【技术实现步骤摘要】
一种基于工控网络单数据包的入侵检测方法
[0001]本专利技术属于工业控制系统安全领域,涉及一种基于工控网络单数据包的入 侵检测方法。
技术介绍
[0002]工业控制系统(Industrial Control System,ICS)是对多种控制系统的一种统 称,这些系统常常包括监控与数据采集系统(Supervisory Control And DataAcquisition,SCADA)、分布式控制系统(Distribute Control System,DCS)和以 可编程逻辑控制器(Programmable Logic Controller,PLC)为代表的控制系统 组件。人们利用各种电子、电气和机械设备构成满足各种需求的工业控制系统, 目前工业控制系统已经广泛的使用在了各行各业当中,如电力、污水处理、油 气输送、化工和交通等工业领域都有广泛的工业控制系统使用案例。工业控制 系统已经逐渐在国家各项关键基础设施建设以及各领域的正常运作生产方面占 有一定的重要地位,同时对于人民生活的稳定以及国民经济的发展有着不小的 影响。
[0003]近年来,随着各种信息技术的飞速发展,现在的工业控制系统已经将工业 化和信息化结合的更加紧密了。典型的工控系统包含控制器、人机界面以及工 业网络等设施以满足控制、监视和诊断配置的需求,同时其一般有多个控制回 路,每一个回路都有自己的传感器、执行器和控制器以完成需要的控制过程。 而随着信息技术在工业控制系统中的广泛应用,各种标准化网络通信协议逐渐 取代了私有的协议,使得工控系统与公
【技术保护点】
【技术特征摘要】
1.一种基于工控网络单数据包的入侵检测方法,其特征在于,包括以下步骤:(1)通过监测口采集网络流量的原始二进制pcap文件;(2)对采集到的数据包进行数据文本化及特征提取,提取的特征包括:源IP(IP
src
)、目的IP(IP
dst
)、源端口(PORT
src
)、目的端口(PORT
dst
)、协议类型(Protocol)、数据包长度(Length)、单数据包在混合数据包内的时间间隔(Δt1);对数据包进行样本标记,在样本标记过程中,将数据包根据采用的协议层级进行分组,计算每个数据包在其对应分组序列中的通信时间间隔(Δt2),然后再将所述通信时间间隔更新到原始数据包中,作为一个新的特征;(3)通过数值特征归一化和离散特征数值化编码形成一个多维属性向量的数据集;(4)将步骤(3)得到的数据集输入到入侵检测模型中,对数据进行有监督学习,并在实时监测时对到来的每一个数据包判断是否为异常数据;所述入侵检测模型基于SVM的有监督学习算法,表达式如下:其中,x为输入数据,x
o
为样本的多维属性向量,N为输入数据总数,ψ(
·
)为高斯径向基核函数,α
l
为拉格朗日乘子,y
l
为样本标签,b为模型可训练的参数,sgn为阶跃函数,y(x)为1表示正常数据包,为
‑
1表示恶意数据包。2.根据权利要求1所述的一种基于工控网络单数据包的入侵检测方法,其特征在于,所述步骤(1)中,数据来源包括实际现场数据和安全测试平台数据,使用的抓包软件包括Wireshark。3.根据权利要求1所述的一种基于工控网络单数据包的入侵检测方法,其特征在于,所述步骤(2)中,将原始的二进制报文文本化解析,一条报文表示为[IP
src
,IP
dst
,PORT
src
,PORT
dst
,Protocol,Length,Δt1]七个维度的向量。4.根据权利要求1所述的一种基于工控网络单数据包的入侵检测方法,其特征在于,所述步骤(2)中,需要对每一个提取数据样本进行预处理,对每一个数据样本进行对应的标记,根据数据包最终采用的协议层级分为6组,Ethernet通信协议有PROFINETPTCP,LLDP,APR三种;IPv6的IP层协议包括ICMPv6;IPv4协议包括IGMP和ICMP;基于IPv6的UDP协议有MDNS,LLMNR,DHCPv6三种;基于IPv4的UDP数据包有SSDP,NBNS,BROWSER,MDNS,LLMNR和通用UDP数据包;TCP数据包有COTP,基于COTP的西门子S7COMM以及通用的TCP数据连接;将所有数据包分类为6组,计算每个数据包在其对应分组序列中的通信时间间隔(Δt2),然后再将该...
【专利技术属性】
技术研发人员:文宇恒,车欣,邓瑞龙,赵成成,汪慕峰,王竟亦,王东霞,孙铭阳,程鹏,陈积明,
申请(专利权)人:浙江大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。