CN104883346A - 一种网络设备行为分析方法及*** - Google Patents
一种网络设备行为分析方法及*** Download PDFInfo
- Publication number
- CN104883346A CN104883346A CN201410508492.5A CN201410508492A CN104883346A CN 104883346 A CN104883346 A CN 104883346A CN 201410508492 A CN201410508492 A CN 201410508492A CN 104883346 A CN104883346 A CN 104883346A
- Authority
- CN
- China
- Prior art keywords
- equipment
- behavior
- network equipment
- behavior model
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种网络设备行为分析方法及***,包括为网络设备建立行为模型以及应用行为模型监测设备异常行为。其中,为网络设备建立行为模型的步骤为使用数据采集设备收集并记录一个或多个时间段内正常状态下的用户设备收到和/或发送的数据包;使用行为分析引擎将数据包信息量化为包括一个或多个属性的特征值,并利用所述特征值建立用户设备行为模型。应用行为模型监测设备异常行为的步骤为:由数据采集设备收集一个或多个时间段内与设备相关的数据包;通过行为分析引擎将数据包量化为包括一个或多个属性的特征值,并将所述设备的特征值与行为模型对比来验证设备是否行为异常;如验证结果为异常,则向用户提出警告。
Description
技术领域
本发明涉及信息网络安全领域,尤其涉及一种网络设备行为分析方法及***。
背景技术
随着网络与信息技术的发展,网络正逐步改变人类的生活和工作方式,并对社会的各行各业产生了巨大深远的影响。保证网络的信息安全,更有效地检测和防御网络面临的安全问题,已成为各方关注的重点。尤其是在工业控制等领域,网络安全问题更加凸显。传统解决方案注重对单个数据包的分析,只能对攻击方式本身提供防范和监测,而对于利用零日漏洞以及其他未知攻击手段缺乏应对方案。
从用户的角度出发,一切攻击方式所带来的危害不是攻击本身,而是被攻击网络设备行为异常,例如把***信息泄露给攻击者,设备停止响应,设备执行异常操作等等。本发明采用与现有技术完全不同的应对措施,基于机器学习的原理,通过收集到设备正常状态下的数据包,为被监测设备建立行为模型,从根源上监测网络设备的行为特征,并在发现异常时提供报警信息。
本发明还可以应用到其他方面,例如监测设备异常状态,监测用户误操作等。例如攻击者利用零日漏洞取得设备A的控制权,控制A停止向B发送信息。传统安全解决方案无法检测此类“不作为”的异常。本方法利用机器学习技术,会为A建立行为模型。当A受到攻击停止向B发送消息时,本方法使用行为模型即可发现A的行为异常并产生报警。用户收到报警后检查A,发现A受到攻击。
发明内容
针对现有技术中存在的问题,本发明所提出的应对措施的目的在于提供网络中设备受到未知攻击手段的安全威胁时采取的防范和监测方法,同时也可以应用该方法实时有效地监测设备异常状态、用户误操作等。
为实现上述目的,本发明提供了一种网络设备行为分析方法及***,其技术方案如下:
一种网络设备行为分析方法,包括为网络设备建立行为模型以及应用行为模型监测设备异常行为;其中,为网络设备建立行为模型的步骤为:步骤a1,收集并记录一个或多个时间段内正常状态下的用户设备收到和/或发送的数据包;步骤a2,将所述数据包信息量化为包括一个或多个属性的特征值;步骤a3,利用所述特征值建立用户设备行为模型。应用行为模型监测设备异常行为的步骤为:步骤b1,收集一个或多个时间段内与设备相关的数据包;步骤b2,将数据包量化为包括一个或多个属性的特征值;步骤b3,通过将所述设备的特征值与行为模型对比,验证设备是否行为异常;步骤b4,如步骤b3中验证结果为异常,则向用户提出警告。
进一步地,步骤a1中所述正常状态为一个或多个时间段内用户认可的设备行为;
进一步地,步骤a3中用户设备行为模型的建立使用机器学习的方法;
进一步地,机器学习方法可以基于训练数据的统计信息、基于机器学习算法或者基于异常检查技术等;
进一步地,特征值包括数据包总数、相通讯节点数、每个节点通讯量分布、数据包协议总数以及使用的协议;
进一步地,设备行为异常指基于多个数据包的设备行为偏离正常状态;
一种网络设备行为分析***,包括行为分析引擎、数据存储设备、数据采集设备;数据存储设备能够与行为分析引擎进行数据交换,数据采集设备与数据存储设备连通并向数据存储设备提供用户设备的网络数据;
进一步地,用户设备为网络服务器、工作站、可编程控制器中的一种或几种。
本发明所取得的有益效果为:
使用收集的网络数据建立用户设备行为模型并应用该行为模型监测用户设备的行为异常,从而克服了现有技术中只能对攻击方式本身提供防范和监测的不足,同时提供了针对现有技术无法检测的包括用户设备“不作为”等行为异常的监测与报警。
附图说明
图1为本发明的网络设备行为分析***及其应用的示意图;
图2为建立网络设备行为模型的流程图;
图3为应用网络设备行为模型的流程图。
具体实施方式
如图1所示,数据存储设备2能够与行为分析引擎1进行数据交换,数据采集设备4与数据存储设备2连通并向数据存储设备2提供用户设备A的网络数据。用户设备B向数据存储设备2直接提供自身的网络数据,交换机3保证所有的用户设备的通信。本发明的网络设备行为分析方法分为以下两个阶段:
1.建立行为模型
如图2所示的为网络设备建立行为模型的过程中,数据采集设备4以及用户设备B收集用户设备A和B处于正常工作状态下的一段时间内收到和/或发送的数据包。分析引擎1将收集到的数据包量化为包含了多个属性的特征值,特征值包括但不限于以下信息:数据包总数、相通讯节点数、每个节点通讯量分布、数据包协议总数以及使用的协议。
这些特征值可以基于在一段时间,例如每小时内收集到的数据包。如果想建立时间相关的行为模型,例如为生产运行周期不同的阶段建立不同的模型,则基于多个周期相同阶段内收到的数据包。例如,生成周期为一周,则收集多个周一的数据包,周二的数据包,以此类推。特征值计算方法由F(Datai)=Ti实现:F为特征值计算算法;Datai为与设备i相关的数据包;Ti为生成的特征值列表。所述设备i为网络中的任意用户设备。其中每个设备,或每类设备所收集到的特征值如表1所示:
表1设备收集的特征值列表
| 时间 | 数据包总数 | HTTP总数 | FTP总数 | HTTP/FTP |
| 9时-10时 | 1000 | 600 | 300 | 2.0 |
| 10时-11时 | 1200 | 700 | 360 | 1.9 |
| 11时-12时 | 1300 | 800 | 390 | 2.1 |
| 12时-13时 | 900 | 550 | 270 | 2.0 |
| 等等 |
每行特征值表示了用户设备正常工作时某个时段应有的状态。在收集了大量此类信息后,行为分析引擎1才可能对设备正常工作状态有全面了解。例如表1中,有关设备的数据包总数可以在一定范围内浮动,但HTTP,FTP的比例基本保持不变。
通过机器学***均值正负三个标准差之内(如表2所示)。其可以应用的算法包括:单类分类算法(one-class classification)、支持向量机(SVM)等,以及基于异常检查技术(outlier detection)。
表2特征值取值范围表
| 数据包总数 | HTTP总数 | FTP总数 | HTTP/FTP |
| 1100±548 | 663±333 | 330±164 | 2.0±0.2 |
数据存储设备2记录所建立的行为模型,其中包括建立行为模型所用的特征值、机器学习算法及机器学习算法中所使用的参数,以保证行为模型可以重建,并且在必要时可以修改或升级。
2.应用行为模型
如图3所示的行为模型应用过程中,首先由数据采集设备4和用户设备B收集用户设备在一段时间内收到和/或发送的数据包。这些数据包可能包含一些不正常的数据包,例如黑客攻击包,黑客操控下泄露信息的数据包,设备故障发出的数据包等。将收集到的数据包量化为包含了多个属性的特征值。例如在某个时段内,用户设备数据包的特征值如表3所示:
表3一个时段内用户设备特征值表
| 时间 | 数据包总数 | HTTP总数 | FTP总数 | HTTP/FTP |
| 17时-18时 | 1000 | 590 | 310 | 1.9 |
取得设备特征值后,行为分析引擎通过行为模型验证设备是否工作正常。例如,表3显示了设备在某时段的网络行为特征值。对比表3和表2即可发现,在17时-18时,***未发现行为异常。但是这并不能完全证明***没有被入侵。当入侵者没有发出异常指令,或者异常指令不会对设备行为产生显著影响时,行为模型不能监测到设备行为异常。当黑客通过某种未知手段取得设备的控制权后,试图做出有害行为时。设备的行为往往偏离正常的状态。例如黑客利用FTP向外部发送机密信息。设备会发出较多的FTP数据包,如表4所示:
表4一个时段内用户设备异常特征值表
| 时间 | 数据包总数 | HTTP总数 | FTP总数 | HTTP/FTP |
| 22时-23时 | 1200 | 530 | 410 | 1.3 |
当行为分析引擎发现设备行为异常时,则会向用户提出警告,并给出理由。例如,不正常的HTTP/FTP比例,FTP数据包过多,潜在非法文件传输。
以上所述实施例仅表达了本发明的实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (8)
1.一种网络设备行为分析方法,其特征在于,包括为网络设备建立行为模型以及应用行为模型监测设备异常行为;
其中,为网络设备建立行为模型的步骤如下:
步骤a1:收集并记录一个或多个时间段内正常状态下的用户设备收到和/或发送的数据包;
步骤a2:将所述数据包信息量化为包括一个或多个属性的特征值;
步骤a3:利用所述特征值建立用户设备行为模型;
应用行为模型监测设备异常行为的步骤如下:
步骤b1:收集一个或多个时间段内与设备相关的数据包;
步骤b2:将数据包量化为包括一个或多个属性的特征值;
步骤b3:通过将所述设备的特征值与行为模型对比,验证设备是否行为异常;
步骤b4:如步骤b3中验证结果为异常,则向用户提出警告。
2.如权利要求1所述的网络设备行为分析方法,其特征在于,步骤a1中所述正常状态为一个或多个时间段内用户认可的设备行为。
3.如权利要求1所述的网络设备行为分析方法,其特征在于,步骤a3中用户设备行为模型的建立使用机器学习的方法。
4.如权利要求3所述的网络设备行为分析方法,其特征在于,所述机器学习方法可以基于训练数据的统计信息、基于机器学习算法或者基于异常检查技术。
5.如权利要求1所述的网络设备行为分析方法,其特征在于,所述特征值包括数据包总数、相通讯节点数、每个节点通讯量分布、数据包协议总数以及使用的协议。
6.如权利要求1所述的网络设备行为分析方法,其特征在于,所述设备行为异常指基于多个数据包的设备行为偏离正常状态。
7.一种使用权利要求1-6的任意一项所述方法的网络设备行为分析***,其特征在于,包括行为分析引擎、数据存储设备、数据采集设备;数据存储设备能够与行为分析引擎进行数据交换,数据采集设备与数据存储设备连通并向数据存储设备提供用户设备的网络数据。
8.如权利要求7所述的网络设备行为分析***,其特征在于,所述用户设备为网络服务器、工作站、可编程控制器中的一种或几种。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410508492.5A CN104883346A (zh) | 2014-09-28 | 2014-09-28 | 一种网络设备行为分析方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410508492.5A CN104883346A (zh) | 2014-09-28 | 2014-09-28 | 一种网络设备行为分析方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104883346A true CN104883346A (zh) | 2015-09-02 |
Family
ID=53950681
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410508492.5A Pending CN104883346A (zh) | 2014-09-28 | 2014-09-28 | 一种网络设备行为分析方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104883346A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106056143A (zh) * | 2016-05-26 | 2016-10-26 | 广东欧珀移动通信有限公司 | 终端使用数据处理方法和防沉迷方法及装置、***和终端 |
| WO2017113677A1 (zh) * | 2015-12-28 | 2017-07-06 | 乐视控股(北京)有限公司 | 处理用户行为数据的方法和*** |
| CN109922091A (zh) * | 2019-05-05 | 2019-06-21 | 中国联合网络通信集团有限公司 | 用户终端异常行为的检测方法、服务器、用户终端 |
| CN110495138A (zh) * | 2017-05-31 | 2019-11-22 | 西门子股份公司 | 工业控制***及其网络安全的监视方法 |
| CN110855514A (zh) * | 2019-09-30 | 2020-02-28 | 北京瑞航核心科技有限公司 | 一种关注物联网实体安全的行为监控方法 |
| CN112073414A (zh) * | 2020-09-08 | 2020-12-11 | 国网电子商务有限公司 | 一种工业互联网设备安全接入方法及相关装置 |
| CN112600812A (zh) * | 2020-12-07 | 2021-04-02 | 郑州师范学院 | 一种设备异常工作状态确定方法、装置及设备 |
| CN112995175A (zh) * | 2021-02-24 | 2021-06-18 | 西安热工研究院有限公司 | 一种基于水轮发电机组发电状态进行网络安全防护的方法 |
| WO2023001053A1 (zh) * | 2021-07-21 | 2023-01-26 | 华为技术有限公司 | 设备验证的方法、装置和*** |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1649311A (zh) * | 2005-03-23 | 2005-08-03 | 北京首信科技有限公司 | 基于机器学习的用户行为异常检测***和方法 |
| CN101355504A (zh) * | 2008-08-14 | 2009-01-28 | 成都市华为赛门铁克科技有限公司 | 一种用户行为的确定方法和装置 |
| CN103840983A (zh) * | 2014-01-09 | 2014-06-04 | 中国科学技术大学苏州研究院 | 基于协议行为分析的web隧道检测方法 |
-
2014
- 2014-09-28 CN CN201410508492.5A patent/CN104883346A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1649311A (zh) * | 2005-03-23 | 2005-08-03 | 北京首信科技有限公司 | 基于机器学习的用户行为异常检测***和方法 |
| CN101355504A (zh) * | 2008-08-14 | 2009-01-28 | 成都市华为赛门铁克科技有限公司 | 一种用户行为的确定方法和装置 |
| CN103840983A (zh) * | 2014-01-09 | 2014-06-04 | 中国科学技术大学苏州研究院 | 基于协议行为分析的web隧道检测方法 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017113677A1 (zh) * | 2015-12-28 | 2017-07-06 | 乐视控股(北京)有限公司 | 处理用户行为数据的方法和*** |
| CN106056143B (zh) * | 2016-05-26 | 2019-08-27 | Oppo广东移动通信有限公司 | 终端使用数据处理方法和防沉迷方法及装置、***和终端 |
| CN106056143A (zh) * | 2016-05-26 | 2016-10-26 | 广东欧珀移动通信有限公司 | 终端使用数据处理方法和防沉迷方法及装置、***和终端 |
| US11747799B2 (en) | 2017-05-31 | 2023-09-05 | Siemens Aktiengesellschaft | Industrial control system and network security monitoring method therefor |
| CN110495138A (zh) * | 2017-05-31 | 2019-11-22 | 西门子股份公司 | 工业控制***及其网络安全的监视方法 |
| EP3618354A4 (en) * | 2017-05-31 | 2020-12-02 | Wen Tang | INDUSTRIAL CONTROL SYSTEM AND NETWORK SECURITY MONITORING PROCEDURES FOR IT |
| CN110495138B (zh) * | 2017-05-31 | 2023-09-29 | 西门子股份公司 | 工业控制***及其网络安全的监视方法 |
| CN109922091A (zh) * | 2019-05-05 | 2019-06-21 | 中国联合网络通信集团有限公司 | 用户终端异常行为的检测方法、服务器、用户终端 |
| CN109922091B (zh) * | 2019-05-05 | 2021-11-09 | 中国联合网络通信集团有限公司 | 用户终端异常行为的检测方法、服务器、用户终端 |
| CN110855514A (zh) * | 2019-09-30 | 2020-02-28 | 北京瑞航核心科技有限公司 | 一种关注物联网实体安全的行为监控方法 |
| CN110855514B (zh) * | 2019-09-30 | 2021-06-15 | 北京瑞航核心科技有限公司 | 一种关注物联网实体安全的行为监控方法 |
| CN112073414A (zh) * | 2020-09-08 | 2020-12-11 | 国网电子商务有限公司 | 一种工业互联网设备安全接入方法及相关装置 |
| CN112600812A (zh) * | 2020-12-07 | 2021-04-02 | 郑州师范学院 | 一种设备异常工作状态确定方法、装置及设备 |
| CN112995175B (zh) * | 2021-02-24 | 2022-12-02 | 西安热工研究院有限公司 | 一种基于水轮发电机组发电状态进行网络安全防护的方法 |
| CN112995175A (zh) * | 2021-02-24 | 2021-06-18 | 西安热工研究院有限公司 | 一种基于水轮发电机组发电状态进行网络安全防护的方法 |
| WO2023001053A1 (zh) * | 2021-07-21 | 2023-01-26 | 华为技术有限公司 | 设备验证的方法、装置和*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104883346A (zh) | 一种网络设备行为分析方法及*** | |
| CN105959144B (zh) | 面向工业控制网络的安全数据采集与异常检测方法与*** | |
| Barbosa et al. | Intrusion detection in SCADA networks | |
| JP2017041886A (ja) | 産業制御システムにおけるサイバー攻撃の軽減のための方法 | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| CN105991587B (zh) | 一种入侵检测方法及*** | |
| CN109768981B (zh) | 一种在sdn架构下基于机器学习的网络攻击防御方法和*** | |
| CN104270372B (zh) | 一种参数自适应的网络安全态势量化评估方法 | |
| da Silva et al. | A new methodology for real-time detection of attacks in IEC 61850-based systems | |
| Zheng et al. | Safeguarding building automation networks: THE-driven anomaly detector based on traffic analysis | |
| EP3499837A1 (en) | Ot system monitoring method, apparatus, system, and storage medium | |
| Pan et al. | Anomaly based intrusion detection for building automation and control networks | |
| Okada et al. | Application identification from encrypted traffic based on characteristic changes by encryption | |
| Lin et al. | Timing patterns and correlations in spontaneous {SCADA} traffic for anomaly detection | |
| Spiekermann et al. | Unsupervised packet-based anomaly detection in virtual networks | |
| CN103944912A (zh) | 一种防范网络中各种新兴和未知攻击行为的方法 | |
| Waagsnes et al. | Intrusion Detection System Test Framework for SCADA Systems. | |
| JP6970344B2 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
| Brenner et al. | Better safe than sorry: Risk Management based on a safety-augmented Network Intrusion Detection System | |
| Angséus et al. | Network-based intrusion detection systems for industrial control systems | |
| TWI744545B (zh) | 分散式網路流分析惡意行為偵測系統與其方法 | |
| Soukup et al. | Security framework for iot and fog computing networks | |
| Nakahara et al. | Malware Detection for IoT Devices using Automatically Generated White List and Isolation Forest. | |
| Rinaldi et al. | Softwarization of SCADA: lightweight statistical SDN-agents for anomaly detection | |
| Bernieri et al. | Network Anomaly Detection in Critical Infrastructure Based on Mininet Network Simulator. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150902 |