一种基于特征关联的有限知工业通信协议异常行为检测方法技术

一种基于特征关联的有限知工业通信协议异常行为检测方法，该方法面向有限知工业通信协议的消息格式具有已知部分和未知部分这一特点，通过关联两部分信息对有限知工业通信协议的通信行为进行异常检测，具体包括决策树构建阶段和异常判定阶段，其中决策树构建主要实现对控制系统中原始通信数据进行特征提取，通过特征关联标识绑定已知特征和未知特征，构建特征关联决策树，获得未知特征空间的质心和距离门限；异常判定对数据预处理后的特征信息进行决策树查找和马氏距离计算，通过与距离门限对比，完成对有限知协议通信行为的异常检测。该方法能够对工控通信数据进行分析、建模与检测，实时发现此类工业通信行为异常并产生报警，保障网络安全。

An anomaly behavior detection method for limited knowledge industrial communication protocol based on feature correlation

A method for detecting abnormal behavior of limited-knowledge industrial communication protocol based on feature correlation is presented. The message format of limited-knowledge industrial communication protocol has the characteristics of known part and unknown part. The method detects abnormal behavior of limited-knowledge industrial communication protocol by correlating two parts of information, including decision-making. In the stage of tree construction and exception determination, decision tree construction mainly realizes feature extraction of original communication data in control system, binds known and unknown features by feature association identification, constructs feature association decision tree, obtains centroid and distance threshold of unknown feature space, and prepares data by anomaly determination. After processing, the feature information is searched by decision tree and calculated by Mahalanobis distance. By comparing with distance threshold, the anomaly detection of communication behavior of limited knowledge protocol is completed. This method can analyze, model and detect industrial control communication data, real-time discover such abnormal industrial communication behavior and generate alarms to ensure network security.

【技术实现步骤摘要】
一种基于特征关联的有限知工业通信协议异常行为检测方法
本专利技术涉及工业控制系统网络安全
，更具体的说是涉及一种基于特征关联的有限知工业通信协议异常行为检测方法。
技术介绍
现阶段，工业控制系统已广泛应用电力、冶金、轨道交通、石油化工、核设施等诸多现代工业行业中，据统计，超过80％的涉及国计民生的关键基础设施都依靠工业控制系统来实现自动化作业。随着信息化与工业化深度融合以及物联网的快速发展，工业控制系统的互联互通互操作程度越来越高，其安全性也正遭受着严峻的挑战。近几年，针对工业控制系统的各种网络攻击与入侵事件屡见不鲜，根据美国国土安全部下属的工业控制系统网络应急响应小组(IndustrialControlSystemsCyberEmergencyResponseTeam，ICS-CERT)连续三年的安全研究报告，近几年针对工业控制系统的安全事件呈阶梯状增长态势。为此，工业界和学术界已经开始对工业控制系统的信息安全防护进行了研究与探讨。其中在网络层面上，一般以工控通信网络的防护、测试和检测为研究突破口。首先，在防护方面，典型的防护技术为工业防火墙技术，虽然实现了通信的访问控制和网络隔离，但也存在着不足之处：(1)白名单的规则设置由人工完成，若出现偏差，将导致安全规则错误；(2)作为一种网络安全中间件，会对工业控制系统的实时操作产生影响。其次，在测试方面，研究学者已经搭建了关于工业控制网络的安全测试平台，例如美国能源部的国家SCADA系统测试平台，运用各种安全测试技术对工控网络进行安全隐患挖掘，但这种测试平台仅仅是以软件及部分工控设备模拟了工业控制系统的局部工艺流程，无法全方位体现工业控制系统的安全情况，并且软件模拟的真实性也需要进一步分析。最后，在检测方面，已经开展了对工业控制系统的误用检测和异常检测两方面研究，其中异常检测通过与正常行为间的匹配实现异常行为发现，无需预先了解攻击的特征形式，能有效地检测未知攻击，同时，作为一种旁路监听方法，异常检测能够在不干扰工业控制系统实时性和可用性的前提下，发现和识别网络中的异常入侵行为，已经成为研究热点之一，并取得了一些初步的研究成果。根据恶意攻击行为的攻击目标、入侵途径、操作模式等特点，目前关于工业控制网络异常检测的研究主要可以分为四类：基于状态的检测法、基于特征和规则的检测法、基于模型的检测法和基于机器学习的检测法。上述异常检测方法目的在于通过采用无监督或者半监督的自学习式方法，构建网络化控制系统中网络通信的正常行为模型，与下一轮通信行为进行对比分析，从而判别是否出现通信行为异常。依据网络化控制系统中协议规约和消息格式的开放程度，工业通信协议可以分为已知协议、未知协议和有限知协议三类。其中已知协议的协议规约和消息格式是完全公开化的，例如Modbus/TCP、DNP3、IEC61850协议等；未知协议的协议规约和消息格式是非公开化的，例如SiemensS7协议；有限知协议的协议规约和消息格式是半公开化的，例如，西门子公司在Modbus/TCP的90功能码后增加了自定义内容。然而，上述目前工业控制系统的异常检测技术大多局限于对已知协议和未知协议的异常检测方法研究，很少涉及到有限知工业通信协议的异常检测研究。
技术实现思路
有鉴于此，本专利技术的目的是提供一种基于特征关联的有限知工业通信协议异常检测方法，该方法能够结合现有工业控制系统中网络威胁形式及攻击特点，在不影响工业控制系统可用性的前提下，深入工业通信协议的脆弱性，判定异常工业通信行为，保障工业控制系统的安全性。本专利技术的进一步目的是提供一种基于特征关联的有限知工业通信协议异常检测方法，根据有限知工业通信协议的消息格式具有公开化的已知部分和私有定制的未知部分的特点，对原始通信数据进行特征提取，将已知特征和未知特征通过特征关联标识绑定，采用在线自学习方式，构建描述有限知协议正常通信行为的特征关联决策树，实时检测工业控制网络中的已知与未知攻击行为，保护工控网络与关键控制设备的安全。本专利技术为实现上述目的所采用的技术方案是：一种基于特征关联的有限知工业通信协议异常行为检测方法，其特征在于，包括以下两个阶段：决策树构建阶段：首先捕获工业控制网络中原始通信数据包，进行通信内容重建，然后从通信交互内容中进行特征提取，获得已知特征向量和未知特征向量，并计算特征关联标识，最后构建特征关联决策树，确定最终的特征关联决策树、质心和距离门限。异常判定阶段：首先实时捕获工业控制网络中原始通信数据包，进行数据预处理，生成已知特征向量、未知特征向量和特征关联标识，然后进行决策树查找和马氏距离计算，通过与距离门限对比，判定是否出现异常的通信行为并报警。所述工业控制网络中原始通信数据包是使用有限知工业通信协议进行通信的数据包，其中有限知工业通信协议的协议规约和消息格式是半公开化的。所述数据预处理包括通信内容重建、特征提取和特征关联标识计算三个过程。所述通信内容重建通过<源IP、目的IP、源端口、目的端口、应用协议类型>对每一次通信交互进行标识，将属于同一通信交互的数据包应用数据载荷按时间顺序排列，构成通信交互内容。所述特征提取包括已知特征提取和未知特征提取两部分。所述已知特征提取采用深度包解析技术在通信交互内容的已知部分中获得如功能字段、地址字段等信息，形成已知特征向量。所述未知特征提取拟采用N-gram模型，将通信交互内容中未知部分映射到一个有限的未知特征空间，然后通过Chi-Squares算法进行相似性合并，形成新的简化的未知特征空间，然后将空间中所有特征按照出现频率的降序排列组成未知特征向量。所述特征关联标识计算是在未知特征空间中选取出现频率最高的未知特征作为关键特征元素，与已知特征向量进行散列运算，生成特征关联标识，从而实现已知特征与未知特征的绑定。所述构建特征关联决策树是将已知特征向量作为决策树的主分枝，特征关联标识作为决策树的次分枝，未知特征向量作为决策树的叶子节点。所述特征关联决策树的构建过程如下：步骤一：创建特征关联决策树的根；步骤二：根据某一通信交互内容的已知特征向量，创建决策树的主分枝；步骤三：根据此通信交互内容的特征关联标识，在主分枝下创建新的次分枝代表此特征关联标识；步骤四：获取此通信交互内容的未知特征向量，将未知特征向量作为次分枝的一个叶子节点，并计算此次分枝下所有叶子节点的质心；步骤五：利用马氏距离算法，计算未知特征向量到质心的马氏距离，更新距离门限；步骤六：若在预设的时间间隔内无新的叶子节点出现，则结束算法，获得最终的特征关联决策树、每个次分枝的质心和距离门限。否则，转到步骤二。所述异常判定阶段的执行过程如下：步骤一：实时捕获控制系统中原始通信数据，对数据进行预处理，生成已知特征向量、特征关联标识和未知特征向量；步骤二：利用多模式匹配算法，对特征关联决策树进行搜索，分别查找已知特征向量和特征关联标识所对应的主分枝和次分枝，若成功，则转到步骤三，否则，产生报警；步骤三：利用马氏距离算法，计算未知特征向量到质心的距离；步骤四：进行距离比较，若此距离小于距离门限，则转到步骤一，否则，控制系统通信中出现异常，产生报警。本专利技术具有以下优点及有益效果：1.与现有技术相比，本专利技术公开提供了一种基本文档来自技高网...

【技术保护点】
1.一种基于特征关联的有限知工业通信协议异常行为检测方法，其特征在于，包括以下两个阶段：决策树构建阶段：首先捕获工业控制网络中原始通信数据包，进行通信内容重建，然后从通信交互内容中进行特征提取，获得已知特征向量和未知特征向量，并计算特征关联标识，最后构建特征关联决策树，确定最终的特征关联决策树、质心和距离门限；异常判定阶段：首先实时捕获工业控制网络中原始通信数据包，进行数据预处理，生成已知特征向量、未知特征向量和特征关联标识，然后进行决策树查找和马氏距离计算，通过与距离门限对比，判定是否出现异常通信行为并报警。

【技术特征摘要】
1.一种基于特征关联的有限知工业通信协议异常行为检测方法，其特征在于，包括以下两个阶段：决策树构建阶段：首先捕获工业控制网络中原始通信数据包，进行通信内容重建，然后从通信交互内容中进行特征提取，获得已知特征向量和未知特征向量，并计算特征关联标识，最后构建特征关联决策树，确定最终的特征关联决策树、质心和距离门限；异常判定阶段：首先实时捕获工业控制网络中原始通信数据包，进行数据预处理，生成已知特征向量、未知特征向量和特征关联标识，然后进行决策树查找和马氏距离计算，通过与距离门限对比，判定是否出现异常通信行为并报警。2.根据权利要求1所述的一种基于特征关联的有限知工业通信协议异常行为检测方法，其特征在于，所述通信内容重建通过<源IP、目的IP、源端口、目的端口、应用协议类型>对每一次通信交互进行标识，将属于同一次通信交互的数据包应用数据载荷按时间顺序排列，构成通信交互内容。3.根据权利要求1所述的一种基于特征关联的有限知工业通信协议异常行为检测方法，其特征在于，所述特征提取包括已知特征提取和未知特征提取两部分。4.根据权利要求3所述的一种基于特征关联的有限知工业通信协议异常行为检测方法，其特征在于，所述已知特征提取采用深度包解析技术在通信交互内容的已知部分中获得如功能字段、地址字段等信息，形成已知特征向量。5.根据权利要求3所述的一种基于特征关联的有限知工业通信协议异常行为检测方法，其特征在于，所述未知特征提取采用N-gram模型，将通信交互内容中未知部分映射到一个有限的未知特征空间，然后通过Chi-Squares算法进行相似性合并，形成新的简化的未知特征空间，最后将空间中所有特征按照出现频率的降序排列组成未知特征向量。6.根据权利要求1所述的一种基于特征关联的有限知工业通信协议异常行为检测方法，其特...

【专利技术属性】
技术研发人员：万明，景源，李鹏，尹凤杰，
申请(专利权)人：辽宁大学，
类型：发明
国别省市：辽宁,21