[发明专利]一种工控网络设备异常流量的检测方法

权利要求书

1.一种工控网络设备异常流量的检测方法，其特征在于，包括以下步骤：

步骤1.智能监测终端与管理平台连通；

所述智能监测终端用于采集现场流量，所述管理平台用于管理监测终端；

步骤2.设置智能监测终端部署方式；

设置的智能监测终端既能够旁路部署到支持镜像的交换机上，也能够串入网络中的指定位置进行数据采集；

步骤3.开启学习模式，辅助建立网络流量监测基线；

通过开启自学习模式，建立网络流量监测基线，采用一个智能学习引擎，将采集到的现场流量进行智能化学习，辅助生成流量运行基线；

步骤4.转到运行模式，开始异常流量监测；

在步骤3形成网络流量监测基线后，通过管理平台将智能监测终端切换到工作的运行模式下，正式开启流量采集及异常流量判别；

步骤5.实时采集流量，根据异常流量算法进行异常流量监测；

步骤6.产生异常流量告警和记录日志；

当出现了异常流量，则在监控页面对应的设备将变成报警状态，同时产生一条能供后续查询的告警日志，并且在监控页面中当设备当前并未有异常流量但历史上曾经出现过异常但对应的异常日志还未被处理，则会有相应的提示出现在监控页面；

步骤7.重新开始监测；

经过一个监测周期后，相应的正常流量和异常流量会被重置，重新开始下一个周期的监测。

2.根据权利要求1所述的一种工控网络设备异常流量的检测方法，其特征在于，所述步骤2中，根据工业网络的实际情况选择设置智能监测终端的部署方式。

3.根据权利要求1所述的一种工控网络设备异常流量的检测方法，其特征在于，所述步骤3中，要将智能监测终端切换到学习模式。

4.根据权利要求1所述的一种工控网络设备异常流量的检测方法，其特征在于，所述步骤5中，根据网络流量监测基线，针对每个设备进行异常流量的判别，包括流出流量、流入流量及总体流量和被访问的端口的几个维度进行综合判别，一旦有不在安全基线中的操作出现，将进行下一步。