基于工业互联网的网络流量异常检测方法及大数据平台

摘要

本发明实施例所提供的基于工业互联网的网络流量异常检测方法及大数据平台，能够通过授权指令建立与目标终端设备对应的流量检测通道，并通过流量检测通道采集目标终端设备的实时网络流量从而绘制流量曲线，周期性地基于流量曲线确定目标终端设备的多组流量变化轨迹，计算不同时段下的流量变化轨迹之间的轨迹偏移量，在依据轨迹偏移量判定出目标终端设备遭受分布式拒绝服务攻击时确定出目标终端设备在当前时段内的状态参数，根据状态参数生成动态安全策略并下发给目标终端设备。这样可以使目标终端设备基于动态安全策略确定出待处理请求中的异常请求并销毁。如此，能够避免目标终端设备的瘫痪，确保整个工业互联网控制系统的安全可靠运行。

说明书

技术领域

本申请涉及工业互联网通信安全处理技术领域，尤其涉及基于工业互联网的网络流量异常检测方法及大数据平台。

背景技术

工业互联网的发展使得制造业朝着智能化和数字化方向改进，能够极大地提高生产效率并释放人工劳动力。随着边缘计算的日趋成熟，云边端协同的分布式工业控制系统以逐渐应用于各类大型生产场景下。边缘计算能够在边缘设备侧实现数据处理和分析，进而有效提高数据交互效率，降低数据交互延时。

在实际应用中，为了确保整个工业互联网系统的安全可靠运行，需要对工业互联网系统进行安全检测。由于工业互联网系统中部署有多个终端设备，因此，分布式拒绝服务攻击（Distributed denial of service attack，DDos）是工业互联网系统遭受的主要攻击模式。DDos攻击可以使很多终端设备在同一时间遭受到攻击，导致这些终端设备无法正常使用，从而引发大规模的生产事故，造成极大的经济损失。

由此可见，如何对分布式拒绝服务攻击进行有效检测并制定安全策略是现阶段亟待解决的一个技术问题。

发明内容

本申请提供基于工业互联网的网络流量异常检测方法及大数据平台，以对分布式拒绝服务攻击进行有效检测并制定安全策略。

首先提供一种基于工业互联网的网络流量异常检测方法，应用于大数据平台，所述方法包括：

在接收到目标终端设备基于所述大数据平台发送的流量检测请求所反馈的授权指令时，通过所述授权指令中携带的设备接口参数建立与所述目标终端设备对应的流量检测通道；

通过所述流量检测通道采集所述目标终端设备的实时网络流量，并基于所述实时网络流量绘制所述目标终端设备对应的流量曲线；

周期性地基于所述流量曲线确定所述目标终端设备的多组流量变化轨迹，并计算当前时段对应的流量变化轨迹与上一时段对应的流量变化轨迹之间的轨迹偏移量；

在依据所述轨迹偏移量判定出所述目标终端设备遭受分布式拒绝服务攻击时，通过所述轨迹偏移量确定出所述目标终端设备在当前时段内的状态参数，根据所述状态参数生成动态安全策略并将所述动态安全策略下发给所述目标终端设备以使所述目标终端设备基于所述动态安全策略确定出待处理请求中的异常请求并销毁。

可选地，判断目标终端设备是否遭受到分布式拒绝服务攻击，具体包括：

判断轨迹偏移量是否低于设定阈值；

在所述轨迹偏移量低于设定阈值时，将上一时段对应的流量变化轨迹叠加到当前时段对应的流量变化轨迹中；

计算当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征的相关性系数；

如果所述相关性系数大于设定系数，则判定所述目标终端设备遭受到分布式拒绝服务攻击。

可选地，所述方法还包括：

在所述轨迹偏移量大于等于所述设定阈值时，确定所述轨迹偏移量在上一时段对应的流量变化轨迹中对应的第一轨迹区间以及在当前时段对应的流量变化轨迹中对应的第二轨迹区间；

提取所述第一轨迹区间的第一轨迹数据清单以及所述第二轨迹区间的第二轨迹数据清单，计算所述第一轨迹数据清单与所述第二轨迹数据清单之间的流量特征重叠率；

若所述流量特征重叠率大于设定比率，则判定所述目标终端设备遭受到分布式拒绝服务攻击。

可选地，将上一时段对应的流量变化轨迹叠加到当前时段对应的流量变化轨迹中，并计算当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征的相关性系数，具体包括：

生成上一时段对应的流量变化轨迹对应的用于表征上一时段对应的流量变化轨迹的流量报文的报文信息的第一流量协议地址列表以及用于表征当前时段对应的流量变化轨迹的流量报文的报文信息的第二流量协议地址列表；其中，所述第一流量协议地址列表和所述第二流量协议地址列表中分别包括相同数量的多个列表单元，且每个列表单元的单元识别度不同，所述单元识别度用于表征所述列表单元的列表特征的关联度；

从上一时段对应的流量变化轨迹对应的第一流量协议地址列表中提取出其中一个列表单元对应的协议地址路径；其中，在确定所述协议地址路径时，并行地将当前时段对应的流量变化轨迹对应的第二流量协议地址列表中具有最大单元识别度的列表单元确定为参考列表单元；

将所述协议地址路径映射到所述参考列表单元中并确定出所述协议地址路径在所述参考列表单元中的映射地址路径；通过所述映射地址路径和所述协议地址路径确定所述第一流量协议地址列表和所述第二流量协议地址列表之间的用于表征流量协议地址的对应关系的有向无环图；

基于所述用于表征流量协议地址的对应关系的有向无环图将上一时段对应的流量变化轨迹中的每组第一流量轨迹参数叠加到当前时段对应的流量变化轨迹中的对应的第二流量轨迹参数组中；

若每组第一流量轨迹参数在其对应的第二流量轨迹参数组中存在唯一对应的协议签名，则根据所述协议签名对当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征所对应的数值队列进行加权，并计算加权之后的数值队列的中位数作为当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征的相关性系数；

若每组第一流量轨迹参数在其对应的第二流量轨迹参数组中不存在唯一对应的协议签名，则返回根据所述用于表征流量协议地址的对应关系的有向无环图将上一时段对应的流量变化轨迹中的每组流量轨迹参数叠加到当前时段对应的流量变化轨迹中的对应的第二流量轨迹参数组中的步骤。

可选地，确定所述轨迹偏移量在上一时段对应的流量变化轨迹中对应的第一轨迹区间以及在当前时段对应的流量变化轨迹中对应的第二轨迹区间，提取所述第一轨迹区间的第一轨迹数据清单以及所述第二轨迹区间的第二轨迹数据清单，计算所述第一轨迹数据清单与所述第二轨迹数据清单之间的流量特征重叠率，具体包括：

分别将上一时段对应的流量变化轨迹的第一描述信息以及当前时段对应的流量变化轨迹的第二描述信息列出，并将按照上一时段对应的流量变化轨迹与当前时段对应的流量变化轨迹之间的时序权重将所述第一描述信息和第二描述信息进行整合得到目标描述信息；其中，所述目标描述信息中包括多个第一轨迹标识和多个第二轨迹标识；

确定所述轨迹偏移量与每个第一轨迹标识之间的第一偏移权重以及与每个第二轨迹标识之间的第二偏移权重；根据所述第一偏移权重和所述第二偏移权重的分布序列确定所述第一轨迹区间和所述第二轨迹区间；

确定所述第一轨迹区间对应的第一区间参数矩阵以及所述第二轨迹区间对应的第二区间参数矩阵；其中，所述第一区间参数矩阵用于表征所述第一轨迹区间的轨迹节点的分布情况，所述第二区间参数矩阵用于表征所述第二轨迹区间的轨迹节点的分布情况；分别提取所述第一区间参数矩阵的第一矩阵离散值和所述第二区间参数矩阵的第二矩阵离散值，根据所述第一矩阵离散值和所述第二矩阵离散值分别从所述第一区间参数矩阵和所述第二区间参数矩阵中提取所述第一轨迹数据清单和所述第二轨迹数据清单；

确定根据所述第一轨迹数据清单和所述第二轨迹数据清单所生成的流量清单队列；针对所述流量清单队列中的当前流量清单队列，基于当前流量清单队列在上一时段内的第一队列变化频率以及各所述流量清单队列在所述当前时段内的第二队列变化频率，确定当前流量清单队列在所述上一时段和当前时段之间的第三队列变化频率；基于所述第三队列变化频率以及所述流量清单队列的数量计算所述第一轨迹数据清单与所述第二轨迹数据清单之间的流量特征重叠率。

可选地，通过所述轨迹偏移量确定出所述目标终端设备在当前时段内的状态参数，根据所述状态参数生成动态安全策略并将所述动态安全策略下发给所述目标终端设备，具体包括：

基于获取的用于表征轨迹偏移量的置信度的偏移量评价因子和轨迹连续性因子，确定待标记的用于识别目标终端设备的状态参数的多个识别标签的标签脚本文件，以及不同识别标签之间的相似度；

基于确定的所述多个识别标签的标签脚本文件，以及不同识别标签之间的相似度，对所述多个识别标签进行标记，使得标记出的识别标签的标签脚本文件对应的文件响应耗时小于第一设定值、且标记出识别标签之间的相似度大于第二设定值；

根据标记出的识别标签从所述目标终端设备的运行日志中提取出目标终端设备在当前时段内的状态参数；将所述状态参数按照时序依次拆分为多个参数段，并确定每个参数段对应的流量处理指标信息；其中，所述流量处理指标信息用于表征所述目标终端设备的吞吐量和最大流量承载量；

确定与每组流量处理指标信息对应的DDos攻击的事件行为特征，并根据所述事件行为特征及其对应的流量处理指标信息的吞吐量和最大流量承载量生成目标安全策略；按照目标安全策略对应的事件行为特征的时序特征将目标安全策略封装为所述动态安全策略。

其次提供一种大数据平台，所述大数据平台与终端设备通信，所述大数据平台用于：

在接收到目标终端设备基于所述大数据平台发送的流量检测请求所反馈的授权指令时，通过所述授权指令中携带的设备接口参数建立与所述目标终端设备对应的流量检测通道；

通过所述流量检测通道采集所述目标终端设备的实时网络流量，并基于所述实时网络流量绘制所述目标终端设备对应的流量曲线；

周期性地基于所述流量曲线确定所述目标终端设备的多组流量变化轨迹，并计算当前时段对应的流量变化轨迹与上一时段对应的流量变化轨迹之间的轨迹偏移量；

在依据所述轨迹偏移量判定出所述目标终端设备遭受分布式拒绝服务攻击时，通过所述轨迹偏移量确定出所述目标终端设备在当前时段内的状态参数，根据所述状态参数生成动态安全策略并将所述动态安全策略下发给所述目标终端设备以使所述目标终端设备基于所述动态安全策略确定出待处理请求中的异常请求并销毁。

可选地，所述大数据平台判断目标终端设备是否遭受到分布式拒绝服务攻击具体具体包括：

判断轨迹偏移量是否低于设定阈值；

在所述轨迹偏移量低于设定阈值时，将上一时段对应的流量变化轨迹叠加到当前时段对应的流量变化轨迹中；计算当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征的相关性系数；如果所述相关性系数大于设定系数，则判定所述目标终端设备遭受到分布式拒绝服务攻击；

在所述轨迹偏移量大于等于所述设定阈值时，确定所述轨迹偏移量在上一时段对应的流量变化轨迹中对应的第一轨迹区间以及在当前时段对应的流量变化轨迹中对应的第二轨迹区间；提取所述第一轨迹区间的第一轨迹数据清单以及所述第二轨迹区间的第二轨迹数据清单，计算所述第一轨迹数据清单与所述第二轨迹数据清单之间的流量特征重叠率；若所述流量特征重叠率大于设定比率，则判定所述目标终端设备遭受到分布式拒绝服务攻击。

然后提供一种大数据平台，包括互相之间通信的处理器和存储器，所述处理器通过运行从所述存储器中调取的计算机程序以实现上述的方法。

最后提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序在运行时实现上述的方法。

本发明实施例提供的基于工业互联网的网络流量异常检测方法及大数据平台，能够通过授权指令中携带的设备接口参数建立与目标终端设备对应的流量检测通道，并通过流量检测通道采集目标终端设备的实时网络流量从而绘制目标终端设备对应的流量曲线，然后周期性地基于流量曲线确定目标终端设备的多组流量变化轨迹，并计算不同时段下的流量变化轨迹之间的轨迹偏移量，最后在依据轨迹偏移量判定出目标终端设备遭受分布式拒绝服务攻击时确定出目标终端设备在当前时段内的状态参数，根据所述状态参数生成动态安全策略并下发给目标终端设备。这样可以使目标终端设备基于动态安全策略确定出待处理请求中的异常请求并销毁。如此，这样能够避免目标终端设备的瘫痪，确保整个工业互联网控制系统的安全可靠运行。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1是基于工业互联网的网络流量异常检测方法的流程图。

图2是基于工业互联网的网络流量异常检测装置的一个实施例框图。

图3是基于工业互联网的网络流量异常检测系统的通信架构示意图。

图4是大数据平台的一种硬件结构图。

具体实施方式

在实际应用时，发明人对分布式拒绝服务攻击的远离进行了分析，发现分布式拒绝服务攻击的攻击方式是在一段时间内向终端设备发送大量的需要处理的无用信息，这样会大规模地占用终端设备的资源，使得终端设备无法正常使用或瘫痪。进一步地，发明人还发现，终端设备在接收到大量需要处理的无用信息时，终端设备的信息流量会发生显著变化。

以上现有技术中的方案所存在的缺陷，均是发明人在经过实践并仔细研究后得出的结果，因此，上述问题的发现过程以及下文中本发明实施例针对上述问题所提出的解决方案，都应该是发明人在本发明过程中对本发明做出的贡献。

为此，本发明实施例提供了基于工业互联网的网络流量异常检测方法及大数据平台，能够对终端设备的实时网络流量进行检测和分析，从而判断终端设备是否遭受DDos攻击，并在判断出终端设备遭受到DDos攻击之后生成针对于DDos攻击的不同阶段的动态安全策略并下发给终端设备，这样能够避免终端设备的瘫痪，确保整个工业互联网控制系统的安全可靠运行。

以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例所提供的基于工业互联网的网络流量异常检测方法的流程示意图，所述网络流量异常检测方法可以应用于与多个终端设备通信的大数据平台，所述大数据平台在运行时通过执行以下步骤S110-步骤S140来实现上述的网络流量异常检测方法。

步骤S110，在接收到目标终端设备基于所述大数据平台发送的流量检测请求所反馈的授权指令时，通过所述授权指令中携带的设备接口参数建立与所述目标终端设备对应的流量检测通道。

在本实施例中，大数据平台首先向每个终端设备发送流量检测请求。终端设备验证流量检测请求是否合法，并在验证合法时向大数据平台反馈携带有设备接口参数的授权指令。

大数据平台通过不同的设备接口参数建立不同的流量检测通道，能够避免流量检测通道之间的互相干扰，从而确保对每个终端设备的流量检测的准确性和可靠性。

步骤S120，通过所述流量检测通道采集所述目标终端设备的实时网络流量，并基于所述实时网络流量绘制所述目标终端设备对应的流量曲线。

在一个可能的实现方式中，实时网络流量包括所述目标终端设备接收的第一网络流量以及所述目标终端设备发送的第二网络流量。

步骤S130，周期性地基于所述流量曲线确定所述目标终端设备的多组流量变化轨迹，并计算当前时段对应的流量变化轨迹与上一时段对应的流量变化轨迹之间的轨迹偏移量。

在实际实施时，流量变化轨迹可以通过图数据的方式进行表示。其中，图数据中的包括图节点和图连线，所述图节点用于封装流量曲线的特征数据，所述图连线用于连接多个图节点。

步骤S140，在依据所述轨迹偏移量判定出所述目标终端设备遭受分布式拒绝服务攻击时，通过所述轨迹偏移量确定出所述目标终端设备在当前时段内的状态参数，根据所述状态参数生成动态安全策略并将所述动态安全策略下发给所述目标终端设备以使所述目标终端设备基于所述动态安全策略确定出待处理请求中的异常请求并销毁。

具体地，运行参数包括目标终端设备的网络协议参数、加密密钥参数和请求队列配置参数等。动态安全策略包括针对不同时段的请求进行异常检测的脚本文件。异常请求可以理解为分布式拒绝服务攻击对应的大量的需要目标终端设备处理的无效请求。

通过实施上述步骤S110-步骤S140所描述的内容，能够通过授权指令中携带的设备接口参数建立与目标终端设备对应的流量检测通道，并通过流量检测通道采集目标终端设备的实时网络流量从而绘制目标终端设备对应的流量曲线，然后周期性地基于流量曲线确定目标终端设备的多组流量变化轨迹，并计算不同时段下的流量变化轨迹之间的轨迹偏移量，最后在依据轨迹偏移量判定出目标终端设备遭受分布式拒绝服务攻击时确定出目标终端设备在当前时段内的状态参数，根据所述状态参数生成动态安全策略并下发给目标终端设备。这样可以使目标终端设备基于动态安全策略确定出待处理请求中的异常请求并销毁。如此，这样能够避免目标终端设备的瘫痪，确保整个工业互联网控制系统的安全可靠运行。

在实施上述方案时发明人发现，依据轨迹偏移量进行分布式拒绝服务攻击的判断时，可能会出现漏判的现象。发明人在对漏判现象进行研究和分析后得出如下原因：没有将连续时段下的流量变化轨迹的迭代性考虑在内，这样会导致连续时段下的流量变化轨迹之间出现流量特征的缺失，从而影响到判断的准确性。为改善上述问题，在步骤S140中，示例性地可以通过以下步骤S1411-步骤S1413所描述的方法判断目标终端设备是否遭受到分布式拒绝服务攻击。

步骤S1411，判断轨迹偏移量是否低于设定阈值，若是，则转向步骤S1412，若否，则转向步骤S1413。

步骤S1412，在所述轨迹偏移量低于设定阈值时，将上一时段对应的流量变化轨迹叠加到当前时段对应的流量变化轨迹中，并计算当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征的相关性系数，如果所述相关性系数大于设定系数，则判定所述目标终端设备遭受到分布式拒绝服务攻击。

步骤S1413，在所述轨迹偏移量大于等于所述设定阈值时，确定所述轨迹偏移量在上一时段对应的流量变化轨迹中对应的第一轨迹区间以及在当前时段对应的流量变化轨迹中对应的第二轨迹区间；提取所述第一轨迹区间的第一轨迹数据清单以及所述第二轨迹区间的第二轨迹数据清单，计算所述第一轨迹数据清单与所述第二轨迹数据清单之间的流量特征重叠率，若所述流量特征重叠率大于设定比率，则判定所述目标终端设备遭受到分布式拒绝服务攻击。

可以理解，基于上述步骤S1411-步骤S1413，能够将连续时段下的流量变化轨迹的迭代性和叠加性考虑在内，这样能够确保连续时段下的流量变化轨迹之间不会出现流量特征的缺失，从而确保分布式拒绝服务攻击的判断准确性。

在具体实施时，为了确保不同时段下的流量变化轨迹在叠加时流量报文在流量协议地址上的一一对应，从而准确地确定不同时段下的流量变化轨迹的轨迹特征的相关性系数，步骤S1412所描述的将上一时段对应的流量变化轨迹叠加到当前时段对应的流量变化轨迹中，并计算当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征的相关性系数，具体可以包括以下步骤a-步骤e所描述的内容。

步骤a，生成上一时段对应的流量变化轨迹对应的用于表征上一时段对应的流量变化轨迹的流量报文的报文信息的第一流量协议地址列表以及用于表征当前时段对应的流量变化轨迹的流量报文的报文信息的第二流量协议地址列表；其中，所述第一流量协议地址列表和所述第二流量协议地址列表中分别包括相同数量的多个列表单元，且每个列表单元的单元识别度不同，所述单元识别度用于表征所述列表单元的列表特征的关联度。

步骤b，从上一时段对应的流量变化轨迹对应的第一流量协议地址列表中提取出其中一个列表单元对应的协议地址路径；其中，在确定所述协议地址路径时，并行地将当前时段对应的流量变化轨迹对应的第二流量协议地址列表中具有最大单元识别度的列表单元确定为参考列表单元。

步骤c，将所述协议地址路径映射到所述参考列表单元中并确定出所述协议地址路径在所述参考列表单元中的映射地址路径；通过所述映射地址路径和所述协议地址路径确定所述第一流量协议地址列表和所述第二流量协议地址列表之间的用于表征流量协议地址的对应关系的有向无环图。

步骤d，基于所述用于表征流量协议地址的对应关系的有向无环图将上一时段对应的流量变化轨迹中的每组第一流量轨迹参数叠加到当前时段对应的流量变化轨迹中的对应的第二流量轨迹参数组中。

步骤e，若每组第一流量轨迹参数在其对应的第二流量轨迹参数组中存在唯一对应的协议签名，则根据所述协议签名对当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征所对应的数值队列进行加权，并计算加权之后的数值队列的中位数作为当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征的相关性系数。

步骤f，若每组第一流量轨迹参数在其对应的第二流量轨迹参数组中不存在唯一对应的协议签名，则返回根据所述用于表征流量协议地址的对应关系的有向无环图将上一时段对应的流量变化轨迹中的每组流量轨迹参数叠加到当前时段对应的流量变化轨迹中的对应的第二流量轨迹参数组中的步骤。

在应用上述步骤a-步骤f所描述的内容时，能够确保不同时段下的流量变化轨迹在叠加时流量报文在流量协议地址上的一一对应，从而准确地确定不同时段下的流量变化轨迹的轨迹特征的相关性系数。

在一个可能的实施方式中，步骤S1413所描述的确定所述轨迹偏移量在上一时段对应的流量变化轨迹中对应的第一轨迹区间以及在当前时段对应的流量变化轨迹中对应的第二轨迹区间，提取所述第一轨迹区间的第一轨迹数据清单以及所述第二轨迹区间的第二轨迹数据清单，计算所述第一轨迹数据清单与所述第二轨迹数据清单之间的流量特征重叠率，具体可以包括以下步骤（1）-（4）所描述的内容。

（1）分别将上一时段对应的流量变化轨迹的第一描述信息以及当前时段对应的流量变化轨迹的第二描述信息列出，并将按照上一时段对应的流量变化轨迹与当前时段对应的流量变化轨迹之间的时序权重将所述第一描述信息和第二描述信息进行整合得到目标描述信息；其中，所述目标描述信息中包括多个第一轨迹标识和多个第二轨迹标识。

（2）确定所述轨迹偏移量与每个第一轨迹标识之间的第一偏移权重以及与每个第二轨迹标识之间的第二偏移权重；根据所述第一偏移权重和所述第二偏移权重的分布序列确定所述第一轨迹区间和所述第二轨迹区间。

（3）确定所述第一轨迹区间对应的第一区间参数矩阵以及所述第二轨迹区间对应的第二区间参数矩阵；其中，所述第一区间参数矩阵用于表征所述第一轨迹区间的轨迹节点的分布情况，所述第二区间参数矩阵用于表征所述第二轨迹区间的轨迹节点的分布情况；分别提取所述第一区间参数矩阵的第一矩阵离散值和所述第二区间参数矩阵的第二矩阵离散值，根据所述第一矩阵离散值和所述第二矩阵离散值分别从所述第一区间参数矩阵和所述第二区间参数矩阵中提取所述第一轨迹数据清单和所述第二轨迹数据清单。

（4）确定根据所述第一轨迹数据清单和所述第二轨迹数据清单所生成的流量清单队列；针对所述流量清单队列中的当前流量清单队列，基于当前流量清单队列在上一时段内的第一队列变化频率以及各所述流量清单队列在所述当前时段内的第二队列变化频率，确定当前流量清单队列在所述上一时段和当前时段之间的第三队列变化频率；基于所述第三队列变化频率以及所述流量清单队列的数量计算所述第一轨迹数据清单与所述第二轨迹数据清单之间的流量特征重叠率。

可以理解，通过上述步骤（1）-步骤（4），能够准确地计算第一轨迹数据清单与第二轨迹数据清单之间的流量特征重叠率，从而提高对DDos攻击进行判断和检测的准确性。

在具体实施过程中，为了确保目标终端设备能够应对DDos攻击，需要根据DDos攻击的事件行为特征指定不同的动态安全策略以供目标终端设备使用，为此，步骤S140所描述的通过所述轨迹偏移量确定出所述目标终端设备在当前时段内的状态参数，根据所述状态参数生成动态安全策略并将所述动态安全策略下发给所述目标终端设备，示例性地可以包括以下步骤S1421-步骤S1424所描述的内容。

步骤S1421，基于获取的用于表征轨迹偏移量的置信度的偏移量评价因子和轨迹连续性因子，确定待标记的用于识别目标终端设备的状态参数的多个识别标签的标签脚本文件，以及不同识别标签之间的相似度。

步骤S1422，基于确定的所述多个识别标签的标签脚本文件，以及不同识别标签之间的相似度，对所述多个识别标签进行标记，使得标记出的识别标签的标签脚本文件对应的文件响应耗时小于第一设定值、且标记出识别标签之间的相似度大于第二设定值。

步骤S1423，根据标记出的识别标签从所述目标终端设备的运行日志中提取出目标终端设备在当前时段内的状态参数；将所述状态参数按照时序依次拆分为多个参数段，并确定每个参数段对应的流量处理指标信息；其中，所述流量处理指标信息用于表征所述目标终端设备的吞吐量和最大流量承载量。

步骤S1424，确定与每组流量处理指标信息对应的DDos攻击的事件行为特征，并根据所述事件行为特征及其对应的流量处理指标信息的吞吐量和最大流量承载量生成目标安全策略；按照目标安全策略对应的事件行为特征的时序特征将目标安全策略封装为所述动态安全策略。

在具体实施时，通过执行上述步骤S1421-步骤S1424所描述的内容，能够根据DDos攻击的事件行为特征指定不同的动态安全策略以供目标终端设备使用，从而确保目标终端设备能够应对DDos攻击。

在一种可替换的实施方式中，步骤S110所描述的通过所述授权指令中携带的设备接口参数建立与所述目标终端设备对应的流量检测通道，具体可以包括以下步骤S111-步骤S113所描述的内容。

步骤S111，获取所述设备接口参数对应的数据转发逻辑信息，对所述数据转发逻辑信息进行通道参数提取，得到包括通道密钥字符及所述通道密钥字符对应的带宽频段的通道参数包。

步骤S112，基于所述通道密钥字符以及所述带宽频段生成第一校验随机数并将所述第一校验随机数植入所述通道参数包得到目标参数包。

步骤S113，将所述目标参数包发送给所述目标终端设备以获取所述目标终端设备基于所述第一校验随机数对所述通道参数包进行校验所反馈的第二校验随机数，并在所述第一校验随机数和所述第二校验随机数相等时根据所述通道密钥字符、所述带宽频段、所述第一校验随机数和所述第二校验随机数建立与所述目标终端设备对应的流量检测通道。

示例性地执行上述步骤S111-步骤S113，能够不同的设备接口参数建立不同的流量检测通道，从而避免流量检测通道之间的互相干扰，确保对每个终端设备的流量检测的准确性和可靠性。

进一步地，步骤S120所描述的基于所述实时网络流量绘制所述目标终端设备对应的流量曲线，具体可以包括以下步骤S121-步骤S123所描述的内容。

步骤S121，将所述实时网络流量划分为第一网络流量和第二网络流量。

步骤S122，按照所述第一网络流量和所述第二网络流量在相同时刻上的流量值在预设坐标平面中进行描点，得到所述第一网络流量对应的第一描点集以及所述第二网络流量对应的第二描点集。

步骤S123，基于所述第一网络流量和所述第二网络流量在相同时刻上流量优先级将所述第一描点集和所述第二描点集进行拟合得到流量曲线。

通过上述步骤S121-步骤S123，能够将目标终端设备接收的第一网络流量以及目标终端设备发送的第二网络流量考虑在内，从而完整地确定出流量曲线。

更进一步地，步骤S130所描述的周期性地基于所述流量曲线确定所述目标终端设备的多组流量变化轨迹，并计算当前时段对应的流量变化轨迹与上一时段对应的流量变化轨迹之间的轨迹偏移量，具体可以通过以下步骤S131和步骤S132所描述的内容实现。

步骤S131，按照设定时间步长从所述流量曲线中确定出所述目标终端设备的多组流量变化轨迹。

步骤S132，根据当前时段对应的流量变化轨迹的第一流量值序列以及上一时段对应的流量变化轨迹的第二流量值序列之间的序列差值的加权和确定所述轨迹偏移量。

通过执行上述步骤S131-步骤S132所描述的内容，能够准确地确定计算当前时段对应的流量变化轨迹与上一时段对应的流量变化轨迹之间的轨迹偏移量。

基于上述同样的发明构思，请结合参阅图2，提供了一种基于工业互联网的网络流量异常检测装置200，应用于大数据平台，所述装置包括：

通道建立模块210，用于在接收到目标终端设备基于所述大数据平台发送的流量检测请求所反馈的授权指令时，通过所述授权指令中携带的设备接口参数建立与所述目标终端设备对应的流量检测通道；

流量采集模块220，用于通过所述流量检测通道采集所述目标终端设备的实时网络流量，并基于所述实时网络流量绘制所述目标终端设备对应的流量曲线；

轨迹确定模块230，用于周期性地基于所述流量曲线确定所述目标终端设备的多组流量变化轨迹，并计算当前时段对应的流量变化轨迹与上一时段对应的流量变化轨迹之间的轨迹偏移量；

策略下发模块240，用于在依据所述轨迹偏移量判定出所述目标终端设备遭受分布式拒绝服务攻击时，通过所述轨迹偏移量确定出所述目标终端设备在当前时段内的状态参数，根据所述状态参数生成动态安全策略并将所述动态安全策略下发给所述目标终端设备以使所述目标终端设备基于所述动态安全策略确定出待处理请求中的异常请求并销毁。

可选地，所述策略下发模块240，具体用于：

判断轨迹偏移量是否低于设定阈值；

在所述轨迹偏移量低于设定阈值时，将上一时段对应的流量变化轨迹叠加到当前时段对应的流量变化轨迹中；

计算当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征的相关性系数；

如果所述相关性系数大于设定系数，则判定所述目标终端设备遭受到分布式拒绝服务攻击。

可选地，所述策略下发模块240，进一步具体用于：

在所述轨迹偏移量大于等于所述设定阈值时，确定所述轨迹偏移量在上一时段对应的流量变化轨迹中对应的第一轨迹区间以及在当前时段对应的流量变化轨迹中对应的第二轨迹区间；

提取所述第一轨迹区间的第一轨迹数据清单以及所述第二轨迹区间的第二轨迹数据清单，计算所述第一轨迹数据清单与所述第二轨迹数据清单之间的流量特征重叠率；

若所述流量特征重叠率大于设定比率，则判定所述目标终端设备遭受到分布式拒绝服务攻击。

可选地，所述策略下发模块240，进一步具体用于：

生成上一时段对应的流量变化轨迹对应的用于表征上一时段对应的流量变化轨迹的流量报文的报文信息的第一流量协议地址列表以及用于表征当前时段对应的流量变化轨迹的流量报文的报文信息的第二流量协议地址列表；其中，所述第一流量协议地址列表和所述第二流量协议地址列表中分别包括相同数量的多个列表单元，且每个列表单元的单元识别度不同，所述单元识别度用于表征所述列表单元的列表特征的关联度；

从上一时段对应的流量变化轨迹对应的第一流量协议地址列表中提取出其中一个列表单元对应的协议地址路径；其中，在确定所述协议地址路径时，并行地将当前时段对应的流量变化轨迹对应的第二流量协议地址列表中具有最大单元识别度的列表单元确定为参考列表单元；

将所述协议地址路径映射到所述参考列表单元中并确定出所述协议地址路径在所述参考列表单元中的映射地址路径；通过所述映射地址路径和所述协议地址路径确定所述第一流量协议地址列表和所述第二流量协议地址列表之间的用于表征流量协议地址的对应关系的有向无环图；

基于所述用于表征流量协议地址的对应关系的有向无环图将上一时段对应的流量变化轨迹中的每组第一流量轨迹参数叠加到当前时段对应的流量变化轨迹中的对应的第二流量轨迹参数组中；

若每组第一流量轨迹参数在其对应的第二流量轨迹参数组中存在唯一对应的协议签名，则根据所述协议签名对当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征所对应的数值队列进行加权，并计算加权之后的数值队列的中位数作为当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征的相关性系数；

若每组第一流量轨迹参数在其对应的第二流量轨迹参数组中不存在唯一对应的协议签名，则返回根据所述用于表征流量协议地址的对应关系的有向无环图将上一时段对应的流量变化轨迹中的每组流量轨迹参数叠加到当前时段对应的流量变化轨迹中的对应的第二流量轨迹参数组中的步骤。

可选地，所述策略下发模块240，进一步具体用于：

分别将上一时段对应的流量变化轨迹的第一描述信息以及当前时段对应的流量变化轨迹的第二描述信息列出，并将按照上一时段对应的流量变化轨迹与当前时段对应的流量变化轨迹之间的时序权重将所述第一描述信息和第二描述信息进行整合得到目标描述信息；其中，所述目标描述信息中包括多个第一轨迹标识和多个第二轨迹标识；

确定所述轨迹偏移量与每个第一轨迹标识之间的第一偏移权重以及与每个第二轨迹标识之间的第二偏移权重；根据所述第一偏移权重和所述第二偏移权重的分布序列确定所述第一轨迹区间和所述第二轨迹区间；

确定所述第一轨迹区间对应的第一区间参数矩阵以及所述第二轨迹区间对应的第二区间参数矩阵；其中，所述第一区间参数矩阵用于表征所述第一轨迹区间的轨迹节点的分布情况，所述第二区间参数矩阵用于表征所述第二轨迹区间的轨迹节点的分布情况；分别提取所述第一区间参数矩阵的第一矩阵离散值和所述第二区间参数矩阵的第二矩阵离散值，根据所述第一矩阵离散值和所述第二矩阵离散值分别从所述第一区间参数矩阵和所述第二区间参数矩阵中提取所述第一轨迹数据清单和所述第二轨迹数据清单；

确定根据所述第一轨迹数据清单和所述第二轨迹数据清单所生成的流量清单队列；针对所述流量清单队列中的当前流量清单队列，基于当前流量清单队列在上一时段内的第一队列变化频率以及各所述流量清单队列在所述当前时段内的第二队列变化频率，确定当前流量清单队列在所述上一时段和当前时段之间的第三队列变化频率；基于所述第三队列变化频率以及所述流量清单队列的数量计算所述第一轨迹数据清单与所述第二轨迹数据清单之间的流量特征重叠率。

可选地，所述策略下发模块240，进一步具体用于：

基于获取的用于表征轨迹偏移量的置信度的偏移量评价因子和轨迹连续性因子，确定待标记的用于识别目标终端设备的状态参数的多个识别标签的标签脚本文件，以及不同识别标签之间的相似度；

基于确定的所述多个识别标签的标签脚本文件，以及不同识别标签之间的相似度，对所述多个识别标签进行标记，使得标记出的识别标签的标签脚本文件对应的文件响应耗时小于第一设定值、且标记出识别标签之间的相似度大于第二设定值；

根据标记出的识别标签从所述目标终端设备的运行日志中提取出目标终端设备在当前时段内的状态参数；将所述状态参数按照时序依次拆分为多个参数段，并确定每个参数段对应的流量处理指标信息；其中，所述流量处理指标信息用于表征所述目标终端设备的吞吐量和最大流量承载量；

确定与每组流量处理指标信息对应的DDos攻击的事件行为特征，并根据所述事件行为特征及其对应的流量处理指标信息的吞吐量和最大流量承载量生成目标安全策略；按照目标安全策略对应的事件行为特征的时序特征将目标安全策略封装为所述动态安全策略。

可选地，所述流量采集模块220，用于：

将所述实时网络流量划分为第一网络流量和第二网络流量；

按照所述第一网络流量和所述第二网络流量在相同时刻上的流量值在预设坐标平面中进行描点，得到所述第一网络流量对应的第一描点集以及所述第二网络流量对应的第二描点集；

基于所述第一网络流量和所述第二网络流量在相同时刻上流量优先级将所述第一描点集和所述第二描点集进行拟合得到流量曲线。

可选地，所述轨迹确定模块230，用于：

按照设定时间步长从所述流量曲线中确定出所述目标终端设备的多组流量变化轨迹；

根据当前时段对应的流量变化轨迹的第一流量值序列以及上一时段对应的流量变化轨迹的第二流量值序列之间的序列差值的加权和确定所述轨迹偏移量。

关于上述模块的详细描述请参阅对图1所示的方法的说明，在此不作更多说明。

基于上述同样的发明构思，请结合参阅图3，提供了一种基于工业互联网的网络流量异常检测系统300，所述系统包括互相之间通信的大数据平台400和终端设备500；

所述大数据平台400用于：

在接收到目标终端设备基于所述大数据平台发送的流量检测请求所反馈的授权指令时，通过所述授权指令中携带的设备接口参数建立与所述目标终端设备对应的流量检测通道；

通过所述流量检测通道采集所述目标终端设备的实时网络流量，并基于所述实时网络流量绘制所述目标终端设备对应的流量曲线；

周期性地基于所述流量曲线确定所述目标终端设备的多组流量变化轨迹，并计算当前时段对应的流量变化轨迹与上一时段对应的流量变化轨迹之间的轨迹偏移量；

在依据所述轨迹偏移量判定出所述目标终端设备遭受分布式拒绝服务攻击时，通过所述轨迹偏移量确定出所述目标终端设备在当前时段内的状态参数，根据所述状态参数生成动态安全策略并将所述动态安全策略下发给所述目标终端设备；

所述目标终端设备用于：

基于所述动态安全策略确定出待处理请求中的异常请求并销毁。

可选地，所述大数据平台400，具体用于：

判断轨迹偏移量是否低于设定阈值；

在所述轨迹偏移量低于设定阈值时，将上一时段对应的流量变化轨迹叠加到当前时段对应的流量变化轨迹中；

计算当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征的相关性系数；

如果所述相关性系数大于设定系数，则判定所述目标终端设备遭受到分布式拒绝服务攻击。

可选地，所述大数据平台400，进一步具体用于：

在所述轨迹偏移量大于等于所述设定阈值时，确定所述轨迹偏移量在上一时段对应的流量变化轨迹中对应的第一轨迹区间以及在当前时段对应的流量变化轨迹中对应的第二轨迹区间；

提取所述第一轨迹区间的第一轨迹数据清单以及所述第二轨迹区间的第二轨迹数据清单，计算所述第一轨迹数据清单与所述第二轨迹数据清单之间的流量特征重叠率；

若所述流量特征重叠率大于设定比率，则判定所述目标终端设备遭受到分布式拒绝服务攻击。

可选地，所述大数据平台400，进一步具体用于：

生成上一时段对应的流量变化轨迹对应的用于表征上一时段对应的流量变化轨迹的流量报文的报文信息的第一流量协议地址列表以及用于表征当前时段对应的流量变化轨迹的流量报文的报文信息的第二流量协议地址列表；其中，所述第一流量协议地址列表和所述第二流量协议地址列表中分别包括相同数量的多个列表单元，且每个列表单元的单元识别度不同，所述单元识别度用于表征所述列表单元的列表特征的关联度；

从上一时段对应的流量变化轨迹对应的第一流量协议地址列表中提取出其中一个列表单元对应的协议地址路径；其中，在确定所述协议地址路径时，并行地将当前时段对应的流量变化轨迹对应的第二流量协议地址列表中具有最大单元识别度的列表单元确定为参考列表单元；

将所述协议地址路径映射到所述参考列表单元中并确定出所述协议地址路径在所述参考列表单元中的映射地址路径；通过所述映射地址路径和所述协议地址路径确定所述第一流量协议地址列表和所述第二流量协议地址列表之间的用于表征流量协议地址的对应关系的有向无环图；

基于所述用于表征流量协议地址的对应关系的有向无环图将上一时段对应的流量变化轨迹中的每组第一流量轨迹参数叠加到当前时段对应的流量变化轨迹中的对应的第二流量轨迹参数组中；

若每组第一流量轨迹参数在其对应的第二流量轨迹参数组中存在唯一对应的协议签名，则根据所述协议签名对当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征所对应的数值队列进行加权，并计算加权之后的数值队列的中位数作为当前时段对应的流量变化轨迹与下一时段对应的流量变化轨迹之间的轨迹特征的相关性系数；

若每组第一流量轨迹参数在其对应的第二流量轨迹参数组中不存在唯一对应的协议签名，则返回根据所述用于表征流量协议地址的对应关系的有向无环图将上一时段对应的流量变化轨迹中的每组流量轨迹参数叠加到当前时段对应的流量变化轨迹中的对应的第二流量轨迹参数组中的步骤。

可选地，所述大数据平台400，进一步具体用于：

分别将上一时段对应的流量变化轨迹的第一描述信息以及当前时段对应的流量变化轨迹的第二描述信息列出，并将按照上一时段对应的流量变化轨迹与当前时段对应的流量变化轨迹之间的时序权重将所述第一描述信息和第二描述信息进行整合得到目标描述信息；其中，所述目标描述信息中包括多个第一轨迹标识和多个第二轨迹标识；

确定所述轨迹偏移量与每个第一轨迹标识之间的第一偏移权重以及与每个第二轨迹标识之间的第二偏移权重；根据所述第一偏移权重和所述第二偏移权重的分布序列确定所述第一轨迹区间和所述第二轨迹区间；

确定所述第一轨迹区间对应的第一区间参数矩阵以及所述第二轨迹区间对应的第二区间参数矩阵；其中，所述第一区间参数矩阵用于表征所述第一轨迹区间的轨迹节点的分布情况，所述第二区间参数矩阵用于表征所述第二轨迹区间的轨迹节点的分布情况；分别提取所述第一区间参数矩阵的第一矩阵离散值和所述第二区间参数矩阵的第二矩阵离散值，根据所述第一矩阵离散值和所述第二矩阵离散值分别从所述第一区间参数矩阵和所述第二区间参数矩阵中提取所述第一轨迹数据清单和所述第二轨迹数据清单；

确定根据所述第一轨迹数据清单和所述第二轨迹数据清单所生成的流量清单队列；针对所述流量清单队列中的当前流量清单队列，基于当前流量清单队列在上一时段内的第一队列变化频率以及各所述流量清单队列在所述当前时段内的第二队列变化频率，确定当前流量清单队列在所述上一时段和当前时段之间的第三队列变化频率；基于所述第三队列变化频率以及所述流量清单队列的数量计算所述第一轨迹数据清单与所述第二轨迹数据清单之间的流量特征重叠率。

可选地，所述大数据平台400，进一步具体用于：

基于获取的用于表征轨迹偏移量的置信度的偏移量评价因子和轨迹连续性因子，确定待标记的用于识别目标终端设备的状态参数的多个识别标签的标签脚本文件，以及不同识别标签之间的相似度；

基于确定的所述多个识别标签的标签脚本文件，以及不同识别标签之间的相似度，对所述多个识别标签进行标记，使得标记出的识别标签的标签脚本文件对应的文件响应耗时小于第一设定值、且标记出识别标签之间的相似度大于第二设定值；

根据标记出的识别标签从所述目标终端设备的运行日志中提取出目标终端设备在当前时段内的状态参数；将所述状态参数按照时序依次拆分为多个参数段，并确定每个参数段对应的流量处理指标信息；其中，所述流量处理指标信息用于表征所述目标终端设备的吞吐量和最大流量承载量；

确定与每组流量处理指标信息对应的DDos攻击的事件行为特征，并根据所述事件行为特征及其对应的流量处理指标信息的吞吐量和最大流量承载量生成目标安全策略；按照目标安全策略对应的事件行为特征的时序特征将目标安全策略封装为所述动态安全策略。

可选地，所述大数据平台400，用于：

将所述实时网络流量划分为第一网络流量和第二网络流量；

按照所述第一网络流量和所述第二网络流量在相同时刻上的流量值在预设坐标平面中进行描点，得到所述第一网络流量对应的第一描点集以及所述第二网络流量对应的第二描点集；

基于所述第一网络流量和所述第二网络流量在相同时刻上流量优先级将所述第一描点集和所述第二描点集进行拟合得到流量曲线。

可选地，所述大数据平台400，用于：

按照设定时间步长从所述流量曲线中确定出所述目标终端设备的多组流量变化轨迹；

根据当前时段对应的流量变化轨迹的第一流量值序列以及上一时段对应的流量变化轨迹的第二流量值序列之间的序列差值的加权和确定所述轨迹偏移量。

关于上述系统的详细描述请参阅对图1所示的方法的说明，在此不作更多说明。

在上述系统的基础上，如图4所示，还提供了一种大数据平台400的硬件结构示意图，包括互相之间通信的处理器410和存储器420，所述处理器410通过运行从所述存储器420中调取的计算机程序以实现上述的方法。

进一步地，还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序在运行时实现上述的方法。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。