CN113132391A - 一种用于工控蜜罐的恶意行为识别方法 - Google Patents

一种用于工控蜜罐的恶意行为识别方法 Download PDF

Info

Publication number
CN113132391A
CN113132391A CN202110433875.0A CN202110433875A CN113132391A CN 113132391 A CN113132391 A CN 113132391A CN 202110433875 A CN202110433875 A CN 202110433875A CN 113132391 A CN113132391 A CN 113132391A
Authority
CN
China
Prior art keywords
neural network
network
data
malicious
industrial control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110433875.0A
Other languages
English (en)
Other versions
CN113132391B (zh
Inventor
单垚
姚羽
杨巍
李文轩
刘莹
李桉雨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Liaoning Diting Information Technology Co ltd
Original Assignee
Liaoning Diting Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Liaoning Diting Information Technology Co ltd filed Critical Liaoning Diting Information Technology Co ltd
Priority to CN202110433875.0A priority Critical patent/CN113132391B/zh
Publication of CN113132391A publication Critical patent/CN113132391A/zh
Application granted granted Critical
Publication of CN113132391B publication Critical patent/CN113132391B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/048Activation functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于网络安全技术领域,公开了一种用于工控蜜罐的恶意行为识别方法。本发明首先利用搭建的高交互工控蜜罐捕获攻击者流量,随后对网络流量进行分割操作,生成网络会话流,然后将所生成的网络会话流输入至一维卷积神经网络和GRU网络中,并引入注意力机制为各字节分配不同的权重,对其恶意行为进行识别,最后通过计算神经网络所输出的概率与各类别坐标之间的欧式距离来分离出未知类型的恶意行为。提高了分类的准确率,实现了对工控蜜罐所捕获恶意行为的精准识别和对未知行为的分离,使安全管理人员能够更加直观的了解到攻击者的攻击手段及其真正意图。

Description

一种用于工控蜜罐的恶意行为识别方法
技术领域
本发明属于网络安全技术领域,具体涉及一种用于工控蜜罐的恶意行为识别方法。
背景技术
随着信息化和工业化的逐步融合,工业控制系统的信息化程度越来越高,通用软硬件和网络设施的广泛使用,打破了传统工业控制系统与信息网络的“隔离”,在不断促进工业控制网络的发展和壮大的同时,也带来了极大的安全威胁。
由于工控现场对网络的实时性、可靠性、连续性具有极高的要求,导致一些传统的被动式网络安全产品,如工业防火墙、入侵检测系统等无法大规模应用于工业控制网络中。而蜜罐作为一种低侵入式的主动防御技术其能够在不影响当前业务可靠性及网络结构的前提下,对工控网络进行有效保护,这使得蜜罐技术在工业控制网络网络安全检测中具有广泛的应用前景。但目前应用于工控网络的蜜罐对于所捕获数据的分析大多集中在攻击者溯源追踪、APT攻击识别、恶意软件、恶意代码检测等传统IT网络攻击领域。然而,随着恶意攻击者水平的不断提高,越来越多的攻击者采用工业控制网络中专有的工业协议对系统发起攻击,而现有蜜罐系统由于缺乏对此类攻击的有效的检测手段导致无法对其进行有效识别,使得安全管理人员无法获取到攻击者的真正攻击意图,从而使蜜罐无法发挥出其最大价值。
发明内容
本发明针对现有工控蜜罐无法对工业协议恶意行为进行有效识别的问题,提出了一种用于工控蜜罐的恶意行为识别方法。现有工控蜜罐在恶意行为识别方面大多采用基于规则及机器学习的检测方法,需要对蜜罐进行大量的配置操作和对所捕获数据进行复杂的特征提取工作,而本发明通过采用深度学习方法,能够在不对数据进行特征提取的前提下对所捕获的恶意流量进行准确识别,并且本发明还能够分离出未知类型的恶意流量,以方便对其进行后续研究。
本发明首先利用搭建的高交互工控蜜罐捕获攻击者流量,随后对网络流量进行分割操作,生成网络会话流,然后将所生成的网络会话流输入至一维卷积神经网络和GRU网络中对其恶意行为进行识别,最后通过计算神经网络所输出的概率与各类别坐标之间的欧式距离来分离出未知类型的恶意行为。完成对已知恶意行为的准确分类和未知恶意行为的分离,帮助安全管理人员了解攻击者的真正意图。
本发明的实现方案如下:
一种用于工控蜜罐的恶意行为识别方法的整体结构如图1所示,主要包括以下步骤:
步骤1,数据预处理;
(1)通过所搭建的工控蜜罐捕获使用工控协议的各类恶意网络流量,并对网络数据流分割为数据流单元,每一数据流单元为单位时间内具有相同五元组的数据包;所述数据包中包含源地址、目的地址、源端口、目的端口、协议;
(2)将数据流单元中的应用层协议数据部分提取出来,并设置最大数据流长度为512,若数据流长度超过512则丢弃超过部分的数据包,若数据流长度不足则填0补全该数据流单元;
步骤2,训练阶段;
将步骤1所捕获的网络流量预处理完成后建立网络流字典,数值为0-255,其中0代表0x00,255代表0xff;随后将样本数据输入神经网络中进行训练;
本发明所采用的神经网络结构为一维CNN融合双向GRU的形式,一方面由于恶意行为的判定往往集中在某一部分字节中,另一方面某些恶意行为常与上下文有着密切的关系,因此本发明首先采用一维卷积神经网络对数据流单元的局部特征进行自动提取,随后采用双向GRU神经网络获取其长期依赖关系,并在其中加入了Attention机制,为每个字节赋予不同的权重,以增加识别的准确率。本发明所采用的神经网络的具体结构如图2所示。
本发明的卷积部分由3个卷积层组成,卷积核大小分别为3、4、5,卷积核个数均为128,随后通过全连接层将局部特征拼接为序列结构,该部分公式如式(1)所示。
Figure BDA0003029927220000031
其中w为权重,h为卷积核尺寸,xi:i+h-1为i到i+h-1个字节所组成的数据流向零,b为偏置项,C为局部特征所连接形成的特征矩阵。
在GRU部分由双层双向GRU神经网络组成,其神经元数量均为128个。该部分公式如下:
Figure BDA0003029927220000032
其中wz、wr、w为权重矩阵,ht为t时刻隐藏层输出值,σ为激活函数,Ct为t时刻GRU的输入值。
本发明通过引入注意力机制为不同字节向量分配不同的权重来区分数据流中各字节的重要性大小,以此提高分类的准确率,注意力机制的相关公式如下:
Figure BDA0003029927220000033
其中a为学习函数tanh,T为样本长度,ht为隐藏层输出的特征向量。
最后通过全连接层中的softmax激活函数完成对恶意行为的分类。
步骤3,步骤2神经网络的输出可以看作是一个概率坐标,本发明通过计算分类正确样本的概率坐标与各类别中心点的欧式距离来确定拒绝阈值,具体公式如下:
Figure BDA0003029927220000041
其中Yn为n类别的阈值,m为第n类别中分类正确的总数目,pk为神经网络预测该样本的概率向量,cn为n类别中心点向量。
本发明的有益效果为,通过将一维卷积神经网络与GRU神经进行融合,利用卷积神经网络自动提取网络流中的局部特征,结合GRU神经网络获取数据流整体特征表示,并引入注意力机制为各字节分配不同的权重,提高了分类的准确率,实现了对工控蜜罐所捕获恶意行为的精准识别和对未知行为的分离,使安全管理人员能够更加直观的了解到攻击者的攻击手段及其真正意图。
附图说明
图1恶意行为识别结构图。
图2神经网络结构图。
具体实施方式
结合具体数据对本发明的技术方案进行检测。
首先待检测数据输入所搭建的神经网络模型中,该模型将给出其分类概率向量和拟分类结果,将该向量与该类别阈值进行对比,若小于该阈值,则输出神经网络分类结果,若大于该阈值,则该样本被判别为未知类别。
采用本发明所述方法对蜜罐所捕获的恶意流量进行分类识别,样本中包含五种类型的恶意行为,包括普通探测攻击、FUZZ攻击、恶意响应注入、恶意状态命令注入、恶意功能码注入,实验结果如表1所示。实验结果表明本发明采用方法能够明显提高恶意行为的分类准确率。
表1模型恶意行为分类准确率统计表
方法 准确率(accuracy) 精确率(precision) 召回率(recall) F1-score
CNN 94.61% 96.18% 96.35% 96.26%
GRU 95.78% 96.56% 97.04% 96.80%
CNN+GRU 98.43% 97.67% 98.25% 97.96%
CNN+GRU+attention 99.13% 99.27% 99.04% 99.15%
同时,为了验证本发明方法对未知类别的恶意行为的识别效果,实验在训练阶段使用4类(扫描探测、FUZZ攻击、恶意响应注入、恶意状态命令注入、恶意功能吗注入)数据,检测阶段使用全部5类数据,查验模型对已知与未知类别的分类准确率,实验结果如表2所示。实验结果表明本发明方法能够在保证对已知恶意行为分类准确的前提下,较为准确的分离出未知恶意行为。
表2已知/未知恶意行为分类准确率统计表
Figure BDA0003029927220000051
本发明通过将一维卷积神经网络与GRU神经进行融合,利用卷积神经网络自动提取网络流中的局部特征,结合GRU神经网络获取数据流整体特征表示,并引入注意力机制为各字节分配不同的权重,提高了分类的准确率,实现了对工控蜜罐所捕获恶意行为的精准识别和对未知行为的分离,使安全管理人员能够更加直观的了解到攻击者的攻击手段及其真正意图。
需要特殊说明的是,以上描述是结合具体内容提供的一种具体实施方式,并不能认定本发明仅局限于以上描述。凡与本发明方法、结构类似,或在本发明构思下做出若干替换、推演的方式,都应视为本发明的保护范围。

Claims (2)

1.一种用于工控蜜罐的恶意行为识别方法,其特征在于,包括步骤如下:
步骤1,数据预处理;
(1)通过所搭建的工控蜜罐捕获使用工控协议的各类恶意网络流量,并对网络数据流分割为数据流单元,每一数据流单元为单位时间内具有相同五元组的数据包;所述数据包中包含源地址、目的地址、源端口、目的端口、协议;
(2)将数据流单元中的应用层协议数据部分提取出来,并设置最大数据流长度为512,若数据流长度超过512则丢弃超过部分的数据包,若数据流长度不足则填0补全该数据流单元;
步骤2,训练阶段;
将步骤1所捕获的网络流量预处理完成后建立网络流字典,数值为0-255,其中0代表0x00,255代表0xff;随后将样本数据输入神经网络中进行训练;
所述神经网络结构为一维CNN融合双向GRU的形式,首先采用一维卷积神经网络对数据流单元的局部特征进行自动提取,随后采用双向GRU神经网络获取其长期依赖关系,并在其中加入了Attention机制,为每个字节赋予不同的权重,以增加识别的准确率,完成对恶意行为的分类;
步骤3,步骤2神经网络的输出为一个概率坐标,通过计算分类正确样本的概率坐标与各类别中心点的欧式距离确定拒绝阈值,具体公式如下:
Figure FDA0003029927210000011
其中Yn为n类别的阈值,m为第n类别中分类正确的总数目,pk为神经网络预测该样本的概率向量,cn为n类别中心点向量。
2.根据权利要求1所述的一种用于工控蜜罐的恶意行为识别方法,其特征在于,步骤2所述的神经网络的具体结构为:
卷积部分由3个卷积层组成,卷积核大小分别为3、4、5,卷积核个数均为128,随后通过全连接层将局部特征拼接为序列结构,该部分公式如式(1)所示;
Figure FDA0003029927210000021
其中w为权重,h为卷积核尺寸,xi:i+h-1为i到i+h-1个字节所组成的数据流向零,b为偏置项,C为局部特征所连接形成的特征矩阵;
在GRU部分由双层双向GRU神经网络组成,其神经元数量均为128个。该部分公式如下:
Figure FDA0003029927210000022
其中wz、wr、w为权重矩阵,ht为t时刻隐藏层输出值,σ为激活函数,Ct为t时刻GRU的输入值;
通过引入注意力机制为不同字节向量分配不同的权重来区分数据流中各字节的重要性大小,以此提高分类的准确率,注意力机制的相关公式如下:
Figure FDA0003029927210000023
其中a为学习函数tanh,T为样本长度,ht为隐藏层输出的特征向量;
最后通过全连接层中的softmax激活函数完成对恶意行为的分类。
CN202110433875.0A 2021-04-20 2021-04-20 一种用于工控蜜罐的恶意行为识别方法 Active CN113132391B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110433875.0A CN113132391B (zh) 2021-04-20 2021-04-20 一种用于工控蜜罐的恶意行为识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110433875.0A CN113132391B (zh) 2021-04-20 2021-04-20 一种用于工控蜜罐的恶意行为识别方法

Publications (2)

Publication Number Publication Date
CN113132391A true CN113132391A (zh) 2021-07-16
CN113132391B CN113132391B (zh) 2022-11-29

Family

ID=76778905

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110433875.0A Active CN113132391B (zh) 2021-04-20 2021-04-20 一种用于工控蜜罐的恶意行为识别方法

Country Status (1)

Country Link
CN (1) CN113132391B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113890763A (zh) * 2021-09-30 2022-01-04 广东云智安信科技有限公司 一种基于多维空间向量聚集的恶意流量检测方法及系统
CN113904819A (zh) * 2021-09-27 2022-01-07 广西师范大学 一种应用于工控网络的安全系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107770199A (zh) * 2017-12-08 2018-03-06 东北大学 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用
CN111353153A (zh) * 2020-03-04 2020-06-30 南京邮电大学 一种基于gep-cnn的电网恶意数据注入检测方法
CN111582397A (zh) * 2020-05-14 2020-08-25 杭州电子科技大学 一种基于注意力机制的cnn-rnn图像情感分析方法
CN111629006A (zh) * 2020-05-29 2020-09-04 重庆理工大学 融合深度神经网络和层级注意力机制的恶意流量更新方法
CN111818052A (zh) * 2020-07-09 2020-10-23 国网山西省电力公司信息通信分公司 基于cnn-lstm的工控协议同源攻击检测方法
CN112182564A (zh) * 2020-08-20 2021-01-05 东北大学 一种基于时间序列预测的工控蜜罐交互系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107770199A (zh) * 2017-12-08 2018-03-06 东北大学 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用
CN111353153A (zh) * 2020-03-04 2020-06-30 南京邮电大学 一种基于gep-cnn的电网恶意数据注入检测方法
CN111582397A (zh) * 2020-05-14 2020-08-25 杭州电子科技大学 一种基于注意力机制的cnn-rnn图像情感分析方法
CN111629006A (zh) * 2020-05-29 2020-09-04 重庆理工大学 融合深度神经网络和层级注意力机制的恶意流量更新方法
CN111818052A (zh) * 2020-07-09 2020-10-23 国网山西省电力公司信息通信分公司 基于cnn-lstm的工控协议同源攻击检测方法
CN112182564A (zh) * 2020-08-20 2021-01-05 东北大学 一种基于时间序列预测的工控蜜罐交互系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113904819A (zh) * 2021-09-27 2022-01-07 广西师范大学 一种应用于工控网络的安全系统
CN113890763A (zh) * 2021-09-30 2022-01-04 广东云智安信科技有限公司 一种基于多维空间向量聚集的恶意流量检测方法及系统
CN113890763B (zh) * 2021-09-30 2024-05-03 广东云智安信科技有限公司 一种基于多维空间向量聚集的恶意流量检测方法及系统

Also Published As

Publication number Publication date
CN113132391B (zh) 2022-11-29

Similar Documents

Publication Publication Date Title
CN109768985B (zh) 一种基于流量可视化与机器学习算法的入侵检测方法
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
CN111818052B (zh) 基于cnn-lstm的工控协议同源攻击检测方法
CN113132391B (zh) 一种用于工控蜜罐的恶意行为识别方法
Harish et al. Anomaly based intrusion detection using modified fuzzy clustering
Peng et al. Network intrusion detection based on deep learning
CN111131260B (zh) 一种海量网络恶意域名识别和分类方法及系统
CN109150859B (zh) 一种基于网络流量流向相似性的僵尸网络检测方法
CN111885035A (zh) 一种网络异常检测方法、系统、终端以及存储介质
CN110351291B (zh) 基于多尺度卷积神经网络的DDoS攻击检测方法及装置
Cahyo et al. Performance comparison of intrusion detection system based anomaly detection using artificial neural network and support vector machine
CN111224994A (zh) 一种基于特征选择的僵尸网络检测方法
CN111800430A (zh) 一种攻击团伙识别方法、装置、设备及介质
Qin et al. Deep learning based anomaly detection scheme in software-defined networking
CN107104988A (zh) 一种基于概率神经网络的IPv6入侵检测方法
Du et al. Using Object Detection Network for Malware Detection and Identification in Network Traffic Packets.
CN116915450A (zh) 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法
Wang et al. Res-TranBiLSTM: An intelligent approach for intrusion detection in the Internet of Things
CN109547489B (zh) 一种针对Obfuscated-Openssh协议流量的检测方法
Zhang et al. Detection of android malware based on deep forest and feature enhancement
Zhang et al. Novel DDoS Feature Representation Model Combining Deep Belief Network and Canonical Correlation Analysis.
CN112887323B (zh) 一种面向工业互联网边界安全的网络协议关联与识别方法
CN113268735A (zh) 分布式拒绝服务攻击检测方法、装置、设备和存储介质
CN109885092B (zh) 一种无人机飞控数据的识别方法
CN108366053A (zh) 一种基于朴素贝叶斯的mqtt异常流量检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant