[发明专利]一种工业系统的异常检测方法和装置

说明书

本申请提供一种工业系统的异常检测方法和装置，该方法用于对多个工业设备进行异常检测，包括：获取每一工业设备对应的多个流量数据的特征信息，每一特征信息包括对应流量数据的收/发时间信息以及收/发地址信息；根据每一流量数据的收/发地址信息确定多组关联特征；根据每组关联特征对每组对应的多个工业设备进行异常检测，以获得每一工业设备的第一检测结果；根据每一工业设备对应流量数据的收/发时间信息和工业设备的历史流量数据对每一工业设备进行异常检测，以获得每一工业设备的第二检测结果；根据每一工业设备的第一检测结果和第二检测结果确定异常的工业设备。

技术领域

本申请涉及异常检测技术领域，具体而言，涉及一种工业系统的异常检测方法和装置。

背景技术

目前对工业控制系统(ICS)中的各个工业设备进行异常检测的方式主要是通过对工业设备的历史流量进行分析，建立白名单的规则库和分类算法，这种基于历史流量的白名单规则库和分类方法能够防御部分未知异常，但是准确性较低，容易发生误报。

发明内容

本申请实施例的目的在于提供一种工业系统的异常检测方法、装置、电子设备和存储介质，用以解决目前对工业设备的历史流量进行分析，建立白名单的规则库和分类算法存在的准确性较低的问题。

第一方面，本发明提供一种工业系统的异常检测方法，用于对多个工业设备进行异常检测，包括：获取每一所述工业设备对应的多个流量数据的特征信息，每一所述特征信息包括对应流量数据的收/发时间信息以及收/发地址信息；根据每一流量数据的收/发地址信息确定多组关联特征，每组关联特征表示满足同一预设同类条件的多个工业设备的关联信息，所述关联信息表示与工业设备关联的设备信息；根据每组关联特征对每组对应的多个工业设备进行异常检测，以获得每一工业设备的第一检测结果；根据每一工业设备对应流量数据的收/发时间信息和所述工业设备的历史流量数据对每一工业设备进行异常检测，以获得每一工业设备的第二检测结果；根据所述每一工业设备的第一检测结果和第二检测结果确定异常的工业设备。

在上述设计的工业系统的异常检测方法中，通过获取每一工业设备对应的多个流量数据的特征信息，然后基于流量数据的特征信息中的收/发地址信息确定多组关联特征，进而基于每组关联特征对每组对应的工业设备进行异常检测获得每一工业设备的第一异常检测结果，实现了从工业设备的空间连接维度上的异常检测；然后基于流量数据的特征信息中的收/发时间信息以及工业设备的历史数据信息进行异常检测进而获得每一工业设备第二异常检测结果，进而在时间维度上对工业设备进行异常检测，最后基于每一工业设备的第一异常检测结果和第二异常检测结果确定异常的工业设备，使得本申请设计的工业系统的异常检测方法集成时间维度和空间维度的两种检测结果来综合对异常工业设备进行判定，使得对工业系统的异常检测的准确性更高。

在第一方面的可选实施方式中，所述根据每一流量数据的收/发地址信息确定多组关联特征，包括：提取每一所述工业设备对应的每一流量数据的收/发地址信息；根据每一所述工业设备对应的每一流量数据的收/发地址信息确定每一工业设备的所述关联信息；根据多个预设同类条件对多个工业设备的关联信息进行筛选以得到多组满足同一预设同类条件的关联信息以获得所述多组关联特征。

在第一方面的可选实施方式中，所述根据每一所述工业设备对应的每一流量数据的收/发地址信息确定每一工业设备的所述关联信息，包括：根据每一所述工业设备对应的每一流量数据的收/发地址信息建立每一工业设备与其关联工业设备的图数据结构；根据每一工业设备与其关联工业设备的图数据结构确定每一工业设备的所述关联信息。

在第一方面的可选实施方式中，所述根据每一工业设备与其关联工业设备的图数据结构确定每一工业设备的所述关联信息，包括：确定图数据结构中每一工业设备关联的设备数量；将图数据结构中每一工业设备关联的设备数量作为对应工业设备的关联信息，以得到每一工业设备的关联信息。

在上述设计的实施方式中，通过图数据结构来确定每一工业设备在空间连接维度上的关联信息，进而使得工业设备在空间维度上的关联特征更加清晰。