[发明专利]流量异常检测方法及装置

说明书

技术领域

本发明涉及工业控制领域，具体而言，涉及一种流量异常检测方法及装置。

背景技术

工业控制系统(Industrial Control System，ICS)是国家关键基础设施的重要组成部分，ICS安全对国家安全战略有重要意义。然而，随着工业化与信息化进程的不断交叉融合，ICS依托于封闭性和专业性的安全屏障消失，开始面临安全威胁的挑战，同时，在ICS中，上位机与PLC之间的网络节点是重要的安全节点，Stuxnet、BlackEnergy恶意代码、W32.Ramnit、Conficker等病毒都是经过这个网络节点来实现对系统设备的操控的，由此可见，保障上位机与PLC之间网络节点的安全对ICS的安全性保障十分重要。

经发明人研究发现，正常稳定的ICS在运行期间会保持比普通网络更加稳定的流量水平，当ICS的网络流量水平在一段时间内出现异常时，则很有可能意味着系统设备遭受了病毒的攻击，或者发生了故障，从而影响系统设备，甚至整个ICS的安全运行。因此，如何实现对ICS的网络流量进行异常检测是本领域技术人员亟待解决的技术难题。

发明内容

有鉴于此，本发明的目的在于提供一种流量异常检测方法及装置，以解决上述问题。

本发明的实施例提供了一种流量异常检测方法，所述方法包括：

获得上位机与PLC之间的流量负载值在预设时间尺度上的时间序列，并采用自回归滑动平均模型对该时间序列进行建模；

根据建立的自回归滑动平均模型，预测所述上位机与所述PLC之间的后续预测流量负载值；

获得所述上位机与所述PLC之间的后续实际流量负载值；

将所述后续实际流量负载值与所述后续预测流量负载值进行比对；

根据比对结果，判断所述上位机与所述PLC之间的流量负载值是否异常。

进一步地，将所述后续实际流量负载值与所述后续预测流量负载值进行比对的步骤，包括：

从所述后续实际流量负载值中选取出连续的第一预设数量个样本值；

获得与所述后续预测流量负载值的时间序列对应的预设置信区间；

分别将所述第一预设数量个样本值与所述预设置信区间进行比对。

进一步地，根据比对结果，判断所述上位机与所述PLC之间的流量负载值是否异常的步骤，包括：

获得所述第一预设数量个样本值中超出所述预设置信区间的样本数量；

当超出所述预设置信区间的样本数量大于第二预设数量时，判定所述上位机与所述PLC之间的流量负载值异常。

进一步地，获得上位机与PLC之间的流量负载值在预设时间尺度上的时间序列，并采用自回归滑动平均模型对该时间序列进行建模的步骤，包括：

获取预设时长内所述上位机与所述PLC之间通信链路中的数据包；

对所述数据包进行过滤，以选取出所述上位机与所述PLC之间的流量负载值在预设时间尺度上的时间序列；

对所述时间序列进行平稳性分析；

当根据分析结果判定所述时间序列为平稳序列时，采用自回归滑动平均模型对该时间序列进行建模。

进一步地，所述方法还包括：

当根据比对结果，判定所述上位机与所述PLC之间的流量负载值异常时，启动流量负载值异常响应系统。

本发明实施例还提供了一种流量异常检测装置，所述装置包括：

模型建立模块，用于获得上位机与PLC之间的流量负载值在预设时间尺度上的时间序列，并采用自回归滑动平均模型对该时间序列进行建模；

预测值获取模块，用于根据建立的自回归滑动平均模型，预测所述上位机与所述PLC之间的后续预测流量负载值；

实际值获取模块，用于获得所述上位机与所述PLC之间的后续实际流量负载值；

比对模块，用于将所述后续实际流量负载值与所述后续预测流量负载值进行比对；

判异模块，用于根据比对结果，判断所述上位机与所述PLC之间的流量负载值是否异常。

进一步地，所述比对模块包括：

样本值获取单元，用于从所述后续实际流量负载值中选取出连续的第一预设数量个样本值；

置信区间获取单元，用于获得与所述后续预测流量负载值的时间序列对应的预设置信区间；

比对单元，用于分别将所述第一预设数量个样本值与所述预设置信区间进行比对。

进一步地，所述判异模块包括：

异常样本数量获取单元，用于获得所述第一预设数量个样本值中超出所述预设置信区间的样本数量；