異常流量檢測的方法和裝置與流程
2023-05-28 11:14:31 1
本公開涉及網絡安全領域,尤其涉及異常流量檢測的方法和裝置。
背景技術:
隨著信息技術的發展,工業控制系統逐步走向開放,互聯,通用。很多工業控制協議逐漸運行於工業乙太網上,針對工業控制系統的攻擊也更加普遍。網絡中異常流量檢測技術包括白名單。
基於白名單方法的異常流量檢測,通過協議深度解析方法實現。這種檢測方法原理是首先針對協議報文進行學習,在學習階段監測協議報文,根據協議標準規範生成一套白名單作為行為標準。在檢測階段,根據監測到的協議報文的協議格式對網絡流量進行深度解析,並將解析結果與白名單進行比對,如果不命中白名單則認為是異常流量。
白名單方法依賴於協議標準規範,對於公開的協議比較有效,但對於私有協議以及專用協議,則無法實現異常檢測。
技術實現要素:
本公開提供異常流量檢測的方法和裝置,以解決上述技術問題,至少部分地解決上述技術問題。
根據本公開實施例的第一方面,提供一種異常流量檢測的方法,所述方法包括:對設備中流量帶寬進行多次採樣,獲得多個流量帶寬採樣值;根據所獲得的流量帶寬採樣值確定設備的流量帶寬的可信區間;對所述設備的流量帶寬進行檢測,判斷檢測到的流量帶寬是否位於所述可信區間內;當所檢測到的流量帶寬位於所述可信區間外時,將所述設備的流量識別為異常。
可選的,所述根據所獲得的流量帶寬採樣值確定設備的流量帶寬的可信區間包括:計算多個流量採樣值的標準差和均值中至少一者以及最大值和最小值;根據所計算的標準差和均值中至少一者以及最大值和最小值確定可信區間的上限值和下限值。
可選的,所述根據所計算的標準差和均值中至少一者以及最大值和最小值確定可信區間的上限值和下限值包括:確定可信區間的上限值為最大值加上標準差的2倍;判斷最小值是否大於2倍的標準差;當最小值大於2倍的標準差時,可信區間的下限值為最小值減去標準差的2倍;當最小值沒有大於2倍的標準差時,可信區間的下限值為0。
可選的,所述根據所計算的標準差和均值中至少一者以及最大值和最小值確定可信區間的上限值和下限值包括:確定可信區間的上限值為最大值加上1/2的均值;判斷最小值是否大於1/2的均值;當最小值大於1/2的均值時,可信區間的下限值為最小值減去1/2的均值;當最小值沒有大於1/2的均值時,可信區間的下限值為0。
可選的,所述方法還包括:當所檢測到的流量帶寬位於所述可信區間內時,將所述設備的流量識別為正常。
根據本公開實施例的第二方面,提供一種異常流量檢測的裝置,所述裝置包括:採樣模塊,用於對設備中流量帶寬進行多次採樣,獲得多個流量帶寬採樣值;確定模塊,用於根據所獲得的流量帶寬採樣值確定設備的流量帶寬的可信區間;判斷模塊,用於對所述設備的流量帶寬進行檢測,判斷檢測到的流量帶寬是否位於所述可信區間內;識別模塊,用於當所檢測到的流量帶寬位於所述可信區間外時,將所述設備的流量識別為異常。
可選的,所述確定模塊用於計算多個流量採樣值的標準差和均值中至少一者以及最大值和最小值;根據所計算的標準差和均值中至少一者以及最大值和最小值確定可信區間的上限值和下限值。
可選的,所述確定模塊用於確定可信區間的上限值為最大值加上標準差的2倍;判斷最小值是否大於2倍的標準差;當最小值大於2倍的標準差時,可信區間的下限值為最小值減去標準差的2倍;當最小值沒有大於2倍的標準差時,可信區間的下限值為0。
可選的,所述確定模塊用於確定可信區間的上限值為最大值加上1/2的均值;判斷最小值是否大於1/2的均值;當最小值大於1/2的均值時,可信區間的下限值為最小值減去1/2的均值;當最小值沒有大於1/2的均值時,可信區間的下限值為0。
可選的,所述識別模塊還用於當所檢測到的流量帶寬位於所述可信區間內時,將所述設備的流量識別為正常。
本公開的實施例提供的技術方案可以包括以下有益效果:對設備中流量帶寬進行多次採樣,根據流量帶寬採樣值確定流量帶寬的可信區間,當所檢測到的流量帶寬位於可信區間外時,將設備的流量識別為異常;如此,能夠不受協議標準規範是否公開的限制,對於使用私有協議以及專用協議的流量也可進行檢測。
應當理解的是,以上的一般描述和後文的細節描述僅是示例性和解釋性的,並不能限制本公開。
附圖說明
此處的附圖被併入說明書中並構成本說明書的一部分,示出了符合本發明的實施例,並與說明書一起用於解釋本發明的原理。
圖1是根據一示例性實施例示出的一種異常流量檢測的方法的流程圖。
圖2是根據一示例性實施例示出的計算可信區間的方法的流程圖。
圖3是根據一示例性實施例示出的計算可信區間的上限值和下限值的方法的流程圖。
圖4是根據一示例性實施例示出的計算可信區間的上限值和下限值的方法的流程圖。
圖5是根據一示例性實施例示出的一種異常流量檢測的裝置的結構框圖。
具體實施方式
這裡將詳細地對示例性實施例進行說明,其示例表示在附圖中。下面的描述涉及附圖時,除非另有表示,不同附圖中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式並不代表與本發明相一致的所有實施方式。相反,它們僅是與如所附權利要求書中所詳述的、本發明的一些方面相一致的裝置和方法的例子。
圖1是根據一示例性實施例示出的一種異常流量檢測的方法的流程圖,如圖1所示,該方法包括以下步驟。
在步驟s110中,對設備中流量帶寬進行多次採樣,獲得多個流量帶寬採樣值。
舉例而言,利用網絡中部署的探針設備採集網絡流量,在學習階段,周期性地對網絡中的各臺設備的流量帶寬進行採樣。經過一段時間的採樣,形成各個設備流量帶寬採樣樣本。
例如,對m臺設備進行流量帶寬採樣,並且每臺設備的流量帶寬採樣點為n個,則可以獲得如下表1所示的採樣樣本數據。bm,n表示設備m的流量帶寬採樣樣本中的第n個採樣點。
表1
在步驟s120中,根據所獲得的流量帶寬採樣值確定設備的流量帶寬的可信區間。
舉例而言,將流量帶寬採樣值對針對的流量都設定為正常流量,對於流量帶寬採樣值進行統計計算,進而獲得流量帶寬的可信區間。
在步驟s130中,對設備的流量帶寬進行檢測,判斷檢測到的流量帶寬是否位於可信區間內。
舉例而言,對設備進行檢測後可獲得設備的流量帶寬,如果檢測到的流量帶寬大於或等於可信區間的下限值並且流量帶寬小於或等於可信區間的上限值,則確定檢測到的流量帶寬位於可信區間內。
在步驟s140中,當所檢測到的流量帶寬位於可信區間外時,將設備的流量識別為異常。
舉例而言,正常情況下,工控網絡中的設備流量帶寬是穩定並且有規律的。在檢測階段,正常的流量帶寬落入可信區間的外部是小概率事件,或者是不可能事件,由此來判斷設備的流量帶寬是否異常。
進一步地,所述方法還可包括:當所檢測到的流量帶寬位於所述可信區間內時,將所述設備的流量識別為正常。
採用本實施例中,技術方案能夠不受協議標準規範是否公開的限制,對於使用私有協議以及專用協議的流量也可進行檢測。
在一實施例中,如圖2所示,根據所獲得的流量帶寬採樣值確定設備的流量帶寬的可信區間可包括如下步驟。
在步驟s202中,計算多個流量採樣值的標準差和均值中至少一者以及最大值和最小值。
舉例而言,針對設備m,可按如下方法計算多個流量採樣值的標準差、均值、最大值和最小值。
採樣最大值計算方法:
bmax=max{bm,1,bm,2,......,bm,n-1,bm,n}
其中,bmax為最大值,bm,1……bm,n為設備m的n個流量採樣值。
採樣最小值計算方法:
bmin=min{bm,1,bm,2,......,bm,n-1,bm,n}
其中,bmin為最小值,bm,1……bm,n為設備m的n個流量採樣值。
樣本均值計算方法:
其中,為均值,bm,1……bm,n為設備m的n個流量採樣值。
樣本標準差計算方法:
其中,為標準差,bm,1……bm,n為設備m的n個流量採樣值。
在步驟s204中,根據所計算的標準差和均值中至少一者以及最大值和最小值確定可信區間的上限值和下限值。
例如,如圖3所示,根據所計算的標準差和均值中至少一者以及最大值和最小值確定可信區間的上限值和下限值可包括如下步驟。
在步驟s302中,確定可信區間的上限值為最大值加上標準差的2倍。
在步驟s304中,判斷最小值是否大於2倍的標準差,如果是,執行步驟s306,否則,執行步驟s308。
在步驟s306中,當最小值大於2倍的標準差時,可信區間的下限值為最小值減去標準差的2倍。
在步驟s308中,當最小值沒有大於2倍的標準差時,可信區間的下限值為0。
舉例而言,可按如下方法計算可信區間。
可信區間上限計算方法為:
可信區間下限計算方法為:
如果
如果
可信區間為可信區間下限到可信區間上限的閉區間
[可信區間]=[b下限,b上限]
又例如,如圖4所示,根據所計算的標準差和均值中至少一者以及最大值和最小值確定可信區間的上限值和下限值可包括如下步驟。
在步驟s402中,確定可信區間的上限值為最大值加上1/2的均值。
在步驟s404中,判斷最小值是否大於1/2的均值,如果是,執行步驟s406,否則,執行步驟s408。
在步驟s406中,當最小值大於1/2的均值時,可信區間的下限值為最小值減去1/2的均值。
在步驟s408中,當最小值沒有大於1/2的均值時,可信區間的下限值為0。
舉例而言,可信區間的計算還有其它方法。
如果
如果b下限=0
[可信區間]=[b下限,b上限]
通過上述技術方案,可以按統計學確定可信區間,使得可信區間更加合理,進而增加了流量異常判斷的準確性。
圖5是根據一示例性實施例示出的一種異常流量檢測的裝置的結構框圖。參照圖5,該裝置包括採樣模塊151,確定模塊152、判斷模塊153和識別模塊154。
該採樣模塊151被配置為對設備中流量帶寬進行多次採樣,獲得多個流量帶寬採樣值;
該確定模塊152被配置為根據所獲得的流量帶寬採樣值確定設備的流量帶寬的可信區間;
該判斷模塊153被配置為對設備的流量帶寬進行檢測,判斷檢測到的流量帶寬是否位於可信區間內。
該識別模塊154被配置為當所檢測到的流量帶寬位於可信區間外時,將設備的流量識別為異常。
採用本實施例中,技術方案能夠不受協議標準規範是否公開的限制,對於使用私有協議以及專用協議的流量也可進行檢測。
在一實施例中,該確定模塊152被配置為計算多個流量採樣值的標準差和均值中至少一者以及最大值和最小值;根據所計算的標準差和均值中至少一者以及最大值和最小值確定可信區間的上限值和下限值。
進一步地,該確定模塊152被配置為確定可信區間的上限值為最大值加上標準差的2倍;判斷最小值是否大於2倍的標準差;當最小值大於2倍的標準差時,可信區間的下限值為最小值減去標準差的2倍;當最小值沒有大於2倍的標準差時,可信區間的下限值為0。
進一步地,該確定模塊152被配置為確定可信區間的上限值為最大值加上1/2的均值;判斷最小值是否大於1/2的均值;當最小值大於1/2的均值時,可信區間的下限值為最小值減去1/2的均值;當最小值沒有大於1/2的均值時,可信區間的下限值為0。
在一實施例中,該識別模塊154還被配置為當所檢測到的流量帶寬位於所述可信區間內時,將所述設備的流量識別為正常。
通過上述技術方案,可以按統計學確定可信區間,使得可信區間更加合理,進而增加了流量異常判斷的準確性。
上述裝置與前述方法相對應,具體實施方式可參見方法中詳細描述,在此不再贅述。
關於上述實施例中的裝置,其中各個模塊執行操作的具體方式已經在有關該方法的實施例中進行了詳細描述,此處將不做詳細闡述說明。
本領域技術人員在考慮說明書及實踐這裡公開的發明後,將容易想到本發明的其它實施方案。本申請旨在涵蓋本發明的任何變型、用途或者適應性變化,這些變型、用途或者適應性變化遵循本發明的一般性原理並包括本公開未公開的本技術領域中的公知常識或慣用技術手段。說明書和實施例僅被視為示例性的,本發明的真正範圍和精神由下面的權利要求指出。
應當理解的是,本發明並不局限於上面已經描述並在附圖中示出的精確結構,並且可以在不脫離其範圍進行各種修改和改變。本發明的範圍僅由所附的權利要求來限制。