CN111695823A - 一种基于工控网络流量的异常评估方法与系统 - Google Patents

Abstract

本发明公开了一种基于工业网络流量的异常评估方法与系统，该方法包括如下步骤：异常校验步骤，通过已知的多源安全信息过滤被误报的异常信息；异常聚合步骤，通过聚合算法减少异常流量数量，实现工业网络异常信息标准化；异常关联步骤，通过异常关联分析、感知和预测安全事件。该异常评估系统有利于提高工控网络流量的解释性和可预测性，提升网络态势感知能力，及时规避工业网络中的安全风险。

Description

一种基于工控网络流量的异常评估方法与系统

技术领域

本发明涉及工业网络异常评估的技术，具体而言，涉及一种基于工控网络流量的异常评估方法与系统。

背景技术

工业控制网络数据种类繁多，数据量庞大，由于网络结构的复杂性，针对网络的攻击和恶意行为越来越多，利用网络存在的漏洞和安全缺陷对网络系统进行的攻击层出不穷。网络流量异常检测方法可以有效检测出网络中的异常流量，识别流量风险。然而，目前的异常检测算法大多止步于为每一条数据打上标签，标记为正常或者异常。这些异常中有的是假异常，有的是短时间已经发出不再需要重复发出的异常。大量被误判为异常的正常流量数据与少量被正确判断为异常的异常数据混杂在一起，会严重削弱入侵检测系统的可用性，这也是基于异常的入侵检测系统难以实际使用的原因之一。

目前的异常检测方法亟需解决以下问题：

(1)虚假异常比例较高：异常检测算法往往只基于数据发现异常，高比例的虚假异常往往会影响后续的异常行为关联；

(2)异常流量数据量大：工业网络遭遇攻击时产生大量异常流量，大量数据凭借人工手段难以探究规律；

(3)难以感知和预测安全事件：现有方法基于安全事件的事后评判，缺少实时展示当前网络安全风险和预测可能的安全事件的方法。

发明内容

本发明的目的在于提供一种基于工业网络流量的异常评估方法与系统实现方式，提高工控网络流量的解释性和可预测性，提升网络态势感知能力，及时规避工业网络中的安全风险。

为实现上述目的，本发明的技术方案提供了一种基于工业网络流量的异常评估方法与系统实现方式，可以减少虚假异常数量，聚合重复异常，有效挖掘异常关联，实现安全风险预测；

该发明的技术方案是提供了一种基于工控网络流量的异常评估方法，其特征在于其特征在于，包括如下步骤：

步骤1、基于多源安全信息的异常校验，通过已知的设备信息、漏洞信息、网络拓扑信息，以及实时服务信息过滤确定为正常的异常信息，使用多源模糊评价方法确定异常校验结果；

步骤2、进行异常流量聚合，通过聚合算法对异构多协议异常信息进行精简和标准化，分协议聚合异常流量，并将分协议聚合异常流量转化为统一格式的异常信息，减少异常流量数量；

步骤3、实现基于攻击图的异常关联，根据先验知识挖掘攻击意图、重建攻击场景，根据关联关系构建安全事件图模型，实时展示网络安全态势，根据图模型推理并预测可能发生的安全事件。

进一步地，步骤1中，多源模糊评价方法通过以下方式实现：

确定评价因子集和评价标注，评价因子分为三类，分别对应操作系统相关性、网络服务相关性和漏洞信息相关性；

计算当前异常信息与评价因子的隶属度，隶属度计算根据规则定义查表计算；

确定权重向量，权重向量根据专家的经验来决定，目的是减少两层模糊综合评价模型中的不确定性；

计算异常相关的安全信息与目标主机信息的相关分数，首先在模糊综合评价的第二级执行评估，利用二级评估的结果决定一级评估和最终相关度，根据最终相关度决定是否过滤异常。

进一步地，步骤2中，进行异常流量聚合时，

对于记录R_a和R_b，聚合相似度的度量方式为：

Dist(R_aj，R_bj)＝1-Sim(R_aj，R_bj)

其中，其中N是数值属性的数量，C是非数值型属性的数量；R_aj是记录a的第j个属性，R_bj是记录b的第j个属性，Dist(R_aj，R_bj)代表两个记录间第j个属性的距离，Sim(R_aj，R_bj)代表非数值型属性的相似度，abs(R_ai，R_bi)代表数值型属性的距离，Dist(R_a，R_b)代表记录R_a和R_b的整体距离。

进一步地，步骤3通过以下方式实现：

步骤3.1、重建攻击序列，发现隐藏在异常操作中的真实关联，使用序列剪枝算法剔除反复出现的异常模式；

步骤3.2、完成异常事件预测，通过已知的攻击事件关系与异常关联建立攻击图，利用概率计算安全事件发生概率，攻击序列A＞B的发生概率为：

其中，P代表事件的发生概率，F代表攻击图中事件的出现次数。

该发明还提供了一种基于工控网络流量的异常评估系统，其特征在于，包括如下模块：基于多源安全信息的异常校验模块，异常流量聚合模块，基于攻击图的异常关联模块，其特征在于：

基于多源安全信息的异常校验模块，通过已知的设备信息、漏洞信息、网络拓扑信息，以及实时服务信息过滤确定为正常的异常信息，使用多源模糊评价方法确定异常校验结果；

异常流量聚合模块，通过聚合算法对异构多协议异常信息进行精简和标准化，分协议聚合异常流量，并将分协议聚合异常流量转化为统一格式的异常信息，减少异常流量数量；

基于攻击图的异常关联模块，根据先验知识挖掘攻击意图、重建攻击场景，根据关联关系构建安全事件图模型，实时展示网络安全态势，根据图模型推理并预测可能发生的安全事件。

本发明的有益效果在于：

(1)有效减少工业网络中的虚假异常数量：通过多源安全信息的模糊综合评价，消除确认为正常的异常信息。相比于改进异常检测算法，异常校验的优势在于考虑真实的网络流量逻辑，而非仅仅基于数据异常；

(2)有效聚合重复的工业异常流量：通过基于属性相似度的聚合方法可以有效减少相同协议的异常流量数量，通过标准化和基于时序相似度的聚合方法可以识别异常流量的时序特征和真实含义，便于后续异常分析；

(3)有效预测安全事件：通过构建攻击图可以挖掘异常流量的关联关系，重建攻击场景，增强异常信息的可解释性。通过攻击图可以计算安全事件的联合分布概率，根据现有异常信息预测后续事件的发生概率，推测可能发生的安全事件。

附图说明

本发明的上述和/或附加方面的优点在结合下面附图对实施例的描述中将变得明显和容易理解，其中：

图1是根据本发明的一个实施例的基于工业网络流量的异常评估方法流程示意图；

图2是根据本发明的一个实施例的基于多源安全信息的异常校验方法流程示意图；

图3是根据本发明的一个实施例的异常聚合方法示意图；

图4是根据本发明的一个基于攻击图的异常关联方法示意图。

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本发明的实施例及实施例中的特征可以相互结合。

如图1所示，本实施实例提供了一种基于工业网络流量的异常评估方法，包括：多源安全信息的异常校验，异常流量聚合，基于攻击图的异常关联。其中：

步骤1、基于多源安全信息的异常校验，通过已知的设备信息、漏洞信息、网络拓扑信息，以及实时服务信息过滤确定为正常的异常信息，使用多源模糊评价方法确定异常校验结果；

具体如图2所示：首先需要查询多源安全信息数据库，确定评价因子集和评价标注，随后需要查询模糊矩阵表并计算当前异常信息与已知配置信息的隶属度，接下来需要确定权重向量，汇总权重信息，最后计算异常相关的安全信息与目标主机信息的相关分数，根据相关分数可以判定当前异常是否需要被排除。

步骤1.1：确定评价因子集和评价标注。在异常验证过程中，可以采用两层FCE模型。评价因子分为三类，分别是操作系统、网络服务和漏洞检测，评价因子可以定义如下标注：

V＝{v₁，v₂，v₃}＝{completely relevant，relevant，irrelevant}

步骤1.2：计算当前异常信息与已知配置信息的隶属度，隶属度计算根据规则定义查表计算。

步骤1.3：确定权重向量。权重向量通常是根据专家的经验来决定的，为了减少这个两层模糊综合评价模型中的不确定性，例如可以使用下面的思想来确定这些权重向量。

K＝(k_os，k_service，k_{vulnerability})

K₁＝(k_os.name，k_os.version)，K₂＝(k_service.name，k_{service.version})

其中K是权重向量，k_os，k_service，k_{vulnerability}代表对于操作系统、服务和漏洞信息相关性的不同权重。根据先验知识，可以保证如下优先级，避免过多不确定性的影响。

k_os≥k_service≥k_{vulnerability}

k_os.name≥k_os.version

k_service.name≥k_{service.version}

步骤1.4：计算异常相关的安全信息与目标主机信息的相关分数。首先在模糊综合评价的第二级执行评估，利用二级评估的结果决定一级评估和最终相关度。

R_s＝B＝KοR

其中K为权重向量，R为模糊矩阵，B₁、B₂、B₃为对于os、service、vulnerability分别进行二级评估的结果，B为一级评估结果，R_s为最终评级结果。

步骤2、进行异常流量聚合，通过聚合算法对异构多协议异常信息进行精简和标准化，分协议聚合异常流量，并将分协议聚合异常流量转化为统一格式的异常信息，减少异常流量数量；

具体如图3所示；聚合步骤分为两个方面，首先是根据工业网络协议基于相似度聚合，在相似度聚合完成之后，为了便于后续步骤的规则指定，需要对不同协议的异常流量数据进行标准化，在标准化完成之后进行基于时序的聚合处理。

首先根据工业网络协议基于相似度聚合，利用K-means算法和相似度距离公式完成聚类：

Dist(R_aj，R_bj)＝1-Sim(R_aj，R_bj)

其中，其中N是数值属性的数量，C是非数值型属性的数量。R_aj是记录a的第j个属性，R_bj是记录b的第j个属性，Dist(R_aj，R_bj)代表两个记录间第j个属性的距离，Sim(R_aj，R_bj)代表非数值型属性的相似度，abs(R_ai，R_bi)代表数值型属性的距离，Dist(R_a，R_b)代表记录R_a和R_b的整体距离。

其次，根据分协议聚合的结果，将异常流量转化为IDMEF标准化格式，便于后续聚合处理。

最后，基于动态时间阈值对异常进行时序聚合。例如可以使用如下方式动态更新时间间隔：

τ_i＝t_i+1-t_i i＝1，2，...，n-1

T＝τ_avg+τ_avg×σ^*(τ)

其中τ_avg是时间间隔的平均值，σ(τ)是时间间隔的均方差，σ^*(τ)是时间间隔的相对均方差，根据该系数可以动态更新时间阈值，T是动态更新的时间阈值。当新的异常到达时，首先计算与前一个异常的时间间隔τ_i-1，如果τ_i-1≤T则说明满足聚合条件，否则会重新建立一个新的聚合起点。

步骤3、实现基于攻击图的异常关联，根据先验知识挖掘攻击意图、重建攻击场景，根据关联关系构建安全事件图模型，实时展示网络安全态势，攻击图的构建方式具体如图4所示：首先获取所有的攻击序列，并获取序列中的下一个事件g，如果g已经存在于当前的攻击图中，则跳过该事件，否则将g插入到当前攻击图，并链接插入指针与g事件，随后重新设置插入指针，直到遍历完所有事件和序列。

步骤3.1：攻击序列重建

当两个异常在同一个入侵会话中相继发生时，它们之间的关联关系是显著的，可以通过序列分割和序列剪枝方法构建攻击序列。假设每个异常都属于一个入侵会话，通过维护一个FIFO队列，可以将新提取的异常附加到该队列中，并且可以将一组表示新入侵会话的操作从队列的头部截断。通过迭代地移除序列中相邻的重复模态，可以达到序列剪枝的效果。

步骤3.2：完成异常事件预测

通过已知的攻击事件关系与异常关联可以建立攻击图，通过历史数据的分析和部分人工经验干预，可以构建不同攻击的攻击关联图，以及通过实时数据的到达情况对部分节点进行更新和剪枝。利用攻击图和概率计算可以实时展示当前网络的安全风险，通过联合概率可以预测各项安全事件发生的概率，提前发出风险警告。

基于攻击图可以预测即将到来的安全事件，将攻击序列A＞B发生的频率记为F(A＞B)，将攻击序列A＞B发生的概率记为P(A，B)，那么根据攻击图可以预测该攻击序列的发生概率为：

根据这一公式，可以推导出A的后续事件的发生概率，记A的后续事件为B₁，B₂，...，B_n，则后续事件的总体发生概率为：

P(A，B₁...B_n)＝P(A，B₁)×P(A，B₂)×…×P(A，B_n)

在这一流程中，方法会根据序列时序关系遍历序列的每一个异常事件，检测事件是否已经存在于攻击图中。如果没有存在，则将事件插入攻击图中，并将插入指针指向当前序列。根据已有的攻击图，可以在异常事件到达时计算后续事件的发生概率，量化展示当前网络的风险等级，并预测可能到达的安全事件。

尽管参考附图详地公开了本发明，但应理解的是，这些描述仅仅是示例性的，并非用来限制本发明的应用。本发明的保护范围由附加权利要求限定，并可包括在不脱离本发明保护范围和精神的情况下针对发明所作的各种变型、改型及等效方案。

Claims (5)

1.一种基于工控网络流量的异常评估方法，其特征在于其特征在于，包括如下步骤：

步骤1、基于多源安全信息的异常校验，通过已知的设备信息、漏洞信息、网络拓扑信息，以及实时服务信息过滤确定为正常的异常信息，使用多源模糊评价方法确定异常校验结果；

步骤2、进行异常流量聚合，通过聚合算法对异构多协议异常信息进行精简和标准化，分协议聚合异常流量，并将分协议聚合异常流量转化为统一格式的异常信息，减少异常流量数量；

步骤3、实现基于攻击图的异常关联，根据先验知识挖掘攻击意图、重建攻击场景，根据关联关系构建安全事件图模型，实时展示网络安全态势，根据图模型推理并预测可能发生的安全事件。

2.如权利要求1所述的基于工控网络流量的异常评估方法，其特征在于，步骤1中，多源模糊评价方法通过以下方式实现：

确定评价因子集和评价标注，评价因子分为三类，分别对应操作系统相关性、网络服务相关性和漏洞信息相关性；

计算当前异常信息与评价因子的隶属度，隶属度计算根据规则定义查表计算；

确定权重向量，权重向量根据专家的经验来决定，目的是减少两层模糊综合评价模型中的不确定性；

计算异常相关的安全信息与目标主机信息的相关分数，首先在模糊综合评价的第二级执行评估，利用二级评估的结果决定一级评估和最终相关度，根据最终相关度决定是否过滤异常。

3.如权利要求1所述的基于工控网络流量的异常评估方法，其特征在于，步骤2中，进行异常流量聚合时，

对于记录R_a和R_b，聚合相似度的度量方式为：

Dist(R_aj,R_bj)＝1-Sim(R_aj,R_bj)

其中，其中N是数值属性的数量，C是非数值型属性的数量；R_aj是记录a的第j个属性，R_bj是记录b的第j个属性，Dist(R_aj,R_bj)代表两个记录间第j个属性的距离，Sim(R_aj,R_bj)代表非数值型属性的相似度，abs(R_ai,R_bi)代表数值型属性的距离，Dist(R_a,R_b)代表记录R_a和R_b的整体距离。

4.如权利要求1所述的基于工控网络流量的异常评估方法，其特征在于，步骤3通过以下方式实现：

步骤3.1、重建攻击序列，发现隐藏在异常操作中的真实关联，使用序列剪枝算法剔除反复出现的异常模式；

步骤3.2、完成异常事件预测，通过已知的攻击事件关系与异常关联建立攻击图，利用概率计算安全事件发生概率，攻击序列A>B的发生概率为：

其中，P代表事件的发生概率，F代表攻击图中事件的出现次数。

5.一种基于工控网络流量的异常评估系统，其特征在于，包括如下模块：基于多源安全信息的异常校验模块，异常流量聚合模块，基于攻击图的异常关联模块，其特征在于：

基于多源安全信息的异常校验模块，通过已知的设备信息、漏洞信息、网络拓扑信息，以及实时服务信息过滤确定为正常的异常信息，使用多源模糊评价方法确定异常校验结果；

异常流量聚合模块，通过聚合算法对异构多协议异常信息进行精简和标准化，分协议聚合异常流量，并将分协议聚合异常流量转化为统一格式的异常信息，减少异常流量数量；

基于攻击图的异常关联模块，根据先验知识挖掘攻击意图、重建攻击场景，根据关联关系构建安全事件图模型，实时展示网络安全态势，根据图模型推理并预测可能发生的安全事件。

Images