一种面向工控系统的入侵检测规则匹配优化方法技术方案

一种面向工控系统的入侵检测规则匹配优化方法，该方法包括：整理工控系统资产的IP、端口、漏洞、安全配置等信息，从匹配规则的规则头、规则选项选取多个特征属性，设置聚类中心为3，采用均值聚类算法把规则库中的规则分为三级，再由规则头特征数据、漏洞评分、配置脆弱性评分、规则动作的威胁评分计算规则匹配成功后的威胁值，并根据威胁值在分级聚类内排序；在对数据包进行入侵检测时，提取数据包的特征信息后，按分级和排序将特征信息与规则进行匹配。本方法能够按工控系统面临的真正威胁对规则库中的规则进行分级、排序，将骚扰性攻击对应的规则匹配推后，解决因规则数量庞大而引起的检测效率低下问题，提高检测效率。

【技术实现步骤摘要】
一种面向工控系统的入侵检测规则匹配优化方法
本专利技术涉及工控安全检测
，具体涉及一种面向工控系统的入侵检测规则匹配优化方法。
技术介绍
为保证工业生产网络安全，在工控系统中一般都配备了入侵检测设备，现有的主流技术包括误用检测、异常检测两种。对于采用误用检测技术的设备，由于厂家对于实际的工业生产环境缺乏深入的了解，为保证匹配规则的完备性，在规则库中保留了大量的检测规则，甚至存在很多无效的规则，在日常的使用过程中，安全运维人员会根据现场情况在设备中增加很多的检测规则，而入侵检测设备采用遍历的方式对数据包进行检测时，造成匹配效率低下，导致面临真正的能够对生产造成影响的网络入侵时，发现不够及时。在实际的工业生产现场，工控系统经常面临试探性、骚扰性的攻击，入侵检测检测虽然也需要对此类攻击进行检测，但可以推后，应该将能真正造成伤害的攻击对应的检测规则往提前，如何根据工控系统资产存在的漏洞、安全配置脆弱性等信息对规则库中的规则进行分级和排序，是提高检测的针对性、时效性的关键；同时，因为规则数量的庞大及不断变化，依靠人工进行分类和排序并不现实。
技术实现思路
为了克服上述现有技术存在的问题，本专利技术提出了一种面向工控系统的入侵检测规则匹配优化方法，目的是结合工控系统资产的业务访问关系及安全特征属性对入侵检测设备规则库中的规则进行聚类分级、排序，在进行规则匹配时将有效且威胁值高的匹配提前，提高网络入侵的检测效率。为达到上述目的，本专利技术采用如下技术方案：一种面向工控系统的入侵检测规则匹配优化方法，包括以下步骤：步骤(1)按照工控系统网络拓扑及业务系统实际情况，整理工控系统业务合理访问列表，包括工控系统内部之间的访问及内部和外部的交互访问，整理访问关系对应的协议、源地址、源端口、目的地址、目的端口等信息，由工控系统业务合理访问列表可得到非受控访问列表；再利用漏扫工具对工控系统进行漏洞扫描，得到漏洞列表，该漏洞列表含漏洞危害程度级别的评分数据、节点IP及端口，然后利用配置核查工具对工控系统进行配置核查，得到安全配置脆弱性列表，该安全配置脆弱性列表含脆弱性评分数据、节点IP及端口，漏洞扫描及配置核查整理的节点IP及端口形成危险访问列表，完成工控系统三个访问列表及安全特性的整理；如果漏洞危害程度级别的评分数据及安全配置脆弱性评分两者评分标准不一致，则需要换算成10分制；步骤(2)对检测规则库中的规则进行聚类分析，规则库中每条规则包括规则头和规则选项两部分，对规则库D，有s条规则，从规则头的协议、源地址、源端口、目的地址、目的端口、方向操作符共6个属性中选取m个特征属性，其中3≤m≤6，特征数据根据步骤(1)中整理的工控系统资产信息中的合理访问列表、非受控访问列表、危险访问列表计算得到，如特征属性属于合理访问列表则对应的特征数据取0.3，如特征属性属于非受控访问列则对应的特征数据取0.6，如特征属性属于危险访问列表则对应的特征数据取0.9；从规则选项的IP查看选项域、IP包头的分片位、数据包数据段的大小、TCP标志、TCP包的序列号、TCP包的确认域、回送包的标志符、在数据包的数据段中搜索模式、搜索的偏移量、搜索最大深度共10个属性中选取n个属性作为攻击特征属性，其中3≤n≤10，攻击特征数据由规则选项参数得到，如果规则选项参数为数值，特征数据取该值，如果规则选项参数为多个选项中的一个，取序号值，规则选项参数为空时取0；从规则头和规则选项两部分共选取k个特征属性，其中k＝m+n，那么对于规则Di，即Di＝(Di1，Di2…Dik)，采用均值聚类算法对规则库中的规则进行聚类；将聚类个数设置为3，选取三条规则，第一条规则：规则头在工控系统危险访问列表中某一记录对应，且规则选项与工控系统漏洞或安全配置脆弱性列表中某一记录对应，特征属性值为中位数；第二条规则：规则头及规则选项仅一项存在对应关系；第三条规则：规则头及规则选项都不存在对应关系；以第一条规则、第二条规则、第三条规则分别作为高级、中级、低级三级规则的聚类中心；对于规则库中的规则Di，计算其到三个聚类中心的欧式距离，根据距离值的大小将规则Di划分到距离最小的聚类中，得到3个聚类C1，C2，C3；步骤(3)计算每条规则匹配成功后对应的威胁值，对高级规则聚类C1中的规则Di，威胁值由规则头的特征数据(Di1，Di2…Dim)及漏扫结果的漏洞评分Li或配置核查结果的安全配置脆弱性评分Ri相乘得到；对中级规则聚类C2及低级规则聚类C3中的规则Dh，威胁值由规则头的特征数据、规则的动作级别对应的威胁评分Eh相乘得到，动作级别可分5类，评分按10分制等间隔赋值；在3级聚类C1，C2，C3中进行排序；步骤(4)对工控系统中数据包进行入侵检测时，提取数据包的特征信息后，在特征信息与规则进行匹配时，匹配过程按照先高级、再中级、最后是低级的规则聚类进行，对每级内的规则匹配按照排序进行。基于工控系统资产相关信息对匹配规则库进行分级和排序，能将工控系统面临的真正有效的、威胁程度高的攻击匹配提前，将试探性、骚扰性攻击的匹配推后，提高了检测的效率。能够应用于分布式入侵检测系统，提升数据包并发检测能力。本专利技术具有以下有益的技术效果：按工控系统资产的业务访问关系及安全特征属性对入侵检测设备规则库中的规则进行聚类分级，将工控系统面临的真正威胁攻击与规则的匹配整体前移，对规则匹配成功后的威胁值进行了匹配排序，可有效缩短告警时间，提升了检测效率。附图说明图1为本专利技术规则匹配优化方法示意图。具体实施方式以下结合附图和实施例对本专利技术做进一步详细描述：如图1所示，一种面向工控系统的入侵检测规则匹配优化方法，以开放源代码的入侵检测系统Snort为例进行说明，包括以下步骤：(1)按照工控系统网络拓扑及业务系统实际情况，整理工控系统业务合理访问列表，包括工控系统内部之间的访问及内部和外部的交互访问，整理访问关系对应的协议、源地址、源端口、目的地址、目的端口等信息，由工控系统业务合理访问列表可得到非受控访问列表；再利用漏扫工具对工控系统进行漏洞扫描，得到漏洞列表，该漏洞列表含漏洞危害程度级别的评分数据、节点IP及端口，然后利用配置核查工具对工控系统进行配置核查，得到安全配置脆弱性列表，该安全配置脆弱性列表含脆弱性评分数据、节点IP及端口，漏洞扫描及配置核查整理的节点IP及端口形成危险访问列表，完成工控系统资产信息的整理；如果漏洞危害程度级别的评分数据及安全配置脆弱性评分两者评分标准不一致，则需要换算成10分制；(2)检测规则库中每条规则包括规则头和规则选项两部分，对规则库D，有s条规则，从规则头选取协议、源地址、源端口、目的地址、目的端口、方向操作符共6个特征属性，特征数据根据整理的工控系统资产信息中的合理访问列表、非受控访问列表、危险访问列表计算得到，如特征属性属于合理访问列表则对应的特征数据取0.3，如特征属性属于非受控访问列则对应的本文档来自技高网...

【技术保护点】
1.一种面向工控系统的入侵检测规则匹配优化方法，其特征在于：包括以下步骤：/n步骤(1)按照工控系统网络拓扑及业务系统实际情况，整理工控系统业务合理访问列表，包括工控系统内部之间的访问及内部和外部的交互访问，整理访问关系对应的协议、源地址、源端口、目的地址、目的端口信息，由工控系统业务合理访问列表能够得到非受控访问列表；再利用漏扫工具对工控系统进行漏洞扫描，得到漏洞列表，该漏洞列表含漏洞危害程度级别的评分数据、节点IP及端口，然后利用配置核查工具对工控系统进行配置核查，得到安全配置脆弱性列表，该安全配置脆弱性列表含脆弱性评分数据、节点IP及端口，漏洞扫描及配置核查整理的节点IP及端口形成危险访问列表，完成工控系统资产信息的整理；/n步骤(2)对检测规则库中的规则进行聚类分析，规则库中每条规则包括规则头和规则选项两部分，对规则库D，有s条规则，从规则头的协议、源地址、源端口、目的地址、目的端口、方向操作符共6个属性中选取m个特征属性，其中3≤m≤6，特征数据根据步骤(1)中整理的合理访问列表、非受控访问列表、危险访问列表得到，如特征属性属于合理访问列表则对应的特征数据取0.3，如特征属性属于非受控访问列则对应的特征数据取0.6，如特征属性属于危险访问列表则对应的特征数据取0.9；从规则选项的IP查看选项域、IP包头的分片位、数据包数据段的大小、TCP标志、TCP包的序列号、TCP包的确认域、回送包的标志符、在数据包的数据段中搜索模式、搜索的偏移量、搜索最大深度共10个属性中选取n个属性作为攻击特征属性，其中3≤n≤10，攻击特征数据根据规则选项参数得到，如规则选项参数为数值，特征数据取该值，如规则选项参数为多个选项中的一个，取序号值，规则选项参数为空的取0；从规则头和规则选项两部分共选取k个特征属性，其中k＝m+n，采用均值聚类算法对规则库中的规则进行聚类；将聚类个数设置为3，选取三条规则，第一条规则：规则头在工控系统危险访问列表中某一记录对应，且规则选项与工控系统漏洞或安全配置脆弱性列表中某一记录对应，特征属性值为中位数；第二条规则：规则头及规则选项仅一项存在对应关系；第三条规则：规则头及规则选项都不存在对应关系；以第一条规则、第二条规则、第三条规则分别作为高级、中级、低级三级规则的聚类中心；对于规则库中的某条规则，计算其到三个聚类中心的欧式距离，根据距离值的大小将规则分到距离最小的聚类中，得到3个聚类；/n步骤(3)计算每条规则匹配成功后对应的威胁值，对高级规则聚类中的规则，威胁值由规则头的特征数据、漏扫结果的漏洞评分或配置核查结果的安全配置脆弱性评分相乘得到；对中级及低级规则聚类中的规则，威胁值由规则头的特征数据、规则的动作级别对应的威胁评分相乘得到，并在规则库的3级聚类中进行排序；/n步骤(4)对工控系统中数据包进行入侵检测的过程中，提取数据包的特征信息后，在特征信息与规则进行匹配时，匹配过程按照先高级、再中级、最后是低级的规则聚类进行，对每级内的规则匹配按照排序进行。/n...

【技术特征摘要】
1.一种面向工控系统的入侵检测规则匹配优化方法，其特征在于：包括以下步骤：
步骤(1)按照工控系统网络拓扑及业务系统实际情况，整理工控系统业务合理访问列表，包括工控系统内部之间的访问及内部和外部的交互访问，整理访问关系对应的协议、源地址、源端口、目的地址、目的端口信息，由工控系统业务合理访问列表能够得到非受控访问列表；再利用漏扫工具对工控系统进行漏洞扫描，得到漏洞列表，该漏洞列表含漏洞危害程度级别的评分数据、节点IP及端口，然后利用配置核查工具对工控系统进行配置核查，得到安全配置脆弱性列表，该安全配置脆弱性列表含脆弱性评分数据、节点IP及端口，漏洞扫描及配置核查整理的节点IP及端口形成危险访问列表，完成工控系统资产信息的整理；
步骤(2)对检测规则库中的规则进行聚类分析，规则库中每条规则包括规则头和规则选项两部分，对规则库D，有s条规则，从规则头的协议、源地址、源端口、目的地址、目的端口、方向操作符共6个属性中选取m个特征属性，其中3≤m≤6，特征数据根据步骤(1)中整理的合理访问列表、非受控访问列表、危险访问列表得到，如特征属性属于合理访问列表则对应的特征数据取0.3，如特征属性属于非受控访问列则对应的特征数据取0.6，如特征属性属于危险访问列表则对应的特征数据取0.9；从规则选项的IP查看选项域、IP包头的分片位、数据包数据段的大小、TCP标志、TCP包的序列号、TCP包的确认域、回送包的标志符、在数据包的数据段中搜索模式、搜索的偏移量、搜索最大深度共10个属性中选取n个属性作为攻击特征属性，其中3≤n≤10，攻击特征数据根据规则选项参数得到，如规则选项参数为数值，特征数据取该值，如规则选项参数为多个选项中的一个，取序号值，规则选项参数为空的取0；从规则头和规则选项两部分共选取k个特征属性，其中k＝m+n，采用均值聚类算法对规则库中...

【专利技术属性】
技术研发人员：刘超飞，毕玉冰，崔逸群，曾荣汉，胥冠军，吕珍珍，朱博迪，邓楠轶，
申请(专利权)人：西安热工研究院有限公司，
类型：发明
国别省市：陕西;61