一种流量安全分析建模方法和系统技术方案

本发明专利技术提出了一种流量安全分析建模方法和系统，该方法包括：按照不同的协议将流量导入旁路流量镜像所对应的协议池，在协议池中对所述流量进行压缩后放入缓存中；将流量分发用于威胁分析，威胁分析包括流量拆包后，对流量包内容和流量包频率分别进行分析形成流量威胁模型；通过可信计算部件对所述流量威胁模型以加密和解密的方式实现流量传输，同时提取异常流量的特征信息，采用机器学习和免疫的方法对当前及未来异常流量的特征信息进行模型计算形成流量安全模型。基于该方法，还提出了一种流量安全分析建模系统。本发明专利技术采用N

【技术实现步骤摘要】
一种流量安全分析建模方法和系统


[0001]本专利技术属于工业控制网络安全
，特别涉及一种流量安全分析建模方法和系统。

技术介绍

[0002]在工控生产系统运行期间，各类型设备固件通过固有的协议执行相互通信，一般常见工控协议中包含了大量的命令字，如读取、写入数据等。工控协议的特性是面向命令、面向功能、轮询应答式，攻击者只需要掌握协议构造方式，并接入到了工控网络中，便可以通过协议对目标设备的任意数据进行篡改。而高级协议约定的自定义功能往往会给用户安全带来更多的威胁，如Modbus协议的从机诊断命令将会造成从机设备切换到侦听模式、CIP协议某些命令字还能导致设备直接重启、S7协议的STOP CPU功能将会导致PLC程序运行停止，在大多数的情况下用户在上位机进行组态时仅会使用协议的某些读取数据功能和固定范围、固定地址的写数据功能，而协议栈上更多的功能则不会应用于系统集成中。
[0003]如图1给出了现有技术中工控行业安全检测的方法流程图。针对工控行业的安全检测中，行业内通用做法有两种，一是直接接入工控生产系统的网络设备中进行侵入式探测和体检，对生产设备的运行带来极大的安全隐患，二是流量分析都是基于流量统计特征来对周期性进行说明，没有深入到数据包的字段和字段所存储的内存及缓存模型里来探寻工控流量的安全特性。

技术实现思路

[0004]为了解决上述技术问题，本专利技术提出了一种流量安全分析建模方法和系统，基于网络流量镜像旁路体系，对网络流量实现无侵入式镜像。
[0005]为实现上述目的，本专利技术采用以下技术方案：
[0006]一种流量安全分析建模方法，包括以下步骤：
[0007]按照不同的协议将流量导入旁路流量镜像所对应的协议池，在协议池中对所述流量进行压缩后放入缓存中；
[0008]将流量分发用于威胁分析，所述威胁分析包括流量拆包后，对流量包内容和流量包频率分别进行分析形成流量威胁模型；
[0009]通过可信计算部件对所述流量威胁模型以加密和解密的方式实现流量传输，同时提取异常流量的特征信息，采用机器学习和免疫的方法对当前及未来异常流量的特征信息进行模型计算形成流量安全模型。
[0010]进一步的，所述按照不同的协议将流量导入旁路流量镜像所对应的协议池之前还包括对协议进行池化分类，分为共有协议池和私有协议池。
[0011]进一步的，所述在协议池中对所述流量进行无损压缩后放入缓存中的过程为：
[0012]首先对流量进行无损压缩；
[0013]然后以网络包大小为阈值构建多级缓存容器，所述多级缓存容器串联后构成塔式
缓存结构；
[0014]无损压缩后的流量放入所述塔式缓存中。
[0015]进一步的，所述对流量包内容分析的过程为：
[0016]基于N
‑
gram模型，将流量包的内容进行编码作为特定字符，并统计得到当前不同的流量包的共现概率；
[0017]结合所述共现概率判断所述当前不同的流量包的合理性，并根据阈值实时更新所述共现概率。
[0018]进一步的，所述流量包频率分析的过程为：
[0019]预先对流量包的历史数据，计算均值和标准差；
[0020]基于k
‑
sigma方法，收集内容相同时间间隔为1S的当前流量包，然后判断当前流量包的频率；
[0021]结合所述共现概率，区别正常数据包和异常数据包，并根据区别的结果实时更新流量包的频率。
[0022]进一步的，所述通过可信计算部件对所述流量威胁模型以加密和解密的方式实现流量传输的过程为：可信计算部件以密码为基因，使用当前网络流量包的本地密钥表中的索引，附加到下一个网络流量包中作为加密密钥的数据，最终实现当前网络流量的完全加密，通过密钥对比分析，实现流量识别、流量状态度量和流量加密传输。
[0023]本专利技术还提出了一种流量安全分析建模系统，包括工控网络旁路模块、威胁分析模块和可信根计算模块；
[0024]所述工控网络旁路模块用于按照不同的协议将流量导入旁路流量镜像所对应的协议池，在协议池中对所述流量进行压缩后放入缓存中；将流量分发用于威胁分析，
[0025]所述威胁分析模块用于流量拆包后，对流量包内容和流量包频率分别进行分析形成流量威胁模型；
[0026]所述可信根计算模块用于通过可信计算部件对所述流量威胁模型以加密和解密的方式实现流量传输，同时提取异常流量的特征信息，采用机器学习和免疫的方法对当前及未来异常流量的特征信息进行模型计算形成流量安全模型。
[0027]进一步的，所述工控网络旁路模块包括协议分类子模块、非侵入式流量镜像子模块和镜像转发子模块；
[0028]所述协议分类子模块用于对协议进行池化分类，分为共有协议池和私有协议池；
[0029]所述非侵入式镜像子模块用于流量进行无损压缩；以网络包大小为阈值构建多级缓存容器，多级缓存容器串联后构成塔式缓存结构；无损压缩后的流量放入所述塔式缓存中；
[0030]所述镜像转发子模块用于主动将流量分发至威胁分析模块。
[0031]进一步的，所述威胁分析模块包括流量包内容分析子模块、流量包频率分析子模块和流量威胁建模子模块；
[0032]所述流量包内容分析子模块用于基于N
‑
gram模型，将流量包的内容进行编码作为特定字符，并统计得到当前不同的流量包的共现概率；结合所述共现概率判断所述当前不同的流量包的合理性，并根据阈值实时更新所述共现概率以实现流量包内容分析；
[0033]所述流量包频率分析子模块用于预先对流量包的历史数据，计算均值和标准差；
基于k
‑
sigma方法，收集内容相同时间间隔为1S的当前流量包，然后判断当前流量包的频率；结合所述共现概率，区别正常数据包和异常数据包，并根据区别的结果实时更新流量包的频率以实现流量包频率分析；
[0034]所述流量威胁建模子模块用于基于流量包内容分析和流量包频率分析建立流量威胁模型。
[0035]进一步的，所述可信根计算模块包括可信计算部件子模块、主动免疫模块、流量安全建模子模块和机器学习子模块；
[0036]所述可信计算部件子模块用于以密码为基因，使用当前网络流量包的本地密钥表中的索引，附加到下一个网络流量包中作为加密密钥的数据，最终实现当前网络流量的完全加密，通过密钥对比分析，实现流量识别、流量状态度量和流量加密传输；
[0037]所述主动免疫模块用于将异常流量的特征信息形成指纹特征大数据；
[0038]所以流量安全建模子模块用于采用机器学习和免疫的方法对当前及未来异常流量的特征信息进行模型计算形成流量安全模型；
[0039]所述机器学习子模块用于通过威胁情报自动学习和可信加密深度学习形成威胁模型知识库。
[0040]
技术实现思路
中提供的效果仅仅是实施例的效果，而不是专利技术所有的全部效果，上述技术方案中的一个技术方案具有如下优点或有益效本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种流量安全分析建模方法，其特征在于，包括以下步骤：按照不同的协议将流量导入旁路流量镜像所对应的协议池，在协议池中对所述流量进行压缩后放入缓存中；将流量分发用于威胁分析，所述威胁分析包括流量拆包后，对流量包内容和流量包频率分别进行分析形成流量威胁模型；通过可信计算部件对所述流量威胁模型以加密和解密的方式实现流量传输，同时提取异常流量的特征信息，采用机器学习和免疫的方法对当前及未来异常流量的特征信息进行模型计算形成流量安全模型。2.根据权利要求1所述的一种流量安全分析建模方法，其特征在于，所述按照不同的协议将流量导入旁路流量镜像所对应的协议池之前还包括对协议进行池化分类，分为共有协议池和私有协议池。3.根据权利要求2所述的一种流量安全分析建模方法，其特征在于，所述在协议池中对所述流量进行无损压缩后放入缓存中的过程为：首先对流量进行无损压缩；然后以网络包大小为阈值构建多级缓存容器，所述多级缓存容器串联后构成塔式缓存结构；无损压缩后的流量放入所述塔式缓存中。4.根据权利要求1所述的一种流量安全分析建模方法，其特征在于，所述对流量包内容分析的过程为：基于N
‑
gram模型，将流量包的内容进行编码作为特定字符，并统计得到当前不同的流量包的共现概率；结合所述共现概率判断所述当前不同的流量包的合理性，并根据阈值实时更新所述共现概率。5.根据权利要求4所述的一种流量安全分析建模方法，其特征在于，所述流量包频率分析的过程为：预先对流量包的历史数据，计算均值和标准差；基于k
‑
sigma方法，收集内容相同时间间隔为1S的当前流量包，然后判断当前流量包的频率；结合所述共现概率，区别正常数据包和异常数据包，并根据区别的结果实时更新流量包的频率。6.根据权利要求1所述的一种流量安全分析建模方法，其特征在于，所述通过可信计算部件对所述流量威胁模型以加密和解密的方式实现流量传输的过程为：可信计算部件以密码为基因，使用当前网络流量包的本地密钥表中的索引，附加到下一个网络流量包中作为加密密钥的数据，最终实现当前网络流量的完全加密，通过密钥对比分析，实现流量识别、流量状态度量和流量加密传输。7.一种流量安全分析建模系统，其特征在于，包括工控网络旁路模块、威胁分析模块和可信根计算模块；所述工控网络旁路模块用于按照不同的协议将流量导入旁路流量镜像所对应的协议池，在协议池中对所述流量进行压缩后放入缓存中；将流量分发用于威胁分析，
所述威胁...

【专利技术属性】
技术研发人员：尚金龙，卢黎芳，马福艳，刘伟，
申请(专利权)人：山东维平信息安全测评技术有限公司，
类型：发明
国别省市：