一种工业控制系统入侵检测方法及系统技术方案

本发明专利技术公开了一种工业控制系统入侵检测方法及系统，所述方法包括：记录工业控制系统环境中需要的运行的全部软件及操作系统，配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息；运行恶意程序，采集和存储恶意程序运行的行为信息，将采集的工业控制系统的行为信息和恶意程序运行的行为信息进行处理，生成特征序列；分类标注特征序列并训练神经网络模型，采集和存储实际运行的工业控制系统的行为信息；处理实际运行的工业控制系统的行为信息，生成特征序列，并通过训练后的神经网络模型判别特征序列，如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行。本发明专利技术提高了工业控制系统对恶意程序攻击的感知能力。

【技术实现步骤摘要】
一种工业控制系统入侵检测方法及系统
本专利技术涉及信息安全
，尤其涉及一种工业控制系统入侵检测方法及系统。
技术介绍
随着网络攻击的不断增多，入侵检测系统已经成为组建安全网络系统的重要组成部分。工业控制系统是工业部门的重要基础设施，工业控制系统是对诸如图像、语音信号等大数据量、高速率传输的要求，当前在商业领域风靡的以太网与控制网络的结合;检测入侵事件，保护工业控制网络安全，维护工业控制系统的正常运转，是当前网络安全建设的核心内容之一。然而，目前工业控制系统入侵检测主要有以下两大类方法：一是基于规则的入侵检测方法，主要实现方式是通过匹配规则码或特征码来检测出入侵行为;这种方式准确率较高，误报率低，但是检测效果完全取决与规则库，而且无法发现未知的攻击行为，有较大的局限性。二是基于机器学习的检测方法，主要实现方式是通过训练神经网络模型，判别系统是否具有属于恶意程序的行为特征。这种方法的优点是具备一定的泛化能力，可以检测出未知的攻击行为；但由于基于机器学习的方法需要预先采集正常系统行为和恶意程序行为特征来对判决模型进行训练，而当前应用程序、恶意程序众多，系统行为复杂多变，导致行为空间特征集十分庞大，很难对正常的系统行为及恶意程序的行为进行准确建模，从而影响检测的准确率。因此，现有技术还有待于改进和发展。
技术实现思路
本专利技术要解决的技术问题在于，针对现有技术缺陷，本专利技术提供一种工业控制系统入侵检测方法及系统，将被保护的工业控制系统中的每个应用程序及系统服务对应进程单独视为一类，或是将多个行为相似的应用程序及系统服务视为一类进行建模，增强模型训练的针对性，解决行为空间庞大导致的建模不够准确的问题，相较于个人计算机使用环境，工业控制系统软硬件环境比较稳定、变化较小，因此本专利技术公开的方法非常适用于工业控制系统的网络环境，可以提高工业控制系统的网络环境对恶意程序攻击的感知能力。本专利技术解决技术问题所采用的技术方案如下：一种工业控制系统入侵检测方法，其中，所述工业控制系统入侵检测方法包括：记录工业控制系统环境中需要的运行的全部软件及操作系统，配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息；运行恶意程序，采集和存储恶意程序运行的行为信息，将采集的工业控制系统的行为信息和恶意程序运行的行为信息进行处理，生成特征序列；分类标注特征序列并训练神经网络模型，采集和存储实际运行的工业控制系统的行为信息；处理实际运行的工业控制系统的行为信息，生成特征序列，并通过训练后的神经网络模型判别特征序列，如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行。所述的工业控制系统入侵检测方法，其中，所述记录工业控制系统环境中需要的运行的全部软件及操作系统，配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息具体包括：遍历需要检测的工控系统环境，记录工业控制系统环境中需要的运行的全部软件及操作系统；在安全环境下，根据记录的软件及操作系统环境来配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息。所述的工业控制系统入侵检测方法，其中，所述工业控制系统的行为信息包括：工业控制系统全部运行进程的API调用、注册表操作、文件操作、网络访问的行为信息及对应的时间戳信息；所述恶意程序运行的行为信息包括：工业控制系统全部运行进程的API调用、注册表操作、文件操作、网络访问的行为信息及对应的时间戳信息。所述的工业控制系统入侵检测方法，其中，所述记录工业控制系统环境中需要的运行的全部软件及操作系统，配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息还包括：提取工业控制系统每个进程的API调用序列作为特征序列，进行前处理，得到符合用于训练神经网络模型输入格式的训练数据。所述的工业控制系统入侵检测方法，其中，所述运行恶意程序，采集和存储恶意程序运行的行为信息，将采集的工业控制系统的行为信息和恶意程序运行的行为信息进行处理，生成特征序列具体包括：在相同的环境中运行恶意程序，并采集和存储恶意程序运行的行为信息，运行下一个恶意程序前，将环境恢复至未运行恶意程序前的状态；将采集的工业控制系统的行为信息和每个恶意程序运行的行为信息进行处理；提取所述工业控制系统的行为信息中每个进程的API调用序列和所述恶意程序运行的行为信息中每个恶意程序对应进程的API调用序列；依照预定的API函数名称与数字标号的对应关系将每个API调用转换为数字标号，分属于每个进程的数字标号按时间排列并进行独热编码后，作为特征序列；提取每个恶意程序的API调用序列作为特征序列，进行前处理，得到符合用于训练神经网络模型输入格式的训练数据。所述的工业控制系统入侵检测方法，其中，所述分类标注特征序列并训练神经网络模型，采集和存储实际运行的工业控制系统的行为信息具体包括：将n个应用程序及系统服务对应进程的n个特征序列标识为n类，或将进程特征序列依照进程对应应用程序或系统服务的类型归类，标识为1至n-1类；将所有恶意程序进程的特征序列标识为一类，或将m个恶意程序特征序列依照恶意程序类型归类，标识为1至m-1类；利用得到的符合用于训练神经网络模型输入格式的训练数据对神经网络模型进行训练；采集和存储实际运行的工业控制系统的行为信息；所述实际运行的工业控制系统的行为信息包括：工业控制系统全部运行进程的API调用、注册表操作、文件操作、网络访问的行为信息及对应的时间戳信息。所述的工业控制系统入侵检测方法，其中，所述处理实际运行的工业控制系统的行为信息，生成特征序列，并通过训练后的神经网络模型判别特征序列，如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行具体包括：提取所述实际运行的工业控制系统的行为信息中每个进程的API调用序列，依照预定的API函数名称与数字标号的对应关系将每个API调用转换为数字标号，分属于每个进程的数字标号按时间排列并进行独热编码后，作为特征序列；判别结果认定特征序列属于恶意程序行为的认定依据为神经网络模型将特征序列判别为属于恶意程序特征序列中所标识的1至m-1类；如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行。所述的工业控制系统入侵检测方法，其中，所述处理实际运行的工业控制系统的行为信息，生成特征序列，并通过训练后的神经网络模型判别特征序列，如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行之后还包括：提取所述实际运行的工业控制系统的行为信息中被判别为恶意行为的进程对应的所有API调用、注册表操作、文件操作、网络访问以及时间戳的行为信息；将文件操作信息中记录的文件样本提交至病毒性平台和多种杀毒软件引擎，根据获得的分析报告判别文件样本是否属于已知恶意程序；如果不属于已知恶意程序，则人工分析注册表操作、文件操作以及网络访问的行为信息，判别进程是否具有恶意行为。所述的工业控制系统入侵检测方法，其中，所述前处理包括：按预先设置的API函数名称与数字标号的对应关系，将API调用序列中的函数名用数字标号替换，经独热编码生成数字化的特征序列。一种工业控制系统入侵检测系统，其中，所述工业控制系统入侵检测系统包括：记录配置模块，用于记录工业控制系统环境中需要的运行的全部软件及操作系统，配置工业控制系统，并采集和存储运本文档来自技高网...

【技术保护点】
1.一种工业控制系统入侵检测方法，其特征在于，所述工业控制系统入侵检测方法包括：记录工业控制系统环境中需要的运行的全部软件及操作系统，配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息；运行恶意程序，采集和存储恶意程序运行的行为信息，将采集的工业控制系统的行为信息和恶意程序运行的行为信息进行处理，生成特征序列；分类标注特征序列并训练神经网络模型，采集和存储实际运行的工业控制系统的行为信息；处理实际运行的工业控制系统的行为信息，生成特征序列，并通过训练后的神经网络模型判别特征序列，如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行。

【技术特征摘要】
1.一种工业控制系统入侵检测方法，其特征在于，所述工业控制系统入侵检测方法包括：记录工业控制系统环境中需要的运行的全部软件及操作系统，配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息；运行恶意程序，采集和存储恶意程序运行的行为信息，将采集的工业控制系统的行为信息和恶意程序运行的行为信息进行处理，生成特征序列；分类标注特征序列并训练神经网络模型，采集和存储实际运行的工业控制系统的行为信息；处理实际运行的工业控制系统的行为信息，生成特征序列，并通过训练后的神经网络模型判别特征序列，如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行。2.根据权利要求1所述的工业控制系统入侵检测方法，其特征在于，所述记录工业控制系统环境中需要的运行的全部软件及操作系统，配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息具体包括：遍历需要检测的工控系统环境，记录工业控制系统环境中需要的运行的全部软件及操作系统；在安全环境下，根据记录的软件及操作系统环境来配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息。3.根据权利要求2所述的工业控制系统入侵检测方法，其特征在于，所述工业控制系统的行为信息包括：工业控制系统全部运行进程的API调用、注册表操作、文件操作、网络访问的行为信息及对应的时间戳信息；所述恶意程序运行的行为信息包括：工业控制系统全部运行进程的API调用、注册表操作、文件操作、网络访问的行为信息及对应的时间戳信息。4.根据权利要求3所述的工业控制系统入侵检测方法，其特征在于，所述记录工业控制系统环境中需要的运行的全部软件及操作系统，配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息还包括：提取工业控制系统每个进程的API调用序列作为特征序列，进行前处理，得到符合用于训练神经网络模型输入格式的训练数据。5.根据权利要求4所述的工业控制系统入侵检测方法，其特征在于，所述运行恶意程序，采集和存储恶意程序运行的行为信息，将采集的工业控制系统的行为信息和恶意程序运行的行为信息进行处理，生成特征序列具体包括：在相同的环境中运行恶意程序，并采集和存储恶意程序运行的行为信息，运行下一个恶意程序前，将环境恢复至未运行恶意程序前的状态；将采集的工业控制系统的行为信息和每个恶意程序运行的行为信息进行处理；提取所述工业控制系统的行为信息中每个进程的API调用序列和所述恶意程序运行的行为信息中每个恶意程序对应进程的API调用序列；依照预定的API函数名称与数字标号的对应关系将每个API调用转换为数字标号，分属于每个进程的数字标号按时间排列并进行独热编码后，作为特征序列；提取每个恶意程序的API调用序列作为特征序列，进行前处理，得到符合用于训练神经网络模型输入格式的训练数据。6.根据权利要求5所述的工业控制系统入侵检测方法，其特征在于，所述分类标注特征序列并训练神经网络模型，采集和存储实际运行的工业控制系统的行为信息具体包括：将n个应用程序及系统服务对应进程的n个特...

【专利技术属性】
技术研发人员：罗禹铭，罗禹城，
申请(专利权)人：网御安全技术深圳有限公司，
类型：发明
国别省市：广东,44