2.一種基于工控網(wǎng)絡(luò)流量的異常評估系統(tǒng)，其特征在于，包括如下模塊：基于多源安全信息的異常校驗?zāi)K，異常流量聚合模塊，基于攻擊圖的異常關(guān)聯(lián)模塊，其特征在于：

基于多源安全信息的異常校驗?zāi)K，通過已知的設(shè)備信息、漏洞信息、網(wǎng)絡(luò)拓撲信息，以及實時服務(wù)信息過濾確定為正常的異常信息，使用多源模糊評價方法確定異常校驗結(jié)果；

確定評價因子集和評價標(biāo)注，評價因子分為三類，分別對應(yīng)操作系統(tǒng)相關(guān)性、網(wǎng)絡(luò)服務(wù)相關(guān)性和漏洞信息相關(guān)性；

計算當(dāng)前異常信息與評價因子的隸屬度，隸屬度計算根據(jù)規(guī)則定義查表計算；

確定權(quán)重向量，權(quán)重向量根據(jù)專家的經(jīng)驗來決定，目的是減少兩層模糊綜合評價模型中的不確定性；

計算異常相關(guān)的安全信息與目標(biāo)主機信息的相關(guān)分數(shù)，首先在模糊綜合評價的第二級執(zhí)行評估，利用二級評估的結(jié)果決定一級評估和最終相關(guān)度，根據(jù)最終相關(guān)度決定是否過濾異常；異常流量聚合模塊，通過聚合算法對異構(gòu)多協(xié)議異常信息進行精簡和標(biāo)準(zhǔn)化，分協(xié)議聚合異常流量，并將分協(xié)議聚合異常流量轉(zhuǎn)化為統(tǒng)一格式的異常信息，減少異常流量數(shù)量；

進行異常流量聚合時，對于記錄R_a和R_b，聚合相似度的度量方式為：

Dist(R_aj，R_bj)＝1-Sim(R_aj，R_bj)

其中，其中N是數(shù)值屬性的數(shù)量，C是非數(shù)值型屬性的數(shù)量；R_aj是記錄a的第j個屬性，R_bj是記錄b的第j個屬性，Dist(R_aj，R_bj)代表兩個記錄間第j個屬性的距離，Sim(R_aj，R_bj)代表非數(shù)值型屬性的相似度，abs(R_ai，R_bi)代表數(shù)值型屬性的距離，Dist(R_a，R_b)代表記錄R_a和R_b的整體距離；

根據(jù)分協(xié)議聚合的結(jié)果，將異常流量轉(zhuǎn)化為IDMEF標(biāo)準(zhǔn)化格式，便于后續(xù)聚合處理；

最后，基于動態(tài)時間閾值對異常進行時序聚合；

基于攻擊圖的異常關(guān)聯(lián)模塊，根據(jù)先驗知識挖掘攻擊意圖、重建攻擊場景，根據(jù)關(guān)聯(lián)關(guān)系構(gòu)建安全事件圖模型，實時展示網(wǎng)絡(luò)安全態(tài)勢，根據(jù)圖模型推理并預(yù)測可能發(fā)生的安全事件；

重建攻擊序列，發(fā)現(xiàn)隱藏在異常操作中的真實關(guān)聯(lián)，使用序列剪枝算法剔除反復(fù)出現(xiàn)的異常模式；

完成異常事件預(yù)測，通過已知的攻擊事件關(guān)系與異常關(guān)聯(lián)建立攻擊圖，利用概率計算安全事件發(fā)生概率，攻擊序列A＞B的發(fā)生概率為：

其中，P代表事件的發(fā)生概率，F(xiàn)代表攻擊圖中事件的出現(xiàn)次數(shù)。