一种工控设备异常检测方法及系统技术方案

本发明专利技术提供了一种工控设备异常检测方法及系统，提取待处理数据包序列中待处理数据包的属性特征；判断待处理数据包的基本属性是否符合预设规则；若否，判定工控设备的交互行为异常；若是，确定待处理数据包序列的交互模式；判断待处理数据包序列的交互模式是否为交互模式集合中的交互模式；若否，判定工控设备的交互行为异常；若是，针对待处理数据包序列中每种交互模式对应的子序列，解析得到上行数据包的上行数据值，确定其上行数据值的模型预测值；若上行数据值和模型预测值的差值不在预设范围内，判定工控设备的交互行为异常；将异常行为记录在区块链上。多层次判断交互行为是否为异常行为，提高ICS的网络攻击检测能力和效率。

【技术实现步骤摘要】
一种工控设备异常检测方法及系统
本专利技术涉及数据处理
，具体涉及一种工控设备异常检测方法及系统。
技术介绍
工业控制系统（IndustrialControlSystems，ICS）通常与其它网络隔离，但随着通信技术的发展，ICS越来越开放，从而导致ICS的网络安全风险越来越突出，因此需要对ICS进行异常检测。目前对ICS进行异常检测的方式主要是基于工控协议字段合法性检测，但是前述异常检测的方式，无法检测内部攻击、通信流量特征无变化攻击和篡改测量数据攻击等异常行为，网络攻击检测能力较差，不能保证ICS的网络安全性。
技术实现思路
有鉴于此，本专利技术实施例提供一种工控设备异常检测方法及系统，以解决现有异常检测的方式存在的网络攻击检测能力较差等问题。为实现上述目的，本专利技术实施例提供如下技术方案：本专利技术实施例第一方面公开一种工控设备异常检测方法，所述方法包括：提取工控设备的待处理数据包序列中每一待处理数据包的属性特征；根据每一所述待处理数据包的所述属性特征中的基本属性特征，判本文档来自技高网...

【技术保护点】
1.一种工控设备异常检测方法，其特征在于，所述方法包括：/n提取工控设备的待处理数据包序列中每一待处理数据包的属性特征；/n根据每一所述待处理数据包的所述属性特征中的基本属性特征，判断所述待处理数据包是否符合预设规则；/n若所述待处理数据包不符合所述预设规则，判定所述工控设备的交互行为为异常行为；/n若所述待处理数据包符合所述预设规则，利用每一所述待处理数据包的属性特征，确定所述待处理数据包序列的交互模式；/n判断所述待处理数据包序列的交互模式是否为交互模式集合中的交互模式，所述交互模式集合预先根据历史数据包构建得到；/n若所述待处理数据包序列的交互模式不是所述交互模式集合中的交互模式，判定所...

【技术特征摘要】
1.一种工控设备异常检测方法，其特征在于，所述方法包括：
提取工控设备的待处理数据包序列中每一待处理数据包的属性特征；
根据每一所述待处理数据包的所述属性特征中的基本属性特征，判断所述待处理数据包是否符合预设规则；
若所述待处理数据包不符合所述预设规则，判定所述工控设备的交互行为为异常行为；
若所述待处理数据包符合所述预设规则，利用每一所述待处理数据包的属性特征，确定所述待处理数据包序列的交互模式；
判断所述待处理数据包序列的交互模式是否为交互模式集合中的交互模式，所述交互模式集合预先根据历史数据包构建得到；
若所述待处理数据包序列的交互模式不是所述交互模式集合中的交互模式，判定所述工控设备的交互行为为异常行为；
若所述待处理数据包序列的交互模式为所述交互模式集合中的交互模式，针对所述待处理数据包序列中每种交互模式对应的子序列，解析得到上行数据包的上行数据值，以及确定所述上行数据值的模型预测值，其中，所述模型预测值根据所述上行数据值的预测模型确定得到，所述预测模型预先根据历史数据包构建得到；
若所述上行数据值和所述模型预测值之间的差值不在预设范围内，判定所述工控设备的交互行为为异常行为；
将所述工控设备的异常行为及相关数据记录在区块链上，实现异常信息可信记录和共享，并为所述工控设备的行为审计提供依据。


2.根据权利要求1所述的方法，其特征在于，属性特征至少包括：源IP、目的IP、源端口号、目的端口号、协议号、包大小和包方向，构建交互模式集合的过程包括：
提取每一历史数据包的源IP、目的IP、源端口号、目的端口号、协议号、包大小和包方向属性特征，构建其属性特征向量，并按照历史数据包生成的时间顺序形成历史数据包序列，所述历史数据包序列为数据包属性特征向量序列；
将每一所述历史数据包的源IP、目的IP、源端口号、目的端口号、协议号、包大小和包方向属性特征作为特征变量，采用分层聚类算法对所有所述历史数据包进行分类，得到包类型集合；
根据流量包协议号分析，获得交互尾包的共性特征，从所述历史数据包序列中挑选出所有的交互尾包，进而基于所述包类型集合确定交互尾包类型集合，从所述包类型集合中删除所述交互尾包类型集合中的所有元素，并对交互尾包类型重新命名，所述交互尾包为每次交互的最后一个数据包；
根据所述包类型集合和所述交互尾包类型集合，替换每个所述历史数据包的属性特征向量为包类型，以所述交互尾包为界，将所有所述历史数据包组成的序列划分为多个相互独立的单次交互数据包序列；
对所述多个单次交互数据包序列进行分类，得到包括多种交互模式的交互模式集合。


3.根据权利要求1所述的方法，其特征在于，构建上行数据值的预测模型的过程包括：
针对所述交互模式集合中的每一交互模式，提取所述交互模式对应的所述历史数据包中的上行数据包；
针对所述交互模式集合中的每一交互模式，解析所述交互模式对应的每一所述上行数据包，得到数据字段值序列；
针对所述交互模式集合中的每一交互模式，利用所述数据字段值序列，构建所述交互模式对应的上行数据值的预测模型。


4.根据权利要求1所述的方法，其特征在于，基本属性特征至少包括：源IP、目的IP、源端口号、目的端口号和协议号，所述根据每一所述待处理数据包的所述属性特征中的基本属性特征，判断所述待处理数据包是否符合预设规则，包括：
针对每一所述待处理数据包，判断所述待处理数据包的源IP是否为预设的黑名单中的IP，以及判断所述待处理数据包的目的IP、源端口号、目的端口号和协议号特征是否符合预设要求；
若每一所述待处理数据包的源IP不是所述黑名单中的IP，并且每一所述待处理数据包的目的IP、源端口号、目的端口号和协议号特征符合所述预设要求，判定所述待处理数据包符合预设规则；
若任一所述待处理数据包的源IP为所述黑名单中的IP，和/或，任一所述待处理数据包的目的IP、源端口号、目的端口号和协议号特征中的一种或多种不符合所述预设要求，判定所述待处理数据包不符合所述预设规则。


5.根据权利要求1所述的方法，其特征在于，还包括：
若所述上行数据值和所述模型预测值之间的差值在所述预设范围内，利用每一所述待处理数据包的数据值，更新所述上行数据值的预测模型。


6.一种工控设备异常检测系统，其特征在于，所述系统包括：
提取单元...

【专利技术属性】
技术研发人员：王栋，杨珂，王合建，龚政，玄佳兴，薛真，赵丽花，陈智雨，王俊生，
申请(专利权)人：国网电子商务有限公司，国网区块链科技北京有限公司，国网雄安金融科技集团有限公司，
类型：发明
国别省市：北京;11