本发明涉及工业控制网络安全技术领域,尤其涉及一种面向工业控制网络的协同入侵检测方法。
背景技术:
目前,工业控制网络与工业生产深度融合使工业生产活动呈现数字化、智能化、网络化特点,工业生产部分生产环节网络与外部网络互通,在提高效率的同时,也可能引发并导致严重的安全事件。工业控制网络打破了传统工业相对封闭可信的制造环境,致使病毒、木马、高级持续性威胁等网络攻击对工业生产的威胁日益加剧,涉及国计民生的工业基础设施一旦受到网络攻击,将会导致巨大经济损失,造成广泛的社会影响。
入侵检测技术是防护工业控制网络安全的重要手段,能够对工业控制网络中的恶意行为进行识别,目前数据驱动的入侵检测技术是当前的主流手段,然而工业控制网络中数据体量大、多源异构、动态性强,导致高级持续性威胁、0-day漏洞等新型攻击形式难以检测。
技术实现要素:
本发明的目的是提供一种面向工业控制网络的协同入侵检测方法,该方法实现了工业控制网络中的多层、多维入侵检测,从而提高了工业控制网络的安全性。
本发明的目的是通过以下技术方案实现的:
一种面向工业控制网络的协同入侵检测方法,所述方法包括:
步骤1、实时采集工业控制网络中的多维数据,包括企业用户数据、工业设备数据、工业控制网络流量数据;
步骤2、对采集得到的多维数据进行数据预处理,去除数据噪声,并构建半结构化数据;
步骤3、基于所述半结构化数据,采用机器学习、自然语言处理的方法提取用户特征、设备特征和流量特征;
步骤4、对所提取的三类特征进行信息抽取和关联关系挖掘,构建面向工业控制网络入侵检测的协同特征体系;
步骤5、在所构建协同特征体系的基础上,对影响工业控制网络安全的因素进行推理和分类,达到协同入侵检测的目的。
由上述本发明提供的技术方案可以看出,上述方法实现了工业控制网络中的多层、多维入侵检测,从而提高了工业控制网络的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例提供的面向工业控制网络的协同入侵检测方法流程示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
下面将结合附图对本发明实施例作进一步地详细描述,如图1所示为本发明实施例提供的面向工业控制网络的协同入侵检测方法流程示意图,所述方法包括:
步骤1、实时采集工业控制网络中的多维数据,包括企业用户数据、工业设备数据、工业控制网络流量数据;
在该步骤中,所述企业用户数据包括人员基础信息数据、网络行为数据;所述工业设备数据包括基于工业控制网络的工业控制器、数控机床、工业机器人、工业上位机设备的日志、配置数据;所述工业控制网络流量数据包括工业控制网络各个不同区域中存在的控制流量、域间流量、总线流量数据。
具体实现中,所述企业用户数据的采集过程具体为:
通过企业管理平台收集人员基础信息数据;通过交换机端口镜像采集网络行为数据。
所述工业设备数据的采集过程具体为:
通过usb接口和上位机收集工业控制器的日志信息;基于标准通信接口,包括opc接口、dnc接口、rs-232串口等,采集数控机床的日志数据;通过特定的运行日志共享端口收集工业机器人的日志;通过主动采集的方式采集控制主机的工业上位机设备的运行日志。具体来说,可以通过命令行telnet/ssh/smb等协议,执行命令、读取文件以获得目标网络设备的配置数据;采用agentless扫描技术采集windows、linux、unix主要版本的主机配置数据;通过usb手动导入的方式采集应用配置数据。
所述工业控制网络流量数据的采集过程具体为:
通过端口镜像的方式采集工业控制网络中的控制流量、域间流量、总线流量数据。具体来说,通过工业控制网络中的各种交换设备,基于镜像口对流量数据进行复制,并实现批量收包、分层解码、协议解析等功能。并提供协议深度分析能力,能够分析网络应用协议和工业协议,传统网络协议包括http、ftp、smtp等,工业协议包括modbus、s7、ethernetip等智能制造行业工业通讯协议。
步骤2、对采集得到的多维数据进行数据预处理,去除数据噪声,并构建半结构化数据;
在该步骤中,具体是采用填写空缺值、识别删除离群点、删除重复值方法对采集得到的多维数据进行数据预处理,形成半结构化的入侵检测数据,使得数据是有效的、可用的,便于提取用户特征、设备特征和流量特征。
步骤3、基于所述半结构化数据,采用机器学习、自然语言处理的方法提取用户特征、设备特征和流量特征;
在该步骤中,所述用户特征包括基础特征和行为特征两部分,其中:
所述基础特征指的是用户在工业控制网络中所担任的访问控制角色、所具有的访问控制权限;所述行为特征指的是用户在工业控制网络中发生的电子邮件行为,包括邮件是否为钓鱼邮件、邮件是否含有非法链接或附件;
所述设备特征包括从工业控制网络设备配置信息和日志信息中提取的多维特征,其中:
所述设备配置信息包括设备厂商、版本、型号、是否开启不必要且存在安全隐患的服务和端口、登录是否需要输入口令、是否设置相关策略、仅允许授权的ip地址采用telnet和ssh协议远程登录管理、snmp服务是否开启、是否存在弱口令、是否开启系统自带的日志审计功能、是否指定syslog服务器、是否开启安全策略的特征;所述日志信息包括从设备运行日志中挖掘出来的相关特征,包括运行时间、设备状态特征;
所述流量特征包括连接基本特征、连接内容特征、基于时间的流量统计特征、基于主机的流量统计特征四类,其中:
所述连接基本特征包括连接持续时间、协议类型、连接状态、目标主机的网络服务类型、从源主机到目标主机的数据字节数特征;所述连接内容特征包括访问系统敏感文件和目录的次数、登录尝试失败的次数、是否成功登录状态、是否获得超级用户权限、root用户访问次数特征;所述基于时间的流量统计特征包括在某个时间窗格之内与当前连接具有相同的目标设备或者相同服务的连接数,以及其中存在的错误连接所占的百分比特征;所述基于主机的流量统计特征包括在某个连接数量窗格之内与当前连接具有相同的目标设备或者相同服务的连接数,以及其中存在的错误连接所占的百分比特征。
步骤4、对所提取的三类特征进行信息抽取和关联关系挖掘,构建面向工业控制网络入侵检测的协同特征体系;
在该步骤中,具体是结合工业控制网络资产设备信息,根据上下文语义环境,挖掘所提取的用户特征、设备特征和流量特征的语义信息,并抽取其中的关键有效特征;
基于所述关键有效特征提取出特征之间的关联关系,将多维特征关联起来,形成面向工业控制网络入侵检测的协同特征体系。
具体实现中,可以是以工业控制网络资产设备为核心,基于流量特征定义设备与设备之间的关联关系,以用户访问控制角色、访问控制权限特征为基础,建立用户与设备之间的关联关系,最终形成以设备为核心,设备与设备之间、用户与设备之间相互关联的协同特征体系,为工业控制网络入侵检测提供特征体系和数据基础。
步骤5、在所构建协同特征体系的基础上,对影响工业控制网络安全的因素进行推理和分类,达到协同入侵检测的目的。
在该步骤中,具体是在所构建协同特征体系的基础上,采用长短时记忆神经网络算法(longshorttermmemory,lstm)训练用于入侵检测的模型,确定模型参数,并根据实时采集到的数据,定时对模型进行调整,得到训练好的入侵检测模型;此外,根据不同的业务场景,还可以构建不同的入侵检测模型,以适应不同级别的入侵检测需求;
然后将实时检测的工业控制网络特征体系数据输入到所述训练好的入侵检测模型中,实现对工业控制网络的入侵检测,并对入侵行为进行告警。
具体实现中,首先基于已有数据,采用lstm算法训练入侵检测模型,lstm算法的核心思想在于模拟细胞状态的变化过程,算法通过“门”的结构来模拟去除或者增加信息到细胞状态的能力,数据通过遗忘门、输入门、输出门进行计算,最终得到算法结果。首先数据经过遗忘门,遗忘门通过一个sigmoid单元来处理信息的保留或丢弃,公式如(1)所示:
ft=σ(wf·[ht-1,xt] bf)(1)
其中σ表示sigmoid函数,ht-1表示上一个细胞的输出,xt表示当前细胞的输入,w为权重参数,b为调节系数;
然后下一步操作是决定给细胞状态添加哪些新的信息,包括通过输入门来决定更新哪些信息,以及计算新的候选细胞信息并更新,具体公式如下所示:
it=σ(wi·[ht-1,xt] bi)(2)
公式(2)表示通过一个sigmoid层决定哪些信息需要更新;公式(3)表示通过一个tanh层来计算备选的更新内容;公式(4)表示将这两者结合起来对细胞状态进行一个更新;
最后,通过被称为输出门的操作来得到最终输出,包括确定输出部分和最终输出两部分,具体公式为:
ot=σ(wo·[ht-1,xt] bo)(5)
ht=ot×tanh(ct)(6)
通过公式(5)的sigmoid层来确定细胞状态的哪个部分将输出出去,然后通过公式(6)把细胞状态通过tanh层进行处理并和公式(5)的输出相乘,得到最终的输出,最终的输出为入侵检测的分类结果。
值得注意的是,本发明实施例中未作详细描述的内容属于本领域专业技术人员公知的现有技术。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
1.一种面向工业控制网络的协同入侵检测方法,其特征在于,所述方法包括:
步骤1、实时采集工业控制网络中的多维数据,包括企业用户数据、工业设备数据、工业控制网络流量数据;
步骤2、对采集得到的多维数据进行数据预处理,去除数据噪声,并构建半结构化数据;
步骤3、基于所述半结构化数据,采用机器学习、自然语言处理的方法提取用户特征、设备特征和流量特征;
步骤4、对所提取的三类特征进行信息抽取和关联关系挖掘,构建面向工业控制网络入侵检测的协同特征体系;
步骤5、在所构建协同特征体系的基础上,对影响工业控制网络安全的因素进行推理和分类,达到协同入侵检测的目的。
2.根据权利要求1所述面向工业控制网络的协同入侵检测方法,其特征在于,在步骤1中,所述企业用户数据包括人员基础信息数据、网络行为数据;
所述工业设备数据包括基于工业控制网络的工业控制器、数控机床、工业机器人、工业上位机设备的日志、配置数据;
所述工业控制网络流量数据包括工业控制网络各个不同区域中存在的控制流量、域间流量、总线流量数据。
3.根据权利要求1或2所述面向工业控制网络的协同入侵检测方法,其特征在于,在步骤1中,所述企业用户数据的采集过程具体为:
通过企业管理平台收集人员基础信息数据;通过交换机端口镜像采集网络行为数据;
所述工业设备数据的采集过程具体为:
通过usb接口和上位机收集工业控制器的日志信息;基于标准通信接口采集数控机床的日志数据;通过特定的运行日志共享端口收集工业机器人的日志;通过主动采集的方式采集控制主机的工业上位机设备的运行日志;
所述工业控制网络流量数据的采集过程具体为:
通过端口镜像的方式采集工业控制网络中的控制流量、域间流量、总线流量数据。
4.根据权利要求1所述面向工业控制网络的协同入侵检测方法,其特征在于,所述步骤2的过程具体为:
采用填写空缺值、识别删除离群点、删除重复值方法对采集得到的多维数据进行数据预处理,形成半结构化的入侵检测数据。
5.根据权利要求1所述面向工业控制网络的协同入侵检测方法,其特征在于,在步骤3中,所述用户特征包括基础特征和行为特征两部分,其中:
所述基础特征指的是用户在工业控制网络中所担任的访问控制角色、所具有的访问控制权限;所述行为特征指的是用户在工业控制网络中发生的电子邮件行为,包括邮件是否为钓鱼邮件、邮件是否含有非法链接或附件;
所述设备特征包括从工业控制网络设备配置信息和日志信息中提取的多维特征,其中:
所述设备配置信息包括设备厂商、版本、型号、是否开启不必要且存在安全隐患的服务和端口、登录是否需要输入口令、是否设置相关策略、仅允许授权的ip地址采用telnet和ssh协议远程登录管理、snmp服务是否开启、是否存在弱口令、是否开启系统自带的日志审计功能、是否指定syslog服务器、是否开启安全策略的特征;所述日志信息包括从设备运行日志中挖掘出来的相关特征,包括运行时间、设备状态特征;
所述流量特征包括连接基本特征、连接内容特征、基于时间的流量统计特征、基于主机的流量统计特征四类,其中:
所述连接基本特征包括连接持续时间、协议类型、连接状态、目标主机的网络服务类型、从源主机到目标主机的数据字节数特征;所述连接内容特征包括访问系统敏感文件和目录的次数、登录尝试失败的次数、是否成功登录状态、是否获得超级用户权限、root用户访问次数特征;所述基于时间的流量统计特征包括在某个时间窗格之内与当前连接具有相同的目标设备或者相同服务的连接数,以及其中存在的错误连接所占的百分比特征;所述基于主机的流量统计特征包括在某个连接数量窗格之内与当前连接具有相同的目标设备或者相同服务的连接数,以及其中存在的错误连接所占的百分比特征。
6.根据权利要求1所述面向工业控制网络的协同入侵检测方法,其特征在于,所述步骤4的过程具体为:
结合工业控制网络资产设备信息,根据上下文语义环境,挖掘所提取的用户特征、设备特征和流量特征的语义信息,并抽取其中的关键有效特征;
基于所述关键有效特征提取出特征之间的关联关系,将多维特征关联起来,形成面向工业控制网络入侵检测的协同特征体系。
7.根据权利要求1所述面向工业控制网络的协同入侵检测方法,其特征在于,所述步骤5的过程具体为:
在所构建协同特征体系的基础上,采用长短时记忆网络算法lstm训练用于入侵检测的模型,确定模型参数,并根据实时采集到的数据,定时对模型进行调整,得到训练好的入侵检测模型;
将实时检测的工业控制网络特征体系数据输入到所述训练好的入侵检测模型中,实现对工业控制网络的入侵检测,并对入侵行为进行告警。
8.根据权利要求7所述面向工业控制网络的协同入侵检测方法,其特征在于,将实时检测的工业控制网络特征体系数据输入到所述训练好的入侵检测模型中,实现对工业控制网络的入侵检测,具体过程为:
将实时检测的工业控制网络特征体系数据输入到所述训练好的入侵检测模型中,数据通过遗忘门、输入门、输出门进行计算;
首先数据经过遗忘门,遗忘门通过一个sigmoid单元来处理信息的保留或丢弃,公式如(1)所示:
ft=σ(wf·[ht-1,xt] bf)(1)
其中,σ表示sigmoid函数;ht-1表示上一个细胞的输出;xt表示当前细胞的输入;w为权重参数;b为调节系数;
然后下一步操作是决定给细胞状态添加哪些新的信息,包括通过输入门来决定更新哪些信息,以及计算新的候选细胞信息并更新,具体公式如下所示:
it=σ(wi·[ht-1,xt] bi)(2)
公式(2)表示通过一个sigmoid层决定哪些信息需要更新;公式(3)表示通过一个tanh层来计算备选的更新内容;公式(4)表示将这两者结合起来对细胞状态进行一个更新;
最后,通过被称为输出门的操作来得到最终输出,包括确定输出部分和最终输出两部分,具体公式为:
ot=σ(wo·[ht-1,xt] bo)(5)
ht=ot×tanh(ct)(6)
通过公式(5)的sigmoid层来确定细胞状态的哪个部分将输出出去;然后通过公式(6)把细胞状态通过tanh层进行处理并和公式(5)的输出相乘,得到最终的输出。
技术总结