一种基于会话特征连续性的工业控制系统异常检测方法

本申请涉及工业控制系统安全领域，公开了一种基于会话特征连续性的工业控制系统异常检测方法，包括以下步骤：在工业控制系统正常运行的情况下，连续采集工业控制网络中的流量，得到数据包pcap文件，提取网络数据包，并根据会话特征连续的特性构建训练数据集。用卷积神经网络构建孪生网络，用训练数据集训练孪生网络，得到训练好的工控异常检测模型。异常检测阶段，实时采集工业控制网络中的流量，提取出流量中的网络数据包，并根据会话特征连续的特性构建组合样本，将组合样本输出到工控异常检测模型，若模型的输出值大于设定阈值则表示当前系统异常，否则为正常。本发明利能够捕获网络会话中的时序异常，且训练数据集的构建不需要异常样本。