一种基于行为协同感知模型的异常行为预测方法与流程

技术特征：

1.一种基于行为协同感知模型的异常行为预测方法，其特征在于包括以下步骤：

A、收集设备行为信息；

B、判断设备行为信息的协议类型，若为UDP协议，则结束预测，若为TCP协议，则转至步骤C；

C、判断连接频率或传输速度是否超出阈值，若连接频率和传输速度均未超出阈值，则结束预测，否则转至步骤D；

D、对异常行为进行匹配，若匹配失败，则结束预测，否则转至步骤E；

E、输出该设备异常行为警告。

2.根据权利要求1所述的基于行为协同感知模型的异常行为预测方法，其特征在于：步骤C中，连接频率和传输速度的阈值计算步骤包括，

C1、提取连接频率和传输速度的特征项；

C2、分别计算一小时内的连接频率和传输速度的平均值；

C3、连接频率阈值为步骤C2中计算的连接频率平均值的3倍，传输速度阈值为步骤C2中计算的传输速度平均值的3倍。

3.根据权利要求2所述的基于行为协同感知模型的异常行为预测方法，其特征在于：步骤D中，对异常行为进行匹配包括以下步骤，

D1、计算连接频率、连接时间和传输速度三个特征值的方差；

D2、若步骤D1中计算的三个方差均满足阈值范围，则异常行为匹配成功，转至步骤E；否则转至步骤D3；

D3、采样窗口向后滑动1位，若窗口未超过异常行为协同库数据长度，则转至步骤D1，否则结束预测。

4.根据权利要求3所述的基于行为协同感知模型的异常行为预测方法，其特征在于：步骤D1中，方差的计算方法为，

，

其中，x: 表示协同库中某种异常行为的样本；

y：表示现场采集到的设备行为信息样本；

n：表示协同库中某种异常行为做方差计算时的偏移；

S²：表示方差。

5.根据权利要求4所述的基于行为协同感知模型的异常行为预测方法，其特征在于：步骤D3中，采样周期为1ms，即窗口时间长度为1分钟。