【技术实现步骤摘要】
一种基于支持向量机的工业互联网入侵检测方法及实现系统
[0001]本专利技术涉及一种基于支持向量机的工业互联网入侵检测方法及实现系统,属于入侵检测网络完全领域。
技术介绍
[0002]工业控制系统广泛应用于电力、能源、交通、石油石化等工业领域,大多数的工业生产需要依靠工业控制系统实现自动化操作,以确保工业生产系统的高效、可靠与稳定运行。基于物理隔离的传统工业控制系统,在通信上不与外界联系,可有效避免来自网络的攻击。随着信息技术与工业控制系统功能需求的发展,工控系统已发展为网络化系统,并且与企业网络和互联网相互连接,形成了一个开放式的网络环境。由于工控系统没有专门的安全防御措施,各种针对工业控制系统的恶意攻击通过网络系统产生破坏性操作,影响了工控系统的安全运行。工业控制系统应用于国计民生的重要领域,是国家重要基础设施的关键组成部分,保障工控网络安全关系到国家的战略安全。
[0003]针对来自外部的网络攻击、移动介质摆渡攻击以及系统内部人员可能的误操作、违规操作或恶意破坏性操作等安全风险,很有必要对工控网络的访问行为、协议内容、操作指令等进行监控与审计,对高风险和异常行为进行识别和告警。
[0004]工控网络异常感知系统作为一种安全预警产品,能够在安全事件发生之前,对网络中的异常行为、异常流量、恶意代码、错误参数与指令进行预警,从而避免安全事件的发生,将工控系统的安全风险降到最低。
[0005]工控网络异常感知系统以时间、空间和特征为基础,对网络流量和网络行为进行多维度、细粒度的分析,通过工业视图 ...
【技术保护点】
【技术特征摘要】
1.一种基于支持向量机的工业互联网入侵检测方法,其特征在于,包括:(1)获取dnsflood攻击的异常通信流量数据;(2)从步骤(1)得到的异常通信流量数据中提取特征数据,构造特征量;(3)将步骤(2)构造的特征量输入SVM入侵检测模型进行训练,得到用于检测dnsflood攻击的SVM入侵检测模型;(4)提取待检测的通信流量数据的特征数据并构造特征量,然后输入到训练好的SVM入侵检测模型进行入侵检测,对检测到的可疑流量进行捕获,同时记录日志,并进行处理。2.根据权利要求1提供的一种基于支持向量机的工业互联网入侵检测方法,其特征在于,步骤(1)中,获取dnsflood攻击的异常通信流量数据,具体过程为:a.网络特征的收集:监听主机间的每个会话,捕获会话中的基于UDP协议的报文;b.dnsflood攻击的检测:基于步骤a收集到的基于UDP协议的报文,进行dnsflood攻击的检测;c.数据保存:针对判断为dnsflood攻击的会话,将攻击者的IP地址列入黑名单,对攻击者向服务器发送的请求进行拦截,同时将判断为dnsflood攻击的数据包保存下来用作训练SVM入侵检测模型。3.根据权利要求2提供的一种基于支持向量机的工业互联网入侵检测方法,其特征在于,步骤b中,dnsflood攻击的检测,具体步骤包括:b
‑
1、对建立的每个会话,从发送的第一个数据包开始,设定一个时间戳,对该时间戳之后发送的数据包都划入该段时间内,统计该段时间内发包次数;当用户停止发送数据包超过设定时间,即关闭当前时间戳;若用户再次发送数据包,则重新设定时间戳,重新统计发包次数;b
‑
2、检测dnsflood攻击:对时间戳内的发包次数进行统计,如果时间戳内的一个周期中的发包次数超过阈值,则将会话判断为dnsflood攻击。4.根据权利要求1提供的一种基于支持向量机的工业互联网入侵检测方法,其特征在于,步骤(2)中,从步骤(1)得到的异常通信流量数据中提取特征数据,构造特征量;具体过程为:A、根据异常行为模式,直接从通信流量中获取第一特征数据,构造特征量特征量x1至x9;第一特征数据包括域名、目的端口、目的IP地址、UDP报文长度、查询请求类型、IP包头部长度、数据量、查询类和标志,所述查询类为dns报文头中标志部分的机内码,用来设置查询的种类,具体值包括0
‑
15的正整数,0表示标准查询;1表示反向查询;2表示服务器状态查询;3
‑
15表示保留值,暂时未使用;所述标志为dns报文头中的标识ID部分,是请求客户端设置的16位标示;将域名作为特征量x1,将目的端口作为特征量x2,将目的IP地址作为特征量x3,将UDP报文长度作为特征量x4,将查询请求类型作为特征量x5,将IP包头部长度作为特征量x6,将数据量作为特征量x7;将查询类作为特征量x8,将标志作为特征量x9;B、解析通信流量数据,提取第二特征数据,构造特征量特征量x10至x13;第二特征数据包括域名长度、10秒域名解析请求次数、10秒访问...
【专利技术属性】
技术研发人员:萧景东,李斌,王佰玲,魏玉良,辛国栋,
申请(专利权)人:威海天之卫网络空间安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。