CN111641634B - 一种基于蜜网的工业控制网络主动防御系统及其方法 - Google Patents

Abstract

本发明公开了一种基于蜜网的工业控制网络主动防御系统及其方法，其包含信息收集组件、流量分析组件与知识管理组件；在信息收集组件中包括工业控制系统蜜网、网络爬虫、流量镜像；流量分析组件包括流量处理模块、流量建模模块和流量评估模块；知识管理组件通过知识图来管理工业控制系统网络的所有信息，分为内部网络知识图和外部网络知识图两个子图，它们都存储在图数据库中。本发明提供的基于蜜网的工业控制网络主动防御系统及其方法不仅能准确地检测出工业控制系统网络流量中的异常情况，而且能够评估其威胁程度并发现其关联的攻击组织。

Description

一种基于蜜网的工业控制网络主动防御系统及其方法

技术领域

本发明属于网络安全技术领域，具体涉及一种基于蜜网的工业控制网络主动防御系统及其方法。

背景技术

目前，工业控制系统被广泛应用于我国的现代工业，包括石油石化、国防科技、电力水利、能源机械、冶金工业、汽车制造和航空航天等诸多涉及国计民生的关键行业。这些行业绝大多数都涉及国家关键基础设施，均与国家命脉紧密相连。

随着两化融合的逐步深入，工业控制系统中的信息化程度日益增高，通用软硬件和网络设施的广泛使用，打破了工业控制系统与信息网络的“隔离”，带来了一系列网络安全威胁。作为工业控制系统的重要组成部分，工业控制网络具有极强的产业关联度和产业渗透能力，其安全问题更是深刻影响着各行各业未来的发展方向，因而，工业控制网络安全领域是当下全球各国和各行业的重要研究目标，现实意义十分重大。

越来越多的网络安全事件表明工业控制系统容易受到复杂的、有针对性的攻击。因为这些攻击通常是利用未经授权和未加密的工控设备或协议的漏洞，互联网技术级的安全机制几乎不可能的检测它们。虽然已经提出了一些工控级的安全方法，但它们更倾向于检测正常网络的异常流量或异常活动，然而这些是不够网络管理员去了解网络情况并做出决策的。

发明内容

本发明的目的在于提供一种基于蜜网的工业控制网络主动防御系统及其方法，不仅能检测针对工业控制系统网络的各种类型的网络攻击，还可以评估其威胁程度，并能发现相关攻击组织。

本发明的技术方案如下：

一种基于蜜网的工业控制网络主动防御系统，其包含以下三个组件：信息收集组件、流量分析组件与知识管理组件；其中，

在所述的信息收集组件中包括工业控制系统蜜网、网络爬虫、流量镜像；其中：

所述的工业控制系统蜜网被部署在三个层：外部网络、隔离区和工业控制系统网络，分别构成外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐；所述的外部网络蜜罐用于捕获来自外部攻击者的攻击流量，从而提供最新且流行的攻击模式；所述的隔离区蜜罐用于检测对受保护的企业网络的攻击和接收来自现有攻击工具的攻击流量，以更新当前流量分析模型；所述的工业控制系统网络蜜罐用于捕获针对工业控制系统网络的攻击；

所述的网络爬虫设置于蜜网控制器中，蜜网控制器设置于隔离区，用于存储所有攻击者的威胁情报，外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐均能查询这些情报；

所述的流量镜像将工业控制系统网络的流量导入工业控制系统网络蜜罐，工业控制系统网络蜜罐构建工业控制系统通信模式库，实时监控工业控制系统网络；

所述的流量分析组件包括流量处理模块、流量建模模块和流量评估模块，外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐中均嵌入流量分析组件，以提高流量分析的实时性，降低了各蜜罐中数据传输的负载；其中：

所述流量处理模块从会话提取开始，将连接流减少到工业控制系统协议级会话流，基于所提取的会话，外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐均从沟通通信策略、通信强度和通信内容三个方面刻画了工业控制系统网络的流量的通信模式：沟通通信策略用于评估沟通通信过程的复杂性；通信强度用于评估会话中工业控制系统协议流量的负载和数量；通信内容用于描述工业控制系统协议数据包的数据部分；

所述的流量建模模块将流量分析模型分成以下两步：第一步、用CART算法构造二叉决策树，使用基尼系数来选择分区特性；第二步、利用One-Vs-One(OVO)方法构造多分类模型OVO-CART；

所述的流量评估模块从异常流量、威胁级别和攻击组织三个方面对工业控制系统网络流量进行评估；其中：异常流量评估涉及两个问题：通信模式是否异常；传播模式是否呈现出一种新的传播模式；同时，所述的流量评估模块将通信模式的威胁等级划分为低、中、高三个等级；流量评估模块通过两种方法发现通信模式的攻击组织，当通信模式由外部IP生成时，首先在知识图中搜索其组织信息，其次尝试用网络爬虫收集威胁信息，该网络爬虫包含组织信息并用于更新知识图；如果威胁情报不可用，则通过通信模式指纹发现通信模式的攻击组织；

所述的知识管理组件通过知识图来管理工业控制系统网络的所有信息，分为内部网络知识图和外部网络知识图两个子图，均存储在图数据库中，内部网络知识图负责管理存储在工业控制系统网络蜜罐和蜜网控制器中的工业控制系统网络信息，外部网络知识图负责管理存储在蜜网控制器中的外部网络信息和威胁智能。

进一步地，所述的流量建模模块将流量分析模型分成以下两步：

第一步、用CART算法构造二叉决策树，使用基尼系数来选择分区特性，即数据集D的纯度通过基尼系数来测量：

特征a的基尼系数定义为：

式中，p_k表示第k类样本的比例；p_k’表示除了第k类以外的其他类样本的比例；y表示样本的类数；N表示特征a的不同值的数目；Dⁿ表示第n类子数据集；|D|表示数据集中数据个数；|Dⁿ|表示第n类子数据集中数据个数；

选取基尼系数最小的特征作为最优分割特征，在训练过程中不断选择当前最优特征对剩余数据进行分割，直到所有训练数据分类正确或训练达到最大深度为止；

使用代价复杂度剪枝(CCP)算法来剪枝训练的CART以避免过拟合，为了权衡精度和过拟合情况，引入了一个变量，并将损失函数定义为：

C_α(T)＝C(T)+α|T|

C(T)表示预测误差；|T|表示子树T的叶节点数；根据上述公式，C(T)用于测量对训练数据集的适应度，α是用来平衡适应度和复杂度的参数。通过一个独立的验证数据集，选择精度最高的子树作为最优剪枝树；

第二步、利用One-Vs-One(OVO)方法构造多分类模型OVO-CART

通信模式由多个特征向量组成，这些特征向量用于表征会话中的ICS协议数据包，因此，OVO-CART以特征向量作为输入，所有特征向量的结果之和是通信模式的结果，称为通信模式指纹(CPF)；

当分析特征向量v_k时，OVO-CART以两元组(c_j,l，p_j,l)的形式给出结果，通过合并这两个元组，属于i类的v_k的票数被定义为：

属于i类的通信模式的票数定义为：

CPF定义如下:

CPF＝{C₁,C₂,…,C_n}

式中：c_j,l表示CART的结果；p_j,l表示CART的概率；j和l表示CART的对应编号；m表示通信模式的特征向量的数目；C_i表示i类的所有通信模式指纹的集合；I_i是类别i的示性函数；v_ji是属于i类的特征向量v_j的票数。

进一步地，对于通信模式是否异常，确定外部网络蜜罐和隔离区蜜罐捕获的通信模式是异常的，而确定工业控制系统网络蜜罐捕获的通信模式在工业控制系统通信模式库之外时是异常的；

对于传播模式是否呈现出一种新的传播模式，分为两个步骤：阈值判断和模型判断；阈值判断是指当通信模式的指纹与同一类的所有通信模式的指纹之间的最小距离大于阈值T_new时，确定该通信模式为新模式，其公式如下：

式中，CPF^*表示被分类为i类的待判断通信模式的指纹；CPF_ij表示第i类第j个通信模式的指纹；

表示CPF^*与第i类中所有通信模式指纹中最小的距离；

当通信模式通过阈值判断时，将其发送回流量建模模块；流量建模模块尝试用通信模式和新的类标签更新流量分析模型，如果通信模式被“新”模型准确地分类为新类，则通过模型判断，否则将被忽略为现有模式。

进一步地，高级威胁通过数据包的内容或与已知攻击流量的比较来识别；低级威胁和中级威胁通过最大深度MD、连接数NoC和分组数NoP三个变量来评估，它们对应三个阈值：最大深度阈值T_MD,，连接数阈值T_NoC和分组数阈值T_NoP，三个阈值分别定义为：

k是通信模式的数目；d_min所有通信模式的最小MD；d_max所有通信模式的最大MD；NoC_min表示所有通信模式的最小NoC；NoC_max表示所有通信模式的最大NoC；NoP_min表示所有通信模式的最小NoP；NoC_max表示所有通信模式的最大NoP；

如果通信模式的三个变量中的两个或三个大于它们对应的阈值，则通信模式被认为是中级威胁，否则通信模式被确定为低级威胁。

另一方面，本发明提供了一种基于蜜网的工业控制网络主动防御方法，其基于上述的蜜网的工业控制网络主动防御系统，该方法包括以下步骤：

步骤1)通过外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐捕获攻击流量；

步骤2)通过流量处理模块和流量建模模块对攻击流量进行分析，提取出其通信模式；

步骤3)对步骤2)中提取的通信模式，通过流量评估模块从异常流量、威胁级别和攻击组织三方面进行评估：

3.1)判断通信模式是否异常：若通信模式为异常，则发出异常告警；

3.2)判断异常的通信模式是否为新的通信模式：将异常的通信模式与通信模式库中模式进行对比，判断其是否为新的通信模式，若异常的通信模式是新的通信模式，则更新通信模式库；

3.3)评估异常的通信模式的威胁级别，当判断为高级别威胁时发出威胁告警；

3.4)通过异常的通信模式发现其攻击组织，如果通信模式由外部IP生成，可以在知识图中搜索组织信息，否则尝试通过网络爬虫搜集IP的威胁情报，如果威胁情报中没有包含组织信息，则使用通信模式指纹发现通信模式的攻击组织，并通报相关组织信息。

本发明的有益效果是：本发明提供的基于蜜网的工业控制网络主动防御系统及其方法不仅能准确地检测出工业控制系统网络流量中的异常情况，而且能够评估其威胁程度并发现其关联的攻击组织。本发明采用分层的工业控制系统网络流量捕获系统，既可以捕获外部的工业控制系统网络流量，也可以捕获内部的工业控制系统网络流量；采用多类分类算法对工业控制系统网络流量进行建模，能够准确识别不同IP之间的通信模式，具有良好的可扩展性；将工业控制系统网络与来自互联网的威胁情报相结合，能够有效发现攻击组织。本发明利用已知的公开数据集和真实的蜜网数据集对两种工业控制系统协议进行了大量的实验，验证了该方法的有效性和适应性。

附图说明

图1是本发明的基于蜜网的工业控制网络主动防御系统的总体架构图。

图2是本发明的基于蜜网的工业控制网络主动防御系统的信息源和收集方法图。

图3是本发明的基于蜜网的工业控制网络主动防御系统的工业控制系统蜜网分层架构图。

图4是本发明的基于蜜网的工业控制网络主动防御方法的流程图。

图5是本发明的基于蜜网的工业控制网络主动防御系统的工业控制系统网络知识图。

图6是实施例一中指纹识别工业控制系统网络流量的准确性结果图。

图7是实施例二中不同阈值下“更新”方法的有效性结果图。

图8是实施例三中用阈值评估工业控制系统网络流量的威胁级别结果图。

具体实施方式

以下结合附图和具体实施方案对本发明作进一步的详细说明，但不作为对本发明技术方案的限定。

一种基于蜜网的工业控制网络主动防御系统，在所述的系统中包含以下三个组件：信息收集组件、流量分析组件与知识管理组件(如图1所示)。

信息收集组件

在信息收集组件中包括工业控制系统蜜网、网络爬虫、流量镜像。

工业控制系统蜜网被部署在三个层：外部网络、隔离区(DMZ)和工业控制系统网络，分别构成外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐。其中，外部网络蜜罐用于捕获来自外部攻击者的攻击流量，从而提供最新且流行的攻击模式；隔离区蜜罐用于检测对受保护的企业网络的攻击和接收来自现有攻击工具的攻击流量，以更新当前流量分析模型；工业控制系统网络蜜罐用于捕获针对工业控制系统网络的攻击。由上述可得，工业控制系统蜜网能够捕获来自所有攻击点的攻击流量，如图3所示。

网络爬虫设置于蜜网控制器中，蜜网控制器设置于隔离区，用于存储所有攻击者的威胁情报，外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐均能查询这些情报。蜜网控制器接收到新的攻击者IP，网络爬虫的程序将搜索以下信息：域名、所有者、组织、地理位置等。为了获得全面的信息，网络爬虫主要参考了以下信息源：IBM、MaxMind、ThreatCrowd、Arin和APNIC。

流量镜像将工业控制系统网络的流量导入工业控制系统网络蜜罐，工业控制系统网络蜜罐构建工业控制系统通信模式库，实时监控工业控制系统网络。由于工业控制系统网络的流量来源于合法的工业控制系统设备，因此本发明将工业控制系统通信模式库外的通信模式视为异常活动。

流量分析组件

流量分析组件包括流量处理模块、流量建模模块和流量评估模块，外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐中均嵌入流量分析组件，以提高流量分析的实时性，降低了各蜜罐中数据传输的负载。一旦各蜜罐中的流量分析模型用新的通信模式更新，蜜网控制器将向所有剩余的蜜罐发送新的模式，以及时更新所有蜜罐。

其中流量处理模块从会话提取开始，将连接流减少到工业控制系统协议级会话流。基于所提取的会话，外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐均从沟通通信策略、通信强度和通信内容三个方面刻画了工业控制系统网络的流量的通信模式：沟通通信策略用于评估沟通通信过程的复杂性；通信强度用于评估会话中工业控制系统协议流量的负载和数量；通信内容用于描述工业控制系统协议数据包的数据部分。

工业控制系统网络的流量的通信模式CP可以表示为：

CP＝CT+CI+CC

其中，CT表示通信策略；CI表示通信强度；CC表示通信内容。

流量建模模块将流量分析模型分成以下两步：

第一步，用CART算法构造二叉决策树，使用基尼系数来选择“分区特性”。即数据集D的纯度通过基尼系数来测量：

特征a的基尼系数定义为：

式中，p_k表示第k类样本的比例；p_k’表示除了第k类以外的其他类样本的比例；y表示样本的类数；N表示特征a的不同值的数目；Dⁿ表示第n类子数据集；|D|表示数据集中数据个数；|Dⁿ|表示第n类子数据集中数据个数。

选取基尼系数最小的特征作为最优分割特征，在训练过程中不断选择当前最优特征对剩余数据进行分割，直到所有训练数据分类正确或训练达到最大深度为止。

使用代价复杂度剪枝(CCP)算法来剪枝训练的CART以避免过拟合。为了权衡精度和过拟合情况，引入了一个变量，并将损失函数定义为：

C_α(T)＝C(T)+α|T|

C(T)表示预测误差；|T|表示子树T的叶节点数；根据上述公式，C(T)用于测量对训练数据集的适应度，α是用来平衡适应度和复杂度的参数。通过一个独立的验证数据集，选择精度最高的子树作为最优剪枝树。

第二步，利用One-Vs-One(OVO)方法构造多分类模型OVO-CART。

OVO方法将多类分类问题分解为尽可能多的两类分类问题。然后训练CART来区分每一对两类分类问题，并组合这些CART的输出以预测输出类。当添加一个新类时，OVO-CART只需要构造n个新的CART，而不是重新训练所有先前的CART，其中n是先前类的数目。这使得流量分析模型具有良好的稳定性和可扩展性。通信模式由几个特征向量组成，这些特征向量用于表征会话中的ICS协议数据包。因此，OVO-CART以特征向量作为输入，所有特征向量的结果之和是通信模式的结果，称为通信模式指纹(CPF)。具体地，当分析特征向量v_k时，OVO-CART以两元组(c_j,l，p_j,l)的形式给出结果，通过合并这两个元组，属于i类的v_k的票数被定义为：

属于i类的通信模式的票数定义为：

CPF定义如下:

CPF＝{C₁,C₂,…,C_n}

式中：c_j,l表示CART的结果；p_j,l表示CART的概率；j和l表示CART的对应编号；m表示通信模式的特征向量的数目；C_i表示i类的所有通信模式指纹的集合；I_i是类别i的示性函数；v_ji是属于i类的特征向量v_j的票数。

通信模式的类别与CPF中具有最大值的类别一致，CPF中的最大值表示最大票数。

流量评估模块从异常流量、威胁级别和攻击组织三个方面对工业控制系统网络流量进行评估。异常流量评估涉及两个问题：(1)通信模式是否异常；(2)传播模式是否呈现出一种新的传播模式。

对于第一个问题，确定外部网络蜜罐和隔离区蜜罐捕获的通信模式是异常的，而确定工业控制系统网络蜜罐捕获的通信模式在工业控制系统通信模式库之外时是异常的。第二个问题分为两个步骤：阈值判断和模型判断。阈值判断是指当通信模式的指纹与同一类的所有通信模式的指纹之间的最小距离大于阈值T_new时，确定该通信模式为新模式，其公式如下：

式中，CPF^*表示被分类为i类的待判断通信模式的指纹；CPF_ij表示第i类第j个通信模式的指纹；

表示CPF^*与第i类中所有通信模式指纹中最小的距离。

当通信模式通过阈值判断时，将其发送回流量建模模块。流量建模模块尝试用通信模式和新的类标签更新流量分析模型。如果通信模式被“新”模型准确地分类为新类，则通过模型判断，否则将被忽略为现有模式。

同时，流量评估模块将通信模式的威胁等级划分为低、中、高三个等级。高级威胁通常通过数据包的内容或与已知攻击流量的比较来识别。低级威胁和中级威胁通过最大深度MD、连接数NoC和分组数NoP三个变量来评估，它们对应三个阈值：最大深度阈值T_MD,，连接数阈值T_NoC和分组数阈值T_NoP，T_MD是与所有点MD距离最小的点，它可以很好地对所有点进行分类，类似于支持向量机中的超平面，T_NoC和T_NoP两个阈值同理。以上三个阈值分别定义为：

k是通信模式的数目；d_min所有通信模式的最小MD；d_max所有通信模式的最大MD；NoC_min表示所有通信模式的最小NoC；NoC_max表示所有通信模式的最大NoC；NoP_min表示所有通信模式的最小NoP；NoC_max表示所有通信模式的最大NoP。

如果通信模式的三个变量中的两个或三个大于它们对应的阈值，则通信模式被认为是中级威胁。否则通信模式被确定为低级威胁。

流量评估模块通过两种方法发现通信模式的攻击组织。当通信模式由外部IP生成时，首先在知识图中搜索其组织信息。其次尝试用网络爬虫收集威胁信息，该爬虫包含组织信息并用于更新知识图。如果威胁情报不可用，则通过通信模式指纹发现通信模式的攻击组织。

知识管理组件

知识管理组件利用知识图来管理工业控制系统网络的所有信息，分为内部网络知识图和外部网络知识图两个子图，它们都存储在图数据库中，如图5所示，内部网络知识图负责管理存储在工业控制系统网络蜜罐和蜜网控制器中的工业控制系统网络信息。外部网络知识图负责管理存储在蜜网控制器中的外部网络信息和威胁智能。

另一方面，如图4所示，本发明提供了一种基于蜜网的工业控制网络主动防御方法，其基于上述的蜜网的工业控制网络主动防御系统，该方法包括以下步骤：

步骤1)通过外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐捕获攻击流量；

步骤2)通过流量处理模块和流量建模模块对攻击流量进行分析，提取出其通信模式；

步骤3)对步骤2)中提取的通信模式，通过流量评估模块从异常流量、威胁级别和攻击组织三方面进行评估：

3.1)判断通信模式是否异常：若通信模式为异常，则发出异常告警；

3.2)判断异常的通信模式是否为新的通信模式：将异常的通信模式与通信模式库中模式进行对比，判断其是否为新的通信模式，若异常的通信模式是新的通信模式，则更新通信模式库；

3.3)评估异常的通信模式的威胁级别，当判断为高级别威胁时发出威胁告警；

3.4)通过异常的通信模式发现其攻击组织，如果通信模式由外部IP生成，可以在知识图中搜索组织信息，否则尝试通过网络爬虫搜集IP的威胁情报，如果威胁情报中没有包含组织信息，则使用通信模式指纹发现通信模式的攻击组织，并通报相关组织信息。

实施例一：提取工业控制系统网络流量特征

假定不同的网络实体具有不同的能力和意图，因此不同网络实体总是生成不同的通信模式。本发明将这些通信模式作为不同网络实体的指纹来检测大量工业控制系统网络流量中的异常流量。本实施例以准确率为主要指标，研究了本发明的指纹工业控制系统网络流量的有效性。

首先本发明根据不同工业控制系统协议的特征向量从原始工业控制系统网络流量中提取会话；60％的会话用于训练，其余40％的会话用于测试模型，其中训练数据和测试数据是随机选择的。实验进行了10次，如图6所示为实验结果的最小值、最大值和平均值。实验结果表明，本发明能够有效地从工业控制系统网络流量中提取会话，准确识别不同网络实体的通信模式指纹，对不同的工业控制系统协议具有良好的适应性。

实施例二：检测异常通信量

本发明在检测异常通信量方面有“非更新”和“更新”两种方法，以准确度Accuracy、精度Precision、召回率Recall和F1评分四个标准来评价检测通信量的效果。标准定义如下：

其中，TP是指同一组织的成员被归入同一组群；TN是指将不同组织的成员分组为不同的群组；FP是指将不同组织的成员分组到同一个集群中；FN是指同一组织的成员被分组到不同的集群中。

首先将数据集分成两部分，对“非更新”方法用第1部分数据进行训练，用第2部分数据进行测试；然后用60％的第1部分和第2部分数据将“非更新”方法进行训练，并用数据的剩余40％进行测试；最后进行阈值为0.3的“更新”方法实验，由第1部分数据进行训练，并由第2部分数据进行测试。

实验结果表明当工业控制系统网络的所有知识都已知时，“非更新”方法在检测异常流量方面表现良好；而当仅知道工业控制系统网络的一部分知识时，“非更新”方法的有效性略有下降。更值得注意的是，当仅有部分知识时，“更新”方法的有效性甚至超过了全部知识已知时的“非更新”方法的有效性。

接下来研究阈值对“更新”方法的影响，从0到1以步长为0.1取11个阈值，实验结果如图7所示，显然当阈值小于0.3时，“更新”方法具有较差且不稳定的有效性，并且容易产生许多新的通信模式。而当阈值大于等于0.3时，“更新”方法表现得非常好，并且只生成几个新的代表性通信模式。因此当最佳阈值未知时，应优先选择较大的阈值。

实施例三：评估威胁程度

首先本实施例基于专业知识及恶意性和攻击类型给第2部分的数据分配不同的威胁级别。接下来使用第1部分的数据作为训练数据来生成最大深度、连接数和分组数三个特性的阈值T_MD，T_NoC和T_NoP。本发明用这三个阈值评估第2部分数据的威胁级别，结果精度为0.948，如图8所示有四个评估误差：第一个错误是由于扫描的IC器件没有返回正确的响应，从而中断了后续的扫描活动，其余三个错误由数据中的写入操作引起，因为写入操作不应出现在数据中。实验结果表明，本发明不仅能准确地评估工业控制系统网络流量的威胁程度，而且能够从流量中检测出“危险”操作。

实施例四：发现攻击组织

本发明假设同一组织的成员倾向于使用相同的通信模式，并且每个组织的通信模式不同。本实施例中数据用Modbus蜜罐数据集，使用实施例二中定义的精度、召回率和F1评分三个指标来评估方法的有效性，实验结果为“更新”方法的精度接近于1，召回率为0.96，F1评分为0.98，可以看出本发明的“更新”方法具有很高的有效性，并且能够实时执行任务。

Claims (5)

1.一种基于蜜网的工业控制网络主动防御系统，其特征在于，其包含以下三个组件：信息收集组件、流量分析组件与知识管理组件；其中，

所述的信息收集组件包括工业控制系统蜜网、网络爬虫、流量镜像；其中：

所述的工业控制系统蜜网被部署在三个层：外部网络、隔离区和工业控制系统网络，分别构成外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐；所述的外部网络蜜罐用于捕获来自外部攻击者的攻击流量，从而提供最新且流行的攻击模式；所述的隔离区蜜罐用于检测对受保护的企业网络的攻击和接收来自现有攻击工具的攻击流量，以更新当前流量分析模型；所述的工业控制系统网络蜜罐用于捕获针对工业控制系统网络的攻击；

所述的网络爬虫设置于蜜网控制器中，蜜网控制器设置于隔离区，用于存储所有攻击者的威胁情报，外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐均能查询这些情报；

所述的流量镜像将工业控制系统网络的流量导入工业控制系统网络蜜罐，工业控制系统网络蜜罐构建工业控制系统通信模式库，实时监控工业控制系统网络；

所述的流量分析组件包括流量处理模块、流量建模模块和流量评估模块，外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐中均嵌入流量分析组件，以提高流量分析的实时性，降低了各蜜罐中数据传输的负载；其中：

所述流量处理模块从会话提取开始，将连接流减少到工业控制系统协议级会话流，基于所提取的会话，外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐均从沟通通信策略、通信强度和通信内容三个方面刻画了工业控制系统网络的流量的通信模式：沟通通信策略用于评估沟通通信过程的复杂性；通信强度用于评估会话中工业控制系统协议流量的负载和数量；通信内容用于描述工业控制系统协议数据包的数据部分；

所述的流量建模模块将流量分析模型分成以下两步：第一步、用CART算法构造二叉决策树，使用基尼系数来选择分区特性；第二步、利用OVO方法构造多分类模型OVO-CART，OVO方法即One-Vs-One方法；

所述的流量评估模块从异常流量、威胁级别和攻击组织三个方面对工业控制系统网络流量进行评估；其中：异常流量评估涉及两个问题：通信模式是否异常；传播模式是否呈现出一种新的传播模式；同时，所述的流量评估模块将通信模式的威胁等级划分为低、中、高三个等级；流量评估模块通过两种方法发现通信模式的攻击组织，当通信模式由外部IP生成时，首先在知识图中搜索其组织信息，其次尝试用网络爬虫收集威胁信息，该网络爬虫包含组织信息并用于更新知识图；如果威胁情报不可用，则通过通信模式指纹发现通信模式的攻击组织；

所述的知识管理组件通过知识图来管理工业控制系统网络的所有信息，分为内部网络知识图和外部网络知识图两个子图，均存储在图数据库中，内部网络知识图负责管理存储在工业控制系统网络蜜罐和蜜网控制器中的工业控制系统网络信息，外部网络知识图负责管理存储在蜜网控制器中的外部网络信息和威胁智能。

2.根据权利要求1所述的基于蜜网的工业控制网络主动防御系统，其特征在于，所述的流量建模模块将流量分析模型分成以下两步：

第一步、用CART算法构造二叉决策树，使用基尼系数来选择分区特性，即数据集D的纯度通过基尼系数来测量：

特征a的基尼系数定义为：

式中，p_k表示第k类样本的比例；p_k’表示除了第k类以外的其他类样本的比例；y表示样本的类数；N表示特征a的不同值的数目；Dⁿ表示第n类子数据集；|D|表示数据集中数据个数；|Dⁿ|表示第n类子数据集中数据个数；

选取基尼系数最小的特征作为最优分割特征，在训练过程中不断选择当前最优特征对剩余数据进行分割，直到所有训练数据分类正确或训练达到最大深度为止；使用代价复杂度剪枝CCP算法来剪枝训练的CART以避免过拟合，为了权衡精度和过拟合情况，引入了一个变量，并将损失函数定义为：

C_α(T)＝C(T)+α|T|

C(T)表示预测误差；|T|表示子树T的叶节点数；根据上述公式，C(T)用于测量对训练数据集的适应度，α是用来平衡适应度和复杂度的参数；通过一个独立的验证数据集，选择精度最高的子树作为最优剪枝树；

第二步、利用One-Vs-One方法构造多分类模型OVO-CART

通信模式由多个特征向量组成，这些特征向量用于表征会话中的ICS协议数据包，因此，OVO-CART以特征向量作为输入，所有特征向量的结果之和是通信模式的结果，称为通信模式指纹CPF；

当分析特征向量v_k时，OVO-CART以两元组(c_j,l，p_j,l)的形式给出结果，通过合并这两个元组，属于i类的v_k的票数被定义为：

属于i类的通信模式的票数定义为：

CPF定义如下:

CPF＝{C₁,C₂,…,C_n}

式中：c_j,l表示CART的结果；p_j,l表示CART的概率；j和l表示CART的对应编号；m表示通信模式的特征向量的数目；C_i表示i类的所有通信模式指纹的集合；I_i是类别i的示性函数；v_ji是属于i类的特征向量v_j的票数。

3.根据权利要求1或2所述的基于蜜网的工业控制网络主动防御系统，其特征在于，对于通信模式是否异常，确定外部网络蜜罐和隔离区蜜罐捕获的通信模式是异常的，而确定工业控制系统网络蜜罐捕获的通信模式在工业控制系统通信模式库之外时是异常的；

对于传播模式是否呈现出一种新的传播模式，分为两个步骤：阈值判断和模型判断；阈值判断是指当通信模式的指纹与同一类的所有通信模式的指纹之间的最小距离大于阈值T_new时，确定该通信模式为新模式，其公式如下：

式中，CPF^*表示被分类为i类的待判断通信模式的指纹；CPF_ij表示第i类第j个通信模式的指纹；

表示CPF^*与第i类中所有通信模式指纹中最小的距离；

当通信模式通过阈值判断时，将其发送回流量建模模块；流量建模模块尝试用通信模式和新的类标签更新流量分析模型，如果通信模式被新模型准确地分类为新类，则通过模型判断，否则将被忽略为现有模式。

4.根据权利要求1或2所述的基于蜜网的工业控制网络主动防御系统，其特征在于，高级威胁通过数据包的内容或与已知攻击流量的比较来识别；低级威胁和中级威胁通过最大深度MD、连接数NoC和分组数NoP三个变量来评估，它们对应三个阈值：最大深度阈值T_MD，连接数阈值T_NoC和分组数阈值T_NoP，三个阈值分别定义为：

k是通信模式的数目；d_min所有通信模式的最小MD；d_max所有通信模式的最大MD；NoC_min表示所有通信模式的最小NoC；NoC_max表示所有通信模式的最大NoC；NoP_min表示所有通信模式的最小NoP；NoC_max表示所有通信模式的最大NoP；

如果通信模式的三个变量中的两个或三个大于它们对应的阈值，则通信模式被认为是中级威胁，否则通信模式被确定为低级威胁。

5.一种基于蜜网的工业控制网络主动防御方法，其特征在于，所述的方法基于权利要求1至4中任一项所述的蜜网的工业控制网络主动防御系统，该方法包括以下步骤：

步骤1)通过外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐捕获攻击流量；

步骤2)通过流量处理模块和流量建模模块对攻击流量进行分析，提取出其通信模式；

步骤3)对步骤2)中提取的通信模式，通过流量评估模块从异常流量、威胁级别和攻击组织三方面进行评估：

3.1)判断通信模式是否异常：若通信模式为异常，则发出异常告警；

3.2)判断异常的通信模式是否为新的通信模式：将异常的通信模式与通信模式库中模式进行对比，判断其是否为新的通信模式，若异常的通信模式是新的通信模式，则更新通信模式库；

3.3)评估异常的通信模式的威胁级别，当判断为高级别威胁时发出威胁告警；

3.4)通过异常的通信模式发现其攻击组织，如果通信模式由外部IP生成，可以在知识图中搜索组织信息，否则尝试通过网络爬虫搜集IP的威胁情报，如果威胁情报中没有包含组织信息，则使用通信模式指纹发现通信模式的攻击组织，并通报相关组织信息。

Images