The invention provides a threat detection method based on event sequence, which includes: capturing the network data packet of industrial control system in normal operation, extracting the training data set from it; establishing and training the hidden Markov model \u03bb; extracting the network data packet of industrial control system in current operation state, and obtaining the real observation sequence o \u2032 in current operation state
【技术实现步骤摘要】
一种基于事件序列的威胁检测方法
本专利技术涉及工业控制系统领域的攻击检测技术,具体涉及一种基于事件序列的威胁检测方法。
技术介绍
目前,越来越多的工业控制系统(简称工控系统)内部网络需要和外部网络互连,使工业控制系统暴露于公共网络之中,面临更多的攻击。为了保证工业控制系统的安全性,网络安全技术被越来越多地应用。网络流量分析技术是目前应用最广泛的信息网络攻击检测方法之一,通过监视和分析网络流量以检测出带有异常行为的数据分组,从而实现攻击检测。但是,传统的攻击检测技术通常是搜索单个、不寻常或不允许的“操作”,而越来越多的攻击表明,网络入侵采用一系列合法的但操作顺序异常,能够避开标准的攻击检测系统,由于执行的顺序发生改变,仍然会破坏工业控制系统的基础设施。
技术实现思路
针对上述问题,本专利技术提出了一种基于事件序列的威胁检测方法,该威胁检测方法不但能够检测出单个的常规的不合法操作,而且能够检测出操作顺序异常的攻击序列。本专利技术旨在提出一种基于事件序列的威胁检测方法,这种攻击检测方法只需要获取控制系统网络的数据包,经过处理转化成事件序列,根据得到的事件序列进行建模;不仅保障了工控系统的实时性要求,而且能够很方便的在其他工控系统使用,提高了扩展性。本专利技术首先捕获正常运行时工控系统的网络数据包,将所述网络数据包转换成事件序列,然后提取观测序列o和状态序列I作为训练数据集,建立并训练隐马尔可夫模型λ;在威胁检测时提取当前运行状态下所述工控系统的当前网络数据包,将所述当前网络数据包 ...
【技术保护点】
1.一种基于事件序列的威胁检测方法,其特征在于,该方法包括如下步骤:/nS1)当工控系统正常运行时,抓取大量正常运行状态下的网络数据包,并从所述网络数据包中获取所有可能的状态集合Q={q
【技术特征摘要】
1.一种基于事件序列的威胁检测方法,其特征在于,该方法包括如下步骤:
S1)当工控系统正常运行时,抓取大量正常运行状态下的网络数据包,并从所述网络数据包中获取所有可能的状态集合Q={q1,q2,...,qN}以及所有可能的观测值集合V={v1,v2,...,vM},并将所述网络数据包转化成大量的事件序列E={e1,e2,…,et,…},从中提取出训练隐马尔科夫模型λ模型所需的观测序列和状态序列作为训练数据集,其中,所述网络数据包中的每个数据包被提取相应特征转化为一个事件e,e1,e2,…,et分别表示第1,2,…,t个事件e,每一个事件e表示为e=<ID,Code,Data,Time>,ID表示每个数据包唯一标识,Code表示所述工控系统中工控设备执行的操作类型,Data表示所述工控设备执行操作的具体信息,Time表示时间戳;所述训练数据集的提取方法为:将所述事件序列中的每个事件e中的Data字段作为一个观测值、Code字段作为一个状态值,从而获取训练所需的观测序列o=(o1,o2,...,ot,...)和对应的状态序列I=(I1,I2,...,It,...);
S2)根据步骤S1)得到的事件序列E建立隐马尔可夫模型λ,隐马尔可夫模型λ由初始状态概率向量π、状态转移概率矩阵A和观测概率矩阵B决定,表示为三元符号λ=(A,B,π),A=[aij]N*N,B=[bj(k)]N*M,π=(πi),其中,aij=P(It+1=qj|It=qi),bj(k)=P(ot=vk|It=qj),πi=P(I1=qi),t≥1并且为整数,i,j=1,2,...,N,k=1,2,...,M,M表示所述观测值集合V的大小,N表示所述状态集合Q的大小,aij表示t时刻处于状态qi的条件下在t+1时刻转移到状态qj的概率;It表示t时刻的状态;bj(k)表示t时刻处于状态qj的条件下生成观测值vk的概率;ot表示t时刻的观测值;πi表示初始时刻t=1处于状态qi的概率;I1表示初始时刻t=1的状态;
S3)采用步骤S1)提取的所述训练数据集训练步骤S2)建立的隐马尔可夫模型λ,利用极大似然估计估计隐马尔可夫模型λ的参数:初始状态概率πi的估计值为所述训练数据集中初始状态为qi的频率;aij和bj(k)的估计值分别为其中Aij表示所述训练数据集中当前时刻状态为qi且下一时刻状态为qj的频数,Bjk表示所述训练数据集中状态为qj并且观测值为vk的频数,由此得到训练完成的隐马尔可夫模型λ;
S4)根据步骤S3)训练完成的隐马尔可夫模型λ生成一个预测观测序列,所述预测观测序列的生成过程为:根据正常运行状态下工控系统的初始状态分布确定初始时刻状态I1,然后根据所述正常运行状态下工控系统的观测概率分布bj(k)确定所述工控系统在t时刻的观测值ot,随后根据所述正常运行状态下工控系统的状态转移概率分布aij确定下一时刻的状态,重复上述步骤,直至所述工控系统的观测序列预测完成,预测出的观测序列是训练完成的隐马尔可夫模型λ生成的概率最大...
【专利技术属性】
技术研发人员:丁旭阳,谢盈,张帅,游新童,丁晓聪,张小松,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。