基于P4可编程交换机的工控网络流量异常实时检测方法

本发明公开了一种基于P4可编程交换机的工控网络流量异常实时检测方法，该方法包括：在数据平面实时提取与时间戳相关的网络流量特征，利用基于阀值规则的工业控制网络流量异常检测算法对流量进行高线速的初步检测以发现可疑流量，并将初步检测结果上传至控制平面；控制平面依托周期性维护的关键流量特征数据，得到可疑流量特征数据并上传至检测平面；检测平面利用基于机器学习的流量异常检测模型对可疑流量特征数据进行细粒度检测，获得最终检测结果；当最终和初步检测结果差异超过给定值，基于优化算法或深度强化学习生成新的初步检测阀值规则并更新以优化检测准确性。本发明能大幅降低工控网络流量异常实时检测时延，并显著提升检测准确性。