买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：上海电力大学;国网上海市电力公司

摘要：本发明涉及一种面向Modbus协议的工业控制网络异常流量检测方法，包括以下步骤：S1、捕获Modbus协议应用层报文中的数据包；S2、将捕获到的数据包流量进行特征提取与数据处理，并基于规则的流量特征来识别异常流量和攻击行为；S3、构建正常流量行为模型，利用S2中基于规则的流量特征对流量检测分类并进行模型优化；S4、根据优化后有规则集的机器学习模型构建入侵检测系统，分析流量的时序特征，进而更全面地分析网络攻击；S5、选择网络数据包进行分析，输入模型并进行预测，得到最终的流量分析结果。与现有技术相比，本发明网络攻击识别效率高、异常流量检测准确率高，同时具有流量分析全面、高效低成本的优点。

主权项：1.一种面向Modbus协议的工业控制网络异常流量检测方法，其特征在于，包括以下步骤：S1、捕获Modbus协议应用层报文中的数据包；S2、将捕获到的数据包流量进行特征提取与数据处理，并基于规则的流量特征来识别异常流量和攻击行为；S3、构建正常流量行为模型，利用S2中基于规则的流量特征对流量检测分类并进行模型优化；S4、根据优化后有规则集的机器学习模型构建入侵检测系统，分析流量的时序特征，进而更全面地分析网络攻击；S5、选择网络数据包进行分析，输入模型并进行预测，得到最终的流量分析结果；其中，S3具体包括以下步骤：S31、构建正常流量行为模型：收集网络流量数据，对数据进行预处理，包括数据清洗、特征提取，根据数据特征，构建正常流量行为模型的训练集，利用机器学习算法对训练集进行训练，得到正常流量行为模型；S32、流量分类和模型优化：利用S31中得到的正常流量行为模型，对网络流量数据进行分类，使用朴素贝叶斯算法对分类结果进行模型评估，比较预测结果与实际类别的差异，根据评估结果，对模型进行优化；其中，S32具体包括以下步骤：S321、针对TCP握手包、PING等正常通信过程中不会高频出现的包进行统计，并将比例系数下调至0.2，计算出正常阈值，D=0.2×B，D代表正常阈值，B代表正常带宽，对捕获的流量数据进行处理和分析，统计出单位时间内的包数量，如果超过正常阈值D，则存在拒绝服务攻击；S322、使用十字交叉中的准确率作为评估标准，通过时序分析图，对模型的检测结果进行分析和评估，比较模型的预测结果与实际情况的一致性，以评估模型的准确率和性能，同时更新优化算法和规则集，以获得更好的模型性能。

全文数据：

权利要求：

百度查询： 上海电力大学 国网上海市电力公司 一种面向Modbus协议的工业控制网络异常流量检测方法