A method for detecting abnormal behavior of limited-knowledge industrial communication protocol based on feature correlation is presented. The message format of limited-knowledge industrial communication protocol has the characteristics of known part and unknown part. The method detects abnormal behavior of limited-knowledge industrial communication protocol by correlating two parts of information, including decision-making. In the stage of tree construction and exception determination, decision tree construction mainly realizes feature extraction of original communication data in control system, binds known and unknown features by feature association identification, constructs feature association decision tree, obtains centroid and distance threshold of unknown feature space, and prepares data by anomaly determination. After processing, the feature information is searched by decision tree and calculated by Mahalanobis distance. By comparing with distance threshold, the anomaly detection of communication behavior of limited knowledge protocol is completed. This method can analyze, model and detect industrial control communication data, real-time discover such abnormal industrial communication behavior and generate alarms to ensure network security.
【技术实现步骤摘要】
一种基于特征关联的有限知工业通信协议异常行为检测方法
本专利技术涉及工业控制系统网络安全
,更具体的说是涉及一种基于特征关联的有限知工业通信协议异常行为检测方法。
技术介绍
现阶段,工业控制系统已广泛应用电力、冶金、轨道交通、石油化工、核设施等诸多现代工业行业中,据统计,超过80%的涉及国计民生的关键基础设施都依靠工业控制系统来实现自动化作业。随着信息化与工业化深度融合以及物联网的快速发展,工业控制系统的互联互通互操作程度越来越高,其安全性也正遭受着严峻的挑战。近几年,针对工业控制系统的各种网络攻击与入侵事件屡见不鲜,根据美国国土安全部下属的工业控制系统网络应急响应小组(IndustrialControlSystemsCyberEmergencyResponseTeam,ICS-CERT)连续三年的安全研究报告,近几年针对工业控制系统的安全事件呈阶梯状增长态势。为此,工业界和学术界已经开始对工业控制系统的信息安全防护进行了研究与探讨。其中在网络层面上,一般以工控通信网络的防护、测试和检测为研究突破口。首先,在防护方面,典型的防护技术为工业防火墙技术,虽然实现了通信的访问控制和网络隔离,但也存在着不足之处:(1)白名单的规则设置由人工完成,若出现偏差,将导致安全规则错误;(2)作为一种网络安全中间件,会对工业控制系统的实时操作产生影响。其次,在测试方面,研究学者已经搭建了关于工业控制网络的安全测试平台,例如美国能源部的国家SCADA系统测试平台,运用各种安全测试技术对工控网络进行安全隐患挖掘,但这种测试平台仅仅是以软件及部分工控设备模拟了工业控制系统的 ...
【技术保护点】
1.一种基于特征关联的有限知工业通信协议异常行为检测方法,其特征在于,包括以下两个阶段:决策树构建阶段:首先捕获工业控制网络中原始通信数据包,进行通信内容重建,然后从通信交互内容中进行特征提取,获得已知特征向量和未知特征向量,并计算特征关联标识,最后构建特征关联决策树,确定最终的特征关联决策树、质心和距离门限;异常判定阶段:首先实时捕获工业控制网络中原始通信数据包,进行数据预处理,生成已知特征向量、未知特征向量和特征关联标识,然后进行决策树查找和马氏距离计算,通过与距离门限对比,判定是否出现异常通信行为并报警。
【技术特征摘要】
1.一种基于特征关联的有限知工业通信协议异常行为检测方法,其特征在于,包括以下两个阶段:决策树构建阶段:首先捕获工业控制网络中原始通信数据包,进行通信内容重建,然后从通信交互内容中进行特征提取,获得已知特征向量和未知特征向量,并计算特征关联标识,最后构建特征关联决策树,确定最终的特征关联决策树、质心和距离门限;异常判定阶段:首先实时捕获工业控制网络中原始通信数据包,进行数据预处理,生成已知特征向量、未知特征向量和特征关联标识,然后进行决策树查找和马氏距离计算,通过与距离门限对比,判定是否出现异常通信行为并报警。2.根据权利要求1所述的一种基于特征关联的有限知工业通信协议异常行为检测方法,其特征在于,所述通信内容重建通过<源IP、目的IP、源端口、目的端口、应用协议类型>对每一次通信交互进行标识,将属于同一次通信交互的数据包应用数据载荷按时间顺序排列,构成通信交互内容。3.根据权利要求1所述的一种基于特征关联的有限知工业通信协议异常行为检测方法,其特征在于,所述特征提取包括已知特征提取和未知特征提取两部分。4.根据权利要求3所述的一种基于特征关联的有限知工业通信协议异常行为检测方法,其特征在于,所述已知特征提取采用深度包解析技术在通信交互内容的已知部分中获得如功能字段、地址字段等信息,形成已知特征向量。5.根据权利要求3所述的一种基于特征关联的有限知工业通信协议异常行为检测方法,其特征在于,所述未知特征提取采用N-gram模型,将通信交互内容中未知部分映射到一个有限的未知特征空间,然后通过Chi-Squares算法进行相似性合并,形成新的简化的未知特征空间,最后将空间中所有特征按照出现频率的降序排列组成未知特征向量。6.根据权利要求1所述的一种基于特征关联的有限知工业通信协议异常行为检测方法,其特...
【专利技术属性】
技术研发人员:万明,景源,李鹏,尹凤杰,
申请(专利权)人:辽宁大学,
类型:发明
国别省市:辽宁,21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。