CN113159992A - 一种闭源电力工控系统行为模式的分类方法及装置 - Google Patents
一种闭源电力工控系统行为模式的分类方法及装置 Download PDFInfo
- Publication number
- CN113159992A CN113159992A CN202110442797.0A CN202110442797A CN113159992A CN 113159992 A CN113159992 A CN 113159992A CN 202110442797 A CN202110442797 A CN 202110442797A CN 113159992 A CN113159992 A CN 113159992A
- Authority
- CN
- China
- Prior art keywords
- data packet
- normal
- behavior pattern
- data
- tested
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 30
- 238000012545 processing Methods 0.000 claims abstract description 20
- 238000000605 extraction Methods 0.000 claims abstract description 19
- 230000006399 behavior Effects 0.000 claims description 127
- 230000002159 abnormal effect Effects 0.000 claims description 47
- 238000012360 testing method Methods 0.000 claims description 30
- 230000015654 memory Effects 0.000 claims description 19
- 238000003860 storage Methods 0.000 claims description 10
- 238000013507 mapping Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 2
- 238000010276 construction Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 abstract description 11
- 238000001514 detection method Methods 0.000 abstract description 9
- 230000005856 abnormality Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 6
- 241000700605 Viruses Species 0.000 description 4
- 238000011161 development Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000007123 defense Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 2
- 239000008358 core component Substances 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000005272 metallurgy Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 239000000306 component Substances 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/20—Administration of product repair or maintenance
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Human Resources & Organizations (AREA)
- Economics (AREA)
- General Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Marketing (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Computation (AREA)
- Public Health (AREA)
- Water Supply & Treatment (AREA)
- General Health & Medical Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- General Engineering & Computer Science (AREA)
- Primary Health Care (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Entrepreneurship & Innovation (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种闭源电力工控系统行为模式的分类方法及装置,其中该分类方法包括:获取目标电力工控系统的正常数据包;对正常数据包进行特征提取处理,构建正常行为模式特征库;获取待测试数据包;根据正常行为模式特征库,确定待测试数据包的类型,类型包括正常行为模式以及异常行为模式。通过实施本发明,结合已经构建完成的正常行为模式特征库,可以实现对工控系统的实际通信行为进行离线学习,从而在缺乏电源的实际攻击场景下归纳出工控系统的行为模式,辅助网络攻击检测,维护电力工控系统的可靠性以及安全性。
Description
技术领域
本发明涉及电力工控系统信息安全领域,具体涉及一种闭源电力工控系统行为模式的分类方法及装置。
背景技术
工业控制系统是电力、冶金、交通、能源等工业基础设施的核心组成部分,也是国民经济、社会运行和国家安全重要基础。近年来,随着科技的发展,信息化程度也随之得到提升,同时针对工业控制系统的各类新型攻击技术和手段层出不穷,震网病毒、火焰病毒、BlackEnergy等具有明确的靶向攻击特征的攻击手段,使得电力工控系统面临着更复杂的内外部威胁,对国家安全、经济发展和社会稳定也产生了严重影响。
与传统信息系统相比,电力工控系统的攻击主要来自于攻击目的性强的高级持续性威胁(例如StuxNex等),通常是有组织的多攻击协同模式,而且现有的工控系统重点关注设备专用操作系统漏洞、配置缺陷、信息通信协议,因此易导致工业现场生产设备的突然中断,导致重大安全事故,工业控制系统的安全性降低。
发明内容
有鉴于此,本发明实施例提供了一种闭源电力工控系统行为模式的分类方法及装置,以解决工业控制系统的安全性降低的问题。
根据第一方面,本发明实施例提供了一种闭源电力工控系统行为模式的分类方法,包括:获取目标电力工控系统的正常数据包;对所述正常数据包进行特征提取处理,构建正常行为模式特征库;获取待测试数据包;根据所述正常行为模式特征库,确定所述待测试数据包的类型,所述类型包括正常行为模式以及异常行为模式。
可选地,所述对所述正常数据包进行特征提取处理,构建正常行为模式特征库,包括:解析所述正常数据包,确定所述正常数据包的发送地址以及目的端口;根据所述发送地址以及目的端口划分为多组正常数据子包;分别对各正常数据子包进行特征提取处理,构建对应的正常行为模式特征集;根据多个正常行为模式特征集,构建生成正常行为模式特征库。
可选地,所述正常行为模式特征集包括频繁特征集以及非频繁特征集:所述分别对各正常数据子包进行特征提取处理,构建对应的正常行为模式特征集,包括:根据数据长度对所述正常数据子包的数据进行分类,分别统计各数据长度对应的数据量;当所述数据量大于或等于预设支持度阈值时,将对应的数据划分为频繁特征集;当所述数据量小于预设支持度阈值时,将对应的数据划分为非频繁特征集;根据所述频繁特征集以及所述非频繁特征集,构建正常行为模式特征集。
可选地,该分类方法还包括:提取所述待测数据包的预设位置的数据;根据预设关联算法提取所述预设位置的数据的频繁特征项;计算所述频繁特征项的频率、偏移量和深度。
可选地,所述根据所述正常行为模式特征库,确定所述待测试数据包的类型,所述类型包括正常行为模式以及异常行为模式,包括:解析所述待测试数据包,生成所述待测试数据包的特征集;当所述特征集与所述正常行为模式特征库中的频繁特征集以及非频繁特征集均匹配时,确定所述待测试数据包的类型为正常行为模式。
可选地,该分类方法还包括:当所述特征集与所述正常行为模式特征库中的频繁特征集、非频繁特征集中至少一种不匹配时,确定所述待测试数据包的类型为异常行为模式。
可选地,该分类方法还包括:当确定所述待测试数据包的类型为异常行为模式时,将所述待测试数据包更新为异常学习样本;根据预设向量机算法,计算所述异常学习样本的特征参数与类别标签之间的映射关系。
可选地,该分类方法还包括:提取异常测试样本的特征参数,根据所述映射关系计算所述特征参数与所述类别标签之间的距离;根据所述距离确定所述异常测试样本的类别标签。
根据第二方面,本发明实施例提供了一种闭源电力工控系统行为模式的分类装置,包括:第一获取模块,用于获取目标电力工控系统的正常数据包;构建模块,用于对所述正常数据包进行特征提取处理,构建正常行为模式特征库;第二获取模块,用于获取待测试数据包;分类模块,用于根据所述正常行为模式特征库,确定所述待测试数据包的类型,所述类型包括正常行为模式以及异常行为模式。
根据第三方面,本发明实施例提供了一种计算机设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行第一方面或者第一方面的任意一种实施方式中所述的闭源电力工控系统行为模式的分类方法的步骤。
根据第四方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面或者第一方面的任意一种实施方式中所述的闭源电力工控系统行为模式的分类方法的步骤。
本发明技术方案,具有如下优点:
本发明提供的一种闭源电力工控系统行为模式的分类方法及装置,其中该分类方法包括:获取目标电力工控系统的正常数据包;对正常数据包进行特征提取处理,构建正常行为模式特征库;获取待测试数据包;根据正常行为模式特征库,确定待测试数据包的类型,类型包括正常行为模式以及异常行为模式。
通过实施本发明,解决了相关技术中存在的工业控制系统的安全性降低问题,结合电力工控系统的正常数据包提取正常行为的数据包对应的特征数据库,继而在获取到测试数据包时,通过判断测试数据包与正常特征数据库之间的关系,确定待测试数据包的正常或异常,结合已经构建完成的正常行为模式特征库,可以实现对工控系统的实际通信行为进行离线学习,从而在缺乏电源的实际攻击场景下归纳出工控系统的行为模式,辅助网络攻击检测,维护电力工控系统的可靠性以及安全性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中闭源电力工控系统行为模式的分类方法的一个具体示例的流程图;
图2为本发明实施例中闭源电力工控系统行为模式的分类方法的示意图;
图3为本发明实施例中闭源电力工控系统行为模式的分类方法另一个示意图;
图4为本发明实施例中闭源电力工控系统行为模式的分类装置的一个具体示例的原理框图;
图5为本发明实施例中计算机设备的一个具体示例图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
工业控制系统是电力、冶金、交通、能源等工业基础设施的核心组成部分,也是国民经济、社会运行和国家安全重要基础。随着信息化程度的不断提升,针对工业控制系统的各类新型攻击技术和手段也层出不穷,例如震网病毒、火焰病毒、BlackEnergy等具有明确的靶向攻击特征,使得电力工控系统面临着更复杂的内外部威胁,对国家安全、经济发展和社会稳定等也产生了严重影响。
与传统信息系统相比,电力工控系统的攻击主要来自于攻击目的性较强的持续性威胁(例如StuxNex等),通常是有组织的多攻击协同模式,但是在相关技术中,工控系统主要着眼于设备专用操作系统漏洞、配置缺陷、信息通信协议等攻击类型,因此,较为容易导致工业现场生产设备的突然中断,继而导致重大安全事故。
又由于电力工控系统与传统信息系统的差异性,使得现有技术中应用于传统信息系统中的互联网防御技术无法直接应用于电力工控系统,因此,面向电力工控系统的安全防御技术的研究的开展迫在眉睫,本发明实施例提供的一种闭源电力工控系统行为模式的分类方法及装置,立足于行为模式学习与异常检测方面,可以实现恶意行为自动识别、安全威胁准确预测及精准定位,为电力工控系统的安全稳定运行提供切实保障。
本发明提供的一种闭源电力工控系统行为模式的分类方法及装置,目的是根据关联算法与异常检测算法,在缺少异常攻击数据的情况下对电力工控系统的行为模式进行自我学习与判断,实现对正常系统行为与异常系统行为对应的传输数据的特征识别与归类,从而提升电力工控系统的信息安全水平。
本发明实施例提供了一种闭源电力工控系统行为模式的分类方法,如图1所示,包括:
步骤S11:获取目标电力工控系统的正常数据包;在本实施例中,闭源电力工控系统可以是并未设置有动力源的电力工控系统,也就是无源电力工业控制系统,可以根据实际应用场景随机选定在正常运行的电力工控系统,并获取正常运行时间段内的正常数据包,上述正常数据包中可以包括有多条数据,用于表征上述电力工控系统的通信协议类型数据、源IP地址、源端口数据、方向操作符、目的IP地址、目的端口数据、业务类型等信息对应的数据。具体地,正常运行时间段可以是在正常运行的一周或多周内。
步骤S12:对正常数据包进行特征提取处理,构建正常行为模式特征库;在本实施例中,对所述正常数据包进行特征学习,也就是提取所述正常数据包中的多个特征,包括但不限于通信协议类型、源IP地址、源端口、方向操作符、目标IP地址、目标端口、业务类型等。也就是说,提取正常数据包的特征,根据正常数据包的特征,建立正常行为模型特征库。
步骤S13:获取待测试数据包;在本实施例中,随机选定一电力工控系统对应的数据包,确定其为待测试数据包。
步骤S14:根据正常行为模式特征库,确定待测试数据包的类型,类型包括正常行为模式以及异常行为模式。在本实施例中,提取待测试数据包的特征,并将提取到的待测试数据包的特征与上述步骤中提取的多个正常数据包的特征而构建形成的正常行为模式特征库进行对比,当与正常行为模式特征库中的特征相符合时,确定待测试数据包对应的电力工控系统为正常行为模式;当与正常行为模式特征库中的特征不相符合时,确定待测试数据包对应的电力工控系统为异常行为模式。
本发明提供的一种闭源电力工控系统行为模式的分类方法,包括:获取目标电力工控系统的正常数据包;对正常数据包进行特征提取处理,构建正常行为模式特征库;获取待测试数据包;根据正常行为模式特征库,确定待测试数据包的类型,类型包括正常行为模式以及异常行为模式。
通过实施本发明,解决了相关技术中存在的工业控制系统的安全性降低问题,结合电力工控系统的正常数据包提取正常行为的数据包对应的特征数据库,继而在获取到测试数据包时,通过判断测试数据包与正常特征数据库之间的关系,确定待测试数据包的正常或异常,结合已经构建完成的正常行为模式特征库,可以实现对工控系统的实际通信行为进行离线学习,从而在缺乏电源的实际攻击场景下归纳出工控系统的行为模式,辅助网络攻击检测,维护电力工控系统的可靠性以及安全性。
具体地,针对本发明实施例提供的一种闭源电力工控系统行为模式的分类方法,由于电力工控系统现有的具备长生命周期、稳定的拓扑和规律可预测等行为特性,可以研究“离线学习”和“在线分析”相结合的电力工控系统安全防御业务应用模式,在“离线学习”阶段,根据工控系统底层运行机理与网络通信规律,也就是根据正常数据包的多种参数特征,确定正常行为模式的特征库。此外,对大量正常数据包对应的离线数据进行特征分析、关联分析与分类学习,从而对电力工控系统的正常与异常行为进行判别与分类。
作为本发明的一个可选实施方式,上述步骤S12,对正常数据包进行特征提取处理,构建正常行为模式特征库,包括:
首先,解析正常数据包,确定正常数据包的发送地址以及目的端口;在本实施例中,正常数据包可以是电力工控系统在一段内收集到的包含多条数据的数据包,解析正常数据包,确定其中所包含的多条数据的发送IP地址以及收集端口信息。
其次,根据发送地址以及目的端口划分为多组正常数据子包;在本实施例中,按照发送IP地址以及收集端口信息的不同将正常数据包进行分组,生成发送IP地址以及收集端口信息相同的多组正常数据子包。
例如,收集到的正常数据包可以是从发送IP地址为192.168.1.5发送至收集端口信息528的数据,以及从发送IP地址为192.168.1.5发送至收集端口信息1643的数据,因此,可以分为192.168.1.5:528与192.168.1.5:1643两组正常数据子包。
其次,分别对各正常数据子包进行特征提取处理,构建对应的正常行为模式特征集;在本实施例中,分别对各正常数据子包中所包含的数据进行特征提取处理,提取多种特征,继而构建各正常数据子包所包含的正常行为模式特征集。
其次,根据多个正常行为模式特征集,构建生成正常行为模式特征库。在本实施例中,将多个正常数据子包所提取的正常行为模式特征集组合,构建生成正常行为模式特征库。
本发明实施例所提供的一种闭源电力工控系统行为模式的分类方法,结合电力工控系统采集到的一段时间的正常数据包,根据不同发送IP地址以及目的端口,将正常数据包分为多个正常子包,进而根据各正常数据子包构建对应的特征集,可以实现对电力工控系统的正常与异常行为进行判别与分类。
作为本发明的一个可选实施方式,上述正常行为模式特征集包括频繁特征集以及非频繁特征集:频繁特征集可以用于表征在一正常数据子包中特征出现次数大于或等于预设阈值的特征;非频繁特征集可以用于表征在一正常数据子包中特征出现次数小于预设阈值的特征,也可以说不属于频繁特征集的特征均属于非频繁特征集,即在正常数据包中经常重复出现的字符串继而频繁特征集中的特征。
上述步骤,分别对各正常数据子包进行特征提取处理,构建对应的正常行为模式特征集,包括:
在一可选实施例中,根据数据长度对正常数据子包的数据进行分类,分别统计各数据长度对应的数据量;当数据量大于或等于预设支持度阈值时,将对应的数据划分为频繁特征集;当数据量小于预设支持度阈值时,将对应的数据划分为非频繁特征集,根据频繁特征集以及非频繁特征集,构建正常行为模式特征集。
具体地,根据正常数据子包中包含的多条数据的长度进行分类,将长度一致的数据划分为一组,继而统计各长度对应的数据的数量,预设支持度阈值可以是α,可以是根据实际应用场景确定的阈值,当数据的数量大于预设支持度阈值时,可以确定此数据对应的特征应属于频繁特征集内,反之,则为非频繁特征集。
在另一可选实施例中,可以首先确定各正常数据子包中长度为1的数据前缀,继而对长度为1的前缀进行计数,将数量低于支持度阈值α的前缀对应的数据划分为频繁项,归于频繁特征集内;继而统计长度为2的数据前缀,对长度为2的前缀进行计数,计算对应的数量,直至统计长度为i的数据前缀,直至对各正常数据子包所包含的数据长度均完成统计后,生成频繁特征集以及非频繁特征集,根据频繁特征集以及非频繁特征集,构建正常行为模式特征集。
具体地,可以将学习到的频繁特征集以及非频繁特征集,存储于预设的Snort规则中,继而根据存储于Snort规则中的频繁特征集以及非频繁特征集,对待测试数据包进行测试以及验证。
作为本发明的一个可选实施方式,该分类方法还包括:
首先,提取待测数据包的预设位置的数据;在本实施例中,例如,当电力工控系统是通过Modbus协议进行通信时,由于此时对应的正常数据包的应用层数据包头短于10字节,因此,待测数据包的预设位置处的数据可以是前15字节的数据。
其次,根据预设关联算法提取预设位置的数据的频繁特征项;在本实施例中,预设关联算法可以是PrefixSpan关联算法,可以通过采集到的前15字节的数据对此待测数据包进行初步检测,例如,可以通过PrefixSpan关联算法对采集到的前15字节进行计算,确定其中包含的频繁特征项,也就是重复出现的字符串特征。
其次,计算频繁特征项的频率、偏移量和深度。在本实施例中,频繁特征项的频率用于表征每个特征在数据包中出现的次数;频繁特征项的偏移量用于表征每个特征在正常数据子包中首次出现的位置信息;频繁特征项的深度用于表征每个特征本身的数据字节数。
作为本发明的一个可选实施方式,上述步骤S13,根据正常行为模式特征库,确定待测试数据包的类型,类型包括正常行为模式以及异常行为模式,包括:
首先,解析待测试数据包,生成待测试数据包的特征集;在本实施例中,待测试数据包可以是此时正在监控的电力工控系统实施传输的数据包,即为待测试数据包,对待测试数据包进行解析,也就是对待测试数据包进行特征提取处理,生成待测试数据包的特征集。
其次,当特征集与正常行为模式特征库中的频繁特征集以及非频繁特征集均匹配时,确定待测试数据包的类型为正常行为模式。在本实施例中,根据检测生成的待测试数据包的特征集,与正常行为模式特征库中的频繁特征集以及非频繁特征集作对比,匹配的含义可以是待测试数据包的特征集中含有频繁特征集以及非频繁特征集。具体地,可以先检查待测试数据包的特征集中是否含有频繁特征集,继而检查待测试数据包的特征集中是否含有非频繁特征集。
作为本发明的一个可选实施方式,该分类方法还包括:
当特征集与正常行为模式特征库中的频繁特征集、非频繁特征集中至少一种不匹配时,确定待测试数据包的类型为异常行为模式。
在本实施例中,上述“至少一种不匹配的情况”可以包括:待测试数据包的特征集与正常行为模式特征库中的频繁特征集不匹配时,确认待测试数据包的类型为异常行为模式;待测试数据包的特征集与正常行为模式特征库中的非频繁特征集不匹配时,确认待测试数据包的类型为异常行为模式;待测试数据包的特征集与正常行为模式特征库中的频繁特征集不匹配以及,并且与非频繁特征集也不匹配时,确认待测试数据包的类型为异常行为模式。
作为本发明的一个可选实施方式,该分类方法还包括:
当确定待测试数据包的类型为异常行为模式时,将待测试数据包更新为异常学习样本;根据预设向量机算法,计算异常学习样本的特征参数与类别标签之间的映射关系。
在本实施例中,当确定所述待测试数据包为异常行为模式后,此时待测试数据包可以更新为异常学习样本,可以通过多个异常学习样本,确定异常行为模式对应的数据包所具备的特征,具体地,可以根据异常学习样本的数据字节量、发送频率、地址信息、端口信息等特征参数,借由预设向量机算法,计算异常学习样本的特征参数与类别标签之间的映射关系。具体地,类别标签可以包括:端口异常、IP地址异常、接入频率异常、报文内容异常等等。
作为本发明的一个可选实施方式,该分类方法还包括:
提取异常测试样本的特征参数,根据映射关系计算特征参数与类别标签之间的距离;根据距离确定异常测试样本的类别标签。
在本实施例中,异常测试样本可以是已经确定为异常行为模式的数据包,此时,需要进行进一步地分析,确定所述异常测试样本所述的异常类型,具体地,可以提取异常测试样本对应的特征参数,例如可以包括:数据字节量、发送频率、地址信息、端口信息等,继而计算各特征参数与已经确定的类别标签之间的距离,具体可以通过以下公式计算:
其中,x表示第一异常测试样本,y表示第二异常测试样本,x1表示第一异常测试样本的数据字节量,y1表示第二异常测试样本的数据字节量;x2表示第一异常测试样本的发送频率,y2表示第二异常测试样本的发送频率;x3表示第一异常测试样本的地址信息,y3表示第二异常测试样本的地址信息;x4表示第一异常测试样本的端口信息,y4表示第二异常测试样本的端口信息;d(x,y)表示第一异常测试样本与第二异常测试样本之间的欧式距离;|X|表示单个异常测试样本的绝对值。
具体地,根据计算出的异常测试样本的特征参数与各个类别标签的距离,确定所述异常测试样本的归类,当计算出的特征参数与“端口异常”类别标签的距离最短时,确定所述异常测试样本所属的类别为端口异常,也就是说,此异常样本所对应的数据包是在电力工控系统的发送端口、接收端口出现异常时生成的。
具体地,正常行为模式特征库包含的特征为:协议类型,即通信协议类型,例如TCP、UDP、ICMP、Modbus、IEC61850等电力工控系统常用协议;IP地址,用于定义数据包来自何处;源端口,用于表征数据包来自哪个端口或者哪些端口;方向操作符,用“->”表示,用于定义规则所适用的通信方向;目标IP地址,用于定义数据包传送的目标方向;目标端口,即数据包设法连接的端口号;数据包归类,用于说明数据包是否正常,其次阐述具体行为标签类别,对于异常数据包,主要包括非法接入、频繁接入、内容异常、IP异常、非法读取、非法篡改、非法删除等多种异常标签类型。
在一可选实施例中,结合图2说明本发明实施例所述的方法的具体应用流程,正常采集模块可以获取电力工控系统在正常运行时所生成的正常数据包,将正常采集模块采集到的正常数据包传输至正常行为训练模块,统计正常数据包对应的特征,可以存储于正常行为模型中,继而可以将正常行为模型复制于监测模块中,所述监测模块包括异常检测模块以及特征生成模块,具体地,根据正常行为模型以及待测试数据包,确定待测试数据包的正常与否,当确定为异常行为模式的数据包时,通过特征生成模块生成异常数据包的特征,并存储于异常特征库中,异常检测模块还可以根据异常特征库中所存储的异常特征类型,确定异常数据包具体属于那种异常模式,继而可以将检测结果发送至监控人员,起到预警效果。
在另一可选实施例中,结合图3说明本发明实施例所述的方法的具体应用流程,首先确定接收到的数据包为正常数据包,或为正常数据与异常数据混合的数据包。
当接收到的数据包为混合数据包时,可以按照数据包的IP地址、发送接收端口进行分类,继而筛选其中重复的时序字符串,通过预设的Prefix Span关联算法筛选确定第一频繁字符串FS,以及第一非频繁字符串NFS。
当接收到的数据包为正常数据包时,可以按照数据包的IP地址、发送接收端口进行分类,继而筛选其中重复的时序字符串,通过预设的Prefix Span关联算法筛选确定第二频繁字符串FP,以及第二非频繁字符串NFP。
当FS不被FP包含时,确定混合数据包为异常行为;
当FS被FP包含时,继而判断NFS是否被NFP包含,当NFS被NFP包含时,确定混合数据包为正常行为,当NFS不被NFP包含时,确定混合数据包为异常行为。
本发明实施例提供一种闭源电力工控系统行为模式的分类装置,如图4所示,包括:
第一获取模块21,用于获取目标电力工控系统的正常数据包;详细实施内容可参见上述方法实施例中步骤S11的相关描述。
构建模块22,用于对正常数据包进行特征提取处理,构建正常行为模式特征库;详细实施内容可参见上述方法实施例中步骤S11的相关描述。
第二获取模块23,用于获取待测试数据包;详细实施内容可参见上述方法实施例中步骤S11的相关描述。
分类模块24,用于根据正常行为模式特征库,确定待测试数据包的类型,类型包括正常行为模式以及异常行为模式。详细实施内容可参见上述方法实施例中步骤S11的相关描述。
本发明提供的一种闭源电力工控系统行为模式的分类装置,包括:第一获取模块21获取目标电力工控系统的正常数据包;构建模块22,用于对正常数据包进行特征提取处理,构建正常行为模式特征库;第二获取模块23,用于获取待测试数据包;分类模块24,用于根据正常行为模式特征库,确定待测试数据包的类型,类型包括正常行为模式以及异常行为模式。
通过实施本发明,解决了相关技术中存在的工业控制系统的安全性降低问题,结合电力工控系统的正常数据包提取正常行为的数据包对应的特征数据库,继而在获取到测试数据包时,通过判断测试数据包与正常特征数据库之间的关系,确定待测试数据包的正常或异常,结合已经构建完成的正常行为模式特征库,可以实现对工控系统的实际通信行为进行离线学习,从而在缺乏电源的实际攻击场景下归纳出工控系统的行为模式,辅助网络攻击检测,维护电力工控系统的可靠性以及安全性。
本发明实施例还提供了一种计算机设备,如图5所示,该计算机设备可以包括处理器31和存储器32,其中处理器31和存储器32可以通过总线30或者其他方式连接,图5中以通过总线30连接为例。
处理器31可以为中央处理器(Central Processing Unit,CPU)。处理器31还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器32作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的闭源电力工控系统行为模式的分类方法对应的程序指令/模块。处理器31通过运行存储在存储器32中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的闭源电力工控系统行为模式的分类方法。
存储器32可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器31所创建的数据等。此外,存储器32可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器32可选包括相对于处理器31远程设置的存储器,这些远程存储器可以通过网络连接至处理器31。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器32中,当被所述处理器31执行时,执行如图1所示实施例中的闭源电力工控系统行为模式的分类方法。
上述计算机设备具体细节可以对应参阅图1所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
本发明实施例还提供了一种非暂态计算机可读介质,非暂态计算机可读存储介质存储计算机指令,计算机指令用于使计算机执行如上述实施例中任意一项描述的闭源电力工控系统行为模式的分类方法,其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(FlashMemory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (11)
1.一种闭源电力工控系统行为模式的分类方法,其特征在于,包括:
获取目标电力工控系统的正常数据包;
对所述正常数据包进行特征提取处理,构建正常行为模式特征库;
获取待测试数据包;
根据所述正常行为模式特征库,确定所述待测试数据包的类型,所述类型包括正常行为模式以及异常行为模式。
2.根据权利要求1所述的方法,其特征在于,所述对所述正常数据包进行特征提取处理,构建正常行为模式特征库,包括:
解析所述正常数据包,确定所述正常数据包的发送地址以及目的端口;
根据所述发送地址以及目的端口划分为多组正常数据子包;
分别对各正常数据子包进行特征提取处理,构建对应的正常行为模式特征集;
根据多个正常行为模式特征集,构建生成正常行为模式特征库。
3.根据权利要求2所述的方法,其特征在于,所述正常行为模式特征集包括频繁特征集以及非频繁特征集:
所述分别对各正常数据子包进行特征提取处理,构建对应的正常行为模式特征集,包括:
根据数据长度对所述正常数据子包的数据进行分类,分别统计各数据长度对应的数据量;
当所述数据量大于或等于预设支持度阈值时,将对应的数据划分为频繁特征集;
当所述数据量小于预设支持度阈值时,将对应的数据划分为非频繁特征集;
根据所述频繁特征集以及所述非频繁特征集,构建正常行为模式特征集。
4.根据权利要求3所述的方法,其特征在于,还包括:
提取所述待测数据包的预设位置的数据;
根据预设关联算法提取所述预设位置的数据的频繁特征项;
计算所述频繁特征项的频率、偏移量和深度。
5.根据权利要求4所述的方法,其特征在于,所述根据所述正常行为模式特征库,确定所述待测试数据包的类型,所述类型包括正常行为模式以及异常行为模式,包括:
解析所述待测试数据包,生成所述待测试数据包的特征集;
当所述特征集与所述正常行为模式特征库中的频繁特征集以及非频繁特征集均匹配时,确定所述待测试数据包的类型为正常行为模式。
6.根据权利要求5所述的方法,其特征在于,还包括:
当所述特征集与所述正常行为模式特征库中的频繁特征集、非频繁特征集中至少一种不匹配时,确定所述待测试数据包的类型为异常行为模式。
7.根据权利要求6所述的方法,其特征在于,还包括:
当确定所述待测试数据包的类型为异常行为模式时,将所述待测试数据包更新为异常学习样本;
根据预设向量机算法,计算所述异常学习样本的特征参数与类别标签之间的映射关系。
8.根据权利要求7所述的方法,其特征在于,还包括:
提取异常测试样本的特征参数,根据所述映射关系计算所述特征参数与所述类别标签之间的距离;
根据所述距离确定所述异常测试样本的类别标签。
9.一种闭源电力工控系统行为模式的分类装置,其特征在于,包括:
第一获取模块,用于获取目标电力工控系统的正常数据包;
构建模块,用于对所述正常数据包进行特征提取处理,构建正常行为模式特征库;
第二获取模块,用于获取待测试数据包;
分类模块,用于根据所述正常行为模式特征库,确定所述待测试数据包的类型,所述类型包括正常行为模式以及异常行为模式。
10.一种计算机设备,其特征在于,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行权利要求1-8中任一项所述的闭源电力工控系统行为模式的分类方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-8中任一项所述的闭源电力工控系统行为模式的分类方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110442797.0A CN113159992A (zh) | 2021-04-23 | 2021-04-23 | 一种闭源电力工控系统行为模式的分类方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110442797.0A CN113159992A (zh) | 2021-04-23 | 2021-04-23 | 一种闭源电力工控系统行为模式的分类方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113159992A true CN113159992A (zh) | 2021-07-23 |
Family
ID=76869955
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110442797.0A Pending CN113159992A (zh) | 2021-04-23 | 2021-04-23 | 一种闭源电力工控系统行为模式的分类方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113159992A (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107241226A (zh) * | 2017-06-29 | 2017-10-10 | 北京工业大学 | 基于工控私有协议的模糊测试方法 |
| CN107835201A (zh) * | 2017-12-14 | 2018-03-23 | 华中师范大学 | 网络攻击检测方法及装置 |
| US20180124082A1 (en) * | 2016-10-20 | 2018-05-03 | New York University | Classifying logins, for example as benign or malicious logins, in private networks such as enterprise networks for example |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| CN108073575A (zh) * | 2016-06-14 | 2018-05-25 | 电子科技大学 | 一种基于改进Prefixspan算法的雷达数据频繁模式挖掘方法 |
| CN110324323A (zh) * | 2019-06-19 | 2019-10-11 | 全球能源互联网研究院有限公司 | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 |
| CN111898776A (zh) * | 2020-08-03 | 2020-11-06 | 贵州电网有限责任公司 | 一种变电站设备异常及事故处理方法 |
| CN112217826A (zh) * | 2020-10-14 | 2021-01-12 | 福建奇点时空数字科技有限公司 | 一种基于流量感知的网络资产关联分析和动态监管方法 |
| CN112311803A (zh) * | 2020-11-06 | 2021-02-02 | 杭州安恒信息技术股份有限公司 | 一种规则库更新方法、装置、电子设备及可读存储介质 |
| CN112561197A (zh) * | 2020-12-23 | 2021-03-26 | 国网江苏省电力有限公司南京供电分公司 | 一种带有主动防御影响范围的电力数据预取与缓存方法 |
-
2021
- 2021-04-23 CN CN202110442797.0A patent/CN113159992A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108073575A (zh) * | 2016-06-14 | 2018-05-25 | 电子科技大学 | 一种基于改进Prefixspan算法的雷达数据频繁模式挖掘方法 |
| US20180124082A1 (en) * | 2016-10-20 | 2018-05-03 | New York University | Classifying logins, for example as benign or malicious logins, in private networks such as enterprise networks for example |
| CN107241226A (zh) * | 2017-06-29 | 2017-10-10 | 北京工业大学 | 基于工控私有协议的模糊测试方法 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| CN107835201A (zh) * | 2017-12-14 | 2018-03-23 | 华中师范大学 | 网络攻击检测方法及装置 |
| CN110324323A (zh) * | 2019-06-19 | 2019-10-11 | 全球能源互联网研究院有限公司 | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 |
| CN111898776A (zh) * | 2020-08-03 | 2020-11-06 | 贵州电网有限责任公司 | 一种变电站设备异常及事故处理方法 |
| CN112217826A (zh) * | 2020-10-14 | 2021-01-12 | 福建奇点时空数字科技有限公司 | 一种基于流量感知的网络资产关联分析和动态监管方法 |
| CN112311803A (zh) * | 2020-11-06 | 2021-02-02 | 杭州安恒信息技术股份有限公司 | 一种规则库更新方法、装置、电子设备及可读存储介质 |
| CN112561197A (zh) * | 2020-12-23 | 2021-03-26 | 国网江苏省电力有限公司南京供电分公司 | 一种带有主动防御影响范围的电力数据预取与缓存方法 |
Non-Patent Citations (11)
| Title |
|---|
| 付仲良;陈楠;: "一种序列模式增量式挖掘算法", 武汉大学学报(信息科学版), no. 07 * |
| 刘明峰;侯路;郭顺森;韩然;: "基于改进Apriori的WiFi入侵检测模型研究", 沈阳航空航天大学学报, no. 02 * |
| 彭大芹;杨彩敏;黄德玲;: "一种改进的PrefixSpan应用层特征自动提取算法", 信息通信, no. 01, pages 18 * |
| 朱玉娜;韩继红;袁霖;陈韩托;范钰丹;: "SPFPA:一种面向未知安全协议的格式解析方法", 计算机研究与发展, no. 10 * |
| 李志刚;李峰;张善姝;王汝琳;: "基于项集支持度的关联规则增量更新算法――BISIUA", 计算机工程与设计, no. 17 * |
| 李文龙;于开;曲宝胜;: "基于Snort的混合入侵检测系统的研究与实现", 智能计算机与应用, no. 03, pages 23 * |
| 杨宏宇;朱丹;谢丰;谢丽霞;: "入侵异常检测研究综述", 电子科技大学学报, no. 05 * |
| 熊学栋;肖建华;: "基于PrefixSpan思想的增量时序模式挖掘算法", 湖南第一师范学报, no. 02 * |
| 王建军;罗可;赵志学;: "基于数据挖掘的SNORT网络入侵检测系统", 计算机工程与应用, no. 01 * |
| 赵宇烨;翟音;: "数据挖掘技术在Snort中的应用", 福建电脑, no. 07 * |
| 赵艳君;魏明军;: "改进数据挖掘算法在入侵检测系统中的应用", 计算机工程与应用, no. 18, pages 69 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110011999B (zh) | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 | |
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| CN101447991B (zh) | 用于测试入侵检测系统的测试装置及测试方法 | |
| CN111277578A (zh) | 加密流量分析特征提取方法、系统、存储介质、安全设备 | |
| CN113645065B (zh) | 基于工业互联网的工控安全审计系统及其方法 | |
| CN107360145B (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
| Jalili et al. | Detection of distributed denial of service attacks using statistical pre-processor and unsupervised neural networks | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| CN110324323B (zh) | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 | |
| CN109063486B (zh) | 一种基于plc设备指纹识别的安全渗透测试方法与系统 | |
| CN112822151A (zh) | 面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统 | |
| CN105871861B (zh) | 一种自学习协议规则的入侵检测方法 | |
| CN117411703A (zh) | 一种面向Modbus协议的工业控制网络异常流量检测方法 | |
| CN112291213A (zh) | 一种基于智能终端的异常流量分析方法及装置 | |
| Marino et al. | Data-driven correlation of cyber and physical anomalies for holistic system health monitoring | |
| CN115150182A (zh) | 基于流量分析的信息系统网络攻击检测方法 | |
| CN113259367B (zh) | 工控网络流量多级异常检测方法及装置 | |
| CN114125083A (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
| CN117560196A (zh) | 一种智慧变电站二次系统测试系统及方法 | |
| Schuster et al. | Attack and fault detection in process control communication using unsupervised machine learning | |
| CN115333915B (zh) | 一种面向异构主机的网络管控系统 | |
| CN114760126B (zh) | 一种工控网络流量实时入侵检测方法 | |
| CN113159992A (zh) | 一种闭源电力工控系统行为模式的分类方法及装置 | |
| Whalen et al. | Hidden markov models for automated protocol learning | |
| Yu et al. | Mining anomaly communication patterns for industrial control systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |