一种工业网络异常流量检测方法、装置、设备及存储介质与流程

技术特征：
1.一种工业网络异常流量检测方法，其特征在于，包括：获取待检测工业网络流量，并利用流量特征提取工具对其进行处理，得到待检测多维统计学特征；对所述待检测多维统计学特征进行筛选，得到待检测预设维度统计学特征；利用归一化方法对所述待检测预设维度统计学特征进行处理，得到待检测多维特征向量；调用工业网络异常流量检测模型，计算所述待检测多维特征向量对应的能量函数值；其中，所述工业网络异常流量检测模型为非监督学习模型；当所述能量函数值大于预设正常阈值时，确定所述待检测工业网络流量是异常流量。2.根据权利要求1所述的工业网络异常流量检测方法，其特征在于，在所述调用工业网络异常流量检测模型，计算所述待检测多维特征向量对应的能量函数值之前，还包括：获取所述待检测工业网络流量对应的连接行为特征和时间特征；对所述连接行为特征进行分类编码，得到待检测编码连接行为特征；采用时刻划分法对所述时间特征进行时刻划分，得到待检测时间周期特征；相应的，所述调用工业网络异常流量检测模型，计算所述待检测多维特征向量对应的能量函数值，包括：调用工业网络异常流量检测模型，计算所述待检测多维特征向量、所述待检测时间周期特征和所述待检测编码连接行为特征组成的混合特征对应的所述能量函数值。3.根据权利要求2所述的工业网络异常流量检测方法，其特征在于，在所述确定所述待检测工业网络流量是异常流量之后，还包括：调用行为分析溯源方法，对所述待检测工业网络流量进行攻击溯源，得到所述待检测工业网络流量对应的源ip、目的ip以及对应的协议；其中，所述源ip、所述目的ip以及对应的所述协议属于所述连接行为特征。4.根据权利要求1至3任一项所述的工业网络异常流量检测方法，其特征在于，还包括：获取正常工业网络流量；利用所述流量特征提取工具提取所述正常工业网络流量对应的正常多维统计学特征，并对其进行筛选，得到所述正常多维统计学特征对应的正常预设维度统计学特征；利用所述归一化算法对所述正常预设维度统计学特征进行处理，得到正常多维特征向量；利用所述正常多维特征向量对工业网络异常流量检测基础模型进行训练；获取异常工业网络流量，并将所述异常工业网络流量作为所述工业网络异常流量检测基础模型的验证集，反馈调节所述工业网络异常流量检测基础模型，得到所述工业网络异常流量检测模型。5.根据权利要求4所述的工业网络异常流量检测方法，其特征在于，所述利用所述正常多维特征向量对工业网络异常流量检测基础模型进行训练，包括：利用所述正常多维特征向量对工业网络异常流量检测基础模型进行训练；其中，所述工业网络异常流量检测基础模型为深度自编码高斯混合模型。6.根据权利要求1所述的工业网络异常流量检测方法，其特征在于，所述调用工业网络异常流量检测模型，计算所述待检测多维特征向量对应的能量函数值，包括：
调用以可扩展标记语言进行存储的所述工业网络异常流量检测模型，计算所述待检测多维特征向量对应的所述能量函数值。7.根据权利要求1所述的工业网络异常流量检测方法，其特征在于，所述获取待检测工业网络流量，包括：实时获取所述待检测工业网络流量。8.一种工业网络异常流量检测装置，其特征在于，包括：统计学特征获取模块，用于获取待检测工业网络流量，并利用流量特征提取工具对其进行处理，得到待检测多维统计学特征；预设维度统计学特征获取模块，用于对所述待检测多维统计学特征进行筛选，得到待检测预设维度统计学特征；待检测多维特征向量计算模块，用于利用归一化方法对所述待检测预设维度统计学特征进行处理，得到待检测多维特征向量；能量函数值计算模块，用于调用工业网络异常流量检测模型，计算所述待检测多维特征向量对应的能量函数值；其中，所述工业网络异常流量检测模型为非监督学习模型；异常流量确定模块，用于当所述能量函数值大于预设正常阈值时，确定所述待检测工业网络流量是异常流量。9.一种工业网络异常流量检测设备，其特征在于，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述的工业网络异常流量检测方法的步骤。10.一种存储介质，其特征在于，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的工业网络异常流量检测方法的步骤。

技术总结
本发明公开了一种工业网络异常流量检测方法、装置、设备及存储介质，应用于工业网络领域，包括：获取并处理待检测工业网络流量，得到待检测多维统计学特征；对待检测多维统计学特征进行筛选，得到待检测预设维度统计学特征；利用归一化方法对待检测预设维度统计学特征进行处理，得到待检测多维特征向量；调用工业网络异常流量检测模型，计算能量函数值；工业网络异常流量检测模型为非监督学习模型；当能量函数值大于预设正常阈值时，确定待检测工业网络流量是异常流量。本发明由于可以使用无需太多异常工业网络流量，及属于非监督模型的工业网络异常流量检测模型对工业网络异常流量进行检测，使得对待检测工业网络流量进行异常检测的准确度更高。检测的准确度更高。检测的准确度更高。


技术研发人员：郝唯杰 刘博 刘书航 王文海
受保护的技术使用者：杭州安恒信息技术股份有限公司
技术研发日：2022.10.21
技术公布日：2023/1/31