【技术实现步骤摘要】
一种基于改进Suricata引擎的工控系统网络入侵检测方法
本专利技术涉及网络安全领域,具体是一种基于改进Suricata引擎的工控系统网络入侵检测方法。
技术介绍
随着网络信息化的发展,网络中涌入的信息量大幅增加,给网络管理系统的安全带来了极大的安全隐患,而工业控制系统对于国家关键基础设施至关重要,在工业互联网的背景下,能够及时有效地对工业控制系统的网络入侵进行检测是保障工业控制系统网络安全的关键,与被动防御的杀毒软件不同,网络管理系统中的入侵检测是将入网信息和系统规则库里事先设定好的模板进行匹配比较,从而完成对不安全信息的检测,由于需要对所有入网信息进行排查,进而造成所需时间久,资源消耗大,甚至会对网络性能造成不良影响。因此,需要寻求一种较为有效的匹配方法,在提高工控系统网络入侵检测效率和降低资源消耗的同时,保证工业控制系统的网络安全。传统的AC类算法主要采用二维存储结构-状态转移表,来存储状态转移信息,采用字符型数据类型进行存储和比对,存在匹配速度缓慢、内存消耗大、CPU使用率高的缺陷,无法避免内存空间开销过大的问题,无法满足工业控制系统的高性能要求。Suricata是基于开源签名的入侵检测引擎,旨在改善协议标识并引入基于脚本的检测。对于协议标识,Suricata允许网络管理员在协议文件中定义协议类型或特定端口,并且提供了大量可用于与协议字段匹配的关键字,不再使用模式匹配对关键字进行匹配,而是引入了基于脚本的检测和经过精心设计的数据结构来解析和记录流信息,以供进一步研究。中国专利申请CN1100 ...
【技术保护点】
1.一种基于改进Suricata引擎的工控系统网络入侵检测方法,其特征在于,该方法包括以下步骤:/n步骤1、针对工业控制系统网络环境中所能进行的网络攻击建立攻击数学模型;/n步骤2、根据建立的攻击数学模型在入侵检测平台中构造网络攻击数据包并对其进行过滤,得到过滤后的网络攻击数据包;/n步骤3、根据过滤后的网络攻击数据包制定入侵检测规则,得到入侵检测规则的正则表达式;/n步骤4、利用正则分解将入侵检测规则的正则表达式转换为模式串和正则表达子式;/n步骤5、采用入侵检测平台的改进Suricata引擎中的改进HashTries算法对步骤4得到的模式串的存储结构进行重新构造,将数据存储形式转变为二进制数据,得到校验散列表;/n步骤6、工业控制系统正常运行时,入侵检测平台的改进Suricata引擎捕获工业控制系统的网络通信流量,然后将网络通信流量进行解码,再将解码完成后的网络通信流量通过改进HashTries算法进行散列运算,再将散列运算结果与步骤5得到的校验散列表进行比较,得到匹配结果,再根据匹配结果进行响应。/n
【技术特征摘要】
1.一种基于改进Suricata引擎的工控系统网络入侵检测方法,其特征在于,该方法包括以下步骤:
步骤1、针对工业控制系统网络环境中所能进行的网络攻击建立攻击数学模型;
步骤2、根据建立的攻击数学模型在入侵检测平台中构造网络攻击数据包并对其进行过滤,得到过滤后的网络攻击数据包;
步骤3、根据过滤后的网络攻击数据包制定入侵检测规则,得到入侵检测规则的正则表达式;
步骤4、利用正则分解将入侵检测规则的正则表达式转换为模式串和正则表达子式;
步骤5、采用入侵检测平台的改进Suricata引擎中的改进HashTries算法对步骤4得到的模式串的存储结构进行重新构造,将数据存储形式转变为二进制数据,得到校验散列表;
步骤6、工业控制系统正常运行时,入侵检测平台的改进Suricata引擎捕获工业控制系统的网络通信流量,然后将网络通信流量进行解码,再将解码完成后的网络通信流量通过改进HashTries算法进行散列运算,再将散列运算结果与步骤5得到的校验散列表进行比较,得到匹配结果,再根据匹配结果进行响应。
2.根据权利要求1所述的基于改进Suricata引擎的工控系统网络入侵检测方法,其特征在于,步骤1中,所述网络攻击包括篡改攻击、重放攻击、注入攻击和拒绝服务攻击;使用Attack(pl(i))对网络攻击的手段进行统一描述:
式(1)中,pl(i)为i时刻的报文,sender表示工业控制系统中消息的发送方,receiver表示消息的接收方。
3.根据权利要求1所述的基于改进Suricata引擎的工控系统网络入侵检测方法,其特征在于,步骤2中,对网络攻击数据包进行网络方向过滤的方法如下:假设入侵检测平台输入的数据包只包含PLC与上位机之间的通信数据包,因此可以通过判断网络方向来过滤掉上位机发往PLC的数据包,只保留PLC发往上位机的数据包。
4.根据权利要求3所述的基于改进Suricata引擎的工控系统网络入侵检测方法,其特征在于,步骤2中,网络方向的判断采用以下方法:方法一、根据端口区分:由于工业控制系统中的PLC的通信端口为102号端口和502号端口,因此目标端口号为这两个端口时即可认定是上位机发往PLC的数据包,而源端口号为这两个端口即可认定是PLC发往上位机的数据包;方法二、根据特殊请求包区分:发起建立连接请求的是上位机,接受建立连接请求的是PLC;当上述两种方法均无法判断网络方向时,则只能通过手动输入IP地址来进行判断。
5.根据权利要求1所述的基于改进Suricata引擎的工控系统网络入侵检测方法,其特征在于,步骤3中,入侵检测规则的正则表达式由规则头和规则体构成;所述规则头包含匹配到规则后所做的动作和数据包匹配需要的条件;所述规则体由若干选项构成,选项由选项关键字和选项内容组成,选项关键字和选项内容由冒号隔开,各选项间以分号分隔。
6.根据权利要求1所述的基于改进Suricata引擎的工控系统网络入侵检测方法,其特征在于,步骤4中,所述模式串由文字或...
【专利技术属性】
技术研发人员:杜世泽,周颖,张磊,王嘉旭,诸葛琳娜,
申请(专利权)人:河北工业大学,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。