| 主权项 |
1.一种针对工业网络流量的异常检测方法,其特征在于包括以下步骤:首先进行数据预处理:在工业网络的上位机上捕获数据包,并对数据包进行采样,根据Nyquist采样定理,采样频率需大于包最高频率的2倍,采样值为单位时间接收到的数据包的字节数,采样窗口大小至少要包含3个周期的流量序列,通过一个窗口的采样得到一个离散时间序列x(n);该过程用如下随机过程模型来表示:{x(n),t=nΔ,n∈N};其中Δ是一个常数,代表采样间隔;N是全部的取样点数,即离散时间序列的长度;x(n)是一个随机变量,表示在(t-Δ,t)间隔内捕获到的数据包的字节数;然后,对每个离散时间序列x(n)计算其功率谱密度,即相对频率幅度谱;这里的功率谱密度通过计算x(n)的自相关序列的离散傅里叶变换得到;最后,计算低频功率和;下面给出相关的定义:定义1定义离散时间序列x(n)的自相关序列的计算公式为<![CDATA[<math><mrow><msub><mi>R</mi><mi>xx</mi></msub><mo>[</mo><mi>m</mi><mo>]</mo><mo>=</mo><mfrac><mn>1</mn><mrow><mi>N</mi><mo>-</mo><mi>m</mi></mrow></mfrac><msubsup><mi>Σ</mi><mrow><mi>n</mi><mo>=</mo><mn>0</mn></mrow><mrow><mi>N</mi><mo>-</mo><mi>m</mi><mo>-</mo><mn>1</mn></mrow></msubsup><mrow><mo>(</mo><mi>x</mi><mrow><mo>(</mo><mi>n</mi><mo>)</mo></mrow><mi>x</mi><mrow><mo>(</mo><mi>n</mi><mo>+</mo><mi>m</mi><mo>)</mo></mrow><mo>)</mo></mrow><mo>,</mo></mrow></math>]]></maths>其中N是离散时间序列x(n)的长度,n,n+m∈N,得到长度为m的自相关序列;定义2定义功率谱密度的计算公式为<img file="FDA0000428290440000012.GIF" wi="646" he="80" />其中f是采样频率,0≤k≤m,m是自相关序列的长度,i是虚数单位,即i<sup>2</sup>=-1;定义3定义低频功率和的计算公式为<img file="FDA0000428290440000013.GIF" wi="461" he="77" />其中a是低频频率段右端点,其值应满足<img file="FDA0000428290440000014.GIF" wi="330" he="102" />PSD(f)是对应频率f的功率谱密度;正常流量和异常流量的采样应分别不少于1000个;然后,对流量进行建模:统计大量的正常流量和异常流量采样的功率谱密度的低频功率和,计算其低频功率和的概率密度分布,利用正态分布对数据进行拟合,分别建立正常流量模型和异常流量模型,得到正常流量和异常流量低频功率和的正态分布概率密度函数,设两个概率密度函数曲线的交点为临界值;最后,对未知流量进行检测:对未知流量进行数据预处理,得到其低频功率和,和低频功率和临界值进行对比,若超过此临界值就判定为异常流量。 |
