本申請公開了一種基于時間相關基線的異常行為檢測方法、裝置及設備，應用于工業控制網絡，包括：獲取當前預設時間周期內的實時檢測數據；對比實時檢測數據與預期網絡基線，得到對比結果；利用對比結果判定工業控制網絡是否異常；其中，預期網絡基線為利用歷史預設時間周期內的歷史檢測數據對當前預設時間周期內的檢測數據進行預測后得到的數據。由此，通過實時檢測數據與預期網絡基線的對比，判斷工業控制網絡是否異常，解決了現有工業控制系統中無法判斷網絡異常、用戶行為異常的問題，提高了工業控制網絡的安全性；另外，本發明中利用基于預設時間周期的預期網絡基線，能準確判別具有時間規律的異常行為，降低了因時間相關產生的誤報率。

技術領域

本發明涉及工業控制網絡技術領域，特別涉及一種基于時間相關基線的異常行為檢測方法、裝置及設備。

背景技術

日前，隨著信息技術的發展，工業控制網絡除了員工的誤操作之外，由于其開放性，使其更容易受到利用漏洞的攻擊。伴隨著“震網”等事件的發生，工業控制網絡遭受到的攻擊也越來越多，不僅破壞了工業控制系統原來的正常運行，還盜取了工業信息，使得人們對工業控制的信息安全愈加重視。但是，由于不存在可以完全依賴的檢測標記，工業控制系統的異常檢測就變得更加艱難。

現有技術中，對工業控制系統的檢測往往僅針對系統中傳輸的脈沖頻率和大小，無法判斷網絡異常、用戶行為異常等，漏判嚴重，并且這種方式會因不同時間段數據流量高峰的影響產生誤判。因此，如何解決工業控制網絡的安全問題，同時減少異常行為的誤報率，是需要本領域技術人員重點關注的。

發明內容

有鑒于此，本發明的目的在于提供一種基于時間相關基線的異常行為檢測方法、裝置及設備，用于解決現有技術無法判斷網絡異常、用戶行為異常的問題，并且避免了因時間相關的數據流量高峰產生的誤判。其具體方案如下：

第一方面，本發明公開了一種基于時間相關基線的異常行為檢測方法，應用于工業控制網絡，包括：

獲取當前預設時間周期內的實時檢測數據；其中，所述實時檢測數據為對所述工業控制網絡進行檢測后得到的數據；

將所述實時檢測數據與預期網絡基線進行對比，得到對比結果；其中，所述預期網絡基線為利用歷史所述預設時間周期內的歷史檢測數據對當前所述預設時間周期內的檢測數據進行預測后得到的數據；

利用所述對比結果判斷所述工業控制網絡是否異常。

可選的，所述獲取當前預設時間周期內的實時檢測數據，包括：

獲取當前預設時間周期內的實時網絡流量數據、實時用戶行為數據和實時過程控制行為數據。

可選的，在所述將所述實時檢測數據與預期網絡基線進行對比之前，還包括：

通過實時生成數據的方式或讀取預先生成數據的方式，獲取所述預期網絡基線；

其中，所述預期網絡基線的生成過程，包括：

利用歷史所述預設時間周期內的歷史網絡流量數據對當前所述預設時間周期內的網絡流量數據進行預測，得到預期網絡流量基線；

利用歷史所述預設時間周期內的歷史用戶行為數據對當前所述預設時間周期內的用戶行為數據進行預測，得到預期用戶行為基線；

利用歷史所述預設時間周期內的歷史過程控制行為數據對當前所述預設時間周期內的過程控制行為數據進行預測，得到預期過程控制行為基線。

可選的，所述將所述實時檢測數據與預期網絡基線進行對比，得到對比結果，包括：

將所述實時網絡流量數據與所述預期網絡流量基線進行對比；

若所述實時網絡流量數據符合所述預期網絡流量基線，則確定對比結果為當前數據符合預測。