ARMA流量预测模型的构建方法及系统、工控网络总线异常流量监测方法及系统与流程

本发明涉及网络安全维护中的异常网络流量监测。

背景技术：

1、近年来，重大网络安全事件频。

2、随着“工业3.0”的逐渐普及，即将迈进“工业4.0的大门”，工业4.0是网络信息的时代，也预示着我们要更加重视工控网络信息安全。

3、目前应用比较广泛的工控网络异常流量检测方法有：特征模型分析方法，聚类分析方法，神经网络方法与统计分析方法。以上四种检测方法各不相同，但又各有利弊其中，基于工控网络控制逻辑和回路特点提出的特征模型分析方法主要用于检测关键数据模块和网络节点是否存在异常。该方法具有较高的特征检测准确率，主要用于检测特定攻击造成的数据异常，但是通用性不佳，只能用于检测关键数据模块和网络节点。聚类分析方法是目前较为流行的攻击检测方法，通过pca等降低度数据量或优化算法复杂度等方法可以降低检测延迟，但是需要大量的数据进行流量特征提取分析，还需要离线事后检测。基于神经网络技术的异常流量分析方法需要对神经网络进行训练，训练过程计算量极大，但仅能感知攻击行为，对攻击细节、攻击特征无法感知和记录。

技术实现思路

1、本发明解决现有工控网络异常流量监测方法的通用性不强，需要大量的数据进行流量特征提取分析，且仅能感知攻击行为，对攻击细节和攻击特征无法感知和记录的问题。

2、为实现上述目的，本发明提供了如下方案：

3、本发明提供一种arma流量预测模型的构建方法，所述构建方法为：

4、s1、采集网络总线上的流量数据，并进行储存，获得数据库；

5、s2、对所述数据库中的流量数据进行白噪声检验，获得关系数据库；

6、s3、对所述关系数据库中的流量数据进行持续性平稳性检验，直至获得平稳性数据库；

7、s4、对所述平稳性数据库中的流量数据进行定阶，获得模型定阶数和估计模型参数；

8、s5、根据所述模型定阶数和估计模型参数，获得初始arma流量预测模型；

9、s6、对所述初始arma流量预测模型进行持续性检验，直至获得arma流量预测模型。

10、进一步，还有一种优选实施例，上述步骤s1具体为：

11、s11、将工控网络的现场网络拓扑图进行部署，获得安全网关；

12、s12、将所述安全网关连接通讯总线，并提取通讯总线的数据，获得流量数据；

13、s13、在所述安全网关中安转插件解析代码，获得解析安全网关；

14、s14、采用所述解析安全网关对所述流量数据进行解析，并将解析之后的流量数据进行储存，获得数据库。

15、进一步，还有一种优选实施例，上述步骤s3具体为：

16、s31、确定所述数据库中流量数据的显著水平、平稳系数和统计量值；

17、s32、根据所述显著水平、平稳系数和统计量值，对所述流量数据进行平稳性分析，获得平稳性数据库。

18、进一步，还有一种优选实施例，上述步骤s4中对所述平稳性数据库中的流量数据进行定阶的方法为bic信息准则定阶法。

19、进一步，还有一种优选实施例，上述步骤s6具体为：

20、采用χ2分布算法对所述初始arma流量预测模型进行持续性检验，直至初始arma流量预测模型为正态分布序列，则为arma流量预测模型。

21、本发明还提供一种工控网络总线异常流量监测方法，所述监测方法采用arma流量预测模型实现，所述arma流量预测模型采用上述任意一项所述的一种arma流量预测模型的构建方法获得的，所述监测方法为：

22、a1、对所述工控网络总线上的流量数据进行采集，获得实际网络流量值；

23、a2、对所述实际网络流量值进行处理，获得实际网络流量标准差；

24、a3、采用所述arma流量预测模型对所述工控网络总线上的历史流量数据进行预测，得到预测后的网络流量值；

25、a4、根据所述实际网络流量标准差和预测后的网络流量值，获得异常流量边界值；

26、a5、采用所述异常流量边界值监测工控网络总线上的网络流量异常情况。

27、本发明所述的一种arma流量预测模型的构建方法和一种工控网络总线异常流量监测方法可以全部采用计算机软件实现，因此，对应的，本发明还提供一种arma流量预测模型的构建系统，所述系统包括：

28、用于采集网络总线上的流量数据，并进行储存，获得数据库的存储装置；

29、用于对所述数据库中的流量数据进行白噪声检验，获得关系数据库的存储装置；

30、用于对所述关系数据库中的流量数据进行持续性平稳性检验，直至获得平稳性数据库的存储装置；

31、用于对所述平稳性数据库中的流量数据进行定阶，获得模型定阶数和估计模型参数的存储装置；

32、用于根据所述模型定阶数和估计模型参数，获得初始arma流量预测模型的存储装置；

33、用于对所述初始arma流量预测模型进行持续性检验，直至获得arma流量预测模型的存储装置。

34、本发明还提供一种工控网络总线异常流量监测系统，所述监测系统为：

35、用于对所述工控网络总线上的流量数据进行采集，获得实际网络流量值的存储装置；

36、用于对所述实际网络流量值进行处理，获得实际网络流量标准差的存储装置；

37、用于采用所述arma流量预测模型对所述工控网络总线上的历史流量数据进行预测，得到预测后的网络流量值的存储装置；

38、用于根据所述实际网络流量标准差和预测后的网络流量值，获得异常流量边界值的存储装置；

39、用于采用所述异常流量边界值监测工控网络总线上的网络流量异常情况的存储装置。

40、本发明提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行上述任意一项所述的一种arma流量预测模型的构建方法或上述所述的一种工控网络总线异常流量监测方法。

41、本发明提供一种计算机设备，该设备包括存储器和处理器，所述存储器中存储有计算机程序，当所述处理器运行所述存储器存储的计算机程序时，所述处理器执行上述任意一项所述的一种arma流量预测模型的构建方法或上述所述的一种工控网络总线异常流量监测方法。

42、本发明的有益效果为：

43、1、本发明提供一种arma流量预测模型的构建方法，采用白噪声检验方法对数据库中的流量数据进行检验，获得具有关系的数据序列，并对具有关系的数据序列进行平稳化处理，采用平稳化处理之后的数据序列构建arma流量预测模型，使得构建的arma流量预测模型可以挖掘出历史网络流量数据中的有效信息，获得预测后的网络流量值，若不对流量数据进行白噪声检验，采用随机性数据序列构建arma流量预测模型，则构建出的arma流量预测模型不具备挖掘分析功能。

44、2、本发明提供一种arma流量预测模型的构建方法，采用所述arma流量预测模型对历史网络流量数据进行预测，获得预测后的网络流量值，进而获得异常流量边界值，采用所述异常流量边界值监测工控网络总线上的网络流量异常情况。解决现有工控网络异常流量检测方法的通用性不强，且需要大量的数据进行流量特征提取分析的问题。

45、3、现有基于工控网络控制逻辑和回路特点提出的特征模型分析方法主要用于检测关键数据模块和网络节点是否存在异常。该方法具有较高的特征检测准确率，主要用于检测特定攻击造成的数据异常，但是通用性不佳，只能用于检测关键数据模块和网络节点。本发明提供一种arma流量预测模型的构建方法，采用对流量数据进行平稳化处理，获得平稳性数据，根据平稳性数据构建arma流量预测模型，采用该arma流量预测模型对历史网络流量数据进行预测，得到预测后的网络流量，进而获得异常流量边界值，采用所述异常流量边界值监测工控网络总线上的网络流量异常情况，可以监测工控网络上的所有节点数据是否存在异常，解决现有特征模型分析方法通用性不佳，只能检测关键数据模块和网络节点的问题。

46、4、现有聚类分析方法可以降低检测延迟，但是需要大量的数据进行流量特征提取分析。本发明提供一种arma流量预测模型的构建方法，采用bic信息准则定阶法对平稳性数据库中的流量数据进行定阶，得到模型定阶数和估计模型参数，仅需要模型定阶数和估计模型参数即可构建arma流量预测模型，使得不需要大量的数据就能构建出arma流量预测模型。

47、5、现有基于神经网络技术的异常流量分析方法需要对神经网络进行训练，训练过程计算量极大，但仅能感知攻击行为，对攻击细节和攻击特征无法感知和记录。本发明提供一种arma流量预测模型的构建方法，采用χ2分布算法对所述初始arma流量预测模型进行持续性检验，直至初始arma流量预测模型为正态分布序列，则为arma流量预测模型。具有正态分布序列的arma流量预测模型可以对攻击细节和攻击特征进行感知和记录。

48、本发明适用于modbus tcp协议下工控网络总线的异常流量监测。