【技术实现步骤摘要】
一种工控网络流量异常检测方法、系统、装置和可读介质
[0001]本申请属于网络信息安全
,尤其涉及工控网络流量异常检测方法、系统、装置和可读介质。
技术介绍
[0002]目前,各类主体对工业控制系统信息安全缺乏统一认识,部分运营单位和地方主管部门只注重生产效益而严重忽视信息安全隐患。因此,对于工控流量的分析和检测成为了检测工控系统中风险的有效方法。工业控制系统流量(工控流量)与传统流量不同,其报文形式固定,流量固定,在固定周期上呈现一定的规律性。其需要控制的指令存在干报文负载的固定位置,因此需要着重注意该区域的区别变化。同时,因为指令变化展现的周期性,流量在连续时间内前后关系存在很大的关联性,而攻击往往会改变这些关联性,因此在检测攻击时,需要考虑前后关联关系。为了能够有效监测这些数据变化,在传统的入侵检测中,往往会考虑进行人为的特征提取,之后再结合分类器模型,对这些特征进行学习和分析,利用特征判断流量中是否存在异常。然而,人为提取特征的过程会损失大量的数据信息,主观因素提取的特征会对模型的分类训练过程产生一定的影响,从...
【技术保护点】
【技术特征摘要】
1.一种工控网络流量异常检测方法,其特征在于,包括:对工控网络环境中的交换机镜像流量进行解析,获取所述镜像流量的解析结果和所述解析结果对应的系统时间;根据所述解析结果对应的系统时间确定第一样本集和第二样本集,学习所述第一样本集,获得流量阈值结果集;将所述第二样本集代入所述流量阈值结果集进行比对,根据比对结果判断工控网络流量是否异常。2.如权利要求1所述的方法,其特征在于,所述解析结果包括地址信息和所述地址信息对应的流量信息,所述地址信息包括源地址、目的地址、目的端口和网络协议,所述流量信息包括发送流量、接收流量、发送包数、接收包数。3.如权利要求2所述的方法,其特征在于,所述根据所述解析结果对应的系统时间确定第一样本集和第二样本集,包括:定义学习时间段,校验所述系统时间是否处于所述学习时间段内;若所述系统时间处于所述学习时间段内,则将所述系统时间和所述系统时间对应的解析结果归入所述第一样本集;若所述系统时间处于所述学习时间段外,则将所述系统时间和所述系统时间对应的解析结果归入所述第二样本集。4.如权利要求3所述的方法,其特征在于,所述流量阈值结果集为键值数据结构;所述学习所述第一样本集,获得流量阈值结果集,包括:将所述第一样本集中的系统时间格式化,获取分钟值,将所述分钟值写入所述键值数据结构的主键;将所述第一样本集中所述分钟值相同的对应地址信息写入所述键值数据结构的主键对应的子键;根据所述系统时间计算所述第一样本集中的解析结果,获取每一分钟内的解析结果中相同地址信息对应数据信息的第一累加值,将所述第一累加值写入所述键值数据结构的子键对应的键值;根据所述主键、子键和键值进行键值数据结构封装,获得所述流量阈值结果集。5.如权利要求4所述的方法,其特征在于,所述根据所述主键、子键和键值进行键值数据结构封装,获得所述流量阈值结果集之前,...
【专利技术属性】
技术研发人员:张哲宇,李杨,王蕊,赵冉,刘志尧,蒋艳,孙娅苹,孙军,
申请(专利权)人:国家工业信息安全发展研究中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。