【技术实现步骤摘要】
本专利技术涉及网络安全,尤其涉及一种工控网络安全全流量检测方法。
技术介绍
1、由于工业控制系统中网络化控制设备的不断增加,导致需要进行异常检测的端口数量不断增加,在端口数量增加时无法选择合适的传输方式将端口的流量数据传输至处理节点进行异常分析,导致无法及时发现异常信息,对工业控制系统中设备的正常运行带来严重的安全隐患,因此,如何选择合理的方式将流量数据及时传输至处理节点,以保证流量数据传输效率是本领域技术人员亟待解决的问题。
2、中国专利公开号cn112672356a公布了一种基于5g技术的火电厂工控系统网络安全实现方法,包括:s1:接收生产控制大区、管理信息区以及非控制区的原始网络流量数据,并将网络流量数据传输至5g基站;s2:收集5g传输模块上传的原始网络流量数据并传输至5g网络安全服务器;s3:处理分析由5g基站发送的原始网络流量数据。由此可见,上述技术方案存在以下问题:数据传输方式单一,无法根据实际情况针对数据传输方式进行适应性优化,无法保证流量数据的传输效率,进而无法及时应对异常流量,导致工控网络安全隐患较大。
技术实现思路
1、为此,本专利技术提供一种工控网络安全全流量检测方法,用以克服现有技术中数据传输方式单一,无法根据实际情况针对数据传输方式进行适应性优化,无法保证流量数据的传输效率,进而无法及时应对异常流量,导致工控网络安全隐患较大的问题。
2、为实现上述目的,本专利技术提供一种工控网络安全全流量检测方法,包括:
3、获取工控
4、根据流量波动值以及流量参考值确定异常影响值确认方式,异常影响值确认方式为根据流量阈值进行确定或根据端口影响值以及设备参考值进行确定;
5、根据流量状态确定流量分配方式为根据像素差异度以及分布差异度确定组合分配方式,或,根据异常影响值确定优先设置方式,并根据传输影响系数针对流量数据进行分配;
6、组合分配方式包括相似组合分配以及规律组合分配;
7、优先设置方式为根据异常影响值确定第一优先系数或根据相似参考值确定第二优先系数;
8、根据协议类型确定异常判定方式,异常判定方式为根据特征匹配度确定已知协议状态或根据模型匹配度确定未知协议状态。
9、进一步地,根据端口数量以及难度参考值确定流量状态,流量状态包括:
10、端口数量大于或等于预设端口数量或难度参考值大于或等于预设难度参考值的第一流量状态;
11、端口数量小于预设端口数量且难度参考值小于预设难度参考值的第二流量状态。
12、进一步地,根据流量波动值以及流量参考值确定异常影响值确认方式;
13、若流量波动值大于或等于预设流量波动值或流量参考值大于或等于预设流量参考值,异常影响值确认方式为根据流量阈值进行确定;
14、若流量波动值小于预设流量波动值且流量参考值小于预设流量参考值,异常影响值确认方式为根据端口影响值以及设备参考值进行确定。
15、进一步地,根据流量状态确定流量分配方式;
16、第一流量状态下,流量分配方式为根据像素差异度以及分布差异度确定组合分配方式;
17、第二流量状态下,流量分配方式为根据异常影响值确定优先设置方式,并根据传输影响系数针对流量数据进行分配。
18、进一步地,根据像素差异度以及分布差异度确定组合分配方式;
19、若像素差异度小于预设像素差异度且分布差异度小于预设分布差异度,组合分配方式为相似组合分配;
20、若像素差异度大于或等于预设像素差异度或分布差异度大于或等于预设分布差异度,组合分配方式为规律组合分配。
21、进一步地,所述相似组合分配包括:
22、a1,针对单个未记为相似组合的流量数据进行相似检测,将该流量数据记为目标流量数据,将除目标流量数据外的其他未记为相似组合的流量数据记为参考流量数据;
23、a2,将与目标流量数据的阈值差异度小于预设阈值差异度的全部参考流量数据以及目标流量数据的集合记为一个相似组合;
24、a3,重复步骤a1和a2,直至各流量数据均记入相似组合;
25、a4,根据节点处理参考值针对各相似组合进行分配。
26、进一步地,所述规律组合分配包括:
27、s1,按照规律字段均值由大到小的顺序将各流量数据进行排序并记为参考序列;
28、s2,选取参考序列两端相同数量且总数量为规律组合规模数量的未记为规律组合的参考流量数据,记为一个规律组合;
29、s3,重复步骤s2,直至各流量数据均记入规律组合;
30、s4,根据节点处理参考值针对各规律组合进行分配;
31、其中,所述规律组合规模数量与最小节点处理参考值为正相关关系。
32、进一步地,根据异常影响值确定优先设置方式;
33、若异常影响值大于或等于预设异常影响值,优先设置方式为根据异常影响值确定第一优先系数;
34、若异常影响值小于预设异常影响值,根据相似参考值确定第二优先系数;
35、所述第一优先系数与异常影响值为正相关关系,所述第二优先系数与相似参考值为正相关关系。
36、进一步地,根据传输影响系数针对流量数据进行分配,包括:
37、根据第一优先系数或第二优先系数确定各流量数据传输的优先顺序,针对单个流量数据进行分配时,将该流量数据记为待分配流量数据,将待分配流量数据传输至传输影响系数最大的节点。
38、进一步地,流量数据包括未知工控协议和已知工控协议,不同协议类型对应的异常判定方式不同,
39、针对已知工控协议,异常判定方式为根据特征匹配度确定已知协议状态;
40、针对未知工控协议,异常判定方式为根据模型匹配度确定未知协议状态;
41、所述已知协议状态包括特征匹配度小于预设特征匹配度的异常已知协议状态,以及,特征匹配度大于或等于预设特征匹配度的正常已知协议状态;
42、所述未知协议状态包括模型匹配度小于预设模型匹配度的异常未知协议状态,以及,模型匹配度大于或等于预设模型匹配度的正常未知协议状态。
43、与现有技术相比,本专利技术的有益效果在于,本专利技术技术方案中,根据端口数量以及难度参考值确定流量状态,通过端口数量以及难度参考值有效反映了流量数据的数量情况以及流量数据的处理难度,进而根据流量状态适应性地选择不同的流量分配方式,使得流量分配方式的选择更加符合实际应用场景,避免了现有技术中数据传输方式单一,无法根据实际情况针对数据传输方式进行适应性优化的缺陷,也避免了流量数据处理难度较高时无法及时传输至处理节点的问题,保证了流量数据的传输效率,进而能够及时应对异常流量,减小工控网络的安全隐患。
44、进一步地,本专利技术中根据流量波动值以及流量参考值确定异常影响本文档来自技高网...
【技术保护点】
1.一种工控网络安全全流量检测方法,其特征在于,包括:
2.根据权利要求1所述的工控网络安全全流量检测方法,其特征在于,根据端口数量以及难度参考值确定流量状态,流量状态包括:
3.根据权利要求1所述的工控网络安全全流量检测方法,其特征在于,根据流量波动值以及流量参考值确定异常影响值确认方式;
4.根据权利要求2所述的工控网络安全全流量检测方法,其特征在于,根据流量状态确定流量分配方式;
5.根据权利要求4所述的工控网络安全全流量检测方法,其特征在于,根据像素差异度以及分布差异度确定组合分配方式;
6.根据权利要求5所述的工控网络安全全流量检测方法,其特征在于,所述相似组合分配包括:
7.根据权利要求5所述的工控网络安全全流量检测方法,其特征在于,所述规律组合分配包括:
8.根据权利要求4所述的工控网络安全全流量检测方法,其特征在于,根据异常影响值确定优先设置方式;
9.根据权利要求4所述的工控网络安全全流量检测方法,其特征在于,根据传输影响系数针对流量数据进行分配,包括:
...
【技术特征摘要】
1.一种工控网络安全全流量检测方法,其特征在于,包括:
2.根据权利要求1所述的工控网络安全全流量检测方法,其特征在于,根据端口数量以及难度参考值确定流量状态,流量状态包括:
3.根据权利要求1所述的工控网络安全全流量检测方法,其特征在于,根据流量波动值以及流量参考值确定异常影响值确认方式;
4.根据权利要求2所述的工控网络安全全流量检测方法,其特征在于,根据流量状态确定流量分配方式;
5.根据权利要求4所述的工控网络安全全流量检测方法,其特征在于,根据像素差异度以及分布差异度确定组合分配方式;
6.根...
【专利技术属性】
技术研发人员:卢宝林,程杰,于伟东,张良,杨国柱,刘巧亮,朱宏杰,
申请(专利权)人:国能信控技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。