【技术实现步骤摘要】
本专利技术涉及网络流量监测,具体是基于大数据的网络流量异常感知系统及方法。
技术介绍
1、工业控制系统在正常运作时,由于各个设备协同工作中存在不完全同频的状态,而且每个设备所需要耗费的网络流量的大小也不完全相同,而当工业控制系统在受到网络攻击的时候也存在伴随网络流量的跳变,往往攻击者正是抓住这个契机对工业控制系统攻击的同时造成迷惑的现象,同时也会在这个契机中安插各种攻击风险因素,对工业控制系统造成长久难以根治的问题。在网络流量安全监测方面,目前技术主要是针对设备的运行性能变化或者是设备漏洞方面,不断的进行产品更新,需要投入大量的研发和生产费用;
2、对比文件cn115102790a“基于大数据的网络流量异常感知系统及方法”通过建立网络流量正常感知时间模型和异常感知时间模型;通过网络流量正常感知时间模型和异常感知时间模型,进一步预测出未知风险状态感知网络流量跳变时间;再结合预测的正常、异常和未知风险感知时间,预测出网络流量的风险值,通过风险值判断出网络流量是否正常,同时结合预测的时间模型定位到可能发生网络流量异常的具体时间,实现对网络流量状态的实时监控,为各相关负责人员提供精确的预防和维护的时间准备。
3、对比文件cn111695823a“一种基于工控网络流量的异常评估方法与系统”该方法包括如下步骤:异常校验步骤,通过已知的多源安全信息过滤被误报的异常信息;异常聚合步骤,通过聚合算法减少异常流量数量,实现工业网络异常信息标准化;异常关联步骤,通过异常关联分析、感知和预测安全事件。该异常评估系统有利于提高工控
4、目前的异常检测方法亟需解决以下问题:工业网络遭遇攻击时产生大量异常流量,大量数据凭借人工手段难以探究规律,且现有方法基于安全事件的事后评判,缺少实时展示当前网络安全风险和预测可能的安全事件的方法,同时异常检测方法通常为分析流量分布并设置评判流量归类阈值以检测网络中的异常流量,虽然这种方法实现简单,但使用的方式固定,难以适应多种动态变化的网络流量数据,且该方法性能对外部噪声敏感,因此鲁棒性较差。
技术实现思路
1、为了解决上述技术问题,本专利技术的目的在于提供基于大数据的网络流量异常感知系统,包括监控中心,所述监控中心通信连接有数据监测模块、分类匹配模块、数据挖掘模块、灵敏度等级匹配模块和灵敏度调节模块;
2、所述数据监测模块用于将工业生产流程进行拆分,划分为若干流程子序列,获取各流程子序列的监测数据;
3、所述分类匹配模块用于将各流程子序列的工业网络监测点位采集的监测数据的数据类型划分为正常数据、主攻数据和佯攻数据;
4、所述数据挖掘模块用于对各流程子序列的若干历史监测周期内产生的各类型的攻击特征的佯攻数据进行真实意图数据挖掘;
5、所述灵敏度等级匹配模块用于根据各流程子序列在当前监测周期内产生佯攻数据后,各流程子序列在剩余不同时刻内各类型的攻击特征的主攻数据的产生概率以及主攻数据的攻击特征类型,获取各流程子序列在当前监测周期内剩余不同时刻内的预测感知灵敏度等级;
6、所述灵敏度调节模块用于根据预测感知灵敏度等级以及实时监测数据的数据类型对流程子序列的感知灵敏度等级进行实时调节。
7、进一步的,所述数据监测模块将工业生产流程进行拆分,划分为若干流程子序列,获取各流程子序列的监测数据的过程包括:
8、获取当前工业网络生产设备的工艺流程特性,根据工艺流程特性提取流程信息,将工业生产流程根据流程信息进行拆分,划分为若干流程子序列;
9、在各流程子序列设置工业网络监测点位,根据各流程子序列的工艺流程特性的功能特性获取各流程子序列的性能监测指标和流量监测指标;
10、所述工业网络监测点位根据所述性能监测指标和流量监测指标获取对应的监测数据并标记监测时间,设置监测周期。
11、进一步的,所述分类匹配模块将各流程子序列的工业网络监测点位采集的监测数据的数据类型划分为正常数据、主攻数据和佯攻数据的过程包括:
12、获取各流程子序列的工业网络监测点位采集的监测数据,获取各流程子序列对应的性能指标阈值和流量指标阈值,将各流程子序列的监测数据中的性能指标监测数据和流量指标监测数据分别与对应的性能指标阈值和流量指标阈值进行对比;
13、将流量指标监测数据不符合对应的流量指标阈值,且性能指标监测数据符合对应的性能指标阈值的监测数据标记为佯攻数据;
14、将流量指标监测数据不符合对应的流量指标阈值,且性能指标监测数据不符合对应的性能指标阈值的监测数据标记为主攻数据;
15、将流量指标监测数据符合对应的流量指标阈值,且性能指标监测数据符合对应的性能指标阈值的监测数据标记为正常数据。
16、进一步的,所述数据挖掘模块对各流程子序列的若干历史监测周期内产生的各类型的攻击特征的佯攻数据进行真实意图数据挖掘的过程包括:
17、获取各流程子序列的工业网络监测点位采集的若干历史监测周期的历史监测数据,获取目标流程子序列在若干历史监测周期内的产生各类型的攻击特征的佯攻数据,以及目标流程子序列和其他流程子序列在对应的若干历史监测周期内剩余不同时刻内产生的各类型的攻击特征的主攻数据;
18、基于深度学习构建异常关联模型,将各流程子序列在若干历史监测周期内的产生各类型的攻击特征的佯攻数据,以及各流程子序列在对应的若干历史监测周期内剩余不同时刻内产生的各类型的攻击特征的主攻数据作为历史训练集,通过所述历史数据集划分为训练集及测试集对故障检测模型进行实时学习训练,输出完成训练后的异常关联模型;
19、通过所述异常关联模型获取目标流程子序列当前监测周期内产生不同类型的攻击特征的佯攻数据后,当前监测周期内目标流程子序列和其他流程子序列在剩余不同时刻内产生各类型的攻击特征的主攻数据的时序分布概率。
20、进一步的,所述灵敏度等级匹配模块根据各流程子序列在当前监测周期内产生佯攻数据后,各流程子序列在剩余不同时刻内各类型的攻击特征的主攻数据的产生概率以及主攻数据的攻击特征类型,获取各流程子序列在当前监测周期内剩余不同时刻内的预测感知灵敏度等级的过程包括:
21、将各流程子序列在当前监测周期内产生佯攻数据后,各流程子序列在剩余不同时刻内各类型的攻击特征的主攻数据的产生概率以及主攻数据的攻击特征类型作为评价指标,设置评价指标的指标权重,预设感知灵敏度等级,通过模糊综合评价判断各流程子序列对于感知灵敏度等级的隶属度矩阵;
22、根据隶属度矩阵及指标权重获取各流程子序列在当前监测周期内产生佯攻数据后,各流程子序列在当前监测周期内剩余不同时刻内的预测感知灵敏度等级。
23、进一步的,所述灵敏度调节模块根据预测感知灵敏度等级以及实时监测数据的数据类型对流程子序列的感知灵敏度等级进行实时调节的过程包括:
【技术保护点】
1.基于大数据的网络流量异常感知系统,包括监控中心,其特征在于,所述监控中心通信连接有数据监测模块、分类匹配模块、数据挖掘模块、灵敏度等级匹配模块和灵敏度调节模块;
2.根据权利要求1所述的基于大数据的网络流量异常感知系统,其特征在于,所述数据监测模块将工业生产流程进行拆分,划分为若干流程子序列,获取各流程子序列的监测数据的过程包括:
3.根据权利要求2所述的基于大数据的网络流量异常感知系统,其特征在于,所述分类匹配模块将各流程子序列的工业网络监测点位采集的监测数据的数据类型划分为正常数据、主攻数据和佯攻数据的过程包括:
4.根据权利要求3所述的基于大数据的网络流量异常感知系统,其特征在于,所述数据挖掘模块对各流程子序列的若干历史监测周期内产生的各类型的攻击特征的佯攻数据进行真实意图数据挖掘的过程包括:
5.根据权利要求4所述的基于大数据的网络流量异常感知系统,其特征在于,所述灵敏度等级匹配模块根据各流程子序列在当前监测周期内产生佯攻数据后,各流程子序列在剩余不同时刻内各类型的攻击特征的主攻数据的产生概率以及主攻数据的攻击特征类型,
6.根据权利要求5所述的基于大数据的网络流量异常感知系统,其特征在于,所述灵敏度调节模块根据预测感知灵敏度等级以及实时监测数据的数据类型对流程子序列的感知灵敏度等级进行实时调节的过程包括:
7.根据权利要求6所述的基于大数据的网络流量异常感知系统,其特征在于,当监控中心接收到网络隔离修复信号后,根据所述网络隔离修复信号对流程子序列进行网络隔离,并生成网络攻击应急措施反馈至管理人员,所述管理人员根据网络攻击应急措施对所述流程子序列进行网络修复或防御升级。
8.基于大数据的网络流量异常感知方法,具体应用于权利要求1至7任一项所述的基于大数据的网络流量异常感知系统,其特征在于,包括以下步骤:
...【技术特征摘要】
1.基于大数据的网络流量异常感知系统,包括监控中心,其特征在于,所述监控中心通信连接有数据监测模块、分类匹配模块、数据挖掘模块、灵敏度等级匹配模块和灵敏度调节模块;
2.根据权利要求1所述的基于大数据的网络流量异常感知系统,其特征在于,所述数据监测模块将工业生产流程进行拆分,划分为若干流程子序列,获取各流程子序列的监测数据的过程包括:
3.根据权利要求2所述的基于大数据的网络流量异常感知系统,其特征在于,所述分类匹配模块将各流程子序列的工业网络监测点位采集的监测数据的数据类型划分为正常数据、主攻数据和佯攻数据的过程包括:
4.根据权利要求3所述的基于大数据的网络流量异常感知系统,其特征在于,所述数据挖掘模块对各流程子序列的若干历史监测周期内产生的各类型的攻击特征的佯攻数据进行真实意图数据挖掘的过程包括:
5.根据权利要求4所述的基于大数据的网络流量异常感知系统,其特征在于,所述灵敏度等级匹配模...
【专利技术属性】
技术研发人员:吴燕萍,
申请(专利权)人:常州初欣文化科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。