[发明专利]一种基于工业控制系统网络流量的异常检测方法

摘要

一种基于工业控制系统网络流量的异常检测方法属于信息安全领域。本发明采集工业网络流量，通过对流量特性的分析发现，采用数字信号处理的方法将流量信号由时域变换到频域，正常流量和异常流量采样在功率谱密度上存在显著的差异。通过分析大量历史数据中的这种差异特性，找到一个低频功率和的临界值，若待检测样本的低频功率和大于此临界值，则认为该样本流量为异常流量。本方法分为三个模块：数据预处理模块负责前期的数据流量的处理；流量建模模块根据正常流量和异常流量的低频功率和分布建立正常模型和异常模型，从而计算得到低频功率和临界值；异常检测模块进行异常检测。本发明检测误报率为6.1%，漏报率为9.3%。

主权项

1.一种针对工业网络流量的异常检测方法，其特征在于包括以下步骤：首先进行数据预处理：在工业网络的上位机上捕获数据包，并对数据包进行采样，根据Nyquist采样定理，采样频率需大于包最高频率的2倍，采样值为单位时间接收到的数据包的字节数，采样窗口大小至少要包含3个周期的流量序列，通过一个窗口的采样得到一个离散时间序列x(n)；该过程用如下随机过程模型来表示：{x(n),t=nΔ,n∈N}；其中Δ是一个常数，代表采样间隔；N是全部的取样点数,即离散时间序列的长度；x(n)是一个随机变量，表示在(t-Δ,t)间隔内捕获到的数据包的字节数；然后，对每个离散时间序列x(n)计算其功率谱密度，即相对频率幅度谱；这里的功率谱密度通过计算x(n)的自相关序列的离散傅里叶变换得到；最后，计算低频功率和；下面给出相关的定义：定义1定义离散时间序列x(n)的自相关序列的计算公式为Rxx[m]=1N-mΣn=0N-m-1(x(n)x(n+m)),]]>其中N是离散时间序列x(n)的长度，n,n+m∈N，得到长度为m的自相关序列；定义2定义功率谱密度的计算公式为其中f是采样频率，0≤k≤m，m是自相关序列的长度，i是虚数单位，即i²＝-1；定义3定义低频功率和的计算公式为其中a是低频频率段右端点，其值应满足PSD(f)是对应频率f的功率谱密度；正常流量和异常流量的采样应分别不少于1000个；然后，对流量进行建模：统计大量的正常流量和异常流量采样的功率谱密度的低频功率和，计算其低频功率和的概率密度分布，利用正态分布对数据进行拟合，分别建立正常流量模型和异常流量模型，得到正常流量和异常流量低频功率和的正态分布概率密度函数，设两个概率密度函数曲线的交点为临界值；最后，对未知流量进行检测：对未知流量进行数据预处理，得到其低频功率和，和低频功率和临界值进行对比，若超过此临界值就判定为异常流量。