本发明专利技术涉及一种工控网络异常流量检测方法、装置及电子设备,属于工控系统领域,所述方法包括:通过工控网络中的交换机镜像口,获取第一预设时长内的数据包;解析所述数据包,得到所述数据包对应的目标信息;将所述目标信息输入异常判别模型,得到判别结果;根据所述判别结果,确定在所述第一预设时长内所述工控网络是否存在异常流量。能够准确地识别出工控网络中的异常流量,使得工作人员能够及时地进行处理,避免了损失,有效地保障了工控网络的网络安全。络安全。络安全。
【技术实现步骤摘要】
一种工控网络异常流量检测方法、装置及电子设备
[0001]本专利技术涉及工控系统领域,具体地,涉及一种工控网络异常流量检测方法、装置及电子设备。
技术介绍
[0002]目前,能源、水力、交通、化工、军工等涉及国计民生的关键基础设施依靠工控系统来实现自动化作业。由于传统工控系统在建设之初仅考虑到了系统的可用性,未进行网络安全方面的设计,工控系统厂商产品均被发现包含各种安全漏洞。因此,越来越多的网络黑客将网络攻击的重点指向了工控系统,导致工控网络安全事件层出不穷。
[0003]为了避免工控系统的网络拥塞及工控网络的资源滥用,保证工控系统的功能正常,对工控网络中的异常流量进行检测,具有重要意义。为保证工控系统的网络的安全性,如何对工控网络中的异常流量进行检测是亟待解决的问题。
技术实现思路
[0004]提供该
技术实现思路
部分以便以简要的形式介绍构思,这些构思将在后面的具体实施方式部分被详细描述。该
技术实现思路
部分并不旨在标识要求保护的技术方案的关键特征或必要特征,也不旨在用于限制所要求的保护的技术方案的范围。
[0005]根据本专利技术的第一方面,提供一种工控网络异常流量检测方法,所述方法包括:
[0006]通过工控网络中的交换机镜像口,获取第一预设时长内的数据包;
[0007]解析所述数据包,得到所述数据包对应的目标信息;
[0008]将所述目标信息输入异常判别模型,得到判别结果;
[0009]根据所述判别结果,确定在所述第一预设时长内所述工控网络是否存在异常流量。
[0010]可选地,所述解析所述数据包,得到所述数据包对应的目标信息包括:
[0011]解析所述数据包,确定协议类型;
[0012]根据所述协议类型,确定所述目标信息。
[0013]可选地,所述方法包括:
[0014]获取历史数据包,所述历史数据包是所述工控网络流量正常的情况下的数据包;
[0015]解析所述历史数据包,得到样本信息;
[0016]基于所述样本信息,确定所述异常判别模型。
[0017]可选地,所述基于所述样本信息,确定所述异常判别模型包括:
[0018]对所述样本信息进行统计,得到样本统计结果,所述样本统计结果包括多个类型的统计结果,每一所述统计结果对应不同类型的样本信息;
[0019]基于所述样本统计结果,确定判别基线;
[0020]将所述判别基线作为所述异常判别模型的判别标准,得到所述异常判别模型。
[0021]可选地,所述基于所述样本统计结果,确定判别基线包括:
[0022]针对第一统计结果,确定样本均值,所述第一统计结果为样本统计结果中任一类型的统计结果;
[0023]根据所述样本均值,确定样本方差;
[0024]根据所述样本方差,确定样本标准差;
[0025]基于所述样本标准差以及样本均值,确定对应所述第一统计结果的置信区间;
[0026]将所述置信区间作为对应所述第一统计结果的判别基线。
[0027]可选地,所述获取历史数据包包括:
[0028]按照预设周期,确定在第二预设时长内是否检测到异常流量;
[0029]在确定未检测到异常流量的情况下,将所述第二预设时长内获取到的数据包作为所述历史数据包。
[0030]可选地,所述将所述目标信息输入异常判别模型,得到判别结果包括:
[0031]对所述目标信息进行统计,得到目标统计结果,所述目标统计结果至少包括数据包长度统计结果、协议类型统计结果;
[0032]将所述统计结果输入所述异常判别模型,得到判别结果。
[0033]根据本专利技术的第二方面,提供一种工控网络异常流量检测装置,所述装置包括:
[0034]获取模块,用于通过工控网络中的交换机镜像口,获取第一预设时长内的数据包;
[0035]解析模块,用于解析所述数据包,得到所述数据包对应的目标信息;
[0036]判别模块,用于将所述目标信息输入异常判别模型,得到判别结果;
[0037]确定模块,用于根据所述判别结果,确定在所述第一预设时长内所述工控网络是否存在异常流量。
[0038]根据本专利技术的第三方面,提供一种计算机可读介质,其上存储有计算机程序,该程序被处理装置执行时实现本专利技术第一方面中任一项所述方法的步骤。
[0039]根据本专利技术的第四方面,提供一种电子设备,包括:
[0040]存储装置,其上存储有计算机程序;
[0041]处理装置,用于执行所述存储装置中的所述计算机程序,以实现本专利技术第一方面中任一项所述方法的步骤。
[0042]上述技术方案通过获取一定时间内的数据包,对数据包进行解析得到用于判别流量是否异常的目标信息,将目标信息输入异常判别模型得到判别结果,并根据判别结果确定工控网络是否存在异常流量,能够准确地识别出工控网络中的异常流量,使得工作人员能够及时地进行处理,避免了损失,有效地保障了工控网络的网络安全。
[0043]本专利技术的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
[0044]结合附图并参考以下具体实施方式,本专利技术各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的,原件和元素不一定按照比例绘制。在附图中:
[0045]图1是根据一示例性实施例示出的一种工控网络异常流量检测方法的流程图;
[0046]图2是根据一示例性实施例示出的一种工控网络异常流量检测方法的另一流程图;
[0047]图3是根据一示例性实施例示出的一种工控网络异常流量检测装置的框图;
[0048]图4是根据一示例性实施例示出的一种电子设备的示意图。
具体实施方式
[0049]下面将参照附图更详细地描述本专利技术的实施例。虽然附图中显示了本专利技术的某些实施例,然而应当理解的是,本专利技术可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本专利技术。应当理解的是,本专利技术的附图及实施例仅用于示例性作用,并非用于限制本专利技术的保护范围。
[0050]应当理解,本专利技术的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本专利技术的范围在此方面不受限制。
[0051]本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
[0052]需要注意,本专利技术中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工控网络异常流量检测方法,其特征在于,所述方法包括:通过工控网络中的交换机镜像口,获取第一预设时长内的数据包;解析所述数据包,得到所述数据包对应的目标信息;将所述目标信息输入异常判别模型,得到判别结果;根据所述判别结果,确定在所述第一预设时长内所述工控网络是否存在异常流量。2.根据权利要求1所述的方法,其特征在于,所述解析所述数据包,得到所述数据包对应的目标信息包括:解析所述数据包,确定协议类型;根据所述协议类型,确定所述目标信息。3.根据权利要求1所述的方法,其特征在于,所述方法包括:获取历史数据包,所述历史数据包是所述工控网络流量正常的情况下的数据包;解析所述历史数据包,得到样本信息;基于所述样本信息,确定所述异常判别模型。4.根据权利要求3所述的方法,其特征在于,所述基于所述样本信息,确定所述异常判别模型包括:对所述样本信息进行统计,得到样本统计结果,所述样本统计结果包括多个类型的统计结果,每一类型的统计结果对应不同类型的样本信息;基于所述样本统计结果,确定判别基线;将所述判别基线作为所述异常判别模型的判别标准,得到所述异常判别模型。5.根据权利要求4所述的方法,其特征在于,所述基于所述样本统计结果,确定判别基线包括:针对第一统计结果,确定样本均值,所述第一统计结果为样本统计结果中任一类型的统计结果;根据所述样本均值,确定样本方差;根据所述样...
【专利技术属性】
技术研发人员:崔逸群,毕玉冰,刘超飞,杨东,胥冠军,刘迪,朱博迪,刘骁,肖力炀,崔鑫,王艺杰,朱召鹏,王文庆,邓楠轶,董夏昕,介银娟,
申请(专利权)人:华能集团技术创新中心有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。