本申請公開了一種工控系統流量異常檢測方法、裝置、設備及介質，包括：獲取工控系統的當前時間段流量以及歷史流量；通過矩陣輪廓分析從所述歷史流量中確定與當前時間段流量之間的歐氏距離最小的目標歷史時間段流量；確定當前時間段流量與所述目標歷史時間段流量的相關度以及增減趨勢相似度；基于當前時間段流量與所述目標歷史時間段流量的歐氏距離、所述相關度和所述增減趨勢相似度判斷當前時間段流量是否存在異常。這樣，能夠有效的進行工控系統流量異常檢測，并避免對工控系統中資源過多的消耗。

技術領域

本申請涉及網絡安全技術領域，特別涉及一種工控系統流量異常檢測方法、裝置、設備及介質。

背景技術

隨著工業控制系統的發展，互聯互通成為趨勢，但這同時也對工控系統的網絡安全防護提出了更高的要求。工控系統網絡安全存在設備和操作系統老舊、通信協議沒有安全機制等歷史固有問題，容易遭受網絡攻擊，從而造成設備停車、經濟受損甚至影響社會安定等嚴重不良影響。所以需要針對工業控制系統做好網絡安全防護措施。

目前，常用的流量異常檢測方法包括：基于神經網絡的異常檢測方法；基于支持向量機的異常檢測方法。基于神經網絡的異常檢測方法，主要過程是將網絡流量的各個維度(五元組、數據包大小、流起止時間、字節數上下限等)作為輸入向量，輸出結果至正常、異常的結果向量中。基于支持向量機的異常檢測方法根據網絡流量的特征描述對網絡流量進行正常/異常二元分類。通過利用包含一定數量異常流量樣本的數據集進行建模，支持向量機方法求得在給定數據集上使得正常/異常樣本區分性最大的支撐樣本向量，進而在樣本特征空間內確定分類超平面用于網絡流量數據進行正常/異常判定。現有技術存在以下缺點：1、無法泛化出統一的模型，需要對特定場景做大量前期的訓練工作，并不斷調整超級參數等。2、訓練工作需要大量數據，且訓練周期長，訓練所需硬件資源要求高。3、訓練出來的模型參數較多，運行時資源要求較高。

發明內容

有鑒于此，本申請的目的在于提供一種工控系統流量異常檢測方法、裝置、設備及介質，能夠有效的進行工控系統流量異常檢測，并避免對工控系統中資源過多的消耗。其具體方案如下：

第一方面，本申請公開了一種工控系統流量異常檢測方法，包括：

獲取工控系統的當前時間段流量以及歷史流量；

通過矩陣輪廓分析從所述歷史流量中確定與當前時間段流量之間的歐氏距離最小的目標歷史時間段流量；

確定當前時間段流量與所述目標歷史時間段流量的相關度以及增減趨勢相似度；

基于當前時間段流量與所述目標歷史時間段流量的歐氏距離、所述相關度和所述增減趨勢相似度判斷當前時間段流量是否存在異常。

可選的，確定當前時間段流量與所述目標歷史時間段流量的相關度，包括：

計算當前時間段流量與所述目標歷史時間段流量的簡單相關系數，以得到所述相關度。

可選的，確定當前時間段流量與所述目標歷史時間段流量的增減趨勢相似度，包括：

確定當前時間段流量對應的第一流量向量、所述目標歷史時間段流量的對應的第二流量向量；所述第一流量向量中包括當前時間段流量中多個時刻的流量；所述第二流量向量中包括所述目標歷史時間段流量中多個時刻的流量；

分別判斷所述第一流量向量以及所述第二流量向量中每一元素是否大于該元素的前一元素，確定每一元素的增減標識，以得到所述第一流量向量對應的第一增減向量以及所述第二流量向量對應的第二增減向量；

利用所述第一增減向量和所述第二增減向量確定當前時間段流量與所述目標歷史時間段流量的增減趨勢相似度。

可選的，所述利用所述第一增減向量和所述第二增減向量確定當前時間段流量與所述目標歷史時間段流量的增減趨勢相似度，包括：