[发明专利]一种工控网络流量异常检测方法、系统、装置和可读介质

说明书

一种工控网络流量异常检测方法、系统、装置和可读介质，上述方法包括对工控网络协议中的传输层数据进行解析，获取解析结果和解析结果对应的系统时间；根据解析结果对应的系统时间筛选第一样本集和第二样本集，学习第一样本集，获得流量阈值结果集；将第二样本集代入流量阈值结果集进行比对，根据比对结果判断工控网络流量是否异常。本申请所提供的方法可有效发现工业控制网络中非预期流量突增或突降行为，并及时异常预警，避免特征检测特征库更新不及时、访问控制策略不全面等情况下，出现检测短板。

技术领域

本申请属于网络信息安全技术领域，尤其涉及工控网络流量异常检测方法、系统、装置和可读介质。

背景技术

目前，各类主体对工业控制系统信息安全缺乏统一认识，部分运营单位和地方主管部门只注重生产效益而严重忽视信息安全隐患。因此，对于工控流量的分析和检测成为了检测工控系统中风险的有效方法。工业控制系统流量（工控流量）与传统流量不同，其报文形式固定，流量固定，在固定周期上呈现一定的规律性。其需要控制的指令存在干报文负载的固定位置，因此需要着重注意该区域的区别变化。同时，因为指令变化展现的周期性，流量在连续时间内前后关系存在很大的关联性，而攻击往往会改变这些关联性，因此在检测攻击时，需要考虑前后关联关系。为了能够有效监测这些数据变化，在传统的入侵检测中，往往会考虑进行人为的特征提取，之后再结合分类器模型，对这些特征进行学习和分析，利用特征判断流量中是否存在异常。然而，人为提取特征的过程会损失大量的数据信息，主观因素提取的特征会对模型的分类训练过程产生一定的影响，从而会影响性能和精度提升。当前普遍检测手段通过人为配置访问规则、特征检测、漏洞检测等手段进行，以上检测手段缺乏及时性、易操作性，因而建立一种工控网络中程序自动学习流量阈值，基于历史阈值进行异常检测，以达到无需人工参与，检测结果及时、精准已势在必行。

发明内容

本申请的目的在于提供一种工控网络流量异常检测方法、系统、装置和可读介质，本申请旨在解决工业控制网络中自身网络访问流量异常，主要检测通信流量偏离预期大小异常检测需求，并进行及时、精准输出异常检测结果。

本申请实施例的第一方面提了一种检测工控网络流量异常的方法，包括：

对工控网络环境中的交换机镜像流量进行解析，获取镜像流量的解析结果和解析结果对应的系统时间；

根据解析结果对应的系统时间确定第一样本集和第二样本集，学习第一样本集，获得流量阈值结果集；

将第二样本集与流量阈值结果集进行比对，根据比对结果判断工控网络流量是否异常。

在其中一个实施例中，解析结果包括地址信息和地址信息对应的流量信息，地址信息包括源地址、目的地址、目的端口和网络协议，流量信息包括发送流量、接收流量、发送包数、接收包数。

在其中一个实施例中，根据解析结果对应的系统时间确定第一样本集和第二样本集，包括：

定义学习时间段，校验系统时间是否处于学习时间段内；

若系统时间处于学习时间段内，则将系统时间和系统时间对应的解析结果归入第一样本集；

若系统时间处于学习时间段外，则将系统时间和系统时间对应的解析结果归入第二样本集。

在其中一个实施例中，流量阈值结果集为键值数据结构，学习第一样本集，获得流量阈值结果集，包括：

将第一样本集中的系统时间格式化，获取分钟值，将分钟值写入键值数据结构的主键；

将第一样本集中分钟值相同的对应地址信息写入键值数据结构的主键对应的子键；

根据系统时间计算第一样本集中的解析结果，获取每一分钟内的解析结果中相同地址信息对应数据信息的第一累加值，将第一累加值写入键值数据结构的子键对应的键值；