[发明专利]一种工业网络流量异常检测定位的方法

权利要求书

1.一种工业网络异常检测方法，包括如下步骤：

步骤1、在工业网络流量交换的节点部署交换机，对经过交换机的数据进行采集并镜像传递至服务器的网络接口；

步骤2、通过网络接口读取流量数据，将流量数据传递给协议解析算法进行实时分层协议剖析，提取网络行为特征；

协议解析算法包括将流量数据按照TCP/IP五层模型进行解析，对数据链路层、网络层、传输层依照协议提取网络行为特征；

提取网络行为特征时，对应用层的某种协议的不同格式数据，提取公有的行为特征关键字以及各种格式的代表性行为特征关键字，将公有的关键字和代表性关键字作为某种协议的关键字；

步骤3、对特征缺失的情况进行处理，将数据特征处理成数字形式，从数据特征中选取合适的特征组合进行模型训练；

步骤4、对每种协议建立网络行为模型，以判断是否出现异常；对于异常分大于阈值的流量进行报警处理；

步骤5、利用正常的流量数据对OSI网络模型的各层协议特征建立网络行为模型，将异常流量输入网络行为模型进行进一步的异常分析，输出流量的异常定位结果；

步骤5.1、判断同类流量数据是否具有相同的网络行为特征字段，当字段取值出现大范围波动时，则认为该字段出现异常，采用变异系数来衡量流量数据的异常程度：

其中，x_i是第i个字段的数据，μ为某字段的平均值，CV为标准差与均值的比值；

步骤5.2、构建数据处理矩阵，将前10分钟的正常数据模型作为PCA的输入矩阵A：

其中，m为历史数据的数量，n为字段数量，列表示字段的数据；

步骤5.3、对原始输入矩阵进行标准化处理，利用标准化矩阵得到特征值与特征向量；

由于每个字段的取值范围不同，需要对原始输入矩阵A进行标准化转化，得到标准化矩阵Z；

其中，

接着，求矩阵Z的协方差矩阵∑：

其中，最后，求得协方差矩阵的特征值λ₁，λ₂，...，λ_n和特征向量μ₁，μ₂，...，μ_n；

步骤5.4、对特征值λ₁，λ₂，...，λ_n按照降序排序，然后计算主成分方差百分比，使得β为设定的阈值；

步骤5.5、对所选的主成分排序，选择信息量最大的主成分，将其代表的字段作为根因字段候选集；

步骤5.6、将k个元素的根因字段候选集定义为当前的异常模式，与已知的异常模式进行比照；若已存在同类型异常模式，则上报该异常模式及其详细信息；否则更新异常模式库并上报异常

步骤6、每隔一段时间，对网络行为模型进行训练数据的更新并替换原模型；

设定时间窗口t，每个时间窗口内，将数据依次通过前台检测模块和后台训练模块、定位模块，生成检测报告的同时完成新时间窗口对应的检测子模型和定位子模型的训练，替换原有网络行为模型。

2.根据权利要求1所述的工业网络异常检测方法，其特征在于：

在步骤3中，对于COTP协议，若载荷数据的第5位不为2，则目的引用为载荷数据的7-8位所表示的数字，否则没有目的引用这一字段，因此记为0；

对于HTTP协议的URL字段，将其转化为ASCII码，作为数字型字段处理。

3.根据权利要求1所述的工业网络异常检测算法，其特征在于：

步骤4中，利用IForest算法建立网络行为模型，对后续流量进行检测，计算所有待检测的网络行为流量特征值的特征组在孤立森林中的异常分公式如下：

其中E(h(x))表示数据特征在孤立森林中的路径长度的均值，ψ表示单棵孤立树的训练样本的样本数，C(ψ)表示用ψ条数据构建的二叉孤立树的平均路径长度，C(ψ)的计算公式如下：

H(ψ-1)＝ln(ψ-1)+Euler，Euler为欧拉常数。