CN110768946A - 一种基于布隆过滤器的工控网络入侵检测系统及方法 - Google Patents

Abstract

本发明公开了一种基于布隆过滤器的工控网络入侵检测系统及方法，属于信息技术领域。本发明包括：训练模块，所述训练模块部署在无恶意流量的测试网络中，基于布隆过滤器记录合法流量包含的合法n元模型集合，针对合法n元模型进行训练，生成训练模型；检测模块，记录所述多字节数据中的n元模型集合和n元模型集合中的元素个数H，确定所述n元模型集合中任意一个n元模型是否属于合法n元模型集合，记录不属于合法n元模型集合的n元模型的数量h，获取异常值s，确定工控网络报文为入侵异常报文并生成报警信息。本发明充分考虑了工控系统环境下的通信报文规律性强，正常情况下极少出现异常报文的特点，因此对未知威胁的检测准确率高。

Description

一种基于布隆过滤器的工控网络入侵检测系统及方法

技术领域

本发明涉及信息技术领域，并且更具体地，涉及一种基于布隆过滤器的工控网络入侵检测系统及方法。

背景技术

入侵检测技术是一种广泛应用于信息系统安全防护的技术，用于发现来自黑客或者恶意软件(如病毒、蠕虫、木马等)的恶意流量。应用入侵检测技术的设备通常被称为入侵检测系统。在传统的信息系统中，入侵检测技术得到了广泛的应用。从技术原理上，入侵检测技术可分为两类，即基于误用的检测和基于异常的检测。基于误用的检测是检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。而基于异常的检测模型则是检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征(用户轮廓)，当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低，误报率高。因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。

绝大部分市面上现有入侵检测产品是利用基于误用的检测模型实现的。如图1所示，这种模型采用模式匹配的算法，将采集到的相关信息如网络报文、主机日志等与存储在入侵行为特征库中的恶意行为进行模式匹配判别，如果能够匹配成功，则认为存在入侵行为，反之，则不存在入侵行为。举一个简单的例子，如需要对SQL注入攻击进行识别，则入侵行为特征库需要包含SQL注入的攻击特征。一种常用的方法是关键字匹配。在包含SQL注入攻击载荷的HTTP请求报文中，通常包含有AND、SELECT、OR、WHERE、UPDATE等SQL语句关键字，因此只需对HTTP请求的报文进行字符串匹配，如果含有以上关键字，则判定为入侵行为。

基于误用的检测模型有误报率低的优点，但是，这种检测方法依赖于入侵行为特征库所能涵盖的攻击载荷的数量。因此，该模型仅能检测已知的攻击，无法检测新出现的攻击载荷。攻击者同时可以针对性的绕过特征库中的匹配规则。例如：针对上面检测SQL注入攻击中检测SQL语句关键字的的匹配规则，攻击者可以变换大小写、插入“/**/”等注释符号的方法绕过。

为了达到最优的检测效果，需要通过人工不断的追踪最新的攻击方法、提取特征、实时更新特征库。然而，这一要求往往无法在工控网络环境中实现。这是因为工控网络作为一种特殊的网络，从安全方面考虑，与互联网相互物理隔离。因此外部厂商提供的策略更新往往很难即使推送至部署在工控网内部的入侵检测系统上。另外，对于新出现的攻击方法，需要消耗大量人力去收集并提取特征，很难做到全面覆盖。而对于未公开的攻击方法，该模型也无能为力。

第二种入侵检测的技术方案是基于异常的检测，其实现方法是采用机器学习的算法构建分类器，将恶意攻击和正常操作区分出来。采用的机器学习算法包括有监督的学习和无监督学习两种。无监督学习的典型算法有K-mean、Fuzzy C-mean等，有监督的学习算法包括人工神经网络、支持向量机、决策树算法等。其一般的流程为：(1)收集恶意攻击样本和正常的操作样本，形成训练的数据集；选取一个机器学习算法，利用训练集计算一个分类器；

利用分类器判别新的数据。该技术方案针对未知攻击的误报率较高；

分类器的性能取决于训练集的数量和质量，为了提升分类器的性能，需要大量数据构建训练集。而训练集的数据需要人工进行甄别，工作量大，且训练集可能存在数据污染的情况，从而导致分类器的性能的严重下降；分类器训练和判别都需要大量的计算，在检测效率的约束下，计算量的提升意味着更多的计算资源的需求，也意味着更高硬件成本。

本发明不需要实时更新策略库即可实现对未知攻击的检测，对硬件资源要求低，从内存的占用的角度来看，若原始的n元模型集合中有一千万个元素，n取5,则每个元素占5个字节，存储原始的n元模型集合需要约50MB的内存；而在转化成布隆过滤器后，在ε＝10^-8的条件下，由公式(1)可以计算出消耗的内存约为14.4MB，仅为原始数据的29％；

从计算资源的占用来看，由于Bloom-filter的操作和异常评分s计算的时间复杂度都是O(1)，即常数时间，因此对处理器的计算能力要求较低。可以部署在低功耗的嵌入式系统上。

本发明充分考虑了工控系统环境下的通信报文规律性强，正常情况下极少出现异常报文的特点，因此对未知威胁的检测准确率高。

本发明不需要实时更新策略库即可实现对未知攻击的检测，对硬件资源要求低，从内存的占用的角度来看，若原始的n元模型集合中有一千万个元素，n取5,则每个元素占5个字节，存储原始的n元模型集合需要约50MB的内存；而在转化成布隆过滤器后，在ε＝10^-8的条件下，由公式(1)可以计算出消耗的内存约为14.4MB，仅为原始数据的29％；

从计算资源的占用来看，由于Bloom-filter的操作和异常评分s计算的时间复杂度都是O(1)，即常数时间，因此对处理器的计算能力要求较低。可以部署在低功耗的嵌入式系统上。

本发明充分考虑了工控系统环境下的通信报文规律性强，正常情况下极少出现异常报文的特点，因此对未知威胁的检测准确率高。

发明内容

针对上述问题本发明提出了一种基于布隆过滤器的工控网络入侵检测系统，所述系统包括：

训练模块，所述训练模块部署在无恶意流量的测试网络中，基于布隆过滤器记录合法流量包含的合法n元模型集合；

针对合法n元模型进行训练，具体包括：

假设合法n元模型集合具有l个元素，通过k个散列函数将l个元素映射到一个由m个比特位构成的布隆过滤器中，生成训练模型，所述m位过滤器每一个比特位都初始化为0；

检测模块，所述检测模块获取工控网络报文并去除TCP/IP报头，进而获取一段符合工控协议通信规约的多字节数据，并记录所述多字节数据中的n元模型集合和n元模型集合中的元素个数H；

将n元模型集合中的H个元素输入训练模型中，确定所述n元模型集合中任意一个n元模型是否属于合法n元模型集合，当确定所述n元模型集合中任意一个n元模型不属于合法n元模型集合时；

记录不属于合法n元模型集合的n元模型的数量h，获取异常值s，将异常值s和预设阈值T进行比较，若s≥T，则确定工控网络报文为入侵异常报文并生成报警信息。

可选的，系统还包括：协议分析和报文解析模块，将来自以太网或者RS485接口的数据报文进行协议分析，提取数据报文信息，所述数据报文信息包括：源目地址、规约类型、报文长度、报文内容、端口号、数据链路层和传输层协议类型。

可选的，系统还包括：告警展示模块，所述的告警展示模块根据报警信息，对工控网络报文异常报文的数据报文信息进行展示。

可选的，散列函数的输出在[1,m]之间。

可选的，k，l和m为大于1的自然数，所述k和m根据如下公式进行确定：

ε为布隆过滤器发生碰撞导致选择错误的概率阈值。

可选的，映射过程具体包括：

将合法n元模型集合的中任意一个元素输入到k个散列函数中，获取输出值；

若第i个散列函数的输出值为Hi，且1≤i≤K，将m位过滤器中的第H_i位设置成1。

本发明还提供了一种基于布隆过滤器的工控网络入侵检测方法，所述方法包括：

在无恶意流量的测试网络中，基于布隆过滤器记录合法流量包含的合法n元模型集合；

针对合法n元模型进行训练，具体包括：

假设合法n元模型集合具有l个元素，通过k个散列函数将l个元素映射到一个由m个比特位构成的布隆过滤器中，生成训练模型，所述m位过滤器每一个比特位都初始化为0；

获取工控网络报文并去除TCP/IP报头，进而获取一段符合工控协议通信规约的多字节数据，并记录所述多字节数据中的n元模型集合和n元模型集合中的元素个数H；

将n元模型集合中的H个元素输入训练模型中，确定所述n元模型集合中任意一个n元模型是否属于合法n元模型集合，当确定所述n元模型集合中任意一个n元模型不属于合法n元模型集合时；

记录不属于合法n元模型集合的n元模型的数量h，获取异常值s，将异常值s和预设阈值T进行比较，若s≥T，则确定工控网络报文为入侵异常报文并生成报警信息。

可选的，方法还包括：将来自以太网或者RS485接口的数据报文进行协议分析，提取数据报文信息，所述数据报文信息包括：源目地址、规约类型、报文长度、报文内容、端口号、数据链路层和传输层协议类型。

可选的，方法还包括：对工控网络报文异常报文的数据报文信息进行展示。

可选的，散列函数的输出在[1,m]之间。

可选的，k，l和m为大于1的自然数，所述k和m根据如下公式进行确定：

ε为布隆过滤器发生碰撞导致选择错误的概率阈值。

可选的，映射过程具体包括：

将合法n元模型集合的中任意一个元素输入到k个散列函数中，获取输出值；

若第i个散列函数的输出值为Hi，且1≤i≤K，将m位过滤器中的第H_i位设置成1。

附图说明

图1为本发明一种基于布隆过滤器的工控网络入侵检测系统结构图；

图2为本发明一种基于布隆过滤器的工控网络入侵检测方法流程图。

具体实施方式

现在参考附图介绍本发明的示例性实施方式，然而，本发明可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中，相同的单元/元件使用相同的附图标记。

除非另有说明，此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外，可以理解的是，以通常使用的词典限定的术语，应当被理解为与其相关领域的语境具有一致的含义，而不应该被理解为理想化的或过于正式的意义。

本发明提出了一种基于布隆过滤器的工控网络入侵检测系统200，如图1所示，包括：

训练模块201，部署在无恶意流量的测试网络中，基于布隆过滤器记录合法流量包含的合法n元模型集合；

针对合法n元模型进行训练，具体包括：

假设合法n元模型集合具有l个元素，通过k个散列函数将l个元素映射到一个由m个比特位构成的布隆过滤器中，生成训练模型，所述m位过滤器每一个比特位都初始化为0；

映射过程具体包括：

将合法n元模型集合的中任意一个元素输入到k个散列函数中，获取输出值；

若第i个散列函数的输出值为Hi，且1≤i≤K，将m位过滤器中的第H_i位设置成1。

散列函数的输出在[1,m]之间；

k，l和m为大于1的自然数，所述k和m根据如下公式进行确定：

ε为布隆过滤器发生碰撞导致选择错误的概率阈值。

检测模块202，获取工控网络报文并去除TCP/IP报头，进而获取一段符合工控协议通信规约的多字节数据，并记录所述多字节数据中的n元模型集合和n元模型集合中的元素个数H；

将n元模型集合中的H个元素输入训练模型中，确定所述n元模型集合中任意一个n元模型是否属于合法n元模型集合，当确定所述n元模型集合中任意一个n元模型不属于合法n元模型集合时；

记录不属于合法n元模型集合的n元模型的数量h，获取异常值s，将异常值s和预设阈值T进行比较，若s≥T，则确定工控网络报文为入侵异常报文并生成报警信息。

协议分析和报文解析模块203，将来自以太网或者RS485接口的数据报文进行协议分析，提取数据报文信息，所述数据报文信息包括：源目地址、规约类型、报文长度、报文内容、端口号、数据链路层和传输层协议类型。

告警展示模块204，所述的告警展示模块根据报警信息，对工控网络报文异常报文的数据报文信息进行展示。

本发明还提供了一种基于布隆过滤器的工控网络入侵检测方法，如图2所示，包括：

在无恶意流量的测试网络中，基于布隆过滤器记录合法流量包含的合法n元模型集合；

针对合法n元模型进行训练，具体包括：

假设合法n元模型集合具有l个元素，通过k个散列函数将l个元素映射到一个由m个比特位构成的布隆过滤器中，生成训练模型，所述m位过滤器每一个比特位都初始化为0；

散列函数的输出在[1,m]之间。

k，l和m为大于1的自然数，所述k和m根据如下公式进行确定：

ε为布隆过滤器发生碰撞导致选择错误的概率阈值。

映射过程具体包括：

将合法n元模型集合的中任意一个元素输入到k个散列函数中，获取输出值；

若第i个散列函数的输出值为Hi，且1≤i≤K，将m位过滤器中的第H_i位设置成1。

获取工控网络报文并去除TCP/IP报头，进而获取一段符合工控协议通信规约的多字节数据，并记录所述多字节数据中的n元模型集合和n元模型集合中的元素个数H；

将n元模型集合中的H个元素输入训练模型中，确定所述n元模型集合中任意一个n元模型是否属于合法n元模型集合，当确定所述n元模型集合中任意一个n元模型不属于合法n元模型集合时；

记录不属于合法n元模型集合的n元模型的数量h，获取异常值s，将异常值s和预设阈值T进行比较，若s≥T，则确定工控网络报文为入侵异常报文并生成报警信息。

将来自以太网或者RS485接口的数据报文进行协议分析，提取数据报文信息，所述数据报文信息包括：源目地址、规约类型、报文长度、报文内容、端口号、数据链路层和传输层协议类型。

对工控网络报文异常报文的数据报文信息进行展示。

本发明不需要实时更新策略库即可实现对未知攻击的检测，对硬件资源要求低，从内存的占用的角度来看，若原始的n元模型集合中有一千万个元素，n取5,则每个元素占5个字节，存储原始的n元模型集合需要约50MB的内存；而在转化成布隆过滤器后，在ε＝10^-8的条件下，由公式(1)可以计算出消耗的内存约为14.4MB，仅为原始数据的29％；

从计算资源的占用来看，由于Bloom-filter的操作和异常评分s计算的时间复杂度都是O(1)，即常数时间，因此对处理器的计算能力要求较低。可以部署在低功耗的嵌入式系统上。

本发明充分考虑了工控系统环境下的通信报文规律性强，正常情况下极少出现异常报文的特点，因此对未知威胁的检测准确率高。

Claims (12)

1.一种基于布隆过滤器的工控网络入侵检测系统，所述系统包括：

训练模块，所述训练模块部署在无恶意流量的测试网络中，基于布隆过滤器记录合法流量包含的合法n元模型集合；

针对合法n元模型进行训练，具体包括：

假设合法n元模型集合具有l个元素，通过k个散列函数将l个元素映射到一个由m个比特位构成的布隆过滤器中，生成训练模型，所述m位过滤器每一个比特位都初始化为0；

检测模块，所述检测模块获取工控网络报文并去除TCP/IP报头，进而获取一段符合工控协议通信规约的多字节数据，并记录所述多字节数据中的n元模型集合和n元模型集合中的元素个数H；

将n元模型集合中的H个元素输入训练模型中，确定所述n元模型集合中任意一个n元模型是否属于合法n元模型集合，当确定所述n元模型集合中任意一个n元模型不属于合法n元模型集合时；

记录不属于合法n元模型集合的n元模型的数量h，获取异常值s，将异常值s和预设阈值T进行比较，若s≥T，则确定工控网络报文为入侵异常报文并生成报警信息。

2.根据权利要求1所述的系统，所述的系统还包括：协议分析和报文解析模块，将来自以太网或者RS485接口的数据报文进行协议分析，提取数据报文信息，所述数据报文信息包括：源目地址、规约类型、报文长度、报文内容、端口号、数据链路层和传输层协议类型。

3.根据权利要求1所述的系统，所述的系统还包括：告警展示模块，所述的告警展示模块根据报警信息，对工控网络报文异常报文的数据报文信息进行展示。

4.根据权利要求1所述的系统，所述的散列函数的输出在[1,m]之间。

5.根据权利要求1所述的系统，所述的k，l和m为大于1的自然数，所述的k和m根据如下公式进行确定：

ε为布隆过滤器发生碰撞导致选择错误的概率阈值。

6.根据权利要求1所述的系统，所述的映射过程具体包括：

将合法n元模型集合的中任意一个元素输入到k个散列函数中，获取输出值；

若第i个散列函数的输出值为Hi，且1≤i≤K，将m位过滤器中的第H_i位设置成1。

7.一种基于布隆过滤器的工控网络入侵检测方法，所述方法包括：

在无恶意流量的测试网络中，基于布隆过滤器记录合法流量包含的合法n元模型集合；

针对合法n元模型进行训练，具体包括：

假设合法n元模型集合具有l个元素，通过k个散列函数将l个元素映射到一个由m个比特位构成的布隆过滤器中，生成训练模型，所述m位过滤器每一个比特位都初始化为0；

获取工控网络报文并去除TCP/IP报头，进而获取一段符合工控协议通信规约的多字节数据，并记录所述多字节数据中的n元模型集合和n元模型集合中的元素个数H；

将n元模型集合中的H个元素输入训练模型中，确定所述n元模型集合中任意一个n元模型是否属于合法n元模型集合，当确定所述n元模型集合中任意一个n元模型不属于合法n元模型集合时；

记录不属于合法n元模型集合的n元模型的数量h，获取异常值s，将异常值s和预设阈值T进行比较，若s≥T，则确定工控网络报文为入侵异常报文并生成报警信息。

8.根据权利要求7所述的方法，所述的方法还包括：将来自以太网或者RS485接口的数据报文进行协议分析，提取数据报文信息，所述数据报文信息包括：源目地址、规约类型、报文长度、报文内容、端口号、数据链路层和传输层协议类型。

9.根据权利要求7所述的方法，所述的方法还包括：对工控网络报文异常报文的数据报文信息进行展示。

10.根据权利要求7所述的方法，所述的散列函数的输出在[1,m]之间。

11.根据权利要求7所述的方法，所述的k，l和m为大于1的自然数，所述k和m根据如下公式进行确定：

ε为布隆过滤器发生碰撞导致选择错误的概率阈值。

12.根据权利要求7所述的方法，所述的映射过程具体包括：

将合法n元模型集合的中任意一个元素输入到k个散列函数中，获取输出值；

若第i个散列函数的输出值为Hi，且1≤i≤K，将m位过滤器中的第H_i位设置成1。

Images