【技术实现步骤摘要】
本专利技术涉及电力工业控制系统安全,特别是涉及一种电力工控入侵痕迹检测方法及系统。
技术介绍
1、互联网等技术推动着工业领域的信息技术革命,电力工业控制系统得到了快速发展,同时原本相对独立和封闭的系统越来越多与互联网发生联系,安全性问题变得尤为突出,因此面向电力行业网络的攻击日益增多,并且伴随着工业智能化发展引入设备的增多及时发现网络入侵痕迹,对入侵行为溯源找到系统薄弱点进行补强成为当前需要解决的问题。
技术实现思路
1、本专利技术的目的是提供一种电力工控入侵痕迹检测方法及系统,提高了入侵痕迹溯源效率。
2、为实现上述目的,本专利技术提供了如下方案:
3、一种电力工控入侵痕迹检测方法,包括:
4、采集电力工业控制系统的目标时间段内的历史数据包;
5、根据目标时间段内的历史数据包采用学习器构建数据特征库;
6、基于所述数据特征库对实时产生的输入数据进行入侵痕迹检测;
7、当检测到入侵痕迹时,对指令时间序列进行异常指令识别;
8、当检测到入侵痕迹时,以检测到入侵痕迹的节点为根节点进行数据传输关系溯源,得到多条假设入侵链条;
9、基于各节点的薄弱程度,计算每条假设入侵链条的被入侵概率,将被入侵概率最大的假设入侵链条作为疑似入侵路径;
10、对所述疑似入侵路径的节点日志数据进行入侵痕迹检测,确定入侵数据来源。
11、可选地,根据目标时间段内的历史数据包采用学习器构建数据特
12、对各所述历史数据包进行解码,得到各所述历史数据对应的信息条,所述信息条包括从机ip地址、modbus功能码、内容信息数据和crc校验码信息;
13、将各信息条按照传输的时间顺序排列,得到历史数据库;
14、按照从机ip地址对各信息条进行数据分表,得到多个从机ip地址表,每个从机ip地址表中信息条的从机ip地址相同;
15、对于每个从机ip地址表,按照modbus功能码进行分类,得到多个modbus功能码分组;
16、对于每个从机ip地址表中每个modbus功能码分组,重复从当前modbus功能码分组的信息条中随机抽取一个信息条并放回n次,得到每个modbus功能码分组的重构数据集;各从机ip地址表中每个modbus功能码分组对应的重构数据集构成一个训练数据集;
17、对于每个从机ip地址表,设定学习次数t,采用所述训练数据集训练学习器,每次训练时随机收取m个特征进行学习,得到t个学习器;
18、对于每个从机ip地址表,采用t个学习器对各信息条进行特征类型判断投票,保留投票率大于或者等于95%的信息条,并删除投票率小于95%的信息条,得到特征数据源;
19、对每个从机ip地址表对应的特征数据源,进行聚类,得到每个从机ip地址表对应的特征集合;
20、各从机ip地址表对应的特征集合构成所述数据特征库。
21、可选地,所述学习器为随机森林算法模型。
22、可选地,还包括:确定所述数据特征库中各特征的数据阈值。
23、可选地,基于所述数据特征库对实时产生的输入数据进行入侵痕迹检测,具体包括:
24、确定实时产生的输入数据的从机ip地址和modbus功能码;
25、根据实时产生的输入数据的从机ip地址和modbus功能码查找该实时产生的输入数据对应的数据阈值;
26、若该实时产生的输入数据在对应数据阈值范围内,则判定为正常数据,若该实时产生的输入数据不在对应数据阈值范围内,则判定为异常数据,并判定检测到了入侵痕迹。
27、可选地,当检测到入侵痕迹时,对指令时间序列进行异常指令识别,具体包括:
28、根据公式计算目标时刻k时的自然相关系数;
29、根据所述自然相关系数判断所述指令时间序列是否存在异常指令;
30、其中,r(k)表示自然相关系数,n为指令时间序列的长度,y1为第1时间的指令数据,yi+1第i+1时间的指令数据。
31、可选地,对指令时间序列进行异常指令识别后,识别出异常指令后,进行异常指令报警提示并记录。
32、可选地,当检测到入侵痕迹时,以检测到入侵痕迹的节点为根节点进行数据传输关系溯源,得到多条假设入侵链条,具体包括:
33、以检测到入侵痕迹的节点为根节点,将向根节点传输数据的节点列为第一级被入侵原因节点;
34、对每个第一级被入侵原因节点,将向第一级被入侵原因节点传输数据的节点列为第二级被入侵原因节点,依此类推,直达每个最末端的被入侵原因节点不再存在下一级被入侵原因节点时结束,得到多条假设入侵链条。
35、可选地,基于各节点的薄弱程度,计算每条假设入侵链条的被入侵概率,将被入侵概率最大的假设入侵链条作为疑似入侵路径,具体包括:
36、计算每个条假设入侵链条中每个节点的入侵概率,节点的入侵概率计算公式为:
37、
38、
39、
40、其中,μ是均值,σ2是方差,x为节点的薄弱程度,μμ表示迭代至t+1个迭代周期时所有t+1个均值的均值,σμ表示均值的标准差,v表示置信区间取值,v0表示初始置信区间取值,σ0表示初始节点的标准差,x表示所有节点的均值,xi表示第i个节点,t为迭代周期,n为迭代次数;
41、节点的入侵概率表示为:p(μ,σ2)=p(μ)p(σ2);
42、其中,p(μ)表示参数均值的先验概率,p(σ2)为参数方差的先验概率。
43、本专利技术还公开了一种电力工控入侵痕迹检测系统,包括:
44、历史数据包采集模块,用于采集电力工业控制系统的目标时间段内的历史数据包;
45、数据特征库构建模块,用于根据目标时间段内的历史数据包采用学习器构建数据特征库;
46、入侵检测模块,用于基于所述数据特征库对实时产生的输入数据进行入侵痕迹检测;
47、异常指令识别模块,用于当检测到入侵痕迹时,对指令时间序列进行异常指令识别;
48、多条假设入侵链条确定模块,用于当检测到入侵痕迹时,以检测到入侵痕迹的节点为根节点进行数据传输关系溯源,得到多条假设入侵链条;
49、入侵路径溯源模块,用于基于各节点的薄弱程度,计算每条假设入侵链条的被入侵概率,将被入侵概率最大的假设入侵链条作为疑似入侵路径;
50、入侵数据来源确定模块,用于对所述疑似入侵路径的节点日志数据进行入侵痕迹检测,确定入侵数据来源。
51、根据本专利技术提供的具体实施例,本专利技术公开了以下技术效果:
52、本专利技术当检测到入侵痕迹时,以检测到入侵痕迹的节点为根节点进行数据传输关系溯源,得到多条假设入侵链条;基于各节点的薄弱程度,计算每条假设入侵链条的被入侵概率,将被入侵概率最大的假设入侵链条本文档来自技高网...
【技术保护点】
1.一种电力工控入侵痕迹检测方法,其特征在于,包括:
2.根据权利要求1所述的电力工控入侵痕迹检测方法,其特征在于,根据目标时间段内的历史数据包采用学习器构建数据特征库,具体包括:
3.根据权利要求1所述的电力工控入侵痕迹检测方法,其特征在于,所述学习器为随机森林算法模型。
4.根据权利要求1所述的电力工控入侵痕迹检测方法,其特征在于,还包括:确定所述数据特征库中各特征的数据阈值。
5.根据权利要求4所述的电力工控入侵痕迹检测方法,其特征在于,基于所述数据特征库对实时产生的输入数据进行入侵痕迹检测,具体包括:
6.根据权利要求1所述的电力工控入侵痕迹检测方法,其特征在于,当检测到入侵痕迹时,对指令时间序列进行异常指令识别,具体包括:
7.根据权利要求1所述的电力工控入侵痕迹检测方法,其特征在于,对指令时间序列进行异常指令识别后,识别出异常指令后,进行异常指令报警提示并记录。
8.根据权利要求1所述的电力工控入侵痕迹检测方法,其特征在于,当检测到入侵痕迹时,以检测到入侵痕迹的节点为根节点进行数据传输
9.根据权利要求8所述的电力工控入侵痕迹检测方法,其特征在于,基于各节点的薄弱程度,计算每条假设入侵链条的被入侵概率,将被入侵概率最大的假设入侵链条作为疑似入侵路径,具体包括:
10.一种电力工控入侵痕迹检测系统,其特征在于,包括:
...【技术特征摘要】
1.一种电力工控入侵痕迹检测方法,其特征在于,包括:
2.根据权利要求1所述的电力工控入侵痕迹检测方法,其特征在于,根据目标时间段内的历史数据包采用学习器构建数据特征库,具体包括:
3.根据权利要求1所述的电力工控入侵痕迹检测方法,其特征在于,所述学习器为随机森林算法模型。
4.根据权利要求1所述的电力工控入侵痕迹检测方法,其特征在于,还包括:确定所述数据特征库中各特征的数据阈值。
5.根据权利要求4所述的电力工控入侵痕迹检测方法,其特征在于,基于所述数据特征库对实时产生的输入数据进行入侵痕迹检测,具体包括:
6.根据权利要求1所述的电力工控入侵痕迹检测方法,其特征在于,当检测到入...
【专利技术属性】
技术研发人员:刘金刚,
申请(专利权)人:香港龙智科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。