[發明專利]工控網絡流量多級異常檢測方法及裝置有效
| 申請號: | 202110589716.X | 申請日: | 2021-05-28 |
| 公開(公告)號: | CN113259367B | 公開(公告)日: | 2022-05-06 |
| 發明(設計)人: | 唐玉維 | 申請(專利權)人: | 蘇州聯電能源發展有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 蘇州謹和知識產權代理事務所(特殊普通合伙) 32295 | 代理人: | 葉棟 |
| 地址: | 215000 江蘇省蘇州市蘇州*** | 國省代碼: | 江蘇;32 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 網絡流量 多級 異常 檢測 方法 裝置 | ||
1.一種工控網絡流量多級異常檢測方法,其特征在于,所述方法包括:
獲取通信流量;
對所述通信流量進行分離、解析和預處理,得到處理后的通信流量,所述處理后的通信流量包括所述通信流量的分級結果;
使用所述分級結果對應的異常檢測策略對所述處理后的通信流量進行異常檢測,得到檢測結果;其中,通信流量不同分級的通信流量對應的異常檢測策略不同;所述通信流量的分級根據工業控制系統進行流量通信時的不同維度劃分得到;
在所述檢測結果指示所述通信流量存在異常時進行異常報警。
2.根據權利要求1所述的方法,其特征在于,所述通信流量的分級包括第一分級、第二分級和第三分級;
所述第一分級為局域網中傳輸的網絡數據包;
所述第二分級為工業控制系統協議報文流量,包括共享相同IP地址的不同設備的協議報文流量;
所述第三分級為對協議報文進行深度解析后得到的數據內容。
3.根據權利要求2所述的方法,其特征在于,在所述分級結果為第一分級時,所述使用所述分級結果對應的異常檢測策略對所述處理后的通信流量進行異常檢測,得到檢測結果,包括:
抽取并記錄數據包的源IP、目的IP、傳輸協議、端口號、時間戳以及數據包大小,構建所述數據包的六元組;
使用預先構建的第一分級對應的異常檢測模型,進行時序規律和周期性的檢測,得到所述檢測結果;
其中,第一分級對應的異常包括數據包計數異常和數據包流量大小異常。
4.根據權利要求2所述的方法,其特征在于,在所述分級結果為第二分級時,所述使用所述分級結果對應的異常檢測策略對所述處理后的通信流量進行異常檢測,得到檢測結果,包括:
構建包含源IP、目的IP、協議標識符、同一IP地址下不同設備的地址和時間戳的五元組;
使用預先構建的第二分級對應的異常檢測模型,確定在同一IP地址下的不同設備通信流量的周期性,得到所述檢測結果;
其中,第二分級對應的異常包括重復行為異常和時序異常。
5.根據權利要求2所述的方法,其特征在于,在所述分級結果為第三分級時,所述使用所述分級結果對應的異常檢測策略對所述處理后的通信流量進行異常檢測,得到檢測結果,包括:
抽取所述處理后的通信流量中的關鍵字段內容,并進行符號化處理,符號化后的流量包含了報文中的關鍵信息內容;
將同一IP地址下同一設備中的流量作為一個單元,使用第三分級對應的異常檢測模型確定所述單元的周期模式情況,得到所述檢測結果;
其中,第三分級對應的異常包括未知異常、丟失異常和重傳異常,所述未知異常指待測流量符號不屬于已構建的第三分級對應的異常檢測模型;所述丟失異常指待測流量符號序列中存在部分缺失的情況;所述重傳異常指待測流量符號序列中某些符號連續出現,并且不符合正常的模式。
6.根據權利要求2所述的方法,其特征在于,所述在所述檢測結果指示所述通信流量存在異常時進行異常報警,包括:
在所述檢測結果指示所述通信流量存在異常時,觸發報警器;
根據所述檢測結果確定異常種類并進行反饋。
7.根據權利要求1所述的方法,其特征在于,所述通信流量的分級為針對監督控制與數據采集SCADA系統中HMI-PLC之間的通信流量和工業控制系統網絡協議進行劃分得到的I/O通道外分級和I/O通道內分級;所述處理后的通信流量包括流量符號序列;
所述I/O通道外分級為每個I/O通道的信息構建的I/O事件序列;
所述I/O通道內分級為每個I/O通道的流量符號序列。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于蘇州聯電能源發展有限公司,未經蘇州聯電能源發展有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110589716.X/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種網關生產用背板銘牌安裝裝置
- 下一篇:一種家用清潔效果好的洗碗機
