技術領域

本公開涉及網絡安全領域，尤其涉及異常流量檢測的方法和裝置。

背景技術

隨著信息技術的發展，工業控制系統逐步走向開放，互聯，通用。很多工業控制協議逐漸運行于工業以太網上,針對工業控制系統的攻擊也更加普遍。網絡中異常流量檢測技術包括白名單。

基于白名單方法的異常流量檢測，通過協議深度解析方法實現。這種檢測方法原理是首先針對協議報文進行學習，在學習階段監測協議報文，根據協議標準規范生成一套白名單作為行為標準。在檢測階段，根據監測到的協議報文的協議格式對網絡流量進行深度解析，并將解析結果與白名單進行比對，如果不命中白名單則認為是異常流量。

白名單方法依賴于協議標準規范，對于公開的協議比較有效，但對于私有協議以及專用協議，則無法實現異常檢測。

發明內容

本公開提供異常流量檢測的方法和裝置，以解決上述技術問題，至少部分地解決上述技術問題。

根據本公開實施例的第一方面，提供一種異常流量檢測的方法，所述方法包括：對設備中流量帶寬進行多次采樣，獲得多個流量帶寬采樣值；根據所獲得的流量帶寬采樣值確定設備的流量帶寬的可信區間；對所述設備的流量帶寬進行檢測，判斷檢測到的流量帶寬是否位于所述可信區間內；當所檢測到的流量帶寬位于所述可信區間外時，將所述設備的流量識別為異常。

可選的，所述根據所獲得的流量帶寬采樣值確定設備的流量帶寬的可信區間包括：計算多個流量采樣值的標準差和均值中至少一者以及最大值和最小值；根據所計算的標準差和均值中至少一者以及最大值和最小值確定可信區間的上限值和下限值。

可選的，所述根據所計算的標準差和均值中至少一者以及最大值和最小值確定可信區間的上限值和下限值包括：確定可信區間的上限值為最大值加上標準差的2倍；判斷最小值是否大于2倍的標準差；當最小值大于2倍的標準差時，可信區間的下限值為最小值減去標準差的2倍；當最小值沒有大于2倍的標準差時，可信區間的下限值為0。

可選的，所述根據所計算的標準差和均值中至少一者以及最大值和最小值確定可信區間的上限值和下限值包括：確定可信區間的上限值為最大值加上1/2的均值；判斷最小值是否大于1/2的均值；當最小值大于1/2的均值時，可信區間的下限值為最小值減去1/2的均值；當最小值沒有大于1/2的均值時，可信區間的下限值為0。

可選的，所述方法還包括：當所檢測到的流量帶寬位于所述可信區間內時，將所述設備的流量識別為正常。

根據本公開實施例的第二方面，提供一種異常流量檢測的裝置，所述裝置包括：采樣模塊，用于對設備中流量帶寬進行多次采樣，獲得多個流量帶寬采樣值；確定模塊，用于根據所獲得的流量帶寬采樣值確定設備的流量帶寬的可信區間；判斷模塊，用于對所述設備的流量帶寬進行檢測，判斷檢測到的流量帶寬是否位于所述可信區間內；識別模塊，用于當所檢測到的流量帶寬位于所述可信區間外時，將所述設備的流量識別為異常。

可選的，所述確定模塊用于計算多個流量采樣值的標準差和均值中至少一者以及最大值和最小值；根據所計算的標準差和均值中至少一者以及最大值和最小值確定可信區間的上限值和下限值。

可選的，所述確定模塊用于確定可信區間的上限值為最大值加上標準差的2倍；判斷最小值是否大于2倍的標準差；當最小值大于2倍的標準差時，可信區間的下限值為最小值減去標準差的2倍；當最小值沒有大于2倍的標準差時，可信區間的下限值為0。

可選的，所述確定模塊用于確定可信區間的上限值為最大值加上1/2的均值；判斷最小值是否大于1/2的均值；當最小值大于1/2的均值時，可信區間的下限值為最小值減去1/2的均值；當最小值沒有大于1/2的均值時，可信區間的下限值為0。

可選的，所述識別模塊還用于當所檢測到的流量帶寬位于所述可信區間內時，將所述設備的流量識別為正常。

本公開的實施例提供的技術方案可以包括以下有益效果：對設備中流量帶寬進行多次采樣，根據流量帶寬采樣值確定流量帶寬的可信區間，當所檢測到的流量帶寬位于可信區間外時，將設備的流量識別為異常；如此，能夠不受協議標準規范是否公開的限制，對于使用私有協議以及專用協議的流量也可進行檢測。

應當理解的是，以上的一般描述和后文的細節描述僅是示例性和解釋性的，并不能限制本公開。

附圖說明

此處的附圖被并入說明書中并構成本說明書的一部分，示出了符合本發明的實施例，并與說明書一起用于解釋本發明的原理。

圖1是根據一示例性實施例示出的一種異常流量檢測的方法的流程圖。