一种面向未知工业通信协议规约的异常行为检测方法技术

本发明专利技术公开了一种面向未知工业通信协议规约的异常行为检测方法，分为在线自学习阶段和实时检测阶段，其中在线自学习阶段主要完成对网络原始通信数据的分析与特征提取，形成事件序列，将事件序列作为隐马尔可夫模型的输入对模型进行训练，通过迭代最终获得优化的隐马尔可夫模型和行为概率门限；实时检测阶段利用优化的隐马尔可夫模型对实时处理的事件序列进行行为概率计算，通过与行为概率门限对比，完成对工业通信行为的异常检测。本发明专利技术能够对使用未知工业通信协议规约的工业通信数据流进行合法性检测，实时发现异常工业通信行为并产生报警，保障工业控制系统的网络通信安全性。

An abnormal behavior detection method for unknown industrial communication protocol protocol

The present invention discloses a kind of abnormal behavior for unknown industrial communication protocol protocol detection method, divided into the online self-learning stage and real-time detection stage, the online self-learning stage mainly completes the feature extraction and analysis of original network communication data, the formation of the sequence of events, the sequence of events as hidden Markov model input model training finally, through the iterative hidden Markov model and behavior probability threshold optimization; hidden Markov model using the optimized real-time detection stage of the real-time processing of the sequence of events of behavior probability calculation, by contrast threshold and behavior probability, complete the anomaly detection of industrial communication behavior. The invention can detect the industrial communication data flow which is regulated by the unknown industrial communication protocol, detect the abnormal industrial communication behavior and generate the alarm in real time, so as to guarantee the network communication security of the industrial control system.

【技术实现步骤摘要】
一种面向未知工业通信协议规约的异常行为检测方法
本专利技术涉及工业控制系统网络安全
，更具体的说是涉及一种面向未知工业通信协议规约的异常行为检测方法。
技术介绍
随着现代通信、计算、网络和控制技术的发展，信息技术运用领域的不断开拓，使得工业化和信息化的融合已经成为一种发展的必然趋势。作为标志性的产物，网络化的工业控制系统得到了国家的高度重视，已经成为未来国民经济和社会发展的战略性规划之一。然而，网络化、信息化的发展也逐渐打破了工业控制系统原始固有的封闭性，随之的信息安全问题也日益暴露出来，并呈现愈演愈烈的趋势。之所以工业控制系统存在诸多信息安全隐患，一个重要原因就是其使用的工业通信协议在设计及实现时缺乏信息安全考虑，缺少相应的安全机制。为此，工业界和学术界已经开始对工业控制系统的信息安全防护进行了研究与探讨。目前针对工业控制系统的很多网络攻击行为主要以工业通信协议漏洞为突破口，对工控终端设备造成威胁，因此现有的工业控制系统安全防护方法也是以解析专有工业通信协议为基础进行展开研究。例如，工业防火墙采用深度包解析技术(DeepPacketInspection，DPI)对工业通信协议进行深层次分析与过滤，实现了对工业通信数据流的访问控制目的。工业网闸通过采用面向专有工业通信协议的网络隔离技术，保障了不同区域的安全数据采集与交换。上述两种方法虽然在一定程度上保护工业控制系统不受网络攻击，但是也存在着不足：首先，白名单的规则设置由人工完成，若出现偏差将导致安全规则错误；其次，作为一种网络安全中间件，会对系统的实时操作产生影响。由于在不干扰工业控制系统运行实时性和可用性的前提下，能够对网络中出现的入侵行为以及非授权行为进行识别、检测与响应，作为一种第三方的旁路异常行为监听方法，工业控制系统的异常检测技术已经成为研究热点之一。目前工业控制系统的异常检测技术可以分为三类：基于统计的方法、基于知识的方法和基于机器学习的方法。这三类方法都是在深入分析工业通信协议的基础上，模拟工业通信行为的异常检测方法，其目的在于通过采用无监督或者半监督的自学习式方法，构建网络化控制系统中网络通信的正常行为模型，与下一轮通信行为进行对比分析，从而判别是否出现通信行为异常。然而，依据工业控制系统中协议规约和消息格式的开放程度，工业通信协议可以分为已知和未知两类，其中已知协议的协议规约和消息格式是完全公开化的，未知协议的协议规约和消息格式是非公开化的、私有化的。上述工业控制系统的异常检测技术大多局限于对已知工业通信协议规约的异常检测方法研究，很少涉及到未知工业通信协议规约的异常检测研究。
技术实现思路
有鉴于此，本专利技术的目的是提供一种面向未知工业通信协议规约的异常行为检测方法，该方法符合“纵深防御”的思想，解决工业控制系统脆弱性和安全检测问题，保障工业控制系统的安全运行。本专利技术的进一步目的是提供一种面向未知工业通信协议规约的异常行为检测方法，针对工业控制系统中使用的协议规约和消息格式非公开化的工业通信协议，完成对通信会话的特征提取，自学习式的训练异常检测模型，实现实时的发现与检测工业控制系统中的异常通信行为，保护工业控制系统中关键基础设施的安全。本专利技术为实现上述目的所采用的技术方案是：一种面向未知工业通信协议规约的异常行为检测方法，包括以下阶段：阶段一，在线自学习阶段：首先捕获工业控制网络中通信数据包，然后进行数据预处理生成事件序列，并通过参数寻优得到优化的初始参数，最后利用事件序列和优化的初始参数训练基于事件的隐马尔可夫模型，同时确定行为概率门限；阶段二，实时检测阶段：首先实时捕获工业控制网络中通信数据包，进行数据预处理生成代表某一会话的事件序列，然后将事件序列输入至所述隐马尔可夫模型，利用Forward算法，计算此事件序列的行为概率，最后将计算结果与行为概率门限进行比较，实现工业通信行为的异常检测。所述工业控制网络中通信数据包是使用协议规约和消息格式未公开的工业通信协议进行通信的数据包。所述数据预处理包括以下过程：会话重组，首先需要通过四元组信息<源IP、目的IP、源端口、目的端口>形成会话标识，用于确定一个会话，然后根据会话标识将属于同一会话的数据包进行重新组合；数据载荷合并，提取重新组合的数据包中应用层的数据载荷信息，按所述重新组合的数据包到达时间先后顺序合并属于同一会话中的数据载荷内容，构成会话消息；特征提取，采用N-gram模型，将会话消息中字节序列映射到一个有限的特征空间；聚类分析，采用K-means算法对提取的特征进行聚类，将整个特征空间划分成多个簇，每一个簇称为一类事件。所述会话重组中，一个会话结束的判断准则如下：如果在设定时间间隔内没有出现具有相同会话标识的数据通信，则认为此会话已结束，此后如果出现相同会话标识的数据通信，则开启一个新的会话。所述设定时间间隔可依据具体网络通信情况进行调整。所述参数寻优采用遗传算法优化隐马尔可夫模型的初始参数，所述初始参数具体包括：起始状态概率矢量、状态转移概率矩阵和观察值概率矩阵。所述基于事件的隐马尔可夫模型训练过程如下：步骤一：利用遗传算法优化参数建立初始模型；步骤二：依据初始模型和输入的事件序列，采用Baum-Welch算法训练新的隐马尔可夫模型；步骤三：利用Forward算法分别计算此事件序列在新的隐马尔可夫模型和前一次隐马尔可夫模型的行为概率；步骤四：若连续m次出现两次行为概率的差值小于预设的阈值，则结束训练，其中m为规定的比较次数；反之，转到步骤二。所述行为概率门限是在隐马尔可夫模型训练时所计算的m次行为概率的最小值。所述将计算结果与行为概率门限进行比较，实现工业通信行为的异常检测，具体为：进行概率比较，若此事件序列的行为概率小于行为概率门限，则判断控制网络通信中出现异常，产生报警。本专利技术具有以下优点及有益效果：1.经由上述技术方案可知，与现有技术相比，本专利技术公开提供了一种面向未知工业通信协议规约的异常行为检测方法，该方法可以自学习式的建立适用于未知工业通信协议规约的异常检测模型，实时识别工业控制系统中异常通信行为，保障了工业控制系统网络通信的安全性。2.本专利技术方法针对使用未知工业通信协议规约的通信数据包进行会话重组、数据载荷合并、特征提取和聚类分析等操作，使得工业通信的每一个会话交互都可以用一系列事件序列描述，每一个事件序列也代表了工业控制系统的一次通信行为。3.本专利技术方法属于一种第三方的旁路异常行为监听方法，无需串接到工业控制系统的网络中，能够对网络中出现的入侵行为以及非授权行为进行识别和报警，不变干扰工业控制系统运行的实时性和可用性。附图说明图1为本专利技术方法在典型工业控制系统网络架构下的应用部署示意图；图2为本专利技术方法的基本模型示意图；图3为本专利技术方法中数据预处理执行过程实施例示意图；图4为本专利技术方法的基于事件的隐马尔可夫模型训练过程示意图；图5本专利技术方法的实时检测执行过程示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发本文档来自技高网...

【技术保护点】
一种面向未知工业通信协议规约的异常行为检测方法，其特征在于，包括以下阶段：阶段一，在线自学习阶段：首先捕获工业控制网络中通信数据包，然后进行数据预处理生成事件序列，并通过参数寻优得到优化的初始参数，最后利用事件序列和优化的初始参数训练基于事件的隐马尔可夫模型，同时确定行为概率门限；阶段二，实时检测阶段：首先实时捕获工业控制网络中通信数据包，进行数据预处理生成代表某一会话的事件序列，然后将事件序列输入至所述隐马尔可夫模型，利用Forward算法，计算此事件序列的行为概率，最后将计算结果与行为概率门限进行比较，实现工业通信行为的异常检测。

【技术特征摘要】
1.一种面向未知工业通信协议规约的异常行为检测方法，其特征在于，包括以下阶段：阶段一，在线自学习阶段：首先捕获工业控制网络中通信数据包，然后进行数据预处理生成事件序列，并通过参数寻优得到优化的初始参数，最后利用事件序列和优化的初始参数训练基于事件的隐马尔可夫模型，同时确定行为概率门限；阶段二，实时检测阶段：首先实时捕获工业控制网络中通信数据包，进行数据预处理生成代表某一会话的事件序列，然后将事件序列输入至所述隐马尔可夫模型，利用Forward算法，计算此事件序列的行为概率，最后将计算结果与行为概率门限进行比较，实现工业通信行为的异常检测。2.根据权利要求1所述的一种面向未知工业通信协议规约的异常行为检测方法，其特征在于，所述工业控制网络中通信数据包是使用协议规约和消息格式未公开的工业通信协议进行通信的数据包。3.根据权利要求1所述的一种面向未知工业通信协议规约的异常行为检测方法，其特征在于，所述数据预处理包括以下过程：会话重组，首先需要通过四元组信息<源IP、目的IP、源端口、目的端口>形成会话标识，用于确定一个会话，然后根据会话标识将属于同一会话的数据包进行重新组合；数据载荷合并，提取重新组合的数据包中应用层的数据载荷信息，按所述重新组合的数据包到达时间先后顺序合并属于同一会话中的数据载荷内容，构成会话消息；特征提取，采用N-gram模型，将会话消息中字节序列映射到一个有限的特征空间；聚类分析，采用K-means算法对提取的特征进行聚类，将整个特征空间划分成多个簇，每一个簇称为一类事件。4.根据权利要求3所述的一种面向未知工业通信协议规约的异常行为检测方法，其...

【专利技术属性】
技术研发人员：万明，尚文利，赵剑明，曾鹏，于海斌，
申请(专利权)人：中国科学院沈阳自动化研究所，
类型：发明
国别省市：辽宁,21