一种行为特征链模型的工控异常行为监测方法和系统技术方案

一种行为特征链模型的工控异常行为监测方法和系统，涉及工业控制网络安全领域，包括如下步骤：采集工业控制网络正常状态下设备间的多个正常行为的数据；提取每个正常行为的数据的特征数据建立正常行为链，基于每个行为及其频次建立正常行为链的特征链；实时采集工业控制网络当前状态设备间的多个当前行为的数据，提取每个当前行为的数据的特征数据建立当前行为链，基于每个行为及其频次建立当前行为链的特征链；将当前行为链的特征链与正常行为链的特征链匹配，根据匹配度判断是否异常；通过建立正常状态下正常行为链的特征链与当前行为链的特征链进行比对来识别是否异常，提升了工业控制网络运营的安全系数，增加了工业控制网络的安全性。制网络的安全性。制网络的安全性。

【技术实现步骤摘要】
一种行为特征链模型的工控异常行为监测方法和系统


[0001]本申请涉及工业控制网络安全领域，具体涉及一种行为特征链模型的工控异常行为监测方法和系统。

技术介绍

[0002]工业控制网络，简称工业控制网络，是近年来发展形成的自动控制领域的网络技术，是计算机网络、通信技术与自动控制技术结合的产物。工业控制网络适应了工业信息集成系统和管理控制一体化系统的发展趋势与需要，是IT技术在自动控制领域的延伸，是自动控制领域的局域网。
[0003]早期的工业控制网络使用专用的通信协议，并处于与外部网络完全隔离的环境中，但是随着以太网技术的发展和使用，传统封闭的工业控制系统已经不能满足工业生产的需求，工业控制网络逐渐开始由单纯的局域网开始在需要的时候接入其他网络进行数据交换。存在利用工业控制网络外接其他网络的机会对工业控制网络进行入侵，给工业控制网络带来了很多安全方面的问题，例如：可以利用工业控制网络的协议特点通过硬扫描攻击工业控制网络使其瘫痪，更为严重的可以通过形式上合法但实质上恶意的控制而引导工业控制网络实施异常行为，例如控制铁路控制系统并不断修改铁路控制系统的变道数据，由此引发的轨道不稳定会造成列车运行风险。因此，如何使工业控制网络避免被形式上合法的恶意控制行为影响，保证工业控制网络能够安全运营是本领域技术人员亟待解决的技术问题。
[0004]（二）技术方案本申请公开一种行为特征链模型的工控异常行为监测方法，包括如下步骤：S1、采集工业控制网络正常状态下设备间的多个正常行为的数据；S2、提取每个所述正常行为的数据的特征数据建立正常行为链，基于所述正常行为链中每个行为及其频次建立所述正常行为链的特征链；S3、实时采集工业控制网络当前状态设备间的多个当前行为的数据，提取每个所述当前行为的数据的特征数据建立当前行为链，基于所述当前行为链中每个行为及其频次建立所述当前行为链的特征链；S4、将所述当前行为链的特征链与所述正常行为链的特征链匹配，根据匹配度判断是否异常。
[0005]在一种可能的实施方式中，所述基于每个正常行为的数据建立正常行为链，提取所述正常行为链的特征数据建立所述正常行为链的特征链包括如下步骤：S21、按时序排列所述多个正常行为的数据；S22、对每个所述正常行为的数据进行深度数据包检测，提取每个所述正常行为的数据的特征数据，所述正常行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值；S23、基于所述正常行为的数据的特征数据，通过经过预训练的向量生成模型获取
每个所述正常行为的数据的特征数据的语义向量；S24、基于每个正常行为的数据的特征数据的语义向量和时序建立正常行为链；S25、基于所述正常行为链中每个行为的频次建立正常行为链的特征链。
[0006]在一种可能的实施方式中，所述实时采集工业控制网络当前状态设备间的多个当前行为的数据，并基于时间窗口内的当前行为的数据建立当前行为链包括如下步骤：S31、设置时间窗口，所述时间窗口的每个子时间窗口内的数据为一个行为的完成数据； S32、滑动时间窗口实时采集工业控制网络当前状态设备间的多个当前行为的数据；S33、提取时间窗口内的当前行为的数据的特征数据，所述当前行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值；S34、基于所述多个当前行为中的每个行为的数据的特征数据的语义向量和时序建立所述当前行为链；S35、基于所述当前行为链中每个行为的频次建立当前行为链的特征链。
[0007]在一种可能的实施方式中，所述设置时间窗口，所述时间窗口的每个子时间窗口内的数据为一个行为的完成数据包括，设置每个子时间窗口的增加量，每个所述子时间窗口内的数据为所述多个当前行为中的每个行为对应的进程的编码数据。
[0008]在一种可能的实施方式中，所述将所述当前行为链的特征链与所述正常行为链的特征链进行匹配，根据匹配度判断是否异常包括，计算所述当前行为链的特征链与所述正常行为链的特征链的余弦值，所述匹配度为所述余弦值，当所述余弦值大于预设值时，所述当前行为为正常行为，否则所述当前行为为异常行为。
[0009]作为本申请的第二方面，还公开了一种行为特征链模型的工控异常行为监测系统，包括正常行为采集模块、正常行为链的特征链构建模块、当前行为特征链构建模块和异常行为判断模块；其中，所述正常行为采集模块用于采集工业控制网络正常状态下设备间的多个正常行为的数据；所述正常行为链的特征链构建模块用于提取每个所述正常行为的数据的特征数据建立正常行为链，基于所述正常行为链中每个行为及其频次建立所述正常行为链的特征链；所述当前行为特征链构建模块用于实时采集工业控制网络当前状态设备间的多个当前行为的数据，提取每个所述当前行为的数据的特征数据建立当前行为链，基于所述当前行为链中每个行为及其频次建立所述当前行为链的特征链；所述异常行为判断模块用于将所述当前行为链的特征链与所述正常行为链的特征链匹配，根据匹配度判断是否异常。
[0010]在一种可能的实施方式中，所述正常行为链的特征链构建模块包括数据时序排列单元、正常行为特征数据提取单元、语义向量训练单元、正常行为链构建单元和正常行为特征链提取单元；其中，所述数据时序排列单元用于按时序排列所述多个正常行为的数据；所述正常行为特征数据提取单元用于对每个所述正常行为的数据进行深度数据包检测，提取每个所述正常行为的数据的特征数据，所述正常行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值；所述语义向量训练单元用于基于所述正常行为的数据的特征数据，通过经过预训练的向量生成模型获取每个所述正常行为的数据的特征数据的语义向量；所述正常行为链构建单元用于基于每个正常行为的数据的特征数据的语义向量和时序建立正常行为链；所述正
常行为特征链提取单元用于基于所述正常行为链中每个行为的频次建立正常行为链的特征链。
[0011]在一种可能的实施方式中，所述当前行为特征链构建模块包括时间窗口设置单元、当前行为数据采集单元、当前行为数据特征数据提取单元、当前行为链构建单元和当前行为特征链提取单元；其中所述时间窗口设置单元用于设置时间窗口，所述时间窗口的每个子时间窗口内的数据为一个行为的完成数据；所述当前行为数据采集单元用于滑动时间窗口实时采集工业控制网络当前状态设备间的多个当前行为的数据；所述当前行为数据特征数据提取单元用于提取时间窗口内的当前行为的数据的特征数据，所述当前行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值；所述当前行为链构建单元用于基于所述多个当前行为中的每个行为的数据的特征数据的语义向量和时序建立所述当前行为链；所述当前行为特征链提取单元用于基于所述当前行为链中每个行为的频次建立当前行为链的特征链。
[0012]在一种可能的实施方式本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种行为特征链模型的工控异常行为监测方法，其特征在于，包括如下步骤：S1、采集工业控制网络正常状态下设备间的多个正常行为的数据；S2、提取每个所述正常行为的数据的特征数据建立正常行为链，基于所述正常行为链中每个行为及其频次建立所述正常行为链的特征链；S3、实时采集工业控制网络当前状态设备间的多个当前行为的数据，提取每个所述当前行为的数据的特征数据建立当前行为链，基于所述当前行为链中每个行为及其频次建立所述当前行为链的特征链；S4、将所述当前行为链的特征链与所述正常行为链的特征链匹配，根据匹配度判断是否异常。2.根据权利要求1所述的一种行为特征链模型的工控异常行为监测方法，其特征在于，所述提取每个所述正常行为的数据的特征数据建立正常行为链，基于所述正常行为链中每个行为及其频次建立所述正常行为链的特征链包括如下步骤：S21、按时序排列所述多个正常行为的数据；S22、对每个所述正常行为的数据进行深度数据包检测，提取每个所述正常行为的数据的特征数据，所述正常行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值；S23、基于所述正常行为的数据的特征数据，通过经过预训练的向量生成模型获取每个所述正常行为的数据的特征数据的语义向量；S24、基于每个正常行为的数据的特征数据的语义向量和时序建立正常行为链；S25、基于所述正常行为链中每个行为的频次建立正常行为链的特征链。3.根据权利要求2所述的一种行为特征链模型的工控异常行为监测方法，其特征在于，所述实时采集工业控制网络当前状态设备间的多个当前行为的数据，提取每个所述当前行为的数据的特征数据建立当前行为链，基于所述当前行为链中每个行为及其频次建立所述当前行为链的特征链包括如下步骤：S31、设置时间窗口，所述时间窗口的每个子时间窗口内的数据为一个行为的完成数据；S32、滑动时间窗口实时采集工业控制网络当前状态设备间的多个当前行为的数据；S33、提取时间窗口内的当前行为的数据的特征数据，所述当前行为的数据的特征数据包括源IP、目的IP、源端口、目的端口、协议类型、协议操作字段及字段值、目标寄存器号及对该寄存器的置入值；S34、基于所述多个当前行为中的每个行为的数据的特征数据的语义向量和时序建立所述当前行为链；S35、基于所述当前行为链中每个行为的频次建立当前行为链的特征链。4.根据权利要求3所述的一种行为特征链模型的工控异常行为监测方法，其特征在于，所述设置时间窗口，所述时间窗口的每个子时间窗口内的数据为一个行为的完成数据包括，设置每个子时间窗口的增加量，每个所述子时间窗口内的数据为所述多个当前行为中的每个行为对应的进程的编码数据。5.根据权利要求1所述的一种行为特征链模型的工控异常行为监测方法，其特征在于，所述将所述当前行为链的特征链与所述正常行为链的特征链进行匹配，根据匹配度判断是
否异常包括，计算所述当前行为链的特征链与所述正常行为链的特征链的余弦值，所述匹配度为所述余弦值，当所述余弦值大于预设值时，所述当前行为为正常行为，否则所述当前行为为异常行为。6.一种行为特征链模型的工控异常行为监测系统，其特征在于，包括正常行为采集模块、正常行为链的特征链构建模块、当前行为特征链构建模块和异常行为判断模块；其中，所述正常行为采集模块用于采集工业...

【专利技术属性】
技术研发人员：周磊，姜双林，韩洋，
申请(专利权)人：北京安帝科技有限公司，
类型：发明
国别省市：