CN109714311B - 一种基于聚类算法的异常行为检测的方法 - Google Patents

Abstract

本发明公开了一种基于聚类算法的异常行为检测的方法，包括以下步骤：A、基于采集到的针对设备的连接建立频率，平均连接持续时间，流量带宽采样信息，形成综合信息采样样本；对设备的综合信息采样样本采样点进行分类，形成各个设备的行为模型；B、利用上述设备的行为模型，针对新的采样点进行异常行为检测。本发明能够改进现有技术的不足，可以将病毒或者恶意威胁软件爆发前或者潜伏期的网络行为识别出来，进行适时预警。

Description

一种基于聚类算法的异常行为检测的方法

技术领域

本发明涉及计算机网络技术领域，尤其是一种基于聚类算法的异常行为检测的方法。

背景技术

随着信息技术的发展，工业控制***逐步走向开放，互联，通用。很多工业控制协议逐渐运行于工业以太网上,针对工业控制***的攻击也更加普遍。相对于传统的IT互联网络，工控网络中的恶意威胁软件，一旦潜入成功后，很大一部分不会立即对工业网络造成破坏，而是潜伏下来，探测并等待时机成熟时(如互联网联通、接收到指令)，再突然发动进行暴力破坏。

目前，网络中异常流量检测技术主要是白名单与黑名单的结合检测，白名单与黑名单技术都是针对网络协议流量进行深度解析，并与白名单或者黑名单规则进行匹配，从而对异常网络协议流量进行告警。对于病毒或者恶意威胁软件爆发前或者潜伏期内，很大一部分病毒和恶意威胁软件只是进行探测，导致白名单与黑名单技术无法很好的检测出威胁潜伏期内的异常网络行为，对于病毒或者恶意威胁软件爆发前或者潜伏期的网络行为无法正确识别。

发明内容

本发明要解决的技术问题是提供一种基于聚类算法的异常行为检测的方法，能够解决现有技术的不足，可以将病毒或者恶意威胁软件爆发前或者潜伏期的网络行为识别出来，进行适时预警。

为解决上述技术问题，本发明所采取的技术方案如下。

一种基于聚类算法的异常行为检测的方法，包括以下步骤：

A、基于采集到的针对设备的连接建立频率，平均连接持续时间，流量带宽采样信息，形成综合信息采样样本；对设备的综合信息采样样本采样点进行分类，形成各个设备的行为模型；

B、利用上述设备的行为模型，针对新的采样点进行异常行为检测。

作为优选，步骤A中，利用网络中部署的探针设备采集网络流量，在学习阶段，周期性地对网络中的每台设备的连接建立频率进行采样，形成各个设备连接建立频率采样样本，如下表所示，

设备	连接建立频率采样样本
		设备1	{F<sub>1,1</sub>,F<sub>1,2</sub>,……F<sub>1,N-1</sub>,F<sub>1,N</sub>}
设备2	{F<sub>2,1</sub>,F<sub>2,2</sub>,……F<sub>2,N-1</sub>,F<sub>2,N</sub>}
		…	…
设备M	{F<sub>M,1</sub>,F<sub>M,2</sub>,……F<sub>M,N-1</sub>,F<sub>M,N</sub>}

其中，F_M,N表示设备m的连接建立频率采样样本中的第n个采样点。

作为优选，步骤A中，利用网络中部署的探针设备采集网络流量，在学习阶段，对网络中的每台设备的连接持续时间进行采样。经过一段时间的采样，形成各个设备连接持续时间采样样本，如下表所示，

设备	连接持续时间采样样本
		设备1	{T<sub>1,1</sub>,T<sub>1,2</sub>,……T<sub>1,N-1</sub>,T<sub>1,N</sub>}
设备2	{T<sub>2,1</sub>,T<sub>2,2</sub>,……T<sub>2,N-1</sub>,T<sub>2,N</sub>}
		…	…
设备M	{T<sub>M,1</sub>,T<sub>M,2</sub>,……T<sub>M,N-1</sub>,T<sub>M,N</sub>}

其中，T_M,N表示设备m的平均连接持续时间采样样本中的第n个采样点。

作为优选，步骤A中，利用网络中部署的探针设备采集网络流量，在学习阶段，周期性地对网络中的每台设备的流量带宽进行采样。经过一段时间的采样，形成各个设备连接持续时间采样样本，如下表所示，

设备	连接持续时间采样样本
		设备1	{B<sub>1,1</sub>,B<sub>1,2</sub>,……B<sub>1,N-1</sub>,B<sub>1,N</sub>}
设备2	{B<sub>2,1</sub>,B<sub>2,2</sub>,……B<sub>2,N-1</sub>,B<sub>2,N</sub>}
		…	…
设备M	{B<sub>M,1</sub>,B<sub>M,2</sub>,……B<sub>M,N-1</sub>,B<sub>M,N</sub>}

其中，B_M,N表示设备m的平均连接持续时间采样样本中的第n个采样点。

作为优选，步骤A中，将采集到的针对设备的连接建立频率，平均连接持续时间，流量带宽采样信息，形成综合信息采样样本，如下表所示，

设备	连接持续时间采样样本
		设备1	{S<sub>1,1</sub>,S<sub>1,2</sub>,……S<sub>1,N-1</sub>,S<sub>1,N</sub>}
设备2	{S<sub>2,1</sub>,S<sub>2,2</sub>,……S<sub>2,N-1</sub>,S<sub>2,N</sub>}
		…	…
设备M	{S<sub>M,1</sub>,S<sub>M,2</sub>,……S<sub>M,N-1</sub>,S<sub>M,N</sub>}

其中，S_M,N表示设备m的平均连接持续时间采样样本中的第n个采样点,并且S_m,n＝{F_m,n,T_m,n,B_m,n}。

作为优选，步骤A中，对设备的综合信息采样样本采样点进行分类包括以下步骤，

随机选择K个点作为初始的质心点，当任意一个点的簇分配结果发生改变时，对数据集中的每一个数据点，对每一个质心计算质心与数据点的距离，将数据点分配到距离最近的簇，对每一个簇，计算簇中所有点的均值，并将均值作为质心。

作为优选，通过轮廓系数来确定K的取值，

对于每个样本点x⁽ⁱ⁾，计算点x⁽ⁱ⁾与其同一个簇内的所有其他采样点距离的平均值，记作a⁽ⁱ⁾，用于量化簇内的凝聚度；

选取x⁽ⁱ⁾外的一个簇b，计算x⁽ⁱ⁾与b中所有点的平均距离，遍历所有其他簇，找到最近的这个平均距离,记作b⁽ⁱ⁾，即为x⁽ⁱ⁾的邻居类，用于量化簇之间分离度；

对于样本点x⁽ⁱ⁾，轮廓系数q⁽ⁱ⁾＝(b⁽ⁱ⁾-a⁽ⁱ⁾)/max(a⁽ⁱ⁾,b⁽ⁱ⁾)；

计算所有样本点x⁽ⁱ⁾的轮廓系数，求出平均值即为整体轮廓系数，度量数据聚类的紧密程度。

作为优选，步骤A中，建立设备的行为模型包括以下步骤，

计算出每一类采样点中点到该类质心的欧氏距离的均值，标准差，最大值；

该类采样点到该类质心的欧氏距离的均值计算方法如下：

该类采样点到该类质心的欧氏距离的标准差计算方法如下：

该类采样点到该类质心的欧氏距离的最大值计算方法如下：

ED_max＝max{||x₁-μ_j||,||x₂-μ_j||,......||x_m-μ_j||}，

其中，xi为第i个采样点，μ_j为第j类质心，m为采样点数量；

针对某个具体的设备，可得到如下信息：

作为优选，步骤B中，计算该采样点到各个分类的质心的欧氏距离，与采样点欧氏距离最小的质心所在的类，即为该采样点所属的类，判断采样点与其所属类的质心的欧氏距离是否大于采样点到各个分类的质心的欧氏距离最大值与2倍的欧氏距离标准差之和，如果出现了大于的情况，则认为该采样点为异常采样点，否则认为该采样点为正常采样点。

采用上述技术方案所带来的有益效果在于：本发明以连接建立频率，连接持续时间，流量带宽3个维度建立的行为模型，将于病毒或者恶意威胁软件爆发前或者潜伏期的网络行为识别出来，进行适时预警。

具体实施方式

本发明一个具体实施方式包括以下步骤：

A、基于采集到的针对设备的连接建立频率，平均连接持续时间，流量带宽采样信息，形成综合信息采样样本；对设备的综合信息采样样本采样点进行分类，形成各个设备的行为模型；

B、利用上述设备的行为模型，针对新的采样点进行异常行为检测。

步骤A中，利用网络中部署的探针设备采集网络流量，在学习阶段，周期性地对网络中的每台设备的连接建立频率进行采样，形成各个设备连接建立频率采样样本，如下表所示，

设备	连接建立频率采样样本
		设备1	{F<sub>1,1</sub>,F<sub>1,2</sub>,......,F<sub>1,N-1</sub>,F<sub>1,N</sub>}
设备2	{F<sub>2,1</sub>,F<sub>2,2</sub>,......,F<sub>2,N-1</sub>,F<sub>2,N</sub>}
		…	…
设备M	{F<sub>M,1</sub>,F<sub>M,2</sub>,......,F<sub>M,N-1</sub>,F<sub>M,N</sub>}

其中，F_m,n表示设备m的连接建立频率采样样本中的第n个采样点。

步骤A中，利用网络中部署的探针设备采集网络流量，在学习阶段，对网络中的每台设备的连接持续时间进行采样。经过一段时间的采样，形成各个设备连接持续时间采样样本，如下表所示，

设备	连接持续时间采样样本
		设备1	{T<sub>1,1</sub>,T<sub>1,2</sub>,......,T<sub>1,N-1</sub>,T<sub>1,N</sub>}
设备2	{T<sub>2,1</sub>,T<sub>2,2</sub>,......,T<sub>2,N-1</sub>,T<sub>2,N</sub>}
		…	…
设备M	{T<sub>M,1</sub>,T<sub>M,2</sub>,......,T<sub>M,N-1</sub>,T<sub>M,N</sub>}

其中，T_m,n表示设备m的平均连接持续时间采样样本中的第n个采样点。

步骤A中，利用网络中部署的探针设备采集网络流量，在学习阶段，周期性地对网络中的每台设备的流量带宽进行采样。经过一段时间的采样，形成各个设备流量带宽采样样本，如下表所示，

其中，B_m,n表示设备m的流量带宽采样样本中的第n个采样点。

步骤A中，将采集到的针对设备的连接建立频率，平均连接持续时间，流量带宽采样信息，形成综合信息采样样本，如下表所示，

设备	流量带宽采样样本
		设备1	{S<sub>1,1</sub>,S<sub>1,2</sub>,......,S<sub>1,N-1</sub>,S<sub>1,N</sub>}
设备2	{S<sub>2,1</sub>,S<sub>2,2</sub>,......,S<sub>2,N-1</sub>,S<sub>2,N</sub>}
		…	…
设备M	{S<sub>M,1</sub>,S<sub>M,2</sub>,......,S<sub>M,N-1</sub>,S<sub>M,N</sub>}

其中S_m,n设备m的综合信息采样样本中的第n个采样点，并且S_m,n＝{F_m,n,T_m,n,B_m,n}。

步骤A中，对设备的综合信息采样样本采样点进行分类包括以下步骤，

随机选择K个点作为初始的质心点，当任意一个点的簇分配结果发生改变时，对数据集中的每一个数据点，对每一个质心计算质心与数据点的距离，将数据点分配到距离最近的簇，对每一个簇，计算簇中所有点的均值，并将均值作为质心。

通过轮廓系数来确定K的取值，

对于每个样本点x⁽ⁱ⁾，计算点x⁽ⁱ⁾与其同一个簇内的所有其他采样点距离的平均值，记作a⁽ⁱ⁾，用于量化簇内的凝聚度；

选取x⁽ⁱ⁾外的一个簇b，计算x⁽ⁱ⁾与b中所有点的平均距离，遍历所有其他簇，找到最近的这个平均距离,记作b⁽ⁱ⁾，即为x⁽ⁱ⁾的邻居类，用于量化簇之间分离度；

对于样本点x⁽ⁱ⁾，轮廓系数q⁽ⁱ⁾＝(b⁽ⁱ⁾-a⁽ⁱ⁾)/max(a⁽ⁱ⁾,b⁽ⁱ⁾)；

计算所有样本点x⁽ⁱ⁾的轮廓系数，求出平均值即为整体轮廓系数，度量数据聚类的紧密程度。

步骤A中，建立设备的行为模型包括以下步骤，

计算出每一类采样点中点到该类质心的欧氏距离的均值，标准差，最大值；

该类采样点到该类质心的欧氏距离的均值计算方法如下：

该类采样点到该类质心的欧氏距离的标准差计算方法如下：

该类采样点到该类质心的欧氏距离的最大值计算方法如下：

ED_max＝max{||x₁-μ_j||,||x₂-μ_j||,......||x_m-μ_j||}，

其中，xi为第i个采样点，μ_j为第j类质心，m为采样点数量；

针对某个具体的设备，可得到如下信息：

步骤B中，计算该采样点到各个分类的质心的欧氏距离，与采样点欧氏距离最小的质心所在的类，即为该采样点所属的类，判断采样点与其所属类的质心的欧氏距离是否大于采样点到各个分类的质心的欧氏距离最大值与2倍的欧氏距离标准差之和，如果出现了大于的情况，则认为该采样点为异常采样点，否则认为该采样点为正常采样点。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (1)

1.一种基于聚类算法的异常行为检测的方法，其特征在于包括以下步骤：

A、基于采集到的针对设备的连接建立频率，平均连接持续时间，流量带宽采样信息，形成综合信息采样样本；对设备的综合信息采样样本采样点进行分类，形成各个设备的行为模型；

利用网络中部署的探针设备采集网络流量，在学习阶段，周期性地对网络中的每台设备的连接建立频率进行采样，形成各个设备连接建立频率采样样本，如下表所示，

设备 连接建立频率采样样本 设备1 {F_1,1,F_1,2,……F_1,N-1,F_1,N} 设备2 {F_2,1,F_2,2,……F_2,N-1,F_2,N} … … 设备M {F_M,1,F_M,2,……F_M,N-1,F_M,N}

其中，F_M,N表示设备M的连接建立频率采样样本中的第N个采样点；

利用网络中部署的探针设备采集网络流量，在学习阶段，对网络中的每台设备的连接持续时间进行采样，经过一段时间的采样，形成各个设备连接持续时间采样样本，如下表所示，

其中，T_M,N表示设备M的平均连接持续时间采样样本中的第N个采样点；

利用网络中部署的探针设备采集网络流量，在学习阶段，周期性地对网络中的每台设备的流量带宽进行采样，经过一段时间的采样，形成各个设备流量带宽采样样本，如下表所示，

设备 流量带宽采样样本 设备1 {B_1,1,B_1,2,……B_1,N-1,B_1,N} 设备2 {B_2,1,B_2,2,……B_2,N-1,B_2,N} … … 设备M {B_M,1,B_M,2,……B_M,N-1,B_M,N}

其中，B_M,N表示设备M的流量带宽采样样本中的第N个采样点；

将采集到的针对设备的连接建立频率，平均连接持续时间，流量带宽采样信息，形成综合信息采样样本，如下表所示，

其中S_M,N是设备M的综合信息采样样本中的第N个采样点，并且S_M,N＝{F_M,N,T_M,N,B_M,N}；

对设备的综合信息采样样本采样点进行分类包括以下步骤，

随机选择K个点作为初始的质心点，当任意一个点的簇分配结果发生改变时，计算每一个质心与每一个采样点的距离，将采样点分配到距离最近的簇，对每一个簇，计算簇中所有点的均值，并将均值作为质心；

通过轮廓系数来确定K的取值，

对于每个采样点x⁽ⁱ⁾，计算点x⁽ⁱ⁾与其同一个簇内的所有其他采样点距离的平均值，记作a⁽ⁱ⁾，用于量化簇内的凝聚度；

选取x⁽ⁱ⁾外的一个簇b，计算x⁽ⁱ⁾与b中所有点的平均距离，遍历所有其他簇，找到最近的这个平均距离,记作b⁽ⁱ⁾，即为x⁽ⁱ⁾的邻居类，用于量化簇之间分离度；

对于采样点x⁽ⁱ⁾，轮廓系数q⁽ⁱ⁾＝(b⁽ⁱ⁾-a⁽ⁱ⁾)/max(a⁽ⁱ⁾，b⁽ⁱ⁾)；

计算所有采样点x⁽ⁱ⁾的轮廓系数，求出平均值即为整体轮廓系数，度量数据聚类的紧密程度；

建立设备的行为模型包括以下步骤，

计算出每一类采样点中点到该类质心的欧氏距离的均值，标准差，最大值；

该类采样点到该类质心的欧氏距离的均值计算方法如下：

该类采样点到该类质心的欧氏距离的标准差计算方法如下：

该类采样点到该类质心的欧氏距离的最大值计算方法如下：

ED_max＝max{||x₁-μ_j||，||x₂-μ_j||，......||x_m-μ_j||}，

其中，x_i为第i个采样点，μ_j为第j类质心，m为采样点数量；

针对某个具体的设备，可得到如下信息：

类别 所包含采样点 类别质心 欧氏距离标准差 欧氏距离最大值 1 {x_1,1,x_1,2,…x_1,m1} μ₁ σ_ED1 ED¹_max 2 {x_2,1,x_2,2,…x_2,m2} μ₂ σ_ED2 ED²_max … … … … … j {x_j,1,x_j,2,…x_j,mj} μ_j σ_EDj ED^j_max … … … … … K {x_k,1,x_k,2,…x_k,mk} μ_k σ_EDk ED^k_max

；

B、利用上述设备的行为模型，针对新的采样点进行异常行为检测；

计算该新的采样点到各个分类的质心的欧氏距离，与该新的采样点欧氏距离最小的质心所在的类，即为该新的采样点所属的类，判断该新的采样点与其所属类的质心的欧氏距离是否大于该新的采样点到各个分类的质心的欧氏距离最大值与2倍的欧氏距离标准差之和，如果出现了大于的情况，则认为该新的采样点为异常采样点，否则认为该新的采样点为正常采样点。