[发明专利]一种基于双重相似性度量的工业通信异常检测方法

权利要求书

1.一种基于双重相似性度量的工业通信异常检测方法，其特征在于，其步骤为：

1)工业通信行为特征的分类与选择：将工业通信数据按相同的时间间隔划分成不同的消息样本，依据工业通信协议的协议规约和工业通信交互方式，提取工业通信行为特征，构成特征空间；

2)构建工业行为特征树：根据每一个消息样本的特征空间，分别构建工业行为特征树的主分枝、次分枝和叶子节点，从而使每一个消息样本用一个工业行为特征树表示；

3)双重相似性度量的实时异常判别：对每一个消息样本的工业行为特征树，进行双重相似性度量计算，将计算结果分别与树内度量门限和树间度量门限进行比较，判断是否出现异常并报警；

双重相似性度量的实时异常判别，具体进行两方面计算：

3.1)树内相似性度量针对工业行为特征树中不同特征之间的度量，其中工业行为特征数属于同一消息样本；

3.2)树间相似性度量针对不同消息样本的工业行为特征树之间的度量。

2.根据权利要求1所述的一种基于双重相似性度量的工业通信异常检测方法，其特征在于：所述的步骤1)中，所述的工业通信行为特征分为两类：一般网络行为特征、工业协议语义特征。

3.根据权利要求2所述的一种基于双重相似性度量的工业通信异常检测方法，其特征在于：所述的一般网络行为特征描述消息样本在网络传输时表现的特性，包括：包速率、平均包大小、IP到端口映射、一次访问的往返时延。

4.根据权利要求2所述的一种基于双重相似性度量的工业通信异常检测方法，其特征在于：所述的工业协议语义特征是依据工业协议语法和协议规范提取的专有特征，包括功能码、线圈或寄存器地址、线圈或寄存器域值。

5.根据权利要求1所述的一种基于双重相似性度量的工业通信异常检测方法，其特征在于：所述步骤2)中，工业行为特征树构建过程如下：

2.1)创建工业行为特征树的根和主干；

2.2)根据两类工业通信行为特征，分别在树主干上创建两个主分枝；

2.3)在每个主分枝上，对属于该主分枝的所有特征创建次分枝，如在代表一般网络行为特征的主分枝上创建代表包速率的次分枝；

2.4)在每个次分枝上，将该特征的每一个特征值作为一个叶子节点。

6.根据权利要求1所述的一种基于双重相似性度量的工业通信异常检测方法，其特征在于：所述的树内相似性度量采用明可夫斯基距离作为度量算法；所述的树间相似性度量采用余弦相似度作为度量算法。

7.根据权利要求6所述的一种基于双重相似性度量的工业通信异常检测方法，其特征在于：所述的树内相似性度量采用明可夫斯基距离作为度量算法，其计算公式如下：

其中，P＝(p₁,p₂,…,p_N)和Q＝(q₁,q₂,…,q_N)分别代表同一工业行为特征树上特征空间中两种特征的特征值，v为可变参数，具体根据实际情况进行调节。

8.根据权利要求7所述的一种基于双重相似性度量的工业通信异常检测方法，其特征在于：树间相似性度量采用余弦相似度作为度量算法，其计算公式如下：

其中，x_k和y_k分别代表不同工业行为特征树中同类特征值。

9.根据权利要求1所述的一种基于双重相似性度量的工业通信异常检测方法，其特征在于：所述步骤3)中，树内度量门限和树间度量门限为利用工业通信数据经过双重相似性度量计算得出的额定值。