一种工控网络流量异常检测系统的优化方法与流程

本发明涉及工控流量检测，具体涉及到了一种工控网络流量异常检测系统的优化方法。

背景技术：

1、工控网络流量是针对工业控制网络流量进行行为分析与安全监测的审计类产品，如聚铭的工控网络流量审计系统，可以实时监测工控网络流量的异常，及时告警并记录到告警日志中，工控网络流量的异常可能是由病毒、木马、恶意软件等攻击行为引起的，也可能是由网络设备故障、线路故障等其他因素引起的，因此，及时发现并处理工控网络流量的异常情况，对于保障工业控制系统的安全稳定运行至关重要，但是市面上一般的工控网络流量检测一般是基于特征库进行检测，对于已知的攻击行为可以进行有效的检测和防御，但是对于未知的攻击行为却无法进行有效的检测和防御，同时，工控网络流量检测也会受到网络拓扑结构的限制，如果网络拓扑结构发生变化，可能会影响检测的准确性和效果，对此，我们提出了一种工控网络流量异常检测系统的优化方法。

技术实现思路

1、本发明针对现有技术中存在的技术问题，提供了一种工控网络流量异常检测系统的优化方法，以解决以上技术问题。

2、本发明解决上述技术问题的技术方案如下：一种工控网络流量异常检测系统的优化方法，优化步骤为：

3、s1、在计算机的内部建立优化学习算法，学习算法模型为gan模型；

4、s2、将gan模型不断的进行优化，输入相关流量异常的情况数据，深度学习，对异常情况进行学习；

5、s3、选择正常使用的工控设备，将工控设备连接接入计算机的内部；

6、s4、进行统计分析，对工控网络流量进行分析；

7、s5、将工控设备进行正常工作，对工控设备的行为进行分析，分析工控设备的行为是否存在异常情况；

8、s6、结合s4步骤与s5步骤，对异常情况采用支持向量机模型进行辨别异常流量与未知的异常情况；

9、s7、将分析出的异常情况传输至计算机端内，生成报表供人们查看，并对工控设备流量进行优化分析。

10、优先地，s1步骤中gan模型包括有生成网络与判别器网络；

11、gan模型的对应目标函数为如下：

12、

13、以上目标函数仅当pg＝pdata，

14、推导公式给定p，问题max(d，g)的解为：

15、

16、此时，(d，g)的取值为：

17、p(g)＝max(d，g)＝log2+log(jsd)

18、优先地，s2步骤中通过对训练数据不断的变换来增加模型的学习能力，使用emd对gan损失的函数进行优化。

19、优先地，s3步骤中选择的工控设备为工业电脑、可编程序控制器、分散型控制系统与数控系统其中的一种，检测其能够正常使用。

20、优先地，s4步骤中统计分析包括有流量的数量、频率与延时性指标，通过将指标对比正常情况下的水平，来测定流量异常情况，s5步骤中分析的行为包括有设备的运行状态监测，数据的分析与处理与性能的评估与优化。

21、优先地，s5步骤中设备的运行状态监测包括对设备的温度、工作频率、湿度、压力与电流参数进行监测，数据的分析包括对设备的磨损程度、工作强度与故障的频率数据进行分析。

22、优先地，s6步骤中支持向量机学习的步骤包括有数据预处理、特征选择、函数选择、数据训练与模型的评估。

23、优先地，函数选择的线性方程为：

24、wx+b＝0

25、二维空间点到直线a+b+c＝0的距离公式为：

26、

27、通过公式的变化最终可得到如下公式：

28、min1/2w2a.s.y(wx+b)≥1

29、优先地，数据预处理包括对数据的清理、数据的标准与归一化与数据的特征选择，特征选择采用过滤法，将各个特征进行对比，设定阈值，进行选择，模型评估的方法采用交叉验证法进行评估判断。

30、优先地，s7步骤中生成报表的步骤为：

31、a1、将收集到的数据进行清洗与整理，统一的传输至计算机端内；

32、a2、对数据采用可视化、趋势分析与比较分析；

33、a3、将分析后的数据设计成为表格、图表与注释的形式，通过软件生成输出。

34、本发明的有益效果是：通过建立学习算法，来学习工控设备中未知的攻击行为，并结合到工控设备的工作状态去对网络流量的异常情况进行分析，能够对现有的网络流量异常检测方式进行优化，带来了更好的使用前景。

技术特征：

1.一种工控网络流量异常检测系统的优化方法，其特征在于，优化步骤为：

2.根据权利要求1所述的工控网络流量异常检测系统的优化方法，其特征在于：s1步骤中gan模型包括有生成网络与判别器网络；

3.根据权利要求1所述的工控网络流量异常检测系统的优化方法，其特征在于：s2步骤中通过对训练数据不断的变换来增加模型的学习能力，使用emd对gan损失的函数进行优化。

4.根据权利要求1所述的工控网络流量异常检测系统的优化方法，其特征在于：s3步骤中选择的工控设备为工业电脑、可编程序控制器、分散型控制系统与数控系统其中的一种，检测其能够正常使用。

5.根据权利要求1所述的工控网络流量异常检测系统的优化方法，其特征在于：s4步骤中统计分析包括有流量的数量、频率与延时性指标，通过将指标对比正常情况下的水平，来测定流量异常情况，s5步骤中分析的行为包括有设备的运行状态监测，数据的分析与处理与性能的评估与优化。

6.根据权利要求5所述的工控网络流量异常检测系统的优化方法，其特征在于：s5步骤中设备的运行状态监测包括对设备的温度、工作频率、湿度、压力与电流参数进行监测，数据的分析包括对设备的磨损程度、工作强度与故障的频率数据进行分析。

7.根据权利要求1所述的工控网络流量异常检测系统的优化方法，其特征在于：s6步骤中支持向量机学习的步骤包括有数据预处理、特征选择、函数选择、数据训练与模型的评估。

8.根据权利要求7所述的工控网络流量异常检测系统的优化方法，其特征在于，函数选择的线性方程为：

9.根据权利要求7所述的工控网络流量异常检测系统的优化方法，其特征在于：数据预处理包括对数据的清理、数据的标准与归一化与数据的特征选择，特征选择采用过滤法，将各个特征进行对比，设定阈值，进行选择，模型评估的方法采用交叉验证法进行评估判断。

10.根据权利要求1所述的工控网络流量异常检测系统的优化方法，其特征在于，s7步骤中生成报表的步骤为：

技术总结
本发明涉及一种工控网络流量异常检测系统的优化方法，优化步骤为：S1、在计算机的内部建立优化学习算法，学习算法模型为GAN模型；S2、将GAN模型不断的进行优化，输入相关流量异常的情况数据，深度学习，对异常情况进行学习；S3、选择正常使用的工控设备，将工控设备连接接入计算机的内部；S4、进行统计分析，对工控网络流量进行分析；S5、将工控设备进行正常工作，对工控设备的行为进行分析，分析工控设备的行为是否存在异常情况。本发明通过建立学习算法，来学习工控设备中未知的攻击行为，并结合到工控设备的工作状态去对网络流量的异常情况进行分析，能够对现有的网络流量异常检测方式进行优化，带来了更好的使用前景。

技术研发人员：周显敬,刘虎,汪寒雨,黄银地,桂顺,王博,罗刘宇
受保护的技术使用者：武汉卓尔信息科技有限公司
技术研发日：
技术公布日：2024/4/29