一种基于行为协同感知模型的异常行为预测方法与流程

本发明涉及网络技术领域，尤其是一种基于行为协同感知模型的异常行为预测方法。

背景技术：

随着信息技术的发展，工业控制系统逐步走向联网化。很多工业控制协议逐渐运行于工业以太网上, 针对工业控制系统的攻击也更加普遍。

工控网络中的恶意威胁软件，一旦潜入成功后，很大一部分不会立即对工业网络造成破坏（如伊朗核电站的震网病毒，国内某油田采油信息泄漏事件，Havex病毒），而是潜伏下来，探测并等待时机成熟时（如互联网联通、接收到指令），再突然发动进行暴力破坏。

目前，针对工业控制网络异常行为的检测技术主要有两种办法，白名单和黑名单，这两种方法分别有各自的使用场景，也存在很大使用限制性。另外，这两种技术只能在攻击发生的时候才能检测到，此时可能工业控制网络已经被破坏。因此，对于工业控制网络异常行为预测技术就显得更为重要。

技术实现要素：

本发明要解决的技术问题是提供一种基于行为协同感知模型的异常行为预测方法，能够解决现有技术的不足，在恶意行为爆发前进行适时预警。

为解决上述技术问题，本发明所采取的技术方案如下。

一种基于行为协同感知模型的异常行为预测方法，包括以下步骤：

A、收集设备行为信息；

B、判断设备行为信息的协议类型，若为UDP协议，则结束预测，若为TCP协议，则转至步骤C；

C、判断连接频率或传输速度是否超出阈值，若连接频率和传输速度均未超出阈值，则结束预测，否则转至步骤D；

D、对异常行为进行匹配，若匹配失败，则结束预测，否则转至步骤E；

E、输出该设备异常行为警告。

作为优选，步骤C中，连接频率和传输速度的阈值计算步骤包括，

C1、提取连接频率和传输速度的特征项；

C2、分别计算一小时内的连接频率和传输速度的平均值；

C3、连接频率阈值为步骤C2中计算的连接频率平均值的3倍，传输速度阈值为步骤C2中计算的传输速度平均值的3倍。

作为优选，步骤D中，对异常行为进行匹配包括以下步骤，

D1、计算连接频率、连接时间和传输速度三个特征值的方差；

D2、若步骤D1中计算的三个方差均满足阈值范围，则异常行为匹配成功，转至步骤E；否则转至步骤D3；

D3、采样窗口向后滑动1位，若窗口未超过异常行为协同库数据长度，则转至步骤D1，否则结束预测。

作为优选，步骤D1中，方差的计算方法为，

，

其中，x: 表示协同库中某种异常行为的样本；

y：表示现场采集到的设备行为信息样本；

n：表示协同库中某种异常行为做方差计算时的偏移；

S²：表示方差。

作为优选，步骤D3中，采样周期为1ms，即窗口时间长度为1分钟。

采用上述技术方案所带来的有益效果在于：本发明通过识别病毒或者恶意威胁软件爆发前或者潜伏期的协同行为来预测网络中的异常设备，如Havex会频繁请求域名，泄密类软件尝试联系互联网等。利用预置协同行为漏洞库和以IP地址，MAC地址，协议，连接建立频率，连接持续时间，传输速度等6个维度建立的行为信息，将上述恶意威胁软件的协同行为识别出来，这样可以有效地识别到感染恶意威胁软件的网络设备和电脑，在恶意行为爆发前进行适时预警。

附图说明

图1是本发明一个具体实施方式的流程图。

图2是本发明一个具体实施方式中阈值计算的流程图。

图3是本发明一个具体实施方式中异常行为匹配的流程图。

具体实施方式

参照图1-3，本发明一个具体实施方式包括以下步骤：

A、收集设备行为信息；

B、判断设备行为信息的协议类型，若为UDP协议，则结束预测，若为TCP协议，则转至步骤C；

C、判断连接频率或传输速度是否超出阈值，若连接频率和传输速度均未超出阈值，则结束预测，否则转至步骤D；

D、对异常行为进行匹配，若匹配失败，则结束预测，否则转至步骤E；

E、输出该设备异常行为警告。

步骤C中，连接频率和传输速度的阈值计算步骤包括，

C1、提取连接频率和传输速度的特征项；

C2、分别计算一小时内的连接频率和传输速度的平均值；

C3、连接频率阈值为步骤C2中计算的连接频率平均值的3倍，传输速度阈值为步骤C2中计算的传输速度平均值的3倍。

步骤D中，对异常行为进行匹配包括以下步骤，

D1、计算连接频率、连接时间和传输速度三个特征值的方差；

D2、若步骤D1中计算的三个方差均满足阈值范围，则异常行为匹配成功，转至步骤E；否则转至步骤D3；

D3、采样窗口向后滑动1位，若窗口未超过异常行为协同库数据长度，则转至步骤D1，否则结束预测。

步骤D1中，方差的计算方法为，

，

其中，x: 表示协同库中某种异常行为的样本；

y：表示现场采集到的设备行为信息样本；

n：表示协同库中某种异常行为做方差计算时的偏移；

S²：表示方差。

步骤D3中，采样周期为1ms，即窗口时间长度为1分钟。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。