【技术实现步骤摘要】
异常行为检测方法、装置、终端设备以及存储介质
[0001]本专利技术涉及网络安全领域,尤其涉及异常行为检测方法、装置、终端设备以及存储介质。
技术介绍
[0002]目前以工业控制系统为代表的关键基础设施,越来越多地采用互联网的通用协议,并通过互联网进行数据交换和运行管理,使得网络安全风险渗透到了工业控制系统的方方面面。网络攻击对工业领域的影响持续加剧,工业信息安全俨然已经成为网络安全保障的重要组成部分。
[0003]对工业现场的攻击最为有效且致命的,便是基于工业协议的攻击,此类攻击,轻则引起设备异常、重则引起设备损坏,甚至发生重大安全事故,导致人员伤亡、财力损失等。因此,对工业现场的异常行为检测,提供可靠的异常发现手段,成为工业安全必不可少的一环。
[0004]因此,有必要提出一种提升工业现场的网络安全性的解决方案。
技术实现思路
[0005]本专利技术的主要目的在于提供一种异常行为检测方法、装置、终端设备以及存储介质,旨在提升工业现场的网络安全性。
[0006]为实现上述目的,本专利...
【技术保护点】
【技术特征摘要】
1.一种异常行为检测方法,其特征在于,所述异常行为检测方法包括以下步骤:获取网络设备的流量信息;根据所述流量信息建立行为基线;基于所述行为基线对网络行为进行监测,将与所述行为基线不相符的网络行为作为异常行为。2.如权利要求1所述的异常行为检测方法,其特征在于,所述根据所述流量信息建立行为基线的步骤包括:读取所述流量信息中的数据包,得到工控协议;对所述工控协议进行深度解析,得到所述工控协议中的各操作指令;根据各所述操作指令拟合出各行为趋势;基于各所述行为趋势建立所述行为基线。3.如权利要求2所述的异常行为检测方法,其特征在于,所述根据各所述操作指令拟合出各行为趋势的步骤包括:计算各所述操作指令在预设操作时间内的平均操作次数;根据各所述操作指令在预设操作时间内的平均操作次数拟合出各所述行为趋势,其中各所述行为趋势中包括各所述操作指令的执行次数允许偏差。4.如权利要求1所述的异常行为检测方法,其特征在于,所述基于所述行为基线对网络行为进行监测,将与所述行为基线不相符的网络行为作为异常行为的步骤包括:读取所述网络行为的行为数据,得到控制协议;将所述行为基线与所述控制协议进行协议匹配,判断所述控制协议是否与所述行为基线相符;若所述控制协议与所述行为基线不相符,则判定所述控制协议对应的网络行为为第一异常行为;若所述控制协议与所述行为基线相符,则对所述控制协议进行深度解析后与所述行为基线进行功能码匹配,将与所述行为基线不相符的功能码对应的网络行为作为第二异常行为。5.如权利要求3
‑
4中任一项所述的异常行为检测方法,其特征在于,所述对所述控制协议进行深度解析后与所述行为基线进行功能码匹配,将与所述行为基线不相符的功能码对应的网络行为作为第二异常行为的步骤包括:对所述控制协议进行深度解析,得到所述控制协议的功能码,其中,所述功能码包括控制指令的执行次数与执行时间...
【专利技术属性】
技术研发人员:韩鹏飞,
申请(专利权)人:北京六方云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。