[发明专利]一种基于聚类算法的异常行为检测的方法

说明书

本发明公开了一种基于聚类算法的异常行为检测的方法，包括以下步骤：A、基于采集到的针对设备的连接建立频率，平均连接持续时间，流量带宽采样信息，形成综合信息采样样本；对设备的综合信息采样样本采样点进行分类，形成各个设备的行为模型；B、利用上述设备的行为模型，针对新的采样点进行异常行为检测。本发明能够改进现有技术的不足，可以将病毒或者恶意威胁软件爆发前或者潜伏期的网络行为识别出来，进行适时预警。

技术领域

本发明涉及计算机网络技术领域，尤其是一种基于聚类算法的异常行为检测的方法。

背景技术

随着信息技术的发展，工业控制系统逐步走向开放，互联，通用。很多工业控制协议逐渐运行于工业以太网上,针对工业控制系统的攻击也更加普遍。相对于传统的IT互联网络，工控网络中的恶意威胁软件，一旦潜入成功后，很大一部分不会立即对工业网络造成破坏，而是潜伏下来，探测并等待时机成熟时(如互联网联通、接收到指令)，再突然发动进行暴力破坏。

目前，网络中异常流量检测技术主要是白名单与黑名单的结合检测，白名单与黑名单技术都是针对网络协议流量进行深度解析，并与白名单或者黑名单规则进行匹配，从而对异常网络协议流量进行告警。对于病毒或者恶意威胁软件爆发前或者潜伏期内，很大一部分病毒和恶意威胁软件只是进行探测，导致白名单与黑名单技术无法很好的检测出威胁潜伏期内的异常网络行为，对于病毒或者恶意威胁软件爆发前或者潜伏期的网络行为无法正确识别。

发明内容

本发明要解决的技术问题是提供一种基于聚类算法的异常行为检测的方法，能够解决现有技术的不足，可以将病毒或者恶意威胁软件爆发前或者潜伏期的网络行为识别出来，进行适时预警。

为解决上述技术问题，本发明所采取的技术方案如下。

一种基于聚类算法的异常行为检测的方法，包括以下步骤：

A、基于采集到的针对设备的连接建立频率，平均连接持续时间，流量带宽采样信息，形成综合信息采样样本；对设备的综合信息采样样本采样点进行分类，形成各个设备的行为模型；

B、利用上述设备的行为模型，针对新的采样点进行异常行为检测。

作为优选，步骤A中，利用网络中部署的探针设备采集网络流量，在学习阶段，周期性地对网络中的每台设备的连接建立频率进行采样，形成各个设备连接建立频率采样样本，如下表所示，