【技术实现步骤摘要】
本专利技术属于网络空间安全,尤其涉及一种面向异构设备指纹的攻击异常特征抽取建模方法。
技术介绍
1、随着物联网(iot)技术的快速发展,越来越多的智能设备被广泛应用于各个行业,特别是在电力系统中。这些设备的接入规模不断扩大,使得设备指纹生成技术逐渐成为研究和工业界的关注重点。设备指纹技术通过分析设备在网络中生成的流量特征,帮助识别和认证设备,从而增强网络的安全性。然而,由于许多电力设备的生产供应商缺乏必要的网络安全专业知识,这些设备常常存在设计和实现上的安全漏洞。
2、攻击者利用这些漏洞可以轻易接入内部网络,进而发起各种攻击,给电力系统带来严重的安全风险。近年来,针对电力公司内部存在的安全问题,文献研究显示,企业员工将大量物联网设备连接到企业网络的比例高达25%-50%。这些设备,例如监控摄像头、网络路由器、以及控制系统中的plc,因其固有的安全缺陷,成为攻击者入侵的主要目标。
3、设备指纹技术在当今网络安全环境中扮演着至关重要的角色,特别是在物联网和电力系统等关键领域。设备指纹不仅能够有效识别和验证接入网络的设备,还可以帮助安全团队实现对网络流量的深入分析与监测。随着设备数量的激增,传统的基于ip地址和mac地址的识别方式已无法满足安全需求,设备指纹技术通过分析设备的行为特征和流量模式,提供了一种更为精准和全面的识别方法。
4、在电力行业,设备指纹的重要性尤为突出。电力系统中使用的各种智能设备,如监控摄像头、传感器和控制系统,常常面临来自内部和外部的安全威胁。通过构建和应用设备指纹,企业能够
5、在电力行业,设备的安全性直接关系到系统的稳定和可靠性。随着对智能电网和自动化系统依赖程度的增加,任何网络攻击或设备故障都可能导致大规模停电、数据泄露甚至是经济损失。因此,实施有效的接入控制和实时监测显得尤为重要。当前,许多电力公司尚未建立起完善的安全检测机制,导致漏洞设备的存在使得网络安全防线薄弱。
技术实现思路
1、为解决现有技术存在的问题,本专利技术提出一种面向异构设备指纹的攻击异常特征抽取建模方法。
2、本专利技术的技术方案如下:
3、一种面向异构设备指纹的攻击异常特征抽取建模方法,包括:
4、步骤1)对电力系统中设备进行通信流量实时监测,获取不同设备的通信数据包;
5、步骤2)对所述通信数据包进行多维属性特征抽取,形成基于通信数据包的特征矩阵;
6、步骤3)基于所述特征矩阵,构建设备的专属指纹,再根据所述设备的专属指纹,构建存储有不同设备对应专属指纹的设备指纹库;
7、步骤4)制定通信流量识别的规则引擎,通过攻击流量的特征索引所构建的设备指纹库,再将攻击特征知识图谱与攻击流量进行关联,识别攻击流量的攻击类型;
8、步骤5)基于随机森林算法构建设备监测模型,所述设备检测模型的输入为设备的通信数据包,输出为通信数据包包含的潜在威胁特征,基于监测的通信流量,根据设备指纹库,索引设备类型,再通过制定的规则引擎进行匹配,锁定监测的通信流量对应的潜在威胁特征与攻击类型;
9、步骤6)根据电力系统中新接入的设备的通信数据包,对所述设备指纹库进行动态更新。
10、进一步地,所述电力系统中设备包括摄像头,路由器和发电侧plc。
11、进一步地,步骤1)的具体方法包括:
12、对电力系统中设备进行实时的流量监测,对采集到的原始网络流分割成多个会话,由相同源ip地址、目的ip地址、源端口号、目的端口号以及传输层协议类型确定一条数据流,形成不同设备的通信数据包。
13、进一步地,步骤2)的具体方法包括:
14、步骤2-1)对设备的通信数据包,从原始流量数据的pcap文件中提取若干个具有设备属性的关键特征;
15、步骤2-2)根据提取的关键特征按照设定的转换规则进行特征向量的转换,形成具有设备行为差异的特征矩阵。
16、进一步地,所述关键特征包括链路层协议中arp和llc、网络层协议中ip、icmp和icmpv6、传输层协议中tcp和udp、应用层协议中http、https、dns和ssdp、数据包长度、ip地址、源端口号以及目的端口号。
17、进一步地,所述设定的转换规则包括端口区间建模法、协议0/1建模法以及ip地址变化频次建模法。
18、进一步地,步骤3)的具体方法包括:
19、将特征矩阵的行向量拼接,构成设备的专属指纹,再根据设备的专属指纹,构建存储有不同设备对应专属指纹的设备指纹库。
20、进一步地,步骤4)的具体方法包括:
21、步骤4-1)对攻击流量进行多维属性特征抽取,获取攻击流量的特征,再制定通信流量识别的规则引擎,通过攻击流量的特征索引设备指纹库中的指纹,由此实现攻击流量与设备指纹库的关联;
22、步骤4-2)基于攻击流量的特征,将攻击流量与具有攻击流量的特征以及攻击类型的攻击特征知识图谱进行关联。
23、进一步地,步骤5)的具体方法包括:
24、步骤5-1)以随机森林算法为基础,采用包裹式的特征选择算法对设备的流量特征进行学习训练,构建设备监测模型;所述设备检测模型的输入为设备的通信数据包,输出为通信数据包包含的潜在威胁特征;学习训练过程采用bagging 策略和随机属性选择;
25、步骤5-2)实时监测设备发出的通信流量,基于设备指纹库中的对应专属指纹的特征向量,索引设备类型;再通过制定的规则引擎进行匹配,锁定通信流量对应的潜在威胁特征与攻击类型。
26、相比于现有技术本专利技术具有如下有益效果:
27、本专利技术提出一种面向异构设备指纹的攻击异常特征抽取建模方法,该方法采用随机森林算法进行通信流量的多维属性学习,这一方法不仅能够处理大量数据,还能从中快速识别出潜在的攻击特征。与传统检测方法相比,随机森林在处理复杂数据时具有更高的准确性和鲁棒性。这使得企业能够在攻击发生之前,及时发现异常流量,从而有效降低系统被攻击的风险。这种高效的异常检测能力,为电力系统的安全提供了强有力的保障。
28、本专利技术方法通过对每个设备的流量特征进行整合和抽取,构建了一个专属设备指纹库。该指纹库不仅包含了各类设备的独特指纹信息,还能够随着新设备的接入和流量特征的变化进行动态更新。这种针对性强的指纹库使得设备的识别更加精准,能够有效区分正常流量和潜在攻击流量。这种能力在异构设备环境中尤为重要,能够确保电力系统对各种设备的安全管控。
29、本专利技术方法通过实时监测电力系统设备的流量,并结合规则引擎与攻击特征知识图谱,能够对攻击流量进行及时识别与响应。这种系统化的监测与预警机制,不仅提升了对已知攻击模式的识别能力本文档来自技高网...
【技术保护点】
1.一种面向异构设备指纹的攻击异常特征抽取建模方法,其特征在于,包括:
2.根据权利要求1所述的面向异构设备指纹的攻击异常特征抽取建模方法,其特征在于,所述电力系统中设备包括摄像头,路由器和发电侧PLC。
3.根据权利要求1所述的面向异构设备指纹的攻击异常特征抽取建模方法,其特征在于,步骤1)的具体方法包括:
4.根据权利要求1所述的面向异构设备指纹的攻击异常特征抽取建模方法,其特征在于,步骤2)的具体方法包括:
5.根据权利要求4所述的面向异构设备指纹的攻击异常特征抽取建模方法,其特征在于,所述关键特征包括链路层协议中ARP和LLC、网络层协议中IP、ICMP和ICMPV6、传输层协议中TCP和UDP、应用层协议中HTTP、HTTPS、DNS和SSDP、数据包长度、IP地址、源端口号以及目的端口号。
6.根据权利要求4所述的面向异构设备指纹的攻击异常特征抽取建模方法,其特征在于,所述设定的转换规则包括端口区间建模法、协议0/1建模法以及IP地址变化频次建模法。
7.根据权利要求1所述的面向异构设备指纹的攻击
8.根据权利要求1所述的面向异构设备指纹的攻击异常特征抽取建模方法,其特征在于,步骤4)的具体方法包括:
9.根据权利要求8所述的面向异构设备指纹的攻击异常特征抽取建模方法,其特征在于,步骤5)的具体方法包括:
...【技术特征摘要】
1.一种面向异构设备指纹的攻击异常特征抽取建模方法,其特征在于,包括:
2.根据权利要求1所述的面向异构设备指纹的攻击异常特征抽取建模方法,其特征在于,所述电力系统中设备包括摄像头,路由器和发电侧plc。
3.根据权利要求1所述的面向异构设备指纹的攻击异常特征抽取建模方法,其特征在于,步骤1)的具体方法包括:
4.根据权利要求1所述的面向异构设备指纹的攻击异常特征抽取建模方法,其特征在于,步骤2)的具体方法包括:
5.根据权利要求4所述的面向异构设备指纹的攻击异常特征抽取建模方法,其特征在于,所述关键特征包括链路层协议中arp和llc、网络层协议中ip、icmp和icmpv6、传输层协议中...
【专利技术属性】
技术研发人员:刘小磊,吴小虎,张明远,张小坚,静柯,
申请(专利权)人:江苏电力信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。