一种工业网络异常流量检测方法、装置、设备及存储介质

技术领域

本发明涉及工业网络领域，特别涉及一种工业网络异常流量检测方法、装置、设备及存储介质。

背景技术

目前针对工业网络流量的异常检测普遍采用监督学习的方式进行检测，监督学习的方式很大程度上依靠大量的正常工业网络流量的字符特征，以及大量的异常工业网络流量字符特征，由于针对工业网络相关的异常工业网络流量较少，使得在异常工业网络流量不足的情况下，使用利用少量异常工业网络流量数据得到的监督学习模型，对工业网络流量进行异常检测的准确度较低。

发明内容

有鉴于此，本发明的目的在于提供工业网络异常流量检测方法、装置、设备及存储介质，解决了现有技术中对工业网络流量进行异常检测的准确度较低的问题。

为解决上述技术问题，本发明提供了一种工业网络异常流量检测方法，包括：

获取待检测工业网络流量，并利用流量特征提取工具对其进行处理，得到待检测多维统计学特征；

对所述待检测多维统计学特征进行筛选，得到待检测预设维度统计学特征；

利用归一化方法对所述待检测预设维度统计学特征进行处理，得到待检测多维特征向量；

调用工业网络异常流量检测模型，计算所述待检测多维特征向量对应的能量函数值；其中，所述工业网络异常流量检测模型为非监督学习模型；

当所述能量函数值大于预设正常阈值时，确定所述待检测工业网络流量是异常流量。

可选的，在所述调用工业网络异常流量检测模型，计算所述待检测多维特征向量对应的能量函数值之前，还包括：

获取所述待检测工业网络流量对应的连接行为特征和时间特征；对所述连接行为特征进行分类编码，得到所述待检测编码连接行为特征；

采用时刻划分法对所述时间特征进行时刻划分，得到待检测时间周期特征；

相应的，所述调用工业网络异常流量检测模型，计算所述待检测多维特征向量对应的能量函数值，包括：

调用工业网络异常流量检测模型，计算所述待检测多维特征向量、所述待检测时间周期特征和待检测编码连接行为特征组成的混合特征对应的所述能量函数值。

可选的，在所述确定所述待检测工业网络流量是异常流量之后，还包括：

调用行为分析溯源方法，对所述待检测工业网络流量进行攻击溯源，得到所述待检测工业网络流量对应的源IP、目的IP以及对应的协议；其中，所述源IP、所述目的IP以及对应的所述协议属于所述连接行为特征。

可选的，所述工业网络异常流量检测方法，还包括：

获取正常工业网络流量；

利用所述流量特征提取工具提取所述正常工业网络流量对应的正常多维统计学特征，并对其进行筛选，得到所述正常多维统计学特征对应的正常预设维度统计学特征；

利用所述归一化算法对所述正常预设维度统计学特征进行处理，得到正常多维特征向量；

利用所述正常多维特征向量对工业网络异常流量检测基础模型进行训练；

获取异常工业网络流量，并将所述异常工业网络流量作为所述工业网络异常流量检测基础模型的验证集，反馈调节所述工业网络异常流量检测基础模型，得到所述工业网络异常流量检测模型。

可选的，所述利用所述正常多维特征向量对工业网络异常流量检测基础模型进行训练，包括：

利用所述正常多维特征向量对工业网络异常流量检测基础模型进行训练；其中，所述工业网络异常流量检测基础模型为深度自编码高斯混合模型。

可选的，所述调用工业网络异常流量检测模型，计算所述待检测多维特征向量对应的能量函数值，包括：

调用以可扩展标记语言进行存储的所述工业网络异常流量检测模型，计算所述待检测多维特征向量对应的所述能量函数值。

可选的，所述获取待检测工业网络流量，包括：

实时获取所述待检测工业网络流量。

本发明还提供了一种工业网络异常流量检测装置，包括：

统计学特征获取模块，用于获取待检测工业网络流量，并利用流量特征提取工具对其进行处理，得到待检测多维统计学特征；

预设维度统计学特征获取模块，用于对所述待检测多维统计学特征进行筛选，得到待检测预设维度统计学特征；

待检测多维特征向量计算模块，用于利用归一化方法对所述待检测预设维度统计学特征进行处理，得到待检测多维特征向量；

能量函数值计算模块，用于调用工业网络异常流量检测模型，计算所述待检测多维特征向量对应的能量函数值；其中，所述工业网络异常流量检测模型为非监督学习模型；

异常流量确定模块，用于当所述能量函数值大于预设正常阈值时，确定所述待检测工业网络流量是异常流量。

本发明还提供了一种工业网络异常流量检测设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序实现上述的工业网络异常流量检测方法的步骤。

本发明还提供了一种存储介质，用于保存计算机程序，其中，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述的工业网络异常流量检测方法的步骤。

可见，本发明通过获取待检测工业网络流量，并利用流量特征提取工具对其进行处理，得到待检测多维统计学特征；对所述待检测多维统计学特征进行筛选，得到待检测预设维度统计学特征；利用归一化方法对所述待检测预设维度统计学特征进行处理，得到待检测多维特征向量；调用工业网络异常流量检测模型，计算所述待检测多维特征向量对应的能量函数值；其中，所述工业网络异常流量检测模型为非监督学习模型；当所述能量函数值大于预设正常阈值时，确定所述待检测工业网络流量是异常流量。本发明通过获取待检测工业网络流量的统计学特征，进而使用所需较少异常工业网络流量进行训练得到的非监督学习模型中的工业网络异常流量检测模型，计算待检测工业网络流量对应的能量函数值，进而根据能量函数值的大小直接确定待检测工业网络流量是否属于异常流量，和现有技术需要利用待检测工业网络流量对应的字符特征，进而使用需要大量异常工业网络流量进行训练得到的监督学习模型相比，本发明由于无需使用对异常工业网络流量样本量大的监督学习模型，而使用仅需少量异常工业网络流量进行训练的非监督学习模型工业网络异常流量检测模型，使得对异常流量的检测更加准确。

此外，本发明还提供了工业网络异常流量检测装置、设备及存储介质，同样具有上述有益效果。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的一种工业网络异常流量检测方法的流程图；

图2为本发明实施例提供的一种待检测编码连接行为特征的示例图；

图3为本发明实施例提供的一种待检测时间周期特征的示例图；

图4为本发明实施例提供的待检测多维特征向量的示例图；

图5为本发明实施例提供的一种DAGMM框架的示例图；

图6为本发明实施例提供的一种工业网络异常流量检测方法的流程示例图；

图7为本发明实施例提供的一种工业网络异常流量检测装置的结构示意图；

图8为本发明实施例提供的一种工业网络异常流量检测设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参考图1，图1为本发明实施例提供的一种工业网络异常流量检测方法的流程图。该方法可以包括：

S100，获取待检测工业网络流量，并利用流量特征提取工具对其进行处理，得到待检测多维统计学特征。

该实施例并不限定待检测工业网络流量对应的流量产生主体。例如，待检测工业网络流量可以来自电力系统二次配电系统网络，或者待检测工业网络流量可以来自新加坡科技设计大学的工业控制系统的测试台，或者待检测工业网络流量还可以来自发输配电系统。该实施例并不限定采集待检测工业网络流量的具体方式。例如，可以通过过程特征分析软件包(Process Characterization Analysis Package，PCAP)采集待检测工业网络流量，或者可以通过TCPDump(TCPDump可以将网络中传送的数据包完全截获下来提供分析)采集待检测工业网络流量。该实施例并不限定具体的流量特征提取工具。例如，流量特征提取工具可以是CICFlowMeter，或者流量特征提取工具可以是WireShark；或者该流量特征提取工具可以是Tcptrace。该实施例并不限定待检测多维统计学特征的具体维度。例如，待检测多维统计学特征的维度可以是80维，或者待检测多维统计学特征的维度可以是90维。

S101，对待检测多维统计学特征进行筛选，得到待检测预设维度统计学特征。

该实施例考虑到一些统计特征无法进行编码，使得工业异常流量检测模型无法使用该特征，故对待检测多维统计学特征进行筛选，得到待检测预设维度统计学特征。

S102，利用归一化方法对待检测预设维度统计学特征进行处理，得到待检测多维特征向量。

该实施例并不限定具体的归一化方法。例如，归一化方法可以是线性函数归一化(Min-Max scaling)，或者该归一化方法可以是0均值标准化(Z-score standardization)。该实施例可以使用归一化方法对待检测预设维度统计学特征进行处理，得到待检测多维特征向量。

S103，调用工业网络异常流量检测模型，计算待检测多维特征向量对应的能量函数值；其中，工业网络异常流量检测模型为非监督学习模型。

该实施例并不限定具体的工业网络异常流量检测模型的具体模型，只要该检测模型是非监督学习模型即可。例如，该检工业网络异常流量检测模型可以是DAGMM(深度自动编码高斯混合模型)，或者该工业网络异常流量检测模型可以是聚类模型。

S104，当能量函数值大于预设正常阈值时，确定待检测工业网络流量是异常流量。

该实施例中能量函数值大于预设正常阈值时，确定待检测工业网络流量是异常流量。该实施例并不限定确定待检测工业网络流量是异常流量时所执行的动作。例如，当待检测工业网络流量是异常流量，可以发出警报，或者当待检测工业网络流量是异常流量可以发送提示信息。

进一步，为了提高异常工业网络流量检测的准确性，在上述调用工业网络异常流量检测模型，计算待检测多维特征向量对应的能量函数值之前，还可以包括：

获取待检测工业网络流量对应的连接行为特征和时间特征；对连接行为特征进行分类编码，得到待检测编码连接行为特征；

采用时刻划分法对时间特征进行时刻划分，得到待检测时间周期特征；

相应的，调用工业网络异常流量检测模型，计算待检测多维特征向量对应的能量函数值，包括：

调用工业网络异常流量检测模型，计算待检测多维特征向量、待检测时间周期特征和待检测编码连接行为特征组成的混合特征对应的能量函数值。

该实施例加入待检测编码连接行为特征和待检测时间周期特征，与待检测多维特征向量组成混合特征，进而工业网络异常流量检测模型根据该混合特征计算能量函数值。该实施例并不限定对连接行为特征进行分类编码的具体编码方法。例如，对连接行为特征进行分类编码的编码方法可以是one-hot编码(独热编码)，或者TF-IDF(term frequency-inverse document frequency，信息检索编码)。该实施例并不限定对时间特征进行时刻划分的具体时刻划分法。例如，该时刻划分法可以是24小时划分法，或者该时刻划分法可以是12小时划分法。该实施例并不限定连接行为特征对应的具体待检测编码连接行为特征。例如，该待检测编码连接行为特征可以是，连接链路(10001010)、连接端口(1001)和协议(010)，或者该待检测编码连接行为特征可以是，连接链路(11000010)、连接端口(1101)和协议(110)，该待检测编码连接行为特征可以是连接链路(10000010)、连接端口(1001)和协议(010)，如图2所示，图2为对应于连接链路(10000010)、连接端口(1001)和协议(010)的一种待检测编码连接行为特征的示例图。该实施例并不限定待检测时间周期特征的具体特征。例如，该待检测时间周期特征可以是12/24，或者待检测时间周期特征可以是5/24，或者待检测时间周期特征可以是13/24，如图3所示，图3为对应于13/24的一种待检测时间周期特征的示例图。该实施例并不限定具体的待检测多维特征向量。例如，待检测多维特征向量可以是0.001、0.312、0.003、0.01、0.6……，或者该待检测多维特征向量可以是0.011、0.312、0.003、0.02、0.6……，如图4所示，图4为本发明实施例提供的对应于“0.011、0.312、0.003、0.02、0.6……”的待检测多维特征向量的示例图。

进一步，为了对异常工业网络流量进行溯源分析，在所述确定所述待检测工业网络流量是异常流量之后，还可以包括：

调用行为分析溯源方法，对待检测工业网络流量进行攻击溯源，得到待检测工业网络流量对应的源IP、目的IP以及对应的协议；其中，源IP、目的IP以及对应的协议属于连接行为特征。

该实施例通过调用行为分析溯源方法，对待检测工业网络流量进行攻击溯源，得到待检测工业网络流量对应的源IP、目的IP以及对应的协议。

进一步，为了得到可以直接调用的工业网络异常流量检测模型，所述工业网络异常流量检测方法，还可以包括：

获取正常工业网络流量；

利用流量特征提取工具提取正常工业网络流量对应的正常多维统计学特征，并对其进行筛选，得到正常多维统计学特征对应的正常预设维度统计学特征；

利用归一化算法对正常预设维度统计学特征进行处理，得到正常多维特征向量；

利用正常多维特征向量对工业网络异常流量检测基础模型进行训练；

获取异常工业网络流量，并将异常工业网络流量作为工业网络异常流量检测基础模型的验证集，反馈调节工业网络异常流量检测基础模型，得到工业网络异常流量检测模型。

该实施例中的正常工业网络流量是指正常工业状态下的网络流量。该实施例并不限定具体的归一化方法，例如，归一化方法可以是线性函数归一化(Min-Max scaling)，或者该归一化方法可以是0均值标准化(Z-score standardization)。该实施例可以使用归一化方法对待检测预设维度统计学特征进行处理，得到待检测多维特征向量。该实施例使用正常工业网络流量对工业网络异常流量检测基础模型进行训练，使用少量异常工业网络流量为工业网络异常流量检测基础模型的验证集，反馈调节工业网络异常流量检测基础模型，得到工业网络异常流量检测模型。该实施例并不限定异常工业网络流量的具体数量。例如，异常工业网络流量可以为6000个，或者异常工业网络流量可以是20000个，或者该异常工业网络流量还可以是24000个。该实施例中的工业网络异常流量检测基础模型属于非监督模型，所以训练得到的工业网络异常流量检测模型也属于非监督模型。

进一步，为了提高拟合效果，上述利用所述正常多维特征向量对工业网络异常流量检测基础模型进行训练，可以包括：

利用正常多维特征向量对工业网络异常流量检测基础模型进行训练；其中，工业网络异常流量检测基础模型为深度自编码高斯混合模型。

该实施例中使用深度自编码高斯混合模型(DAGMM)作为工业网络流量检测模型。DAGMM是压缩网络和估计网络的组合。模型概览如图5所示。图5为本发明实施例提供的一种DAGMM框架的示例图。压缩网络通过深度自编码器(AutoEncoder，简称AE)对输入样本进行降维，其低维表示是由降维空间和重构误差组成的；后续的估计网络接收这些低维表示，并通过预测它们的似然度/能量来识别异常。通过输入工业网络流量在一段时间之内的多维混合特征向量，生成离线模型；并对待分析的流量样本进行在线预测分析，输出样本的能量函数值，从而判断样本是否属于异常。压缩网络提供的低维表示z包含两个特征来源：(1)输入x的低维表示z

z

其中，encoder(·)表示编码器的方程，θ

其中，decoder(·)表示解码器的方程，θ

其中的低维表示z是x的低维表示z

选择相对欧氏距离和余弦相似度作为度量重构误差特征的指标。

给定输入样本x的低维表示z到估计网络，并在高斯混合模型(Gaussian MixtureModel，简称GMM)的框架下进行密度估计。在没有任何关于GMM混合分量分布φ、混合均值μ和混合协方差∑的先验知识的训练过程中，估计网络估计输入样本x的GMM参数并评估样本x的似然值或能量值。估计网络采用多层神经网络来预测每个样本的混合隶属度。给定一个整数K作为GMM混合分量的数量，以及之前来自压缩网络的低维表示z，估计网络预测隶属度的方式如式(4)所示。

其中，p为多层神经网络(其参数为θ

其中，

利用上述的GMM参数，可以利用式(6)估计样本的能量函数：

其中，|·|为矩阵的行列式。在测试阶段，通过预先选择的阈值百分比来识别待分析样本的高能量E(z)值，从而识别待分析的样本是否存在异常。

进一步，为了提高保存与读取的便捷性，上述调用工业网络异常流量检测模型，计算待检测多维特征向量对应的能量函数值，可以包括：

调用以可扩展标记语言进行存储的工业网络异常流量检测模型，计算待检测多维特征向量对应的能量函数值。

该实施例调用以可扩展标记语言(XML)进行存储的工业网络异常流量检测模型，计算待检测多维特征向量对应的能量函数值。XML格式的离线文件易于保存与读取，可用于实时识别后续未知的工业网络异常操作行为。

进一步，为了实施对工业网络流量进行检测，上述获取待检测工业网络流量，可以包括：

实时获取待检测工业网络流量。

该实施例为了在线实时判断嗲坚持工业网络流量是正常流量，还是异常流量，因此实时获取待检测工业网络流量。

为了使本发明更便于理解，具体请参考图6，图6为本发明实施例提供的一种工业网络异常流量的检测方法的流程示例图，具体可以包括：

本发明实施例离线训练通过预定义的TypeID检索通信源和目的地址，可获得两台设备之间的通信链路，进而实现对细粒度的工业网络行为的跟踪。采集到浙江大学ICS-CPS平台的来自正常运行情况下的大量正常网络流量记录(历史工业网络流量)(533493条)，以及遭受网络攻击或恶意操作指令时的少量异常网络流量记录(少量异常测试样本)(20829条)，异常率为3％。进而使用CICFlowMeter对获取的历史工业网络流量进行处理，得到每个通信链路对应的待检测多维统计学特征，进而使用可以直接使用one-hot编码对历史工业网络流量对应的连接行为特征进行处理，得到历史编码连接行为特征，使用24时刻划分法对历史时间特征进行时刻划分，得到历史时间周期特征，使用min-max对历史工业网络流量的统计学特征进行处理，得到历史多维特征向量，进而得到包括历史编码连接行为特征和历史时间周期特征和历史多维特征向量的混合特征，使用DAGMM对混合特征进行训练，并使用少量异常测试样本作为所述验证集进行反馈，得到工业网络异常流量检测模型。

当需要调用工业网络异常流量检测模型，按照离线训练对历史工业网络流量进行处理的步骤，使用CICFlowMeter工具采集到实时工业网络流量对应的待检测多维统计学特征为80维，进而对该80维度特征进行筛选得到70维的待检测预设维度统计学特征，该70维为：(1)流的一般特征(5个)：整个流的持续时间，即第一个包和最后一个包之间的间隔，前向/后向报文总数，发送/接收的总字节数；(2)与包大小相关的特征(14个)：包大小的最小值、最大值、平均值、标准差和方差，前向/后向数据包大小的最小、最大、平均和标准偏差，后向报文与前向报文的字节比；(3)数据包和字节率(4个)：字节率，计算为总字节数除以持续时间，包率，即包的总数除以持续时间，转发包率，落后包率；(4)数据包到达间隔时间(14个)：最小、最大、数据包到达间隔的平均值和标准差，后向/前向数据包的到达间隔时间的最小、最大、均值和标准差，后向/前向的所有到达间隔时间的总和；(5)与包头相关的特征(14个)：前向/后向报文中TCP含有PSH/URG标志位的数量，以及PSH/URG标志位的数量，TCP报文中分别含有FIN/SYN/RST/ACK/CWR标志位的数据包总数，ECE数据包的数量；(6)与数据包有效载荷相关的特征(11个)：所有流数据包的平均有效载荷大小，前向/后向报文平均有效载荷大小，几乎连续的前向/后向数据包中的突发流量的平均数据包数和平均字节数，前向/后向数据包的初始突发流量的字节数，带有有效载荷的后向数据包的数量，后向数据包的最小有效载荷大小；(7)流量的状态特征(8个)：活动时间和空闲时间的最小值、最大值、平均值和标准差。并计算连接行为特征对应的待检测编码连接行为特征，以及时间特征对应的待检测时间周期特征，从而得到包括70维统计特征的待检测多维特征向量、待检测编码连接行为特征和待检测时间周期特征对应的实时工业网络流量的混合特征，从而直接调用以可扩展标记语言进行存储的工业网络异常流量检测模型(DAGMM)，计算该实时工业网络流量(混合特征)对应的能量函数值，计算得到该能量函数值为达到99.3％，能量函数值远远超过97％(预设正常阈值)，因此判断其为实时工业网络流量为异常流量。

此外，当是异常流量时，对该异常流量进行行为分析，进行行为分析的具体步骤如下：根据异常检测分析的结果，反推异常流量所对应的源IP、目的IP以及对应协议。前述得到异常流量对应的向量集合为

此时的src_ip_num为异常流量所对应的源IP的下标。同理，dst_ip的顺序列表不变时，定义src_ip列表的条目总数为src_ip_totoal，当

此时的dst_ip_num为异常流量所对应目的IP的下标。

另外，是否采用常用源端口、目的端口，也可以通过“one-hot”编码进行进一步确立。同理，定义dst_ip列表的条目总数为dst_ip_totoal，其所对应源IP的端口号是否为常见端口号的算法为：

其中1代表是常见的端口号，其端口号列表可查看通用的工业网络协议端口列表。同理，判断其对应目的IP的端口号是否为常见端口号的算法为：

其中1代表是常见的端口号，其端口号列表可查看通用的工业网络协议端口列表。采用的通信传输协议，可以根据流量数据反馈的特征码来对应具体的协议类型。根据多维特征向量，其异常流量所对应的传输协议也可以通过该方法进行更细粒度的追溯，定义采用的协议编号为protocol_num，具体而言：

其中protocol_num为工业网络的异常行为所对应的具体协议。综上所述，可以得到关于异常的五元组特征为：

。该实施例异常流量所对应的其中一个异常行为五元组为<9,3,0,0,2>，<9,3,0,0,2>表示该异常事件所对应的源IP位于src_ip列表的第9位，目的IP位于dst_ip列表的第3位，没有采用常用的源端口以及目的端口，采用TCP协议。

应用本发明实施例提供的工业网络异常流量检测方法，包括获取待检测工业网络流量，并利用流量特征提取工具对其进行处理，得到待检测多维统计学特征；对待检测多维统计学特征进行筛选，得到待检测预设维度统计学特征；利用归一化方法对待检测预设维度统计学特征进行处理，得到待检测多维特征向量；调用工业网络异常流量检测模型，计算待检测多维特征向量对应的能量函数值；其中，工业网络异常流量检测模型为非监督学习模型；当能量函数值大于预设正常阈值时，确定待检测工业网络流量是异常流量。本发明通过获取待检测工业网络流量的统计学特征，进而使用所需较少异常工业网络流量进行训练得到的非监督学习模型中的工业网络异常流量检测模型，计算待检测工业网络流量对应的能量函数值，进而根据能量函数值的大小直接确定待检测工业网络流量是否属于异常流量，和现有技术需要利用待检测工业网络流量对应的字符特征，进而使用需要大量异常工业网络流量进行训练得到的监督学习模型相比，本发明由于无需使用对异常工业网络流量样本量大的监督学习模型，而使用仅需少量异常工业网络流量进行训练的非监督学习模型工业网络异常流量检测模型，使得对异常流量的检测更加准确。并且，本发明实施例通过分类编码对待检测工业网络流量对应的连接行为特征进行编码，得到待检测工业网络流量对应的连接行为特征，通过时刻划分对待检测工业网络流量对应的时间特征进行处理，得到待检测时间周期特征，从而与待检测多维特征向量组成混合特征，从而计算该混合特征对应的能量函数值，使得当确定该待检测工业网络流量是异常流量时进行溯源分析；并且，调用行为分析溯源方法，对待检测工业网络流量进行攻击溯源，得到待检测工业网络流量对应的源IP、目的IP以及对应的协议，使得对异常流量进行溯源分析；并且，通过使用正常工业网络流量进行模型训练，采用少量的异常工业网络流量，并将异常工业网络流量作为工业网络异常流量检测基础模型的验证集，反馈调节工业网络异常流量检测基础模型，得到工业网络异常流量检测模型，使得使用少量异常工业网络流量就可以得到所需的工业网络异常流量检测模型；并且，将深度自编码高斯混合模型作为工业网络异常流量检测基础模型，使得检测的准确度更高；并且，调用以可扩展标记语言(XML)进行存储的工业网络异常流量检测模型，计算待检测多维特征向量对应的能量函数值。XML格式的离线文件易于保存与读取，使得可以实时识别后续未知的工业网络异常操作行为。

下面对本发明实施例提供的工业网络异常流量检测装置进行介绍，下文描述的工业网络异常流量检测装置与上文描述的工业网络异常流量检测方法可相互对应参照。

具体请参考图7，图7为本发明实施例提供的一种工业网络异常流量检测装置的结构示意图，可以包括：

统计学特征获取模块100，用于获取待检测工业网络流量，并利用流量特征提取工具对其进行处理，得到待检测多维统计学特征；

预设维度统计学特征获取模块200，用于对所述待检测多维统计学特征进行筛选，得到待检测预设维度统计学特征；

待检测多维特征向量计算模块300，用于利用归一化方法对所述待检测预设维度统计学特征进行处理，得到待检测多维特征向量；

能量函数值计算模块400，用于调用工业网络异常流量检测模型，计算所述待检测多维特征向量对应的能量函数值；其中，所述工业网络异常流量检测模型为非监督学习模型；

异常流量确定模块500，用于当所述能量函数值大于预设正常阈值时，确定所述待检测工业网络流量是异常流量。

进一步，基于上述实施例，在所述能量函数值计算模块400之前，还可以包括：

待检测编码连接行为特征计算模块，用于获取所述待检测工业网络流量对应的连接行为特征和时间特征；对所述连接行为特征进行分类编码，得到待检测编码连接行为特征；

待检测时间周期特征计算模块，用于采用时刻划分法对所述时间特征进行时刻划分，得到待检测时间周期特征；

相应的，所述能量函数值计算模块400，包括：

能量函数值计算单元，用于调用工业网络异常流量检测模型，计算所述待检测多维特征向量、所述待检测时间周期特征和所述待检测编码连接行为特征组成的混合特征对应的所述能量函数值。

进一步，基于上述实施例，在所述异常流量确定模块500之后，还可以包括：

溯源分析模块，用于调用行为分析溯源方法，对所述待检测工业网络流量进行攻击溯源，得到所述待检测工业网络流量对应的源IP、目的IP以及对应的协议；其中，所述源IP、所述目的IP以及对应的所述协议属于所述连接行为特征。

进一步，基于上述任意实施例，所述工业网络异常流量检测方法，还可以包括：

正常工业网络流量获取模块，用于获取正常工业网络流量；

正常预设维度统计学特征计算模块，用于利用所述流量特征提取工具提取所述正常工业网络流量对应的正常多维统计学特征，并对其进行筛选，得到所述正常多维统计学特征对应的正常预设维度统计学特征；

正常多维特征向量计算模块，用于利用所述归一化算法对所述正常预设维度统计学特征进行处理，得到正常多维特征向量；

模型训练模块。用于利用所述正常多维特征向量对工业网络异常流量检测基础模型进行训练；

模型反馈调节模块，用于获取异常工业网络流量，并将所述异常工业网络流量作为所述工业网络异常流量检测基础模型的验证集，反馈调节所述工业网络异常流量检测基础模型，得到所述工业网络异常流量检测模型。

进一步，基于上述实施例，所述正常预设维度统计学特征计算模块，可以包括：

工业网络异常流量检测基础模型训练单元，用于利用所述正常多维特征向量对工业网络异常流量检测基础模型进行训练；其中，所述工业网络异常流量检测基础模型为深度自编码高斯混合模型。

进一步，基于上述任意实施例，所述能量函数值计算模块400，可以包括：

离线工业网络异常流量检测模型调用单元，用于调用以可扩展标记语言进行存储的所述工业网络异常流量检测模型，计算所述待检测多维特征向量对应的所述能量函数值。

需要说明的是，上述工业网络异常流量检测装置中的模块以及单元在不影响逻辑的情况下，其顺序可以前后进行更改。

本发明实施例提供的工业网络异常流量检测装置，包括统计学特征获取模块100，用于获取待检测工业网络流量，并利用流量特征提取工具对其进行处理，得到待检测多维统计学特征；预设维度统计学特征获取模块200，用于对所述待检测多维统计学特征进行筛选，得到待检测预设维度统计学特征；待检测多维特征向量计算模块300，用于利用归一化方法对所述待检测预设维度统计学特征进行处理，得到待检测多维特征向量；能量函数值计算模块400，用于调用工业网络异常流量检测模型，计算所述待检测多维特征向量对应的能量函数值；其中，所述工业网络异常流量检测模型为非监督学习模型；异常流量确定模块500，用于当所述能量函数值大于预设正常阈值时，确定所述待检测工业网络流量是异常流量。并且，本发明实施例通过分类编码对待检测工业网络流量对应的连接行为特征进行编码，得到待检测工业网络流量对应的连接行为特征，通过时刻划分对待检测工业网络流量对应的时间特征进行处理，得到待检测时间周期特征，从而与待检测多维特征向量组成混合特征，从而计算该混合特征对应的能量函数值，使得当确定该待检测工业网络流量是异常流量时进行溯源分析；并且，调用行为分析溯源方法，对待检测工业网络流量进行攻击溯源，得到待检测工业网络流量对应的源IP、目的IP以及对应的协议，使得对异常流量进行溯源分析；并且，通过使用正常工业网络流量进行模型训练，采用少量的异常工业网络流量，并将异常工业网络流量作为工业网络异常流量检测基础模型的验证集，反馈调节工业网络异常流量检测基础模型，得到工业网络异常流量检测模型，使得使用少量异常工业网络流量就可以得到所需的工业网络异常流量检测模型；并且，将深度自编码高斯混合模型作为工业网络异常流量检测基础模型，使得检测的准确度更高；并且，调用以可扩展标记语言(XML)进行存储的工业网络异常流量检测模型，计算待检测多维特征向量对应的能量函数值。XML格式的离线文件易于保存与读取，使得可以实时识别后续未知的工业网络异常操作行为。

下面对本发明实施例提供的工业网络异常流量检测设备进行介绍，下文描述的工业网络异常流量检测设备与上文描述的工业网络异常流量检测方法可相互对应参照。

请参考图8，图8为本发明实施例提供的一种工业网络异常流量检测设备的结构示意图，可以包括：

存储器10，用于存储计算机程序；

处理器20，用于执行计算机程序，以实现上述的工业网络异常流量检测方法的步骤。

存储器10、处理器20、通信接口31均通过通信总线32完成相互间的通信。

在本发明实施例中，存储器10中用于存放一个或者一个以上程序，程序可以包括程序代码，程序代码包括计算机操作指令，在本申请实施例中，存储器10中可以存储有用于实现以下功能的程序：

获取待检测工业网络流量，并利用流量特征提取工具对其进行处理，得到待检测多维统计学特征；

对待检测多维统计学特征进行筛选，得到待检测预设维度统计学特征；

利用归一化方法对待检测预设维度统计学特征进行处理，得到待检测多维特征向量；

调用工业网络异常流量检测模型，计算待检测多维特征向量对应的能量函数值；其中，工业网络异常流量检测模型为非监督学习模型；

当能量函数值大于预设正常阈值时，确定待检测工业网络流量是异常流量。

在一种可能的实现方式中，存储器10可包括存储程序区和存储数据区，其中，存储程序区可存储操作系统，以及至少一个功能所需的应用程序等；存储数据区可存储使用过程中所创建的数据。

此外，存储器10可以包括只读存储器和随机存取存储器，并向处理器提供指令和数据。存储器的一部分还可以包括NVRAM。存储器存储有操作系统和操作指令、可执行模块或者数据结构，或者它们的子集，或者它们的扩展集，其中，操作指令可包括各种操作指令，用于实现各种操作。操作系统可以包括各种系统程序，用于实现各种基础任务以及处理基于硬件的任务。

处理器20可以为中央处理器(Central Processing Unit，CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件，处理器20可以是微处理器或者也可以是任何常规的处理器等。处理器20可以调用存储器10中存储的程序。

通信接口31可以为通信模块的接口，用于与其他设备或者系统连接。

当然，需要说明的是，图8所示的结构并不构成对本申请实施例中工业网络异常流量检测设备的限定，在实际应用中工业网络异常流量检测设备可以包括比图8所示的更多或更少的部件，或者组合某些部件。

下面对本发明实施例提供的存储介质进行介绍，下文描述的存储介质与上文描述的工业网络异常流量检测方法可相互对应参照。

本发明还提供一种存储介质，存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述的工业网络异常流量检测方法的步骤。

该存储介质可以包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的存储介质。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应该认为超出本发明的范围。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系属于仅仅用来将一个实体或者操作与另一个实体或者操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其他任何变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

以上对本发明所提供的工业网络异常流量检测方法、装置、设备和存储介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。