流量异常的检测方法及装置和计算机可读存储介质制造方法及图纸

本公开是关于一种流量异常的检测方法及装置和计算机可读存储介质，其中，流量异常的检测方法包括：获取待检测流量所包含报文的时间间隔序列；对时间间隔序列进行变换处理，得到待检测低频信号和待检测高频信号；提取待检测低频信号的预设特征和待检测高频信号的预设特征；若待检测低频信号的预设特征偏离预先得到的低频序列基线和/或待检测高频信号的预设特征偏离预先得到的高频序列基线，则确定待检测流量异常。上述实施例，检测准确率高、计算高效并且具有普适性。

【技术实现步骤摘要】
流量异常的检测方法及装置和计算机可读存储介质
本公开涉及安全
，尤其涉及一种流量异常的检测方法及装置和计算机可读存储介质。
技术介绍
工控又称工业自动化控制，主要是指使用计算机技术，微电子技术，电气手段，使工厂的生产和制造过程更加自动化、效率化、精确化，并具有可控性及可视性。随着国家对信息化建设的大力推进，工控系统正日益走向开放、互联、互通，不仅广泛使用通用协议、通用操作和通用网络设施，工控系统还可与远程端互联、互通，这使得网络安全问题直接延伸到工控系统，导致工控系统的漏洞和攻击面不断增加，给传统防护体系带来严峻挑战。
技术实现思路
为克服相关技术中存在的问题，本公开提供一种流量异常的检测方法及装置和计算机可读存储介质。根据本公开实施例的第一方面，提供一种流量异常的检测方法，包括：获取待检测流量所包含报文的时间间隔序列；对所述时间间隔序列进行变换处理，得到待检测低频信号和待检测高频信号；提取所述待检测低频信号的预设特征和待检测高频信号的预设特征；若所述待检测低频信号的预设特征偏离预先得到的低频序列基线和/或所述待检测高频信号的预设特征偏离预先得到的高频序列基线，则确定所述待检测流量异常。在一实施例中，所述获取待检测流量所包含报文的时间间隔序列，包括：基于预设信息对所述待检测流量所包含报文进行分组，得到至少一组待检测报文；统计每组待检测报文中相邻报文的时间间隔；基于统计到的每组待检测报文中相邻报文的时间间隔，得到所述每组待检测报文的所述时间间隔序列。在一实施例中，所述对所述时间间隔序列进行变换处理，得到待检测低频信号和待检测高频信号，包括：对所述每组待检测报文的所述时间间隔序列进行哈尔Haar小波变换，得到所述每组待检测报文对应的所述待检测低频信号和所述待检测高频信号；所述若所述待检测低频信号的预设特征偏离预先得到的低频序列基线和/或所述待检测高频信号的预设特征偏离预先得到的高频序列基线，则确定所述待检测流量异常，包括：若任意一组待检测报文的所述待检测低频信号的所述预设特征偏离预先得到的对应组报文的低频序列基线和/或任意一组待检测报文的所述待检测高频信号的所述预设特征偏离预先得到的对应组报文的高频序列基线，则确定所述待检测流量异常。在一实施例中，所述预设特征包括周期和波动范围。在一实施例中，所述预设信息包括源互联网协议IP、源端口、目的IP、目的端口、报文类型和设定关键字。在一实施例中，所述方法还包括：采集设备在预设环境下的历史正常流量；获取所述历史正常流量所包含报文的时间间隔参考序列；对所述时间间隔参考序列进行变换处理，得到低频信号和高频信号；提取所述低频信号的所述预设特征和所述高频信号的所述预设特征；将所述低频信号的所述预设特征作为所述低频序列基线，将所述高频信号的所述预设特征作为所述高频序列基线。根据本公开实施例的第二方面，提供一种流量异常的检测装置，所述装置包括：获取模块，用于获取待检测流量所包含报文的时间间隔序列；处理模块，用于对所述获取模块获取的所述时间间隔序列进行变换处理，得到待检测低频信号和待检测高频信号；提取模块，用于提取所述处理模块得到的所述待检测低频信号的预设特征和待检测高频信号的预设特征；确定模块，用于若所述提取模块提取的所述待检测低频信号的预设特征偏离预先得到的低频序列基线和/或所述提取模块提取的所述待检测高频信号的预设特征偏离预先得到的高频序列基线，则确定所述待检测流量异常。在一实施例中，所述获取模块包括：分组子模块，用于基于预设信息对所述待检测流量所包含报文进行分组，得到至少一组待检测报文；统计子模块，用于统计所述分组子模块得到的每组待检测报文中相邻报文的时间间隔；获取子模块，用于基于所述统计子模块统计到的每组待检测报文中相邻报文的时间间隔，得到所述每组待检测报文的所述时间间隔序列。在一实施例中，所述处理模块，具体用于：对所述每组待检测报文的所述时间间隔序列进行哈尔Haar小波变换，得到所述每组待检测报文对应的所述待检测低频信号和所述待检测高频信号；所述确定模块，具体用于：若任意一组待检测报文的所述待检测低频信号的所述预设特征偏离预先得到的对应组报文的低频序列基线和/或任意一组待检测报文的所述待检测高频信号的所述预设特征偏离预先得到的对应组报文的高频序列基线，则确定所述待检测流量异常。在一实施例中，所述预设特征包括周期和波动范围。在一实施例中，所述预设信息包括源互联网协议IP、源端口、目的IP、目的端口、报文类型和设定关键字。在一实施例中，所述装置还包括：采集模块，用于采集设备在预设环境下的历史正常流量；序列获取模块，用于获取所述采集模块采集的所述历史正常流量所包含报文的时间间隔参考序列；变换处理模块，用于对所述序列获取模块获取的所述时间间隔参考序列进行变换处理，得到低频信号和高频信号；特征提取模块，用于提取所述变换处理模块得到的所述低频信号的所述预设特征和所述变换处理模块得到的所述高频信号的所述预设特征；基线确定模块，用于将所述特征提取模块提取的所述低频信号的所述预设特征作为所述低频序列基线，将所述特征提取模块提取的所述高频信号的所述预设特征作为所述高频序列基线。根据本公开实施例的第三方面，提供一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序用于执行上述流量异常的检测方法。根据本公开实施例的第四方面，提供一种流量异常的检测装置，包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为：获取待检测流量所包含报文的时间间隔序列；对所述时间间隔序列进行变换处理，得到待检测低频信号和待检测高频信号；提取所述待检测低频信号的预设特征和待检测高频信号的预设特征；若所述待检测低频信号的预设特征偏离预先得到的低频序列基线和/或所述待检测高频信号的预设特征偏离预先得到的高频序列基线，则确定所述待检测流量异常。本公开的实施例提供的技术方案可以包括以下有益效果：通过对获取的时间间隔序列进行变换处理，得到待检测低频信号和待检测高频信号，即能够准确地得到待检测流量中的低频信号和高频信号，然后提取待检测低频信号的预设特征和待检测高频信号的预设特征，若待检测低频信号的预设特征偏离预先得到的低频序列基线和/或待检测高频信号的预设特征偏离预先得到的高频序列基线，则确定待检测流量异常，该检测方法检测准确率高、计算高效并且具有普适性。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。附图说明此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本专利技术的实施例，并与说明书一起用于解释本专利技术的原理。图1是根据一示例性实施例示出的一种流量异常的检测方法的流程图。图2A是根据一示例性实施例示出的一种获取待检测流量所包含报文的时间间隔序列的流程图。图2B是根据一示例性实施例示出的高频序列基线的示意图。图2C是根据一示例性实施例示出的低频序列基线的示意图。图2D是根据一示例性实施例示出的待检测高频信号的示意图。图2E是根据一示例性实施例示出的待检测低频信号的示意图。图3是根据一示例性实施例示出的一种生成低频序列基线和高频序列基线的流程图。图4是根据一示例性实施例示出的一种流量异常的检测装置的框图。图5是根据一示例性实施例示出的另一种本文档来自技高网...

【技术保护点】
1.一种流量异常的检测方法，其特征在于，所述方法包括：获取待检测流量所包含报文的时间间隔序列；对所述时间间隔序列进行变换处理，得到待检测低频信号和待检测高频信号；提取所述待检测低频信号的预设特征和待检测高频信号的预设特征；若所述待检测低频信号的预设特征偏离预先得到的低频序列基线和/或所述待检测高频信号的预设特征偏离预先得到的高频序列基线，则确定所述待检测流量异常。

【技术特征摘要】
1.一种流量异常的检测方法，其特征在于，所述方法包括：获取待检测流量所包含报文的时间间隔序列；对所述时间间隔序列进行变换处理，得到待检测低频信号和待检测高频信号；提取所述待检测低频信号的预设特征和待检测高频信号的预设特征；若所述待检测低频信号的预设特征偏离预先得到的低频序列基线和/或所述待检测高频信号的预设特征偏离预先得到的高频序列基线，则确定所述待检测流量异常。2.根据权利要求1所述的方法，其特征在于，所述获取待检测流量所包含报文的时间间隔序列，包括：基于预设信息对所述待检测流量所包含报文进行分组，得到至少一组待检测报文；统计每组待检测报文中相邻报文的时间间隔；基于统计到的每组待检测报文中相邻报文的时间间隔，得到所述每组待检测报文的所述时间间隔序列。3.根据权利要求2所述的方法，其特征在于，所述对所述时间间隔序列进行变换处理，得到待检测低频信号和待检测高频信号，包括：对所述每组待检测报文的所述时间间隔序列进行哈尔Haar小波变换，得到所述每组待检测报文对应的所述待检测低频信号和所述待检测高频信号；所述若所述待检测低频信号的预设特征偏离预先得到的低频序列基线和/或所述待检测高频信号的预设特征偏离预先得到的高频序列基线，则确定所述待检测流量异常，包括：若任意一组待检测报文的所述待检测低频信号的所述预设特征偏离预先得到的对应组报文的低频序列基线和/或任意一组待检测报文的所述待检测高频信号的所述预设特征偏离预先得到的对应组报文的高频序列基线，则确定所述待检测流量异常。4.根据权利要求1所述的方法，其特征在于，所述预设特征包括周期和波动范围。5.根据权利要求2所述的方法，其特征在于，所述预设信息包括源互联网协议IP、源端口、目的IP、目的端口、报文类型和设定关键字。6.根据权利要求1-5任一项所述的方法，其特征在于，所述方法还包括：采集设备在预设环境下的历史正常流量；获取所述历史正常流量所包含报文的时间间隔参考序列；对所述时间间隔参考序列进行变换处理，得到低频信号和高频信号；提取所述低频信号的所述预设特征和所述高频信号的所述预设特征；将所述低频信号的所述预设特征作为所述低频序列基线，将所述高频信号的所述预设特征作为所述高频序列基线。7.一种流量异常的检测装置，其特征在于，所述装置包括：获取模块，用于获取待检测流量所包含报文的时间间隔序列；处理模块，用于对所述获取模块获取的所述时间间隔序列进行变换处理，得到待检测低频信号和待检测高频信号；提取模块，用于提取所述处理模块得到的所述待检测低频信号的预设特征和待检测高频信号的预设特征；确定模块，用于若所述提取模块提取的所述待检测低频信号的预设特征偏离预先得到的低频序列基线和/...

【专利技术属性】
技术研发人员：张永，王占群，
申请(专利权)人：杭州数梦工场科技有限公司，
类型：发明
国别省市：浙江,33