The present invention discloses a kind of abnormal behavior for unknown industrial communication protocol protocol detection method, divided into the online self-learning stage and real-time detection stage, the online self-learning stage mainly completes the feature extraction and analysis of original network communication data, the formation of the sequence of events, the sequence of events as hidden Markov model input model training finally, through the iterative hidden Markov model and behavior probability threshold optimization; hidden Markov model using the optimized real-time detection stage of the real-time processing of the sequence of events of behavior probability calculation, by contrast threshold and behavior probability, complete the anomaly detection of industrial communication behavior. The invention can detect the industrial communication data flow which is regulated by the unknown industrial communication protocol, detect the abnormal industrial communication behavior and generate the alarm in real time, so as to guarantee the network communication security of the industrial control system.
【技术实现步骤摘要】
一种面向未知工业通信协议规约的异常行为检测方法
本专利技术涉及工业控制系统网络安全
,更具体的说是涉及一种面向未知工业通信协议规约的异常行为检测方法。
技术介绍
随着现代通信、计算、网络和控制技术的发展,信息技术运用领域的不断开拓,使得工业化和信息化的融合已经成为一种发展的必然趋势。作为标志性的产物,网络化的工业控制系统得到了国家的高度重视,已经成为未来国民经济和社会发展的战略性规划之一。然而,网络化、信息化的发展也逐渐打破了工业控制系统原始固有的封闭性,随之的信息安全问题也日益暴露出来,并呈现愈演愈烈的趋势。之所以工业控制系统存在诸多信息安全隐患,一个重要原因就是其使用的工业通信协议在设计及实现时缺乏信息安全考虑,缺少相应的安全机制。为此,工业界和学术界已经开始对工业控制系统的信息安全防护进行了研究与探讨。目前针对工业控制系统的很多网络攻击行为主要以工业通信协议漏洞为突破口,对工控终端设备造成威胁,因此现有的工业控制系统安全防护方法也是以解析专有工业通信协议为基础进行展开研究。例如,工业防火墙采用深度包解析技术(DeepPacketInspection,DPI)对工业通信协议进行深层次分析与过滤,实现了对工业通信数据流的访问控制目的。工业网闸通过采用面向专有工业通信协议的网络隔离技术,保障了不同区域的安全数据采集与交换。上述两种方法虽然在一定程度上保护工业控制系统不受网络攻击,但是也存在着不足:首先,白名单的规则设置由人工完成,若出现偏差将导致安全规则错误;其次,作为一种网络安全中间件,会对系统的实时操作产生影响。由于在不干扰工业控制系统运行实时性 ...
【技术保护点】
一种面向未知工业通信协议规约的异常行为检测方法,其特征在于,包括以下阶段:阶段一,在线自学习阶段:首先捕获工业控制网络中通信数据包,然后进行数据预处理生成事件序列,并通过参数寻优得到优化的初始参数,最后利用事件序列和优化的初始参数训练基于事件的隐马尔可夫模型,同时确定行为概率门限;阶段二,实时检测阶段:首先实时捕获工业控制网络中通信数据包,进行数据预处理生成代表某一会话的事件序列,然后将事件序列输入至所述隐马尔可夫模型,利用Forward算法,计算此事件序列的行为概率,最后将计算结果与行为概率门限进行比较,实现工业通信行为的异常检测。
【技术特征摘要】
1.一种面向未知工业通信协议规约的异常行为检测方法,其特征在于,包括以下阶段:阶段一,在线自学习阶段:首先捕获工业控制网络中通信数据包,然后进行数据预处理生成事件序列,并通过参数寻优得到优化的初始参数,最后利用事件序列和优化的初始参数训练基于事件的隐马尔可夫模型,同时确定行为概率门限;阶段二,实时检测阶段:首先实时捕获工业控制网络中通信数据包,进行数据预处理生成代表某一会话的事件序列,然后将事件序列输入至所述隐马尔可夫模型,利用Forward算法,计算此事件序列的行为概率,最后将计算结果与行为概率门限进行比较,实现工业通信行为的异常检测。2.根据权利要求1所述的一种面向未知工业通信协议规约的异常行为检测方法,其特征在于,所述工业控制网络中通信数据包是使用协议规约和消息格式未公开的工业通信协议进行通信的数据包。3.根据权利要求1所述的一种面向未知工业通信协议规约的异常行为检测方法,其特征在于,所述数据预处理包括以下过程:会话重组,首先需要通过四元组信息<源IP、目的IP、源端口、目的端口>形成会话标识,用于确定一个会话,然后根据会话标识将属于同一会话的数据包进行重新组合;数据载荷合并,提取重新组合的数据包中应用层的数据载荷信息,按所述重新组合的数据包到达时间先后顺序合并属于同一会话中的数据载荷内容,构成会话消息;特征提取,采用N-gram模型,将会话消息中字节序列映射到一个有限的特征空间;聚类分析,采用K-means算法对提取的特征进行聚类,将整个特征空间划分成多个簇,每一个簇称为一类事件。4.根据权利要求3所述的一种面向未知工业通信协议规约的异常行为检测方法,其...
【专利技术属性】
技术研发人员:万明,尚文利,赵剑明,曾鹏,于海斌,
申请(专利权)人:中国科学院沈阳自动化研究所,
类型:发明
国别省市:辽宁,21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。