本发明专利技术公开了一种控制指令时域敏感的攻击检测方法及装置,涉及工控信息安全领域。所述方法包括:配置五元组,学习数据流的控制指令序列;设定误差值DT;当指令序列矩阵第一个指令达到后,直接放行,并开始计算时间;当后续指令到达时,判断该指令与指令序列矩阵是否匹配,是则判定该指令周期是否在最小时间周期
【技术实现步骤摘要】
一种控制指令时域敏感的攻击检测方法及装置
[0001]本专利技术涉及工控信息安全领域,特别是涉及一种控制指令时域敏感的攻击检测方法及装置。
技术介绍
[0002]在工业信息安全领域,存在多种人为的攻击方式,包括身份欺骗后发起的攻击,中间人攻击等等,生产过程的控制往往具有着某种周期模式,控制设备通过固定周期的指令执行一些程式化的动作,攻击者可以利用欺骗或者中间人攻击的方法,伪造指令报文,来达到对控制设备进行非法的控制,达到某些目的,完成攻击过程。对于传统的攻击检测方法,往往是通过设定一个阈值,等待阈值超限等进行判定,很难快速准确的检测到攻击。
[0003]基于此,本专利技术提出一种控制指令时域敏感的攻击检测方法。
技术实现思路
[0004]本专利技术主要解决的技术问题是提供一种控制指令时域敏感的攻击检测方法,可以通过检测在时间域的控制指令状态序列的时间敏感性来确定是正常的业务报文,还是存在攻击行为。
[0005]为解决上述技术问题,本专利技术提供一种控制指令时域敏感的攻击检测方法,包括:
[0006]步骤110、配置五元组,学习数据流的控制指令序列;
[0007]步骤120、设定误差值DT,用于防止因为网络波动后小于最短时间或者大于最长时间而导致的误判;
[0008]步骤130、当指令序列矩阵第一个指令达到后,直接放行,并开始计算时间;
[0009]步骤140、当后续指令到达时,判断该指令与指令序列矩阵是否匹配,如果是,则执行步骤150,否则进行阻断;r/>[0010]步骤150、判定该指令周期是否在最小时间周期
‑
DT及最长时间+DT之间,如果是,则放行报文,否则进行阻断。
[0011]如上所述的一种控制指令时域敏感的攻击检测方法,其中,在进行多个控制设备的学习时,通过五元组来确定序列的分组,进行多分组处理,具体包括如下子步骤:
[0012]计算五元组的哈希值,形成一个基于五元组的哈希桶数组HA;
[0013]通过配置五元组进行多分组模型学习,最终形成一个五元组+控制序列的二维向量CHA;
[0014]通过五元组的哈希值快速匹配到CHA的五元组后锁定控制指令序列。
[0015]如上所述的一种控制指令时域敏感的攻击检测方法,其中,控制指令序列包括指令、指令达到的最短时间T1、指令到达的最长时间T2,以及在学习结束后形成的一个包括指令和时间的矩阵序列A。
[0016]如上所述的一种控制指令时域敏感的攻击检测方法,其中,通过人工设定误差值DT,或使用DT=(T2
‑
T1)/2来自动设定误差值DT。
[0017]如上所述的一种控制指令时域敏感的攻击检测方法,其中,设定例外指令,例外指令不在学习到的指令序列内,能够随时发送。
[0018]本专利技术还提供一种控制指令时域敏感的攻击检测装置,包括:
[0019]控制指令序列学习模块,用于配置五元组,学习数据流的控制指令序列;
[0020]误差值设定模块,用于设定误差值DT,防止因为网络波动后小于最短时间或者大于最长时间而导致的误判;
[0021]合法性检查模块,用于当指令序列矩阵第一个指令达到后,直接放行,并开始计算时间;以及当后续指令到达时,判断该指令与指令序列矩阵是否匹配,如果是,则判定该指令周期是否在最小时间周期
‑
DT及最长时间+DT之间,均满足则放行报文,否则进行阻断。
[0022]如上所述的一种控制指令时域敏感的攻击检测装置,其中,控制指令序列学习模块,具体用于计算五元组的哈希值,形成一个基于五元组的哈希桶数组HA;通过配置五元组进行多分组模型学习,最终形成一个五元组+控制序列的二维向量CHA;通过五元组的哈希值快速匹配到CHA的五元组后锁定控制指令序列。
[0023]如上所述的一种控制指令时域敏感的攻击检测装置,其中,通过人工设定误差值DT,或使用DT=(T2
‑
T1)/2来自动设定误差值DT。
[0024]本专利技术还提供一种计算机可读存储介质,其特征在于,所述计算机存储介质中包含一个或多个程序指令,所述一个或多个程序指令用于被处理器执行上述任一项所述的一种控制指令时域敏感的攻击检测方法。
[0025]本专利技术的有益效果是:本专利技术利用控制设备的程式化动作,可以学习一个时间间隔+控制指令的模型,并实时检测实际报文和模型的匹配程度,来判定当前是否存在攻击行为,对于通过欺骗进行的攻击和通过中间人进行的攻击都能够很好的进行报文阻断,提高工控信息安全性。
附图说明
[0026]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图,其中:
[0027]图1是本专利技术实施例一提供的一种控制指令时域敏感的攻击检测方法流程图;
[0028]图2是本专利技术实施例二提供的一种控制指令时域敏感的攻击检测装置示意图。
具体实施方式
[0029]下面将对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本专利技术的一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。
[0030]实施例一
[0031]如图1所示,本申请实施例一提供一种控制指令时域敏感的攻击检测方法,用于有着严格指令周期的应用场景,可以固化到防火墙中。所述方法具体包括:
[0032]步骤110、配置五元组,学习数据流的控制指令序列。
[0033]其中,控制指令序列包括指令、指令达到的最短时间T1、指令到达的最长时间T2,以及在学习结束后形成的一个包括指令和时间的矩阵序列A。
[0034]具体地,本专利技术对于防火墙连接的设备均可以进行控制指令序列的学习,在进行一个设备的控制指令序列学习时,可以直接配置一个五元组学习数据流的控制指令序列。在进行多个控制设备的学习时,可以进行防火墙泛化处理,通过五元组来确定序列的分组,进行多分组处理,具体包括如下子步骤:
[0035]步骤S1、计算五元组的哈希值,形成一个基于五元组的哈希桶数组HA。
[0036]步骤S2、通过配置五元组进行多分组模型学习,最终形成一个五元组+控制序列的二维向量CHA。
[0037]步骤S3、通过五元组的哈希值快速匹配到CHA的五元组后锁定控制指令序列。在锁定控制指令序列之后,执行步骤120
‑
步骤150的合法性检查。
[0038]步骤120、设定误差值DT,用于防止因为网络波动后小于最短时间或者大于最长时间而导致的误判;
[0039]其中,误差值DT可以通过人工设定,或者使用DT=(T2
‑
T1)/2来自动设定。
[本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种控制指令时域敏感的攻击检测方法,其特征在于,包括:步骤110、配置五元组,学习数据流的控制指令序列;步骤120、设定误差值DT,用于防止因为网络波动后小于最短时间或者大于最长时间而导致的误判;步骤130、当指令序列矩阵第一个指令达到后,直接放行,并开始计算时间;步骤140、当后续指令到达时,判断该指令与指令序列矩阵是否匹配,如果是,则执行步骤150,否则进行阻断;步骤150、判定该指令周期是否在最小时间周期
‑
DT及最长时间+DT之间,如果是,则放行报文,否则进行阻断。2.如权利要求1所述的一种控制指令时域敏感的攻击检测方法,其特征在于,在进行多个控制设备的学习时,通过五元组来确定序列的分组,进行多分组处理,具体包括如下子步骤:计算五元组的哈希值,形成一个基于五元组的哈希桶数组HA;通过配置五元组进行多分组模型学习,最终形成一个五元组+控制序列的二维向量CHA;通过五元组的哈希值快速匹配到CHA的五元组后锁定控制指令序列。3.如权利要求1所述的一种控制指令时域敏感的攻击检测方法,其特征在于,控制指令序列包括指令、指令达到的最短时间T1、指令到达的最长时间T2,以及在学习结束后形成的一个包括指令和时间的矩阵序列A。4.如权利要求3所述的一种控制指令时域敏感的攻击检测方法,其特征在于,通过人工设定误差值DT,或使用DT=(T2
‑
T1)/2来自动设定误差值DT。5.如权利要求1所述的一种控制指令时域...
【专利技术属性】
技术研发人员:王方立,杨璐,
申请(专利权)人:北京威努特技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。