[发明专利]工控网络异常检测方法及装置

说明书

本发明实施例提供一种工控网络异常检测方法及装置，方法包括：基于无监督式基线学习方法，自动生成一定时间周期内的安全基线，并对异常数据帧或数据帧序列进行告警；在新的时间周期内生成安全基线时，对预设时间段内的历史安全基线序列的变化趋势进行分析，根据趋势分析结果对潜在安全威胁进行预测和告警。本实施例实现了对工控网络的异常检测，无需事先基于监督式学习生成网络安全基线后再进行人工调整确认，而是根据持续获得的网络流量，自动生成网络安全基线，通过分析历史基线序列趋势，能够发现基线序列逐渐偏离正常值的潜在威胁，本实施例所述方法降低了生成工控安全基线的操作复杂度，提高了安全基线的稳定性。

技术领域

本发明实施例涉及工业网络安全技术领域，尤其涉及一种工控网络异常检测方法及装置。

背景技术

随着信息技术的飞速发展，工控网络面临着越来越多的风险。

目前，现有技术中公开了一些工业控制网络的异常检测方法。其中，一些方法属于失陷类的检测方法，在网络异常发生之前，不能进行有效地预测或采取积极地防御措施；一些方法是从网速、带宽以及对应时间周期的维度检测网络异常，并不关注网络中通信数据的内容以及通信细节；一些方法从算法的角度描述了异常流量的判定方法，但在保护工控网络安全的应用场景中，在进行异常检测之前需要提前设置特征值和规则引擎，提取的特征值、设置的规则引擎对结果的评判标准依赖一定的经验，方法的应用过程较为复杂，需要对参数反复调试，且最终结果受限于调试过程中获得的流量；一些方法通过捕获、识别、解析工业网络数据，并根据工业协议行为和工业行为模型库进行数据分析，从而确定工业流量中是否存在异常，这种方法的不足之处在于：工业行为模型库的构建没有明确的标准，只提到了应用包括关联挖掘、序列挖掘、分类以及聚类算法等智能方法，不能处理随时间推移协议行为或设备响应值逐渐发生异常趋势的情况，没有考虑在协议深度解析过程中遇到畸形包的情况；一些方法是通过流量自学习形成安全基线的工控网络异常检测方法（网络白名单），这种方法虽然具有很强的适应性与灵活性，但在实际使用中，开启学习模式的时间长短没有明确的标准，学习结果与学习期间捕获的流量具有较强的依赖关系，实施过程较复杂，实施时间也较长，安全基线的调整在一定程度上依赖操作人员的工控安全经验。一些方法对电力领域的IEC60870-5-104协议具有高效地防护效果，但是具有一定的局限性，不能保护如基于Modbus、S7COMM、ENIP/CIP等工业协议的更多工业应用现场。

鉴于此，如何对工控网络进行异常检测成为目前需要解决的技术问题。

发明内容

针对现有技术存在的问题，本发明实施例提供一种工控网络异常检测方法及装置。

本发明实施例提供一种工控网络异常检测方法，包括：

基于无监督式基线学习方法，自动生成一定时间周期内的安全基线，并对异常数据帧或数据帧序列进行告警；

在新的时间周期内生成安全基线时，对预设时间段内的历史安全基线序列的变化趋势进行分析，根据趋势分析结果对潜在安全威胁进行预测和告警。

本发明实施例提供一种工控网络异常检测装置，包括：

生成模块，用于基于无监督式基线学习方法，自动生成一定时间周期内的安全基线，并对异常数据帧或数据帧序列进行告警；

分析模块，用于在新的时间周期内生成安全基线时，对预设时间段内的历史安全基线序列的变化趋势进行分析，根据趋势分析结果对潜在安全威胁进行预测和告警。

本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述方法的步骤。