行归一化处理,并输出处理结果;4)读取已有的数据特征库中的数据,对比归一化处理后的处理结果,输出检测结果;5)根据检测结果确定网络流量数据是否出现异常。
【技术特征摘要】
1.一种基于归一化处理的工控系统数据异常检测方法,其特征在于,包括以下步骤:1)在线获取工控设备接入的网络流量数据;2)根据网络流量数据完成样本处理;3)利用归一化处理算法对网络流量数据进行归一化处理,并输出处理结果;4)读取已有的数据特征库中的数据,对比归一化处理后的处理结果,输出检测结果;5)根据检测结果确定网络流量数据是否出现异常。2.根据权利要求1所述的一种基于归一化处理的工控系统...
【专利技术属性】
技术研发人员:阮伟,陈亮,吴春明,杨柳,
申请(专利权)人:浙江大学,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。