一种基于支持向量机的工业互联网入侵检测方法及实现系统技术方案

本发明专利技术涉及一种基于支持向量机的工业互联网入侵检测方法及实现系统，该入侵检测方法(1)获取dnsflood攻击的异常通信流量数据；(2)针对步骤(1)得到的异常通信流量数据，提取特征数据并构造特征量；(3)将步骤(2)构造的特征量输入SVM入侵检测模型进行训练，得到用于检测dnsflood攻击的SVM入侵检测模型；(4)提取待检测的通信流量数据的特征数据并构造特征量，然后输入到训练好的SVM入侵检测模型进行入侵检测，对检测到的可疑流量进行捕获，同时记录日志，并进行处理。该方法能够提取能够反映正常行为和异常行为区别的数据特征，提高对异常攻击行为的检测效率。攻击行为的检测效率。

【技术实现步骤摘要】
一种基于支持向量机的工业互联网入侵检测方法及实现系统


[0001]本专利技术涉及一种基于支持向量机的工业互联网入侵检测方法及实现系统，属于入侵检测网络完全领域。

技术介绍

[0002]工业控制系统广泛应用于电力、能源、交通、石油石化等工业领域，大多数的工业生产需要依靠工业控制系统实现自动化操作，以确保工业生产系统的高效、可靠与稳定运行。基于物理隔离的传统工业控制系统，在通信上不与外界联系，可有效避免来自网络的攻击。随着信息技术与工业控制系统功能需求的发展，工控系统已发展为网络化系统，并且与企业网络和互联网相互连接，形成了一个开放式的网络环境。由于工控系统没有专门的安全防御措施，各种针对工业控制系统的恶意攻击通过网络系统产生破坏性操作，影响了工控系统的安全运行。工业控制系统应用于国计民生的重要领域，是国家重要基础设施的关键组成部分，保障工控网络安全关系到国家的战略安全。
[0003]针对来自外部的网络攻击、移动介质摆渡攻击以及系统内部人员可能的误操作、违规操作或恶意破坏性操作等安全风险，很有必要对工控网络的访问行为、协议内容、操作指令等进行监控与审计，对高风险和异常行为进行识别和告警。
[0004]工控网络异常感知系统作为一种安全预警产品，能够在安全事件发生之前，对网络中的异常行为、异常流量、恶意代码、错误参数与指令进行预警，从而避免安全事件的发生，将工控系统的安全风险降到最低。
[0005]工控网络异常感知系统以时间、空间和特征为基础，对网络流量和网络行为进行多维度、细粒度的分析，通过工业视图和网络拓扑视图相结合的双视图监控机制，可同时对工业过程情况和网络通讯指令及行为进行监控，呈现工控系统流量和行为，实现网络连接拓扑结构和网络运行状况的可视化，并进行对比分析，为对不符合业务流程的行为进行检测及APT攻击研判提供有力支撑。
[0006]工控网络异常感知系统以工控系统设备资产为基础，以基于工业控制系统深度分析技术为核心，智能学习网络业务行为，自动为网络合规业务行为安全建模，实现对网络行为和业务操作的合规检测，从而从合规的角度保证客户网络的业务安全。
[0007]对可疑网络行为进行实时监控，全量存储，多层次、多角度的关联分析和比对分析，以发现违规行为，挖掘安全威胁源头。如违规的私自接入和外联、违规的内网非法连接、攻击产生的虚假IP发现、可疑主机发现和异常的网络流量发现等。目前常用的网络行为异常检测技术有：
[0008](1)工控资产设备异常检测技术
[0009]主动和被动相结合的设备精准识别和拓扑自动发现技术，对工控资产及网络进行实时监控，并建立IP资产基线。系统可对非法设备的接入及时发现并报警。
[0010]同时，通过异常行为分析技术，进一步核对资产设备的IP地址网络信息、活跃状态、协议流量分布、应用信息、会话信息等信息。
[0011](2)工控系统网络秩序异常检测技术
[0012]通过灵活的黑白灰策略配置和自学习技术，系统可智能梳理业务系统各个资产间的访问关系，自动生成业务访问拓扑图，形成业务访问行为关系基线。
[0013]能够从业务行为的关系、方向、频率、时间不同维度，来分析判断业务访问行为是否异常。通过采用黑、白、灰名单机制，判定某个流行为是否合规。
[0014](3)网络端口通信异常检测技术
[0015]当报文采集单元的某个有流量的网络端口在指定时间内没有收到任何流量，系统能够对网络端口通信超时(中断)进行预警。
[0016](4)基于协议深度识别的网络行为分析技术
[0017]系统可以对工控协议进行深度内容解析和识别，对协议中的工控指令和用户行为进行细粒度抽取，与业务和工艺过程进行关联，并进行对比分析，从而有效支撑对不符合业务流程的行为进行检测。
[0018]工控网络异常感知系统自动学习工控系统的业务行为，包括网络秩序、流量大小、资产设备、工控指令与参数，建立工控系统所在环境的白名单安全模型，一旦出现非白名单的行为与内容，进行安全预警。常见的工控系统安全建模技术有：
[0019](1)行为列表建模
[0020]对关键路径、关键资源的业务访问链路、协议、流量、时间等进行实时监控，具备行为列表功能，可按有连接无数据、广播包、行为的合规状态等特殊条件对列表内容进行筛选，可在访问行为的基础上制定检测策略，可对访问行为进行源目的IP、源目的端口和协议等字段进行聚类分析。
[0021](2)行为拓扑建模
[0022]对关键路径、关键资源的业务访问链路、协议、流量、时间等进行实时拓扑展示，拓扑节点可以下钻，拓扑节点和拓扑连线可以表示网络流量和流速的大小，可以按IP地址、合规状态、流量和流速等条件进行交互式地查询过滤。
[0023](3)资产分析建模
[0024]对资产会话数量、资产总体数量、新发现资产告警、资产活跃情况、资产告警和分布进行总体分析。
[0025](4)业务分析建模
[0026]以业务系统为维度，可自定义需要关注的应用，进行可视化拓扑展现，支持流量、流速和访问关系的呈现。
[0027]UDP Flood是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。
[0028]100k pps的UDP Flood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。由于UDP协议是一种无连接的服务，在UDP FLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击。
[0029]正常应用情况下，UDP包双向流量会基本相等，而且大小和内容都是随机的，变化很大。出现UDP Flood的情况下，针对同一目标IP的UDP包在一侧大量出现，并且内容和大小都比较固定。
[0030]UDP协议与TCP协议不同，是无连接状态的协议，并且UDP应用协议五花八门，差异极大，因此针对UDP Flood的防护非常困难。其防护要根据具体情况对待：
[0031]因为大多数IP并不提供UDP服务，直接丢弃UDP流量即可。所以现在纯粹的UDP流量攻击比较少见了，取而代之的是UDP协议承载的DNS Query Flood攻击。简单地说，越上层协议上发动的DDoS攻击越难以防御，因为协议越上层，与业务关联越大，防御系统面临的情况越复杂。
[0032]UDP DNS Query Flood攻击实质上是UDP Flood的一种，但是由于DNS服务器的不可替代的关键作用，一旦服务器瘫痪，影响一般都很大。
[0033]UDP DNS Query Flood攻击采用的方法是向被攻击的服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名，被攻击的DNS服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于支持向量机的工业互联网入侵检测方法，其特征在于，包括：(1)获取dnsflood攻击的异常通信流量数据；(2)从步骤(1)得到的异常通信流量数据中提取特征数据，构造特征量；(3)将步骤(2)构造的特征量输入SVM入侵检测模型进行训练，得到用于检测dnsflood攻击的SVM入侵检测模型；(4)提取待检测的通信流量数据的特征数据并构造特征量，然后输入到训练好的SVM入侵检测模型进行入侵检测，对检测到的可疑流量进行捕获，同时记录日志，并进行处理。2.根据权利要求1提供的一种基于支持向量机的工业互联网入侵检测方法，其特征在于，步骤(1)中，获取dnsflood攻击的异常通信流量数据，具体过程为：a.网络特征的收集：监听主机间的每个会话，捕获会话中的基于UDP协议的报文；b.dnsflood攻击的检测：基于步骤a收集到的基于UDP协议的报文，进行dnsflood攻击的检测；c.数据保存：针对判断为dnsflood攻击的会话，将攻击者的IP地址列入黑名单，对攻击者向服务器发送的请求进行拦截，同时将判断为dnsflood攻击的数据包保存下来用作训练SVM入侵检测模型。3.根据权利要求2提供的一种基于支持向量机的工业互联网入侵检测方法，其特征在于，步骤b中，dnsflood攻击的检测，具体步骤包括：b
‑
1、对建立的每个会话，从发送的第一个数据包开始，设定一个时间戳，对该时间戳之后发送的数据包都划入该段时间内，统计该段时间内发包次数；当用户停止发送数据包超过设定时间，即关闭当前时间戳；若用户再次发送数据包，则重新设定时间戳，重新统计发包次数；b
‑
2、检测dnsflood攻击：对时间戳内的发包次数进行统计，如果时间戳内的一个周期中的发包次数超过阈值，则将会话判断为dnsflood攻击。4.根据权利要求1提供的一种基于支持向量机的工业互联网入侵检测方法，其特征在于，步骤(2)中，从步骤(1)得到的异常通信流量数据中提取特征数据，构造特征量；具体过程为：A、根据异常行为模式，直接从通信流量中获取第一特征数据，构造特征量特征量x1至x9；第一特征数据包括域名、目的端口、目的IP地址、UDP报文长度、查询请求类型、IP包头部长度、数据量、查询类和标志，所述查询类为dns报文头中标志部分的机内码，用来设置查询的种类，具体值包括0
‑
15的正整数，0表示标准查询；1表示反向查询；2表示服务器状态查询；3
‑
15表示保留值，暂时未使用；所述标志为dns报文头中的标识ID部分，是请求客户端设置的16位标示；将域名作为特征量x1，将目的端口作为特征量x2，将目的IP地址作为特征量x3，将UDP报文长度作为特征量x4，将查询请求类型作为特征量x5，将IP包头部长度作为特征量x6，将数据量作为特征量x7；将查询类作为特征量x8，将标志作为特征量x9；B、解析通信流量数据，提取第二特征数据，构造特征量特征量x10至x13；第二特征数据包括域名长度、10秒域名解析请求次数、10秒访问...

【专利技术属性】
技术研发人员：萧景东，李斌，王佰玲，魏玉良，辛国栋，
申请(专利权)人：威海天之卫网络空间安全科技有限公司，
类型：发明
国别省市：