1.一種基于工控網(wǎng)絡(luò)流量的異常評(píng)估方法，其特征在于，包括如下步驟：

步驟1、基于多源安全信息的異常校驗(yàn)，通過已知的設(shè)備信息、漏洞信息、網(wǎng)絡(luò)拓?fù)湫畔ⅲ约皩?shí)時(shí)服務(wù)信息過濾確定為正常的異常信息，使用多源模糊評(píng)價(jià)方法確定異常校驗(yàn)結(jié)果；

多源模糊評(píng)價(jià)方法通過以下方式實(shí)現(xiàn)：

確定評(píng)價(jià)因子集和評(píng)價(jià)標(biāo)注，評(píng)價(jià)因子分為三類，分別對(duì)應(yīng)操作系統(tǒng)相關(guān)性、網(wǎng)絡(luò)服務(wù)相關(guān)性和漏洞信息相關(guān)性；

計(jì)算當(dāng)前異常信息與評(píng)價(jià)因子的隸屬度，隸屬度計(jì)算根據(jù)規(guī)則定義查表計(jì)算；

確定權(quán)重向量，權(quán)重向量根據(jù)專家的經(jīng)驗(yàn)來決定，目的是減少兩層模糊綜合評(píng)價(jià)模型中的不確定性；

計(jì)算異常相關(guān)的安全信息與目標(biāo)主機(jī)信息的相關(guān)分?jǐn)?shù)，首先在模糊綜合評(píng)價(jià)的第二級(jí)執(zhí)行評(píng)估，利用二級(jí)評(píng)估的結(jié)果決定一級(jí)評(píng)估和最終相關(guān)度，根據(jù)最終相關(guān)度決定是否過濾異常；

步驟2、進(jìn)行異常流量聚合，通過聚合算法對(duì)異構(gòu)多協(xié)議異常信息進(jìn)行精簡(jiǎn)和標(biāo)準(zhǔn)化，分協(xié)議聚合異常流量，并將分協(xié)議聚合異常流量轉(zhuǎn)化為統(tǒng)一格式的異常信息，減少異常流量數(shù)量；

進(jìn)行異常流量聚合時(shí)，對(duì)于記錄R_a和R_b，聚合相似度的度量方式為：

Dist(R_aj，R_bj)＝1-Sim(R_aj，R_bj)

其中，其中N是數(shù)值屬性的數(shù)量，C是非數(shù)值型屬性的數(shù)量；R_aj是記錄a的第j個(gè)屬性，R_bj是記錄b的第j個(gè)屬性，Dist(R_aj，R_bj)代表兩個(gè)記錄間第j個(gè)屬性的距離，Sim(R_aj，R_bj)代表非數(shù)值型屬性的相似度，abs(R_ai，R_bi)代表數(shù)值型屬性的距離，DiSt(R_a，R_b)代表記錄R_a和R_b的整體距離；

根據(jù)分協(xié)議聚合的結(jié)果，將異常流量轉(zhuǎn)化為IDMEF標(biāo)準(zhǔn)化格式，便于后續(xù)聚合處理；

最后，基于動(dòng)態(tài)時(shí)間閾值對(duì)異常進(jìn)行時(shí)序聚合；

步驟3、實(shí)現(xiàn)基于攻擊圖的異常關(guān)聯(lián)，根據(jù)先驗(yàn)知識(shí)挖掘攻擊意圖、重建攻擊場(chǎng)景，根據(jù)關(guān)聯(lián)關(guān)系構(gòu)建安全事件圖模型，實(shí)時(shí)展示網(wǎng)絡(luò)安全態(tài)勢(shì)，根據(jù)圖模型推理并預(yù)測(cè)可能發(fā)生的安全事件；

步驟3通過以下方式實(shí)現(xiàn)：

步驟3.1、重建攻擊序列，發(fā)現(xiàn)隱藏在異常操作中的真實(shí)關(guān)聯(lián)，使用序列剪枝算法剔除反復(fù)出現(xiàn)的異常模式；

步驟3.2、完成異常事件預(yù)測(cè)，通過已知的攻擊事件關(guān)系與異常關(guān)聯(lián)建立攻擊圖，利用概率計(jì)算安全事件發(fā)生概率，攻擊序列A＞B的發(fā)生概率為：

其中，P代表事件的發(fā)生概率，F(xiàn)代表攻擊圖中事件的出現(xiàn)次數(shù)。