【技术实现步骤摘要】
工控网络流量异常检测方法、装置及系统
[0001]本申请涉及工控网络流量异常检测方法、装置及系统,属于网络安全
技术介绍
[0002]SCADA(Supervisory ControlAnd DataAcquisition,数据采集与监视控制)系统被用于监视和控制关键基础设施,例如废水分配设施,天然气生产系统和发电站。SCADA系统主要是通过HMI和PLC间的通信来实现,HMI根据业务需求按照一定逻辑定期向PLC发送相关指令,PLC根据接收的指令内容访问现场设备的信息并将信息返回给HMI,HMI接收到返回信息后对信息进行呈现以达到监视控制的目的。在实际工业生产中,存在明确的周期行为和操作顺序,因此SCADA流量在业务逻辑上也存在高周期性。
[0003]SCADA流量的周期类型分为:轮询周期和定时周期,轮询周期指SCADA系统按照工业生产的业务逻辑依次执行一系列指令,多用于从现场设备中检索数据。定时周期是SCADA系统每隔固定时间执行某类操作,常用于调整现场设备状态。在HMI和PLC通信通道中可能存在多个轮询...
【技术保护点】
【技术特征摘要】
1.一种工控网络流量异常检测方法,其特征在于,包括:对工控网络流量数据中的请求报文和响应报文组成的报文对进行匹配;对匹配成功的所述报文对转换为携带时间戳的符号序列,所述符号序列中的每个符号指示一个唯一状态事件;按顺序依次获取携带时间戳的符号序列中的符号,并输入预先构建的异常检测模型进行异常检测;如果检测到当前获取的所述符号序列中的符号属于已知符号,则输入到对应的子周期DFA模型;所述子周期DFA模型为对工控网络流量数据对应的符号序列进行分类得到多个子周期对应的符号集合后,对每个所述子周期内的符号集合按照状态转移关系建立DFA模型得到的;根据子周期DFA模型接收所述符号后的状态转移结果,确定异常检测结果。2.根据权利要求1所述的方法,其特征在于,所述根据子周期DFA模型接收所述符号后的状态转移结果,确定异常检测结果,包括:所述子周期DFA模型接收所述符号后,若对应的状态由当前状态转移到周期性序列的下一个状态,则判定状态正常转移;在状态正常转移的情况下,若当前符号携带的时间戳与当前状态下的平均时间间隔的差值大于时间间隔偏差阈值,则检测为当前符号时序异常。3.根据权利要求1所述的方法,其特征在于,所述根据子周期DFA模型接收所述符号后的状态转移结果,确定异常检测结果,包括:所述子周期DFA模型接收所述符号后,若发生的状态转移未出现在状态转移过程的预期位置,则检测为“丢失”异常。4.根据权利要求1所述的方法,其特征在于,所述根据子周期DFA模型接收所述符号后的状态转移结果,确定异常检测结果,包括:所述子周期DFA模型接收所述符号后,若对应的状态依然为当前状态,未发生状态转移,则检测为“重传”异常。5.根据权利要求1所述的方法,其特征在于,若当前获取的所述符号序列中的符号属于未知符号,则检测为“未知”异常。6.根据权利要求1所述的方法,其特征在于,所述对工控网络流量数...
【专利技术属性】
技术研发人员:唐玉维,
申请(专利权)人:苏州联电能源发展有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。