[发明专利]网络异常确定方法、设备及存储介质

说明书

本公开提供了一种网络异常确定方法、设备及存储介质，该方法包括：获取网络流量数据；按照网络流量数据对应的时间段将网络流量数据划分为多组子数据；提取各组子数据的多个维度的特征；对各组子数据，分别计算多个维度的特征中每个维度的特征的对应的一组信息熵；对各组子数据，将各特征的一组信息熵中的各信息熵与预先建立的与该特征对应的信息熵基线的数据范围进行比较；计算未在数据范围内的目标信息熵与一组信息熵中与该目标信息熵之间的差值最小的信息熵之间的差值；根据各特征对应的差值计算各特征对应的风险指数；根据各特征对应的风险指数确定网络是否存在异常。该方法可提高网络异常的识别效率。

技术领域

本发明涉及网络安全技术领域，特别涉及一种网络异常确定方法、设备及存储介质。

背景技术

目前，一些由于通讯协议导致的网络异常通常难以检测，例如，由Modbus协议导致的网络异常。Modbus协议是广泛应用的工业控制协议。但在实现具体的工业控制系统时，由于开发者并不具备安全知识或者没有意识到安全问题，可能会导致使用Modbus协议的系统中可能存在各种各样的安全漏洞。例如，在通信过程中，某个节点被恶意控制后可能会发出非法数据。功能码是Modbus协议中的一项重要内容，功能码滥用是导致Modbus网络异常的一个主要因素；不合法报文长度，短周期的无用命令，不正确的报文长度，都可能引起系统异常。目前，一般采用白名单规则来检测Modbus协议异常。例如，针对源IP、目的IP、功能码以及操作地址等属性建立白名单规则，对未匹配白名单规则的报文产生告警。这类检测方法只是针对单个Modbus报文的微观检测，而没有考虑到工业控制系统的时间特性和频率特性等宏观特征。例如，有些数据包，单独出现一次是正常的，但短时间内出现多次有可能就是攻击。而白名单规则对这类攻击不具备检测能力。可见，一种检测网络异常的方法有待被提出。

发明内容

有鉴于此，本公开一个或多个实施例提出一种网络异常确定方法、设备及存储介质，以解决相关技术中无法基于网络流量数据的宏观特征检测网络是否异常的问题。

本公开一个或多个实施例提供了一种网络异常确定方法，包括：获取网络流量数据；按照所述网络流量数据对应的时间段将所述网络流量数据划分为多组子数据；提取各组子数据的多个维度的特征；对各组子数据，分别计算所述多个维度的特征中每个维度的特征对应的一组信息熵；对各组子数据，将各特征的一组信息熵中的各信息熵与预先建立的与该特征对应的信息熵基线的数据范围进行比较；计算未在所述数据范围内的目标信息熵与所述一组信息熵中与该目标信息熵之间的差值最小的信息熵之间的差值；根据所述各特征对应的所述差值计算所述各特征对应的风险指数；根据所述各特征对应的风险指数确定网络是否存在异常。

可选的，所述特征至少包括以下任意三种：操作系统指纹、查询报文中的设备标识字段、查询报文中的功能码字段、查询报文中的数据包长度、应答报文中的设备标识字段、应答报文中的功能码字段以及应答报文的数据包长度。

可选的，通过如下公式计算所述各特征对应的风险指数：

其中，Score(x)表示特征对应的风险指数，x表示所述差值，δ为预设门限值，n为预设大于1的实数，k为权重系数，k是大于1的整数。

可选的，根据所述各特征对应的风险指数确定网络是否存在异常，包括：根据所述各特征对应的风险指数计算综合风险指数；根据所述综合风险指数确定网络是否存在异常；其中，所述综合风险指数通过如下公式计算得到：

其中，Score_i表示特征i对应的风险指数，m表示参与运算的特征的个数。

可选的，根据所述各特征对应的风险指数确定网络是否存在异常，包括：若计算得到的任一所述特征对应的风险指数大于第一预设值，确定网络存在异常；或者，若计算得到的综合风险指数大于第二预设值，确定网络存在异常，其中，所述第一预设值大于所述第二预设值。