一种基于流量分析的工业互联网安全威胁检测方法与系统技术方案

本发明专利技术涉及一种基于流量分析的工业互联网安全威胁检测方法及系统。该方法包括：通过捕获标识解析网络节点数据包，确定标识解析数据流的原始特征数据；根据所述原始特征数据识别标识解析流量的标识解析流量特征；将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配，确定工业互联网安全威胁行为；根据所述标识解析流量特征周期性的迭代训练异常流量检测模型；根据所述异常流量检测模型确定未知安全威胁行为；根据所述工业互联网安全威胁行为以及所述未知安全威胁行为确定安全事件的检测结果。本发明专利技术能够提高工业互联网的安全防范能力，有效提升识别准确率以及避免误识别的情况。别准确率以及避免误识别的情况。别准确率以及避免误识别的情况。

【技术实现步骤摘要】
一种基于流量分析的工业互联网安全威胁检测方法与系统


[0001]本专利技术涉及工信安全领域，特别是涉及一种基于流量分析的工业互联网安全威胁检测方法与系统。

技术介绍

[0002]工业互联网：工业互联网是面向制造业数字化、网络化、智能化需求，构建基于云平台的海量数据采集、汇聚、分析服务体系，支撑制造资源泛在连接、弹性供给、高效配置。工业互联网作为新一代信息技术与制造业深度融合的产物，日益成为新工业革命的关键支撑和深化“互联网+先进制造业”的重要基石，对未来工业发展产生全方位、深层次、革命性影响。
[0003]标识解析系统：工业互联网标识解析是工业互联网实现全要素互联互通的重要网络基础设施，为工业设备、机器、零部件和产品提供编码、注册与解析服务，是平台、网络、设备、控制、数据等工业互联网关键要素实现协同的“纽带”。类似域名解析系统DNS之于互联网，工业互联网标识解析是工业互联网的神经中枢，是整个网络互联互通、资源调度、生产协调的重要基础设施。
[0004]工业互联网的发展对标识解析提出更高的要求。一方面标识的对象更为广阔。随着工业互本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于流量分析的工业互联网安全威胁检测方法，其特征在于，包括：通过捕获标识解析网络节点数据包，确定标识解析数据流的原始特征数据；所述原始特征数据包括数据包IP信息、端口信息以及负载信息；根据所述原始特征数据识别标识解析流量的标识解析流量特征；将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配，确定工业互联网安全威胁行为；所述工业互联网安全威胁检测规则数据包含针对标识解析系统和工业互联网剩余系统的安全威胁检测规则，所述安全威胁检测规则包括多种安全威胁类型，所述安全威胁类型包括与所述标识解析流量特征一一对应的静态参数阈值、分布式拒绝服务攻击、反射放大、缓存穿透、暴力试探以及重放攻击；根据所述标识解析流量特征周期性的迭代训练异常流量检测模型；根据所述异常流量检测模型确定未知安全威胁行为；根据所述工业互联网安全威胁行为以及所述未知安全威胁行为确定安全事件的检测结果；所述检测结果包括安全事件的类别、攻击目标、严重等级、影响范围以及持续事件。2.根据权利要求1所述的基于流量分析的工业互联网安全威胁检测方法，其特征在于，所述通过捕获标识解析网络节点数据包，确定标识解析数据流的原始特征数据，具体包括：通过捕获所述标识解析网络节点数据包获取标识解析数据包；根据所述标识解析数据包的协议格式对所述标识解析网络节点数据包进行拆分、解包处理，并检测所述标识解析网络节点数据包内报文的长度以及校验和，确定所述报文的合法性；根据合法的报文对标识解析数据流进行会话重组，确定所述标识解析数据流的原始特征数据。3.根据权利要求1所述的基于流量分析的工业互联网安全威胁检测方法，其特征在于，所述根据所述原始特征数据识别标识解析流量的标识解析流量特征，具体包括：提取所述原始特征数据中的标识解析数据流报文关键字段；所述标识解析数据流报文关键字段包括协议端口以及协议版本号；将所述标识解析数据流报文关键字段和标识解析协议特征库进行特征匹配，判断所述原始特征数据是否为标识解析流量，得到第一判断结果；所述标识解析协议特征库包含多种标识解析协议的特征规则，所述特征规则包括常用端口、长度特征、数据包头特征、数据包体特征以及分片特征；若所述第一判断结果表示为所述原始特征数据为标识解析流量，提取所述标识解析流量的标识解析流量特征；所述标识解析流量特征包括标识解析协议信息以及异常标识解析报文的异常信息；所述标识解析协议信息包括版本信息、操作类型、操作次数、操作时间、操作内容、操作结果以及签名字段；所述异常信息包括协议格式错误、长度错误、可疑标识及标识内容、签名错误以及版本过低。4.根据权利要求1所述的基于流量分析的工业互联网安全威胁检测方法，其特征在于，所述将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配，确定工业互联网安全威胁行为，具体包括：将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配，检测所述标识解析流量特征中的各项特征参数是否异常，当所述标识解析流量特
征中的任一所述特征参数超出所述工业互联网安全威胁检测规则数据中对应的静态参数阈值，判断检测到工业互联网安全威胁行为。5.根据权利要求1所述的基于流量分析的工业互联网安全威胁检测方法，其特征在于，所述根据所述标识解析流量特征周期性的迭代训练异常流量检测模型，之后还包括：获取实际业务流量的增长趋势；根据所述增长趋势调整所述异常流量检测模型的参数指标。6.根据权利要求1所述的基于流量分析的工业互联网安全威胁检测方法，其特征在于，所述根据所述工业互联网安全威胁...

【专利技术属性】
技术研发人员：王冲华，周昊，李俊，郝志强，张雪莹，余果，林晨，樊佩茹，李红飞，刘东东，王允成，
申请(专利权)人：国家工业信息安全发展研究中心，
类型：发明
国别省市：