CN113132391B - 一种用于工控蜜罐的恶意行为识别方法 - Google Patents
一种用于工控蜜罐的恶意行为识别方法 Download PDFInfo
- Publication number
- CN113132391B CN113132391B CN202110433875.0A CN202110433875A CN113132391B CN 113132391 B CN113132391 B CN 113132391B CN 202110433875 A CN202110433875 A CN 202110433875A CN 113132391 B CN113132391 B CN 113132391B
- Authority
- CN
- China
- Prior art keywords
- neural network
- network
- data
- industrial control
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2415—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/047—Probabilistic or stochastic networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/048—Activation functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Probability & Statistics with Applications (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全技术领域,公开了一种用于工控蜜罐的恶意行为识别方法。本发明首先利用搭建的高交互工控蜜罐捕获攻击者流量,随后对网络流量进行分割操作,生成网络会话流,然后将所生成的网络会话流输入至一维卷积神经网络和GRU网络中,并引入注意力机制为各字节分配不同的权重,对其恶意行为进行识别,最后通过计算神经网络所输出的概率与各类别坐标之间的欧式距离来分离出未知类型的恶意行为。提高了分类的准确率,实现了对工控蜜罐所捕获恶意行为的精准识别和对未知行为的分离,使安全管理人员能够更加直观的了解到攻击者的攻击手段及其真正意图。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种用于工控蜜罐的恶意行为识别方法。
背景技术
随着信息化和工业化的逐步融合,工业控制系统的信息化程度越来越高,通用软硬件和网络设施的广泛使用,打破了传统工业控制系统与信息网络的“隔离”,在不断促进工业控制网络的发展和壮大的同时,也带来了极大的安全威胁。
由于工控现场对网络的实时性、可靠性、连续性具有极高的要求,导致一些传统的被动式网络安全产品,如工业防火墙、入侵检测系统等无法大规模应用于工业控制网络中。而蜜罐作为一种低侵入式的主动防御技术其能够在不影响当前业务可靠性及网络结构的前提下,对工控网络进行有效保护,这使得蜜罐技术在工业控制网络网络安全检测中具有广泛的应用前景。但目前应用于工控网络的蜜罐对于所捕获数据的分析大多集中在攻击者溯源追踪、APT攻击识别、恶意软件、恶意代码检测等传统IT网络攻击领域。然而,随着恶意攻击者水平的不断提高,越来越多的攻击者采用工业控制网络中专有的工业协议对系统发起攻击,而现有蜜罐系统由于缺乏对此类攻击的有效的检测手段导致无法对其进行有效识别,使得安全管理人员无法获取到攻击者的真正攻击意图,从而使蜜罐无法发挥出其最大价值。
发明内容
本发明针对现有工控蜜罐无法对工业协议恶意行为进行有效识别的问题,提出了一种用于工控蜜罐的恶意行为识别方法。现有工控蜜罐在恶意行为识别方面大多采用基于规则及机器学习的检测方法,需要对蜜罐进行大量的配置操作和对所捕获数据进行复杂的特征提取工作,而本发明通过采用深度学习方法,能够在不对数据进行特征提取的前提下对所捕获的恶意流量进行准确识别,并且本发明还能够分离出未知类型的恶意流量,以方便对其进行后续研究。
本发明首先利用搭建的高交互工控蜜罐捕获攻击者流量,随后对网络流量进行分割操作,生成网络会话流,然后将所生成的网络会话流输入至一维卷积神经网络和GRU网络中对其恶意行为进行识别,最后通过计算神经网络所输出的概率与各类别坐标之间的欧式距离来分离出未知类型的恶意行为。完成对已知恶意行为的准确分类和未知恶意行为的分离,帮助安全管理人员了解攻击者的真正意图。
本发明的实现方案如下:
一种用于工控蜜罐的恶意行为识别方法的整体结构如图1所示,主要包括以下步骤:
步骤1,数据预处理;
(1)通过所搭建的工控蜜罐捕获使用工控协议的各类恶意网络流量,并对网络数据流分割为数据流单元,每一数据流单元为单位时间内具有相同五元组的数据包;所述数据包中包含源地址、目的地址、源端口、目的端口、协议;
(2)将数据流单元中的应用层协议数据部分提取出来,并设置最大数据流长度为512,若数据流长度超过512则丢弃超过部分的数据包,若数据流长度不足则填0补全该数据流单元;
步骤2,训练阶段;
将步骤1所捕获的网络流量预处理完成后建立网络流字典,数值为0-255,其中0代表0x00,255代表0xff;随后将样本数据输入神经网络中进行训练;
本发明所采用的神经网络结构为一维CNN融合双向GRU的形式,一方面由于恶意行为的判定往往集中在某一部分字节中,另一方面某些恶意行为常与上下文有着密切的关系,因此本发明首先采用一维卷积神经网络对数据流单元的局部特征进行自动提取,随后采用双向GRU神经网络获取其长期依赖关系,并在其中加入了Attention机制,为每个字节赋予不同的权重,以增加识别的准确率。本发明所采用的神经网络的具体结构如图2所示。
本发明的卷积部分由3个卷积层组成,卷积核大小分别为3、4、5,卷积核个数均为128,随后通过全连接层将局部特征拼接为序列结构,该部分公式如式(1)所示。
其中w为权重,h为卷积核尺寸,xi:i+h-1为i到i+h-1个字节所组成的数据流向量,b为偏置项,C为局部特征所连接形成的特征矩阵。
在GRU部分由双层双向GRU神经网络组成,其神经元数量均为128个。该部分公式如下:
其中wz、wr、w为权重矩阵,ht为t时刻隐藏层输出值,σ为激活函数,Ct为t时刻GRU的输入值。
本发明通过引入注意力机制为不同字节向量分配不同的权重来区分数据流中各字节的重要性大小,以此提高分类的准确率,注意力机制的相关公式如下:
其中a为学习函数tanh,T为样本长度,ht为隐藏层输出的特征向量。
最后通过全连接层中的softmax激活函数完成对恶意行为的分类。
步骤3,步骤2神经网络的输出可以看作是一个概率坐标,本发明通过计算分类正确样本的概率坐标与各类别中心点的欧式距离来确定拒绝阈值,具体公式如下:
其中Yn为n类别的阈值,m为第n类别中分类正确的总数目,pk为神经网络预测该样本的概率向量,cn为n类别中心点向量。
本发明的有益效果为,通过将一维卷积神经网络与GRU神经进行融合,利用卷积神经网络自动提取网络流中的局部特征,结合GRU神经网络获取数据流整体特征表示,并引入注意力机制为各字节分配不同的权重,提高了分类的准确率,实现了对工控蜜罐所捕获恶意行为的精准识别和对未知行为的分离,使安全管理人员能够更加直观的了解到攻击者的攻击手段及其真正意图。
附图说明
图1恶意行为识别结构图。
图2神经网络结构图。
具体实施方式
结合具体数据对本发明的技术方案进行检测。
首先待检测数据输入所搭建的神经网络模型中,该模型将给出其分类概率向量和拟分类结果,将该向量与该类别阈值进行对比,若小于该阈值,则输出神经网络分类结果,若大于该阈值,则该样本被判别为未知类别。
采用本发明所述方法对蜜罐所捕获的恶意流量进行分类识别,样本中包含五种类型的恶意行为,包括普通探测攻击、FUZZ攻击、恶意响应注入、恶意状态命令注入、恶意功能码注入,实验结果如表1所示。实验结果表明本发明采用方法能够明显提高恶意行为的分类准确率。
表1模型恶意行为分类准确率统计表
方法 | 准确率(accuracy) | 精确率(precision) | 召回率(recall) | F1-score |
CNN | 94.61% | 96.18% | 96.35% | 96.26% |
GRU | 95.78% | 96.56% | 97.04% | 96.80% |
CNN+GRU | 98.43% | 97.67% | 98.25% | 97.96% |
CNN+GRU+attention | 99.13% | 99.27% | 99.04% | 99.15% |
同时,为了验证本发明方法对未知类别的恶意行为的识别效果,实验在训练阶段使用4类(扫描探测、FUZZ攻击、恶意响应注入、恶意状态命令注入、恶意功能吗注入)数据,检测阶段使用全部5类数据,查验模型对已知与未知类别的分类准确率,实验结果如表2所示。实验结果表明本发明方法能够在保证对已知恶意行为分类准确的前提下,较为准确的分离出未知恶意行为。
表2已知/未知恶意行为分类准确率统计表
本发明通过将一维卷积神经网络与GRU神经进行融合,利用卷积神经网络自动提取网络流中的局部特征,结合GRU神经网络获取数据流整体特征表示,并引入注意力机制为各字节分配不同的权重,提高了分类的准确率,实现了对工控蜜罐所捕获恶意行为的精准识别和对未知行为的分离,使安全管理人员能够更加直观的了解到攻击者的攻击手段及其真正意图。
需要特殊说明的是,以上描述是结合具体内容提供的一种具体实施方式,并不能认定本发明仅局限于以上描述。凡与本发明方法、结构类似,或在本发明构思下做出若干替换、推演的方式,都应视为本发明的保护范围。
Claims (2)
1.一种用于工控蜜罐的恶意行为识别方法,其特征在于,包括步骤如下:
步骤1,数据预处理;
(1)通过所搭建的工控蜜罐捕获使用工控协议的各类恶意网络流量,并对网络数据流分割为数据流单元,每一数据流单元为单位时间内具有相同五元组的数据包;所述数据包中包含源地址、目的地址、源端口、目的端口、协议;
(2)将数据流单元中的应用层协议数据部分提取出来,并设置最大数据流长度为512,若数据流长度超过512则丢弃超过部分的数据包,若数据流长度不足则填0补全该数据流单元;
步骤2,训练阶段;
将步骤1所捕获的网络流量预处理完成后建立网络流字典,数值为0-255,其中0代表0x00,255代表0xff;随后将样本数据输入神经网络中进行训练;
所述神经网络结构为一维CNN融合双向GRU的形式,首先采用一维卷积神经网络对数据流单元的局部特征进行自动提取,随后采用双向GRU神经网络获取其长期依赖关系,并在其中加入了Attention机制,为每个字节赋予不同的权重,以增加识别的准确率,完成对恶意行为的分类;
步骤3,步骤2神经网络的输出为一个概率向量,通过计算分类正确样本的概率向量与各类别中心点的欧式距离确定拒绝阈值,具体公式如下:
其中Yn为n类别的阈值,m为第n类别中分类正确的总数目,pk为神经网络预测该样本的概率向量,cn为n类别中心点向量。
2.根据权利要求1所述的一种用于工控蜜罐的恶意行为识别方法,其特征在于,步骤2所述的神经网络的具体结构为:
卷积部分由3个卷积层组成,卷积核大小分别为3、4、5,卷积核个数均为128,随后通过全连接层将局部特征拼接为序列结构,该部分公式如式(1)所示;
其中w为权重,h为卷积核尺寸,xi:i+h-1为i到i+h-1个字节所组成的数据流向量,b为偏置项,C为局部特征所连接形成的特征矩阵;
在GRU部分由双层双向GRU神经网络组成,其神经元数量均为128个。该部分公式如下:
其中wz、wr、w为权重矩阵,ht为t时刻隐藏层输出值,σ为激活函数,Ct为t时刻GRU的输入值;
通过引入注意力机制为不同字节向量分配不同的权重来区分数据流中各字节的重要性大小,以此提高分类的准确率,注意力机制的相关公式如下:
其中a为学习函数tanh,T为样本长度,ht为隐藏层输出的特征向量;
最后通过全连接层中的softmax激活函数完成对恶意行为的分类。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110433875.0A CN113132391B (zh) | 2021-04-20 | 2021-04-20 | 一种用于工控蜜罐的恶意行为识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110433875.0A CN113132391B (zh) | 2021-04-20 | 2021-04-20 | 一种用于工控蜜罐的恶意行为识别方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113132391A CN113132391A (zh) | 2021-07-16 |
CN113132391B true CN113132391B (zh) | 2022-11-29 |
Family
ID=76778905
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110433875.0A Active CN113132391B (zh) | 2021-04-20 | 2021-04-20 | 一种用于工控蜜罐的恶意行为识别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113132391B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113904819A (zh) * | 2021-09-27 | 2022-01-07 | 广西师范大学 | 一种应用于工控网络的安全系统 |
CN113890763B (zh) * | 2021-09-30 | 2024-05-03 | 广东云智安信科技有限公司 | 一种基于多维空间向量聚集的恶意流量检测方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107770199A (zh) * | 2017-12-08 | 2018-03-06 | 东北大学 | 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用 |
CN112182564A (zh) * | 2020-08-20 | 2021-01-05 | 东北大学 | 一种基于时间序列预测的工控蜜罐交互系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111353153B (zh) * | 2020-03-04 | 2022-11-01 | 南京邮电大学 | 一种基于gep-cnn的电网恶意数据注入检测方法 |
CN111582397B (zh) * | 2020-05-14 | 2023-04-07 | 杭州电子科技大学 | 一种基于注意力机制的cnn-rnn图像情感分析方法 |
CN111629006B (zh) * | 2020-05-29 | 2021-11-23 | 重庆理工大学 | 融合深度神经网络和层级注意力机制的恶意流量更新方法 |
CN111818052B (zh) * | 2020-07-09 | 2022-07-08 | 国网山西省电力公司信息通信分公司 | 基于cnn-lstm的工控协议同源攻击检测方法 |
-
2021
- 2021-04-20 CN CN202110433875.0A patent/CN113132391B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107770199A (zh) * | 2017-12-08 | 2018-03-06 | 东北大学 | 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用 |
CN112182564A (zh) * | 2020-08-20 | 2021-01-05 | 东北大学 | 一种基于时间序列预测的工控蜜罐交互系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113132391A (zh) | 2021-07-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109768985B (zh) | 一种基于流量可视化与机器学习算法的入侵检测方法 | |
CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
CN110597734B (zh) | 一种适用于工控私有协议的模糊测试用例生成方法 | |
CN109117634B (zh) | 基于网络流量多视图融合的恶意软件检测方法及系统 | |
CN113132391B (zh) | 一种用于工控蜜罐的恶意行为识别方法 | |
WO2016082284A1 (zh) | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 | |
Peng et al. | Network intrusion detection based on deep learning | |
Harish et al. | Anomaly based intrusion detection using modified fuzzy clustering | |
CN111131260B (zh) | 一种海量网络恶意域名识别和分类方法及系统 | |
CN109150859B (zh) | 一种基于网络流量流向相似性的僵尸网络检测方法 | |
Cahyo et al. | Performance comparison of intrusion detection system based anomaly detection using artificial neural network and support vector machine | |
CN110351291B (zh) | 基于多尺度卷积神经网络的DDoS攻击检测方法及装置 | |
CN111800430A (zh) | 一种攻击团伙识别方法、装置、设备及介质 | |
CN110879881B (zh) | 基于特征组分层和半监督随机森林的鼠标轨迹识别方法 | |
CN106960153B (zh) | 病毒的类型识别方法及装置 | |
Wang et al. | Res-TranBiLSTM: An intelligent approach for intrusion detection in the Internet of Things | |
Kong et al. | Identification of abnormal network traffic using support vector machine | |
Zhang et al. | Detection of android malware based on deep forest and feature enhancement | |
CN117614742B (zh) | 一种蜜点感知增强的恶意流量检测方法 | |
CN107104988A (zh) | 一种基于概率神经网络的IPv6入侵检测方法 | |
Du et al. | Using Object Detection Network for Malware Detection and Identification in Network Traffic Packets. | |
CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
Zhang et al. | Novel DDoS Feature Representation Model Combining Deep Belief Network and Canonical Correlation Analysis. | |
CN109885092B (zh) | 一种无人机飞控数据的识别方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |