本發明公開了一種工業網絡異常檢測算法，包括步驟1、在工業網絡流量交換的節點部署交換機，步驟2、通過網絡接口讀取流量數據，將流量數據傳遞給協議解析算法進行實時分層協議剖析，提取網絡行為特征；步驟3、對特征缺失的情況進行處理，將數據特征處理成數字形式，從數據特征中選取合適的特征組合進行模型訓練；步驟4、對每種協議建立網絡行為模型，以判斷是否出現異常；步驟5、利用正常的流量數據對OSI網絡模型的各層協議特征建立網絡行為模型，將異常流量輸入網絡行為模型進行進一步的異常分析，輸出流量的異常定位結果；步驟6、每隔一段時間，對網絡行為模型進行訓練數據的更新并替換原模型；該異常檢測算法利用機器學習算法進行判別，完成對未知異常的檢測，解決了傳統方法無法對新型異常做出識別的弊端。

技術領域

本發明涉及工業網絡安全領域，尤其是一種基于網絡流量解析的異常檢測和定位方法。

背景技術

隨著網絡技術的發展，互聯網開始與各行業生產相結合，發揮著愈發重要的作用。然而，當工業互聯網為生產帶來便利的同時，也增添了諸多的安全隱患與威脅。我國遭受著嚴重復雜的境外網絡攻擊，工業控制系統安全受威脅程度顯著上升，惡意程序依法的安全事件也呈現多發態勢。

工業網絡入侵檢測方法主要是針對工控設備所構成的網絡，對收集漏洞信息、造成拒絕訪問以及試圖獲取非法的系統控制權等危害計算機系統安全的行為檢測的算法。

異常檢測方法按照檢測方式可以分為兩類：一類是誤用檢測，一類是異常檢測。誤用檢測是基于異常特征字符串匹配的檢測算法，通過與數據庫中已有的異常特征進行比對，進行檢測。誤用檢測的準確率較高，同時有著低誤報率。但是將異常信息提取特征，并按照特定形式寫入數據庫十分耗費人力。隨著數據庫規模的增大，檢測時長顯著增大，導致了很差的實時性。

異常檢測方式摒棄了數據庫比對的方法，對網絡行為流量數據特征值建立正常行為模型，或者結合近年來興起的機器學習算法，將待檢測的流量特征通過模型檢測進行判斷，將明顯偏離正常模型的數據判定為異常流量。這一方式極大地提高了檢測速率，不過有時會造成一定程度的虛警率。同時，異常檢測方式不需要人工維護特征模式庫就可以檢測到新的異常情況。

不過當前檢測方法均存在不足之處：誤用檢測方法由于依賴于數據庫比對的檢測方式，不能檢測出特征庫中不存在的新型異常。而異常檢測方法多采用機器學習算法，雖具備較高的檢測正確率，但由于缺乏可解釋性，因此檢測結果只能上報異常的產生，而無法精準地定位異常所在位置以及引發異常的原因。

發明內容

為了解決現有的工業網絡入侵檢測方法的弊端，本發明提出了一種實時異常檢測和定位的方法，可以在數據流輸入的同時快速檢測異常并定位造成異常的原因。

本發明的技術方案是提供了一種工業網絡異常檢測算法，包括如下步驟：

步驟1、在工業網絡流量交換的節點部署交換機，對經過交換機的數據進行采集并鏡像傳遞至服務器的網絡接口；

步驟2、通過網絡接口讀取流量數據，將流量數據傳遞給協議解析算法進行實時分層協議剖析，提取網絡行為特征；

協議解析算法包括將流量數據按照TCP/IP五層模型進行解析，對數據鏈路層、網絡層、傳輸層依照協議提取網絡行為特征；

提取網絡行為特征時，對應用層的某種協議的不同格式數據，提取公有的行為特征關鍵字以及各種格式的代表性行為特征關鍵字，將公有的關鍵字和代表性關鍵字作為某種協議的關鍵字；

步驟3、對特征缺失的情況進行處理，將數據特征處理成數字形式，從數據特征中選取合適的特征組合進行模型訓練；

步驟4、對每種協議建立網絡行為模型，以判斷是否出現異常；對于異常分大于閾值的流量進行報警處理；