一种用于工控蜜罐的恶意行为识别方法技术

本发明专利技术属于网络安全技术领域，公开了一种用于工控蜜罐的恶意行为识别方法。本发明专利技术首先利用搭建的高交互工控蜜罐捕获攻击者流量，随后对网络流量进行分割操作，生成网络会话流，然后将所生成的网络会话流输入至一维卷积神经网络和GRU网络中，并引入注意力机制为各字节分配不同的权重，对其恶意行为进行识别，最后通过计算神经网络所输出的概率与各类别坐标之间的欧式距离来分离出未知类型的恶意行为。提高了分类的准确率，实现了对工控蜜罐所捕获恶意行为的精准识别和对未知行为的分离，使安全管理人员能够更加直观的了解到攻击者的攻击手段及其真正意图。的攻击手段及其真正意图。的攻击手段及其真正意图。

A malicious behavior identification method for industrial honeypot

【技术实现步骤摘要】
一种用于工控蜜罐的恶意行为识别方法


[0001]本专利技术属于网络安全
，具体涉及一种用于工控蜜罐的恶意行为识别方法。

技术介绍

[0002]随着信息化和工业化的逐步融合，工业控制系统的信息化程度越来越高，通用软硬件和网络设施的广泛使用，打破了传统工业控制系统与信息网络的“隔离”，在不断促进工业控制网络的发展和壮大的同时，也带来了极大的安全威胁。
[0003]由于工控现场对网络的实时性、可靠性、连续性具有极高的要求，导致一些传统的被动式网络安全产品，如工业防火墙、入侵检测系统等无法大规模应用于工业控制网络中。而蜜罐作为一种低侵入式的主动防御技术其能够在不影响当前业务可靠性及网络结构的前提下，对工控网络进行有效保护，这使得蜜罐技术在工业控制网络网络安全检测中具有广泛的应用前景。但目前应用于工控网络的蜜罐对于所捕获数据的分析大多集中在攻击者溯源追踪、APT攻击识别、恶意软件、恶意代码检测等传统IT网络攻击领域。然而，随着恶意攻击者水平的不断提高，越来越多的攻击者采用工业控制网络中专有的工业协议对系统发起攻击，而现有蜜罐系统由于缺乏对此类攻击的有效的检测手段导致无法对其进行有效识别，使得安全管理人员无法获取到攻击者的真正攻击意图，从而使蜜罐无法发挥出其最大价值。

技术实现思路

[0004]本专利技术针对现有工控蜜罐无法对工业协议恶意行为进行有效识别的问题，提出了一种用于工控蜜罐的恶意行为识别方法。现有工控蜜罐在恶意行为识别方面大多采用基于规则及机器学习的检测方法，需要对蜜罐进行大量的配置操作和对所捕获数据进行复杂的特征提取工作，而本专利技术通过采用深度学习方法，能够在不对数据进行特征提取的前提下对所捕获的恶意流量进行准确识别，并且本专利技术还能够分离出未知类型的恶意流量，以方便对其进行后续研究。
[0005]本专利技术首先利用搭建的高交互工控蜜罐捕获攻击者流量，随后对网络流量进行分割操作，生成网络会话流，然后将所生成的网络会话流输入至一维卷积神经网络和GRU网络中对其恶意行为进行识别，最后通过计算神经网络所输出的概率与各类别坐标之间的欧式距离来分离出未知类型的恶意行为。完成对已知恶意行为的准确分类和未知恶意行为的分离，帮助安全管理人员了解攻击者的真正意图。
[0006]本专利技术的实现方案如下：
[0007]一种用于工控蜜罐的恶意行为识别方法的整体结构如图1所示，主要包括以下步骤：
[0008]步骤1，数据预处理；
[0009](1)通过所搭建的工控蜜罐捕获使用工控协议的各类恶意网络流量，并对网络数
据流分割为数据流单元，每一数据流单元为单位时间内具有相同五元组的数据包；所述数据包中包含源地址、目的地址、源端口、目的端口、协议；
[0010](2)将数据流单元中的应用层协议数据部分提取出来，并设置最大数据流长度为512，若数据流长度超过512则丢弃超过部分的数据包，若数据流长度不足则填0补全该数据流单元；
[0011]步骤2，训练阶段；
[0012]将步骤1所捕获的网络流量预处理完成后建立网络流字典，数值为0
‑
255，其中0代表0x00，255代表0xff；随后将样本数据输入神经网络中进行训练；
[0013]本专利技术所采用的神经网络结构为一维CNN融合双向GRU的形式，一方面由于恶意行为的判定往往集中在某一部分字节中，另一方面某些恶意行为常与上下文有着密切的关系，因此本专利技术首先采用一维卷积神经网络对数据流单元的局部特征进行自动提取，随后采用双向GRU神经网络获取其长期依赖关系，并在其中加入了Attention机制，为每个字节赋予不同的权重，以增加识别的准确率。本专利技术所采用的神经网络的具体结构如图2所示。
[0014]本专利技术的卷积部分由3个卷积层组成，卷积核大小分别为3、4、5，卷积核个数均为128，随后通过全连接层将局部特征拼接为序列结构，该部分公式如式(1)所示。
[0015][0016]其中w为权重，h为卷积核尺寸，x
i:i+h
‑1为i到i+h
‑
1个字节所组成的数据流向零，b为偏置项，C为局部特征所连接形成的特征矩阵。
[0017]在GRU部分由双层双向GRU神经网络组成，其神经元数量均为128个。该部分公式如下：
[0018][0019]其中w
z
、w
r
、w为权重矩阵，h
t
为t时刻隐藏层输出值，σ为激活函数，C
t
为t时刻GRU的输入值。
[0020]本专利技术通过引入注意力机制为不同字节向量分配不同的权重来区分数据流中各字节的重要性大小，以此提高分类的准确率，注意力机制的相关公式如下：
[0021][0022]其中a为学习函数tanh，T为样本长度，h
t
为隐藏层输出的特征向量。
[0023]最后通过全连接层中的softmax激活函数完成对恶意行为的分类。
[0024]步骤3，步骤2神经网络的输出可以看作是一个概率坐标，本专利技术通过计算分类正
确样本的概率坐标与各类别中心点的欧式距离来确定拒绝阈值，具体公式如下：
[0025][0026]其中Y
n
为n类别的阈值，m为第n类别中分类正确的总数目，p
k
为神经网络预测该样本的概率向量，c
n
为n类别中心点向量。
[0027]本专利技术的有益效果为，通过将一维卷积神经网络与GRU神经进行融合，利用卷积神经网络自动提取网络流中的局部特征，结合GRU神经网络获取数据流整体特征表示，并引入注意力机制为各字节分配不同的权重，提高了分类的准确率，实现了对工控蜜罐所捕获恶意行为的精准识别和对未知行为的分离，使安全管理人员能够更加直观的了解到攻击者的攻击手段及其真正意图。
附图说明
[0028]图1恶意行为识别结构图。
[0029]图2神经网络结构图。
具体实施方式
[0030]结合具体数据对本专利技术的技术方案进行检测。
[0031]首先待检测数据输入所搭建的神经网络模型中，该模型将给出其分类概率向量和拟分类结果，将该向量与该类别阈值进行对比，若小于该阈值，则输出神经网络分类结果，若大于该阈值，则该样本被判别为未知类别。
[0032]采用本专利技术所述方法对蜜罐所捕获的恶意流量进行分类识别，样本中包含五种类型的恶意行为，包括普通探测攻击、FUZZ攻击、恶意响应注入、恶意状态命令注入、恶意功能码注入，实验结果如表1所示。实验结果表明本专利技术采用方法能够明显提高恶意行为的分类准确率。
[0033]表1模型恶意行为分类准确率统计表
[0034]方法准确率(accuracy)精确率(precision)召回率(recall)F1
‑
scoreCNN94.61％96.18％96.35％96.26％GRU95.78％96.56％97.04％96.80％CNN+GRU98.43％97.本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于工控蜜罐的恶意行为识别方法，其特征在于，包括步骤如下：步骤1，数据预处理；(1)通过所搭建的工控蜜罐捕获使用工控协议的各类恶意网络流量，并对网络数据流分割为数据流单元，每一数据流单元为单位时间内具有相同五元组的数据包；所述数据包中包含源地址、目的地址、源端口、目的端口、协议；(2)将数据流单元中的应用层协议数据部分提取出来，并设置最大数据流长度为512，若数据流长度超过512则丢弃超过部分的数据包，若数据流长度不足则填0补全该数据流单元；步骤2，训练阶段；将步骤1所捕获的网络流量预处理完成后建立网络流字典，数值为0
‑
255，其中0代表0x00，255代表0xff；随后将样本数据输入神经网络中进行训练；所述神经网络结构为一维CNN融合双向GRU的形式，首先采用一维卷积神经网络对数据流单元的局部特征进行自动提取，随后采用双向GRU神经网络获取其长期依赖关系，并在其中加入了Attention机制，为每个字节赋予不同的权重，以增加识别的准确率，完成对恶意行为的分类；步骤3，步骤2神经网络的输出为一个概率坐标，通过计算分类正确样本的概率坐标与各类别中心点的欧式距离确定拒绝阈值，具体公式如下：其中Y
n
为n类别的阈值，m为第n类别中分类正确的总数目，p
k

【专利技术属性】
技术研发人员：单垚，姚羽，杨巍，李文轩，刘莹，李桉雨，
申请(专利权)人：辽宁谛听信息科技有限公司，
类型：发明
国别省市：