[发明专利]异常流量检测的方法和装置

说明书

技术领域

本公开涉及网络安全领域，尤其涉及异常流量检测的方法和装置。

背景技术

随着信息技术的发展，工业控制系统逐步走向开放，互联，通用。很多工业控制协议逐渐运行于工业以太网上,针对工业控制系统的攻击也更加普遍。网络中异常流量检测技术包括白名单。

基于白名单方法的异常流量检测，通过协议深度解析方法实现。这种检测方法原理是首先针对协议报文进行学习，在学习阶段监测协议报文，根据协议标准规范生成一套白名单作为行为标准。在检测阶段，根据监测到的协议报文的协议格式对网络流量进行深度解析，并将解析结果与白名单进行比对，如果不命中白名单则认为是异常流量。

白名单方法依赖于协议标准规范，对于公开的协议比较有效，但对于私有协议以及专用协议，则无法实现异常检测。

发明内容

本公开提供异常流量检测的方法和装置，以解决上述技术问题，至少部分地解决上述技术问题。

根据本公开实施例的第一方面，提供一种异常流量检测的方法，所述方法包括：对设备中流量带宽进行多次采样，获得多个流量带宽采样值；根据所获得的流量带宽采样值确定设备的流量带宽的可信区间；对所述设备的流量带宽进行检测，判断检测到的流量带宽是否位于所述可信区间内；当所检测到的流量带宽位于所述可信区间外时，将所述设备的流量识别为异常。

可选的，所述根据所获得的流量带宽采样值确定设备的流量带宽的可信区间包括：计算多个流量采样值的标准差和均值中至少一者以及最大值和最小值；根据所计算的标准差和均值中至少一者以及最大值和最小值确定可信区间的上限值和下限值。

可选的，所述根据所计算的标准差和均值中至少一者以及最大值和最小值确定可信区间的上限值和下限值包括：确定可信区间的上限值为最大值加上标准差的2倍；判断最小值是否大于2倍的标准差；当最小值大于2倍的标准差时，可信区间的下限值为最小值减去标准差的2倍；当最小值没有大于2倍的标准差时，可信区间的下限值为0。

可选的，所述根据所计算的标准差和均值中至少一者以及最大值和最小值确定可信区间的上限值和下限值包括：确定可信区间的上限值为最大值加上1/2的均值；判断最小值是否大于1/2的均值；当最小值大于1/2的均值时，可信区间的下限值为最小值减去1/2的均值；当最小值没有大于1/2的均值时，可信区间的下限值为0。

可选的，所述方法还包括：当所检测到的流量带宽位于所述可信区间内时，将所述设备的流量识别为正常。

根据本公开实施例的第二方面，提供一种异常流量检测的装置，所述装置包括：采样模块，用于对设备中流量带宽进行多次采样，获得多个流量带宽采样值；确定模块，用于根据所获得的流量带宽采样值确定设备的流量带宽的可信区间；判断模块，用于对所述设备的流量带宽进行检测，判断检测到的流量带宽是否位于所述可信区间内；识别模块，用于当所检测到的流量带宽位于所述可信区间外时，将所述设备的流量识别为异常。

可选的，所述确定模块用于计算多个流量采样值的标准差和均值中至少一者以及最大值和最小值；根据所计算的标准差和均值中至少一者以及最大值和最小值确定可信区间的上限值和下限值。

可选的，所述确定模块用于确定可信区间的上限值为最大值加上标准差的2倍；判断最小值是否大于2倍的标准差；当最小值大于2倍的标准差时，可信区间的下限值为最小值减去标准差的2倍；当最小值没有大于2倍的标准差时，可信区间的下限值为0。

可选的，所述确定模块用于确定可信区间的上限值为最大值加上1/2的均值；判断最小值是否大于1/2的均值；当最小值大于1/2的均值时，可信区间的下限值为最小值减去1/2的均值；当最小值没有大于1/2的均值时，可信区间的下限值为0。

可选的，所述识别模块还用于当所检测到的流量带宽位于所述可信区间内时，将所述设备的流量识别为正常。

本公开的实施例提供的技术方案可以包括以下有益效果：对设备中流量带宽进行多次采样，根据流量带宽采样值确定流量带宽的可信区间，当所检测到的流量带宽位于可信区间外时，将设备的流量识别为异常；如此，能够不受协议标准规范是否公开的限制，对于使用私有协议以及专用协议的流量也可进行检测。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

图1是根据一示例性实施例示出的一种异常流量检测的方法的流程图。