本发明专利技术涉及智能终端安全技术领域,提供一种基于关联规则的工业控制系统复杂攻击检测方法,其包括以下步骤:S1:在数据库中启用关联规则;S2:配置关联规则粒度;S3:配置关联规则参数;S4:将逻辑规则转化为XML语言;S5:XML规则转化为规则树;S6:实时事件流插入待匹配队列;S7:复杂攻击检测算法与中间结果backlogs匹配;S8:复杂攻击检测算法与规则树directives匹配;S9:匹配成功计算事件风险值;S10:产生攻击树,向后台预警;S11:告警存储攻击数据库。本发明专利技术能增强云端对复杂攻击的识别和检测能力。
1、随着智慧工业的发展,工业控制系统与互联网的联系越来越紧密,但是随之而来的安全问题也不容忽视,目前主要通过在工业控制系统的各个设备上部署ids安全组件,对系统的异常行为进行监控,但是ids只能用于检测端到端的单步攻击。但是,随着电子技术、信息技术的迅猛发展,攻击方式也由单一攻击向复杂的apt(advanced persistent threat高级可持续攻击)方向发展,apt攻击通常具有:长期性、高度针对性、多层次性、隐蔽性等特点。对于工业网络中apt一类的复杂攻击事件,仅通过ids组件难以识别。因此,出现了终端ids和云端soc(security operations center)结合的面向智能工业系统的新一代态势感知系统,在工控系统的各个设备上部署ids,通过匹配规则产生安全事件告警,并实时将告警数据上传到云端,利用云端的算力和资源进行识别复杂攻击。大多数研究者倾向于将复杂攻击定义为多步攻击,指根据由多个步骤所构成的多步攻击产生的安全事件告警来构建完整的攻击场景,在本文中,将复杂攻击定义为工业控制系统产生的安全事件中的复杂攻击模式。通常会对工业控制系统历史安全事件库进行关联分析,获得关联规则,从而建立起复杂攻击场景的知识库,但是对于如何通过这些关联规则进行实时数据流中的复杂攻击识别的研究还比较少,目前在工业控制系统安全领域没有一套对复杂攻击进行识别的解决方案。
>1、本专利技术的内容是提供一种基于关联规则的工业控制系统复杂攻击检测方法,其能够检测出实时事件流中与关联规则匹配的复杂攻击,增强云端对复杂攻击的识别和检测能力。2、根据本专利技术的一种基于关联规则的工业控制系统复杂攻击检测方法,其包括以下步骤:
3、s1:在数据库中启用关联规则;
4、s2:配置关联规则粒度;
5、s3:配置关联规则参数;
6、s4:将逻辑规则转化为xml语言;
7、s5:xml规则转化为规则树;
8、s6:实时事件流插入待匹配队列;
9、s7:复杂攻击检测算法与中间结果backlogs匹配;
10、s8:复杂攻击检测算法与规则树directives匹配;
11、s9:匹配成功计算事件风险值;
12、s10:产生攻击树,向后台预警;
13、s11:告警存储攻击数据库。
14、作为优选,s1中,关联规则主要来源于两种途径,一是,通过专家经验获得,二是,通过对历史的海量安全事件库进行关联分析,挖掘出有效的复杂攻击模式,并进一步生成关联规则;
15、上述两种方法得到的关联规则能归纳出统一形式,在此基础上,为了对关联规则进行管理,在规则库中增加一个标志位,表示规则的启用状态,实现对规则的有效管理,由此得到关联规则在数据库中的存储格式。
16、作为优选,s3中,为了在规则匹配过程中,能对构成复杂攻击的单一步骤的风险值量化表示,需要管理员根据规则的命中率和经验,为关联规则配置两个参数,包括整条关联规则的优先级priority、单步规则的可信度reliability;另外,需要根据设备的重要程度,确定设备的重要值。
17、作为优选,s4中,通过xml格式表示数据库中的关联规则,对攻击场景进行结构化表示,用于后续的复杂攻击检测,通过嵌套的树形结构表示复杂攻击的多个攻击步骤,即复杂攻击和单步攻击之间1:n的关系。
18、作为优选,s5中,对于启用的关联规则,遍历每一条关联规则,将directives标签作为n叉树的父节点,rule标签及其包含的属性组织为对象,并作为子节点,然后根据rule标签之前的嵌套层次关系,构建起完整的n叉树。
19、作为优选,s6中,将实时事件流中的事件,转换为算法可以处理的对象,事件的属性作为对象的成员,对象的属性由三部分组成,一是,事件相关属性,二是,匹配算法相关属性,三是,风险值量化相关的属性;最后,需要建立事件队列,将安全事件按发生时间依次插入队列中,建立规则匹配的待处理队列。
20、作为优选,s7中,从事件队列中取出队头的安全事件,首先与匹配中间状态树backlogs的所有根节点进行匹配,如果某根节点匹配成功,判断其是否叶子节点;
21、是叶子节点则说明此条规则匹配成功,报告规则号并将该叶子节点从backlogs删除;
22、如果是中间节点,则将该节点的所有子树放入backlogs,同时从backlogs删除原来的树。
23、作为优选,s8中,从事件队列中取出队头的安全事件,依次与规则树directives的所有根节点进行匹配,如果没有匹配成功,则这个安全事件的规则匹配过程结束;
24、如果在某棵规则树匹配成功,则判断其是否叶子节点;
25、是叶子节点则说明此条规则匹配成功,报告规则号;
26、如果不是叶子节点,则将该节点的所有子树放入backlogs,且子树需记录原规则号。
27、作为优选,s9中,如果安全事件与中间结果backlogs或规则directive匹配成功,设置rulematched标志,并且在匹配成功后,新建一个backlogs节点,在节点中会拷贝匹配的规则和事件的相关属性,计算匹配事件的风险值,记录在事件的risk中。
28、作为优选,s10中,当检测到一条复杂攻击,会同时得到一颗代表复杂攻击的攻击树,将其放入告警集合中,并将攻击树作为复杂攻击的告警,向后台管理员预警响应。
29、本专利技术是一种基于关联规则的复杂攻击检测方法,将关联规则进行逻辑化表示,将其配置为xml格式,进一步转换为n叉规则树,实现了关联规则的自动化配置,并设计了一套复杂攻击的识别算法,能对工控终端设备实时安全事件流中的复杂攻击进行精确识别,并将复杂攻击路径上报云端管理中心,支持后续的风险预警和响应。
30、本专利技术具有以下有益效果:
31、1)充分利用云端的复杂攻击的规则库,借助xml语言作为中间媒介,将关联规则转化为n叉树,配置到系统中,并实现了关联规则的自动化配置,减小了手工配置的工作量。
32、2)本专利技术结合工业控制系统安全事件和规则库的特点,设计了一套复杂攻击识别算法,借助n叉规则树,从实时安全事件队列中发现与关联规则匹配的复杂攻击序列,实现了对工业控制系统实时事件流中的复杂攻击检测。
33、3)在构建攻击n叉树的过程中,根据在关联规则中增加的参数,在事件匹配的过程中计算复杂攻击的每条单步攻击的风险值,给出了一种风险值量化的方法。
本文档来自技高网...
【技术保护点】
1.一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:包括以下步骤:
2.根据权利要求1所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:S1中,关联规则主要来源于两种途径,一是,通过专家经验获得,二是,通过对历史的海量安全事件库进行关联分析,挖掘出有效的复杂攻击模式,并进一步生成关联规则;
3.根据权利要求2所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:S3中,为了在规则匹配过程中,能对构成复杂攻击的单一步骤的风险值量化表示,需要管理员根据规则的命中率和经验,为关联规则配置两个参数,包括整条关联规则的优先级priority、单步规则的可信度reliability;另外,需要根据设备的重要程度,确定设备的重要值。
4.根据权利要求3所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:S4中,通过XML格式表示数据库中的关联规则,对攻击场景进行结构化表示,用于后续的复杂攻击检测,通过嵌套的树形结构表示复杂攻击的多个攻击步骤,即复杂攻击和单步攻击之间1:n的关系。
5.根据权利要求4所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:S5中,对于启用的关联规则,遍历每一条关联规则,将directives标签作为N叉树的父节点,rule标签及其包含的属性组织为对象,并作为子节点,然后根据rule标签之前的嵌套层次关系,构建起完整的N叉树。
6.根据权利要求5所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:S6中,将实时事件流中的事件,转换为算法可以处理的对象,事件的属性作为对象的成员,对象的属性由三部分组成,一是,事件相关属性,二是,匹配算法相关属性,三是,风险值量化相关的属性;最后,需要建立事件队列,将安全事件按发生时间依次插入队列中,建立规则匹配的待处理队列。
7.根据权利要求6所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:S7中,从事件队列中取出队头的安全事件,首先与匹配中间状态树backlogs的所有根节点进行匹配,如果某根节点匹配成功,判断其是否叶子节点;
8.根据权利要求7所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:S8中,从事件队列中取出队头的安全事件,依次与规则树directives的所有根节点进行匹配,如果没有匹配成功,则这个安全事件的规则匹配过程结束;
9.根据权利要求8所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:S9中,如果安全事件与中间结果backlogs或规则directive匹配成功,设置ruleMatched标志,并且在匹配成功后,新建一个backlogs节点,在节点中会拷贝匹配的规则和事件的相关属性,计算匹配事件的风险值,记录在事件的risk中。
10.根据权利要求9所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:S10中,当检测到一条复杂攻击,会同时得到一颗代表复杂攻击的攻击树,将其放入告警集合中,并将攻击树作为复杂攻击的告警,向后台管理员预警响应。
...
【技术特征摘要】
1.一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:包括以下步骤:
2.根据权利要求1所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:s1中,关联规则主要来源于两种途径,一是,通过专家经验获得,二是,通过对历史的海量安全事件库进行关联分析,挖掘出有效的复杂攻击模式,并进一步生成关联规则;
3.根据权利要求2所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:s3中,为了在规则匹配过程中,能对构成复杂攻击的单一步骤的风险值量化表示,需要管理员根据规则的命中率和经验,为关联规则配置两个参数,包括整条关联规则的优先级priority、单步规则的可信度reliability;另外,需要根据设备的重要程度,确定设备的重要值。
4.根据权利要求3所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:s4中,通过xml格式表示数据库中的关联规则,对攻击场景进行结构化表示,用于后续的复杂攻击检测,通过嵌套的树形结构表示复杂攻击的多个攻击步骤,即复杂攻击和单步攻击之间1:n的关系。
5.根据权利要求4所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:s5中,对于启用的关联规则,遍历每一条关联规则,将directives标签作为n叉树的父节点,rule标签及其包含的属性组织为对象,并作为子节点,然后根据rule标签之前的嵌套层次关系,构建起完整的n叉树。
6.根据权利要求5所述的一种基于关联规则的工业控制系统复杂攻击检测...
【专利技术属性】
技术研发人员:王亚鑫,罗蕾,黄岳钧,
申请(专利权)人:广州安行信息安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。