本發明公開了一種基于聚類算法的異常行為檢測的方法，包括以下步驟：A、基于采集到的針對設備的連接建立頻率，平均連接持續時間，流量帶寬采樣信息，形成綜合信息采樣樣本；對設備的綜合信息采樣樣本采樣點進行分類，形成各個設備的行為模型；B、利用上述設備的行為模型，針對新的采樣點進行異常行為檢測。本發明能夠改進現有技術的不足，可以將病毒或者惡意威脅軟件爆發前或者潛伏期的網絡行為識別出來，進行適時預警。

技術領域

本發明涉及計算機網絡技術領域，尤其是一種基于聚類算法的異常行為檢測的方法。

背景技術

隨著信息技術的發展，工業控制系統逐步走向開放，互聯，通用。很多工業控制協議逐漸運行于工業以太網上,針對工業控制系統的攻擊也更加普遍。相對于傳統的IT互聯網絡，工控網絡中的惡意威脅軟件，一旦潛入成功后，很大一部分不會立即對工業網絡造成破壞，而是潛伏下來，探測并等待時機成熟時(如互聯網聯通、接收到指令)，再突然發動進行暴力破壞。

目前，網絡中異常流量檢測技術主要是白名單與黑名單的結合檢測，白名單與黑名單技術都是針對網絡協議流量進行深度解析，并與白名單或者黑名單規則進行匹配，從而對異常網絡協議流量進行告警。對于病毒或者惡意威脅軟件爆發前或者潛伏期內，很大一部分病毒和惡意威脅軟件只是進行探測，導致白名單與黑名單技術無法很好的檢測出威脅潛伏期內的異常網絡行為，對于病毒或者惡意威脅軟件爆發前或者潛伏期的網絡行為無法正確識別。

發明內容

本發明要解決的技術問題是提供一種基于聚類算法的異常行為檢測的方法，能夠解決現有技術的不足，可以將病毒或者惡意威脅軟件爆發前或者潛伏期的網絡行為識別出來，進行適時預警。

為解決上述技術問題，本發明所采取的技術方案如下。

一種基于聚類算法的異常行為檢測的方法，包括以下步驟：

A、基于采集到的針對設備的連接建立頻率，平均連接持續時間，流量帶寬采樣信息，形成綜合信息采樣樣本；對設備的綜合信息采樣樣本采樣點進行分類，形成各個設備的行為模型；

B、利用上述設備的行為模型，針對新的采樣點進行異常行為檢測。

作為優選，步驟A中，利用網絡中部署的探針設備采集網絡流量，在學習階段，周期性地對網絡中的每臺設備的連接建立頻率進行采樣，形成各個設備連接建立頻率采樣樣本，如下表所示，