本申请提供一种工业系统的异常检测方法和装置,该方法用于对多个工业设备进行异常检测,包括:获取每一工业设备对应的多个流量数据的特征信息,每一特征信息包括对应流量数据的收/发时间信息以及收/发地址信息;根据每一流量数据的收/发地址信息确定多组关联特征;根据每组关联特征对每组对应的多个工业设备进行异常检测,以获得每一工业设备的第一检测结果;根据每一工业设备对应流量数据的收/发时间信息和工业设备的历史流量数据对每一工业设备进行异常检测,以获得每一工业设备的第二检测结果;根据每一工业设备的第一检测结果和第二检测结果确定异常的工业设备。
【技术实现步骤摘要】
一种工业系统的异常检测方法和装置
本申请涉及异常检测
,具体而言,涉及一种工业系统的异常检测方法和装置。
技术介绍
目前对工业控制系统(ICS)中的各个工业设备进行异常检测的方式主要是通过对工业设备的历史流量进行分析,建立白名单的规则库和分类算法,这种基于历史流量的白名单规则库和分类方法能够防御部分未知异常,但是准确性较低,容易发生误报。
技术实现思路
本申请实施例的目的在于提供一种工业系统的异常检测方法、装置、电子设备和存储介质,用以解决目前对工业设备的历史流量进行分析,建立白名单的规则库和分类算法存在的准确性较低的问题。第一方面,本专利技术提供一种工业系统的异常检测方法,用于对多个工业设备进行异常检测,包括:获取每一所述工业设备对应的多个流量数据的特征信息,每一所述特征信息包括对应流量数据的收/发时间信息以及收/发地址信息;根据每一流量数据的收/发地址信息确定多组关联特征,每组关联特征表示满足同一预设同类条件的多个工业设备的关联信息,所述关联信息表示与工业设备关联的设备信息;根据每组关联特征对每组对应的多个工业设备进行异常检测,以获得每一工业设备的第一检测结果;根据每一工业设备对应流量数据的收/发时间信息和所述工业设备的历史流量数据对每一工业设备进行异常检测,以获得每一工业设备的第二检测结果;根据所述每一工业设备的第一检测结果和第二检测结果确定异常的工业设备。在上述设计的工业系统的异常检测方法中,通过获取每一工业设备对应的多个流量数据的特征信息,然后基于流量数据的特征信息中的收/发地址信息确定多组关联特征,进而基于每组关联特征对每组对应的工业设备进行异常检测获得每一工业设备的第一异常检测结果,实现了从工业设备的空间连接维度上的异常检测;然后基于流量数据的特征信息中的收/发时间信息以及工业设备的历史数据信息进行异常检测进而获得每一工业设备第二异常检测结果,进而在时间维度上对工业设备进行异常检测,最后基于每一工业设备的第一异常检测结果和第二异常检测结果确定异常的工业设备,使得本申请设计的工业系统的异常检测方法集成时间维度和空间维度的两种检测结果来综合对异常工业设备进行判定,使得对工业系统的异常检测的准确性更高。在第一方面的可选实施方式中,所述根据每一流量数据的收/发地址信息确定多组关联特征,包括:提取每一所述工业设备对应的每一流量数据的收/发地址信息;根据每一所述工业设备对应的每一流量数据的收/发地址信息确定每一工业设备的所述关联信息;根据多个预设同类条件对多个工业设备的关联信息进行筛选以得到多组满足同一预设同类条件的关联信息以获得所述多组关联特征。在第一方面的可选实施方式中,所述根据每一所述工业设备对应的每一流量数据的收/发地址信息确定每一工业设备的所述关联信息,包括:根据每一所述工业设备对应的每一流量数据的收/发地址信息建立每一工业设备与其关联工业设备的图数据结构;根据每一工业设备与其关联工业设备的图数据结构确定每一工业设备的所述关联信息。在第一方面的可选实施方式中,所述根据每一工业设备与其关联工业设备的图数据结构确定每一工业设备的所述关联信息,包括:确定图数据结构中每一工业设备关联的设备数量;将图数据结构中每一工业设备关联的设备数量作为对应工业设备的关联信息,以得到每一工业设备的关联信息。在上述设计的实施方式中,通过图数据结构来确定每一工业设备在空间连接维度上的关联信息,进而使得工业设备在空间维度上的关联特征更加清晰。在第一方面的可选实施方式中,所述根据每一工业设备对应流量数据的收/发时间信息和所述工业设备的历史流量数据对每一工业设备进行异常检测,以获得每一工业设备的第二检测结果,包括:提取每一工业设备的对应流量数据的收/发时间信息作为每一工业设备对应的时间特征;获取每一工业设备的历史流量数据;采用预设的异常检测算法对每一工业设备对应的时间特征和对应的历史数据进行异常检测,以获得每一工业设备的第二检测结果。在第一方面的可选实施方式中,所述根据所述每一工业设备的第一检测结果和第二检测结果确定异常的工业设备,包括:对每一工业设备的第一检测结果和第二检测结果进行加权平均,以获得每一工业设备的第三检测结果;判断所述多个工业设备中是否存在第三检测结果超过预设的数值范围的工业设备;若存在,则将第三检测结果超过预设的数值范围的工业设备确定为异常的工业设备。在第一方面的可选实施方式中,所述获取每一所述工业设备对应的多个流量数据的特征信息,包括:获取每一所述工业设备对应的多个流量数据;将每一所述工业设备对应的多个流量数据输入流量解析工具进行解析,以获得每一所述工业设备对应的多个流量数据的特征信息。第二方面,本专利技术提供一种工业系统的异常检测装置,用于对多个工业设备进行异常检测,所述装置包括:获取模块,用于获取每一所述工业设备对应的多个流量数据的特征信息,每一所述特征信息包括对应流量数据的收/发时间信息以及收/发地址信息;确定模块,用于根据每一流量数据的收/发地址信息确定多组关联特征,每组关联特征表示满足同一预设同类条件的多个工业设备的关联信息,所述关联信息表示与工业设备关联的设备信息;第一异常检测模块,用于根据每组关联特征对每组对应的多个工业设备进行异常检测,以获得每一工业设备的第一检测结果;第二异常检测模块,用于根据每一工业设备对应流量数据的收/发时间信息和所述工业设备的历史流量数据对每一工业设备进行异常检测,以获得每一工业设备的第二检测结果;所述确定模块,还用于根据所述每一工业设备的第一检测结果和第二检测结果确定异常的工业设备。在上述设计的工业系统的异常检测装置中,通过获取每一工业设备对应的多个流量数据的特征信息,然后基于流量数据的特征信息中的收/发地址信息确定多组关联特征,进而基于每组关联特征对每组对应的工业设备进行异常检测获得每一工业设备的第一异常检测结果,实现了从工业设备的空间连接维度上的异常检测;然后基于流量数据的特征信息中的收/发时间信息以及工业设备的历史数据信息进行异常检测进而获得每一工业设备第二异常检测结果,进而在时间维度上对工业设备进行异常检测,最后基于每一工业设备的第一异常检测结果和第二异常检测结果确定异常的工业设备,使得本申请设计的工业系统的异常检测方法集成时间维度和空间维度的两种检测结果来综合对异常工业设备进行判定,使得对工业系统的异常检测的准确性更高。在第二方面的可选实施方式中,所述确定模块,具体用于提取每一所述工业设备对应的每一流量数据的收/发地址信息;根据每一所述工业设备对应的每一流量数据的收/发地址信息确定每一工业设备的所述关联信息;根据多个预设同类条件对每一工业设备的关联信息进行筛选以得到多组满足同一预设同类条件的关联信息以获得所述多组关联特征。在第二方面的可选实施方式中,所述第二异常检测模块,具体用于提取每一工业设备的对应流量数据的收/发时间信息作为每一工业设备对应的时间特征;获取每一工业设备的历史流量数据;采用预设的异常检测算法对每一工业设备对应的时间特征和对应的历史数据进行异常检测,以获得每一工业本文档来自技高网...
【技术保护点】
1.一种工业系统的异常检测方法,其特征在于,用于对多个工业设备进行异常检测,包括:/n获取每一所述工业设备对应的多个流量数据的特征信息,每一所述特征信息包括对应流量数据的收/发时间信息以及收/发地址信息;/n根据每一流量数据的收/发地址信息确定多组关联特征,每组关联特征表示满足同一预设同类条件的多个工业设备的关联信息,所述关联信息表示与工业设备关联的设备信息;/n根据每组关联特征对每组对应的多个工业设备进行异常检测,以获得每一工业设备的第一检测结果;/n根据每一工业设备对应流量数据的收/发时间信息和所述工业设备的历史流量数据对每一工业设备进行异常检测,以获得每一工业设备的第二检测结果;/n根据所述每一工业设备的第一检测结果和第二检测结果确定异常的工业设备。/n
【技术特征摘要】
1.一种工业系统的异常检测方法,其特征在于,用于对多个工业设备进行异常检测,包括:
获取每一所述工业设备对应的多个流量数据的特征信息,每一所述特征信息包括对应流量数据的收/发时间信息以及收/发地址信息;
根据每一流量数据的收/发地址信息确定多组关联特征,每组关联特征表示满足同一预设同类条件的多个工业设备的关联信息,所述关联信息表示与工业设备关联的设备信息;
根据每组关联特征对每组对应的多个工业设备进行异常检测,以获得每一工业设备的第一检测结果;
根据每一工业设备对应流量数据的收/发时间信息和所述工业设备的历史流量数据对每一工业设备进行异常检测,以获得每一工业设备的第二检测结果;
根据所述每一工业设备的第一检测结果和第二检测结果确定异常的工业设备。
2.根据权利要求1所述的方法,其特征在于,所述根据每一流量数据的收/发地址信息确定多组关联特征,包括:
提取每一所述工业设备对应的每一流量数据的收/发地址信息;
根据每一所述工业设备对应的每一流量数据的收/发地址信息确定每一工业设备的所述关联信息;
根据多个预设同类条件对多个工业设备的关联信息进行筛选以得到多组满足同一预设同类条件的关联信息,进而获得所述多组关联特征。
3.根据权利要求2所述的方法,其特征在于,所述根据每一所述工业设备对应的每一流量数据的收/发地址信息确定每一工业设备的所述关联信息,包括:
根据每一所述工业设备对应的每一流量数据的收/发地址信息建立每一工业设备与其关联工业设备的图数据结构;
根据每一工业设备与其关联工业设备的图数据结构确定每一工业设备的所述关联信息。
4.根据权利要求3所述的方法,其特征在于,所述根据每一工业设备与其关联工业设备的图数据结构确定每一工业设备的所述关联信息,包括:
确定图数据结构中每一工业设备关联的设备数,每一工业设备关联的设备数量为对应工业设备的关联信息。
5.根据权利要求1所述的方法,其特征在于,所述根据每一工业设备对应流量数据的收/发时间信息和所述工业设备的历史流量数据对每一工业设备进行异常检测,包括:
提取每一工业设备对应的流量数据的收/发时间信息作...
【专利技术属性】
技术研发人员:付强,徐小雄,魏华强,王任重,
申请(专利权)人:四川虹微技术有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。