本发明专利技术公开了一种面向工控网络Modbus协议的数据流异常分析方法,包括以下步骤:步骤一:初始化阶段,生成Modbus协议数据流量异常分析模型;步骤二:初始化阶段,生成Modbus协议自学习正常行为模型;步骤三:运行阶段,判断Modbus协议数据流量的运行状态;步骤四:运行阶段,判断Modbus协议数据报文的正常/异常行为状态;步骤五:对步骤三和步骤四中的结果进行可视化呈现。本发明专利技术在深入理解Modbus协议及异常分析技术的基础上设计,有很好的全面性与实用性,能有提高异常分析的效率,使之能高效的发现工业控制系统中存在的Modbus异常数据流。
【技术实现步骤摘要】
本文专利技术属于工业控制系统的安全
,具体的说,涉及一种面向工控网络Modbus协议的数据流异常分析方法。
技术介绍
工业领域中超过80%的关键基础设施依靠工业控制系统来实现自动化作业。近年来,针对工业控制系统的网络安全事件频繁发生例如:2010年“震网”病毒针对伊朗布什尔核电站实施了“摆渡”攻击,导致20%离心机报废以及有毒的放射性物质泄漏;2012年“火焰”病毒攻击了中东能源行业,收集了伊朗石油行业大量关键信息,意图打击石油国家的经济命脉;2016年“黑暗力量”对乌克兰智能电网工控系统进行了攻击,导致家庭供电被迫大规模中断。这些里程碑式的安全事件标志工业控制系统安全已经开始影响国计民生,一旦遭到破坏,造成的损失将难以估量。随着针对工控系统的传统简单攻击手段已经演变为高级可持续性威胁(Advanced Persistent Threat,APT),其对国家关键基础设施已造成了严重的安全威胁,APT具有复杂性、可持续性、隐蔽性等特点,目前还没有有效的防御手段,唯一的方式就是在攻击者掌握“0-day”漏洞之前,发现“0-day”漏洞,对现场设备漏洞进行补丁升级。在工业控制系统(Industry Control System,ICS)中,应用的通用协议类型主要包括Modbus、OPC等,同时Modbus协议也是国内工控研发厂商、集成商采用最多的协议之一,已在多个行业如能源、石化、冶金等领域应用广泛。所以目前由于在工控领域中Modbus协议广泛的应用场景及APT攻击的出现,需要对Modbus协议进行有效的安全告警及异常分析,有利于工业控制系统安全问题的发现,发现现场系统中关于Modbus协议数据流的异常流量及异常行为,给出实时的报警信息,有利于系统维护人员进行有针对性的修复及应急响应。综上,本专利技术的数据流异常分析方法能发现工业控制系统领域Modbus协议的未知的攻击方式,通过流量分析、报文分析两种融合的方式,将提高系统异常的检测效率,发现不同种类的攻击。
技术实现思路
本专利技术要解决的技术问题是克服上述缺陷,提供了一种面向工控网络Modbus协议的数据流异常分析方法,在初始化阶段,建立点对点流量模型和正常的用户访问、数据传输等模式;在系统运行阶段,判断Modbus协议数据流的运行状态及实时判断数据流中是否有偏离正常行为模式的数据报文出现,有效地对Modbus协议现场控制网络进行异常分析与报警。为解决上述问题,本专利技术所采用的技术方案是:一种面向工控网络Modbus协议的数据流异常分析方法,其特征在于:包括以下步骤:步骤一:初始化阶段,通过自学习控制状态开启,生成Modbus协议数据流量异常分析模型;步骤二:初始化阶段,通过自学习控制状态开启,生成Modbus协议自学习正常行为模型;步骤三:运行阶段,通过匹配Modbus协议数据流的周期性变化规律,判断Modbus协议数据流量的运行状态;步骤四:运行阶段,通过匹配Modbus协议数据流中是否有偏离正常行为模式的数据报文,判断Modbus协议数据报文的正常/异常行为状态;步骤五:对步骤三和步骤四中的结果进行可视化呈现。作为一种优化的技术方案,所述在初始化阶段,生成Modbus协议数据流量异常分析模型为:自学习功能:在系统初始化阶段,应将方法实现的状态设置为自学习状态,提示目前产生的集合为训练集合;协议数据流分类:将捕获的Modbus协议数据流进行端到端分类,分类特征如IP地址、MAC地址、终端名称等;数据流统计:端到端分类的数据流统计其时间序列,基于等时间间隔来进行观测值统计,形成时间序列的数据流统计;时间序列预测模型:基于特定方法建立时间序列预测模型,如指数平滑方法、AR模型等。作为一种优化的技术方案,所述在初始化阶段,生成Modbus协议自学习正常行为模式模型为:自学习功能:在系统初始化阶段,应将方法实现的状态设置为自学习状态,提示目前产生的集合为训练集合;协议解析:将捕获的Modbus协议数据流进行协议解析,解析包括网络层、通信层、应用层数据;特征提取:基于协议解析的属性,提取安全相关的属性,包括源IP地址、目的IP地址、IP包头部长度、源端口、目的端口、事务处理标识符、协议标识符、长度、单元标识符、功能码、数据地址、数据量;归一化处理:将特征提取属性数据进行归一化转换。正常行为模式:通过自学习结束标志,建立完整的训练库,通过BP神经网络方法建立正常行为模型。作为一种优化的技术方案,所述在运行阶段,判断Modbus协议数据流量的运行状态为:数据捕获:基于接口库进行数据流捕获;协议数据流分类:对Modbus协议数据流基于IP地址、MAC地址、终端名称等特征进行分类;数据流统计:端到端分类的数据流统计其时间序列;时间序列预测判定:时间序列代入判定函数,基于时间序列预测值与真实值进行一定范围误差内的判定。作为一种优化的技术方案,所述在运行阶段,判断Modbus协议数据报文的正常/异常行为状态为:数据捕获:基于接口库进行数据流捕获;协议解析:将捕获的Modbus协议数据流进行协议解析;特征提取:基于协议解析的属性,提取安全相关的属性;归一化处理:将特征提取属性数据转换为0-1之间的数据。正常行为判定:将特征属性代入BP神经网络判定函数,基于BP神经网络计算结果判定正常/异常行为。由于采用了上述技术方案,与现有技术相比,本专利技术在深入理解Modbus协议及异常分析技术的基础上设计,有很好的全面性与实用性,能有提高异常分析的效率,使之能高效的发现工业控制系统中存在的Modbus异常数据流。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图,均应落入本专利技术的保护范围。图1为本专利技术中Modbus协议数据流异常分析方法整体流程图;图2为本专利技术中时间序列分析过程示意图;图3为本专利技术中神经网络结构示意图;图4为本专利技术中基于Modbus协议的数据包格式域图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。考虑到工业现场控制系统的数据流异常分析与IT系统的异常分析在工业通信协议、数据流周期性、数据流稳定性等方面的不同,工业控制系统数据流异常分析更适合数据流量异常分析、数据报文异常行为分析方法,准确率理论上较传统IT网络上实现此方法更高。本专利技术提供了针对这些功能的解决方案,同时此专利技术实现流量异常分析及数据流报文异常行为分析两种方法,在检测不同类型攻击目的上实现了互补,更有效地检测网络风暴、DDos攻击、数据指令异常行为、误操作行为等存在的数据流异常状态。图1是本专利技术方法的整体数据流异常分析方法流程,以下根据图1的具体实现模块功能,实现针对工控网络Modbus协议数据流异常的发现,其中实现的工具可应用在工控系统中所有支持Modbus TCP/I本文档来自技高网...
【技术保护点】
一种面向工控网络Modbus协议的数据流异常分析方法,其特征在于,包括以下步骤:1)初始化阶段,通过自学习控制状态开启,生成Modbus协议数据流量异常分析模型;2)初始化阶段,通过自学习控制状态开启,生成Modbus协议自学习正常行为模型;3)运行阶段,通过匹配Modbus协议数据流的周期性变化规律,判断Modbus协议数据流量的运行状态;4)运行阶段,通过匹配Modbus协议数据流中是否有偏离正常行为模式的数据报文,判断Modbus协议数据报文的正常/异常行为状态;5)对步骤3)和步骤4)中的结果进行可视化呈现。
【技术特征摘要】
1.一种面向工控网络Modbus协议的数据流异常分析方法,其特征在于,包括以下步骤:1)初始化阶段,通过自学习控制状态开启,生成Modbus协议数据流量异常分析模型;2)初始化阶段,通过自学习控制状态开启,生成Modbus协议自学习正常行为模型;3)运行阶段,通过匹配Modbus协议数据流的周期性变化规律,判断Modbus协议数据流量的运行状态;4)运行阶段,通过匹配Modbus协议数据流中是否有偏离正常行为模式的数据报文,判断Modbus协议数据报文的正常/异常行为状态;5)对步骤3)和步骤4)中的结果进行可视化呈现。2.根据权利要求1所述的一种面向工控网络Modbus协议的数据流异常分析方法,其特征在于,所述在初始化阶段,生成Modbus协议数据流量异常分析模型为:自学习功能:系统运行前,系统状态应为自学习状态;协议数据流分类:将捕获的Modbus协议数据流进行端到端分类;数据流统计:端到端分类的数据流统计其时间序列,时间序列应该是非线性的;时间序列预测模型:通过自学习结束标志,基于特定方法建立时间序列预测模型。3.根据权利要求1所述的一种面向工控网络Modbus协议的数据流异常分析方法,其特征在于,所述在初始化阶段,生成Modbus协议自...
【专利技术属性】
技术研发人员:范科峰,周睿康,姚相振,高林,李琳,
申请(专利权)人:工业和信息化部电子工业标准化研究院,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。