【技术实现步骤摘要】
一种基于蜜网的工业控制网络主动防御系统及其方法
本专利技术属于网络安全
,具体涉及一种基于蜜网的工业控制网络主动防御系统及其方法。
技术介绍
目前,工业控制系统被广泛应用于我国的现代工业,包括石油石化、国防科技、电力水利、能源机械、冶金工业、汽车制造和航空航天等诸多涉及国计民生的关键行业。这些行业绝大多数都涉及国家关键基础设施,均与国家命脉紧密相连。随着两化融合的逐步深入,工业控制系统中的信息化程度日益增高,通用软硬件和网络设施的广泛使用,打破了工业控制系统与信息网络的“隔离”,带来了一系列网络安全威胁。作为工业控制系统的重要组成部分,工业控制网络具有极强的产业关联度和产业渗透能力,其安全问题更是深刻影响着各行各业未来的发展方向,因而,工业控制网络安全领域是当下全球各国和各行业的重要研究目标,现实意义十分重大。越来越多的网络安全事件表明工业控制系统容易受到复杂的、有针对性的攻击。因为这些攻击通常是利用未经授权和未加密的工控设备或协议的漏洞,互联网技术级的安全机制几乎不可能的检测它们。虽然已经提出了一些工控级的安全方法,但它们更倾向于检测正常网络的异常流量或异常活动,然而这些是不够网络管理员去了解网络情况并做出决策的。
技术实现思路
本专利技术的目的在于提供一种基于蜜网的工业控制网络主动防御系统及其方法,不仅能检测针对工业控制系统网络的各种类型的网络攻击,还可以评估其威胁程度,并能发现相关攻击组织。本专利技术的技术方案如下:一种基于蜜网的工业控制网络主动防御系统...
【技术保护点】
1.一种基于蜜网的工业控制网络主动防御系统,其特征在于,其包含以下三个组件:信息收集组件、流量分析组件与知识管理组件;其中,/n所述的信息收集组件包括工业控制系统蜜网、网络爬虫、流量镜像;其中:/n所述的工业控制系统蜜网被部署在三个层:外部网络、隔离区和工业控制系统网络,分别构成外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐;所述的外部网络蜜罐用于捕获来自外部攻击者的攻击流量,从而提供最新且流行的攻击模式;所述的隔离区蜜罐用于检测对受保护的企业网络的攻击和接收来自现有攻击工具的攻击流量,以更新当前流量分析模型;所述的工业控制系统网络蜜罐用于捕获针对工业控制系统网络的攻击;/n所述的网络爬虫设置于蜜网控制器中,蜜网控制器设置于隔离区,用于存储所有攻击者的威胁情报,外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐均能查询这些情报;/n所述的流量镜像将工业控制系统网络的流量导入工业控制系统网络蜜罐,工业控制系统网络蜜罐构建工业控制系统通信模式库,实时监控工业控制系统网络;/n所述的流量分析组件包括流量处理模块、流量建模模块和流量评估模块,外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐中均嵌入流...
【技术特征摘要】
1.一种基于蜜网的工业控制网络主动防御系统,其特征在于,其包含以下三个组件:信息收集组件、流量分析组件与知识管理组件;其中,
所述的信息收集组件包括工业控制系统蜜网、网络爬虫、流量镜像;其中:
所述的工业控制系统蜜网被部署在三个层:外部网络、隔离区和工业控制系统网络,分别构成外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐;所述的外部网络蜜罐用于捕获来自外部攻击者的攻击流量,从而提供最新且流行的攻击模式;所述的隔离区蜜罐用于检测对受保护的企业网络的攻击和接收来自现有攻击工具的攻击流量,以更新当前流量分析模型;所述的工业控制系统网络蜜罐用于捕获针对工业控制系统网络的攻击;
所述的网络爬虫设置于蜜网控制器中,蜜网控制器设置于隔离区,用于存储所有攻击者的威胁情报,外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐均能查询这些情报;
所述的流量镜像将工业控制系统网络的流量导入工业控制系统网络蜜罐,工业控制系统网络蜜罐构建工业控制系统通信模式库,实时监控工业控制系统网络;
所述的流量分析组件包括流量处理模块、流量建模模块和流量评估模块,外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐中均嵌入流量分析组件,以提高流量分析的实时性,降低了各蜜罐中数据传输的负载;其中:
所述流量处理模块从会话提取开始,将连接流减少到工业控制系统协议级会话流,基于所提取的会话,外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐均从沟通通信策略、通信强度和通信内容三个方面刻画了工业控制系统网络的流量的通信模式:沟通通信策略用于评估沟通通信过程的复杂性;通信强度用于评估会话中工业控制系统协议流量的负载和数量;通信内容用于描述工业控制系统协议数据包的数据部分;
所述的流量建模模块将流量分析模型分成以下两步:第一步、用CART算法构造二叉决策树,使用基尼系数来选择分区特性;第二步、利用One-Vs-One(OVO)方法构造多分类模型OVO-CART;
所述的流量评估模块从异常流量、威胁级别和攻击组织三个方面对工业控制系统网络流量进行评估;其中:异常流量评估涉及两个问题:通信模式是否异常;传播模式是否呈现出一种新的传播模式;同时,所述的流量评估模块将通信模式的威胁等级划分为低、中、高三个等级;流量评估模块通过两种方法发现通信模式的攻击组织,当通信模式由外部IP生成时,首先在知识图中搜索其组织信息,其次尝试用网络爬虫收集威胁信息,该网络爬虫包含组织信息并用于更新知识图;如果威胁情报不可用,则通过通信模式指纹发现通信模式的攻击组织;
所述的知识管理组件通过知识图来管理工业控制系统网络的所有信息,分为内部网络知识图和外部网络知识图两个子图,均存储在图数据库中,内部网络知识图负责管理存储在工业控制系统网络蜜罐和蜜网控制器中的工业控制系统网络信息,外部网络知识图负责管理存储在蜜网控制器中的外部网络信息和威胁智能。
2.根据权利要求1所述的基于蜜网的工业控制网络主动防御系统,其特征在于,所述的流量建模模块将流量分析模型分成以下两步:
第一步、用CART算法构造二叉决策树,使用基尼系数来选择分区特性,即数据集D的纯度通过基尼系数来测量:
特征a的基尼系数定义为:
式中,pk表示第k类样本的比例;pk’表示除了第k类以外的其他类样本的比例;y表示样本的类数;N表示特征a的不同值的数目;Dn表示第n类子数据集;|D|表示数据集中数据个数;|Dn|表示第n类子数据集中数据个数;
选取基尼系数最小的特征作为最优分割特征,在训练过程中不断选择当前最优特征对剩余数据进行分割,直到所有训练数据分类正确或训练达到最大深度为止;使用代价复杂度剪枝CCP算法来剪枝训练的CART以避免过拟合,为了权衡精度和过拟合情况,引入了一个变量,并将损失函数定义为:
Cα(T)=C(T)+α|T|
C(T)表示预测误差;|T|表示子树T的叶节点数;根据上述公式,C(T)用于测量对训练数据集的适应度,α是用来平衡适应度和复杂度的参数;通过一个独立的验证数据集,选择精度最高的子树作为最优剪枝树;
第二步、利用One-Vs-One(OVO)方法构造多分类模型OVO-CART
通信模式由多个特征向量组成,这些特征向量用于表征会话中的ICS协议数据包,因此,OVO-CART以特征向量作为输入,所有特征向量的结果之和是通信模式的结果,称为通信模式指纹CPF;
当分析特征向量vk时,OVO-CART以两元组(cj,l,pj,l)的...
【专利技术属性】
技术研发人员:姚羽,盛川,刘莹,杨巍,安红娜,陈腾,
申请(专利权)人:东北大学,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。