CN110113347A - 一种检测工控网络应用层协议报文长度异常的方法 - Google Patents

一种检测工控网络应用层协议报文长度异常的方法 Download PDF

Info

Publication number
CN110113347A
CN110113347A CN201910396799.3A CN201910396799A CN110113347A CN 110113347 A CN110113347 A CN 110113347A CN 201910396799 A CN201910396799 A CN 201910396799A CN 110113347 A CN110113347 A CN 110113347A
Authority
CN
China
Prior art keywords
layer protocol
application layer
protocol message
message length
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910396799.3A
Other languages
English (en)
Inventor
王小东
韩飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Tiandihexing Technology Co Ltd
Original Assignee
Beijing Tiandihexing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Tiandihexing Technology Co Ltd filed Critical Beijing Tiandihexing Technology Co Ltd
Priority to CN201910396799.3A priority Critical patent/CN110113347A/zh
Publication of CN110113347A publication Critical patent/CN110113347A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/168Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP] specially adapted for link layer protocols, e.g. asynchronous transfer mode [ATM], synchronous optical network [SONET] or point-to-point protocol [PPP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种检测工控网络应用层协议报文长度异常的方法,根据设备的基于TCP的应用层协议报文长度采样样本、基于UDP的应用层协议报文长度采样样本以及基于二层的应用层协议报文长度采样样本,计算出设备的基于不同传输层的应用层协议报文长度可信区间。在检测阶段,应用层协议报文长度采样值落入可信区间的外部是小概率事件,或者是不可能事件,从而判断设备的应用层协议报文是否异常。本发明期望提供一种方法,能够检测出网络中应用层协议报文的异常情况,特别是工业网络中的异常应用层协议报文,从而有效地发出警告信息。该方法不需要对网络流量进行协议的深度解析,可以与白名单方法结合起来使用。

Description

一种检测工控网络应用层协议报文长度异常的方法
技术领域
本发明涉及工业信息安全技术领域,尤其涉及一种检测工控网络应用层协议报文长度异常的方法。
背景技术
随着信息技术的发展,工业控制系统逐步走向开放,互联,通用。很多工业控制协议逐渐运行于工业以太网上,针对工业控制系统的攻击也更加普遍。目前,网络中基于机器学习的异常流量检测技术主要是白名单。这种方法有其使用场景,但也存在其使用限制性。
基于白名单方法的异常流量检测,主要通过协议深度解析方法实现,这种检测方法原理是首先针对协议报文进行机器学习,在学习阶段监测协议报文,根据协议标准规范生成一套白名单作为行为标准。在检测阶段,根据监测到的协议报文的协议格式对网络流量进行深度解析,并将解析结果与白名单进行比对,如果不命中白名单则认为是异常流量。
白名单方法依赖于协议标准规范,对于公开的协议,比较有效,但对于私有协议以及专用协议,则无法实现异常检测。
发明内容
本发明目的是针对上述问题,提供一种检测工控网络应用层协议报文长度异常的方法,通过检测网络设备应用层协议报文长度的方法,能够检测出网络中应用层协议报文的异常情况,特别是工业网络中的异常应用层协议报文,从而有效地发出警告信息。该方法不需要对网络流量进行协议的深度解析,可以与白名单方法结合起来使用。
为了实现上述目的,本发明的技术方案是:
一种检测工控网络应用层协议报文长度异常的方法,包括以下步骤:
S1、利用网络中部署的探针设备采集网络流量,对网络中的每台设备的不同传输层之上的应用层协议报文长度进行采样,形成各个设备的不同传输层之上的应用层协议报文长度采样样本;
设定我们总共对M台设备进行基于TCP的应用层协议报文长度采样,则可以获得如下表所示的采样样本数据;
设定设备m的基于TCP的应用层协议报文长度采样样本个数是Nm,tcp表示设备m的基于TCP的应用层协议报文长度采样样本中的第n个采样点;
S2、同理获得对M台设备进行基于UDP的应用层协议报文长度采样数据,假定设备m的基于UDP的应用层协议报文长度采样样本个数是Nm,udp表示设备m的基于UDP的应用层协议报文长度采样样本中的第n个采样点;
S3、同理获得对M台设备进行基于二层的应用层协议报文长度采样数据;假定设备m的基于二层的应用层协议报文长度采样样本个数是Nm,L2表示设备m的基于二层的应用层协议报文长度采样样本中的第n个采样点;
S4、根据设备应用层协议报文长度的采样样本计算出可信区间,
每台设备的基于TCP的应用层协议报文长度样本的采样最大值,采样最小值、样本均值、以及样本标准差;
对设备m的基于TCP的应用层协议报文长度采样样本计算公式如下:
基于TCP的应用层协议报文长度采样最大值计算方法:
基于TCP的应用层协议报文长度采样最小值计算方法:
基于TCP的应用层协议报文长度样本均值计算方法:
基于TCP的应用层协议报文长度样本标准差计算方法:
基于TCP的应用层协议报文长度可信区间计算方法:
基于TCP的应用层协议报文长度可信区间上限计算方法:
基于TCP的应用层协议报文长度可信区间下限计算方法:
如果
如果
基于TCP的应用层协议报文长度可信区间为可信区间下限到可信区间上限的闭区间:
根据相同的算法,可以得到基于UDP的应用层协议报文长度可信区间和基于二层的应用层协议报文长度可信区间为:
经过统计计算后,得到设备m的应用层协议报文长度可信区间如下表所示:
S5、检测,
针对探针设备所抓取的报文,解析出应用层协议报文长度,以及该应用层协议报文所基于的传输层类型;将解析出的应用层协议报文长度与该设备的对应的传输层类型的应用层协议报文长度可信区间进行比较;
S6、异常应用层协议报文长度判断
如果解析出的应用层协议报文长度在可信区间内,则认为设备的解析出的应用层协议报文长度正常;否则认为设备的解析出的应用层协议报文长度异常。
作为对上述技术方案的进一步改进,所述应用层协议报文长度包括基于TCP的应用层协议报文长度、基于UDP的应用层协议报文长度以及基于二层的应用层协议报文长度。
与现有技术相比,本发明具有的优点和积极效果是:
本发明的检测工控网络应用层协议报文长度异常的方法。提供一种通过检测网络设备应用层协议报文长度的方法,能够检测出网络中应用层协议报文的异常情况,特别是工业网络中的异常应用层协议报文,从而有效地发出警告信息。该方法不需要对网络流量进行协议的深度解析,可以与白名单方法结合起来使用。
具体实施方式
下面将结合本发明的实施例,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
本发明的检测工控网络应用层协议报文长度异常的方法,包括以下步骤:
S1、利用网络中部署的探针设备采集网络流量,对网络中的每台设备的不同传输层之上的应用层协议报文长度进行采样,形成各个设备的不同传输层之上的应用层协议报文长度采样样本;
设定我们总共对M台设备进行基于TCP的应用层协议报文长度采样,则可以获得如下表所示的采样样本数据;
设定设备m的基于TCP的应用层协议报文长度采样样本个数是Nm,tcp表示设备m的基于TCP的应用层协议报文长度采样样本中的第n个采样点;
S2、同理获得对M台设备进行基于UDP的应用层协议报文长度采样数据,假定设备m的基于UDP的应用层协议报文长度采样样本个数是Nm,udp表示设备m的基于UDP的应用层协议报文长度采样样本中的第n个采样点;
S3、同理获得对M台设备进行基于二层的应用层协议报文长度采样数据;假定设备m的基于二层的应用层协议报文长度采样样本个数是Nm,L2表示设备m的基于二层的应用层协议报文长度采样样本中的第n个采样点;
S4、根据设备应用层协议报文长度的采样样本计算出可信区间,
每台设备的基于TCP的应用层协议报文长度样本的采样最大值,采样最小值、样本均值、以及样本标准差;
对设备m的基于TCP的应用层协议报文长度采样样本计算公式如下:
基于TCP的应用层协议报文长度采样最大值计算方法:
基于TCP的应用层协议报文长度采样最小值计算方法:
基于TCP的应用层协议报文长度样本均值计算方法:
基于TCP的应用层协议报文长度样本标准差计算方法:
基于TCP的应用层协议报文长度可信区间计算方法:
基于TCP的应用层协议报文长度可信区间上限计算方法:
基于TCP的应用层协议报文长度可信区间下限计算方法:
如果
如果
基于TCP的应用层协议报文长度可信区间为可信区间下限到可信区间上限的闭区间:
根据相同的算法,可以得到基于UDP的应用层协议报文长度可信区间和基于二层的应用层协议报文长度可信区间为:
经过统计计算后,得到设备m的应用层协议报文长度可信区间如下表所示:
S5、检测,
针对探针设备所抓取的报文,解析出应用层协议报文长度,以及该应用层协议报文所基于的传输层类型;将解析出的应用层协议报文长度与该设备的对应的传输层类型的应用层协议报文长度可信区间进行比较;
S6、异常应用层协议报文长度判断
如果解析出的应用层协议报文长度在可信区间内,则认为设备的解析出的应用层协议报文长度正常;否则认为设备的解析出的应用层协议报文长度异常。
所述应用层协议报文长度包括基于TCP的应用层协议报文长度、基于UDP的应用层协议报文长度以及基于二层的应用层协议报文长度。
具体的,如何对网络设备异常应用层协议报文长度识别,异常应用层协议报文长度识别分为两个阶段,学习阶段和识别阶段。
学习阶段,我们假定所有采样得到的流量带宽采样值均为正常应用层协议报文长度,对设备应用层协议报文长度进行采样,分别得到设备的基于TCP的应用层协议报文长度采样样本、基于UDP的应用层协议报文长度采样样本以及基于二层的应用层协议报文长度采样样本。学习阶段结束后,分别计算出各个设备的基于TCP的应用层协议报文长度、基于UDP的应用层协议报文长度以及基于二层的应用层协议报文长度采样的最大值、采样最小值、样本均值、以及样本标准差,从而计算出各个设备的基于不同传输层的应用层协议报文长度可信区间。
识别阶段,针对探针设备所抓取的报文,解析出应用层协议报文长度,以及该应用层协议报文所基于的传输层类型。将解析出的应用层协议报文长度与该设备的对应的传输层类型的应用层协议报文长度可信区间进行比较。如果解析出的应用层协议报文长度在可信区间内,则认为设备的解析出的应用层协议报文长度正常。否则认为设备的解析出的应用层协议报文长度异常。
本发明根据设备的基于TCP的应用层协议报文长度采样样本、基于UDP的应用层协议报文长度采样样本以及基于二层的应用层协议报文长度采样样本,计算出设备的基于不同传输层的应用层协议报文长度可信区间。

Claims (2)

1.一种检测工控网络应用层协议报文长度异常的方法,其特征在于:S1、利用网络中部署的探针设备采集网络流量,对网络中的每台设备的不同传输层之上的应用层协议报文长度进行采样,形成各个设备的不同传输层之上的应用层协议报文长度采样样本;
设定我们总共对M台设备进行基于TCP的应用层协议报文长度采样,则可以获得如下表所示的采样样本数据;
设定设备m的基于TCP的应用层协议报文长度采样样本个数是Nm,tcp表示设备m的基于TCP的应用层协议报文长度采样样本中的第n个采样点;
S2、同理获得对M台设备进行基于UDP的应用层协议报文长度采样数据,假定设备m的基于UDP的应用层协议报文长度采样样本个数是Nm,udp表示设备m的基于UDP的应用层协议报文长度采样样本中的第n个采样点;
S3、同理获得对M台设备进行基于二层的应用层协议报文长度采样数据;假定设备m的基于二层的应用层协议报文长度采样样本个数是Nm,L2表示设备m的基于二层的应用层协议报文长度采样样本中的第n个采样点;
S4、根据设备应用层协议报文长度的采样样本计算出可信区间,
每台设备的基于TCP的应用层协议报文长度样本的采样最大值,采样最小值、样本均值、以及样本标准差;
对设备m的基于TCP的应用层协议报文长度采样样本计算公式如下:
基于TCP的应用层协议报文长度采样最大值计算方法:
基于TCP的应用层协议报文长度采样最小值计算方法:
基于TCP的应用层协议报文长度样本均值计算方法:
基于TCP的应用层协议报文长度样本标准差计算方法:
基于TCP的应用层协议报文长度可信区间计算方法:
基于TCP的应用层协议报文长度可信区间上限计算方法:
基于TCP的应用层协议报文长度可信区间下限计算方法:
如果
如果
基于TCP的应用层协议报文长度可信区间为可信区间下限到可信区间上限的闭区间:
根据相同的算法,可以得到基于UDP的应用层协议报文长度可信区间和基于二层的应用层协议报文长度可信区间为:
经过统计计算后,得到设备m的应用层协议报文长度可信区间如下表所示:
S5、检测,
针对探针设备所抓取的报文,解析出应用层协议报文长度,以及该应用层协议报文所基于的传输层类型;将解析出的应用层协议报文长度与该设备的对应的传输层类型的应用层协议报文长度可信区间进行比较;
S6、异常应用层协议报文长度判断
如果解析出的应用层协议报文长度在可信区间内,则认为设备的解析出的应用层协议报文长度正常;否则认为设备的解析出的应用层协议报文长度异常。
2.如权利要求1所述的方法,其特征在于:所述应用层协议报文长度包括基于TCP的应用层协议报文长度、基于UDP的应用层协议报文长度以及基于二层的应用层协议报文长度。
CN201910396799.3A 2019-05-14 2019-05-14 一种检测工控网络应用层协议报文长度异常的方法 Pending CN110113347A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910396799.3A CN110113347A (zh) 2019-05-14 2019-05-14 一种检测工控网络应用层协议报文长度异常的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910396799.3A CN110113347A (zh) 2019-05-14 2019-05-14 一种检测工控网络应用层协议报文长度异常的方法

Publications (1)

Publication Number Publication Date
CN110113347A true CN110113347A (zh) 2019-08-09

Family

ID=67489946

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910396799.3A Pending CN110113347A (zh) 2019-05-14 2019-05-14 一种检测工控网络应用层协议报文长度异常的方法

Country Status (1)

Country Link
CN (1) CN110113347A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110650137A (zh) * 2019-09-23 2020-01-03 煤炭科学技术研究院有限公司 煤矿网络异常行为预警方法、系统、设备及可读存储介质
CN112333211A (zh) * 2021-01-05 2021-02-05 博智安全科技股份有限公司 一种基于机器学习的工控行为检测方法和系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101651568A (zh) * 2009-07-01 2010-02-17 青岛农业大学 一种网络流量预测和异常检测方法
CN103001958A (zh) * 2012-11-27 2013-03-27 北京百度网讯科技有限公司 异常tcp报文处理方法及装置
US20150195251A1 (en) * 2014-01-09 2015-07-09 Electronics And Telecommunications Research Institute Packet analysis apparatus and method and virtual private network server
CN105119919A (zh) * 2015-08-22 2015-12-02 西安电子科技大学 基于流量异常及特征分析的攻击行为检测方法
CN107070941A (zh) * 2017-05-05 2017-08-18 北京匡恩网络科技有限责任公司 异常流量检测的方法和装置
US10484405B2 (en) * 2015-01-23 2019-11-19 Cisco Technology, Inc. Packet capture for anomalous traffic flows

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101651568A (zh) * 2009-07-01 2010-02-17 青岛农业大学 一种网络流量预测和异常检测方法
CN103001958A (zh) * 2012-11-27 2013-03-27 北京百度网讯科技有限公司 异常tcp报文处理方法及装置
US20150195251A1 (en) * 2014-01-09 2015-07-09 Electronics And Telecommunications Research Institute Packet analysis apparatus and method and virtual private network server
US10484405B2 (en) * 2015-01-23 2019-11-19 Cisco Technology, Inc. Packet capture for anomalous traffic flows
CN105119919A (zh) * 2015-08-22 2015-12-02 西安电子科技大学 基于流量异常及特征分析的攻击行为检测方法
CN107070941A (zh) * 2017-05-05 2017-08-18 北京匡恩网络科技有限责任公司 异常流量检测的方法和装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110650137A (zh) * 2019-09-23 2020-01-03 煤炭科学技术研究院有限公司 煤矿网络异常行为预警方法、系统、设备及可读存储介质
CN112333211A (zh) * 2021-01-05 2021-02-05 博智安全科技股份有限公司 一种基于机器学习的工控行为检测方法和系统
CN112333211B (zh) * 2021-01-05 2021-04-23 博智安全科技股份有限公司 一种基于机器学习的工控行为检测方法和系统

Similar Documents

Publication Publication Date Title
CN105049276B (zh) 对广域网流量行为进行监测管理的方法和装置
CN105656950B (zh) 一种基于域名的http访问劫持检测与净化装置及方法
WO2019200944A1 (zh) 基于串行通信总线信号分析的工控系统物理入侵攻击检测方法
CN105376210B (zh) 一种账户威胁识别和防御方法及系统
CN104506385B (zh) 一种软件定义网络安全态势评估方法
US20170111377A1 (en) NETWORK CAPABLE OF DETECTING DoS ATTACKS AND METHOD OF CONTROLLING THE SAME, GATEWAY AND MANAGING SERVER INCLUDED IN THE NETWORK
CN110113347A (zh) 一种检测工控网络应用层协议报文长度异常的方法
US20110261710A1 (en) Analysis apparatus and method for abnormal network traffic
EP1976227A3 (en) Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices
CN104796405B (zh) 反弹连接检测方法和装置
CN105681389B (zh) 一种基于Skype不同功能通信流的识别方法及装置
CN107508713A (zh) Nms mib与网元私有mib映射实现网元管理的系统及方法
CN103634284B (zh) 一种网络flood攻击的侦测方法及装置
CN101741628A (zh) 基于应用层业务分析的网络流量分析方法
Zhong et al. Stealthy malware traffic-not as innocent as it looks
Berthier et al. On the practicality of detecting anomalies with encrypted traffic in AMI
CN110572383B (zh) 一种大数据监测方法
CN107070941A (zh) 异常流量检测的方法和装置
La et al. A misbehavior node detection algorithm for 6LoWPAN Wireless Sensor Networks
CN116827655A (zh) 流量检测加速方法和系统、电子设备及存储介质
Kafke et al. Call Me Maybe: Using Dynamic Protocol Switching to Mitigate Denial-of-Service Attacks on VoIP Systems
CN106341406A (zh) 基于http响实体正文html dom树变化的准确攻击识别方法
Oh et al. Attack Classification Based on Data Mining Technique and Its Application for Reliable Medical Sensor Communication.
KR20200122054A (ko) 유해 ip 판단 방법
CN102255749B (zh) 一种引发网络设备故障的异常报文捕获方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190809

RJ01 Rejection of invention patent application after publication