CN108683678A - 一种基于行为协同感知模型的异常行为预测方法 - Google Patents

一种基于行为协同感知模型的异常行为预测方法 Download PDF

Info

Publication number
CN108683678A
CN108683678A CN201810520142.9A CN201810520142A CN108683678A CN 108683678 A CN108683678 A CN 108683678A CN 201810520142 A CN201810520142 A CN 201810520142A CN 108683678 A CN108683678 A CN 108683678A
Authority
CN
China
Prior art keywords
abnormal behaviour
behavior
connections
transmission speed
rate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810520142.9A
Other languages
English (en)
Inventor
王小东
杨小帅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Tiandihexing Technology Co Ltd
Original Assignee
Beijing Tiandihexing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Tiandihexing Technology Co Ltd filed Critical Beijing Tiandihexing Technology Co Ltd
Priority to CN201810520142.9A priority Critical patent/CN108683678A/zh
Publication of CN108683678A publication Critical patent/CN108683678A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

本发明公开了一种基于行为协同感知模型的异常行为预测方法,包括以下步骤:A、收集设备行为信息;B、判断设备行为信息的协议类型,若为UDP协议,则结束预测,若为TCP协议,则转至步骤C;C、判断连接频率或传输速度是否超出阈值,若连接频率和传输速度均未超出阈值,则结束预测,否则转至步骤D;D、对异常行为进行匹配,若匹配失败,则结束预测,否则转至步骤E;E、输出该设备异常行为警告。本发明能够改进现有技术的不足,在恶意行为爆发前进行适时预警。

Description

一种基于行为协同感知模型的异常行为预测方法
技术领域
本发明涉及网络技术领域,尤其是一种基于行为协同感知模型的异常行为预测方法。
背景技术
随着信息技术的发展,工业控制系统逐步走向联网化。很多工业控制协议逐渐运行于工业以太网上, 针对工业控制系统的攻击也更加普遍。
工控网络中的恶意威胁软件,一旦潜入成功后,很大一部分不会立即对工业网络造成破坏(如伊朗核电站的震网病毒,国内某油田采油信息泄漏事件,Havex病毒),而是潜伏下来,探测并等待时机成熟时(如互联网联通、接收到指令),再突然发动进行暴力破坏。
目前,针对工业控制网络异常行为的检测技术主要有两种办法,白名单和黑名单,这两种方法分别有各自的使用场景,也存在很大使用限制性。另外,这两种技术只能在攻击发生的时候才能检测到,此时可能工业控制网络已经被破坏。因此,对于工业控制网络异常行为预测技术就显得更为重要。
发明内容
本发明要解决的技术问题是提供一种基于行为协同感知模型的异常行为预测方法,能够解决现有技术的不足,在恶意行为爆发前进行适时预警。
为解决上述技术问题,本发明所采取的技术方案如下。
一种基于行为协同感知模型的异常行为预测方法,包括以下步骤:
A、收集设备行为信息;
B、判断设备行为信息的协议类型,若为UDP协议,则结束预测,若为TCP协议,则转至步骤C;
C、判断连接频率或传输速度是否超出阈值,若连接频率和传输速度均未超出阈值,则结束预测,否则转至步骤D;
D、对异常行为进行匹配,若匹配失败,则结束预测,否则转至步骤E;
E、输出该设备异常行为警告。
作为优选,步骤C中,连接频率和传输速度的阈值计算步骤包括,
C1、提取连接频率和传输速度的特征项;
C2、分别计算一小时内的连接频率和传输速度的平均值;
C3、连接频率阈值为步骤C2中计算的连接频率平均值的3倍,传输速度阈值为步骤C2中计算的传输速度平均值的3倍。
作为优选,步骤D中,对异常行为进行匹配包括以下步骤,
D1、计算连接频率、连接时间和传输速度三个特征值的方差;
D2、若步骤D1中计算的三个方差均满足阈值范围,则异常行为匹配成功,转至步骤E;否则转至步骤D3;
D3、采样窗口向后滑动1位,若窗口未超过异常行为协同库数据长度,则转至步骤D1,否则结束预测。
作为优选,步骤D1中,方差的计算方法为,
其中,x: 表示协同库中某种异常行为的样本;
y:表示现场采集到的设备行为信息样本;
n:表示协同库中某种异常行为做方差计算时的偏移;
S2:表示方差。
作为优选,步骤D3中,采样周期为1ms,即窗口时间长度为1分钟。
采用上述技术方案所带来的有益效果在于:本发明通过识别病毒或者恶意威胁软件爆发前或者潜伏期的协同行为来预测网络中的异常设备,如Havex会频繁请求域名,泄密类软件尝试联系互联网等。利用预置协同行为漏洞库和以IP地址,MAC地址,协议,连接建立频率,连接持续时间,传输速度等6个维度建立的行为信息,将上述恶意威胁软件的协同行为识别出来,这样可以有效地识别到感染恶意威胁软件的网络设备和电脑,在恶意行为爆发前进行适时预警。
附图说明
图1是本发明一个具体实施方式的流程图。
图2是本发明一个具体实施方式中阈值计算的流程图。
图3是本发明一个具体实施方式中异常行为匹配的流程图。
具体实施方式
参照图1-3,本发明一个具体实施方式包括以下步骤:
A、收集设备行为信息;
B、判断设备行为信息的协议类型,若为UDP协议,则结束预测,若为TCP协议,则转至步骤C;
C、判断连接频率或传输速度是否超出阈值,若连接频率和传输速度均未超出阈值,则结束预测,否则转至步骤D;
D、对异常行为进行匹配,若匹配失败,则结束预测,否则转至步骤E;
E、输出该设备异常行为警告。
步骤C中,连接频率和传输速度的阈值计算步骤包括,
C1、提取连接频率和传输速度的特征项;
C2、分别计算一小时内的连接频率和传输速度的平均值;
C3、连接频率阈值为步骤C2中计算的连接频率平均值的3倍,传输速度阈值为步骤C2中计算的传输速度平均值的3倍。
步骤D中,对异常行为进行匹配包括以下步骤,
D1、计算连接频率、连接时间和传输速度三个特征值的方差;
D2、若步骤D1中计算的三个方差均满足阈值范围,则异常行为匹配成功,转至步骤E;否则转至步骤D3;
D3、采样窗口向后滑动1位,若窗口未超过异常行为协同库数据长度,则转至步骤D1,否则结束预测。
步骤D1中,方差的计算方法为,
其中,x: 表示协同库中某种异常行为的样本;
y:表示现场采集到的设备行为信息样本;
n:表示协同库中某种异常行为做方差计算时的偏移;
S2:表示方差。
步骤D3中,采样周期为1ms,即窗口时间长度为1分钟。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (5)

1.一种基于行为协同感知模型的异常行为预测方法,其特征在于包括以下步骤:
A、收集设备行为信息;
B、判断设备行为信息的协议类型,若为UDP协议,则结束预测,若为TCP协议,则转至步骤C;
C、判断连接频率或传输速度是否超出阈值,若连接频率和传输速度均未超出阈值,则结束预测,否则转至步骤D;
D、对异常行为进行匹配,若匹配失败,则结束预测,否则转至步骤E;
E、输出该设备异常行为警告。
2.根据权利要求1所述的基于行为协同感知模型的异常行为预测方法,其特征在于:步骤C中,连接频率和传输速度的阈值计算步骤包括,
C1、提取连接频率和传输速度的特征项;
C2、分别计算一小时内的连接频率和传输速度的平均值;
C3、连接频率阈值为步骤C2中计算的连接频率平均值的3倍,传输速度阈值为步骤C2中计算的传输速度平均值的3倍。
3.根据权利要求2所述的基于行为协同感知模型的异常行为预测方法,其特征在于:步骤D中,对异常行为进行匹配包括以下步骤,
D1、计算连接频率、连接时间和传输速度三个特征值的方差;
D2、若步骤D1中计算的三个方差均满足阈值范围,则异常行为匹配成功,转至步骤E;否则转至步骤D3;
D3、采样窗口向后滑动1位,若窗口未超过异常行为协同库数据长度,则转至步骤D1,否则结束预测。
4.根据权利要求3所述的基于行为协同感知模型的异常行为预测方法,其特征在于:步骤D1中,方差的计算方法为,
其中,x: 表示协同库中某种异常行为的样本;
y:表示现场采集到的设备行为信息样本;
n:表示协同库中某种异常行为做方差计算时的偏移;
S2:表示方差。
5.根据权利要求4所述的基于行为协同感知模型的异常行为预测方法,其特征在于:步骤D3中,采样周期为1ms,即窗口时间长度为1分钟。
CN201810520142.9A 2018-05-28 2018-05-28 一种基于行为协同感知模型的异常行为预测方法 Pending CN108683678A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810520142.9A CN108683678A (zh) 2018-05-28 2018-05-28 一种基于行为协同感知模型的异常行为预测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810520142.9A CN108683678A (zh) 2018-05-28 2018-05-28 一种基于行为协同感知模型的异常行为预测方法

Publications (1)

Publication Number Publication Date
CN108683678A true CN108683678A (zh) 2018-10-19

Family

ID=63808445

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810520142.9A Pending CN108683678A (zh) 2018-05-28 2018-05-28 一种基于行为协同感知模型的异常行为预测方法

Country Status (1)

Country Link
CN (1) CN108683678A (zh)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859199A (zh) * 2006-02-20 2006-11-08 华为技术有限公司 一种网络蠕虫检测系统及方法
CN101114938A (zh) * 2007-08-10 2008-01-30 杭州华三通信技术有限公司 一种分布式系统中带有阈值限制的统计方法、系统和装置
CN101316268A (zh) * 2008-07-04 2008-12-03 中国科学院计算技术研究所 一种异常流的检测方法及系统
CN101635658A (zh) * 2009-08-26 2010-01-27 中国科学院计算技术研究所 网络失窃密行为的异常检测方法及系统
CN101969445A (zh) * 2010-11-03 2011-02-09 中国电信股份有限公司 防御DDoS和CC攻击的方法和装置
CN103532940A (zh) * 2013-09-30 2014-01-22 广东电网公司电力调度控制中心 网络安全检测方法及装置
US20140283057A1 (en) * 2013-03-15 2014-09-18 Mehdi Mahvi Tcp validation via systematic transmission regulation and regeneration
CN104243225A (zh) * 2013-06-19 2014-12-24 北京思普崚技术有限公司 一种基于深度包检测的流量识别方法
CN104935609A (zh) * 2015-07-17 2015-09-23 北京京东尚科信息技术有限公司 网络攻击检测方法及检测设备
CN106961410A (zh) * 2016-01-08 2017-07-18 阿里巴巴集团控股有限公司 一种异常访问检测方法及装置
CN107317701A (zh) * 2017-06-13 2017-11-03 电子科技大学 一种基于经验模态分解的网络流量异常检测方法
CN107465648A (zh) * 2016-06-06 2017-12-12 腾讯科技(深圳)有限公司 异常设备的识别方法及装置

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859199A (zh) * 2006-02-20 2006-11-08 华为技术有限公司 一种网络蠕虫检测系统及方法
CN101114938A (zh) * 2007-08-10 2008-01-30 杭州华三通信技术有限公司 一种分布式系统中带有阈值限制的统计方法、系统和装置
CN101316268A (zh) * 2008-07-04 2008-12-03 中国科学院计算技术研究所 一种异常流的检测方法及系统
CN101635658A (zh) * 2009-08-26 2010-01-27 中国科学院计算技术研究所 网络失窃密行为的异常检测方法及系统
CN101969445A (zh) * 2010-11-03 2011-02-09 中国电信股份有限公司 防御DDoS和CC攻击的方法和装置
US20140283057A1 (en) * 2013-03-15 2014-09-18 Mehdi Mahvi Tcp validation via systematic transmission regulation and regeneration
CN104243225A (zh) * 2013-06-19 2014-12-24 北京思普崚技术有限公司 一种基于深度包检测的流量识别方法
CN103532940A (zh) * 2013-09-30 2014-01-22 广东电网公司电力调度控制中心 网络安全检测方法及装置
CN104935609A (zh) * 2015-07-17 2015-09-23 北京京东尚科信息技术有限公司 网络攻击检测方法及检测设备
CN106961410A (zh) * 2016-01-08 2017-07-18 阿里巴巴集团控股有限公司 一种异常访问检测方法及装置
CN107465648A (zh) * 2016-06-06 2017-12-12 腾讯科技(深圳)有限公司 异常设备的识别方法及装置
CN107317701A (zh) * 2017-06-13 2017-11-03 电子科技大学 一种基于经验模态分解的网络流量异常检测方法

Similar Documents

Publication Publication Date Title
CN109600363B (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
US10673877B2 (en) Method and apparatus for detecting port scans in a network
JP6714314B2 (ja) 応答のない発信ネットワークトラフィックの解析を介する感染したネットワークデバイスの検出
Wang et al. A fuzzy pattern-based filtering algorithm for botnet detection
CN109194680B (zh) 一种网络攻击识别方法、装置及设备
US7941853B2 (en) Distributed system and method for the detection of eThreats
KR100862187B1 (ko) 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법
CN103916288B (zh) 一种基于网关与本地的Botnet检测方法及系统
CN106911514A (zh) 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统
CN106506527B (zh) 一种防御udp无连接洪水攻击的方法
JP6174520B2 (ja) 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム
US20170208083A1 (en) Network management device at network edge
CN111049781B (zh) 一种反弹式网络攻击的检测方法、装置、设备及存储介质
CN106549980A (zh) 一种恶意c&c服务器确定方法及装置
CN111478888B (zh) 一种旁路阻断方法、设备及存储介质
Pellegrino et al. Learning behavioral fingerprints from netflows using timed automata
CN113572730A (zh) 一种基于web的主动自动诱捕蜜罐的实现方法
Huang et al. An authentication scheme to defend against UDP DrDoS attacks in 5G networks
CN108600145B (zh) 一种确定DDoS攻击设备的方法及装置
CN110839042B (zh) 一种基于流量的自反馈恶意软件监测系统和方法
CN111049784A (zh) 一种网络攻击的检测方法、装置、设备及存储介质
CN111049780B (zh) 一种网络攻击的检测方法、装置、设备及存储介质
CN109474567B (zh) Ddos攻击溯源方法、装置、存储介质及电子设备
CN112751861A (zh) 一种基于密网和网络大数据的恶意邮件检测方法及系统
CN108683678A (zh) 一种基于行为协同感知模型的异常行为预测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20181019