【技术实现步骤摘要】
一种面向工控网络设备的安全检测准入方法和系统
[0001]本专利技术涉及深度学习
,具体为一种面向工控网络设备的安全检测准入方法和系统。
技术介绍
[0002]近年来,随着物联网技术的快速发展,工控网络设备已经得到了日益广泛的使用。与之对应地,工控网络设备的安全性问题也显得日益突出,并且工控网络设备接入检测也已经成为物联网安全领域的重要研究方向。
[0003]现有的工控网络设备接入检测是基于机器学习或者深度学习的方式对设备进行识别。然而,上述现有的工控网络设备接入检测方法存在一些不可忽略的缺陷:传统的机器学习方法往往会忽视设备指纹样本中的时序关系,大多方法只能理解设备的当前状态,并没有考虑未来可能接入的设备,对于物联网场景来说,随时会有相同或不同种类设备进行接入,分类效果不佳。
技术实现思路
[0004]针对现有技术存在的不足,本专利技术目的是提供一种面向工控网络设备的安全检测准入方法和系统,以解决现有基于机器学习或者深度学习的工控网络设备接入检测方法由于忽视设备指纹样本中的时序关系,大多方法只能理解设备的当前状态,并没有考虑未来可能接入的设备,分类效果不佳的问题。
[0005]为了实现上述目的,本专利技术是通过如下的技术方案来实现:一种面向工控网络设备的安全检测准入方法,包括以下步骤:(1)、基于报文特征的分析,构造时序特征数据,确定连续报文的数量n,将每个报文的内容向量化,并加入整体报文的统计量特征作为辅助特征,形成一维向量,n个报文的一维向量表征组成报文特征矩阵,即是表征报...
【技术保护点】
【技术特征摘要】
1.一种面向工控网络设备的安全检测准入方法,其特征在于:包括以下步骤:(1)、基于报文特征的分析,构造时序特征数据,确定连续报文的数量n,将每个报文的内容向量化,并加入整体报文的统计量特征作为辅助特征,形成一维向量,n个报文的一维向量表征组成报文特征矩阵,即是表征报文指纹特征的矩阵;(2)、将根据步骤(1)得到的特征矩阵输入训练好的设备识别分类器中,以得到输出结果,包括工控网络设备的名称、设备类型、设备制造商、以及固件版本,根据得到的输出结果进行漏洞匹配和验证,即通过本地漏洞库中查询工控网络设备可能存在的漏洞及其类型,并根据该类型判断查询到的漏洞是否为中高危漏洞,然后进行漏洞验证判定是否真实存在对应的漏洞,如果是则暂时禁止该工控网络设备接入,否则允许该工控网络设备接入,过程结束;(3)、根据步骤(2)得到存在漏洞的工控网络设备,根据漏洞库提供的补丁进行安全加固,对存在漏洞的工控网络设备进行安全修复,将修复后的工控网络设备重新进行接入。2.根据权利要求1所述的一种面向工控网络设备的安全检测准入方法,其特征在于:物联网设备的特征属性包括:网络协议版本:IPv4为0,IPv6为1;网络协议可选项:如果IP协议报文头部长度小于等于20,则为0,否则为1;传输层协议:TCP为0,UDP为1,其他协议为2;传输层协议可选项:表示TCP/UDP报文是否存在可选项,不存在为0,存在为1;端口字段:周知端口(0
‑
1023)、注册端口(1024
‑
49151)和动态端口(49152
‑
65535)分别编码为0、1、2;应用层协议:Modbus、IEC104、S7comm、DNP3、Ethernet/IP、PROFIBUS、OMRON、MELSEC
‑
Q、BACnet、PCWorx、OPC DA、OPC UA、IEC 60870
‑
5、MQTT、PROFINET、CANopen、FOX、ZIGBEE、Power Link、openSAFETY分别编码为0
‑
19。3.根据权利要求2所述的一种面向工控网络设备的安全检测准入方法,其特征在于:设备识别分类器采用的是双向长短期记忆网络模型。4.根据权利要求3所述的一种面向工控网络设备的安全检测准入方法,其特征在于:所述步骤(2)中,设备识别分类器是通过以下步骤训练得到的:(2
‑
1)获取多个物联网设备的设备指纹信息{f1,f2,
…
,f
m
},对每个工控网络设备的每个设备指纹信息进行解析,以获取该设备指纹信息对应的特征属性值,并根据获取的该工控网络设备的所有设备指纹信息对应的特征属性值构建特征向量(X1,X2,
…
,X
m
),并将所有工控网络设备对应的特征矩阵进行合并,以得到合并后的特征矩阵H,其中m表示工控网络设备的总数,f
num
表示第num个工控网络设备的...
【专利技术属性】
技术研发人员:潘章达,林瑨,刘颖彤,张杨忆,白海,徐超,郭莎莎,朱彤,吴頔,李韬睿,詹婧晗,
申请(专利权)人:国网湖北省电力有限公司超高压公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。