[发明专利]工控网络流量多级异常检测方法及装置

说明书

本申请涉及一种工控网络流量多级异常检测方法及装置，属于计算机技术领域，该方法包括：获取通信流量；对通信流量进行分离、解析和预处理，得到处理后的通信流量，处理后的通信流量包括通信流量的分级结果；使用分级结果对应的异常检测策略对处理后的通信流量进行异常检测，得到检测结果；其中，通信流量不同分级的通信流量对应的异常检测策略不同；通信流量的分级根据工业控制系统进行流量通信时的不同维度划分得到；在检测结果指示通信流量存在异常时进行异常报警；通过利用不同维度的形式可以更全面、更准确地表示流量的模式，更好地展现流量数据的特征，并且有助于异常检测模型的构建。

【技术领域】

本申请涉及一种工控网络流量多级异常检测方法及装置，属于计算机技术领域。

【背景技术】

在真实的工业生产中，由于工业流量种类相对简单，攻击者使用未知的流量进行攻击很容易在工业流量中被筛选识别出来，因此现在针对工业控制系统的攻击往往通过使用正常的流量符号发出攻击行为。比如：在交通灯控制系统中，攻击者发起攻击时将正常流量的顺序打乱造成红绿灯顺序错乱或信号灯时间出现改变，从流量本身来分析，攻击行为的流量符号都是已知的，但是流量符号的顺序或时间间隔不同会破坏系统原有的运转模式，导致系统错误，甚至可能出现危及人民生命财产安全的重大事故。

【发明内容】

本申请提供了一种工控网络流量多级异常检测方法及装置，可以解决无法识别使用正常的流量符号发出攻击的行为的问题。本申请提供如下技术方案：

第一方面，提供一种工控网络流量多级异常检测方法，所述方法包括：

获取通信流量；

对所述通信流量进行分离、解析和预处理，得到处理后的通信流量，所述处理后的通信流量包括所述通信流量的分级结果；

使用所述分级结果对应的异常检测策略对所述处理后的通信流量进行异常检测，得到检测结果；其中，通信流量不同分级的通信流量对应的异常检测策略不同；所述通信流量的分级根据工业控制系统进行流量通信时的不同维度划分得到；

在所述检测结果指示所述通信流量存在异常时进行异常报警。

可选地，所述通信流量的分级包括第一分级、第二分级和第三分级；

所述第一分级为局域网中传输的网络数据包；

所述第二分级为工业控制系统协议报文流量，包括共享相同IP地址的不同设备的协议报文流量；

所述第三分级为对协议报文进行深度解析后得到的数据内容。

可选地，在所述分级结果为第一分级时，所述使用所述分级结果对应的异常检测策略对所述处理后的通信流量进行异常检测，得到检测结果，包括：

抽取并记录数据包的源IP、目的IP、传输协议、端口号、时间戳以及数据包大小，构建所述数据包的六元组；

使用预先构建的第一分级对应的异常检测模型，进行时序规律和周期性的检测，得到所述检测结果；

其中，第一分级对应的异常包括数据包计数异常和数据包流量大小异常。

可选地，在所述分级结果为第二分级时，所述使用所述分级结果对应的异常检测策略对所述处理后的通信流量进行异常检测，得到检测结果，包括：

构建包含源IP、目的IP、协议标识符、同一IP地址下不同设备的地址和时间戳的五元组；

使用预先构建的第二分级对应的异常检测模型，确定在同一IP地址下的不同设备通信流量的周期性，得到所述检测结果；

其中，第二分级对应的异常包括重复行为异常和时序异常。