【技术实现步骤摘要】
一种基于遗传算法的工控攻击样本扩张方法及系统
本专利技术涉及工控安全领域,具体为针对已有的工控协议攻击样本集,提出了一种基于遗传算法的工控攻击样本扩张方法及系统。
技术介绍
随着制造业全面推进,工业数字化、网络化和智能化加快发展,工控安全面临安全漏洞不断增多、安全威胁加速渗透和攻击手段复杂多样等新的挑战。2018年台积电遭受勒索病毒入侵,仅三天损失高达11.5亿元人民币;2019年委内瑞拉电力系统遭受网络攻击,导致委内瑞拉大部分地区停电;美国和以色列在Stuxnet病毒上的合作,成功地迟滞了伊朗核计划。作为国家基础设施的神经中枢,工控系统由通信协议互联互通,通信协议的安全性是工控系统安全的重要部分,但各工控厂商出于提供个性化功能和优化通信协议等因素的考虑,导致工控行业中存在大量私有、未知的通信协议,对协议安全性分析带来了极大的挑战。在现有的解决方案中,采用协议逆向技术来解析未知协议是主要手段。协议逆向技术不依赖于协议描述,通过对协议流或指令执行流进行监控和分析来提取协议格式。由于工控协议处理程序主要集成在工控厂商提供的专用软件和硬件设备中,所以不易获取协议解析执行流,我们主要采用针对协议流的静态方法来解析未知工控协议。Tao等人(SiyuTao,etal.“Bit-orientedformatextractionapproachforautomaticbinaryprotocolreverseengineering,”inIETCommunications,2016.)提出了一种二进制协议解析方法,基于贝叶斯概率提取比特级特征,从而提升协议识别的效率;Lu ...
【技术保护点】
1.一种基于遗传算法的工控攻击样本扩张方法,其特征在于,包括以下步骤:步骤1:初始攻击样本收集:在公网上部署预设数量的工业控制蜜罐,将工控蜜罐捕获到的攻击样本存储到本地的数据库中,将每个攻击样本看作一条染色体,并且每条染色体上有多个基因,在数据库中随机选取Np个攻击样本作为初始攻击样本种群;步骤2:攻击样本个体适应度计算:根据实际工控设备对攻击样本的反馈数据来设计攻击样本个体适应度函数,攻击样本个体适应度函数设计过程包括:首先通过实际工控设备反馈的数据对攻击样本个体进行分类,然后根据攻击的威胁程度将类别分威胁等级,最后将威胁等级进行量化;步骤3:攻击样本个体选择:将初始攻击样本种群采用“轮盘赌”的方法进行选择,各个染色体被选中的概率与其适应度函数值大小成正比,使得适应度较高的个体染色体将有更多的机会遗传到下一代,并将选择的个体放入交配池中;步骤4:攻击样本个体交叉:首先将交配池中的个体按照一定规则进行简单的分类,将具有同类型的攻击样本个体随机两两配对,然后随机设定交叉点,并以设定的概率Pc采用单点交叉或多点交叉的方法交换它们的基因;步骤5:攻击样本个体变异:随机选取交叉后产生的新个体, ...
【技术特征摘要】
1.一种基于遗传算法的工控攻击样本扩张方法,其特征在于,包括以下步骤:步骤1:初始攻击样本收集:在公网上部署预设数量的工业控制蜜罐,将工控蜜罐捕获到的攻击样本存储到本地的数据库中,将每个攻击样本看作一条染色体,并且每条染色体上有多个基因,在数据库中随机选取Np个攻击样本作为初始攻击样本种群;步骤2:攻击样本个体适应度计算:根据实际工控设备对攻击样本的反馈数据来设计攻击样本个体适应度函数,攻击样本个体适应度函数设计过程包括:首先通过实际工控设备反馈的数据对攻击样本个体进行分类,然后根据攻击的威胁程度将类别分威胁等级,最后将威胁等级进行量化;步骤3:攻击样本个体选择:将初始攻击样本种群采用“轮盘赌”的方法进行选择,各个染色体被选中的概率与其适应度函数值大小成正比,使得适应度较高的个体染色体将有更多的机会遗传到下一代,并将选择的个体放入交配池中;步骤4:攻击样本个体交叉:首先将交配池中的个体按照一定规则进行简单的分类,将具有同类型的攻击样本个体随机两两配对,然后随机设定交叉点,并以设定的概率Pc采用单点交叉或多点交叉的方法交换它们的基因;步骤5:攻击样本个体变异:随机选取交叉后产生的新个体,并随机设定个体的某一位或几位基因值,并以概率Pm做变异运算;步骤6:终止条件设定及输出:多次迭代后,根据种群平均适应度值的收敛情况选择进化代数N,并输出扩充的个体。2.根据权利要求1所述的工控攻击样本扩张技术,其特征在于,所述步骤2攻击样本个体适应度计算具体为:步骤21:将Np个工控攻击样本向实际工控设备发送,获取工控设备响应的数据和响应数据后工控设备的系统状态;步骤22:根据实际工控设备对攻击样本的反馈数据,将反馈数据分类并根据攻击的威胁程度划分三个等级,反馈等级由低到高依次为:1)返回正常响应:实际工控设备可以正常地处理询问;2)返回异常响应:至少包括非法功能、非法数据地址、非法数据值;3)没有返回响应:通信错误,至少包括奇偶校验、LRC、CRC码错误;步骤23:量化攻击等级,将返回正常响应设为a,返回异常响应设为b,没有返回响应设为c,其中a、b和c均为常数,此外,异常响应通过返回数据中的差错码和异常码来识别,设定适应度函数,其方法为:且。3.根据权利要求2所述的工控攻击样本扩张技术,其特征在于,所述步骤3攻击样本个体选择具体为:步骤31:根据上述步骤23分别计算每个个体的适应度f(i)和所有个体的适应度总和其中,所述i=1,2,...
【专利技术属性】
技术研发人员:何云华,沈加龙,肖珂,王超,李琛,
申请(专利权)人:北方工业大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。