流量异常检测方法及装置制造方法及图纸

本发明专利技术涉及工业控制领域，具体而言，涉及一种流量异常检测方法及装置。所述方法包括：获得上位机与PLC之间的流量负载值在预设时间尺度上的时间序列，并采用自回归滑动平均模型对该时间序列进行建模；根据建立的自回归滑动平均模型，预测所述上位机与所述PLC之间的后续预测流量负载值；获得所述上位机与所述PLC之间的后续实际流量负载值；将所述后续实际流量负载值与所述后续预测流量负载值进行比对；根据比对结果，判断所述上位机与所述PLC之间的流量负载值是否异常。通过所述流量异常检测方法及装置能够实现上位机与所述PLC之间的流量异常的及时检测，有效保障ICS的安全运行。

Flow anomaly detection method and device

The invention relates to the field of industrial control, in particular, a flow anomaly detection method and device. The method includes: obtaining between PC and PLC traffic load time series at a preset time scales, and the modeling of the time series autoregressive moving average model; based on the autoregressive moving average model, predict subsequent flow prediction between the PC and the PLC value of the load; get the follow up the actual flow between the PC and the PLC value of the load; the subsequent actual traffic load values were compared with the subsequent prediction of traffic load; according to the comparison results, whether the host computer and the PLC between the traffic load value is abnormal. The traffic anomaly detection method and device can realize the timely detection of traffic anomalies between the upper computer and the PLC, and effectively guarantee the safe operation of ICS.

【技术实现步骤摘要】
流量异常检测方法及装置
本专利技术涉及工业控制领域，具体而言，涉及一种流量异常检测方法及装置。
技术介绍
工业控制系统(IndustrialControlSystem，ICS)是国家关键基础设施的重要组成部分，ICS安全对国家安全战略有重要意义。然而，随着工业化与信息化进程的不断交叉融合，ICS依托于封闭性和专业性的安全屏障消失，开始面临安全威胁的挑战，同时，在ICS中，上位机与PLC之间的网络节点是重要的安全节点，Stuxnet、BlackEnergy恶意代码、W32.Ramnit、Conficker等病毒都是经过这个网络节点来实现对系统设备的操控的，由此可见，保障上位机与PLC之间网络节点的安全对ICS的安全性保障十分重要。经专利技术人研究发现，正常稳定的ICS在运行期间会保持比普通网络更加稳定的流量水平，当ICS的网络流量水平在一段时间内出现异常时，则很有可能意味着系统设备遭受了病毒的攻击，或者发生了故障，从而影响系统设备，甚至整个ICS的安全运行。因此，如何实现对ICS的网络流量进行异常检测是本领域技术人员亟待解决的技术难题。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种流量异常检测方法及装置，以解决上述问题。本专利技术的实施例提供了一种流量异常检测方法，所述方法包括：获得上位机与PLC之间的流量负载值在预设时间尺度上的时间序列，并采用自回归滑动平均模型对该时间序列进行建模；根据建立的自回归滑动平均模型，预测所述上位机与所述PLC之间的后续预测流量负载值；获得所述上位机与所述PLC之间的后续实际流量负载值；将所述后续实际流量负载值与所述后续预测流量负载值进行比对；根据比对结果，判断所述上位机与所述PLC之间的流量负载值是否异常。进一步地，将所述后续实际流量负载值与所述后续预测流量负载值进行比对的步骤，包括：从所述后续实际流量负载值中选取出连续的第一预设数量个样本值；获得与所述后续预测流量负载值的时间序列对应的预设置信区间；分别将所述第一预设数量个样本值与所述预设置信区间进行比对。进一步地，根据比对结果，判断所述上位机与所述PLC之间的流量负载值是否异常的步骤，包括：获得所述第一预设数量个样本值中超出所述预设置信区间的样本数量；当超出所述预设置信区间的样本数量大于第二预设数量时，判定所述上位机与所述PLC之间的流量负载值异常。进一步地，获得上位机与PLC之间的流量负载值在预设时间尺度上的时间序列，并采用自回归滑动平均模型对该时间序列进行建模的步骤，包括：获取预设时长内所述上位机与所述PLC之间通信链路中的数据包；对所述数据包进行过滤，以选取出所述上位机与所述PLC之间的流量负载值在预设时间尺度上的时间序列；对所述时间序列进行平稳性分析；当根据分析结果判定所述时间序列为平稳序列时，采用自回归滑动平均模型对该时间序列进行建模。进一步地，所述方法还包括：当根据比对结果，判定所述上位机与所述PLC之间的流量负载值异常时，启动流量负载值异常响应系统。本专利技术实施例还提供了一种流量异常检测装置，所述装置包括：模型建立模块，用于获得上位机与PLC之间的流量负载值在预设时间尺度上的时间序列，并采用自回归滑动平均模型对该时间序列进行建模；预测值获取模块，用于根据建立的自回归滑动平均模型，预测所述上位机与所述PLC之间的后续预测流量负载值；实际值获取模块，用于获得所述上位机与所述PLC之间的后续实际流量负载值；比对模块，用于将所述后续实际流量负载值与所述后续预测流量负载值进行比对；判异模块，用于根据比对结果，判断所述上位机与所述PLC之间的流量负载值是否异常。进一步地，所述比对模块包括：样本值获取单元，用于从所述后续实际流量负载值中选取出连续的第一预设数量个样本值；置信区间获取单元，用于获得与所述后续预测流量负载值的时间序列对应的预设置信区间；比对单元，用于分别将所述第一预设数量个样本值与所述预设置信区间进行比对。进一步地，所述判异模块包括：异常样本数量获取单元，用于获得所述第一预设数量个样本值中超出所述预设置信区间的样本数量；判异单元，用于当超出所述预设置信区间的样本数量大于第二预设数量时，判定所述上位机与所述PLC之间的流量负载值异常。进一步地，所述模型建立模块包括：数据包获取单元，用于获取预设时长内所述上位机与所述PLC之间通信链路中的数据包；时间序列选取单元，用于对所述数据包进行过滤，以选取出所述上位机与所述PLC之间的流量负载值在预设时间尺度上的时间序列；平稳性分析单元，用于对所述时间序列进行平稳性分析；模型建立单元，用于当根据分析结果判定所述时间序列为平稳序列时，采用自回归滑动平均模型对该时间序列进行建模。进一步地，所述装置还包括：异常响应模块，用于当根据比对结果，判定所述上位机与所述PLC之间的流量负载值异常时，启动流量负载值异常响应系统。本专利技术实施例提供的流量异常检测方法及装置，通过获得上位机与PLC之间的流量负载值在预设时间尺度上的时间序列，并采用自回归滑动平均模型对该时间序列进行建模，根据建立的自回归滑动平均模型，预测所述上位机与所述PLC之间的后续预测流量负载值，获得所述上位机与所述PLC之间的后续实际流量负载值，并将所述后续实际流量负载值与所述后续预测流量负载值进行比对，从而根据比对结果，判断所述上位机与所述PLC之间的流量负载值是否异常，实现了上位机与所述PLC之间的流量异常的及时检测，有效地保障了ICS的安全运行。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本专利技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。图1为本专利技术实施例提供的一种流量检测设备的示意性结构框图。图2本专利技术实施例提供的一种流量异常检测方法的流程示意图。图3为图2中步骤S100的子步骤流程图。图4为图2中步骤S400的子步骤流程图。图5为图2中步骤S500的子步骤流程图。图6本专利技术实施例提供的流量异常检测方法的另一种流程示意图。图7为本专利技术实施例提供的一种流量异常检测装置的示意性结构框图。图标：100-流量检测设备；110-流量异常检测装置；111-模型建立模块；112-预测值获取模块；113-实际值获取模块；114-比对模块；115-判异模块；120-处理器；130-存储器。具体实施方式下面将结合本专利技术实施例中附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围，而是仅仅表示本专利技术的选定实施例。基于本专利技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本专利技术的描述中，除非另有明确的规定和限定，术语“安装”、“设置”、“连接”应做广义理本文档来自技高网...

【技术保护点】
一种流量异常检测方法，其特征在于，所述方法包括：获得上位机与PLC之间的流量负载值在预设时间尺度上的时间序列，并采用自回归滑动平均模型对该时间序列进行建模；根据建立的自回归滑动平均模型，预测所述上位机与所述PLC之间的后续预测流量负载值；获得所述上位机与所述PLC之间的后续实际流量负载值；将所述后续实际流量负载值与所述后续预测流量负载值进行比对；根据比对结果，判断所述上位机与所述PLC之间的流量负载值是否异常。

【技术特征摘要】
1.一种流量异常检测方法，其特征在于，所述方法包括：获得上位机与PLC之间的流量负载值在预设时间尺度上的时间序列，并采用自回归滑动平均模型对该时间序列进行建模；根据建立的自回归滑动平均模型，预测所述上位机与所述PLC之间的后续预测流量负载值；获得所述上位机与所述PLC之间的后续实际流量负载值；将所述后续实际流量负载值与所述后续预测流量负载值进行比对；根据比对结果，判断所述上位机与所述PLC之间的流量负载值是否异常。2.根据权利要求1所述的流量异常检测方法，其特征在于，将所述后续实际流量负载值与所述后续预测流量负载值进行比对的步骤，包括：从所述后续实际流量负载值中选取出连续的第一预设数量个样本值；获得与所述后续预测流量负载值的时间序列对应的预设置信区间；分别将所述第一预设数量个样本值与所述预设置信区间进行比对。3.根据权利要求2所述的流量异常检测方法，其特征在于，根据比对结果，判断所述上位机与所述PLC之间的流量负载值是否异常的步骤，包括：获得所述第一预设数量个样本值中超出所述预设置信区间的样本数量；当超出所述预设置信区间的样本数量大于第二预设数量时，判定所述上位机与所述PLC之间的流量负载值异常。4.根据权利要求1所述的流量异常检测方法，其特征在在于，获得上位机与PLC之间的流量负载值在预设时间尺度上的时间序列，并采用自回归滑动平均模型对该时间序列进行建模的步骤，包括：获取预设时长内所述上位机与所述PLC之间通信链路中的数据包；对所述数据包进行过滤，以选取出所述上位机与所述PLC之间的流量负载值在预设时间尺度上的时间序列；对所述时间序列进行平稳性分析；当根据分析结果判定所述时间序列为平稳序列时，采用自回归滑动平均模型对该时间序列进行建模。5.根据权利要求1～4任意一项所述的流量异常检测方法，其特征在于，所述方法还包括：当根据比对结果，判定所述上位机与所述PLC之间的流量负载值异常时，启动流量负载值异常响应系统。6.一种流量异常检测装置，其特征在于...

【专利技术属性】
技术研发人员：张磊，刘亮，陈航，方勇，邹晓波，胡晓晴，
申请(专利权)人：四川无声信息技术有限公司，四川大学，
类型：发明
国别省市：四川,51