工业互联网异常行为挖掘方案制造技术

根据移动互联环境下工业控制网络中数据行为特点，提供一种改进的混合多分类朴素贝叶斯算法及基于两步筛选的海量数据增量学习算法，并应用到移动工业控制系统的异常行为挖掘与分析中。该异常行为挖掘方案由异常行为分类和挖掘算法设计而成：可疑行为分类的方法以及数据挖掘的过程，在移动互联环境下工业控制网络中，行为数据的挖掘分为两个阶段：分类器学习阶段和网络行为监测阶段；在获得各类行为分类器之后，恶意软件行为的数据挖掘进入第二阶段，网络行为监测阶段。朴素贝叶斯分类算法在分类类别独立的前提下，具有计算速度快，分类准确性高和健壮性好等特点，并得到广泛应用。

Industrial Internet anomaly behavior mining scheme

According to the data of network behavior characteristics of industrial control mobile Internet environment, an improved multi classification algorithm based on Naive Bayesian and two step screening data incremental learning algorithm, and applied to the abnormal behavior of mining and analysis of industrial control system in mobile. The abnormal behavior of the mining scheme by abnormal behavior classification and mining algorithm design and process method of suspicious behavior classification and data mining, in the mobile Internet environment in industrial control network, data mining is divided into two stages: learning stage and network behavior monitoring stage; after obtaining all kinds of malicious behavior classifier. The behavior of the software of data mining into the second stage, the network behavior monitoring stage. The naive Bias classification algorithm has the advantages of fast computing speed, high classification accuracy and good robustness.

【技术实现步骤摘要】

本专利技术涉及一种挖掘方案，尤其涉及一种工业互联网异常行为的挖掘方案。
技术介绍
针对移动互联环境下工控系统异常行为的安全防护主要包括两个方面，网络侧防护和终端侧防护。1、网络侧防护网络侧防护通常是指利用特征匹配引擎对移动互联环境下工业控制系统的网络流量进行分析，主要是指工业控制特定协议，如OPC、DNP3等，也包括对各种移动终端的异常行为、样本文件等进行分析。工业控制系统的入侵检测技术利用旁路模式实现了对工业控制网络中异常行为的监控。2、终端侧防护终端侧的防护主要通过对工控网络中移动终端的安全检测来阻止攻击行为。目前常用的安全分析技术包括：·对恶意行为特征扫描。这种防护方式可以高精准度地检测已知的异常恶意行为，但是对于未知的或是新的异常恶意行为则无法检出。·静态采样分析原理。这种原理在对移动终端上的应用进行固定采样分析，用于判断这个应用的行为是否为异常恶意行为。这种采样分析要基于用户事先设置好的安全选项来进行。对于移动工控网络中的异常行为，特别是新的异常行为，也是无法及时防范的。·动态行为分析技术。这种技术为了节约移动终端计算资源，提出了基于云的移动恶意程序安全检测系统，通过在移动互联网中部署一个云恶意程序检测服务器来检测上传的移动恶意程序。该方法相当于利用带宽换取移动终端计算资源的节省。在移动互联环境下工业控制网络中，虽然传统特征匹配技术等对已知异常行为可以获得较好的检测效果，但是由于移动终端智能化的提升，在移动终端上所承载的业务，特别是工业控制业务，也在快速地增长，各种针对移动终端的新型攻击和变形攻击层出不穷。
技术实现思路
专利技术目的：根据移动互联环境下工业控制网络的行为特点专利技术一种改进的混合多分类朴素贝叶斯算法及基于两步筛选的海量数据增量学习算法，给出了在移动互联环境下工业控制网络的异常行为监测系统及处理流程。即引入数据挖掘算法进行异常行为分析。本专利技术是这样实现的：工业互联网异常行为挖掘方案，异常行为分类和挖掘算法设计：1、可疑行为分类的方法以及数据挖掘的过程，在移动互联环境下工业控制网络中，行为数据的挖掘分为两个阶段：分类器学习阶段和网络行为监测阶段。在获得各类行为分类器之后，恶意软件行为的数据挖掘进入第二阶段，网络行为监测阶段。2、网络行为挖掘分析，获取的现网行为数据的TCP连接及应用层协议部分选取关键的包头字段、流量统计以及关键内容字段作为异常行为分析的特征。3、异常行为挖掘算法设计，混合多分类朴素贝叶斯算法和两步筛选增量学习方法；首先利用白名单扫描引擎扫描现网行为数据获取用于增量学习的正常行为；利用已知异常行为特征匹配引擎的输出得到异常行为。从而获得包括异常行为和正常行为的原始增量训练集DT，然后进行两步筛选后加入到增量训练集中对现有模型进行训练。本专利技术相较于现有技术具有的积极效果在于：数据挖掘算法在传统互联网的网络行为分析和入侵检测中可以较好地检测异常行为。Chandrashekhar等利用聚类算法进行网络入侵检测数据的挖掘分析，Modi等把贝叶斯分类算法应用到基于云计算平台的入侵检测。朴素贝叶斯分类算法在分类类别独立的前提下，具有计算速度快，分类准确性高和健壮性好等特点，并得到广泛应用。附图说明图1是本专利技术网络行为分类器学习阶段流程示意图。图2是本专利技术网络行为监测阶段流程示意图。具体实施方式移动互联环境下工业控制网络的恶意软件在每个感染阶段的行为都有不同的特点，因此对其行为的分类有助于提高监测的精确度。在移动互联环境下工业控制网络中移动终端的异常行为可以包括：·移动终端僵尸、木马和病毒等恶意程序对移动工控系统的攻击以及人为的针对移动工业控制系统的攻击。这些恶意攻击具有危害大，损失重等特点。攻击者可以通过恶意指令控制移动工控系统的核心操作，或是将工控系统中的机密信息恶意下载等。·受感染终端通过多种方式将恶意代码扩散到其他终端。由于移动终端具有较强的通信能力，受感染终端可以通过短信方式传播欺骗下载的恶意程序，并链接到其他终端；也可以利用蓝牙、红外等方式将恶意程序传播到其他的终端。·装有工业移动应用的移动终端访问恶意网站，将工控系统的机密信息上传，进而泄漏机密信息给恶意的第三方；或是从恶意网站上下载病毒、木马等恶意软件，并通过受感染的移动终端发起对工控系统的攻击等。Milligan等总结了移动恶意程序的安全危害，其中包括信息泄露、机密数据窃取、恶意攻击、网络欺诈攻击和网络拒绝服务攻击等。由于移动终端和工业应用和用户密切相关，因此异常行为往往和移动终端类型、客户端程序类型、用户信息等相关联，而且传输的协议多样化，攻击方式也多种多样。因此，在移动互联环境下工业控制网络中的异常行为分析，既要考虑终端信息、用户信息，也要考虑各个层面传输协议的相关特征属性。根据对移动互联环境下工业控制网络异常行为的分析，可以将恶意软件的感染期间分为三个阶段：扩散阶段、访问恶意服务器的阶段和攻击阶段。在扩散阶段，通过彩信、HTTP、FTP和电子邮件等方式，恶意软件可以发送到其它移动终端。在恶意软件感染移动终端之后，它通过连接恶意服务器下载更新文件、控制指令或者将终端获取的系统信息上传给恶意网站。最终，恶意软件利用受感染的终端能够对工控系统发起各种各样的攻击，包括从工业控制系统恶意下载数据、发布非法控制指令攻击系统、将隐私机密随意发送到其他的终端或者网站等。依据上述三个过程，恶意软件的行为分为三类：扩散行为、访问恶意网站行为和攻击行为。这三类行为分别采用不同的分类器进行分类处理，以提高恶意行为的识别度。异常行为分类和挖掘算法设计：1、可疑行为分类的方法以及数据挖掘的过程，在移动互联环境下工业控制网络中，行为数据的挖掘分为两个阶段：分类器学习阶段和网络行为监测阶段。其中，行为分类器数据挖掘在学习阶段的过程如图1所示。在学习阶段，本模型将已知的移动恶意软件和正常的网络访问用作行为分类器的学习数据。其中，作为学习数据的恶意软件具有三个阶段的行为：扩散行为、恶意访问行为和攻击行为。同样的，正常网络访问数据也有相似类型的行为，如移动终端之间正常的信息交流、下载文件的行为、访问系统的行为和正常的控制指令发布到控制系统的行为等。行为分类器模块根据数据行为的特征将学习数据分为三个行为子集：扩散行为子集、恶意访问行为子集和攻击行为子集。接着，这三个行为子集的数据分别被用于三个不同的朴素贝叶斯分类器的学习。这三个分类器分别是：扩散行为分类器F1、恶意访问行为分类器F2和攻击行为分类器F3。在获得各类行为分类器之后，恶意软件行为的数据挖掘进入第二阶段，网络行为监测阶段，如图2所示。在监测阶段，移动网络中的真实数据输入到第一阶段获得的行为分类器中。行为分类模块根据网络数据的行为特征，将网络数据分成三个子集。然后，这三个子集的行为数据分别输入到对应的行为分类器中进行分析分类，用以判断这些网络行为数据是否为恶意行为数据。2、网络行为挖掘分析，传统的网络入侵行为挖掘分析通常采用KDD’99入侵检测数据进行挖掘分析，KDD’99网络入侵行为是由DARPA’98入侵检测系统项目中采集的，包括拒绝服务、提权攻击、远程攻击和扫描攻击。数据中每个连接通过41个特征来描述，包括基本连接特征、流量统计特征、内容特征和基于主机的网络流量统计特征等。由于移本文档来自技高网...

【技术保护点】
工业互联网异常行为挖掘方案，其特征在于：所述的异常行为挖掘方案由异常行为分类和挖掘算法设计而成：可疑行为分类的方法以及数据挖掘的过程，在移动互联环境下工业控制网络中，行为数据的挖掘分为两个阶段：分类器学习阶段和网络行为监测阶段；在获得各类行为分类器之后，恶意软件行为的数据挖掘进入第二阶段，网络行为监测阶段。

【技术特征摘要】
1.工业互联网异常行为挖掘方案，其特征在于：所述的异常行为挖掘方案由异常行为分类和挖掘算法设计而成：可疑行为分类的方法以及数据挖掘的过程，在移动互联环境下工业控制网络中，行为数据的挖掘分为两个阶段：分类器学习阶段和网络行为监测阶段；在获得各类行为分类器之后，恶意软件行为的数据挖掘进入第二阶段，网络行为监测阶段。2.如权利要求1所述的异常行为挖掘方案，其特征在于：所述的网络行为挖掘分析，获取的现网行为数据的TCP连接及应用层...

【专利技术属性】
技术研发人员：俞海国，刘文泉，马先，张洪平，张海宁，刘世良，苏生平，尚西元，李楠芳，刘忠魁，赵明明，林亮成，任凤伟，王迎鹤，
申请(专利权)人：国网青海省电力公司，中电运行北京信息技术有限公司，
类型：发明
国别省市：青海;63