[发明专利]流量异常检测方法及装置

权利要求书

1.一种流量异常检测方法，其特征在于，所述方法包括：

获得上位机与PLC之间的流量负载值在预设时间尺度上的时间序列，并采用自回归滑动平均模型对该时间序列进行建模；

根据建立的自回归滑动平均模型，预测所述上位机与所述PLC之间的后续预测流量负载值；

获得所述上位机与所述PLC之间的后续实际流量负载值；

将所述后续实际流量负载值与所述后续预测流量负载值进行比对；

根据比对结果，判断所述上位机与所述PLC之间的流量负载值是否异常。

2.根据权利要求1所述的流量异常检测方法，其特征在于，将所述后续实际流量负载值与所述后续预测流量负载值进行比对的步骤，包括：

从所述后续实际流量负载值中选取出连续的第一预设数量个样本值；

获得与所述后续预测流量负载值的时间序列对应的预设置信区间；

分别将所述第一预设数量个样本值与所述预设置信区间进行比对。

3.根据权利要求2所述的流量异常检测方法，其特征在于，根据比对结果，判断所述上位机与所述PLC之间的流量负载值是否异常的步骤，包括：

获得所述第一预设数量个样本值中超出所述预设置信区间的样本数量；

当超出所述预设置信区间的样本数量大于第二预设数量时，判定所述上位机与所述PLC之间的流量负载值异常。

4.根据权利要求1所述的流量异常检测方法，其特征在在于，获得上位机与PLC之间的流量负载值在预设时间尺度上的时间序列，并采用自回归滑动平均模型对该时间序列进行建模的步骤，包括：

获取预设时长内所述上位机与所述PLC之间通信链路中的数据包；

对所述数据包进行过滤，以选取出所述上位机与所述PLC之间的流量负载值在预设时间尺度上的时间序列；

对所述时间序列进行平稳性分析；

当根据分析结果判定所述时间序列为平稳序列时，采用自回归滑动平均模型对该时间序列进行建模。

5.根据权利要求1～4任意一项所述的流量异常检测方法，其特征在于，所述方法还包括：

当根据比对结果，判定所述上位机与所述PLC之间的流量负载值异常时，启动流量负载值异常响应系统。

6.一种流量异常检测装置，其特征在于，所述装置包括：

模型建立模块，用于获得上位机与PLC之间的流量负载值在预设时间尺度上的时间序列，并采用自回归滑动平均模型对该时间序列进行建模；

预测值获取模块，用于根据建立的自回归滑动平均模型，预测所述上位机与所述PLC之间的后续预测流量负载值；

实际值获取模块，用于获得所述上位机与所述PLC之间的后续实际流量负载值；

比对模块，用于将所述后续实际流量负载值与所述后续预测流量负载值进行比对；

判异模块，用于根据比对结果，判断所述上位机与所述PLC之间的流量负载值是否异常。

7.根据权利要求6所述的流量异常检测装置，其特征在于，所述比对模块包括：

样本值获取单元，用于从所述后续实际流量负载值中选取出连续的第一预设数量个样本值；

置信区间获取单元，用于获得与所述后续预测流量负载值的时间序列对应的预设置信区间；

比对单元，用于分别将所述第一预设数量个样本值与所述预设置信区间进行比对。

8.根据权利要求7所述的流量异常检测装置，其特征在于，所述判异模块包括：

异常样本数量获取单元，用于获得所述第一预设数量个样本值中超出所述预设置信区间的样本数量；

判异单元，用于当超出所述预设置信区间的样本数量大于第二预设数量时，判定所述上位机与所述PLC之间的流量负载值异常。

9.根据权利要求6所述的流量异常检测装置，其特征在在于，所述模型建立模块包括：

数据包获取单元，用于获取预设时长内所述上位机与所述PLC之间通信链路中的数据包；

时间序列选取单元，用于对所述数据包进行过滤，以选取出所述上位机与所述PLC之间的流量负载值在预设时间尺度上的时间序列；

平稳性分析单元，用于对所述时间序列进行平稳性分析；

模型建立单元，用于当根据分析结果判定所述时间序列为平稳序列时，采用自回归滑动平均模型对该时间序列进行建模。

10.根据权利要求6～9任意一项所述的流量异常检测装置，其特征在于，所述装置还包括：

异常响应模块，用于当根据比对结果，判定所述上位机与所述PLC之间的流量负载值异常时，启动流量负载值异常响应系统。