(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111557971.2 (22)申请日 2021.12.16 (71)申请人 北京六方云信息技 术有限公司 地址 100085 北京市海淀区上地信息路12 号1幢2层C202室 申请人 北京六方云科技有限公司 (72)发明人 韩鹏飞　 (74)专利代理 机构 北京恒程知识产权代理有限 公司 11914 代理人 李婷 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) H04L 69/22(2022.01) (54)发明名称 异常行为检测方法、 装置、 终端设备以及存 储介质 (57)摘要 本发明公开了一种异常行为检测方法、 装 置、 终端设备 以及存储介质， 通过获取网络设备 的流量信息； 根据所述流量信息建立行为基线； 基于所述行为基线对网络行为进行监测， 将与所 述行为基线不相符的网络行为作为异常行为。 本 发明提升 了工业现场的网络安全性。 权利要求书2页 说明书9页 附图3页 CN 114301645 A 2022.04.08 CN 114301645 A 1.一种异常行为检测方法， 其特 征在于， 所述异常行为检测方法包括以下步骤： 获取网络设备的流 量信息； 根据所述 流量信息建立行为基线； 基于所述行为基线对 网络行为进行监测， 将与 所述行为基线不相符的网络行为作为异 常行为。 2.如权利要求1所述的异常行为检测方法， 其特征在于， 所述根据 所述流量信 息建立行 为基线的步骤 包括： 读取所述流量信息中的数据包， 得到 工控协议； 对所述工控协议进行深度解析， 得到所述工控协议中的各操作指令； 根据各所述操作指令拟合出 各行为趋势； 基于各所述行为趋势建立所述行为基线。 3.如权利要求2所述的异常行为检测方法， 其特征在于， 所述根据 各所述操作指令拟合 出各行为趋势的步骤 包括： 计算各所述操作指令在预设操作时间内的平均操作次数； 根据各所述操作指令在预设操作时间内的平均操作次数拟合出各所述行为趋势， 其中 各所述行为趋势中包括各 所述操作指令的执 行次数允许偏差 。 4.如权利要求1所述的异常行为检测方法， 其特征在于， 所述基于所述行为基线对 网络 行为进行监测， 将与所述行为基线不相符的网络行为作为异常行为的步骤 包括： 读取所述网络行为的行为数据， 得到控制协议； 将所述行为基线与 所述控制协议进行协议匹配， 判断所述控制协议是否与 所述行为基 线相符； 若所述控制协议与 所述行为基线不相符， 则判定所述控制协议对应的网络行为为第 一 异常行为； 若所述控制协议与 所述行为基线相符， 则对所述控制协议进行深度解析后与 所述行为 基线进行功能码匹配， 将与所述行为基线不相符的功能码对应的网络行为作为第二异常行 为。 5.如权利要求3 ‑4中任一项所述的异常行为检测方法， 其特征在于， 所述对所述控制协 议进行深度解析后与所述行为基线进 行功能码匹配， 将与所述行为基线不相符的功能码对 应的网络行为作为第二异常行为的步骤 包括： 对所述控制协议进行深度解析， 得到所述控制协议的功能码， 其中， 所述功能码包括控 制指令的执 行次数与执 行时间； 将所述控制指令与 所述行为基线中的行为趋势进行匹配， 判断所述控制 指令是否与 所 述行为基线中的行为趋势相符； 若所述控制指令与 所述行为基线中的行为趋势不相符， 则将所述控制 指令对应的网络 行为作为第二异常行为。 6.如权利要求4所述的异常行为检测方法， 其特征在于， 所述基于所述行为基线对 网络 行为进行监测， 将与所述行为基线不相符的网络行为作为异常行为的步骤之后还 包括： 根据所述第一异常行为 提供初步告警； 根据所述第二异常行为 提供详细告警。权　利　要　求　书 1/2 页 2 CN 114301645 A 27.如权利要求5所述的异常行为检测方法， 其特征在于， 所述将所述控制 指令与所述行 为基线中的行为趋势进行匹配， 判断所述控制指令是否与所述行为基线中的行为趋势相符 的步骤包括： 计算所述控制指令在所述执 行时间内的平均执 行次数； 将所述控制指令在所述执行时间内的平均 执行次数与 所述行为基线进行对比， 得到所 述控制指令的执 行次数偏差； 判断所述执行次数偏差是否超出所述行为趋势的执行次数允许偏差， 即判断所述控制 指令是否与所述行为基线中的行为趋势相符。 8.一种异常行为检测装置， 其特 征在于， 所述异常行为检测装置包括： 获取模块， 用于获取网络设备的流 量信息； 建立基线模块， 用于根据所述 流量信息建立行为基线； 监测模块， 用于基于所述行为基线对网络行为进行监测， 将与所述行为基线不相符的 网络行为作为异常行为。 9.一种终端设备， 其特征在于， 所述终端设备包括存储器、 处理器及存储在所述存储器 上并可在所述处理器上运行的异常行为检测方法程序， 所述异常行为检测方法程序被所述 处理器执行时实现如权利要求1 ‑7中任一项所述的异常行为检测方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有异常行 为检测方法程序， 所述异常行为检测方法程序被处理器执行时实现如权利要求1 ‑7中任一 项所述的异常行为检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114301645 A 3