一種網(wǎng)絡(luò)設(shè)備行為分析方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及信息網(wǎng)絡(luò)安全領(lǐng)域���,尤其涉及一種網(wǎng)絡(luò)設(shè)備行為分析方法及系統(tǒng)。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)與信息技術(shù)的發(fā)展�,網(wǎng)絡(luò)正逐步改變?nèi)祟惖纳詈凸ぷ鞣绞剑?duì)社會(huì) 的各行各業(yè)產(chǎn)生了巨大深遠(yuǎn)的影響����。保證網(wǎng)絡(luò)的信息安全,更有效地檢測(cè)和防御網(wǎng)絡(luò)面臨 的安全問(wèn)題���,已成為各方關(guān)注的重點(diǎn)����。尤其是在工業(yè)控制等領(lǐng)域,網(wǎng)絡(luò)安全問(wèn)題更加凸顯����。 傳統(tǒng)解決方案注重對(duì)單個(gè)數(shù)據(jù)包的分析,只能對(duì)攻擊方式本身提供防范和監(jiān)測(cè)��,而對(duì)于利 用零日漏洞以及其他未知攻擊手段缺乏應(yīng)對(duì)方案�����。
[0003] 從用戶的角度出發(fā)�����,一切攻擊方式所帶來(lái)的危害不是攻擊本身�,而是被攻擊網(wǎng)絡(luò) 設(shè)備行為異常,例如把系統(tǒng)信息泄露給攻擊者�,設(shè)備停止響應(yīng),設(shè)備執(zhí)行異常操作等等�。本 發(fā)明采用與現(xiàn)有技術(shù)完全不同的應(yīng)對(duì)措施,基于機(jī)器學(xué)習(xí)的原理��,通過(guò)收集到設(shè)備正常狀 態(tài)下的數(shù)據(jù)包���,為被監(jiān)測(cè)設(shè)備建立行為模型�,從根源上監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備的行為特征,并在發(fā)現(xiàn) 異常時(shí)提供報(bào)警信息�。
[0004] 本發(fā)明還可以應(yīng)用到其他方面,例如監(jiān)測(cè)設(shè)備異常狀態(tài)�����,監(jiān)測(cè)用戶誤操作等�����。例如 攻擊者利用零日漏洞取得設(shè)備A的控制權(quán)��,控制A停止向B發(fā)送信息��。傳統(tǒng)安全解決方案 無(wú)法檢測(cè)此類"不作為"的異常����。本方法利用機(jī)器學(xué)習(xí)技術(shù)�,會(huì)為A建立行為模型。當(dāng)A受 到攻擊停止向B發(fā)送消息時(shí)����,本方法使用行為模型即可發(fā)現(xiàn)A的行為異常并產(chǎn)生報(bào)警。用 戶收到報(bào)警后檢查A�����,發(fā)現(xiàn)A受到攻擊。
【發(fā)明內(nèi)容】
[0005] 針對(duì)現(xiàn)有技術(shù)中存在的問(wèn)題�����,本發(fā)明所提出的應(yīng)對(duì)措施的目的在于提供網(wǎng)絡(luò)中設(shè) 備受到未知攻擊手段的安全威脅時(shí)采取的防范和監(jiān)測(cè)方法���,同時(shí)也可以應(yīng)用該方法實(shí)時(shí)有 效地監(jiān)測(cè)設(shè)備異常狀態(tài)�����、用戶誤操作等��。
[0006] 為實(shí)現(xiàn)上述目的����,本發(fā)明提供了一種網(wǎng)絡(luò)設(shè)備行為分析方法及系統(tǒng)�,其技術(shù)方案 如下:
[0007] -種網(wǎng)絡(luò)設(shè)備行為分析方法,包括為網(wǎng)絡(luò)設(shè)備建立行為模型以及應(yīng)用行為模型監(jiān) 測(cè)設(shè)備異常行為�;其中,為網(wǎng)絡(luò)設(shè)備建立行為模型的步驟為:步驟al��,收集并記錄一個(gè)或多 個(gè)時(shí)間段內(nèi)正常狀態(tài)下的用戶設(shè)備收到和/或發(fā)送的數(shù)據(jù)包�����;步驟a2,將所述數(shù)據(jù)包信息 量化為包括一個(gè)或多個(gè)屬性的特征值;步驟a3,利用所述特征值建立用戶設(shè)備行為模型�。 應(yīng)用行為模型監(jiān)測(cè)設(shè)備異常行為的步驟為:步驟bl,收集一個(gè)或多個(gè)時(shí)間段內(nèi)與設(shè)備相關(guān) 的數(shù)據(jù)包�;步驟b2,將數(shù)據(jù)包量化為包括一個(gè)或多個(gè)屬性的特征值;步驟b3,通過(guò)將所述設(shè) 備的特征值與行為模型對(duì)比�����,驗(yàn)證設(shè)備是否行為異常��;步驟b4,如步驟b3中驗(yàn)證結(jié)果為異 常���,則向用戶提出警告。
[0008] 進(jìn)一步地���,步驟al中所述正常狀態(tài)為一個(gè)或多個(gè)時(shí)間段內(nèi)用戶認(rèn)可的設(shè)備行為��;
[0009] 進(jìn)一步地����,步驟a3中用戶設(shè)備行為模型的建立使用機(jī)器學(xué)習(xí)的方法���;
[0010] 進(jìn)一步地�����,機(jī)器學(xué)習(xí)方法可以基于訓(xùn)練數(shù)據(jù)的統(tǒng)計(jì)信息���、基于機(jī)器學(xué)習(xí)算法或者 基于異常檢查技術(shù)等�����;
[0011] 進(jìn)一步地����,特征值包括數(shù)據(jù)包總數(shù)�����、相通訊節(jié)點(diǎn)數(shù)��、每個(gè)節(jié)點(diǎn)通訊量分布��、數(shù)據(jù)包 協(xié)議總數(shù)以及使用的協(xié)議��;
[0012] 進(jìn)一步地�����,設(shè)備行為異常指基于多個(gè)數(shù)據(jù)包的設(shè)備行為偏離正常狀態(tài);
[0013] 一種網(wǎng)絡(luò)設(shè)備行為分析系統(tǒng)�,包括行為分析引擎、數(shù)據(jù)存儲(chǔ)設(shè)備��、數(shù)據(jù)采集設(shè)備����; 數(shù)據(jù)存儲(chǔ)設(shè)備能夠與行為分析引擎進(jìn)行數(shù)據(jù)交換,數(shù)據(jù)采集設(shè)備與數(shù)據(jù)存儲(chǔ)設(shè)備連通并向 數(shù)據(jù)存儲(chǔ)設(shè)備提供用戶設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)�����;
[0014] 進(jìn)一步地����,用戶設(shè)備為網(wǎng)絡(luò)服務(wù)器�、工作站、可編程控制器中的一種或幾種�����。
[0015] 本發(fā)明所取得的有益效果為:
[0016] 使用收集的網(wǎng)絡(luò)數(shù)據(jù)建立用戶設(shè)備行為模型并應(yīng)用該行為模型監(jiān)測(cè)用戶設(shè)備的 行為異常���,從而克服了現(xiàn)有技術(shù)中只能對(duì)攻擊方式本身提供防范和監(jiān)測(cè)的不足�����,同時(shí)提供 了針對(duì)現(xiàn)有技術(shù)無(wú)法檢測(cè)的包括用戶設(shè)備"不作為"等行為異常的監(jiān)測(cè)與報(bào)警��。
【附圖說(shuō)明】
[0017] 圖1為本發(fā)明的網(wǎng)絡(luò)設(shè)備行為分析系統(tǒng)及其應(yīng)用的示意圖���;
[0018] 圖2為建立網(wǎng)絡(luò)設(shè)備行為模型的流程圖����;
[0019] 圖3為應(yīng)用網(wǎng)絡(luò)設(shè)備行為模型的流程圖�����。
【具體實(shí)施方式】
[0020] 如圖1所示�����,數(shù)據(jù)存儲(chǔ)設(shè)備2能夠與行為分析引擎1進(jìn)行數(shù)據(jù)交換��,數(shù)據(jù)采集設(shè)備 4與數(shù)據(jù)存儲(chǔ)設(shè)備2連通并向數(shù)據(jù)存儲(chǔ)設(shè)備2提供用戶設(shè)備A的網(wǎng)絡(luò)數(shù)據(jù)�����。用戶設(shè)備B向 數(shù)據(jù)存儲(chǔ)設(shè)備2直接提供自身的網(wǎng)絡(luò)數(shù)據(jù),交換機(jī)3保證所有的用戶設(shè)備的通信����。本發(fā)明 的網(wǎng)絡(luò)設(shè)備行為分析方法分為以下兩個(gè)階段:
[0021] 1.建立行為模型
[0022] 如圖2所示的為網(wǎng)絡(luò)設(shè)備建立行為模型的過(guò)程中,數(shù)據(jù)采集設(shè)備4以及用戶設(shè)備B 收集用戶設(shè)備A和B處于正常工作狀態(tài)下的一段時(shí)間內(nèi)收到和/或發(fā)送的數(shù)據(jù)包�����。分析引 擎1將收集到的數(shù)據(jù)包量化為包含了多個(gè)屬性的特征值����,特征值包括但不限于以下信息: 數(shù)據(jù)包總數(shù)、相通訊節(jié)點(diǎn)數(shù)���、每個(gè)節(jié)點(diǎn)通訊量分布�����、數(shù)據(jù)包協(xié)議總數(shù)以及使用的協(xié)議�����。
[0023] 這些特征值可以基于在一段時(shí)間,例如每小時(shí)內(nèi)收集到的數(shù)據(jù)包����。如果想建立時(shí) 間相關(guān)的行為模型�,例如為生產(chǎn)運(yùn)行周期不同的階段建立不同的模型�,則基于多個(gè)周期相 同階段內(nèi)收到的數(shù)據(jù)包。例如�,生成周期為一周,則收集多個(gè)周一的數(shù)據(jù)包���,周二的數(shù)據(jù) 包��,以此類推��。特征值計(jì)算方法由F(Datai) = 實(shí)現(xiàn):F為特征值計(jì)算算法��;Datai為與設(shè) 備i相關(guān)的數(shù)據(jù)包A為生成的特征值列表�。所述設(shè)備i為網(wǎng)絡(luò)中的任意用戶設(shè)備���。其中 每個(gè)設(shè)備�,或每類設(shè)備所收集到的特征值如表1所示:
[0024] 表1設(shè)備收集的特征值列表
[0025]
[0026] _行特征值表示了用戶設(shè)備^正常工作時(shí)某個(gè)時(shí)段應(yīng)有的狀態(tài)�����。在收集1T大量此類 信息后,行為分析引擎1才可能對(duì)設(shè)備正常工作狀態(tài)有全面了解���。例如表1中�,有關(guān)設(shè)備的