[发明专利]一种网络设备行为分析方法及系统

说明书

技术领域

本发明涉及信息网络安全领域，尤其涉及一种网络设备行为分析方法及系统。

背景技术

随着网络与信息技术的发展，网络正逐步改变人类的生活和工作方式，并对社会的各行各业产生了巨大深远的影响。保证网络的信息安全，更有效地检测和防御网络面临的安全问题，已成为各方关注的重点。尤其是在工业控制等领域，网络安全问题更加凸显。传统解决方案注重对单个数据包的分析，只能对攻击方式本身提供防范和监测，而对于利用零日漏洞以及其他未知攻击手段缺乏应对方案。

从用户的角度出发，一切攻击方式所带来的危害不是攻击本身，而是被攻击网络设备行为异常，例如把系统信息泄露给攻击者，设备停止响应，设备执行异常操作等等。本发明采用与现有技术完全不同的应对措施，基于机器学习的原理，通过收集到设备正常状态下的数据包，为被监测设备建立行为模型，从根源上监测网络设备的行为特征，并在发现异常时提供报警信息。

本发明还可以应用到其他方面，例如监测设备异常状态，监测用户误操作等。例如攻击者利用零日漏洞取得设备A的控制权，控制A停止向B发送信息。传统安全解决方案无法检测此类“不作为”的异常。本方法利用机器学习技术，会为A建立行为模型。当A受到攻击停止向B发送消息时，本方法使用行为模型即可发现A的行为异常并产生报警。用户收到报警后检查A，发现A受到攻击。

发明内容

针对现有技术中存在的问题，本发明所提出的应对措施的目的在于提供网络中设备受到未知攻击手段的安全威胁时采取的防范和监测方法，同时也可以应用该方法实时有效地监测设备异常状态、用户误操作等。

为实现上述目的，本发明提供了一种网络设备行为分析方法及系统，其技术方案如下：

一种网络设备行为分析方法，包括为网络设备建立行为模型以及应用行为模型监测设备异常行为；其中，为网络设备建立行为模型的步骤为：步骤a1，收集并记录一个或多个时间段内正常状态下的用户设备收到和/或发送的数据包；步骤a2，将所述数据包信息量化为包括一个或多个属性的特征值；步骤a3，利用所述特征值建立用户设备行为模型。应用行为模型监测设备异常行为的步骤为：步骤b1，收集一个或多个时间段内与设备相关的数据包；步骤b2，将数据包量化为包括一个或多个属性的特征值；步骤b3，通过将所述设备的特征值与行为模型对比，验证设备是否行为异常；步骤b4，如步骤b3中验证结果为异常，则向用户提出警告。

进一步地，步骤a1中所述正常状态为一个或多个时间段内用户认可的设备行为；

进一步地，步骤a3中用户设备行为模型的建立使用机器学习的方法；

进一步地，机器学习方法可以基于训练数据的统计信息、基于机器学习算法或者基于异常检查技术等；

进一步地，特征值包括数据包总数、相通讯节点数、每个节点通讯量分布、数据包协议总数以及使用的协议；

进一步地，设备行为异常指基于多个数据包的设备行为偏离正常状态；

一种网络设备行为分析系统，包括行为分析引擎、数据存储设备、数据采集设备；数据存储设备能够与行为分析引擎进行数据交换，数据采集设备与数据存储设备连通并向数据存储设备提供用户设备的网络数据；

进一步地，用户设备为网络服务器、工作站、可编程控制器中的一种或几种。

本发明所取得的有益效果为：

使用收集的网络数据建立用户设备行为模型并应用该行为模型监测用户设备的行为异常，从而克服了现有技术中只能对攻击方式本身提供防范和监测的不足，同时提供了针对现有技术无法检测的包括用户设备“不作为”等行为异常的监测与报警。

附图说明

图1为本发明的网络设备行为分析系统及其应用的示意图；

图2为建立网络设备行为模型的流程图；

图3为应用网络设备行为模型的流程图。

具体实施方式

如图1所示，数据存储设备2能够与行为分析引擎1进行数据交换，数据采集设备4与数据存储设备2连通并向数据存储设备2提供用户设备A的网络数据。用户设备B向数据存储设备2直接提供自身的网络数据，交换机3保证所有的用户设备的通信。本发明的网络设备行为分析方法分为以下两个阶段：

1.建立行为模型