一种面向工业物联网的异常流量分级检测方法与流程

技术特征：
1.一种面向工业物联网的异常流量分级检测方法，其特征在于：包括两次异常检测，第一级是基于统计分析的流量频数检测，检测网络流量的频数异常；第二级是基于聚类算法的流量属性检测，对可疑流量检测属性异常；(1)、流量频数检测(1
‑
1)、首先计算流量频数的差分值，进行平滑处理；(1
‑
2)、然后采用指数加权移动平均模型进行数据拟合，使数据符合统计规律，并且对模型进行了偏差修正，降低初始值产生的误差；(1
‑
3)、最后提出双层阈值区间的方法，将流量分为稳态流量、可疑流量、危险流量三种流量；(2)、流量属性检测对于第一级检测中发现的可疑流量进行第二级流量属性检测；采用一种面向复杂数据属性特征的聚类优化异常检测算法，算法根据流量属性特征的优先级对数据的加权距离和安全系数进行分类，快速选择安全系数较高的数据作为聚类中心，并将围绕该中心的多特征数据匹配成为一个聚类，最终用于属性异常检测。2.根据权利要求1所述的一种面向工业物联网的异常流量分级检测方法，其特征在于所述步骤(1
‑
2)中的采用指数加权移动平均模型进行数据拟合的具体步骤如下：(1
‑2‑
1)、生成采集到的t时间内的流量频数的观测值的序列θ；(1
‑2‑
2)、计算网络流量频数的差分序列ω；(1
‑2‑
3)、计算差分序列的均值avg(ω)和方差var(ω)；根据差分序列算法得知avg(ω
t
)与avg(ω
t
‑1)的关系，根据指数加权移动平均模型的形式得到表达式如下：)的关系，根据指数加权移动平均模型的形式得到表达式如下：(1
‑2‑
4)、计算阈值区间；采用偏差修正的指数加权移动平均模型计算t时刻的差分序列的拟合值v
t
，其中β表示为这一时刻观测值分配的权重；3.根据权利要求2所述的一种面向工业物联网的异常流量分级检测方法，其特征在于所述(1
‑
3)中双层阈值区间的方法如下：所述公式(3)是根据前一时刻的拟合值和当前时刻的观测值来对当前数据进行修正的刷新机制；安全区间的上下限设定如下，其中n为流量频数异常检测中的方差倍数，设定安全区间中的n的取值范围为[2，3]，min(t)表示t时刻的安全区间的下限，max(t)表示t时刻的安全区间的上限；检测区间为：
网络流量频数异常诊断；在t时刻，根据指数加权移动平均模型计算t时刻的拟合值，设置拟合值位于[min(t),max(t)]的流量为安全流量；拟合值位于[min(t),min(t)]∪[max(t),max(t)]的流量为可疑流量；拟合值位于(
‑
∞,min(t))||(max(t), ∞)的流量为危险流量。4.根据权利要求1所述的一种面向工业物联网的异常流量分级检测方法，其特征在于所述步骤(2)中对可疑流量进行流量属性检测的数据集用x表示x＝{x1,x2,...,x
n
}，每个数据对象x
i
＝{x
i1
,x
i2
,...,x
im
}(1≤i≤n)是具有m个属性特征的m维向量；第k个属性特征为f
k
＝{x
1k
,x
2k
,...,x
nk
}，w
k
(1≤k≤m)为第k个特征属性的权重；采用一种基于复杂属性特征的聚类优化异常检测算法，包括如下步骤：(2
‑
1)、数据预处理；在0到1范围内对数据进行归一化；(2
‑
2)、选择聚类中心，生成聚类模型；(2
‑
3)、根据源/目的端口、源/目的ip、服务类型字段、协议类型字段、逻辑输入端口进行属性异常检测；输入到复杂属性特征的聚类优化异常检测算法中，根据数据点在每个聚类中的分布情况，可以将聚类标记为正常或者异常，最终得到检测结果。5.根据权利要求4所述的一种面向工业物联网的异常流量分级检测方法，其特征在于所述步骤(2
‑
2)的具体步骤包括：(2
‑2‑
1)、设置安全系数阈值δ和聚类数量k；(2
‑2‑
2)、计算重要属性特征f
k
的加权值w
k
，并计算数据集x中任意两个数据之间的马氏距离d(x
i
,x
j
)以及每个数据点的安全系数s(x
i
,l)和s(l)，其中l为聚类中心的邻近点数量；,l)和s(l)，其中l为聚类中心的邻近点数量；(2
‑2‑
3)、当s(x
i
,l)≥δ时，将x
i
加入到高安全系数节点的集合u，从数据集u中选取安全系数最高的数据点作为第一个聚类中心u1，从数据集u中选择距离u1最远的数据点，用u2表示，即聚类u2的聚类中心，以此方法继续选择聚类中心，最终得到k个具有高度安全系数的初始聚类中心；(2
‑2‑
4)、数据集x中的每个数据x
i
会被加入到相距最近的聚类中心u
i
所在的聚类u
i
；利用聚类的算数平均值和误差平方和σ的最优值，对聚类中心进行调整，最终当聚类中心不再发生变化时，生成k个聚类u1,u2,...,u
k
。

技术总结
本发明提出一种面向工业物联网的异常流量分级检测方法，包括两次异常检测，第一级检测网络流量的频数异常；首先计算流量频数的差分值，进行平滑处理；然后采用指数加权移动平均模型进行数据拟合，使数据符合统计规律，并且对模型进行了偏差修正，降低初始值产生的误差；最后提出双层阈值区间的方法，将流量分为稳态流量、可疑流量、危险流量三种流量。对于第一级检测中发现的可疑流量进行第二级流量属性检测，采用一种面向复杂数据属性特征的聚类优化异常检测算法，根据流量属性特征的优先级对数据的加权距离和安全系数进行分类，快速选择安全系数较高的数据作为聚类中心，并将围绕该中心的多特征数据匹配成为一个聚类，最终用于属性异常检测。于属性异常检测。于属性异常检测。


技术研发人员：冯永新 张文波 谭小波 李奇亮
受保护的技术使用者：沈阳理工大学
技术研发日：2021.09.08
技术公布日：2021/12/7