【技术实现步骤摘要】
一种基于行为协同感知模型的异常行为预测方法
本专利技术涉及网络
,尤其是一种基于行为协同感知模型的异常行为预测方法。
技术介绍
随着信息技术的发展,工业控制系统逐步走向联网化。很多工业控制协议逐渐运行于工业以太网上,针对工业控制系统的攻击也更加普遍。工控网络中的恶意威胁软件,一旦潜入成功后,很大一部分不会立即对工业网络造成破坏(如伊朗核电站的震网病毒,国内某油田采油信息泄漏事件,Havex病毒),而是潜伏下来,探测并等待时机成熟时(如互联网联通、接收到指令),再突然发动进行暴力破坏。目前,针对工业控制网络异常行为的检测技术主要有两种办法,白名单和黑名单,这两种方法分别有各自的使用场景,也存在很大使用限制性。另外,这两种技术只能在攻击发生的时候才能检测到,此时可能工业控制网络已经被破坏。因此,对于工业控制网络异常行为预测技术就显得更为重要。
技术实现思路
本专利技术要解决的技术问题是提供一种基于行为协同感知模型的异常行为预测方法,能够解决现有技术的不足,在恶意行为爆发前进行适时预警。为解决上述技术问题,本专利技术所采取的技术方案如下。一种基于行为协同感知模型的异常行为预测方法,包括以下步骤:A、收集设备行为信息;B、判断设备行为信息的协议类型,若为UDP协议,则结束预测,若为TCP协议,则转至步骤C;C、判断连接频率或传输速度是否超出阈值,若连接频率和传输速度均未超出阈值,则结束预测,否则转至步骤D;D、对异常行为进行匹配,若匹配失败,则结束预测,否则转至步骤E;E、输出该设备异常行为警告。作为优选,步骤C中,连接频率和传输速度的阈值计算步骤包括,C1、提 ...
【技术保护点】
1.一种基于行为协同感知模型的异常行为预测方法,其特征在于包括以下步骤:A、收集设备行为信息;B、判断设备行为信息的协议类型,若为UDP协议,则结束预测,若为TCP协议,则转至步骤C;C、判断连接频率或传输速度是否超出阈值,若连接频率和传输速度均未超出阈值,则结束预测,否则转至步骤D;D、对异常行为进行匹配,若匹配失败,则结束预测,否则转至步骤E;E、输出该设备异常行为警告。
【技术特征摘要】
1.一种基于行为协同感知模型的异常行为预测方法,其特征在于包括以下步骤:A、收集设备行为信息;B、判断设备行为信息的协议类型,若为UDP协议,则结束预测,若为TCP协议,则转至步骤C;C、判断连接频率或传输速度是否超出阈值,若连接频率和传输速度均未超出阈值,则结束预测,否则转至步骤D;D、对异常行为进行匹配,若匹配失败,则结束预测,否则转至步骤E;E、输出该设备异常行为警告。2.根据权利要求1所述的基于行为协同感知模型的异常行为预测方法,其特征在于:步骤C中,连接频率和传输速度的阈值计算步骤包括,C1、提取连接频率和传输速度的特征项;C2、分别计算一小时内的连接频率和传输速度的平均值;C3、连接频率阈值为步骤C2中计算的连接频率平均值的3倍,传输速度阈值为步骤C2中计算的传输速度平均值的3倍。3.根据权利要求2所述...
【专利技术属性】
技术研发人员:王小东,杨小帅,
申请(专利权)人:北京天地和兴科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。