[发明专利]一种流量异常监测的优化方法

说明书

技术领域

本发明涉及工业控制系统流量异常监测技术领域，尤其涉及一种流量异常监测的优化方法。

背景技术

网络流量监测主要为对网络数据进行连续的采集，通过连续采集网络数据监测网络的流量。获得网络流量数据后对其进行统计和计算，从而得到网络及其主要成分的性能指标，在网络流量异常的情况下网络流量监测系统还可向网络管理者进行告警，使故障及时得到处理。

近年来，国内外频频发生工业控制系统(以下简称“工控”)网络安全事件，引发全球关注。工控网络的特点是单日流量不高，但是长时间非间断运行，会使得累积总流量较高。因为工控网络的安全直接涉及广大人民财产安全，而网络流量的统计又直接反应网络及其主要成分的性能指标。所以，网络流量异常监测是工业控制网络管理中一个非常基础也非常重要的一个环节，优化网络流量异常监测算法是非常有意义的。

但其中一些产品，只有简单的数据搜集、统计根本没有经进一步的计算，更谈不上流量异常监测；还有一些产品的流量监测算法缺乏修正，对样本数据过于依赖，没有学习样本之间的变化趋势，只使用单一公式，这样无法保证相对准确的结果。

因此，当下需要迫切解决的一个技术问题就是：如何能够创新的提出一种有效的措施，以解决现有技术存在的问题，满足实际应用的更多需求。

发明内容

针对上述问题中存在的不足之处，本发明提供一种工控系统基于流量异常监测的优化方法，可以有效提高每天或者相同取样频率下流量监测的准确性，保证流量异常监测的有效性。

为实现上述目的，本发明提供一种流量异常监测的优化方法，包括：

读取学习表，获取学习参数，若学习参数为空，则对学习参数进行计算并存入数据库；所述学习参数包括：基准流量值、学习率a、阈值、中值、最高值和最低值；

读取网络上当前实时流量，根据所述当前实时流量不断更新学习参数值；

根据当前基准流量值＝(1-a)×上次基准流量值+a×当前实时流量，确定当前基准流量值；

根据阈值＝中值×(样本高值/样本低值)，确定阈值；

判断当前实时流量是否在当前基准流量值±阈值的范围内；

若不在该范围内，则表明当前流量异常，出现异常就告警，并进行学习参数更新；

更新流量样本表，写入学习表数据。

作为本发明的进一步改进，所述学习率a是根据实际取样周期，以及对于算法敏感度和稳定度的平衡所得出。

作为本发明的进一步改进，0≤a≤1。

作为本发明的进一步改进，a取1/7。

作为本发明的进一步改进，根据基准流量值、阀值的计算方法，流量异常判定方法，以及不断更新基准值、阀值的方法实现流量异常判断的自适应性。

与现有技术相比，本发明的有益效果为：

本发明提供一种流量异常监测的优化方法，采用基准流量值和阈值的基本公式保证了流量异常判定元素的多样化，对各个属性的量化和评估符合实际，比较合理；可以有效提高每天或者相同取样频率下流量监测的准确性，保证流量异常监测的有效性。

附图说明

图1为本发明一种实施例公开的流量异常监测的优化方法的流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面结合附图对本发明做进一步的详细描述：

本发明提供一种流量异常监测的优化方法，其设计原理为：

(1)确定告警算法，具体为，流量异常的判断通过对比当天某时间段内的临界流量与当天此时间段的实际流量而确定；即

(当前流量>基准流量值+阈值)or(当前流量<基准流量值-阈值)，表示流量异常；

(2)确定基准流量值(newbase)的学习算法，即

newbase＝(1-a)×oldbase+a×样本

式中：oldbase为历史基准流量，指上次计算的基准流量，要做为本次判断流量异常的重要参数；a为学习参数，0≤a≤1，a的值越大，base值更新越快，为了使基准流量值在一周内基本实现阶梯型流量过度，本发明的a的值取1/7＝0.14；样本为当前流量值，即当前采集到的流量大小样本。

(3)阈值获取算法，即