本发明专利技术公开了一种异常行为检测方法、装置、终端设备以及存储介质,通过获取网络设备的流量信息;根据所述流量信息建立行为基线;基于所述行为基线对网络行为进行监测,将与所述行为基线不相符的网络行为作为异常行为。本发明专利技术提升了工业现场的网络安全性。发明专利技术提升了工业现场的网络安全性。发明专利技术提升了工业现场的网络安全性。
【技术实现步骤摘要】
异常行为检测方法、装置、终端设备以及存储介质
[0001]本专利技术涉及网络安全领域,尤其涉及异常行为检测方法、装置、终端设备以及存储介质。
技术介绍
[0002]目前以工业控制系统为代表的关键基础设施,越来越多地采用互联网的通用协议,并通过互联网进行数据交换和运行管理,使得网络安全风险渗透到了工业控制系统的方方面面。网络攻击对工业领域的影响持续加剧,工业信息安全俨然已经成为网络安全保障的重要组成部分。
[0003]对工业现场的攻击最为有效且致命的,便是基于工业协议的攻击,此类攻击,轻则引起设备异常、重则引起设备损坏,甚至发生重大安全事故,导致人员伤亡、财力损失等。因此,对工业现场的异常行为检测,提供可靠的异常发现手段,成为工业安全必不可少的一环。
[0004]因此,有必要提出一种提升工业现场的网络安全性的解决方案。
技术实现思路
[0005]本专利技术的主要目的在于提供一种异常行为检测方法、装置、终端设备以及存储介质,旨在提升工业现场的网络安全性。
[0006]为实现上述目的,本专利技术提供一种异常行为检测方法,所述异常行为检测方法包括:
[0007]获取网络设备的流量信息;
[0008]根据所述流量信息建立行为基线;
[0009]基于所述行为基线对网络行为进行监测,将与所述行为基线不相符的网络行为作为异常行为。
[0010]可选地,所述根据所述流量信息建立行为基线的步骤包括:
[0011]读取所述流量信息中的数据包,得到工控协议;r/>[0012]对所述工控协议进行深度解析,得到所述工控协议中的各操作指令;
[0013]根据各所述操作指令拟合出各行为趋势;
[0014]基于各所述行为趋势建立所述行为基线。
[0015]可选地,所述根据各所述操作指令拟合出各行为趋势的步骤包括:
[0016]计算各所述操作指令在预设操作时间内的平均操作次数;
[0017]根据各所述操作指令在预设操作时间内的平均操作次数拟合出各所述行为趋势,其中各所述行为趋势中包括各所述操作指令的执行次数允许偏差。
[0018]可选地,所述基于所述行为基线对网络行为进行监测,将与所述行为基线不相符的网络行为作为异常行为的步骤包括:
[0019]读取所述网络行为的行为数据,得到控制协议;
[0020]将所述行为基线与所述控制协议进行协议匹配,判断所述控制协议是否与所述行为基线相符;
[0021]若所述控制协议与所述行为基线不相符,则判定所述控制协议对应的网络行为为第一异常行为;
[0022]若所述控制协议与所述行为基线相符,则对所述控制协议进行深度解析后与所述行为基线进行功能码匹配,将与所述行为基线不相符的功能码对应的网络行为作为第二异常行为。
[0023]可选地,所述对所述控制协议进行深度解析后与所述行为基线进行功能码匹配,将与所述行为基线不相符的功能码对应的网络行为作为第二异常行为,并根据所述第二异常行为提供详细告警的步骤包括:
[0024]对所述控制协议进行深度解析,得到所述控制协议的功能码,其中,所述功能码包括控制指令的执行次数与执行时间;
[0025]将所述控制指令与所述行为基线中的行为趋势进行匹配,判断所述控制指令是否与所述行为基线中的行为趋势相符;
[0026]若所述控制指令与所述行为基线中的行为趋势不相符,则将所述控制指令对应的网络行为作为第二异常行为,并根据所述第二异常行为提供详细告警。
[0027]可选地,所述基于所述行为基线对网络行为进行监测,将与所述行为基线不相符的网络行为作为异常行为的步骤之后还包括:
[0028]根据所述第一异常行为提供初步告警;
[0029]根据所述第二异常行为提供详细告警。
[0030]可选地,所述将所述控制指令与所述行为基线中的行为趋势进行匹配,判断所述控制指令是否与所述行为基线中的行为趋势相符的步骤包括:
[0031]计算所述控制指令在所述执行时间内的平均执行次数;
[0032]将所述控制指令在所述执行时间内的平均执行次数与所述行为基线进行对比,得到所述控制指令的执行次数偏差;
[0033]判断所述执行次数偏差是否超出所述行为趋势的执行次数允许偏差,即判断所述控制指令是否与所述行为基线中的行为趋势相符。
[0034]此外,为实现上述目的,本专利技术还提供一种异常行为检测方法装置,所述异常行为检测方法装置包括:
[0035]获取模块,用于获取网络设备的流量信息;
[0036]建立基线模块,用于根据所述流量信息建立行为基线;
[0037]监测模块,用于基于所述行为基线对网络行为进行监测,将与所述行为基线不相符的网络行为作为异常行为。
[0038]此外,为实现上述目的,本专利技术还提供一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的异常行为检测方法程序,所述异常行为检测方法程序被所述处理器执行时实现如上所述的异常行为检测方法的步骤。
[0039]此外,为实现上述目的,本专利技术还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有异常行为检测方法程序,所述异常行为检测方法程序被处理器执行时实现如上所述的异常行为检测方法的步骤。
[0040]本专利技术实施例提出的一种异常行为检测方法、装置、终端设备以及存储介质,通过获取网络设备的流量信息;根据所述流量信息建立行为基线;基于所述行为基线对网络行为进行监测,将与所述行为基线不相符的网络行为作为异常行为。通过根据网络设备的流量信息建立行为基线,可以为网络行为的分析提供判断标准;通过将与行为基线不相符的网络行为作为异常行为并提供相应告警,可以准确检测出异常行为并确定行为内容,从而提高工业现场的网络安全性。
附图说明
[0041]图1为本专利技术异常行为检测方法装置所属终端设备的功能模块示意图;
[0042]图2为本专利技术异常行为检测方法一示例性实施例的流程示意图;
[0043]图3为本专利技术实施例中基于所述行为基线对网络行为进行监测,将与所述行为基线不相符的网络行为作为异常行为的细化流程示意图;
[0044]图4为本专利技术实施例中提供详细告警的示意图;
[0045]图5为本专利技术实施例中建立基线并根据基线进行异常监测的流程示意图。
[0046]本专利技术目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
[0047]应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。
[0048]本专利技术实施例的主要解决方案是:通过获取网络设备的流量信息;根据所述流量信息建立行为基线;基于所述行为基线对网络行为进行监测,将与所述行为基线不相符的网络行为作为异常行为。通过根据网络设备的流量信息建立行为基线,可以为网络行为的分析提供判断标准;通过将与行为基线不相符的网络行为作为异常行为并提供本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种异常行为检测方法,其特征在于,所述异常行为检测方法包括以下步骤:获取网络设备的流量信息;根据所述流量信息建立行为基线;基于所述行为基线对网络行为进行监测,将与所述行为基线不相符的网络行为作为异常行为。2.如权利要求1所述的异常行为检测方法,其特征在于,所述根据所述流量信息建立行为基线的步骤包括:读取所述流量信息中的数据包,得到工控协议;对所述工控协议进行深度解析,得到所述工控协议中的各操作指令;根据各所述操作指令拟合出各行为趋势;基于各所述行为趋势建立所述行为基线。3.如权利要求2所述的异常行为检测方法,其特征在于,所述根据各所述操作指令拟合出各行为趋势的步骤包括:计算各所述操作指令在预设操作时间内的平均操作次数;根据各所述操作指令在预设操作时间内的平均操作次数拟合出各所述行为趋势,其中各所述行为趋势中包括各所述操作指令的执行次数允许偏差。4.如权利要求1所述的异常行为检测方法,其特征在于,所述基于所述行为基线对网络行为进行监测,将与所述行为基线不相符的网络行为作为异常行为的步骤包括:读取所述网络行为的行为数据,得到控制协议;将所述行为基线与所述控制协议进行协议匹配,判断所述控制协议是否与所述行为基线相符;若所述控制协议与所述行为基线不相符,则判定所述控制协议对应的网络行为为第一异常行为;若所述控制协议与所述行为基线相符,则对所述控制协议进行深度解析后与所述行为基线进行功能码匹配,将与所述行为基线不相符的功能码对应的网络行为作为第二异常行为。5.如权利要求3
‑
4中任一项所述的异常行为检测方法,其特征在于,所述对所述控制协议进行深度解析后与所述行为基线进行功能码匹配,将与所述行为基线不相符的功能码对应的网络行为作为第二异常行为的步骤包括:对所述控制协议进行深度解析,得到所述控制协议的功能码,其中,所述功能码包括控制指令的执行次数与执行时间...
【专利技术属性】
技术研发人员:韩鹏飞,
申请(专利权)人:北京六方云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。