1.一种基于行为协同感知模型的异常行为预测方法,其特征在于包括以下步骤:
A、收集设备行为信息;
B、判断设备行为信息的协议类型,若为UDP协议,则结束预测,若为TCP协议,则转至步骤C;
C、判断连接频率或传输速度是否超出阈值,若连接频率和传输速度均未超出阈值,则结束预测,否则转至步骤D;
D、对异常行为进行匹配,若匹配失败,则结束预测,否则转至步骤E;
E、输出该设备异常行为警告。
2.根据权利要求1所述的基于行为协同感知模型的异常行为预测方法,其特征在于:步骤C中,连接频率和传输速度的阈值计算步骤包括,
C1、提取连接频率和传输速度的特征项;
C2、分别计算一小时内的连接频率和传输速度的平均值;
C3、连接频率阈值为步骤C2中计算的连接频率平均值的3倍,传输速度阈值为步骤C2中计算的传输速度平均值的3倍。
3.根据权利要求2所述的基于行为协同感知模型的异常行为预测方法,其特征在于:步骤D中,对异常行为进行匹配包括以下步骤,
D1、计算连接频率、连接时间和传输速度三个特征值的方差;
D2、若步骤D1中计算的三个方差均满足阈值范围,则异常行为匹配成功,转至步骤E;否则转至步骤D3;
D3、采样窗口向后滑动1位,若窗口未超过异常行为协同库数据长度,则转至步骤D1,否则结束预测。
4.根据权利要求3所述的基于行为协同感知模型的异常行为预测方法,其特征在于:步骤D1中,方差的计算方法为,
,
其中,x: 表示协同库中某种异常行为的样本;
y:表示现场采集到的设备行为信息样本;
n:表示协同库中某种异常行为做方差计算时的偏移;
S2:表示方差。
5.根据权利要求4所述的基于行为协同感知模型的异常行为预测方法,其特征在于:步骤D3中,采样周期为1ms,即窗口时间长度为1分钟。