[发明专利]一种判断网络通信行为是否异常的方法、系统和电子设备

说明书

本发明涉及一种判断网络通信行为是否异常的方法、系统和电子设备，根据待判断的具有相同通信信息的一组网络通信数据和该相同通信信息对应的基于神经网络的神经网络模型，不需要检测人员进行复杂的前置的数据特征处理，实施难度低，也不需要检测人员有深厚的行业知识与认知，技术门槛低，降低了检测人员的学习成本。

技术领域

本发明涉及通信技术领域，尤其涉及一种判断网络通信行为是否异常的方法、系统和电子设备。

背景技术

在工业控制环境内，有大量实时运行的装置和设备。这些装置和设备之间会进行大量的网络通信，以用于交换信息、上报数据、发送调控指令等。然而这些装置和设备存在自然损坏、被劫持以及被攻击的可能性，从而导致该工业控制环境内部的基本功能被干扰和破坏。目前，往往通过建立不可信的通信行为检测算法，数学原理复杂，且在该算法中前置的数据特征处理要求检测人员有深厚的行业知识与认知，技术门槛高、导致学习成本高、实施难度较高；

如何高效快速地从各个装置和设备之间的大量的网络通信行为中识别出可信的通信行为和不可信的通信行为，即判断出网络通信行为是否异常，且能降低检测人员的学习成本是业内亟需解决的问题。

发明内容

本发明所要解决的技术问题是针对现有技术的不足，提供了一种判断网络通信行为是否异常的方法、系统和电子设备。

本发明的一种判断网络通信行为是否异常的方法的技术方案如下：

S1、获取多个预设设备之间的多条网络通信数据；

S2、对每条网络通信数据进行解析，得到每条网络通信数据对应的通信信息；

S3、根据待判断的具有相同通信信息的一组网络通信数据和该相同通信信息对应的神经网络模型，判断该组网络通信数据中是否存在第一预设数量的不可信的数据包，若是，则判定存在网络通信行为异常，若否，则判定不存在网络异常通信行为。

本发明的一种判断网络通信行为是否异常的方法的有益效果如下：

根据待判断的具有相同通信信息的一组网络通信数据和该相同通信信息对应的基于神经网络的神经网络模型，不需要检测人员进行复杂的前置的数据特征处理，实施难度低，也不需要检测人员有深厚的行业知识与认知，技术门槛低，降低了检测人员的学习成本，因此，本发明的一种判断网络通信行为是否异常的方法能高效快速地从各个装置和设备之间的大量的网络通信行为中识别出可信的通信行为和不可信的通信行为，即判断出网络通信行为是否异常，且实施难度低，并能降低检测人员的学习成本。

在上述方案的基础上，本发明的一种判断网络通信行为是否异常的方法还可以做如下改进。

进一步，还包括：

S50、统计任一相同通信信息对应的每条历史网络通信数据所分别对应的一组时序数据，时序数据包括数据包的包长和每相邻两条历史网络通信数据之间的时间差；

S51、将该相同通信信息对应的包长进行去重，并按照从小到大的顺序排列得到数组，并得到该数组对应的one-hot编码；

S52、依次将该数组中的每个包长所对应的one-hot编码作为标签值，并依次取该数组中与标签值对应的包长所相邻的前n个包长所分别对应的one-hot编码和时间差，以及相邻的后m个包长所分别对应的one-hot编码和时间差作为输入值，构建神经网络模型；

S53、对每个相同通信信息对应的每条历史网络通信数据执行S50至S52，得到每个相同通信信息对应的神经网络模型。

采用上述进一步方案的有益效果是：只需要提取数据包的包长和每相邻两条历史网络通信数据之间的时间差，就能建立神经网络模型，不需要检测人员有深厚的行业知识与认知，技术门槛低，降低了检测人员的学习成本。

进一步，还包括：