本公開提供了一種網絡異常確定方法、設備及存儲介質，該方法包括：獲取網絡流量數據；按照網絡流量數據對應的時間段將網絡流量數據劃分為多組子數據；提取各組子數據的多個維度的特征；對各組子數據，分別計算多個維度的特征中每個維度的特征的對應的一組信息熵；對各組子數據，將各特征的一組信息熵中的各信息熵與預先建立的與該特征對應的信息熵基線的數據范圍進行比較；計算未在數據范圍內的目標信息熵與一組信息熵中與該目標信息熵之間的差值最小的信息熵之間的差值；根據各特征對應的差值計算各特征對應的風險指數；根據各特征對應的風險指數確定網絡是否存在異常。該方法可提高網絡異常的識別效率。

技術領域

本發明涉及網絡安全技術領域，特別涉及一種網絡異常確定方法、設備及存儲介質。

背景技術

目前，一些由于通訊協議導致的網絡異常通常難以檢測，例如，由Modbus協議導致的網絡異常。Modbus協議是廣泛應用的工業控制協議。但在實現具體的工業控制系統時，由于開發者并不具備安全知識或者沒有意識到安全問題，可能會導致使用Modbus協議的系統中可能存在各種各樣的安全漏洞。例如，在通信過程中，某個節點被惡意控制后可能會發出非法數據。功能碼是Modbus協議中的一項重要內容，功能碼濫用是導致Modbus網絡異常的一個主要因素；不合法報文長度，短周期的無用命令，不正確的報文長度，都可能引起系統異常。目前，一般采用白名單規則來檢測Modbus協議異常。例如，針對源IP、目的IP、功能碼以及操作地址等屬性建立白名單規則，對未匹配白名單規則的報文產生告警。這類檢測方法只是針對單個Modbus報文的微觀檢測，而沒有考慮到工業控制系統的時間特性和頻率特性等宏觀特征。例如，有些數據包，單獨出現一次是正常的，但短時間內出現多次有可能就是攻擊。而白名單規則對這類攻擊不具備檢測能力?？梢?，一種檢測網絡異常的方法有待被提出。

發明內容

有鑒于此，本公開一個或多個實施例提出一種網絡異常確定方法、設備及存儲介質，以解決相關技術中無法基于網絡流量數據的宏觀特征檢測網絡是否異常的問題。

本公開一個或多個實施例提供了一種網絡異常確定方法，包括：獲取網絡流量數據；按照所述網絡流量數據對應的時間段將所述網絡流量數據劃分為多組子數據；提取各組子數據的多個維度的特征；對各組子數據，分別計算所述多個維度的特征中每個維度的特征對應的一組信息熵；對各組子數據，將各特征的一組信息熵中的各信息熵與預先建立的與該特征對應的信息熵基線的數據范圍進行比較；計算未在所述數據范圍內的目標信息熵與所述一組信息熵中與該目標信息熵之間的差值最小的信息熵之間的差值；根據所述各特征對應的所述差值計算所述各特征對應的風險指數；根據所述各特征對應的風險指數確定網絡是否存在異常。

可選的，所述特征至少包括以下任意三種：操作系統指紋、查詢報文中的設備標識字段、查詢報文中的功能碼字段、查詢報文中的數據包長度、應答報文中的設備標識字段、應答報文中的功能碼字段以及應答報文的數據包長度。

可選的，通過如下公式計算所述各特征對應的風險指數：

其中，Score(x)表示特征對應的風險指數，x表示所述差值，δ為預設門限值，n為預設大于1的實數，k為權重系數，k是大于1的整數。

可選的，根據所述各特征對應的風險指數確定網絡是否存在異常，包括：根據所述各特征對應的風險指數計算綜合風險指數；根據所述綜合風險指數確定網絡是否存在異常；其中，所述綜合風險指數通過如下公式計算得到：

其中，Score_i表示特征i對應的風險指數，m表示參與運算的特征的個數。

可選的，根據所述各特征對應的風險指數確定網絡是否存在異常，包括：若計算得到的任一所述特征對應的風險指數大于第一預設值，確定網絡存在異常；或者，若計算得到的綜合風險指數大于第二預設值，確定網絡存在異常，其中，所述第一預設值大于所述第二預設值。