(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210929027.3 (22)申请日 2022.08.03 (71)申请人 西安热工 研究院有限公司 地址 710048 陕西省西安市碑林区兴庆路 136号 申请人 华能集团技 术创新中心有限公司 (72)发明人 崔逸群　毕玉冰　杨东　朱博迪　 刘超飞　胥冠军　刘骁　肖力炀　 刘迪　崔鑫　王艺杰　朱召鹏　 王文庆　邓楠轶　董夏昕　介银娟　 (74)专利代理 机构 西安通大专利代理有限责任 公司 6120 0 专利代理师 闵岳峰 (51)Int.Cl. H04L 9/40(2022.01)G06N 3/08(2006.01) G06N 3/04(2006.01) (54)发明名称 一种基于流量分层的异常流量检测方法、 装 置及存储介质 (57)摘要 本发明涉及一种基于流量分层的异常流量 检测方法、 装置及存储介质， 属于网络安全领域， 所述方法包括： 获取工控网络的网络流量； 将所 述网络流量 分别输入流量特征提取模块、 数据包 特征提取模块以及内容特征提取模块， 分别得到 流量特征、 数据包特征以及内容特征； 将所述流 量特征、 所述数据包特征以及所述内容特征输入 预先训练得到的流量检测网络， 得到流量检测结 果。 能够基于不同粒度的特征， 有效地提高针对 网络流量的检测的覆盖率， 能够更加准确地检测 出异常流 量， 进而保证工控网络的网络安全。 权利要求书2页 说明书11页 附图3页 CN 115277241 A 2022.11.01 CN 115277241 A 1.一种基于流 量分层的异常流 量检测方法， 其特 征在于， 所述方法包括： 获取工控网络的网络流 量； 将所述网络流量分别 输入流量特征提取模块、 数据包特征提取模块以及内容特征提取 模块， 分别得到流 量特征、 数据包特 征以及内容特 征； 将所述流量特征、 所述数据包特征以及所述内容特征输入预先训练得到的流量检测网 络， 得到流 量检测结果。 2.根据权利要求1所述的方法， 其特征在于， 所述将所述网络流量分别 输入流量特征提 取模块、 数据包特征提取模块以及内容特征提取模块， 分别得到流量特征、 数据包特征以及 内容特征包括： 通过所述流量特征提取模块， 按照预设滑动 窗口， 获取所述网络流量在对应的滑动 窗 口内的流 量信息， 得到对应多个滑动窗口 的多个流 量信息； 基于所述多个流 量信息， 构建每一滑动窗口对应的流 量特征； 其中， 所述流量信息包括在对应的滑动窗口内的数据包个数、 包速率、 窗口内字节数、 数据包时间 间隔。 3.根据权利要求1所述的方法， 其特征在于， 所述将所述网络流量分别 输入流量特征提 取模块、 数据包特征提取模块以及内容特征提取模块， 分别得到流量特征、 数据包特征以及 内容特征包括： 通过所述数据包特征提取模块， 依次对所述网络流量中的数据包进行协议解析， 得到 协议信息； 基于所述协议信息， 构建每一所述数据包的数据包特 征； 所述协议信息包括事务元 标识符、 单 元标识符以及功能码。 4.根据权利要求1所述的方法， 其特征在于， 所述将所述网络流量分别 输入流量特征提 取模块、 数据包特征提取模块以及内容特征提取模块， 分别得到流量特征、 数据包特征以及 内容特征包括： 通过所述内容特征提取模块， 依次对所述网络流量中的数据包进行协议解析， 得到语 义信息； 基于所述语义信息， 构建每一数据包 对应的内容特 征； 其中， 所述语义信息包括 地址类型、 开始地址、 结束地址、 内容 最小值以及内容 最大值。 5.根据权利要求1所述的方法， 其特 征在于， 所述方法包括： 对所述流量特征、 所述数据包特征以及所述内容特征进行标准化处理， 得到标准化后 的第一流量特征、 第一数据包特 征以及第一内容特 征； 所述将所述流量特征、 所述数据包特征以及所述内容特征输入预先训练得到的流量检 测网络， 得到流 量检测结果包括： 将所述第一流量特征、 所述第 一数据包特征以及所述第 一内容特征输入所述流量检测 网络， 得到流 量检测结果。 6.根据权利要求1所述的方法， 其特征在于， 所述流量检测网络包括并行的第一LSTM子 网络、 第二 LSTM子网络、 第三 LSTM子网络； 所述将所述流量特征、 所述数据包特征以及所述内容特征输入预先训练得到的流量检 测网络， 得到流 量检测结果包括：权　利　要　求　书 1/2 页 2 CN 115277241 A 2将所述流量特征输入所述第一 LSTM子网络， 得到流 量特征预测值； 将所述数据包特 征输入所述第二 LSTM子网络， 得到数据包特 征预测值； 将所述内容特 征输入所述第三 LSTM子网络， 得到内容特 征预测值； 根据所述流量特征预测值、 所述数据包特征预测值以及所述内容特征预测值， 确定预 测偏差； 在确定预设偏差大于预设阈值的情况下， 得到用于表征检测到异常流量的流量检测结 果。 7.根据权利要求1所述的方法， 其特 征在于， 所述 流量检测网络的训练包括： 获取样本网络流 量， 所述样本网络流 量为正常流量； 将所述样本网络流量分别输入流量特征提取模块、 数据包特征提取模块以及内容特征 提取模块， 分别得到样本流 量特征、 样本数据包特 征以及样本内容特 征； 将所述样本流量特征、 所述样本数据包特征以及所述样本内容特征输入流量检测网 络， 得到训练完成的流 量检测网络 。 8.一种基于流 量分层的异常流 量检测装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取工控网络的网络流 量； 特征提取模块， 用于将所述网络流量分别输入流量特征提取模块、 数据包特征提取模 块以及内容特 征提取模块， 分别得到流 量特征、 数据包特 征以及内容特 征； 检测模块， 用于将所述流量特征、 所述数据包特征以及所述内容特征输入预先训练得 到的流量检测网络， 得到流 量检测结果。 9.一种非临时性计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被 处理器执行时实现权利要求1 ‑7中任一项所述方法的步骤。 10.一种电子设备， 其特 征在于， 包括： 存储器， 其上存 储有计算机程序； 处理器， 用于执行所述存储器 中的所述计算机程序， 以实现权利要求1 ‑7中任一项所述 方法的步骤。权　利　要　求　书 2/2 页 3 CN 115277241 A 3