工业边端设备网络数据的异常检测方法、装置、电子设备与流程

本技术涉及异常检测，尤其涉及一种工业边端设备网络数据的异常检测方法、装置、电子设备及存储介质。

背景技术：

1、在我国大力推动制造业数字化、智能化转型的大背景下，制造业中各细分行业对工厂数字化、智能化转型的需求与日俱增。而在对制造工厂的数字化、智能化升级过程中，由于边端设备的数量庞大，同时又有大量的与云端服务进行网络交互的需求，因此网络安全问题也日益严峻。因为云端云服务资源建设相对成熟，网络安全产品也非常丰富，并且云服务机房相对封闭很难以物理手段攻破，所以云端网络安全较之边端网络更为成熟稳定，而工业边端网络的建设规模相对较小，工厂环境对边端服务器等设备也相对苛刻，且网络环境非常开放各种物理手段很容易入侵，因此工业边端网络环境的安全建设相对云端来说难度较高。那么，针对这些问题，我们不应仅考虑使用相应的网络安全设备，还应从网络数据传输的软件源头对网络数据包进行更深层次的检测。

2、目前，需要进行网络攻击检测的数据主要有两个方面，一是从感知设备到边缘计算端的数据，这块数据主要会被进行两种方式的攻击即伪造检测数据和ddos攻击，这从根本上影响检测效率，导致产线生产效率下降甚至停产。二是从边缘计算端上传至云端的数据，这块数据除了会被ddos攻击外，还有可能上传木马、病毒等，这将直接导致云端服务宕机、数据丢失等。所以，这两个方面的数据是我们需要监控的重点，如果能有效进行网络攻击识别，可以很大程度上提高生产效率，减轻网络攻击造成的直接影响。

3、目前已有的技术方法主要有以下二种：

4、1)基于聚类的方法

5、基于聚类的异常检测方法通常依赖下列假设，a)正常数据实例属于数据中的一个簇，而异常数据实例不属于任何簇；b)正常数据实例靠近它们最近的簇质心，而异常数据离它们最近的簇质心很远；c)正常数据实例属于大而密集的簇，而异常数据实例要么属于小簇，要么属于稀疏簇；通过将数据归分到不同的簇中，异常数据则是那些属于小簇或者不属于任何一簇或者远离簇中心的数据。而基于聚类的方法的缺点是对于ddos攻击这种数据量大且特征单一的数据特征会单独形成一个新的簇，且所有数据都与簇的质心非常接近，甚至比正常数据簇更接近其质心，无法通过小簇或稀疏簇的特征将其与正常数据簇进行区分，非常容易漏检。另外，对于伪装数据包攻击，如果其伪装数据包数据特征与正常数据非常接近，那么很难通过分析正常簇中的数据的正态分布规律来筛出异常点。

6、2)基于分类的方法

7、代表方法是one class svm，其原理是寻找一个超平面将样本中的正例圈出来，预测就是用这个超平面做决策，在圈内的样本就认为是正样本。由于核函数计算比较耗时，在海量数据的场景用的并不多。由此可知，基于分类的方法的缺点是需要对海量数据进行标注，这个过程非常耗时且容易出错，如果出错数据过多会影响整体检测正确率。另外由于核函数计算比较耗时，在海量数据下检测效率非常的低，很难跟上对一个时间段内的海量网络数据包的检测节拍，导致发现网络攻击延迟，错过最佳解决问题时间，造成损失。

8、需要说明的是，在上述背景技术部分公开的信息仅用于加强对本发明的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现思路

1、本技术提供了一种工业边端设备网络数据的异常检测方法、装置、电子设备及存储介质，以解决相关技术中，无法准确对边端设备的网络数据异常进行检测的问题。

2、第一方面，本技术提供了一种工业边端设备网络数据的异常检测方法，所述工业边端设备网络数据的异常检测方法，包括：获取边端设备在周期时间段内的网络数据交互次数，并确定周期时间段对应的网络安全正常的数据分布模型，所述网络安全正常的数据分布模型是基于泊松分布得到的；根据所述网络安全正常的数据分布模型计算所述网络数据交互次数的正常概率；将所述正常概率与阈值概率进行比较，得到比较结果，所述比较结果用于确定所述边端设的网络数据是否正常。

3、在一些示例中，确定周期时间段对应的网络安全正常的数据分布模型之前，所述方法还包括：获取正常状态下的历史网络交互次数数据，历史网络交互次数数据包括多个周期时间段对应的历史网络数据交互次数；以预设时长为间隔，将每个周期时间段分为多个历史时间段，并计算每个周期时间段内历史时间段的泊松分布，得到每个周期时间段对应的所述网络安全正常的数据分布模型。

4、在一些示例中，根据所述网络安全正常的数据分布模型计算所述网络数据交互次数的正常概率，包括：以所述预设时长为间隔，将周期时间段分为多个时间段，并获取每个时间段内的所述网络数据交互次数；计算周期时间段内每个时间段内的所述网络数据交互次数的均值；将均值带入所述网络安全正常的数据分布模型，得到所述正常概率。

5、在一些示例中，将所述正常概率与阈值概率进行比较，得到比较结果，所述比较结果用于确定所述边端设的网络数据是否正常，包括：当所述比较结果为所述正常概率低于所述阈值概率时，判定在周期时间段内的所述网络数据异常。

6、在一些示例中，将所述正常概率与阈值概率进行比较，得到比较结果之后，所述方法还包括：当所述比较结果为所述边端设备的所述网络数据异常时，输出异常告警信息。

7、第二方面，本技术提供了一种工业边端设备网络数据的异常检测装置，所述工业边端设备网络数据的异常检测装置，包括：获取模块，所述获取模块用于获取边端设备在周期时间段内的网络数据交互次数，并确定周期时间段对应的网络安全正常的数据分布模型，所述网络安全正常的数据分布模型是基于泊松分布得到的；计算模块，所述计算模块用于根据所述网络安全正常的数据分布模型计算所述网络数据交互次数的正常概率；比较模块，所述比较模块将所述正常概率与阈值概率进行比较，得到比较结果，所述比较结果用于确定所述边端设的网络数据是否正常。

8、在一些示例中，所述工业边端设备网络数据的异常检测装置，还包括：模型建立模块；所述模型建立模块用于获取正常状态下的历史网络交互次数数据，历史网络交互次数数据包括多个历史周期时间段对应的历史网络数据交互次数；以预设时长为间隔，将每个历史周期时间段分为多个历史时间段，并计算每个历史周期时间段内历史时间段的泊松分布，得到每个历史周期时间段对应的所述网络安全正常的数据分布模型。

9、在一些示例中，所述计算模块还用于：以所述预设时长为间隔，将周期时间段分为多个时间段，并获取每个时间段内的所述网络数据交互次数；计算周期时间段内每个时间段内的所述网络数据交互次数的均值；将均值带入所述网络安全正常的数据分布模型，得到所述正常概率。

10、第三方面，提供了一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

11、存储器，用于存放计算机程序；

12、处理器，用于执行存储器上所存放的程序时，实现第一方面任一项实施例所述的工业边端设备网络数据的异常检测方法的步骤。

13、第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面任一项实施例所述的工业边端设备网络数据的异常检测方法的步骤。

14、本技术实施例提供的上述技术方案与现有技术相比具有如下优点：

15、本技术实施例提供的工业边端设备网络数据的异常检测方法，包括：获取边端设备在周期时间段内的网络数据交互次数，并确定周期时间段对应的网络安全正常的数据分布模型，所述网络安全正常的数据分布模型是基于泊松分布得到的；根据所述网络安全正常的数据分布模型计算所述网络数据交互次数的正常概率；将所述正常概率与阈值概率进行比较，得到比较结果，所述比较结果用于确定所述边端设的网络数据是否正常，本实施例通过获取周期时间段内的网络数据交互次数，并基于泊松分布得到的网络安全正常的数据分布模型确定该网络数据交互次数的正常概率，基于正常概率与阈值概率来确定网络数据是否正常，由于边端设备检测节拍是固定的，所以数据交互频率相对固定，也即周期时间段内网络数据交互次数应该是相对固定的，因此，基于网络数据交互次数能够准确的确定周期内网络数据是否异常，提升了工业边端设备网络数据的异常检测准确度，进而提升了用户体验。