一种工控网络流量实时入侵检测方法技术

本发明专利技术一种工控网络流量实时入侵检测方法，涉及一种互联网安全检测方法，本发明专利技术针对工业互联网实时流量的周期性特征，提供了一种入侵检测方法，该入侵检测方法对采集的正常流量进行滑动窗口分组构造正常流量特征，并设置正常流量哨兵；然后对采集的攻击流量进行滑动窗口分组构造攻击流量特征，并设置异常流量哨兵；接着通过这两个哨兵快速筛选实时流量中的绝对正常流量组和绝对异常流量组，对组中正常流量和异常流量掺杂的情况通过均值聚类将正常流量和异常流量分离，标记异常流量并反馈给可视化平台，以达到态势感知及入侵检测的目的。该方法有较高的检测成功率并且通过三个方面加快了入侵检测速度，进一步满足工业控制系统实时性的要求。统实时性的要求。统实时性的要求。

A real-time intrusion detection method for industrial control network traffic

【技术实现步骤摘要】
一种工控网络流量实时入侵检测方法


[0001]本专利技术涉及一种工业控制系统网络安全检测方法，特别是涉及一种工控网络流量实时入侵检测方法。为一种基于suricata和滑动窗口均值聚类的工控网络实时入侵检测方法。

技术介绍

[0002]工业信息安全已经成为国家战略地位，国家高度重视工业信息安全的发展，工业信息安全事件一旦发生，所造成的财产损失不容小觑，严重的还可能造成人员伤亡等情况的出现。工业互联网平台是在“互联网+”的背景下衍生的新一代工业生产平台，这一平台是将工业控制系统、互联网以及工业云平台联系起来，从而能够实现工业数据的全面统计和分析。但是传统工业系统与互联网结合的同时，使得更多的工控节点暴露在互联网上，工业平台的受攻击面增加。
[0003]近年来，基于机器学习的入侵检测模型正处在研究热潮，但大部分对工业控制网络的研究仅采用经过特征处理好的历史数据进行网络仿真分析，而针对工业控制网络流量特性的研究较少，这使得结论和实际使用之间可能存在严重偏差。目前工业互联网内存在各种网络入侵风险，其中资产识别攻击和DDos是工业互联网环境中最常见本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种工控网络流量实时入侵检测方法，该方法为一种基于suricata和滑动窗口均值聚类工控网络流量实时入侵检测方法，其特征在于，所述方法包括以下步骤：（1）通过修改suricata源码，改变suricata运行模式，使其做到实时捕获并解析全部的网络数据帧，按照想要的格式将网络数据帧解析成自然语言并进行转储；（2）通过步骤（1）提取工控互联网中正常的网络流量数据，分析流量特点，构造正常流量特征，并设置正常流量哨兵；（3）通过步骤（1）提取攻击流量数据，分析流量特点，构造异常流量特征，并设置异常流量哨兵；（4）将改修改后的suricata部署到工业互联网网络节点上，通过滑动窗口分组聚类算法对采集的实时流量进行检测；（5）将流量分析和检测结果反馈到可视化平台，对网络内部出现的攻击行为及时报警并记录异常流量。2.根据权利要求1所述的一种工控网络流量实时入侵检测方法，其特征在于，所述步骤（1）中，通过修改suricata源码，使其跳出原来的工作模式，在流量处理线程中，在完成网络数据帧捕获函数之后改变插槽指针，使其指向本发明重写的流量解析函数，将网络数据帧解析成我们想要的格式，其中包含的字段有<Time, Srcip, Dstip, SP, DP, Proto, Payload, Length>时间戳、源ip地址、目的ip地址、源端口号、目的端口号、数据包通信协议、数据包的payload内容、数据包总长度。3.根据权利要求1所述的一种工控网络流量实时入侵检测方法，其特征在于，所述步骤（2）或步骤（3）中，对采集的流量主要从流量种类，流量长...

【专利技术属性】
技术研发人员：连莲，王文诚，宗学军，何戡，杨忠君，郑洪宇，
申请(专利权)人：沈阳化工大学，
类型：发明
国别省市：