基于大数据的网络流量异常感知系统及方法技术方案

本发明专利技术公开了基于大数据的网络流量异常感知系统及方法，属于计算机网络安全技术领域。通过获取历史大数据中工业控制系统网络在正常工作状态时和出现异常状况时的网络流量跳变时间，建立网络流量正常感知时间模型和异常感知时间模型；通过网络流量正常感知时间模型和异常感知时间模型，进一步预测出未知风险状态感知网络流量跳变时间；再结合预测的正常、异常和未知风险感知时间，预测出网络流量的风险值，通过风险值判断出网络流量是否正常，同时结合预测的时间模型定位到可能发生网络流量异常的具体时间，实现对网络流量状态的实时监控，为各相关负责人员提供精确的预防和维护的时间准备，有利于网络安全维护相关工作的实施开展。的实施开展。的实施开展。

【技术实现步骤摘要】
基于大数据的网络流量异常感知系统及方法


[0001]本专利技术涉及计算机网络安全
，具体为基于大数据的网络流量异常感知系统及方法。

技术介绍

[0002]工业控制系统在正常运作时，由于各个设备协同工作中存在不完全同频的状态，而且每个设备所需要耗费的网络流量的大小也不完全相同，所以网络流量就会存在高峰和低峰跳变情况，而当工业控制系统在受到网络攻击的时候也存在伴随网络流量的跳变，往往攻击者正是抓住这个契机对工业控制系统攻击的同时造成迷惑的现象，同时也会在这个契机中安插各种攻击风险因素，对工业控制系统造成长久难以根治的问题。在网络流量安全监测方面，目前技术主要是针对设备的运行性能变化或者是设备漏洞方面，不断的进行产品更新，需要投入大量的研发和生产费用；而现实中，人们往往忽略考虑工业控制系统依据本身工作性质特点，进而产生的网络流量数据变化是否会存在一定的时间规律，若通过获取这些流量数据跳变对应的时间，再对时间进行分析处理，可以很容易得到关于流量数据跳变时间的预测，进而判断网络流量是否正常，同时结合预测的时间定位到可能发生网络流量异常的具体时间，实现对网络流量状态的实时监控，为各相关负责人员提供精确的预防和维护的时间准备，有利于网络安全维护相关工作的实施开展。

技术实现思路

[0003]本专利技术的目的在于提供基于大数据的网络流量异常感知系统及方法，以解决上述
技术介绍
中提出的问题。
[0004]为了解决上述技术问题，本专利技术提供如下技术方案：基于大数据的网络流量异常感知方法，本方法包括以下步骤：步骤S100：获取历史大数据中工业控制系统网络在正常工作状态时的网络流量跳变时间和出现异常状况时的网络流量跳变时间；根据所述流量跳变时间建立工业控制系统网络的网络流量正常感知跳变时间集和网络流量异常感知跳变时间集；步骤S200：根据所述工业控制系统网络的网络流量正常感知跳变时间集建立网络流量正常感知时间模型；根据所述工业控制系统网络的网络流量异常感知跳变时间集建立网络流量异常感知时间模型；步骤S300：根据所述工业控制系统网络状态的正常感知和异常感知时间模型，获取工业控制系统网络状态的未知风险状态感知网络流量跳变时间集；根据未知风险状态感知网络流量跳变时间集建立网络流量未知感知时间模型；步骤S400：根据所述网络流量正常感知时间模型、异常感知时间模型和未知感知时间模型，建立网络流量预警模型；步骤S500：根据所述网络流量预警模型，判断工业控制系统网络流量是否异常。
[0005]进一步的，在步骤S100中，建立工业控制系统网络的网络流量正常感知跳变时间
集和网络流量异常感知跳变时间集的具体实施过程包括：步骤S101：获取工业控制系统在历史正常工作状态时的网络流量数据日志；根据所述网络流量数据日志，提取在正常工作状态时的网络流量数据的最大值和最小值对应的时间点，并将所述时间点记为工业控制系统网络在正常工作状态时的流量跳变时间；步骤S102：获取工业控制系统在遭受网络攻击下的历史异常工作状态时的网络流量数据日志；根据所述异常网络流量数据日志，提取在异常工作状态时的网络流量数据对应的时间点，并将所述时间点记为工业控制系统网络在异常工作状态时的流量跳变时间；步骤S103：根据所述工业控制系统网络在正常和异常工作状态时的流量跳变时间，建立网络流量正常和异常感知跳变时间集；所述时间集按照时间顺序依次记录；工业控制系统在正常运作时，由于各个设备协同工作中存在不完全同频的状态，而且每个设备所需要耗费的网络流量的大小也不完全相同，所以网络流量就会存在高峰和低峰跳变情况，而当工业控制系统在受到网络攻击的时候也存在伴随网络流量的跳变，往往攻击者正是抓住这个契机对工业控制系统攻击的同时造成迷惑的现象，同时也会在这个契机中安插各种攻击风险因素，对工业控制系统造成长久难以根治的问题，进而通过获取工业控制系统网络在正常和异常工作状态时的流量跳变时间，为接下来的预测、判断和预防提供基础数据依据。
[0006]进一步的，在所述步骤S200中，建立网络流量正常感知时间模型和异常感知时间模型的具体实施过程包括：步骤S201：分别获取历史工业控制系统网络的正常和异常工作状态时的网络流量数据日志；分别获取所述网络流量数据日志的网络流量正常和异常感知跳变时间集；步骤S202：分别将所述网络流量正常和异常感知跳变时间集各自包含的时间中每相连两个时间进行差值计算，得到网络流量正常感知跳变时间差值序列，并且将所述时间差值序列记为，其中分别表示网络流量正常感知跳变时间集包含的时间中每相连两个时间进行差值计算的第1、2、、n次差值；得到网络流量异常感知跳变时间差值序列，记为，其中分别表示网络流量异常感知跳变时间集包含的时间中每相连两个时间进行差值计算的第1、2、、m次差值；步骤S203：构建网络流量正常或异常感知跳变时间差值预测模型，具体计算公式如下：如下：如下：其中，表示预测的第次网络流量正常或异常感知跳变时间差值，表示第次的前次网络流量正常或异常感知跳变时间差值，表示预测的第次网络流量正常或异常
感知跳变时间差值的误差值，表示第次的前次网络流量正常或异常感知跳变时间差值的误差值，是常数项，表示网络流量正常或异常感知跳变时间差值的自相关系数，表示网络流量正常或异常感知跳变时间差值的误差值的自相关系数，等于n或m；表示网络流量正常或异常感知跳变时间差值的平均值，表示网络流量正常或异常感知跳变时间差值的误差值的平均值；步骤S204：构建网络流量正常感知时间模型和异常感知时间模型，具体计算公式如下：其中，表示预测的第次网络流量正常或异常感知跳变时间，表示的前一次网络流量正常或异常感知时间，表示第次网络流量正常或异常感知跳变时间差值。
[0007]进一步的，在所述步骤S300中，建立网络流量未知感知时间模型的具体实施过程包括：步骤S301：根据网络流量正常感知时间模型和异常感知时间模型，预测K时间范围内的网络流量正常感知时间集，记为A；以及异常感知时间集，记为B；步骤S302：构建网络流量未知感知时间模型，将计算得到的网络流量正常和异常感知跳变时间集进行交集计算，得到，其中表示未知感知网络流量跳变时间集中包含的第1、2、、s个未知感知网络流量跳变时间；工业控制系统在运作过程中会产生大量的流量数据，这些流量数据的变化在不同频率的设备协作或者网络攻击时，会产生较为明显的流量数据跳变，通过获取这些流量数据跳变对应的时间，再进行时间差值量化分析处理，可以很容易得到关于流量数据跳变时间的预测模型。
[0008]进一步的，在所述步骤S400中，建立网络流量预警模型的具体实施过程包括：步骤S401：获取K时间范围内的网络流量正常感知时间集、异常感知时间集和未知感知时间集；将各个时间集进行并集处理，并将并集处理结果按照时间顺序排列，所述排列记为；步骤S402：将网络流量正常感知记为、网络流量异常感知记为和网络流量未知风险感知记为；将某一时间网络流量的一种感知类型转换到下一时刻的另一种感知类型方式记为，其中，且；步骤S403：获取排列中，的个数，记为D；获取排列中序列的总个数，记本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于大数据的网络流量异常感知方法，其特征在于，该方法包括以下步骤：步骤S100：获取历史大数据中工业控制系统网络在正常工作状态时的网络流量跳变时间和出现异常状况时的网络流量跳变时间；根据所述流量跳变时间建立工业控制系统网络的网络流量正常感知跳变时间集和网络流量异常感知跳变时间集；步骤S200：根据所述工业控制系统网络的网络流量正常感知跳变时间集建立网络流量正常感知时间模型；根据所述工业控制系统网络的网络流量异常感知跳变时间集建立网络流量异常感知时间模型；步骤S300：根据所述工业控制系统网络状态的正常感知和异常感知时间模型，获取工业控制系统网络状态的未知风险状态感知网络流量跳变时间集；根据未知风险状态感知网络流量跳变时间集建立网络流量未知感知时间模型；步骤S400：根据所述网络流量正常感知时间模型、异常感知时间模型和未知感知时间模型，建立网络流量预警模型；步骤S500：根据所述网络流量预警模型，判断工业控制系统网络流量是否异常。2.根据权利要求1所述的基于大数据的网络流量异常感知方法，其特征在于，所述步骤S100中，建立工业控制系统网络的网络流量正常感知跳变时间集和网络流量异常感知跳变时间集的具体实施过程包括：步骤S101：获取工业控制系统在历史正常工作状态时的网络流量数据日志；根据所述网络流量数据日志，提取在正常工作状态时的网络流量数据的最大值和最小值对应的时间点，并将所述时间点记为工业控制系统网络在正常工作状态时的流量跳变时间；步骤S102：获取工业控制系统在遭受网络攻击下的历史异常工作状态时的网络流量数据日志；根据所述异常网络流量数据日志，提取在异常工作状态时的网络流量数据对应的时间点，并将所述时间点记为工业控制系统网络在异常工作状态时的流量跳变时间；步骤S103：根据所述工业控制系统网络在正常和异常工作状态时的流量跳变时间，建立网络流量正常和异常感知跳变时间集；所述时间集按照时间顺序依次记录。3.根据权利要求2所述的基于大数据的网络流量异常感知方法，其特征在于，所述步骤S200中，建立网络流量正常感知时间模型和异常感知时间模型的具体实施过程包括：步骤S201：分别获取历史工业控制系统网络的正常和异常工作状态时的网络流量数据日志；分别获取所述网络流量数据日志的网络流量正常和异常感知跳变时间集；步骤S202：分别将所述网络流量正常和异常感知跳变时间集各自包含的时间中每相连两个时间进行差值计算，得到网络流量正常感知跳变时间差值序列，记为，其中分别表示网络流量正常感知跳变时间集包含的时间中每相连两个时间进行差值计算的第1、2、、n次差值；得到网络流量异常感知跳变时间差值序列，记为，其中分别表示网络流量异常感知跳变时间集包含的时间中每相连两个时间进行差值计算的第1、2、、m次差值；步骤S203：构建网络流量正常或异常感知跳变时间差值预测模型，具体计算公式如下：
其中，表示预测的第次网络流量正常或异常感知跳变时间差值，表示第次的前次网络流量正常或异常感知跳变时间差值，表示预测的第次网络流量正常或异常感知跳变时间差值的误差值，表示第次的前次网络流量正常或异常感知跳变时间差值的误差值，是常数项，表示网络流量正常或异常感知跳变时间差值的自相关系数，表示网络流量正常或异常感知跳变时间差值的误差值的自相关系数，等于n或m；表示网络流量正常或异常感知跳变时间差值的平均值，表示网络流量正常或异常感知跳变时间差值的误差值的平均值；步骤S204：构建网络流量正常感知时间模型和异常感知时间模型，具体计算公式如下：其中，表示预测的第次网络流量正常或异常感知跳变时间，表示的前一次网络流量正常或异常感知时间，表示第次网络流量正常或异常感知跳变时间差值。4.根据权利要求3所述的基于大数据的网络流量异常感知方法，其特征在于，所述步骤S300中，建立网络流量未知感知时间模型的具体实施过程包括：步骤S301：根据网络流量正常感知时间模型和异常感知时间模型，预测K时间范围内的网络流量正常感知时间集，记为A；以及异常感知时间集，记为B；步骤S302：构建网络流量未...

【专利技术属性】
技术研发人员：段海宁，陈敏超，钟海维，
申请(专利权)人：珠海市鸿瑞信息技术股份有限公司，
类型：发明
国别省市：