CN111181971B - 一种自动检测工业网络攻击的系统 - Google Patents

Abstract

本发明公开了一种自动检测工业网络攻击的系统，包括数据包捕获模块、网络流量剖面生成模块、基于签名的入侵检测模块、异常检测模块和告警生成及处理模块。通过本发明，可以实时检测到ICS的网络攻击。

Description

一种自动检测工业网络攻击的系统

技术领域

本发明涉及计算机、网络安全、网络管理和自动控制的技术领域，尤其涉及到一种工业控制系统的入侵检测方法。

背景技术

工业控制系统ICS(industrial control systems)用于国家关键基础设施的管理和维护，国家关键基础设施通常分布在不同的地理位置，如天然气管道、水资源、运输和输电系统。工业控制系统一般由可编程逻辑控制器(PLC Programmable LogicControllers)、人机界面(HMI Human Machine Interface)、主终端单元(MTU MasterTerminal Unit)和远程终端单元(RTU Remote Terminal Unit)等几个子组件组成。在老一代工业控制系统中，采用了专用内部网络通信组件和专用网络协议。因此，与外部网络隔离的老一代工业控制系统被认为是安全的，不受网络攻击，因而网络安全被大大忽视。然而，为了控制和监控地理上分散的ICS结构，下一代ICS需要与Internet或与Intranet连接。此外，原厂委托制造OEM(Original Equipment Manufacturer)的使用以及Modbus/TCP等混合集成工业网络协议的开发使得ICS更容易受到各种网络攻击。随着这些使用和开发进程的不断发展，出现了一些以前无法检测到的新漏洞。

工业控制系统负责控制、管理和监控国家关键基础设施。鉴于此，必须检测工业控制系统中会成为攻击者潜在目标的安全漏洞。攻击者控制ICS会导致国家关键基础设施瘫痪。这不仅会造成经济损失，而且会导致公民在生活中无法得到重要的服务。

因此，保护好工业控制系统中使用的组件(PLC、HMI、RTU、MTU等)和网络协议(Modbus、Profinet、DNP3等)免遭网络攻击至关重要。

然而，已有的绝大多数用于商业网络的入侵检测系统IDS(Intrusion DetectionSystems)、入侵防御系统IPS(Intrusion Prevention System)和防火墙等的规则不适用于ICS和其他控制系统。传统的IDS、IPS和防火墙是基于处理数据包或禁止访问和取消相同数据包的路由的基本原则，这种操作方法不适用于ICS。此外，由于国家关键基础工业设施的本身要求，在诸如SCADA(Supervisory Control And Data Acquisition监控和数据采集)、DCS((Distributed Control System分布式控制系统)等ICS系统中，如图1所示的控制器和其他设备之间需要定期和连续的通信。这种通信的最小中断可能导致重大灾难。因此，迫切需要一种ICS入侵检测系统以实现对ICS工业网络所覆盖的工业设备的安全预防措施。

发明内容

为了解决上述技术问题，本发明提供了一种自动检测工业网络攻击的系统。以应对传统的安全解决方案(如防火墙、入侵检测、预防系统)已不再适合ICS工业网络安全。

一种自动检测工业网络攻击的系统，所述系统，其特征在于，包括：数据包捕获模块、网络流量剖面生成模块、基于签名的入侵检测模块、异常检测模块和告警生成及处理模块；

所述数据包捕获模块，从ICS工业网络设备中捕获数据包，捕获的数据包被应用于所述基于签名的入侵检测模块；

所述网络流量剖面生成模块，采用两个健康度函数FSFF和CAFF来扩展BBA，用于识别和生成ICS工业网络的流量特征，所生成的这些流量特征可以用于检测ICS工业网络流量中的入侵；

所述基于签名的入侵检测模块，将所述数据包捕获模块所捕获的数据包内容与已知的攻击签名进行匹配，如果发现任何匹配，则相应的数据包将被视为入侵；

所述异常检测模块，将所述网络流量剖面生成模块所生成的ICS工业网络流量特征应用于随机森林分类器中，以检测ICS工业网络流量中的入侵；

所述告警生成及处理，它从所述基于签名的入侵检测模块和所述异常检测模块中决定入侵，并以协议、源IP、源端口、目标IP、目标端口和入侵类型等链接参数的形式生成告警，对来自ICS中不同服务器上的所有实例的入侵告警进行相互关联，使用下式计算告警多数因子AMF以决定分布式攻击，并生成新的攻击签名和将新的攻击签名更新到所有实例的签名数据库中，以便所述基于签名的入侵检测模块及早地检测到此类攻击：

本发明的技术效果在于：

在本发明中，提供了一种自动检测工业网络攻击的系统，包括数据包捕获模块、网络流量剖面生成模块、基于签名的入侵检测模块、异常检测模块和告警生成及处理模块。通过本发明，可以实时检测到ICS的网络攻击。

附图说明

图1是一种自动检测工业网络攻击的系统的ICS结构示意图；

图2是一种自动检测工业网络攻击的系统的入侵检测框架示意图；

图3是一种自动检测工业网络攻击的系统的入侵检测过程示意图；

图4是一种自动检测工业网络攻击的系统的工业网络流量剖面生成示意图；

图5是一种自动检测工业网络攻击的系统的工业网络流量特征汇总的示意图。

具体实施方式

下面是根据附图和实例对本发明的进一步详细说明：

图1为本发明所述的一种自动检测工业网络攻击的系统的ICS结构示意图，这是一个典型的ICS控制回路模型，包括HMI(Human Machine Interface人机界面)、工程师站、远程诊断工具、控制器和一些传感器和执行器。这些组件之间的通信依赖于工业网络协议，例如，Modbus/TCP。HMI用于监控受控过程，并能显示历史状态信息。工程师站用于配置控制算法和调整控制参数，也可以用于部署本申请的一种自动检测工业网络攻击的系统的各个功能模块。远程诊断工具用于预防、识别和恢复异常情况，或诊断和修复故障。控制器通常是PLC，用于控制工业生产过程。传感器(如温度和压力传感器)可以实时监测和收集数据，执行器(如阀门、电机和开关)执行控制器命令。工业网络协议是一种网络协议，例如，Modbus/TCP，控制器通过它与子控制器、工程师站、人机界面、执行器或传感器通信。ICS控制回路的控制过程包括将测量数据从传感器传输到控制器，以及将控制数据从控制器收集和传输到执行器。随后，传感器根据控制过程收集新的测量数据，并再次将测量数据传输给控制器。在工业生产区，受控过程通常在几毫秒到几天的周期时间内连续运行。由此可知，这些控制数据和测量数据，如果受到网络攻击而被篡改，则造成的严重后果是可想而知的。

保护好国家关键基础实施的网络安全，需要创新的思想。这是因为传统的安全解决方案，已不再适用于今天的工业ICS系统，理由如下：

(1)由于传统的IDS/IPS和防火墙系统是基于处理网络数据包或禁止访问和取消相同网络数据包的路由的基本原则，不仅这种操作方法不适用于ICS系统，而且它们的规则也不再适用于工业ICS系统。

(2)在诸如SCADA、DCS等ICS系统中，控制器和其他设备之间需要定期和连续的通信。这种通信的最小中断可能导致重大灾难，这与传统的IT网络不相同。

(3)由于ICS系统的实时性要求较高，均采用了高性能的网络协议，例如，Modbus/TCP，而不是传统的以太网(Ethernet)协议，即与传统的网络协议不同。

为此，本申请提供了一种自动检测工业网络攻击的系统，其框架如图2所示。

图2是一种自动检测工业网络攻击的系统的入侵检测框架示意图，该框架是为了保障国家关键基础实施免遭网络攻击，保障控制数据和测量数据不被黑客篡改，维持国家关键基础实施的正常运作和经营秩序。主要包括五个模块：数据包捕获、基于签名的入侵检测、网络流量剖面生成、异常检测、告警生成及处理。这些模块串行地工作，可以部署在ICS系统中一台服务器或多台服务器上运行，且各模块的输入/输出如下表1所示：

表1：各个模块的输入和输出

所述数据包捕获模块，从ICS的工业网络中捕获数据包，为了捕获数据包，可以使用libpcap库，该库为用户级数据包捕获和网络嗅探提供内置功能。捕获的数据包应用于基于签名的入侵检测模块。

所述网络流量剖面生成模块，本申请采用两个新颖的健康度函数FSFF(FeatureSimilarity-based Fitness Function)和CAFF(Classifier Accuracy based FitnessFunction)来扩展BBA(binary bat algorithm)，用于能够从ICS工业网络流量中获得最优的网络流量特征集，所生成的这些流量特征集可以用于检测ICS工业网络流量中的入侵。

所述基于签名的入侵检测模块，一种作为对已知攻击的主要防御；在这里，数据包捕获模块所捕获的数据包被应用于入侵检测，通过将数据包内容与已知的攻击签名进行匹配，以实现任何关联；如果发现任何匹配，则相应的数据包将被视为入侵并生成告警。由图3可知，包解码器对包进行初始分析，预处理器执行所需的功能，例如，数据包碎片整理、TCP流重新组装等。检测引擎将包与为任何关联配置的规则匹配。如果匹配成功，它将通知日志记录和告警系统。然后它相应地输出一个告警或一个日志。

所述异常检测模块，它通过分析应用的网络流量剖面和先前观察到的网络流量行为来识别攻击的可能性。为此，本申请使用了随机森林分类器。分类器使用先前观察到的正常和已知入侵链接的网络流量剖面进行离线训练。这种经过训练的模型用于将未来的网络链接实时分类为正常的或入侵的。实时预测网络攻击，并通知告警生成及处理模块。随机森林分类器从给定的数据集创建多个分类树，用于对未知数据进行分类。森林中的每棵树都接收未知的输入向量进行分类。然后，对于给定的未知输入，每个树根据其训练为特定类投票。最后，森林以最大投票数决定所属的类。它可以快速处理具有许多特征的大型数据集，并提供分类中重要变量的估计，使其适合于ICS工业网络的入侵检测。在训练过程中，根据袋外误差(OOB Out-Of-Bag)确定了随机森林中的估计器的数量。在这里，随机森林分类器通过考虑所选特征的估计器数量的倍数，经过超10次迭代训练。在每次迭代中，计算出OOB误差，在找到最小OOB误差的情况下，确定估计器数量。假设x＝x₁，x₂，……，x_n是n个特征的特征集。T_r和T_s是训练和测试数据集。它以x、T_r、T_s和e作为输入。估计器e的数量使用下列等式确定：

其中e＝(n*i)，n是特征的数量，i是迭代次数。

所述告警生成及处理模块，它从基于签名的入侵检测模块和异常检测模块中决定入侵，并以协议、源IP、源端口、目标IP、目标端口和入侵类型等链接参数的形式生成告警，另外，它处理告警以生成攻击签名。为此，它检查特定时间(例如2秒)内具有预定义门限阈值的告警频率。如果告警的频率超过门限阈值，则会将告警传递给关联单元以生成基于签名的入侵检测模块的攻击签名。关联单元从部署在ICS中不同服务器上的所有实例接收此类告警，并进行相互关联，使用下式计算告警多数因子AMF(alert majority factor)，以决定分布式攻击。

如果告警的AMF>门限阈值(例如50％)，则关联单元生成基于签名的入侵检测模块的攻击签名并将其更新到所有实例的签名数据库里。从此往后，这有助于基于签名的入侵检测模块及早地检测到此类攻击。

图3是一种自动检测工业网络攻击的系统的基于签名的入侵检测模块的过程示意图，由图3可知，包解码器对基于数据包捕获模块所捕获的数据包进行初始分析，预处理器执行所需的功能，例如，数据包碎片整理、TCP流重新组装等。检测引擎将包与为任何关联配置的规则匹配。如果匹配成功，它将通知日志记录和告警系统。然后它相应地输出一个告警或一个日志。

图4为基于ICS工业网络的网络流量剖面生成的过程示意图，其生成的网络流量剖面或网络流量最优特征集如图5所示。捕获的数据包使用多线程模型进行处理，如协议特定的多线程模型PMM(Protocol-specific Multi-threading Model)和基于活动链接的多线程模型ACMM(Active Connection based Multi-threading Model)。PMM根据网络协议接收捕获的数据包并传递给ACMM。它在ACMM线程之间分配网络包以进行进一步的处理。ACMM用于处理特定于每个协议的多个活动链接。它维护两个列表，即活动链接列表和已完成链接列表。已完成链接列表的窗口大小为w(例如5秒)。PMM获取捕获的数据包，识别其协议并将其传递给ACMM。ACMM检查捕获的数据包相关链接，识别特征并根据数据包标志分配新的ACMM线程或现有的ACMM线程。ACMM线程检查给定包的基本特性，并更新活动链接的临时网络剖面。然后将该数据包添加到相应活动链接的数据包列表中，等待其完成。一旦它得到一个指示已完成链接的数据包，临时网络剖面和当前数据包将生成总共19个特征。此外，每个线程从完成的链接列表中生成7个统计特征。因此，总共26个特征构成了一个网络流量剖面的概况，而且本申请所采用选择特征的算法是扩展的BBA(binary bat algorithm)，且采用两个健康度函数fsff和caff来扩展的BBA。

BAT算法(BA)是一种启发式算法，用于分析bat的回声定位行为，实现全局优化。BA在准确性和效率方面远远优于其他生物启发式算法。因为它结合了现有的生物启发式算法。此外，BA还提供了区域自动缩放和参数控制。因此，BA为全局优化问题给出了一个有希望的解决方案，BBA试图找到特征选择问题的最优解。在本模块中，网络特征选择问题是一个以n个立方体为搜索空间的优化问题，其中n代表特征个数。在2ⁿ种可能性中选择最优解。因此，本申请选择了BBA作为特征选择。

在BBA中，人工bat可以通过将位置从0更改为1来在二进制搜索空间中导航，反之亦然。bat的位置可以随其速度的概率而改变。传递函数可用于将速度值映射到概率值，以便将位置从0更新为1，反之亦然。传递函数迫使bat在二进制空间中移动。选择传递函数时，应将连续搜索空间中的搜索过程映射到二进制搜索空间中。本申请使用如下所示的传递函数。它显示了在迭代t时第j维第i粒子的速度。

这里，BAT总数是n，且为输入数据集d中的特征数，总迭代次数是T，β是在区间[0,1]内生成的随机数，其他常数被定义为α和γ。对于每个batb_i，脉冲发射率r_i是间隔[0,1]中的随机值，响度a_i是间隔[1,2]中的随机生成值，第i个bat的决策变量j(其中j＝1，…，d)的值(其中i＝1，…，n)由

表示，第j个决策变量的速度

的值为0，第i个bat的健康向量用fit_i表示，fit_i初始化为-∞。训练和测试数据集分别表示为z₁和z₂。

对于每个batb_i，使用这个fit_i＝Fitness(p(i,:))的健康度函数更新健康度值fit_i。max函数用于输出已使健康度最大化的bat的索引和健康度值，即：[maxfit,maxindex]＝max(fit_i)。

将bat的健康度与最高健康值maxfit和全局健康值globalfit进行比较，用maxindex的最大最佳位置更新全局健康值最佳位置best_i的值，这里，best_i＝p(maxindex,1:j)。

对于每个迭代t和每个batb_i，使用等式f_i＝f_min+(f_max-f_min)*β更新第i个bat的频率f_i，使用等式

更新速度v_i。位置矢量使用传递函数更新，例如传递函数

和传递函数

一旦位置向量被更新，通过将位置向量传递给健康度来计算健康度。新计算的健康度值存储为Fitnew变量。考虑到间隔[0，1]中的随机数rand，它检查rand的值。如果小于响度且Fitnew大于初始健康度值，则使用fit_i＝Fitnew更新健康度的值，使用A_i(t+1)＝α*A_i(t)更新响度的值，使用r_i(t+1)＝r_i(0)[1-exp(-γt)]更新发射率的值。

如果更新的健康值fit_i大于初始最大健康值maxfit，则maxfit将更新为fit_i，全局最佳位置将更新为当前最佳位置，即通过best_i＝p(i,1:j)更新。

所需的输出矢量F_i包括从总数为d个特征中选择的特征作为每个位置矢量best_i，且F_i＝best_i。

在仿生算法中，健康度函数是量化解的最优性的客观函数。目标函数可以是分类器的精度，也可以是导出特征和类标签之间关系的相关技术。也有将精度作为健康函数的基本参数。这种健康度函数以精度为中心，缺乏提供最优特征集的能力。因此，通过两个新的健康函数扩展了BBA。这些健康度函数的目标是找到最优特征集。在本申请中，通过两类健康度函数来定义最优性。第一个健康度函数考虑每个特征与类标签的相关性，并返回特征子集。另一类健康度函数返回通过特定分类器最大化精度的特征子集。提出的“基于特征相似度的健康度函数FSFF(Feature Similarity-based Fitness Function)”，基于特征与类标签的相似度找到最优特征集；“基于分类器精度的健康度函数CAFF(ClassifierAccuracy based Fitness Function)”，利用随机森林分类器的精度返回最优特征集。

基于特征相似性的健康度函数FSFF：FSFF以位置向量P和数据集为输入，根据P生成一个具有最优特征的新数据集。FSFF的工作原理如下：

FSFF将GiniIndex、相似性和相关性应用于新数据集的网络流量特征。在这里，基尼指数(Gini Index)和相似性发现所有特征与类标签的相似性，而相关性发现所有特征之间的相关性。当特征与类标号具有很高的相似性，且相互之间的相关性较小时，将特定BAT位置的特征子集视为最优子集。一个特征子集x＝{x₁，x₂，…，x_n}且目标等级为c的健康度函数F(x)如下式所示：

GiniIndex使用方程式测量网络流量数据分区d的杂质：

其中，p_i是d中网络流量剖面属于c_i类(如入侵或正常)的概率，m是类的数量。GiniIndex考虑对每个特征进行二进制拆分。考虑到特征x上的一个分割，将d分为d₁和d₂，d的Gini Index由下面方程给出：

特征x的杂质减少量由以下方程式得出：

GiniIndex(x,c)＝Gini Index(D)-Gini Index_x(D)

同样，在特定BAT位置计算特征子集中所有特征的杂质减少量。对于一个给定的特征子集，杂质的整体减少应该是很高的，并且这种特征子集被认为是一个最佳特征子集。

关于相似性：除了Gini Index之外，还使用了相似性度量来衡量一个特性子集中关于一个类标签的所有特征。它使用信息增益作为相似度度量。对D中的记录进行分类所需的信息可用下面公式计算：

其中，p_i是D中网络流量剖面属于c_i类(如入侵或正常)的概率，m是类的数量。特征X可用于将D划分为v分区，如{D₁,D₂,…，D_v}。有关特征X所需的信息可以使用下面公式计算：

使用特征X后的信息增益可使用以下公式计算：

InfoGain(x,c)＝Info(D)-info_x(D)

特征X与C类的相似性用下面公式计算。尤其是特征子集，所有特征都应该具有与类标签相关的最高信息增益，并且特征子集被视为最佳特征子集。

关于相关性：众所周知，两个随机特征之间的相关性是相关系数。特征x和y之间的相关系数corr(x，y)使用以下公式计算：

式中，cov(x，y)是特征x和y之间的协方差；σx和σy分别是x和y的标准差。corr(x，y)的值在[-1，1]中。corr(x，y)＝0表示x和y完全独立，而corr(x，y)＝1或-1表示x和y高度相关(分别为正和负)。

为了选择最佳特征，需要最大化健康值。所选特征应具有较高的Gini Index和与类别的高度相似性，而特征之间的相关性应较小。

基于分类器精度的健康度函数(CAFF)：CAFF以位置向量P和数据集为输入，根据P生成一个具有最优特征的新数据集。CAFF的工作原理如下：

CAFF将新创建的数据集拆分为训练数据集tr和测试数据集ts。根据观察和分析，随机森林分类器以较低的计算成本提供了更好的准确性。因此，本申请考虑了CAFF中的随机森林分类器，其精度被认为是符合健康值。对随机森林分类器进行了训练，并对其进行了测试。在这里，训练和测试数据集在bat之间可能是不同的，因为它们中的每一个都可能编码不同的特征集。

图5是一种自动检测工业网络攻击的系统的工业网络流量特征汇总的示意图，也就是说，通过采用所述网络流量剖面生成模块，图5给出了其所生成的相应ICS工业网络流量的最优特征集及其具体特征的说明。

以上所述仅为本发明的较佳实施例，并非用来限定本发明的实施范围；凡是依本发明所作的等效变化与修改，都被视为本发明的专利范围所涵盖。

Claims (1)

1.一种自动检测工业网络攻击的系统，其特征在于，保障工业网络中的控制数据和测量数据不被黑客篡改，所述系统，包括：数据包捕获模块、网络流量剖面生成模块、基于签名的入侵检测模块、异常检测模块和告警生成及处理模块；

所述数据包捕获模块，从工业网络中捕获数据包，为了捕获数据包，使用了libpcap库，所述libpcap库，为用户级数据包捕获和网络嗅探提供内置功能，捕获的数据包应用于基于签名的入侵检测模块；

所述基于签名的入侵检测模块，一种作为对已知攻击的主要防御，在这里，数据包捕获模块所捕获的数据包被应用于基于签名的入侵检测模块的工业网络入侵检测，数据包解码器负责对所述的数据包进行初始分析，预处理器执行包括数据包碎片整理、TCP流重新组装在内的功能，检测引擎将数据包与为任何关联配置的规则匹配，如果匹配成功，则相应的数据包将被视为入侵并生成告警，以及将所述告警发送给告警生成及处理模块，如果没有发现任何的匹配，则将所述数据包转发给异常检测模块来检测；

所述网络流量剖面生成模块，捕获的数据包使用协议特定的多线程模型PMM和基于活动连接的多线程模型ACMM进行处理，PMM根据网络协议接收捕获的数据包并传递给ACMM，并在ACMM线程之间分配网络包以进行进一步的处理，ACMM用于处理特定于每个协议的多个活动连接，它维护两个列表，即：活动连接列表和已完成连接列表，已完成连接列表的窗口大小为w秒，PMM获取捕获的数据包，识别其协议并将其传递给ACMM，ACMM检查捕获的数据包相关连接，识别特征并根据数据包标志分配新的ACMM线程或现有的ACMM线程，ACMM线程检查给定包的基本特性，并更新活动连接的临时网络剖面，然后将所述数据包添加到相应活动连接的数据包列表中，等待其完成，一旦它得到一个指示已完成连接的数据包，临时网络剖面和当前数据包将生成总共19个特征，此外，每个线程从完成的连接列表中生成7个统计特征，因此，总共26个特征构成了一个网络流量剖面的概况，这里，所述的网络流量剖面，包括了采用健康度函数CAFF和健康度函数FSFF从数据集的网络流量特征中选择的最佳特征子集；

所述19个特征，为proto、state、sbytes、dbytes、dttl、sloss、dloss、service、dload、spkts、swin、smeansz、res_bdy_len、sintpkt、tcprtt、synack、ackdat、is_sm_ips_ports、is_ftp_login；

所述7个统计特征，为ct_srv_src、ct_srv_dst、ct_dst_ltm、ct_src_ltm、ct_src_dport_ltm、ct_dst_sport_ltm、ct_dst_src_ltm；

所述proto，事务协议；

所述state，表示包括ACC、CON、FIN、INT在内的连接状态；

所述sbytes，源到目标的字节；

所述dbytes，目标到源的字节；

所述dttl，目标到源的生存时间值；

所述sloss，重新传输或丢弃的源数据包；

所述dloss，重新传输或丢弃的目标的数据包；

所述service，连接服务；

所述dload，目标的位/秒；

所述spkts，源到目标的数据包计数；

所述swin，源TCP窗口广告值；

所述smeansz，源发送的数据包大小的平均值；

所述res_bdy_len，数据的实际未压缩内容大小；

所述sintpkt，源的数据包间到达时间；

所述tcprtt，TCP连接往返时间；

所述synack，SYN和SYN_ACK数据包之间的时间；

所述ackdat，SYN_ACK和ACK数据包之间的时间；

所述is_sm_ips_ports，如果源和目标的IP地址相等，端口号相等，则为1，否则为0；

所述is_ftp_login，如果ftp会话由用户访问，则为1，否则为0；

所述ct_srv_src，N中包含相同服务和源地址的连接数；

所述ct_srv_dst，N中包含相同服务和目标地址的连接数；

所述ct_dst_ltm，N中具有相同目标地址的连接数；

所述ct_src_ltm，N中具有相同源地址的连接数；

所述ct_src_dport_ltm，N中具有相同源地址和目标端口的连接数；

所述ct_dst_sport_ltm，N中具有相同目标地址和源端口的连接数；

所述ct_dst_src_ltm，N中具有相同源和目标地址的连接数；

所述N，最近的100条连接；

所述异常检测模块，通过分析来自网络流量剖面生成模块的网络流量剖面和先前观察到的网络流量行为来识别攻击的可能性，为此，使用了随机森林分类器，所述随机森林分类器使用先前观察到的正常和已知入侵连接的所述网络流量剖面进行离线训练，这种经过训练的模型用于将未来的网络连接实时分类为正常的或入侵的，能够实时检测和预测网络攻击，并通知告警生成及处理模块；

所述告警生成及处理模块，从所述基于签名的入侵检测模块和所述异常检测模块中决定入侵，并以包括协议、源IP、源端口、目标IP、目标端口和入侵类型在内的连接参数的形式生成告警，检查特定时间内具有预定义门限阈值的告警频率，如果告警的频率超过门限阈值，则会将告警传递给关联单元，关联单元从部署在工业网络中不同服务器上的所有实例接收此类告警，并进行相互关联，使用告警多数因子AMF决定分布式攻击，如果告警的AMF＞门限阈值，则关联单元生成基于签名的入侵检测模块的攻击签名并将其更新到所有实例的签名数据库里，以便所述基于签名的入侵检测模块及早地检测到此类攻击：

所述CAFF，以数据集为输入，生成一个具有最佳特征的新数据集，CAFF将数据集拆分为训练数据集Tr和测试数据集Ts，由于随机森林分类器具有较高的精度和较低的计算成本，采用随机森林分类器并将其精度的值作为CAFF，为了生成所述的最佳特征的新数据集，最大化CAFF的值，CAFF健康度函数C(x)为：C(x)＝Acc_RandomForest(Tr,Ts,n*10)，其中，n是特征的数量，所述的Acc_RandomForest(Tr,Ts,n*10)，表示随机森林分类器精度的值，CAFF返回随机森林分类器最大化精度的特征子集，所述最大化精度的特征子集，为所述的最佳特征的新数据集；

所述FSFF，将Gini Index、相似性和相关性应用于新数据集的网络流量特征中，为了能够从所述的新数据集中选择最佳的特征子集，最大化FSFF的值，所选特征能够具有较高的Gini Index和与类别的高度相似性，且特征之间的相关性较小，x＝{x₁，x₂，…，x_n}为一个特征子集，目标类别为c，则FSFF健康度函数F(x)为：

所述Gini Index，采用下面方程式来测量网络流量数据分区D的杂质：Gini

其中，p_i是D中网络流量剖面属于c_i类的概率，m是类的数量，Gini Index对每个特征进行二进制拆分，其中的特征x上的一个分割，并将D分为

和

那么在特征x的条件下，D的Gini Index计算公式为：

则特征x的杂质减少量由下面方程式得出：Gini Index(x,c)＝Gini Index(D)-GiniIndex_x(D)，x＝{x₁，x₂，…，x_n}为一个特征子集，则特征x_k与类别c的Gini Index的计算公式为：

所述相似性，使用信息增益来度量，对D中的记录进行分类所需信息采用下面公式来计算：

其中，p_i是D中网络流量剖面属于c_i类的概率，m是类的数量，特征x用于将D划分为v分区，即：{D₁,D₂,…，D_v}，特征x所需的信息的计算公式为：

使用特征x之后的信息增益的计算公式则为：InfoGain(x,c)＝Info(D)-Info_x(D)，那么特征x与类别c的相似性的计算公式为：

x＝{x₁，x₂，…，x_n}为一个特征子集，则特征x_k与类别c的相似性的计算公式为：

所述相关性，两个随机特征之间的相关性是相关系数，x＝{x₁，x₂，…，x_n}，特征x_k与特征x_j之间的相关系数corr(x_k,x_j)使用公式计算：

所述cov(x_k，x_j)，是特征是x_k和x_j之间的协方差，所述

和

分别是x_k和x_j的标准差，cov(x_k，x_j)的值在[-1，1]中，cov(x_k，x_j)＝0表示x_k和x_j完全独立，而cov(x_k，x_j)＝1或-1表示x_k和x_j高度相关。

Images