一种用于工业控制系统入侵检测方法及系统技术方案

本发明专利技术公开了一种用于工业控制系统入侵检测方法及系统，包括以下步骤：通过带镜像口的交换机设备利用抓包软件抓取工业控制系统流入程序的数据包，并对数据包进行解析；将上述数据包解析结果发送给IDS的命令解析器；所述命令解析器将接收到的所述数据包解析结果与预先设置的规则库中对应的攻击特征进行匹配；如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功。有益效果：能够通过集成学习模型检测出恶意入侵程序，并及时暂停工业控制系统的运行和发出声光报警，同时还能够将该恶意入侵程序添加到规则库中，能够不断的扩充规则库，从而增加了工业控制系统入侵检测的智能性、准确性和检测效率。

An intrusion detection method and system for industrial control system

The invention discloses an intrusion detection method and system for an industrial control system, which comprises the following steps: grabbing the data package of the inflow program of an industrial control system by using the grabbing software through a switch device with a mirror port, and analyzing the data package; sending the analysis result of the data package to the command resolver of IDS; and the command resolver will receive the data package The analysis results are matched with the corresponding attack features in the preset rule base; if it is judged that the packet analysis results are matched with the corresponding attack features in the rule base successfully. Beneficial effect: it can detect the malicious intrusion program through the integrated learning model, suspend the operation of the industrial control system and send out the sound and light alarm in time, at the same time, it can add the malicious intrusion program to the rule base, and can continuously expand the rule base, thus increasing the intelligence, accuracy and detection efficiency of the industrial control system intrusion detection.

【技术实现步骤摘要】
一种用于工业控制系统入侵检测方法及系统
本专利技术涉及系统安全
，具体来说，涉及一种用于工业控制系统入侵检测方法及系统。
技术介绍
随着网络攻击的不断增多，入侵检测系统已经成为组建安全网络系统的重要组成部分。工业控制系统是工业部门的重要基础设施，工业控制系统是对诸如图像、语音信号等大数据量、高速率传输的要求，当前在商业领域风靡的以太网与控制网络的结合;检测入侵事件，保护工业控制网络安全，维护工业控制系统的正常运转，是当前网络安全建设的核心内容之一。然而，目前工业控制系统入侵检测主要有以下两大类方法：一是基于规则的入侵检测方法，主要实现方式是通过匹配规则码或特征码来检测出入侵行为;这种方式准确率较高，误报率低，但是检测效果完全取决与规则库，而且无法发现未知的攻击行为，有较大的局限性。二是基于机器学习的检测方法，主要实现方式是通过训练神经网络模型，判别系统是否具有属于恶意程序的行为特征。这种方法的优点是具备一定的泛化能力，可以检测出未知的攻击行为；但由于基于机器学习的方法需要预先采集正常系统行为和恶意程序行为特征来对判决模型进行训练，而当前应用程序、恶意程序众多，系统行为复杂多变，导致行为空间特征集十分庞大，从而影响检测的效率，导致检测效率低下。因此需要对现有的工业控制系统入侵检测进行改进，在保证检测准确率的同时提升检测的效率。针对相关技术中的问题，目前尚未提出有效的解决方案。
技术实现思路
本专利技术的目的在于提供一种用于工业控制系统入侵检测方法及系统，以解决上述背景技术中提出的问题。为实现上述目的，本专利技术提供了一种用于工业控制系统入侵检测方法包括以下步骤：通过带镜像口的交换机设备利用抓包软件抓取工业控制系统流入程序的数据包，并对数据包进行解析；将上述数据包解析结果发送给IDS的命令解析器；所述命令解析器将接收到的所述数据包解析结果与预先设置的规则库中对应的攻击特征进行匹配；如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功，则属于恶意入侵程序，并且命令解析器发出警报并暂停工业控制系统的运行；如果判断出数据包解析结果与规则库中对应的攻击特征匹配失败，则将对数据包进行协议解析工作，识别、提取其中有效特征，包括：通信数据的源IP地址、源端口号、目的IP地址、目的端口号、包间隔时间、包发送时间、包功能码；在上述提取的有效特征中，利用专家知识或者机器学习特征选择技术，选择合适的特征建立特征集；对特征集中的数据进行预处理，将每一条网络通信报文处理成一条标准化的多维向量数据；将上述处理后的多维向量数据输入到集成学习模型中，对有标签的工业控制系统通信数据进行有监督学习，并在实时检测时，对到来的每一个工业控制系统通信数据包判断是否为异常数据；若检测到有异常数据，则判断属于恶意入侵程序，然后命令解析器发出警报并暂停工业控制系统的运行，并将提取攻击特征并添加到上述规则库中；若未检测到有异常数据，则判断不属于恶意入侵程序。进一步的实施例中，上述数据包来源可以是实际现场数据也可以是安全工程师提交的数据；抓包软件为Wireshark和Fiddler4中任意一个，能够用于安全工程师自己提交新发现的疑似恶意入侵程序进行检测，如果是恶意入侵程序添加到规则库中，以不断丰富规则库。进一步的实施例中，上述机器学习特征选择技术采用决策树算法进行特征筛选的内容包括信息熵和互信息，通过建立高质量且不冗余的特征集合，能有效代表系统所采集的网络数据，且合理利用运算资源。进一步的实施例中，上述预处理方法具体包括缺失值补充、特征编码、数据极大极小标准化。进一步的实施例中，上述集成学习是指通过融合多个机器学习算法来完成学习任务，集成学习方法为stacking集成学习算法，stacking集成学习算法是一种异构算法，能够给工业控制系统入侵检测带来不同学习模型的训练效果。进一步的实施例中，上述警报包括警报器发出的声音警报以及三色灯发出的闪光警报，能够通过声光报警提醒工作人员及时进行处理。本专利技术提供了一种用于工业控制系统入侵检测系统包括：节点，用于捕获工业控制系统流入的数据包，根据协议解码对所述数据包进行解析，并将数据包解析结果发送给IDS的命令解析器；命令解析器，用于将接收到的所述数据包解析结果与预先设置的规则库中对应的攻击特征进行规则匹配；如果所述数据包解析结果与规则库中对应的攻击特征匹配成功，所述命令解析器进行报警；协议解析模块，用于对数据包进行协议解析工作，识别、提取其中有效特征；特征选择模块，用于利用专家知识或者机器学习特征选择技术，选择合适的特征建立特征集；预处理模块，用于将每一条网络通信报文处理成一条标准化的多维向量数据；集成学习模型，用于对有标签的工业控制系统通信数据进行有监督学习，并在实时检测时，对到来的每一个工业控制系统通信数据包判断是否为异常数据；处理判别模块，用于处理实际运行的工业控制系统的通信数据，生成特征序列，并通过训练后的神经网络模型判别特征序列，如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行。进一步的实施例中，还包括存储器，用于存储规则库的攻击特征以及从数据包中提取的有效特征。进一步的实施例中，还包括提取模块，用于提取集成学习模型检测出的恶意入侵程序中的攻击特征并将提取的攻击特征存储在存储器中。与现有技术相比，本专利技术具有以下有益效果：能够当规则库内已有的恶意入侵程序入侵时，通过命令解析器快速、准确的识别出恶意入侵程序，并及时暂停工业控制系统的运行和发出声光报警，无需通过集成学习模型进行检测，从而能够大大的减少运算量，当规则库以外的恶意入侵程序入侵时，能够通过集成学习模型检测出恶意入侵程序，并及时暂停工业控制系统的运行和发出声光报警，同时还能够将该恶意入侵程序添加到规则库中，能够不断的扩充规则库，从而增加了工业控制系统入侵检测的智能性、准确性和检测效率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是根据本专利技术实施例的一种用于工业控制系统入侵检测方法的流程图；图2是根据本专利技术实施例的一种用于工业控制系统入侵检测系统的结构框图。具体实施方式下面，结合附图以及具体实施方式，对专利技术做出进一步的实施例中描述：如图1所示，根据本专利技术实施例的一种用于工业控制系统入侵检测方法，包括以下步骤：S101、通过带镜像口的交换机设备利用抓包软件抓取工业控制系统流入程序的数据包，并对数据包进行解析；S103、将上述数据包解析结果发送给IDS的命令解析器；S105、所述命令解析器将接收到的所述数据包解析结果与预先设置的规则库中对应本文档来自技高网...

【技术保护点】
1.一种用于工业控制系统入侵检测方法，其特征在于，包括以下步骤：/n通过带镜像口的交换机设备利用抓包软件抓取工业控制系统流入程序的数据包，并对数据包进行解析；/n将上述数据包解析结果发送给IDS的命令解析器；/n所述命令解析器将接收到的所述数据包解析结果与预先设置的规则库中对应的攻击特征进行匹配；/n如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功，则属于恶意入侵程序，并且命令解析器发出警报并暂停工业控制系统的运行；/n如果判断出数据包解析结果与规则库中对应的攻击特征匹配失败，则将对数据包进行协议解析工作，识别、提取其中有效特征，包括：通信数据的源IP地址、源端口号、目的IP地址、目的端口号、包间隔时间、包发送时间、包功能码；/n在上述提取的有效特征中，利用专家知识或者机器学习特征选择技术，选择合适的特征建立特征集；/n对特征集中的数据进行预处理，将每一条网络通信报文处理成一条标准化的多维向量数据；/n将上述处理后的多维向量数据输入到集成学习模型中，对有标签的工业控制系统通信数据进行有监督学习，并在实时检测时，对到来的每一个工业控制系统通信数据包判断是否为异常数据；/n若检测到有异常数据，则判断属于恶意入侵程序，然后命令解析器发出警报并暂停工业控制系统的运行，并将提取攻击特征并添加到上述规则库中；/n若未检测到有异常数据，则判断不属于恶意入侵程序。/n...

【技术特征摘要】
1.一种用于工业控制系统入侵检测方法，其特征在于，包括以下步骤：
通过带镜像口的交换机设备利用抓包软件抓取工业控制系统流入程序的数据包，并对数据包进行解析；
将上述数据包解析结果发送给IDS的命令解析器；
所述命令解析器将接收到的所述数据包解析结果与预先设置的规则库中对应的攻击特征进行匹配；
如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功，则属于恶意入侵程序，并且命令解析器发出警报并暂停工业控制系统的运行；
如果判断出数据包解析结果与规则库中对应的攻击特征匹配失败，则将对数据包进行协议解析工作，识别、提取其中有效特征，包括：通信数据的源IP地址、源端口号、目的IP地址、目的端口号、包间隔时间、包发送时间、包功能码；
在上述提取的有效特征中，利用专家知识或者机器学习特征选择技术，选择合适的特征建立特征集；
对特征集中的数据进行预处理，将每一条网络通信报文处理成一条标准化的多维向量数据；
将上述处理后的多维向量数据输入到集成学习模型中，对有标签的工业控制系统通信数据进行有监督学习，并在实时检测时，对到来的每一个工业控制系统通信数据包判断是否为异常数据；
若检测到有异常数据，则判断属于恶意入侵程序，然后命令解析器发出警报并暂停工业控制系统的运行，并将提取攻击特征并添加到上述规则库中；
若未检测到有异常数据，则判断不属于恶意入侵程序。


2.根据权利要求1所述的一种用于工业控制系统入侵检测方法，其特征在于，上述数据包来源可以是实际现场数据也可以是安全工程师提交的数据；抓包软件为Wireshark和Fiddler4中任意一个，能够用于安全工程师自己提交新发现的疑似恶意入侵程序进行检测，如果是恶意入侵程序添加到规则库中，以不断丰富规则库。


3.根据权利要求2所述的一种用于工业控制系统入侵检测方法，其特征在于，上述机器学习特征选择技术采用决策树算法进行特征筛选的内容包括信息熵和互信息，通过建立高质量且不冗余的特征集合，能有效代表系统所采集的网络数据，且合理利用运算资源。


4.根据权利要求3所述的一种用于工业控制系统入侵检测方法...

【专利技术属性】
技术研发人员：张富强，蒋茹，马妙博，
申请(专利权)人：南京市晨枭软件技术有限公司，
类型：发明
国别省市：江苏;32