基于工业互联网的网络流量异常检测方法及大数据平台技术

本发明专利技术实施例所提供的基于工业互联网的网络流量异常检测方法及大数据平台，能够通过授权指令建立与目标终端设备对应的流量检测通道，并通过流量检测通道采集目标终端设备的实时网络流量从而绘制流量曲线，周期性地基于流量曲线确定目标终端设备的多组流量变化轨迹，计算不同时段下的流量变化轨迹之间的轨迹偏移量，在依据轨迹偏移量判定出目标终端设备遭受分布式拒绝服务攻击时确定出目标终端设备在当前时段内的状态参数，根据状态参数生成动态安全策略并下发给目标终端设备。这样可以使目标终端设备基于动态安全策略确定出待处理请求中的异常请求并销毁。如此，能够避免目标终端设备的瘫痪，确保整个工业互联网控制系统的安全可靠运行。

【技术实现步骤摘要】
基于工业互联网的网络流量异常检测方法及大数据平台
本申请涉及工业互联网通信安全处理
，尤其涉及基于工业互联网的网络流量异常检测方法及大数据平台。
技术介绍
工业互联网的发展使得制造业朝着智能化和数字化方向改进，能够极大地提高生产效率并释放人工劳动力。随着边缘计算的日趋成熟，云边端协同的分布式工业控制系统以逐渐应用于各类大型生产场景下。边缘计算能够在边缘设备侧实现数据处理和分析，进而有效提高数据交互效率，降低数据交互延时。在实际应用中，为了确保整个工业互联网系统的安全可靠运行，需要对工业互联网系统进行安全检测。由于工业互联网系统中部署有多个终端设备，因此，分布式拒绝服务攻击（Distributeddenialofserviceattack，DDos）是工业互联网系统遭受的主要攻击模式。DDos攻击可以使很多终端设备在同一时间遭受到攻击，导致这些终端设备无法正常使用，从而引发大规模的生产事故，造成极大的经济损失。由此可见，如何对分布式拒绝服务攻击进行有效检测并制定安全策略是现阶段亟待解决的一个技术问题。
技术实现思路
本申请提供基于工业互联网的网络流量异常检测方法及大数据平台，以对分布式拒绝服务攻击进行有效检测并制定安全策略。首先提供一种基于工业互联网的网络流量异常检测方法，应用于大数据平台，所述方法包括：在接收到目标终端设备基于所述大数据平台发送的流量检测请求所反馈的授权指令时，通过所述授权指令中携带的设备接口参数建立与所述目标终端设备对应的流量检测通道；>通过所述流量检测通道采集所述目标终端设备的实时网络流量，并基于所述实时网络流量绘制所述目标终端设备对应的流量曲线；周期性地基于所述流量曲线确定所述目标终端设备的多组流量变化轨迹，并计算当前时段对应的流量变化轨迹与上一时段对应的流量变化轨迹之间的轨迹偏移量；在依据所述轨迹偏移量判定出所述目标终端设备遭受分布式拒绝服务攻击时，通过所述轨迹偏移量确定出所述目标终端设备在当前时段内的状态参数，根据所述状态参数生成动态安全策略并将所述动态安全策略下发给所述目标终端设备以使所述目标终端设备基于所述动态安全策略确定出待处理请求中的异常请求并销毁。可选地，判断目标终端设备是否遭受到分布式拒绝服务攻击，具体包括：判断轨迹偏移量是否低于设定阈值；在所述轨迹偏移量低于设定阈值时，将上一时段对应的流量变化轨迹叠加到当前时段对应的流量变化轨迹中；计算当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征的相关性系数；如果所述相关性系数大于设定系数，则判定所述目标终端设备遭受到分布式拒绝服务攻击。可选地，所述方法还包括：在所述轨迹偏移量大于等于所述设定阈值时，确定所述轨迹偏移量在上一时段对应的流量变化轨迹中对应的第一轨迹区间以及在当前时段对应的流量变化轨迹中对应的第二轨迹区间；提取所述第一轨迹区间的第一轨迹数据清单以及所述第二轨迹区间的第二轨迹数据清单，计算所述第一轨迹数据清单与所述第二轨迹数据清单之间的流量特征重叠率；若所述流量特征重叠率大于设定比率，则判定所述目标终端设备遭受到分布式拒绝服务攻击。可选地，将上一时段对应的流量变化轨迹叠加到当前时段对应的流量变化轨迹中，并计算当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征的相关性系数，具体包括：生成上一时段对应的流量变化轨迹对应的用于表征上一时段对应的流量变化轨迹的流量报文的报文信息的第一流量协议地址列表以及用于表征当前时段对应的流量变化轨迹的流量报文的报文信息的第二流量协议地址列表；其中，所述第一流量协议地址列表和所述第二流量协议地址列表中分别包括相同数量的多个列表单元，且每个列表单元的单元识别度不同，所述单元识别度用于表征所述列表单元的列表特征的关联度；从上一时段对应的流量变化轨迹对应的第一流量协议地址列表中提取出其中一个列表单元对应的协议地址路径；其中，在确定所述协议地址路径时，并行地将当前时段对应的流量变化轨迹对应的第二流量协议地址列表中具有最大单元识别度的列表单元确定为参考列表单元；将所述协议地址路径映射到所述参考列表单元中并确定出所述协议地址路径在所述参考列表单元中的映射地址路径；通过所述映射地址路径和所述协议地址路径确定所述第一流量协议地址列表和所述第二流量协议地址列表之间的用于表征流量协议地址的对应关系的有向无环图；基于所述用于表征流量协议地址的对应关系的有向无环图将上一时段对应的流量变化轨迹中的每组第一流量轨迹参数叠加到当前时段对应的流量变化轨迹中的对应的第二流量轨迹参数组中；若每组第一流量轨迹参数在其对应的第二流量轨迹参数组中存在唯一对应的协议签名，则根据所述协议签名对当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征所对应的数值队列进行加权，并计算加权之后的数值队列的中位数作为当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征的相关性系数；若每组第一流量轨迹参数在其对应的第二流量轨迹参数组中不存在唯一对应的协议签名，则返回根据所述用于表征流量协议地址的对应关系的有向无环图将上一时段对应的流量变化轨迹中的每组流量轨迹参数叠加到当前时段对应的流量变化轨迹中的对应的第二流量轨迹参数组中的步骤。可选地，确定所述轨迹偏移量在上一时段对应的流量变化轨迹中对应的第一轨迹区间以及在当前时段对应的流量变化轨迹中对应的第二轨迹区间，提取所述第一轨迹区间的第一轨迹数据清单以及所述第二轨迹区间的第二轨迹数据清单，计算所述第一轨迹数据清单与所述第二轨迹数据清单之间的流量特征重叠率，具体包括：分别将上一时段对应的流量变化轨迹的第一描述信息以及当前时段对应的流量变化轨迹的第二描述信息列出，并将按照上一时段对应的流量变化轨迹与当前时段对应的流量变化轨迹之间的时序权重将所述第一描述信息和第二描述信息进行整合得到目标描述信息；其中，所述目标描述信息中包括多个第一轨迹标识和多个第二轨迹标识；确定所述轨迹偏移量与每个第一轨迹标识之间的第一偏移权重以及与每个第二轨迹标识之间的第二偏移权重；根据所述第一偏移权重和所述第二偏移权重的分布序列确定所述第一轨迹区间和所述第二轨迹区间；确定所述第一轨迹区间对应的第一区间参数矩阵以及所述第二轨迹区间对应的第二区间参数矩阵；其中，所述第一区间参数矩阵用于表征所述第一轨迹区间的轨迹节点的分布情况，所述第二区间参数矩阵用于表征所述第二轨迹区间的轨迹节点的分布情况；分别提取所述第一区间参数矩阵的第一矩阵离散值和所述第二区间参数矩阵的第二矩阵离散值，根据所述第一矩阵离散值和所述第二矩阵离散值分别从所述第一区间参数矩阵和所述第二区间参数矩阵中提取所述第一轨迹数据清单和所述第二轨迹数据清单；确定根据所述第一轨迹数据清单和所述第二轨迹数据清单所生成的流量清单队列；针对所述流量清单队列中的当前流量清单队列，基于当前流量清单队列在上一时段内的第一队列变化频率以及本文档来自技高网...

【技术保护点】
1.一种基于工业互联网的网络流量异常检测方法，其特征在于，应用于大数据平台，所述方法包括：/n在接收到目标终端设备基于所述大数据平台发送的流量检测请求所反馈的授权指令时，通过所述授权指令中携带的设备接口参数建立与所述目标终端设备对应的流量检测通道；/n通过所述流量检测通道采集所述目标终端设备的实时网络流量，并基于所述实时网络流量绘制所述目标终端设备对应的流量曲线；/n其中：/n实时网络流量包括所述目标终端设备接收的第一网络流量以及所述目标终端设备发送的第二网络流量；/n周期性地基于所述流量曲线确定所述目标终端设备的多组流量变化轨迹，并计算当前时段对应的流量变化轨迹与上一时段对应的流量变化轨迹之间的轨迹偏移量；/n在依据所述轨迹偏移量判定出所述目标终端设备遭受分布式拒绝服务攻击时，通过所述轨迹偏移量确定出所述目标终端设备在当前时段内的状态参数，根据所述状态参数生成动态安全策略并将所述动态安全策略下发给所述目标终端设备以使所述目标终端设备基于所述动态安全策略确定出待处理请求中的异常请求并销毁。/n

【技术特征摘要】
1.一种基于工业互联网的网络流量异常检测方法，其特征在于，应用于大数据平台，所述方法包括：
在接收到目标终端设备基于所述大数据平台发送的流量检测请求所反馈的授权指令时，通过所述授权指令中携带的设备接口参数建立与所述目标终端设备对应的流量检测通道；
通过所述流量检测通道采集所述目标终端设备的实时网络流量，并基于所述实时网络流量绘制所述目标终端设备对应的流量曲线；
其中：
实时网络流量包括所述目标终端设备接收的第一网络流量以及所述目标终端设备发送的第二网络流量；
周期性地基于所述流量曲线确定所述目标终端设备的多组流量变化轨迹，并计算当前时段对应的流量变化轨迹与上一时段对应的流量变化轨迹之间的轨迹偏移量；
在依据所述轨迹偏移量判定出所述目标终端设备遭受分布式拒绝服务攻击时，通过所述轨迹偏移量确定出所述目标终端设备在当前时段内的状态参数，根据所述状态参数生成动态安全策略并将所述动态安全策略下发给所述目标终端设备以使所述目标终端设备基于所述动态安全策略确定出待处理请求中的异常请求并销毁。


2.如权利要求1所述的网络流量异常检测方法，其特征在于，判断目标终端设备是否遭受到分布式拒绝服务攻击，具体包括：
判断轨迹偏移量是否低于设定阈值；
在所述轨迹偏移量低于设定阈值时，将上一时段对应的流量变化轨迹叠加到当前时段对应的流量变化轨迹中；
计算当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征的相关性系数；
如果所述相关性系数大于设定系数，则判定所述目标终端设备遭受到分布式拒绝服务攻击。


3.如权利要求2所述的网络流量异常检测方法，其特征在于，所述方法还包括：
在所述轨迹偏移量大于等于所述设定阈值时，确定所述轨迹偏移量在上一时段对应的流量变化轨迹中对应的第一轨迹区间以及在当前时段对应的流量变化轨迹中对应的第二轨迹区间；
提取所述第一轨迹区间的第一轨迹数据清单以及所述第二轨迹区间的第二轨迹数据清单，计算所述第一轨迹数据清单与所述第二轨迹数据清单之间的流量特征重叠率；
若所述流量特征重叠率大于设定比率，则判定所述目标终端设备遭受到分布式拒绝服务攻击。


4.如权利要求2所述的网络流量异常检测方法，其特征在于，将上一时段对应的流量变化轨迹叠加到当前时段对应的流量变化轨迹中，并计算当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征的相关性系数，具体包括：
生成上一时段对应的流量变化轨迹对应的用于表征上一时段对应的流量变化轨迹的流量报文的报文信息的第一流量协议地址列表以及用于表征当前时段对应的流量变化轨迹的流量报文的报文信息的第二流量协议地址列表；其中，所述第一流量协议地址列表和所述第二流量协议地址列表中分别包括相同数量的多个列表单元，且每个列表单元的单元识别度不同，所述单元识别度用于表征所述列表单元的列表特征的关联度；
从上一时段对应的流量变化轨迹对应的第一流量协议地址列表中提取出其中一个列表单元对应的协议地址路径；其中，在确定所述协议地址路径时，并行地将当前时段对应的流量变化轨迹对应的第二流量协议地址列表中具有最大单元识别度的列表单元确定为参考列表单元；
将所述协议地址路径映射到所述参考列表单元中并确定出所述协议地址路径在所述参考列表单元中的映射地址路径；通过所述映射地址路径和所述协议地址路径确定所述第一流量协议地址列表和所述第二流量协议地址列表之间的用于表征流量协议地址的对应关系的有向无环图；
基于所述用于表征流量协议地址的对应关系的有向无环图将上一时段对应的流量变化轨迹中的每组第一流量轨迹参数叠加到当前时段对应的流量变化轨迹中的对应的第二流量轨迹参数组中；
若每组第一流量轨迹参数在其对应的第二流量轨迹参数组中存在唯一对应的协议签名，则根据所述协议签名对当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征所对应的数值队列进行加权，并计算加权之后的...

【专利技术属性】
技术研发人员：袁媛，
申请(专利权)人：袁媛，
类型：发明
国别省市：云南;53