CN111343032B - 一种工控网络异常会话检测方法,装置,电子设备以及存储介质 - Google Patents

一种工控网络异常会话检测方法,装置,电子设备以及存储介质 Download PDF

Info

Publication number
CN111343032B
CN111343032B CN202010416657.1A CN202010416657A CN111343032B CN 111343032 B CN111343032 B CN 111343032B CN 202010416657 A CN202010416657 A CN 202010416657A CN 111343032 B CN111343032 B CN 111343032B
Authority
CN
China
Prior art keywords
session
detection result
source host
abnormal
base detector
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010416657.1A
Other languages
English (en)
Other versions
CN111343032A (zh
Inventor
周文
成龙
董贵山
郭晓玲
徐砚
任琳琳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Aviation Oil Group Co ltd
China Electronic Technology Cyber Security Co Ltd
Original Assignee
China Aviation Oil Group Co ltd
China Electronic Technology Cyber Security Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Aviation Oil Group Co ltd, China Electronic Technology Cyber Security Co Ltd filed Critical China Aviation Oil Group Co ltd
Priority to CN202010416657.1A priority Critical patent/CN111343032B/zh
Publication of CN111343032A publication Critical patent/CN111343032A/zh
Application granted granted Critical
Publication of CN111343032B publication Critical patent/CN111343032B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种工控网络异常会话检测方法,装置,电子设备以及存储介质。上述方法包括:构造基检测器集合;对通过所述基检测器集合的会话进行检测,得到检测结果向量R;根据所述检测结果向量R,更新疑似源主机列表;对所述检测结果向量执行集成策略,得到检测结果R0,其中R0∈[0,1];根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常会话。本发明基于模型集成策略,结合序贯检验方法更新疑似源主机列表,识别网络异常行为,在保证漏报率的基础上,进一步降低了虚警率。

Description

一种工控网络异常会话检测方法,装置,电子设备以及存储 介质
技术领域
本申请涉及工业控制领域,尤其涉及一种工控网络异常会话检测方法,装置,电子设备以及计算机可读存储介质。
背景技术
近年来工业控制系统(ICS)遭受网络异常攻击的情况日益频繁。由于工控系统对可用性要求较高,为了避免没有及时检测出异常而影响工控系统组件及设备的灵敏性和可靠性,造成严重的安全问题,迫切需要满足可检测微小工控网络异常、实时性强和准确度高的检测方法。
与传统网络明显不同的是,工业应用的网络环境下存在数据量小、周期性明显、突发性强的特点,因此无法简单移植传统网络的异常流量检测方案。传统的网络入侵检测系统(IDS)主要依赖于静态的签名和规则,规则库对于已知攻击的检测准确性高,但受限于专家知识,涉及工控场景的规则库可能不完善,不能满足工业控制网络对实时性较高、漏检率低且对未知攻击检测能力强的要求等。
近年发展比较成熟的完全依赖于监督学习的入侵检测技术,虽然更能在海量数据中找到最接近本质的特征表达,因而有更强的泛化能力,但同时仍然存在如下缺点,例如:已经被模型充分学习过的异常可能被漏报;标记工作量大;不完善性,场景问题在可以用的安全数据中的信息含量少,因此模型对于未知攻击的检测能力有限;样本会被误标记等。这些缺点会严重的削弱模型的异常检测能力。
发明内容
为解决上述技术问题,本发明的一个方面在于,提供一种工控网络异常会话检测方法,在工控行业网络实时异常检测背景下,对工控网络中未知、稀少异常具有高敏感能力,且能降低对正常流量的虚警率的异常检测。包括以下步骤:
对通过基检测器集合的会话进行检测,得到检测结果向量R;
根据所述检测结果向量R,更新疑似源主机列表;
对所述检测结果向量执行集成策略,得到检测结果R0,其中R0∈[0,1];
根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常会话。
可选的,所述对通过基检测器集合的会话进行检测,得到检测结果向量R的步骤之前还包括步骤:
根据模型评价指标体系,从待选基检测器中选择多个异构的基检测器,构造所述基检测器集合。
可选的,所述基检测器集合中包括基于以下检测模型的多种基检测器:基于线性模型的One-Class-SVM,基于聚类的模型,基于树的模型,基于时间序列的模型。
可选的,所述模型评价指标体系包括以下基于参照模型的评价指标中的至少一种:
参照的召回率FPR1,定义为所述参照模型未召回的正样本被所述待选基检测器召回的比例;
参照的虚警率TPR1,定义为所述参照模型未误报的负样本中被所述待选基检测器误报的比例;
参照的曲线下面积AUC1,定义为坐标点 (FPR1,TPR1) 的ROC曲线下面积;
其中,所述正样本为异常会话样本,所述负样本为正常会话样本,所述参照模型为预先选定的标准模型。
可选的,所述对通过基检测器集合的会话进行检测,得到检测结果向量R的步骤包括:
在所述基检测器集合中,选择召回率最高的基检测器DA
使得所述会话通过所述DA,得到初步检测结果;以及
使得所述初步检测结果并行通过所述基检测器集合中的其他检测器,得到检测结果向量R。
可选的,所述使得所述会话通过所述DA,得到初步检测结果的步骤包括:
对通过所述DA的会话进行初步检测,丢弃检测为正常会话的会话,保留检测为异常会话的会话,得到初步检测结果;
所述使得所述初步检测结果并行通过所述基检测器集合中的其他检测器的步骤包括:
使得所述检测为异常会话的会话并行通过所述基检测器集合中的其他检测器。
可选的,所述集成策略包括以下集成方法中的至少一种:序贯集成,均匀集成,线性集成,模型堆叠集成。
可选的,所述根据所述检测结果向量R,更新疑似源主机列表的步骤包括:
定义滑窗时间和阈值
Figure 389614DEST_PATH_IMAGE001
,提取所述检测结果向量R对应的会话的源主机地址
Figure 100002_DEST_PATH_IMAGE002
在所述滑窗时间内,针对来自所述源主机
Figure 306755DEST_PATH_IMAGE002
第i条会话,计算似然比系数,其中
Figure 24175DEST_PATH_IMAGE003
I为所述滑窗时间内接收到的对应于所述源主机
Figure 419384DEST_PATH_IMAGE002
的会话数量,I为不小于1的自然数,所述计算似然比系数包括以下步骤:
根据所述第i条会话的检测结果向量Ri计算所述源主机
Figure 233756DEST_PATH_IMAGE002
的得分
Figure 100002_DEST_PATH_IMAGE004
定义指标
Figure 993902DEST_PATH_IMAGE005
基于序贯检验的基本思想,定义原假设
Figure 260935DEST_PATH_IMAGE006
和备择假设
Figure DEST_PATH_IMAGE007
,其中
Figure 896054DEST_PATH_IMAGE006
表示所述源主机
Figure 564933DEST_PATH_IMAGE002
为正常主机,
Figure 558296DEST_PATH_IMAGE007
表示所述源主机
Figure 250309DEST_PATH_IMAGE002
为疑似源主机,并定义条件概率
Figure 862687DEST_PATH_IMAGE008
Figure 825220DEST_PATH_IMAGE009
其中,参数
Figure 255064DEST_PATH_IMAGE010
初始化似然比系数
Figure DEST_PATH_IMAGE011
,并计算似然比系数
Figure 434373DEST_PATH_IMAGE012
Figure DEST_PATH_IMAGE013
时,
Figure 709496DEST_PATH_IMAGE014
Figure DEST_PATH_IMAGE015
时,
Figure 290651DEST_PATH_IMAGE016
所述滑窗时间结束,计算得到似然比系数
Figure DEST_PATH_IMAGE017
根据所述
Figure 625817DEST_PATH_IMAGE018
更新所述疑似源主机列表,包括以下步骤:
定义经验阈值
Figure 292422DEST_PATH_IMAGE019
Figure 371236DEST_PATH_IMAGE020
,其中
Figure 869214DEST_PATH_IMAGE021
Figure 640860DEST_PATH_IMAGE022
时,接受备择假设
Figure 27717DEST_PATH_IMAGE007
,将所述
Figure 910223DEST_PATH_IMAGE002
加入所述疑似源主机列表;
Figure DEST_PATH_IMAGE023
,接受原假设
Figure 262706DEST_PATH_IMAGE006
,将所述
Figure 205255DEST_PATH_IMAGE002
从所述疑似源主机列表删除。
可选的,所述根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常的步骤包括:
设置阈值
Figure 580872DEST_PATH_IMAGE024
Figure DEST_PATH_IMAGE025
,其中
Figure 1489DEST_PATH_IMAGE026
Figure DEST_PATH_IMAGE027
时,判断所述会话为异常会话;
Figure 411742DEST_PATH_IMAGE028
且所述会话的源主机地址在所述疑似源主机列表中时,判断所述会话为异常会话;
否则,判断所述会话为正常会话。
本发明的另一个方面在于,提供一种基于疑似攻击源检验的工控网络异常会话检测装置,所述装置包括:
基检测器集合模块,用于对通过基检测器集合的会话进行检测,得到检测结果向量R;
疑似源主机列表更新模块,用于根据所述检测结果向量R,更新疑似源主机列表;
集成策略模块,用于对所述检测结果向量执行集成策略,得到检测结果R0,其中R0∈[0,1];
判断模块,用于根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常会话。
可选的,所述基检测器集合模块包括:
基检测器集合构造模块,用于根据模型评价指标体系,从待选基检测器中选择多个异构的基检测器,构造所述基检测器集合。
可选的,所述基检测器集合中包括基于以下检测模型的多种基检测器:基于线性模型的One-Class-SVM,基于聚类的模型,基于树的模型,基于时间序列的模型。
可选的,所述模型评价指标体系包括以下基于参照模型的评价指标中的至少一种:
参照的召回率FPR1,定义为所述参照模型未召回的正样本被所述待选基检测器召回的比例;
参照的虚警率TPR1,定义为所述参照模型未误报的负样本中被所述待选基检测器误报的比例;
参照的曲线下面积AUC1,定义为坐标点 (FPR1,TPR1) 的ROC曲线下面积;
其中,所述正样本为异常会话样本,所述负样本为正常会话样本,所述参照模型为预先选定的标准模型。
可选的,所述基检测器集合模块包括:
基检测器排序模块,用于在所述基检测器集合中,选择召回率最高的基检测器DA;使得所述会话通过所述基检测器DA,得到初步检测结果;以及使得所述初步检测结果并行通过所述基检测器集合中的其他检测器,得到检测结果向量R。
可选的,所述使得所述会话通过所述基检测器DA,得到初步检测结果包括:
对通过所述DA的会话进行初步检测,丢弃检测为正常会话的会话,保留检测为异常会话的会话,得到初步检测结果;
所述使得所述初步检测结果并行通过所述基检测器集合中的其他检测器的步骤包括:
使得所述检测为异常会话的会话并行通过所述基检测器集合中的其他检测器。
可选的,所述集成策略包括以下集成方法中的至少一种:序贯集成,均匀集成,线性集成,模型堆叠集成。
可选的,所述根据所述检测结果向量R,更新疑似源主机列表包括:
定义滑窗时间和阈值
Figure 525192DEST_PATH_IMAGE001
,提取所述检测结果向量R对应的会话的源主机地址
Figure 450422DEST_PATH_IMAGE002
在所述滑窗时间内,针对来自所述源主机
Figure 674730DEST_PATH_IMAGE002
第i条会话,计算似然比系数,其中
Figure 673910DEST_PATH_IMAGE003
I为所述滑窗时间内接收到的对应于所述源主机
Figure 958261DEST_PATH_IMAGE002
的会话数量,I为不小于1的自然数,所述计算似然比系数包括以下步骤:
根据所述第i条会话的检测结果向量Ri计算所述源主机
Figure 370788DEST_PATH_IMAGE002
的得分
Figure 398787DEST_PATH_IMAGE004
定义指标
Figure 19517DEST_PATH_IMAGE005
基于序贯检验的基本思想,定义原假设
Figure 209190DEST_PATH_IMAGE006
和备择假设
Figure 109013DEST_PATH_IMAGE007
,其中
Figure 612807DEST_PATH_IMAGE006
表示所述源主机
Figure 914475DEST_PATH_IMAGE002
为正常主机,
Figure 275049DEST_PATH_IMAGE007
表示所述源主机
Figure 662168DEST_PATH_IMAGE002
为疑似源主机,并定义条件概率
Figure 969653DEST_PATH_IMAGE008
Figure 860249DEST_PATH_IMAGE009
其中,参数
Figure 657303DEST_PATH_IMAGE010
初始化似然比系数
Figure 203822DEST_PATH_IMAGE011
,并计算似然比系数
Figure 377315DEST_PATH_IMAGE012
Figure 387996DEST_PATH_IMAGE013
时,
Figure 355952DEST_PATH_IMAGE014
Figure 888302DEST_PATH_IMAGE015
时,
Figure 599906DEST_PATH_IMAGE016
所述滑窗时间结束,计算得到似然比系数
Figure 465094DEST_PATH_IMAGE017
根据所述
Figure 603951DEST_PATH_IMAGE018
更新所述疑似源主机列表,包括以下步骤:
定义经验阈值
Figure 125063DEST_PATH_IMAGE019
Figure 374778DEST_PATH_IMAGE020
,其中
Figure 360052DEST_PATH_IMAGE021
Figure 607494DEST_PATH_IMAGE022
时,接受备择假设
Figure 615901DEST_PATH_IMAGE007
,将所述
Figure 669307DEST_PATH_IMAGE002
加入所述疑似源主机列表;
Figure 509088DEST_PATH_IMAGE023
,接受原假设
Figure 989747DEST_PATH_IMAGE006
,将所述
Figure 709618DEST_PATH_IMAGE002
从所述疑似源主机列表删除。
可选的,所述根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常包括:
设置阈值
Figure 566715DEST_PATH_IMAGE024
Figure 261002DEST_PATH_IMAGE025
,其中
Figure 850246DEST_PATH_IMAGE026
Figure 895562DEST_PATH_IMAGE027
时,判断所述会话为异常会话;
Figure 290772DEST_PATH_IMAGE028
且所述会话的源主机地址在所述疑似源主机列表中时,判断所述会话为异常会话;
否则,判断所述会话为正常会话。
本发明的另一个方面在于,提供一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器耦合连接的存储器;其中,
所述存储器存储有计算机程序,所述计算机程序能够被所述至少一个处理器执行,以实现本发明所述的方法。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序被执行时,能够实现本发明所述的方法。
本发明基于模型集成策略,结合序贯检验方法更新疑似源主机列表,识别网络异常行为。本发明的方法具有如下特点:
1. 通过集成多个“好而不同”的基检测器,相对于传统入侵检测系统单纯基于规则或单模型进行攻击检测的方法,能够达到提高对未知、稀少异常的敏感能力,降低对正常流量的虚警率,增强检测系统的鲁棒性的目的;
2.利用序贯检验方法对疑似源主机列表进行实时更新,辅助模型集成结果的最后判断,在保证漏报率的基础上,进一步降低了虚警率;
3. 实时捕捉工控网络场景中的内部威胁或者异常,自适应地识别0 Day攻击,即零日漏洞攻击,从而适应工控流量突发性和周期性的特点。
附图说明
图1是本发明实施例中基于疑似攻击源检验的工控网络异常会话检测方法的流程图;
图2是本发明实施例中疑似源主机列表的更新方法;
图3是本发明实施例中基于疑似攻击源检验的工控网络异常会话检测装置的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的具体实施例进行详细的阐述。
依据本发明的一个方面,提供一种工控网络异常会话检测方法。
如图1所示,所述方法包括以下步骤:
步骤1:对通过基检测器集合的会话进行检测,得到检测结果向量R。
在一个实施例中,所述基检测器集合中包含K个基检测器{D1,D2,…,DK}。所述步骤1具体包括以下步骤:
步骤101,根据召回率对所述K个基检测器进行排序,选择召回率最高的基检测器DA,其中所述召回率为召回的正样本比例,所述正样本为异常会话样本。
步骤102,使得所述会话通过所述DA,得到初步检测结果。在一个具体实施例中,对通过所述DA的会话进行初步检测,丢弃检测为正常会话的会话,保留检测为异常会话的会话,得到初步检测结果。
步骤103,使得所述初步检测结果并行通过所述基检测器集合中的其他检测器,得到检测结果向量R={R1,R2,…,RK-1}。在一个具体实施例中,使得所述检测为异常会话的会话并行通过所述基检测器集合中的其他检测器,得到检测结果向量R={R1,R2,…,RK-1}。
在所述步骤1之前,还可以包括步骤0:根据模型评价指标体系,从待选基检测器中选择多个异构的基检测器,构造所述基检测器集合。
常用的模型评价指标包括召回率TRP,虚警率FPR,曲线下面积值AUC等,这些指标可以表征基检测器对异常会话样本(即正样本)的召回情况,以及对正常会话样本(即负样本)的虚警情况。其中,基检测器对会话进行检测时,若判断为异常会话,则会将其召回。
召回率TRP定义为召回的正样本个数占输入的正样本总数的比例,即正确报警的比例,用于指示模型灵敏度。
虚警率FPR定义为召回的负样本个数占输入的负样本总数的比例,即正常会话被误报警的比例。
曲线下面积值AUC定义为受试者工作特征ROC曲线下面的面积,ROC曲线以召回率TPR为Y轴,以虚警率FPR为X轴。AUC越高,则被评价模型的区分能力越好。
在一个实施例中,预先选定效果较好的监督学习模型作为参照模型。分别给出相同测试集下参照模型和基检测器模型的混淆矩阵:
表1
参照模型 P(预测为正) N(预测为负)
P(实际为正) TP0 FN0
N(实际为负) FP0 TN0
表2
基检测器 P(预测为正) N(预测为负)
P(实际为正) TP FN
N(实际为负) FP TN
本实施例定义参照评价指标如下:
参照的召回率TPR1=TPin FN0/FN0,表示参照模型未召回的正样本被基检测器召回的比例,可以用来描述基检测器发现未知异常的能力;
TPin FN0 表示参照模型未召回的正样本被基检测器召回的数量,之所以选择这个指标是因为参照模型为监督训练获取,对于零日漏洞攻击检测能力有限,而这正是异常检测算法擅长的地方,可以召回参照模型未召回的正样本(即异常攻击样本);
参照的虚警率FPR1=TPin TN0/TN0,表示参照模型未召回的负样本中被基检测器召回的比例。因为相对于监督学习算法,异常检测算法的虚警率往往偏高,因此这个指标可以很好描述基检测器的虚警率。
FPin TN0,表示参照模型判断正确的负样本中被基检测器错误召回的数量,因为相对于监督学习算法,异常检测算法的虚警率往往偏高,因此这个指标可以很好描述基检测器的虚警率。
参照的曲线下面积AUC1为所有坐标点 (FPR1,TPR1) 的ROC曲线下面积,可以用于判断基检测器的性能优劣。
在一个实施例中,所述基检测器集合中包括基于以下检测模型的多种基检测器:
基于线性模型的One-Class-SVM,可以通过OCSVM或SVDD来实现,对于异常值敏感,训练模型时需要尽可能全面的正常样本,但易过拟合;可调试保存离线模型,定时更新。此模型需要正常流量进行训练,适用于识别工控内网中常见的扫描探测、拒绝服务等流量大、但实际异常的情形;
基于聚类的模型如LOF和DBSCAN。LOF对局部异常表现良好,可调试保存离线模型,定时更新。DBSCAN对非凸数据集表现良好,但在计算时间复杂度较高,实时检测情景下,需要选择合适的时间窗口进行检测。此模型适用于对工控内网中微小异常的捕捉;
基于树的模型Isolation Forest算法效果好,时间复杂度低,能有效处理高维和海量数据,但对局部异常簇不敏感,可以只使用正常样本训练及调试模型;既可选择调试保存离线模型,定时更新,又可选择在时间窗口内不依赖模型进行检测;
基于时间序列的模型,除了外部的RNN循环外,还具有内部的“细胞”自循环。和RNN相比,GRU、LSTM每个模块有相同的输入和输出参数,但也有更多的参数和控制信息流流动的门控模块系统,避免了RNN常见的梯度消失问题。此模型适用于对提取的深层时序Modbus功能码进行异常检测。
选择基检测器时,应当保证基检测器的多样性和区分度,从而保证其差异性。
步骤2,根据所述检测结果向量R,更新疑似源主机列表。
一般攻击主机会通过多条会话进行攻击以完成渗透目的,因此需要获取疑似源主机列表。在一个实施例中,如图2所述,公开了一种通过基于滑窗时间的序贯检验方法给出疑似源主机列表的更新方法。
将疑似源主机列表初始化为空集。
定义滑窗时间和阈值
Figure 777248DEST_PATH_IMAGE001
,其中阈值
Figure 865290DEST_PATH_IMAGE001
可根据应用场景设置,比如设置为
Figure DEST_PATH_IMAGE029
或K/2。提取所述检测结果向量R对应的会话的源主机地址。
滑窗时间开始,在所述滑窗时间内,针对接收到的会话所涉及的每个源主机,分别计算其似然比系数。
具体地,针对来自某个源主机
Figure 70006DEST_PATH_IMAGE002
第i条会话,计算似然比系数,其中
Figure 268906DEST_PATH_IMAGE003
,I为所述滑窗时间内累计接收到的对应于所述源主机
Figure 672206DEST_PATH_IMAGE002
的会话数量,I为不小于1的自然数。包括以下步骤:
根据所述第i条会话的检测结果向量Ri计算所述源主机
Figure 931149DEST_PATH_IMAGE002
的得分
Figure 685478DEST_PATH_IMAGE004
,比如
Figure 858708DEST_PATH_IMAGE004
可以定义为检测结果向量Ri中,将所述第i条会话检测为异常会话的基检测器数量;
定义指标
Figure 382093DEST_PATH_IMAGE005
基于序贯检验的基本思想,定义原假设
Figure 811938DEST_PATH_IMAGE006
和备择假设
Figure 787984DEST_PATH_IMAGE007
,其中
Figure 266370DEST_PATH_IMAGE006
表示所述源主机
Figure 909841DEST_PATH_IMAGE002
为正常主机,
Figure 245007DEST_PATH_IMAGE007
表示所述源主机
Figure 973929DEST_PATH_IMAGE002
为疑似源主机,并定义条件概率
Figure 990426DEST_PATH_IMAGE008
Figure 488404DEST_PATH_IMAGE009
其中,参数
Figure 994471DEST_PATH_IMAGE010
Figure 210689DEST_PATH_IMAGE030
可根据经验设定,比如分别取值0.8、0.2。
初始化似然比系数
Figure 30878DEST_PATH_IMAGE011
,并计算似然比系数
Figure 383362DEST_PATH_IMAGE012
Figure 325910DEST_PATH_IMAGE013
时,
Figure 763844DEST_PATH_IMAGE014
Figure 623609DEST_PATH_IMAGE015
时,
Figure 96179DEST_PATH_IMAGE016
所述滑窗时间结束后,得到源主机
Figure 944049DEST_PATH_IMAGE002
的似然比系数
Figure 869280DEST_PATH_IMAGE017
根据所述
Figure 31271DEST_PATH_IMAGE018
更新所述疑似源主机列表,包括以下步骤:
定义经验阈值
Figure 358347DEST_PATH_IMAGE019
Figure 642698DEST_PATH_IMAGE020
,其中
Figure 55225DEST_PATH_IMAGE021
Figure 755327DEST_PATH_IMAGE019
Figure 936910DEST_PATH_IMAGE020
可根据经验设定,比如分别取值0.01和99。
Figure 392162DEST_PATH_IMAGE022
时,接受备择假设
Figure 291985DEST_PATH_IMAGE007
,若当前
Figure 795779DEST_PATH_IMAGE002
不在所述疑似源主机列表中,则将所述
Figure 831868DEST_PATH_IMAGE002
加入所述疑似源主机列表;
Figure 458021DEST_PATH_IMAGE023
,接受原假设
Figure 845140DEST_PATH_IMAGE006
,若当前
Figure 385581DEST_PATH_IMAGE002
在所述疑似源主机列表中,将所述
Figure 541756DEST_PATH_IMAGE002
从所述疑似源主机列表删除。
针对每一滑窗时间,都进行上述操作,以实现对疑似源主机列表的实时更新。
步骤3,对所述检测结果向量执行集成策略,得到检测结果R0,其中R0∈[0,1]。在一个实施例中,所述集成策略包括以下集成方法中的至少一种:序贯集成,均匀集成,线性集成,模型堆叠等。
步骤4,根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常。
在一个实施例中,设置阈值
Figure 338810DEST_PATH_IMAGE024
Figure 947646DEST_PATH_IMAGE025
,其中
Figure 58822DEST_PATH_IMAGE026
Figure 69503DEST_PATH_IMAGE027
时,判断所述会话为异常会话;
Figure 37459DEST_PATH_IMAGE028
且所述会话的源主机地址
Figure 133591DEST_PATH_IMAGE002
在疑似源主机列表中时,判断所述会话为异常会话;
否则,判断所述会话为正常会话。
依据本发明的另一个方面,提供一种基于疑似攻击源检验的工控网络异常会话检测装置。
如图3所示,所述装置包括:
基检测器集合模块,用于对通过基检测器集合的会话进行检测,得到检测结果向量R。在一个实施例中,所述基检测器集合模块还包括:基检测器集合构造模块,用于根据模型评价指标体系,从待选基检测器中选择多个异构的基检测器,构造所述基检测器集合;基检测器排序模块,用于在所述基检测器集合中,选择召回率最高的基检测器DA;使得所述会话通过所述基检测器DA,得到初步检测结果;以及使得所述初步检测结果并行通过所述基检测器集合中的其他检测器,得到检测结果向量R。
疑似源主机列表更新模块,用于根据所述检测结果向量R,更新疑似源主机列表。
集成策略模块,用于对所述检测结果向量执行集成策略,得到检测结果R0,其中R0∈[0,1];
判断模块,用于根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常会话。
本发明增加了基于时间序列的疑似攻击主机监测,疑似攻击主机列表基于指定滑窗时间内基检测器组的检测结果通过序贯检验方法给出。虽然工控攻击具有隐匿性,根据工控系统自上而下的多层结构特点,网络攻击会借助内部跳板完成,且一个攻击的实施完成需要多条会话,因此结合疑似源主机进行工控网络异常会话检测,能够在保证漏报率的基础上,进一步降低虚警率。
依据本发明的另一个方面,提供一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器耦合连接的存储器;其中,
所述存储器存储有计算机程序,所述计算机程序能够被所述至少一个处理器执行,以实现本发明所述的方法。
依据本发明的另一个方面,提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序被执行时,能够实现本发明所述的方法。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的模块及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和设备的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例节能信号发送/接收的方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (10)

1.一种工控网络异常会话检测方法,其特征在于,包括以下步骤:
对通过基检测器集合的会话进行检测,得到检测结果向量R,包括:在基检测器集合中,选择召回率最高的基检测器DA;对通过所述基检测器DA的会话进行初步检测,丢弃检测为正常会话的会话,保留检测为异常会话的会话,得到初步检测结果;使得所述初步检测结果并行通过所述基检测器集合中的其他检测器,得到检测结果向量R;
根据所述检测结果向量R,更新疑似源主机列表;
对所述检测结果向量执行集成策略,得到检测结果R0,其中R0∈[0,1];
根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常会话。
2.根据权利要求1所述的工控网络异常会话检测方法,其特征在于,所述对通过基检测器集合的会话进行检测,得到检测结果向量R的步骤之前还包括步骤:
根据模型评价指标体系,从待选基检测器中选择多个异构的基检测器,构造所述基检测器集合。
3.根据权利要求2所述的工控网络异常会话检测方法,其特征在于,所述基检测器集合中包括基于以下检测模型的多种基检测器:基于线性模型的One-Class-SVM,基于聚类的模型,基于树的模型,基于时间序列的模型。
4.根据权利要求2所述的工控网络异常会话检测方法,其特征在于,所述模型评价指标体系包括以下基于参照模型的评价指标中的至少一种:
参照的召回率FPR1,定义为所述参照模型未召回的正样本被所述待选基检测器召回的比例;
参照的虚警率TPR1,定义为所述参照模型未误报的负样本中被所述待选基检测器误报的比例;
参照的曲线下面积AUC1,定义为坐标点 (FPR1,TPR1) 的ROC曲线下面积;
其中,所述正样本为异常会话样本,所述负样本为正常会话样本,所述参照模型为预先选定的标准模型。
5.根据权利要求1所述的工控网络异常会话检测方法,其特征在于,所述集成策略包括以下集成方法中的至少一种:序贯集成,均匀集成,线性集成,模型堆叠集成。
6.根据权利要求1所述的工控网络异常会话检测方法,其特征在于,所述根据所述检测结果向量R,更新疑似源主机列表的步骤包括:
定义滑窗时间和阈值
Figure 347439DEST_PATH_IMAGE001
,提取所述检测结果向量R对应的会话的源主机地址
Figure DEST_PATH_IMAGE002
在所述滑窗时间内,针对来自所述源主机地址
Figure 608787DEST_PATH_IMAGE002
第i条会话,计算似然比系数,其中
Figure 919683DEST_PATH_IMAGE003
I为所述滑窗时间内接收到的对应于所述源主机地址
Figure 721417DEST_PATH_IMAGE002
的会话数量,I为不小于1的自然数,所述计算似然比系数包括以下步骤:
根据所述第i条会话的检测结果向量Ri计算所述源主机地址
Figure 66947DEST_PATH_IMAGE002
的得分
Figure DEST_PATH_IMAGE004
定义指标
Figure 824163DEST_PATH_IMAGE005
基于序贯检验的基本思想,定义原假设
Figure DEST_PATH_IMAGE006
和备择假设
Figure 763300DEST_PATH_IMAGE007
,其中
Figure 165463DEST_PATH_IMAGE006
表示所述源主机地址
Figure 240866DEST_PATH_IMAGE002
为正常主机,
Figure 765389DEST_PATH_IMAGE007
表示所述源主机地址
Figure 926243DEST_PATH_IMAGE002
为疑似源主机,并定义条件概率
Figure DEST_PATH_IMAGE008
其中,参数
Figure 335358DEST_PATH_IMAGE009
初始化似然比系数
Figure DEST_PATH_IMAGE010
,并计算似然比系数
Figure 593164DEST_PATH_IMAGE011
Figure DEST_PATH_IMAGE012
时,
Figure 960692DEST_PATH_IMAGE013
Figure DEST_PATH_IMAGE014
时,
Figure 871491DEST_PATH_IMAGE015
所述滑窗时间结束,计算得到似然比系数
Figure DEST_PATH_IMAGE016
根据所述
Figure 490823DEST_PATH_IMAGE017
更新所述疑似源主机列表,包括以下步骤:
定义经验阈值
Figure DEST_PATH_IMAGE018
Figure 71977DEST_PATH_IMAGE019
,其中
Figure DEST_PATH_IMAGE020
Figure 875985DEST_PATH_IMAGE021
时,接受备择假设
Figure 11431DEST_PATH_IMAGE007
,将所述源主机地址
Figure 293508DEST_PATH_IMAGE002
加入所述疑似源主机列表;
Figure DEST_PATH_IMAGE022
,接受原假设
Figure 729168DEST_PATH_IMAGE006
,将所述源主机地址
Figure 31974DEST_PATH_IMAGE002
从所述疑似源主机列表删除。
7.根据权利要求1所述的工控网络异常会话检测方法,其特征在于,所述根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常的步骤包括:
设置阈值
Figure 386207DEST_PATH_IMAGE023
Figure DEST_PATH_IMAGE024
,其中
Figure 206396DEST_PATH_IMAGE025
Figure DEST_PATH_IMAGE026
时,判断所述会话为异常会话;
Figure 230983DEST_PATH_IMAGE027
且所述会话的源主机地址在所述疑似源主机列表中时,判断所述会话为异常会话;
否则,判断所述会话为正常会话。
8.一种基于疑似攻击源检验的工控网络异常会话检测装置,其特征在于,所述装置包括:
基检测器集合模块,用于对通过基检测器集合的会话进行检测,得到检测结果向量R,包括:在基检测器集合中,选择召回率最高的基检测器DA;对通过所述基检测器DA的会话进行初步检测,丢弃检测为正常会话的会话,保留检测为异常会话的会话,得到初步检测结果;使得所述初步检测结果并行通过所述基检测器集合中的其他检测器,得到检测结果向量R;
疑似源主机列表更新模块,用于根据所述检测结果向量R,更新疑似源主机列表;
集成策略模块,用于对所述检测结果向量执行集成策略,得到检测结果R0,其中R0∈[0,1];
判断模块,用于根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常会话。
9.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器耦合连接的存储器;其中,
所述存储器存储有计算机程序,所述计算机程序能够被所述至少一个处理器执行,以实现权利要求1-7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序被执行时,能够实现权利要求1-7任一项所述的方法。
CN202010416657.1A 2020-05-18 2020-05-18 一种工控网络异常会话检测方法,装置,电子设备以及存储介质 Active CN111343032B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010416657.1A CN111343032B (zh) 2020-05-18 2020-05-18 一种工控网络异常会话检测方法,装置,电子设备以及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010416657.1A CN111343032B (zh) 2020-05-18 2020-05-18 一种工控网络异常会话检测方法,装置,电子设备以及存储介质

Publications (2)

Publication Number Publication Date
CN111343032A CN111343032A (zh) 2020-06-26
CN111343032B true CN111343032B (zh) 2020-09-01

Family

ID=71187541

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010416657.1A Active CN111343032B (zh) 2020-05-18 2020-05-18 一种工控网络异常会话检测方法,装置,电子设备以及存储介质

Country Status (1)

Country Link
CN (1) CN111343032B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115065568B (zh) * 2022-08-19 2022-12-20 北京珞安科技有限责任公司 一种工控网络入侵检测方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106650768A (zh) * 2016-09-27 2017-05-10 北京航空航天大学 基于高斯图模型的脑网络建模与模式分类方法
CN107657288A (zh) * 2017-10-26 2018-02-02 国网冀北电力有限公司 一种基于孤立森林算法的电力调度流数据异常检测方法
CN109842614A (zh) * 2018-12-29 2019-06-04 杭州电子科技大学 基于数据挖掘的网络入侵检测方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8015131B2 (en) * 2007-10-12 2011-09-06 Microsoft Corporation Learning tradeoffs between discriminative power and invariance of classifiers
CN108667856B (zh) * 2018-08-10 2021-01-26 广东电网有限责任公司 一种网络异常检测方法、装置、设备及存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106650768A (zh) * 2016-09-27 2017-05-10 北京航空航天大学 基于高斯图模型的脑网络建模与模式分类方法
CN107657288A (zh) * 2017-10-26 2018-02-02 国网冀北电力有限公司 一种基于孤立森林算法的电力调度流数据异常检测方法
CN109842614A (zh) * 2018-12-29 2019-06-04 杭州电子科技大学 基于数据挖掘的网络入侵检测方法

Also Published As

Publication number Publication date
CN111343032A (zh) 2020-06-26

Similar Documents

Publication Publication Date Title
CN113554089B (zh) 一种图像分类对抗样本防御方法、系统及数据处理终端
US11775826B2 (en) Artificial intelligence with cyber security
KR102120214B1 (ko) 앙상블 기계학습 기법을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법
CN113743509B (zh) 一种基于不完全信息的在线作战意图识别方法及装置
WO2021043126A1 (en) System and method for event recognition
CN113660196A (zh) 一种基于深度学习的网络流量入侵检测方法及装置
CN117461032A (zh) 异常检测系统及方法
CN110808995B (zh) 安全防护方法和装置
CN111343032B (zh) 一种工控网络异常会话检测方法,装置,电子设备以及存储介质
CN117220920A (zh) 基于人工智能的防火墙策略管理方法
CN112613032B (zh) 基于系统调用序列的主机入侵检测方法及装置
CN114650447A (zh) 一种确定视频内容异常程度的方法、装置及计算设备
CN112085281B (zh) 检测业务预测模型安全性的方法及装置
CN116962047A (zh) 一种可解释的威胁情报生成方法、系统及装置
CN116842520A (zh) 基于检测模型的异常感知方法、装置、设备及介质
CN115758337A (zh) 基于时序图卷积网络的后门实时监测方法、电子设备、介质
Narengbam et al. Harris hawk optimization trained artificial neural network for anomaly based intrusion detection system
Yan et al. $ D^ 3$: Detoxing Deep Learning Dataset
CN111209567A (zh) 提高检测模型鲁棒性的可知性判断方法及装置
CN116739073B (zh) 一种基于进化偏差的在线后门样本检测方法及系统
CN118070077A (zh) 基于联邦学习和双重监督对比学习的故障诊断方法及系统
CN116545783B (zh) 基于稀疏逻辑回归的网络入侵检测方法及装置
CN114615026B (zh) 异常流量检测方法、装置及电子设备
Pawlicki et al. Improving Siamese Neural Networks with Border Extraction Sampling for the use in Real-Time Network Intrusion Detection
US20240144097A1 (en) Universal Post-Training Backdoor Detection and Mitigation for Classifiers

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant