【技术实现步骤摘要】
一种工业控制系统入侵检测方法及系统
本专利技术涉及信息安全
,尤其涉及一种工业控制系统入侵检测方法及系统。
技术介绍
随着网络攻击的不断增多,入侵检测系统已经成为组建安全网络系统的重要组成部分。工业控制系统是工业部门的重要基础设施,工业控制系统是对诸如图像、语音信号等大数据量、高速率传输的要求,当前在商业领域风靡的以太网与控制网络的结合;检测入侵事件,保护工业控制网络安全,维护工业控制系统的正常运转,是当前网络安全建设的核心内容之一。然而,目前工业控制系统入侵检测主要有以下两大类方法:一是基于规则的入侵检测方法,主要实现方式是通过匹配规则码或特征码来检测出入侵行为;这种方式准确率较高,误报率低,但是检测效果完全取决与规则库,而且无法发现未知的攻击行为,有较大的局限性。二是基于机器学习的检测方法,主要实现方式是通过训练神经网络模型,判别系统是否具有属于恶意程序的行为特征。这种方法的优点是具备一定的泛化能力,可以检测出未知的攻击行为;但由于基于机器学习的方法需要预先采集正常系统行为和恶意程序行为特征来对判决模型进行训练,而当前应用程序、恶意程序众多,系统行为复杂多变,导致行为空间特征集十分庞大,很难对正常的系统行为及恶意程序的行为进行准确建模,从而影响检测的准确率。因此,现有技术还有待于改进和发展。
技术实现思路
本专利技术要解决的技术问题在于,针对现有技术缺陷,本专利技术提供一种工业控制系统入侵检测方法及系统,将被保护的工业控制系统中的每个应用程序及系统服务对应进程单独视为一类,或是将多个行为相似的应用程序及系统服务视为一类进行建模,增强模型训练的针对性, ...
【技术保护点】
1.一种工业控制系统入侵检测方法,其特征在于,所述工业控制系统入侵检测方法包括:记录工业控制系统环境中需要的运行的全部软件及操作系统,配置工业控制系统,并采集和存储运行时的工业控制系统的行为信息;运行恶意程序,采集和存储恶意程序运行的行为信息,将采集的工业控制系统的行为信息和恶意程序运行的行为信息进行处理,生成特征序列;分类标注特征序列并训练神经网络模型,采集和存储实际运行的工业控制系统的行为信息;处理实际运行的工业控制系统的行为信息,生成特征序列,并通过训练后的神经网络模型判别特征序列,如果判别结果认定特征序列属于恶意程序行为,则暂停工业控制系统运行。
【技术特征摘要】
1.一种工业控制系统入侵检测方法,其特征在于,所述工业控制系统入侵检测方法包括:记录工业控制系统环境中需要的运行的全部软件及操作系统,配置工业控制系统,并采集和存储运行时的工业控制系统的行为信息;运行恶意程序,采集和存储恶意程序运行的行为信息,将采集的工业控制系统的行为信息和恶意程序运行的行为信息进行处理,生成特征序列;分类标注特征序列并训练神经网络模型,采集和存储实际运行的工业控制系统的行为信息;处理实际运行的工业控制系统的行为信息,生成特征序列,并通过训练后的神经网络模型判别特征序列,如果判别结果认定特征序列属于恶意程序行为,则暂停工业控制系统运行。2.根据权利要求1所述的工业控制系统入侵检测方法,其特征在于,所述记录工业控制系统环境中需要的运行的全部软件及操作系统,配置工业控制系统,并采集和存储运行时的工业控制系统的行为信息具体包括:遍历需要检测的工控系统环境,记录工业控制系统环境中需要的运行的全部软件及操作系统;在安全环境下,根据记录的软件及操作系统环境来配置工业控制系统,并采集和存储运行时的工业控制系统的行为信息。3.根据权利要求2所述的工业控制系统入侵检测方法,其特征在于,所述工业控制系统的行为信息包括:工业控制系统全部运行进程的API调用、注册表操作、文件操作、网络访问的行为信息及对应的时间戳信息;所述恶意程序运行的行为信息包括:工业控制系统全部运行进程的API调用、注册表操作、文件操作、网络访问的行为信息及对应的时间戳信息。4.根据权利要求3所述的工业控制系统入侵检测方法,其特征在于,所述记录工业控制系统环境中需要的运行的全部软件及操作系统,配置工业控制系统,并采集和存储运行时的工业控制系统的行为信息还包括:提取工业控制系统每个进程的API调用序列作为特征序列,进行前处理,得到符合用于训练神经网络模型输入格式的训练数据。5.根据权利要求4所述的工业控制系统入侵检测方法,其特征在于,所述运行恶意程序,采集和存储恶意程序运行的行为信息,将采集的工业控制系统的行为信息和恶意程序运行的行为信息进行处理,生成特征序列具体包括:在相同的环境中运行恶意程序,并采集和存储恶意程序运行的行为信息,运行下一个恶意程序前,将环境恢复至未运行恶意程序前的状态;将采集的工业控制系统的行为信息和每个恶意程序运行的行为信息进行处理;提取所述工业控制系统的行为信息中每个进程的API调用序列和所述恶意程序运行的行为信息中每个恶意程序对应进程的API调用序列;依照预定的API函数名称与数字标号的对应关系将每个API调用转换为数字标号,分属于每个进程的数字标号按时间排列并进行独热编码后,作为特征序列;提取每个恶意程序的API调用序列作为特征序列,进行前处理,得到符合用于训练神经网络模型输入格式的训练数据。6.根据权利要求5所述的工业控制系统入侵检测方法,其特征在于,所述分类标注特征序列并训练神经网络模型,采集和存储实际运行的工业控制系统的行为信息具体包括:将n个应用程序及系统服务对应进程的n个特...
【专利技术属性】
技术研发人员:罗禹铭,罗禹城,
申请(专利权)人:网御安全技术深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。