[发明专利]网络异常确定方法、设备及存储介质

权利要求书

1.一种网络异常确定方法，其特征在于，包括：

获取网络流量数据；

按照所述网络流量数据对应的时间段将所述网络流量数据划分为多组子数据；

提取各组子数据的多个维度的特征；

对各组子数据，分别计算所述多个维度的特征中每个维度的特征对应的一组信息熵；

对各组子数据，将各特征的一组信息熵中的各信息熵与预先建立的与该特征对应的信息熵基线的数据范围进行比较；

计算未在所述数据范围内的目标信息熵与所述一组信息熵中与该目标信息熵之间的差值最小的信息熵之间的差值；

根据所述各特征对应的所述差值计算所述各特征对应的风险指数；

根据所述各特征对应的风险指数确定网络是否存在异常。

2.根据权利要求1所述的方法，其特征在于，所述特征至少包括以下任意三种：

操作系统指纹、查询报文中的设备标识字段、查询报文中的功能码字段、查询报文中的数据包长度、应答报文中的设备标识字段、应答报文中的功能码字段以及应答报文的数据包长度。

3.根据权利要求1所述的方法，其特征在于，通过如下公式计算所述各特征对应的风险指数：

其中，Score(x)表示特征对应的风险指数，x表示所述差值，δ为预设门限值，n为预设大于1的实数，k为权重系数，k是大于1的整数。

4.根据权利要求3所述的方法，其特征在于，根据所述各特征对应的风险指数确定网络是否存在异常，包括：

根据所述各特征对应的风险指数计算综合风险指数；

根据所述综合风险指数确定网络是否存在异常；

其中，所述综合风险指数通过如下公式计算得到：

其中，Score_i表示特征i对应的风险指数，m表示参与运算的特征的个数。

5.根据权利要求4所述的方法，其特征在于，根据所述各特征对应的风险指数确定网络是否存在异常，包括：

若计算得到的任一所述特征对应的风险指数大于第一预设值，确定网络存在异常；

或者，若计算得到的综合风险指数大于第二预设值，确定网络存在异常，其中，所述第一预设值大于所述第二预设值。

6.根据权利要求1所述的方法，其特征在于，提取所述各组子数据的多个维度的特征，包括：

对各组子数据，根据Modbus协议的特征识别Modbus协议；

对Modbus协议的查询报文和应答报文进行配对；

解析并提取Modbus协议的查询报文和应答报文中的关键字段和特征。

7.根据权利要求6所述的方法，其特征在于，提取所述各组子数据的多个维度的特征，还包括：

根据在传输控制协议TCP握手过程中的TCP包头信息识别操作系统的类型；

根据媒体存取控制位址MAC地址识别网卡厂商信息；

根据Modbus应用层数据特征识别设备厂商信息；

将所述操作系统类型、所述网卡厂商信息、以及所述设备厂商信息进行哈希运算，得到哈希值。

8.根据权利要求1所述的方法，其特征在于，所述方法还包括：

获取网络流量样本数据；

按照所述网络流量样本数据对应的时间段将所述网络流量样本数据划分为多组子样本数据；

对每组子样本数据，分别建立所述多个维度的特征中每个维度的特征对应的信息熵基线。

9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至8任一项所述的网络异常确定方法。

10.一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行权利要求1至8任一项所述的网络异常确定方法。