(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211015397.2 (22)申请日 2022.08.24 (65)同一申请的已公布的文献号 申请公布号 CN 115102790 A (43)申请公布日 2022.09.23 (73)专利权人 珠海市鸿瑞信息技 术股份有限公 司 地址 519000 广东省珠海市唐家湾镇大 学 路101号清华科技园4栋12层 (72)发明人 刘智勇　段海宁　陈敏超　钟海维　 (74)专利代理 机构 北京华际知识产权代理有限 公司 11676 专利代理师 冯姣 (51)Int.Cl. H04L 9/40(2022.01)H04L 41/142(2022.01) H04L 41/147(2022.01) (56)对比文件 CN 110602062 A,2019.12.20 CN 110493179 A,2019.1 1.22 US 20162190 67 A1,2016.07.28 US 2020067969 A1,2020.02.27 石乐义等.抵御DoS攻击的端信息 跳变Web插 件机制. 《通信学报》 .2017, 审查员 陈佳 (54)发明名称 基于大数据的网络流量异常感知系统及方 法 (57)摘要 本发明公开了基于大数据的网络流量异常 感知系统及方法， 属于计算机网络安全技术领 域。 通过获取历史大数据中工业控制系统网络在 正常工作状态时和出现异常状况时的网络流量 跳变时间， 建立网络流量正常感知时间模型和异 常感知时间模 型； 通过网络流量正常感知时间模 型和异常感知时间模型， 进一步预测出未知风险 状态感知网络流量跳变时间； 再结合预测的正 常、 异常和未知风险感知时间， 预测出网络流量 的风险值， 通过风险值判断出网络流量是否正 常， 同时结合预测的时间模型定位到可能发生网 络流量异常的具体时间， 实现对网络流量状态的 实时监控， 为各相关负责人员提供精确的预防和 维护的时间准备， 有利于网络安全维护相关工作 的实施开展。 权利要求书4页 说明书10页 附图2页 CN 115102790 B 2022.12.20 CN 115102790 B 1.基于大 数据的网络流 量异常感知方法， 其特 征在于， 该 方法包括以下步骤： 步骤S100： 获取历史大数据中工业控制系统网络在正常工作状态时的网络流量跳变时 间和出现异常状况时的网络流量跳变时间； 根据所述在正常工作状态时的网络流量跳变时 间和出现异常状况时的网络流量跳变时间分别 建立工业控制系统网络的网络流量正常感 知跳变时间集和网络流 量异常感知跳变时间集； 步骤S200： 根据所述工业控制系统网络的网络流量正常感知跳变时间集建立网络流量 正常感知时间模型； 根据所述工业控制系统网络的网络流量异常感知跳变时间集建立网络 流量异常感知时间模型； 步骤S300： 根据所述网络流量正常感知时间模型和网络流量异常感知时间模型， 获取 工业控制系统网络状态的未知风险状态感知网络流量跳变时间集； 根据未知风险状态感知 网络流量跳变时间集建立网络流 量未知感知时间模型； 步骤S400： 根据所述网络流量正常感知时间模型、 异常感知时间模型和未知感知时间 模型， 建立网络流 量预警模型； 步骤S500： 根据所述网络流 量预警模型， 判断工业控制系统网络流 量是否异常； 在步骤S100中， 建立工业控制系统网络的网络流量正常感知跳变时间集和网络流量异 常感知跳变时间集的具体实施过程包括： 步骤S101： 获取工业控制系 统在历史正常工作状态时的网络流量数据日志； 根据所述 历史正常工作状态时的网络流量数据日志， 提取在正常工作状态时的网络流量数据的最大 值和最小值对应的时间点， 并将所述时间点记为工业控制系统网络在正常工作状态时的流 量跳变时间； 步骤S102： 获取工业控制系统在遭受网络攻击下的历史异常工作状态时的网络流量数 据日志； 根据所述历史异常工作状态时的网络流量数据日志， 提取在异常工作状态 时的网 络流量数据对应的时间点， 并将所述时间点记为工业控制系统网络在异常工作状态时的流 量跳变时间； 步骤S103： 根据所述工业控制系统网络在正常和异常工作状态时的流量跳变时间， 建 立网络流 量正常和异常感知跳变时间集； 所述时间集按照时间顺序依次记录； 在步骤S200中， 建立网络流量正常感知时间模型和异常感知时间模型的具体实施过程 包括： 步骤S201： 分别获取历史工业控制系统网络的正常和异常工作状态时的网络流量数据 日志； 分别获取 所述网络流 量数据日志的网络流 量正常和异常感知跳变时间集； 步骤S202： 分别将所述网络流量正常和异常感知跳变时间集各自包含的时间中每相连 两个时 间 进行 差值 计算 ， 得 到网 络流量 正常感 知跳变时 间 差值 序 列 ， 记为 ， 其中 分别表示网络流量正常感知跳变时间集包 含的时间中每相连两个时间进行差值计算的第1、 2、 、 n次差值； 得到网络流量异常感知跳 变时间差值序列， 记为 ， 其中 分别表示网络流量 异常感知跳变时间集包 含的时间中每相连两个时间进行差值计算的第1、 2、 、 m次差值；权　利　要　求　书 1/4 页 2 CN 115102790 B 2步骤S203： 构建网络流 量正常或异常感知跳变时间差值预测模型， 具体 计算公式如下： 其中， 表示预测的第 次网络流量正常或异常感知跳变时间差值， 表示第 次的 前 次网络流量正常或异常感知跳变时间差值， 表示预测的第 次网络流量正常或异常 感知跳变时间差值的误差 值， 表示第 次的前 次网络流量正常 或异常感知跳变时间差 值的误差值， 是常数项， 表示网络流量正常或异常感知跳变时间差值的自相关系数， 表示网络流量正常或异常感知跳变时间差值的误差值的自相关系数， 当构建 网络流量正常 感知跳变时间差值预测模型时I等于n， 当构建 网络流量异常感知跳变时间差值预测模型时 I等于m； 表示网络流量正常或异常感知跳变时间差值的平均值， 表示网络流量正常或异 常感知跳变时间差值的误差值的平均值； 步骤S204： 构建网络流 量正常感知时间模型和异常感知时间模型， 具体 计算公式如下： 其中， 表示预测的第 次网络流量正常或异常感知跳变时间， 表示 的前一 次网络流 量正常或异常感知时间， 表示第 次网络流 量正常或异常感知跳变时间差值。 2.根据权利要求1所述的基于大数据的网络流量异常感知方法， 其特征在于， 所述步骤 S300中， 建立网络流 量未知感知时间模型的具体实施过程包括： 步骤S301： 根据网络流量正常感知时间模型和异常感知时间模型， 预测K时间范围内的 网络流量正常感知时间集， 记为A； 以及异常感知时间集， 记为B； 步骤S302： 构建网络流量未知感知时间模型， 将计算得到的网络流量正常和异常感知 跳变时间集进行交集计算， 得到 ， 其中 表示 未知感知网络流 量跳变时间集 中包含的第1、 2、 、 s个未知感知网络流 量跳变时间。 3.根据权利要求2所述的基于大数据的网络流量异常感知方法， 其特征在于， 所述步骤 S400中， 建立网络流 量预警模型的具体实施过程包括： 步骤S401： 获取K时间范围内的网络流量正常感知时间集、 异常感知时间集和未知感知 时间集； 将各个时间集进行并集处理 ， 并将并集处理结果按照时间顺序排列， 所述 排列记为 ； 步骤S402： 将 网络流量正常感知记为 、 网络流量异常感知记为 和网络流量未知风 险感知记为 ； 将某一时间网络流量的一种感知类型转换到下一时刻的另一种感知类型权　利　要　求　书 2/4 页 3 CN 115102790 B 3