一种基于应用层有效负载提取的工控威胁检测方法技术

本发明专利技术涉及恶意网络流量监测技术领域，公开了一种基于应用层有效负载提取的工控威胁检测方法。包括(1)应用层有效负载提取：对工控流量进行预处理，得到应用层各字段的值所组成的时间序列，分析提取字段时间序列特征，及应用层有效负载；(2)模型构建与威胁检测：将正常情况下上位机与PLC之间的会话数据转换成事件时间序列，生成包含有效负载信息的状态及状态空间，再生成状态转移矩阵，构建表示系统正常情况下的行为模型；通过待检测模型与正常行为模型之间的差异来检测异常。本发明专利技术不依赖于协议解析即可对各类工控协议的有效负载进行自动提取，并使用有效负载完成下游模型构建与检测任务，使复杂真实工控网络环境下的威胁检测更具加高效。

【技术实现步骤摘要】

本专利技术涉及恶意网络流量监测，特别是一种基于应用层有效负载提取的工控威胁检测方法。

技术介绍

1、随着物联网、云计算、大数据和5g等新一代信息技术的快速发展，使得工业控制系统本身与外部世界的天然屏障被打破，系统面临着越来越多恶意攻击、网络威胁和数据泄露等安全风险，工业控制系统安全问题日趋严峻。

2、现阶段按照是否对工控协议应用层进行解析、提取功能码等有效负载分为基于协议分析的威胁检测方法和基于流量挖掘的威胁检测方法。其中，基于协议分析的方法通过分析工业控制网络中传输正常行为的数据包协议格式或状态，建立一套对异常行为的检测特征，进而识别出不符合正常数据特征的攻击数据；这类技术主要依赖于对工控协议格式和状态的准确定义，规则定义不准确的通常会导致较高的误报率，并且该方法不能处理未公开的私有工控协议。基于流量分析的威胁检测方法通过提取数据包五元组、协议数据大小等指标，从时间和空间两个维度构建流量特征，建立正常流量模型，将新通过检测系统的流量与正常流量模型进行匹配，实现在不分析协议格式的情况下，检测出网络数据流量的异常，但是因为省略了对协议的解析，从而本文档来自技高网...

【技术保护点】

1.一种基于应用层有效负载提取的工控威胁检测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的基于应用层有效负载提取的工控威胁检测方法，其特征在于，所述步骤1.1具体包括：

3.根据权利要求2所述的基于应用层有效负载提取的工控威胁检测方法，其特征在于，所述步骤1.1.2中分段重组算法主要通过COTP头的LastDataUnit的标志位完成，算法流程如下：

4.根据权利要求2所述的基于应用层有效负载提取的工控威胁检测方法，其特征在于，所述步骤1.1.3中序列比对算法具体过程如下：

5.根据权利要求2所述的基于应用层有效负载提取的工控威...

【技术特征摘要】

1.一种基于应用层有效负载提取的工控威胁检测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的基于应用层有效负载提取的工控威胁检测方法，其特征在于，所述步骤1.1具体包括：

3.根据权利要求2所述的基于应用层有效负载提取的工控威胁检测方法，其特征在于，所述步骤1.1.2中分段重组算法主要通过cotp头的lastdataunit的标志位完成，算法流程如下：

4.根据权利要求2所述的基于应用层有效负载提取的工控威胁检测方法，其特征在于，所述步骤1.1.3中序列比对算法具体过程如下：

5.根据权利要求2所述的基于应用层有效负载提取的工控威胁检测方法，其特征在于，所述步骤1.1.4中字...

【专利技术属性】
技术研发人员：覃朗，何军，陈兴蜀，朱毅，李尧，
申请(专利权)人：四川大学，
类型：发明
国别省市：