The invention discloses an intrusion detection method and system for an industrial control system, which comprises the following steps: grabbing the data package of the inflow program of an industrial control system by using the grabbing software through a switch device with a mirror port, and analyzing the data package; sending the analysis result of the data package to the command resolver of IDS; and the command resolver will receive the data package The analysis results are matched with the corresponding attack features in the preset rule base; if it is judged that the packet analysis results are matched with the corresponding attack features in the rule base successfully. Beneficial effect: it can detect the malicious intrusion program through the integrated learning model, suspend the operation of the industrial control system and send out the sound and light alarm in time, at the same time, it can add the malicious intrusion program to the rule base, and can continuously expand the rule base, thus increasing the intelligence, accuracy and detection efficiency of the industrial control system intrusion detection.
【技术实现步骤摘要】
一种用于工业控制系统入侵检测方法及系统
本专利技术涉及系统安全
,具体来说,涉及一种用于工业控制系统入侵检测方法及系统。
技术介绍
随着网络攻击的不断增多,入侵检测系统已经成为组建安全网络系统的重要组成部分。工业控制系统是工业部门的重要基础设施,工业控制系统是对诸如图像、语音信号等大数据量、高速率传输的要求,当前在商业领域风靡的以太网与控制网络的结合;检测入侵事件,保护工业控制网络安全,维护工业控制系统的正常运转,是当前网络安全建设的核心内容之一。然而,目前工业控制系统入侵检测主要有以下两大类方法:一是基于规则的入侵检测方法,主要实现方式是通过匹配规则码或特征码来检测出入侵行为;这种方式准确率较高,误报率低,但是检测效果完全取决与规则库,而且无法发现未知的攻击行为,有较大的局限性。二是基于机器学习的检测方法,主要实现方式是通过训练神经网络模型,判别系统是否具有属于恶意程序的行为特征。这种方法的优点是具备一定的泛化能力,可以检测出未知的攻击行为;但由于基于机器学习的方法需要预先采集正常系统行为和恶意程序行为特征来对判决模型进行训练,而当前应用程序、恶意程序众多,系统行为复杂多变,导致行为空间特征集十分庞大,从而影响检测的效率,导致检测效率低下。因此需要对现有的工业控制系统入侵检测进行改进,在保证检测准确率的同时提升检测的效率。针对相关技术中的问题,目前尚未提出有效的解决方案。
技术实现思路
本专利技术的目的在于提供一种用于工业控制系统入侵检测方法及系统,以解决上述背景技 ...
【技术保护点】
1.一种用于工业控制系统入侵检测方法,其特征在于,包括以下步骤:/n通过带镜像口的交换机设备利用抓包软件抓取工业控制系统流入程序的数据包,并对数据包进行解析;/n将上述数据包解析结果发送给IDS的命令解析器;/n所述命令解析器将接收到的所述数据包解析结果与预先设置的规则库中对应的攻击特征进行匹配;/n如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功,则属于恶意入侵程序,并且命令解析器发出警报并暂停工业控制系统的运行;/n如果判断出数据包解析结果与规则库中对应的攻击特征匹配失败,则将对数据包进行协议解析工作,识别、提取其中有效特征,包括:通信数据的源IP地址、源端口号、目的IP地址、目的端口号、包间隔时间、包发送时间、包功能码;/n在上述提取的有效特征中,利用专家知识或者机器学习特征选择技术,选择合适的特征建立特征集;/n对特征集中的数据进行预处理,将每一条网络通信报文处理成一条标准化的多维向量数据;/n将上述处理后的多维向量数据输入到集成学习模型中,对有标签的工业控制系统通信数据进行有监督学习,并在实时检测时,对到来的每一个工业控制系统通信数据包判断是否为异常数据;/n若检测到 ...
【技术特征摘要】
1.一种用于工业控制系统入侵检测方法,其特征在于,包括以下步骤:
通过带镜像口的交换机设备利用抓包软件抓取工业控制系统流入程序的数据包,并对数据包进行解析;
将上述数据包解析结果发送给IDS的命令解析器;
所述命令解析器将接收到的所述数据包解析结果与预先设置的规则库中对应的攻击特征进行匹配;
如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功,则属于恶意入侵程序,并且命令解析器发出警报并暂停工业控制系统的运行;
如果判断出数据包解析结果与规则库中对应的攻击特征匹配失败,则将对数据包进行协议解析工作,识别、提取其中有效特征,包括:通信数据的源IP地址、源端口号、目的IP地址、目的端口号、包间隔时间、包发送时间、包功能码;
在上述提取的有效特征中,利用专家知识或者机器学习特征选择技术,选择合适的特征建立特征集;
对特征集中的数据进行预处理,将每一条网络通信报文处理成一条标准化的多维向量数据;
将上述处理后的多维向量数据输入到集成学习模型中,对有标签的工业控制系统通信数据进行有监督学习,并在实时检测时,对到来的每一个工业控制系统通信数据包判断是否为异常数据;
若检测到有异常数据,则判断属于恶意入侵程序,然后命令解析器发出警报并暂停工业控制系统的运行,并将提取攻击特征并添加到上述规则库中;
若未检测到有异常数据,则判断不属于恶意入侵程序。
2.根据权利要求1所述的一种用于工业控制系统入侵检测方法,其特征在于,上述数据包来源可以是实际现场数据也可以是安全工程师提交的数据;抓包软件为Wireshark和Fiddler4中任意一个,能够用于安全工程师自己提交新发现的疑似恶意入侵程序进行检测,如果是恶意入侵程序添加到规则库中,以不断丰富规则库。
3.根据权利要求2所述的一种用于工业控制系统入侵检测方法,其特征在于,上述机器学习特征选择技术采用决策树算法进行特征筛选的内容包括信息熵和互信息,通过建立高质量且不冗余的特征集合,能有效代表系统所采集的网络数据,且合理利用运算资源。
4.根据权利要求3所述的一种用于工业控制系统入侵检测方法...
【专利技术属性】
技术研发人员:张富强,蒋茹,马妙博,
申请(专利权)人:南京市晨枭软件技术有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。