【技术实现步骤摘要】
本专利技术涉及流量检测,具体涉及一种工业物联网异常流量分级检测方法和系统。
技术介绍
1、随着工业物联网的发展,其网络流量的复杂性和规模日益增大。然而,这种增长也带来了一些问题,如网络流量的异常检测问题。传统的网络流量异常检测方法主要依赖于人工分析和设置阈值,这种方法在处理大规模、复杂的工业物联网流量时,往往会因为无法准确识别和定位异常流量而效果不佳。
2、为了解决这个问题,一些研究者提出了基于机器学习的流量异常检测方法。这些方法通过对网络流量进行特征提取和分析,可以自动识别和定位异常流量。然而,这些方法往往需要大量的计算资源,对于大多数工业物联网用户来说,使用起来有一定的困难。
3、因此,如何提供一种既能有效识别和定位异常流量,又能根据各种特征对异常流量进行快速分析对比,提升检测效率,且易于使用的工业物联网异常流量检测方法,是当前工业物联网领域亟待解决的问题。
技术实现思路
1、本专利技术的目的在于提供一种工业物联网异常流量分级检测方法和系统,解决以下技术问题:
2、现有流量检测方法往往需要大量的计算资源,对于大多数工业物联网用户来说,使用起来有一定的困难,因此,需要提供一种既能有效识别和定位异常流量,又能根据各种特征对异常流量进行快速分析对比,提升检测效率,且易于使用的工业物联网异常流量检测方法。
3、本专利技术的目的可以通过以下技术方案实现:
4、一种工业物联网异常流量分级检测方法,包括以下步骤:
5、每
6、对数据库内的特征指标进行归一化处理,将每个单位时间t内的特征指标生成一个特征集,对特征集进行聚类,计算所有特征集之间的欧氏距离,基于欧氏距离设置聚类的控制半径r和最少相似数n;
7、检测任一个特征集控制半径r内的相似特征集数量m,若m大于n,则判断该特征集对应的通信流量为正常流量;若m小于n,则将该特征集标记为待定特征集;
8、选取正常流量的特征集聚类核心的特征指标,并标记为正常特征指标,选取任一待定特征集的特征指标,并标记为待定特征指标,将正常特征指标与待定特征指标进行相似度比对,若相似度小于预设阈值,则判断待定特征集对应的通信流量为异常流量,若相似度大于预设阈值,则判定待定特征集对应的通信流量为低风险流量。
9、作为本专利技术进一步的方案:所述特征指标包括流量峰值、流量均值、数据包字节数、流量标准差、流量增长率、源ip、目的ip、传输协议。
10、作为本专利技术进一步的方案:所述相似度比对的过程为:
11、选取正常特征指标的流量标准差、流量增长率和数据包字节数,并依次标记为a1、b1、c1,选取待定特征指标的流量标准差、流量增长率和数据包字节数,并依次标记为a2、b2、c2,将通信流量的特征指标三维化,将特征指标作为长方体的参数,分别以流量标准差作为底面的宽、以流量增长率作为底面的长、以数据包字节数作为高,生成对应的正常特征长方体和待定特征长方体,计算正常特征长方体的体积v1=(a1+b1)c1,待定特征几何图形的体积v2=(a2+b2)c2,将正常特征长方体与待定特征长方体在三维空间中进行叠加,选取当叠加体积为最大时的叠加状态,获取此时叠加区域的体积v0,计算v0/(v1+v2)的数值,将该数值标记为相似度。
12、作为本专利技术进一步的方案:在叠加过程中,三维空间内的正常特征长方体的长宽高和待定特征长方体的长宽高均分别保持平行状态,并不进行旋转和翻转。
13、作为本专利技术进一步的方案:所述数据库中始终存储有预设数量个单位时间t内的特征指标,并将时间顺序靠前的多余特征指标进行删除。
14、作为本专利技术进一步的方案:对通信流量进行预处理的过程为:
15、获取通信流量中超过预设范围的异常值,将异常值删除并通过插值法进行填充;并对通信流量进行重采样,将采样间隔设置为1秒,对通信流量内不同类型的数据进行归一化处理。
16、作为本专利技术进一步的方案:控制半径和最少相似个数的计算过程为:
17、任意选取两个特征集,将其中一个特征集标记为a,将另一个特征集标记为b,分别计算每两个特征集之间的欧氏距离l,选取欧式距离l中的最大值,并标记为lmax,则控制半径r和最小相似数n的公式为:
18、 ;
19、;
20、其中,n为特征集的数量,α为预设系数。
21、一种工业物联网异常流量分级检测系统,包括:
22、数据采集模块,用于每间隔单位时间t检测工业物联网中的通信流量,对通信流量进行预处理,提取预处理后的通信流量的特征指标,将所有单位时间t内的特征指标存入数据库中;
23、参数设置模块,用于对数据库内的特征指标进行归一化处理,将每个单位时间t内的特征指标生成一个特征集,对特征集进行聚类,计算所有特征集之间的欧氏距离,基于欧氏距离设置聚类的控制半径r和最少相似数n;
24、初步判断模块,用于检测任一个特征集控制半径r内的相似特征集数量m,若m大于n,则判断该特征集对应的通信流量为正常流量;若m小于n,则将该特征集标记为待定特征集;
25、二次判断模块,用于选取正常流量的特征集聚类核心的特征指标,并标记为正常特征指标,选取任一待定特征集的特征指标,并标记为待定特征指标,将正常特征指标与待定特征指标进行相似度比对,若相似度小于预设阈值,则判断待定特征集对应的通信流量为异常流量,若相似度大于预设阈值,则判定待定特征集对应的通信流量为低风险流量。
26、本专利技术的有益效果:
27、本专利技术首先间隔检测物联网中通信流量的特征指标,然后通过聚类对不同时间段的通信流量的特征集进行初次筛选,识别出占大多数的正常流量,然后对剩余的待定特征集进行三维几何映射,通过与正常流量进行三维体积叠加对比,计算叠加比例,将选取的指标分别作为图形的参数,由于参数彼此之间独立而又协同,因此能够准确且快速地获得相似度,相似度结果具有客观实用性,筛选出与正常流量相似度较高的流量,这部分流量只是与大部分流量存在较小差异,依然属于正常流量,而将相似度较大的判定为异常流量,可以更准确地识别异常流量,减少漏报和误报的情况,通过对流量进行分级检测,根据流量特征准确对异常流量进行判定,保证了工业物联网的稳定运行。
本文档来自技高网...【技术保护点】
1.一种工业物联网异常流量分级检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种工业物联网异常流量分级检测方法,其特征在于,所述特征指标包括流量峰值、流量均值、数据包字节数、流量标准差、流量增长率、源IP、目的IP、传输协议。
3.根据权利要求1所述的一种工业物联网异常流量分级检测方法,其特征在于,所述相似度比对的过程为:
4.根据权利要求3所述的一种工业物联网异常流量分级检测方法,其特征在于,在叠加过程中,三维空间内的正常特征长方体的长宽高和待定特征长方体的长宽高均分别保持平行状态,并不进行旋转和翻转。
5.根据权利要求1所述的一种工业物联网异常流量分级检测方法,其特征在于,所述数据库中始终存储有预设数量个单位时间t内的特征指标,并将时间顺序靠前的多余特征指标进行删除。
6.根据权利要求1所述的一种工业物联网异常流量分级检测方法,其特征在于,对通信流量进行预处理的过程为:
7.根据权利要求1所述的一种工业物联网异常流量分级检测方法,其特征在于,控制半径和最少相似个数的计算过程为:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。