[发明专利]一种基于深度学习的工控网络流量异常检测方法及装置

说明书

本发明涉及一种基于深度学习的工控网络流量异常检测方法及装置，该方法包括：获取网络流量的待检测数据和历史数据并进行预处理，得到流量特征；选取一段历史数据所对应的流量特征输入LSTM预测模型，预测待检测数据对应的流量特征；基于历史数据计算用于异常检测的动态阈值，结合预测结果与待检测数据对应的真实流量特征，检测待检测数据对应的时段是否出现网络流量异常；存储流量特征数据并定期训练新的LSTM预测模型，若新的LSTM预测模型优于当前用于预测流量特征的LSTM预测模型，则更新当前用于预测流量特征的LSTM预测模型。本发明能够实现工控网络流量异常检测，误报率低，且长期有效。

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种基于深度学习的工控网络流量异常检测方法及装置、计算机设备、计算机可读存储介质。

背景技术

网络流量预测问题属于时间序列预测的应用范畴，目前已有很多方法得到了应用和发展。这些方法中，按照建模方式大致可以分为两类：第一类是基于时间序列建模的线性预测方法，例如自回归模型法、自回归滑动法、差分自回归移动平均模型法、HoltWinters指数平滑法等；第二类是基于机器学习算法的非线性预测方法，如支持向量机法、循环神经网络法等。

对于线性预测方法，如自回归移动平均模型(ARIMA, AutoregressiveIntegrated Moving Average Model)法，虽然该方法的模型简单、易实现，且只需要内生变量，不需要借助其他外生变量，但是该方法缺点在于ARIMA要求时序数据是稳定的，且只能解决线性问题，因此不适用于工控网络流量预测。

在非线性预测方法中，支持向量机不适合用于处理大规模样本，循环神经网络（RNN，Recurrent Neural Network）是一类以序列（sequence）数据为输入，在序列的演进方向进行递归（recursion）且所有节点（循环单元）按链式连接的递归神经网络（recursiveneural network），但RNN无法解决长期依赖的问题。为解决此问题，长短期记忆网络（LSTM，Long Short-Term Memory）被提出。考虑到现有技术中的工控网络流量预测及异常检测方法往往准确性差，对人工经验的依赖性强，因此需要提出一种更为准确、更加智能的工控网络流量预测及异常检测方法。

发明内容

本发明的目的是针对上述至少一部分不足之处，提供一种基于深度学习的工控网络流量预测及异常检测方法，通过训练深度学习预测模型，实现流量特征的实时预测，同时对预测结果和实际数据进行比较，实现工控网络流量的异常检测。

第一方面，本发明提供了一种基于深度学习的工控网络流量异常检测方法，包括如下步骤：

步骤S1、获取网络流量的待检测数据和历史数据并进行预处理，得到对应的流量特征；

步骤S2、选取一段历史数据所对应的流量特征组成序列数据，输入用于预测流量特征的LSTM预测模型，预测待检测数据对应的流量特征，并输出预测结果；

其中，LSTM预测模型至少对如下流量特征进行预测，所述流量特征包括流持续时间、正向包的数量、反向包的数量、正向包的总字节数、反向包的总字节数、正向包头总字节数、反向包头总字节数、正向子流总字节数和反向子流总字节数；

步骤S3、基于历史数据计算用于异常检测的动态阈值，结合所述预测结果与待检测数据对应的真实流量特征，检测待检测数据对应的时段是否出现网络流量异常；

步骤S4、存储流量特征数据并定期训练新的LSTM预测模型，若新的LSTM预测模型优于当前用于预测流量特征的LSTM预测模型，则更新当前用于预测流量特征的LSTM预测模型。

可选地，所述用于预测流量特征的LSTM预测模型是通过如下方式进行构建的：