[发明专利]一种工业网络流量异常检测定位的方法

说明书

本发明公开了一种工业网络异常检测算法，包括步骤1、在工业网络流量交换的节点部署交换机，步骤2、通过网络接口读取流量数据，将流量数据传递给协议解析算法进行实时分层协议剖析，提取网络行为特征；步骤3、对特征缺失的情况进行处理，将数据特征处理成数字形式，从数据特征中选取合适的特征组合进行模型训练；步骤4、对每种协议建立网络行为模型，以判断是否出现异常；步骤5、利用正常的流量数据对OSI网络模型的各层协议特征建立网络行为模型，将异常流量输入网络行为模型进行进一步的异常分析，输出流量的异常定位结果；步骤6、每隔一段时间，对网络行为模型进行训练数据的更新并替换原模型；该异常检测算法利用机器学习算法进行判别，完成对未知异常的检测，解决了传统方法无法对新型异常做出识别的弊端。

技术领域

本发明涉及工业网络安全领域，尤其是一种基于网络流量解析的异常检测和定位方法。

背景技术

随着网络技术的发展，互联网开始与各行业生产相结合，发挥着愈发重要的作用。然而，当工业互联网为生产带来便利的同时，也增添了诸多的安全隐患与威胁。我国遭受着严重复杂的境外网络攻击，工业控制系统安全受威胁程度显著上升，恶意程序依法的安全事件也呈现多发态势。

工业网络入侵检测方法主要是针对工控设备所构成的网络，对收集漏洞信息、造成拒绝访问以及试图获取非法的系统控制权等危害计算机系统安全的行为检测的算法。

异常检测方法按照检测方式可以分为两类：一类是误用检测，一类是异常检测。误用检测是基于异常特征字符串匹配的检测算法，通过与数据库中已有的异常特征进行比对，进行检测。误用检测的准确率较高，同时有着低误报率。但是将异常信息提取特征，并按照特定形式写入数据库十分耗费人力。随着数据库规模的增大，检测时长显著增大，导致了很差的实时性。

异常检测方式摒弃了数据库比对的方法，对网络行为流量数据特征值建立正常行为模型，或者结合近年来兴起的机器学习算法，将待检测的流量特征通过模型检测进行判断，将明显偏离正常模型的数据判定为异常流量。这一方式极大地提高了检测速率，不过有时会造成一定程度的虚警率。同时，异常检测方式不需要人工维护特征模式库就可以检测到新的异常情况。

不过当前检测方法均存在不足之处：误用检测方法由于依赖于数据库比对的检测方式，不能检测出特征库中不存在的新型异常。而异常检测方法多采用机器学习算法，虽具备较高的检测正确率，但由于缺乏可解释性，因此检测结果只能上报异常的产生，而无法精准地定位异常所在位置以及引发异常的原因。

发明内容

为了解决现有的工业网络入侵检测方法的弊端，本发明提出了一种实时异常检测和定位的方法，可以在数据流输入的同时快速检测异常并定位造成异常的原因。

本发明的技术方案是提供了一种工业网络异常检测算法，包括如下步骤：

步骤1、在工业网络流量交换的节点部署交换机，对经过交换机的数据进行采集并镜像传递至服务器的网络接口；

步骤2、通过网络接口读取流量数据，将流量数据传递给协议解析算法进行实时分层协议剖析，提取网络行为特征；

协议解析算法包括将流量数据按照TCP/IP五层模型进行解析，对数据链路层、网络层、传输层依照协议提取网络行为特征；

提取网络行为特征时，对应用层的某种协议的不同格式数据，提取公有的行为特征关键字以及各种格式的代表性行为特征关键字，将公有的关键字和代表性关键字作为某种协议的关键字；

步骤3、对特征缺失的情况进行处理，将数据特征处理成数字形式，从数据特征中选取合适的特征组合进行模型训练；

步骤4、对每种协议建立网络行为模型，以判断是否出现异常；对于异常分大于阈值的流量进行报警处理；