一种网络设备行为分析方法及系统的制作方法

文档序号:8907656阅读:565来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种网络设备行为分析方法及系统的制作方法
【技术领域】
[0001] 本发明涉及信息网络安全领域,尤其涉及一种网络设备行为分析方法及系统。
【背景技术】
[0002] 随着网络与信息技术的发展,网络正逐步改变人类的生活和工作方式,并对社会 的各行各业产生了巨大深远的影响。保证网络的信息安全,更有效地检测和防御网络面临 的安全问题,已成为各方关注的重点。尤其是在工业控制等领域,网络安全问题更加凸显。 传统解决方案注重对单个数据包的分析,只能对攻击方式本身提供防范和监测,而对于利 用零日漏洞以及其他未知攻击手段缺乏应对方案。
[0003] 从用户的角度出发,一切攻击方式所带来的危害不是攻击本身,而是被攻击网络 设备行为异常,例如把系统信息泄露给攻击者,设备停止响应,设备执行异常操作等等。本 发明采用与现有技术完全不同的应对措施,基于机器学习的原理,通过收集到设备正常状 态下的数据包,为被监测设备建立行为模型,从根源上监测网络设备的行为特征,并在发现 异常时提供报警信息。
[0004] 本发明还可以应用到其他方面,例如监测设备异常状态,监测用户误操作等。例如 攻击者利用零日漏洞取得设备A的控制权,控制A停止向B发送信息。传统安全解决方案 无法检测此类"不作为"的异常。本方法利用机器学习技术,会为A建立行为模型。当A受 到攻击停止向B发送消息时,本方法使用行为模型即可发现A的行为异常并产生报警。用 户收到报警后检查A,发现A受到攻击。

【发明内容】

[0005] 针对现有技术中存在的问题,本发明所提出的应对措施的目的在于提供网络中设 备受到未知攻击手段的安全威胁时采取的防范和监测方法,同时也可以应用该方法实时有 效地监测设备异常状态、用户误操作等。
[0006] 为实现上述目的,本发明提供了一种网络设备行为分析方法及系统,其技术方案 如下:
[0007] -种网络设备行为分析方法,包括为网络设备建立行为模型以及应用行为模型监 测设备异常行为;其中,为网络设备建立行为模型的步骤为:步骤al,收集并记录一个或多 个时间段内正常状态下的用户设备收到和/或发送的数据包;步骤a2,将所述数据包信息 量化为包括一个或多个属性的特征值;步骤a3,利用所述特征值建立用户设备行为模型。 应用行为模型监测设备异常行为的步骤为:步骤bl,收集一个或多个时间段内与设备相关 的数据包;步骤b2,将数据包量化为包括一个或多个属性的特征值;步骤b3,通过将所述设 备的特征值与行为模型对比,验证设备是否行为异常;步骤b4,如步骤b3中验证结果为异 常,则向用户提出警告。
[0008] 进一步地,步骤al中所述正常状态为一个或多个时间段内用户认可的设备行为;
[0009] 进一步地,步骤a3中用户设备行为模型的建立使用机器学习的方法;
[0010] 进一步地,机器学习方法可以基于训练数据的统计信息、基于机器学习算法或者 基于异常检查技术等;
[0011] 进一步地,特征值包括数据包总数、相通讯节点数、每个节点通讯量分布、数据包 协议总数以及使用的协议;
[0012] 进一步地,设备行为异常指基于多个数据包的设备行为偏离正常状态;
[0013] 一种网络设备行为分析系统,包括行为分析引擎、数据存储设备、数据采集设备; 数据存储设备能够与行为分析引擎进行数据交换,数据采集设备与数据存储设备连通并向 数据存储设备提供用户设备的网络数据;
[0014] 进一步地,用户设备为网络服务器、工作站、可编程控制器中的一种或几种。
[0015] 本发明所取得的有益效果为:
[0016] 使用收集的网络数据建立用户设备行为模型并应用该行为模型监测用户设备的 行为异常,从而克服了现有技术中只能对攻击方式本身提供防范和监测的不足,同时提供 了针对现有技术无法检测的包括用户设备"不作为"等行为异常的监测与报警。
【附图说明】
[0017] 图1为本发明的网络设备行为分析系统及其应用的示意图;
[0018] 图2为建立网络设备行为模型的流程图;
[0019] 图3为应用网络设备行为模型的流程图。
【具体实施方式】
[0020] 如图1所示,数据存储设备2能够与行为分析引擎1进行数据交换,数据采集设备 4与数据存储设备2连通并向数据存储设备2提供用户设备A的网络数据。用户设备B向 数据存储设备2直接提供自身的网络数据,交换机3保证所有的用户设备的通信。本发明 的网络设备行为分析方法分为以下两个阶段:
[0021] 1.建立行为模型
[0022] 如图2所示的为网络设备建立行为模型的过程中,数据采集设备4以及用户设备B 收集用户设备A和B处于正常工作状态下的一段时间内收到和/或发送的数据包。分析引 擎1将收集到的数据包量化为包含了多个属性的特征值,特征值包括但不限于以下信息: 数据包总数、相通讯节点数、每个节点通讯量分布、数据包协议总数以及使用的协议。
[0023] 这些特征值可以基于在一段时间,例如每小时内收集到的数据包。如果想建立时 间相关的行为模型,例如为生产运行周期不同的阶段建立不同的模型,则基于多个周期相 同阶段内收到的数据包。例如,生成周期为一周,则收集多个周一的数据包,周二的数据 包,以此类推。特征值计算方法由F(Datai) = 实现:F为特征值计算算法;Datai为与设 备i相关的数据包A为生成的特征值列表。所述设备i为网络中的任意用户设备。其中 每个设备,或每类设备所收集到的特征值如表1所示:
[0024] 表1设备收集的特征值列表
[0025]
[0026] _行特征值表示了用户设备^正常工作时某个时段应有的状态。在收集1T大量此类 信息后,行为分析引擎1才可能对设备正常工作状态有全面了解。例如表1中,有关设备的
完整全部详细技术资料下载
当前第1页1 2 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:孙一桉;李凯斌;
  • 技术所有人:北京匡恩网络科技有限责任公司;
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
用户行为分析系统相关技术
开源用户行为分析系统相关技术
动物行为学分析系统相关技术
app用户行为分析系统相关技术
视频行为分析系统相关技术
驾驶员行为分析系统相关技术
行为分析系统相关技术
用户行为分析系统设计相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2