[发明专利]基于深度学习的工控网络流量预测方法、装置

说明书

本申请提供的一种基于深度学习的工控网络流量预测方法、装置、计算机设备和存储介质，所述方法包括：获取预设时段内的历史流量包数据；根据所述预设时段内的历史流量包数据和预先建立的模型进行训练，得到流量预测模型；获取待预测时刻；将所述待预测时刻输入所述流量预测模型，得到所述待预测时刻的流量预测值。本申请的方法可以实现预测值的便捷、准确率高以及稳定性高。

技术领域

本申请涉及工控网络流量监测技术领域，尤其涉及一种基于深度学习的工控网络流量预测方法、装置、计算机设备和存储介质。

背景技术

与传统的信息安全相比，工控系统安全有其独特之处。工控系统初始采用的一般都是专用系统，其操作系统、通信协议也与一般的系统有很大差别，相较于开放的互联网环境，工控系统则比较独立，工业控制系统设计之初也是为了完成各种实时控制功能，并没有考虑到安全防护的问题。但随着计算机和网络技术的发展，随着“两化融”、“互联网+”的趋势到来，传统的工业控制系统网络安全(简称工控安全)问题已成为企业及国家安全面临的严峻挑战，受到越来越多的企业及政府关注，工业控制系统在经历很长一段时间的封闭状态之后已经开始发展起来，工控系统通过网络互联使自己暴露在互联网上，从而导致系统本身很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击，并且将会导致工控系统所控制的关键基础设施、重要系统等存在巨大的安全风险和隐患。再加上工业网络通常采用传输控制协议/因特网互联协议(Transmission Control Protocol/InternetProtocol,TCP/IP)技术进行通信，利用传统的IP安全漏洞攻击工业控制网络，使得工控系统的安全隐患愈加严重。

工业控制中的网络流量大多是由工业控制设备按照生产工艺自动产生，因此，从工控网络流量中发现威胁行为是保护工控系统安全的手段之一。工控网络与传统的信息网络有非常多的不同，无论从网络规模、网络设备构成及其安全性原则等层面都有其独有的特点，所以原有的适用于传统信息网络的网络异常检测方法并不完全适用于工控网络。现有的工控网络流量异常监测多采用传统的统计分析，根据历史流量中统计分析得到一个固定告警阈值，该方法缺乏根据不同时间段调整的动态告警阈值，会造成告警效率低，漏报率和误报率高等问题。无法满足网络流量实时监测的需求，无法更好的为工控系统终端的安全防护提供判断依据。因此，根据不同时间周期的网络流量，实时动态的得到异常流量告警阈值，才能更好的发现工控系统终端的威胁行为。

目前，对于工控网络流量基线学习已有一些研究，现有的基线学习主要分为基于一定周期内的历史数据统计分析得出一个固定流量基线和基于支持向量机、K-均值(K-means)算法、动态半监督K-means结合单类支持向量机等传统机器学习算法。固定流量基线缺乏根据忙闲时间调整动态告警阈值，如果固定告警阈值设置较大，只对流量波峰有意义，而其他时段的流量处于失控状态；如果固定告警阈值设置较小，无法满足波峰的状态告警，则峰值流量长时间处于告警状态，失去告警意义。虽然传统的机器学习算法模型取得了较好的成果，但特征值提取的好坏对传统机器学习算法的效果影响很大，准确率也难以满足工业使用的需求。

发明内容

有鉴于此，本申请的目的在于提出一种基于深度学习的工控网络流量预测方法、装置、计算机设备和存储介质，以实现预测值的便捷、准确率高以及稳定性高。

基于上述目的，本申请提出一种基于深度学习的工控网络流量预测方法，所述方法包括：

获取预设时段内的历史流量包数据；

根据所述预设时段内的历史流量包数据和预先建立的模型进行训练，得到流量预测模型；

获取待预测时刻；

将所述待预测时刻输入所述流量预测模型，得到所述待预测时刻的流量预测值。

在一实施例中，所述获取预设时段内的历史流量包数据包括：

按照预设频率采集多个网络设备的PCAP流量包；