CN113259367A - 工控网络流量多级异常检测方法及装置 - Google Patents
工控网络流量多级异常检测方法及装置 Download PDFInfo
- Publication number
- CN113259367A CN113259367A CN202110589716.XA CN202110589716A CN113259367A CN 113259367 A CN113259367 A CN 113259367A CN 202110589716 A CN202110589716 A CN 202110589716A CN 113259367 A CN113259367 A CN 113259367A
- Authority
- CN
- China
- Prior art keywords
- flow
- traffic
- classification
- detection
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种工控网络流量多级异常检测方法及装置,属于计算机技术领域,该方法包括:获取通信流量;对通信流量进行分离、解析和预处理,得到处理后的通信流量,处理后的通信流量包括通信流量的分级结果;使用分级结果对应的异常检测策略对处理后的通信流量进行异常检测,得到检测结果;其中,通信流量不同分级的通信流量对应的异常检测策略不同;通信流量的分级根据工业控制系统进行流量通信时的不同维度划分得到;在检测结果指示通信流量存在异常时进行异常报警;通过利用不同维度的形式可以更全面、更准确地表示流量的模式,更好地展现流量数据的特征,并且有助于异常检测模型的构建。
Description
【技术领域】
本申请涉及一种工控网络流量多级异常检测方法及装置,属于计算机技术领域。
【背景技术】
在真实的工业生产中,由于工业流量种类相对简单,攻击者使用未知的流量进行攻击很容易在工业流量中被筛选识别出来,因此现在针对工业控制系统的攻击往往通过使用正常的流量符号发出攻击行为。比如:在交通灯控制系统中,攻击者发起攻击时将正常流量的顺序打乱造成红绿灯顺序错乱或信号灯时间出现改变,从流量本身来分析,攻击行为的流量符号都是已知的,但是流量符号的顺序或时间间隔不同会破坏系统原有的运转模式,导致系统错误,甚至可能出现危及人民生命财产安全的重大事故。
【发明内容】
本申请提供了一种工控网络流量多级异常检测方法及装置,可以解决无法识别使用正常的流量符号发出攻击的行为的问题。本申请提供如下技术方案:
第一方面,提供一种工控网络流量多级异常检测方法,所述方法包括:
获取通信流量;
对所述通信流量进行分离、解析和预处理,得到处理后的通信流量,所述处理后的通信流量包括所述通信流量的分级结果;
使用所述分级结果对应的异常检测策略对所述处理后的通信流量进行异常检测,得到检测结果;其中,通信流量不同分级的通信流量对应的异常检测策略不同;所述通信流量的分级根据工业控制系统进行流量通信时的不同维度划分得到;
在所述检测结果指示所述通信流量存在异常时进行异常报警。
可选地,所述通信流量的分级包括第一分级、第二分级和第三分级;
所述第一分级为局域网中传输的网络数据包;
所述第二分级为工业控制系统协议报文流量,包括共享相同IP地址的不同设备的协议报文流量;
所述第三分级为对协议报文进行深度解析后得到的数据内容。
可选地,在所述分级结果为第一分级时,所述使用所述分级结果对应的异常检测策略对所述处理后的通信流量进行异常检测,得到检测结果,包括:
抽取并记录数据包的源IP、目的IP、传输协议、端口号、时间戳以及数据包大小,构建所述数据包的六元组;
使用预先构建的第一分级对应的异常检测模型,进行时序规律和周期性的检测,得到所述检测结果;
其中,第一分级对应的异常包括数据包计数异常和数据包流量大小异常。
可选地,在所述分级结果为第二分级时,所述使用所述分级结果对应的异常检测策略对所述处理后的通信流量进行异常检测,得到检测结果,包括:
构建包含源IP、目的IP、协议标识符、同一IP地址下不同设备的地址和时间戳的五元组;
使用预先构建的第二分级对应的异常检测模型,确定在同一IP地址下的不同设备通信流量的周期性,得到所述检测结果;
其中,第二分级对应的异常包括重复行为异常和时序异常。
可选地,在所述分级结果为第三分级时,所述使用所述分级结果对应的异常检测策略对所述处理后的通信流量进行异常检测,得到检测结果,包括:
抽取所述处理后的通信流量中的关键字段内容,并进行符号化处理,符号化后的流量包含了报文中的关键信息内容;
将同一IP地址下同一设备中的流量作为一个单元,使用第三分级对应的异常检测模型确定所述单元的周期模式情况,得到所述检测结果;
其中,第三分级对应的异常包括未知异常、丢失异常和重传异常,所述未知异常指待测流量符号不属于已构建的第三分级对应的异常检测模型;所述丢失异常指待测流量符号序列中存在部分缺失的情况;所述重传异常指待测流量符号序列中某些符号连续出现,并且不符合正常的模式。
可选地,所述在所述检测结果指示所述通信流量存在异常时进行异常报警,包括:
在所述检测结果指示所述通信流量存在异常时,触发报警器;
根据所述检测结果确定异常种类并进行反馈。
可选地,所述通信流量的分级为针对监督控制与数据采集SCADA系统中HMI-PLC之间的通信流量和工业控制系统网络协议进行划分得到的I/O通道外分级和I/O通道内分级;所述处理后的通信流量包括流量符号序列;
所述I/O通道外分级为每个I/O通道的信息构建的I/O事件序列;
所述I/O通道内分级为每个I/O通道的流量符号序列。
可选地,所述使用所述分级结果对应的异常检测策略对所述处理后的通信流量进行异常检测,得到检测结果之前,还包括:
对HMI与PLC间的通信流量进行深度解析以及预处理;
识别不同的I/O地址并分离通道,对每个I/O通道的流量符号序列应用优化后的频谱分析方法进行分析,检测主导周期以及查找有序周期符号;
记录每个周期模式的周期值、周期模式长度以及周期符号内容;
分别对每个I/O通道内的周期模式的构建I/O通道内流量的状态图模型;
在I/O通道内模型构建完成后,利用建模时产生的关键参数生成I/O通道间的I/O事件序列;
根据I/O事件序列的符号所属情况设置DFA选择器,为每种I/O事件序列的周期模式分别使用DFA进行建模,得到DFA模型;所述DFA选择器根据每个DFA模型的字母表来判断输入符号所属的I/O通道间行为模式,并将符号传递给所述I/O通道间行为模式对应的DFA模型进行判断。
可选地,所述I/O通道内模型与所述DFA模型构建过程中采用注意构建并调校的形式构建。
第二方面,提供一种工控网络流量多级异常检测装置,所述装置包括:
流量获取模块,用于获取通信流量;
流量处理模块,用于对所述通信流量进行分离、解析和预处理,得到处理后的通信流量,所述处理后的通信流量包括所述通信流量的分级结果;
异常检测模块,用于使用所述分级结果对应的异常检测策略对所述处理后的通信流量进行异常检测,得到检测结果;其中,通信流量不同分级的通信流量对应的异常检测策略不同;所述通信流量的分级根据工业控制系统进行流量通信时的不同维度划分得到;
分析报警模块,用于在所述检测结果指示所述通信流量存在异常时进行异常报警。
本申请的有益效果在于:通过获取通信流量;对通信流量进行分离、解析和预处理,得到处理后的通信流量,处理后的通信流量包括通信流量的分级结果;使用分级结果对应的异常检测策略对处理后的通信流量进行异常检测,得到检测结果;其中,通信流量不同分级的通信流量对应的异常检测策略不同;通信流量的分级根据工业控制系统进行流量通信时的不同维度划分得到;在检测结果指示通信流量存在异常时进行异常报警;可以解决无法识别使用正常的流量符号发出攻击的行为的问题;通过利用不同维度的形式可以更全面、更准确地表示流量的模式,更好地展现流量数据的特征,并且有助于异常检测模型的构建。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,并可依照说明书的内容予以实施,以下以本申请的较佳实施例并配合附图详细说明如后。
【附图说明】
图1是本申请一个实施例提供的工控网络流量多级异常检测方法的流程图;
图2是本申请一个实施例提供的工控网络流量多级异常检测框架的结构图;
图3是本申请一个实施例提供的I/O通道内外二级异常检测模型结构的结构图;
图4是本申请一个实施例提供的I/O通道内外二级异常检测模型的建模流程图;
图5是本申请一个实施例提供的I/O事件序列模型的结构图;
图6是本申请一个实施例提供的关键参数传递及调校过程的示意图;
图7是本申请一个实施例提供的工控网络流量多级异常检测装置的框图。
【具体实施方式】
下面结合附图和实施例,对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
为了能够更好地表现工业控制系统流量的模式,以期构建出有效的异常检测模型,在研究流量数据本身的特征之外,还结合领域知识引入了工控系统流量的不同维度层次划分。工业控制系统通信流量在不同层级的网络部分中所表现的形式不同,以监督控制与数据采集(SCADA)系统为例,流量形式在局域网交换机之间的数据传输层面中可以是不同IP地址间的数据包,而在远程设备(如可编程逻辑控制器PLC)中可以是不同I/O点的流量报文,在流量报文的data部分中则可以是具体的内容信息。利用不同维度的形式可以更全面、更准确地表示流量的模式,更好地展现流量数据的特征,并且有助于异常检测模型的构建。
因此,如何从不同维度综合考虑工业控制系统流量,进而准确地识别和分析工业控制系统流量的行为特征和周期模式并构建快速、有效的流量异常检测模型,降低工控系统流量异常检测漏报率和误报率,提高检测效率是十分值得关注的问题。本申请以关注工控网络不同层级上流量的特征,针对HMI-PLC间的通信流量,通过分析构建流量在不同层级上的模型组成工控系统网络流量的多级异常检测模型为例进行说明。其中涉及流量报文整体模式这个层级的事件序列周期性,寻找能够对其准确有效的分离建模方法来构建多级的异常检测模型。
下面对本申请提出的工控网络流量多级异常检测的方法进行介绍。
可选地,本申请以各个实施例的执行主体为具有计算能力的电子设备为例进行说明,该电子设备可以为终端或服务器,该终端可以为计算机、笔记本电脑、平板电脑等,本实施例不对终端的类型和电子设备的类型作限定。
图1是本申请一个实施例提供的工控网络流量多级异常检测方法的流程图。该方法至少包括以下几个步骤:
步骤101,获取通信流量。
在一个示例中,通过软件工具从工业控制系统的交换机中捕获通信流量(一般为Pcap、Pcapng文件形式),并将流量数据文件送入解析函数中,以供步骤102进行分析。
步骤102,对通信流量进行分离、解析和预处理,得到处理后的通信流量,处理后的通信流量包括通信流量的分级结果。
本实施中,解析函数会根据工业控制协议的语义对流量数据进行解析,抽取数据中的有效信息。在解析流量报文内容的基础上,将对流量数据进行初步的处理,以便进行后续的异常检测工作。
本实施例中,将流量数据根据不同维度层级划分为多个级别,每个层级都有其自身的特征,根据其特性将适当的异常检测方法应用于每个级别的数据,参考图2所示的多级异常检测框架的结构图。
根据不同工业控制系统以及他们通信流量的特点,可以从不同角度进行流量分级,例如可以将流量分为三个级别:此时,通信流量的分级包括第一分级、第二分级和第三分级:
第一分级为局域网中传输的网络数据包;第一分级并不局限与工业控制协议相关的数据包而是所有的网络数据包,关注其源IP、目的IP、传输协议、端口号等信息,并记录数据包的时间戳和大小。
第二分级为工业控制系统协议(如,S7、Modbus、DNP3等)报文流量,包括共享相同IP地址的不同设备的协议报文流量,关注其节点地址(如I/O地址)以及功能码等。
第三分级为对协议报文进行深度解析后得到的数据内容。
本实施例中,工控网络流量多级异常检测框架根据目标工业控制系统的生产过程特征以及不同级别流量数据的特征进行构建,从多个维度来检测流量数据的模式特征。
步骤103,使用分级结果对应的异常检测策略对处理后的通信流量进行异常检测,得到检测结果;其中,通信流量不同分级的通信流量对应的异常检测策略不同;通信流量的分级根据工业控制系统进行流量通信时的不同维度划分得到。
具体地,根据事先确定好的流量分级规则,对不同级别的流量采用相应的异常检测模型构建方法和检测方法,例如,在第一级别的流量检测中,可以抽取并记录数据包的源IP、目的IP、传输协议、端口号、时间戳以及数据包大小,构建六元组。如果传输协议是面向连接的协议(例如TCP),则发起方和响应方是连接的客户端和服务器,而端口号是连接的服务器端的端口号。如果传输协议是无连接协议(例如UDP),则发起方和响应方是针对该协议观察到的第一个相应数据包的发送方和接收方。
相应地,在分级结果为第一分级时,使用分级结果对应的异常检测策略对处理后的通信流量进行异常检测,得到检测结果,包括:抽取并记录数据包的源IP、目的IP、传输协议、端口号、时间戳以及数据包大小,构建数据包的六元组;使用预先构建的第一分级对应的异常检测模型,进行时序规律和周期性的检测,得到检测结果;其中,第一分级对应的异常包括数据包计数异常和数据包流量大小异常。
其中,第一分级对应的异常检测模型可以是基于时序分析方法进行时序规律的建模得到的;和/或,基于自相关方法探究其周期性建立检测模型,也可以将流量信息符号化进行状态图建模得到的,其中,基于时序分析方法可以是使用长短时记忆网络(LongShort-Term Memory,LSTM)等模型建立。
针对工业控制系统网络协议级别(例如不同的请求响应事件)的异常情况检测,可以根据需要构建一个包含源IP、目的IP、协议标识符、同一IP地址下不同设备的地址、时间戳的五元组。研究在同一IP地址下的不同设备通信流量的周期性,即研究流量的具体行为模式,从而构建出该级别流量的异常检测模型用于相应级别流量的异常检测工作。相应地,在分级结果为第二分级时,使用分级结果对应的异常检测策略对处理后的通信流量进行异常检测,得到检测结果,包括:构建包含源IP、目的IP、协议标识符、同一IP地址下不同设备的地址和时间戳的五元组;使用预先构建的第二分级对应的异常检测模型,确定在同一IP地址下的不同设备通信流量的周期性,得到检测结果;其中,第二分级对应的异常包括重复行为异常和时序异常。
涉及到流量协议内容的异常检测中,可以尝试首先对工业控制系统网络协议流量报文进行深度解析,抽取关键字段内容,进行符号化处理。然后将同一IP地址下同一设备中的流量当做一个单元,研究其周期模式情况。最后分别为每个单元构建出周期模式模型。符号化后的流量包含了报文中的关键信息内容,重点关注流量符号序列的周期模式。相应地,在分级结果为第三分级时,使用分级结果对应的异常检测策略对处理后的通信流量进行异常检测,得到检测结果,包括:抽取处理后的通信流量中的关键字段内容,并进行符号化处理,符号化后的流量包含了报文中的关键信息内容;将同一IP地址下同一设备中的流量作为一个单元,使用第三分级对应的异常检测模型确定单元的周期模式情况,得到检测结果;其中,第三分级对应的异常包括未知异常、丢失异常和重传异常,未知异常指待测流量符号不属于已构建的第三分级对应的异常检测模型;丢失异常指待测流量符号序列中存在部分缺失的情况;重传异常指待测流量符号序列中某些符号连续出现,并且不符合正常的模式。
步骤104,在检测结果指示通信流量存在异常时进行异常报警。
在检测结果指示通信流量存在异常时进行异常报警,包括:在检测结果指示通信流量存在异常时,触发报警器;根据检测结果确定异常种类并进行反馈。
在接收到检测结果后,进行结果的异常分析,若确认流量数据在时序以及符号内容上均没有异常,则将流量数据的检测结果输出;若检测结果产生了异常情况,则触发报警器,然后判断异常种类(如未知异常、重复行为异常、时序异常等)并进行反馈。例如,在第一分级的流量中可能出现数据包计数或数据包流量大小的异常情况;在与流量的宏观行为模式有关的工业控制协议级别流量中可能会出现连续重复行为异常或时序异常等;而在流量协议内容级别的检测中一般包括未知、丢失、重传三种异常。。当然,上述三种异常可能由攻击行为、人工操作、网络或系统不稳定等因素引起。
根据上述设计的多级异常检测框架,针对SCADA系统中HMI-PLC之间的通信流量和工业控制系统网络协议研究I/O通道间以及I/O通道内部流量的多级异常检测模型的自动化构建方法。
上文中提到工业控制系统流量一般具有相对固定的行为模式,但存在一些伪装成“正常流量”的攻击行为,它们中的每个流量周期内的模式与已知的正常流量完全相同,只是通过改变不同流量周期发生的顺序来达到影响甚至是攻击工业控制系统的目的。可以理解为在I/O通道间的流量行为顺序发生了改变。
参考图3所示的I/O通道内外二级异常检测模型的工作过程,主要包括以下几个部分:第一部分负责流量数据的分离、解析与预处理,第二部分负责进行工控系统网络流量的检测,具体分为I/O通道间流量(即I/O事件序列)的异常检测和I/O通道内流量周期模式(即以协议报文信息为基础构建流量符号作为最小检测单元)的异常检测,第三部分负责报警和结果分析。
对于第一部分:设置了流量数据分离、解析和预处理模块。首先在开始设置一个分离器将输入的流量数据(Pcap文件形式)根据不同的IP地址分离成不同的数据块,其次对各个数据块进行深度解析,确定每个数据块中所有不同的I/O点,根据I/O地址分离并提取了每个I/O通道中所有报文记录的关键字段。
本实施例中,处理后的通信流量包括流量符号序列,具体流量符号序列的构建过程包括:对提取到的每条报文记录的关键字段进行字符串拼接并计算得到对应的哈希字符串作为输入符号;在输入符号构建过程中,新加入“Area”和“Address”字段,用于区别不同I/O通道的流量符号。
相应地,通信流量的分级为针对监督控制与数据采集SCADA系统中HMI-PLC之间的通信流量和工业控制系统网络协议进行划分得到的I/O通道外分级和I/O通道内分级;I/O通道外分级为每个I/O通道的信息构建的I/O事件序列;I/O通道内分级为每个I/O通道的流量符号序列。
对于第二部分:在I/O事件序列异常检测方面包括I/O事件序列生成模块以及I/O事件序列检测。
I/O事件序列生成包括:根据模型中保存的每个I/O通道的信息构建I/O事件序列。主要通过每个I/O通道中相应的周期模式长度以及周期值,从预处理后的流量符号序列中抽取出I/O事件序列,已进行后续的I/O事件序列异常检测。
I/O事件序列异常检测包括:当接收到待测的I/O事件序列后根据模型训练结果进行评估检测,以供后续根据检测结果进行分析,若有异常情况则进行报警并反馈异常情况分析结果;若无异常情况,则直接输出检测结果。
在I/O通道内流量周期模式异常检测方面包括I/O通道分离,对输入符号进行识别后将其送入对应周期模式的DFA模型中。在检测过程完成后进行后续的根据检测结果进行分析,若出现未知、丢失、重传等异常情况则通过报警器进行报警并输出异常情况分析结果,否则直接输出检测结果。
对于第三部分:在接收到来自两大检测部分的检测结果后,若确认符号序列在I/O通道内(周期模式内的符号序列)和I/O通道外(I/O事件序列)两个维度上均没有异常,则将检测结果输出;若检测期间产生异常报警,则判断异常种类,然后输出给报警器。报警器在接收到任一检测部分的异常信息都进行报警反馈,并根据检测结果给出异常类型。
本实施例中,在使用分级结果对应的异常检测策略对处理后的通信流量进行异常检测,得到检测结果之前,还包括对二级异常检测模型自动化构建。参考图4,总体建模思路包括:先将流量文件进行深度解析并通过预处理后得到流量符号序列,其次进行I/O通道内的建模,然后再进行I/O通道间(即I/O事件序列)建模,最后,根据不同的流量模式周期性特征将多维度的模型结合起来构建多层的工业控制系统网络流量异常检测模型。
本实施例中,分别对工业控制系统流量进行I/O通道内外两个维度的建模,最终形成I/O通道内外二级异常检测模型。具体地,对HMI与PLC间的通信流量进行深度解析以及预处理;识别不同的I/O地址并分离通道,对每个I/O通道的流量符号序列应用优化后的频谱分析方法进行分析,检测主导周期以及查找有序周期符号;记录每个周期模式的周期值、周期模式长度以及周期符号内容;分别对每个I/O通道内的周期模式的构建I/O通道内流量的状态图模型;在I/O通道内模型构建完成后,利用建模时产生的关键参数生成I/O通道间的I/O事件序列;根据I/O事件序列的符号所属情况设置确定有穷自动机(DeterministicFinite Automaton,DFA)选择器,为每种I/O事件序列的周期模式分别使用DFA进行建模,得到DFA模型;DFA选择器根据每个DFA模型的字母表来判断输入符号所属的I/O通道间行为模式,并将符号传递给I/O通道间行为模式对应的DFA模型进行判断。
其中,DFA为一个有限状态集合和一些从一个状态通向另一个状态的边,每条边上标记有一个符号,其中一个状态是初态,某些状态是终态。但不同于不确定的有限自动机,DFA中不会有从同一状态出发的两条边标志有相同的符号。
当流量符号不属于任何DFA则发出未知报警。I/O事件序列异常检测模型的结构如图5所示。
可选地,由于两个模型在构建过程中存在关键参数传递,因此,I/O通道内模型与DFA模型构建过程中采用注意构建并调校的形式构建,构建并调校的过程参考图6所示。
综上所述,本实施例提供的工控网络流量多级异常检测方法,通过获取通信流量;对通信流量进行分离、解析和预处理,得到处理后的通信流量,处理后的通信流量包括通信流量的分级结果;使用分级结果对应的异常检测策略对处理后的通信流量进行异常检测,得到检测结果;其中,通信流量不同分级的通信流量对应的异常检测策略不同;通信流量的分级根据工业控制系统进行流量通信时的不同维度划分得到;在检测结果指示通信流量存在异常时进行异常报警;可以解决无法识别使用正常的流量符号发出攻击的行为的问题;通过利用不同维度的形式可以更全面、更准确地表示流量的模式,更好地展现流量数据的特征,并且有助于异常检测模型的构建。
图7是本申请一个实施例提供的工控网络流量多级异常检测装置的框图。该装置至少包括以下几个模块:流量获取模块710、流量处理模块720异常检测模块730、和分析报警模块740。
流量获取模块710,用于获取通信流量;
流量处理模块720,用于对所述通信流量进行分离、解析和预处理,得到处理后的通信流量,所述处理后的通信流量包括所述通信流量的分级结果;
异常检测模块730,用于使用所述分级结果对应的异常检测策略对所述处理后的通信流量进行异常检测,得到检测结果;其中,通信流量不同分级的通信流量对应的异常检测策略不同;所述通信流量的分级根据工业控制系统进行流量通信时的不同维度划分得到;
分析报警模块740,用于在所述检测结果指示所述通信流量存在异常时进行异常报警。
相关细节参考上述方法实施例。
需要说明的是:上述实施例中提供的工控网络流量多级异常检测装置在进行工控网络流量多级异常检测时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将工控网络流量多级异常检测装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的工控网络流量多级异常检测装置与工控网络流量多级异常检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
可选地,本申请还提供有一种计算机可读存储介质,所述计算机可读存储介质中存储有程序,所述程序由处理器加载并执行以实现上述方法实施例的工控网络流量多级异常检测方法。
可选地,本申请还提供有一种计算机产品,该计算机产品包括计算机可读存储介质,所述计算机可读存储介质中存储有程序,所述程序由处理器加载并执行以实现上述方法实施例的工控网络流量多级异常检测方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
上述仅为本申请的一个具体实施方式,其它基于本申请构思的前提下做出的任何改进都视为本申请的保护范围。
Claims (10)
1.一种工控网络流量多级异常检测方法,其特征在于,所述方法包括:
获取通信流量;
对所述通信流量进行分离、解析和预处理,得到处理后的通信流量,所述处理后的通信流量包括所述通信流量的分级结果;
使用所述分级结果对应的异常检测策略对所述处理后的通信流量进行异常检测,得到检测结果;其中,通信流量不同分级的通信流量对应的异常检测策略不同;所述通信流量的分级根据工业控制系统进行流量通信时的不同维度划分得到;
在所述检测结果指示所述通信流量存在异常时进行异常报警。
2.根据权利要求1所述的方法,其特征在于,所述通信流量的分级包括第一分级、第二分级和第三分级;
所述第一分级为局域网中传输的网络数据包;
所述第二分级为工业控制系统协议报文流量,包括共享相同IP地址的不同设备的协议报文流量;
所述第三分级为对协议报文进行深度解析后得到的数据内容。
3.根据权利要求2所述的方法,其特征在于,在所述分级结果为第一分级时,所述使用所述分级结果对应的异常检测策略对所述处理后的通信流量进行异常检测,得到检测结果,包括:
抽取并记录数据包的源IP、目的IP、传输协议、端口号、时间戳以及数据包大小,构建所述数据包的六元组;
使用预先构建的第一分级对应的异常检测模型,进行时序规律和周期性的检测,得到所述检测结果;
其中,第一分级对应的异常包括数据包计数异常和数据包流量大小异常。
4.根据权利要求2所述的方法,其特征在于,在所述分级结果为第二分级时,所述使用所述分级结果对应的异常检测策略对所述处理后的通信流量进行异常检测,得到检测结果,包括:
构建包含源IP、目的IP、协议标识符、同一IP地址下不同设备的地址和时间戳的五元组;
使用预先构建的第二分级对应的异常检测模型,确定在同一IP地址下的不同设备通信流量的周期性,得到所述检测结果;
其中,第二分级对应的异常包括重复行为异常和时序异常。
5.根据权利要求2所述的方法,其特征在于,在所述分级结果为第三分级时,所述使用所述分级结果对应的异常检测策略对所述处理后的通信流量进行异常检测,得到检测结果,包括:
抽取所述处理后的通信流量中的关键字段内容,并进行符号化处理,符号化后的流量包含了报文中的关键信息内容;
将同一IP地址下同一设备中的流量作为一个单元,使用第三分级对应的异常检测模型确定所述单元的周期模式情况,得到所述检测结果;
其中,第三分级对应的异常包括未知异常、丢失异常和重传异常,所述未知异常指待测流量符号不属于已构建的第三分级对应的异常检测模型;所述丢失异常指待测流量符号序列中存在部分缺失的情况;所述重传异常指待测流量符号序列中某些符号连续出现,并且不符合正常的模式。
6.根据权利要求2所述的方法,其特征在于,所述在所述检测结果指示所述通信流量存在异常时进行异常报警,包括:
在所述检测结果指示所述通信流量存在异常时,触发报警器;
根据所述检测结果确定异常种类并进行反馈。
7.根据权利要求1所述的方法,其特征在于,所述通信流量的分级为针对监督控制与数据采集SCADA系统中HMI-PLC之间的通信流量和工业控制系统网络协议进行划分得到的I/O通道外分级和I/O通道内分级;所述处理后的通信流量包括流量符号序列;
所述I/O通道外分级为每个I/O通道的信息构建的I/O事件序列;
所述I/O通道内分级为每个I/O通道的流量符号序列。
8.根据权利要求7所述的方法,其特征在于,所述使用所述分级结果对应的异常检测策略对所述处理后的通信流量进行异常检测,得到检测结果之前,还包括:
对HMI与PLC间的通信流量进行深度解析以及预处理;
识别不同的I/O地址并分离通道,对每个I/O通道的流量符号序列应用优化后的频谱分析方法进行分析,检测主导周期以及查找有序周期符号;
记录每个周期模式的周期值、周期模式长度以及周期符号内容;
分别对每个I/O通道内的周期模式的构建I/O通道内流量的状态图模型;
在I/O通道内模型构建完成后,利用建模时产生的关键参数生成I/O通道间的I/O事件序列;
根据I/O事件序列的符号所属情况设置DFA选择器,为每种I/O事件序列的周期模式分别使用DFA进行建模,得到DFA模型;所述DFA选择器根据每个DFA模型的字母表来判断输入符号所属的I/O通道间行为模式,并将符号传递给所述I/O通道间行为模式对应的DFA模型进行判断。
9.根据权利要求8所述的方法,其特征在于,所述I/O通道内模型与所述DFA模型构建过程中采用注意构建并调校的形式构建。
10.一种工控网络流量多级异常检测装置,其特征在于,所述装置包括:
流量获取模块,用于获取通信流量;
流量处理模块,用于对所述通信流量进行分离、解析和预处理,得到处理后的通信流量,所述处理后的通信流量包括所述通信流量的分级结果;
异常检测模块,用于使用所述分级结果对应的异常检测策略对所述处理后的通信流量进行异常检测,得到检测结果;其中,通信流量不同分级的通信流量对应的异常检测策略不同;所述通信流量的分级根据工业控制系统进行流量通信时的不同维度划分得到;
分析报警模块,用于在所述检测结果指示所述通信流量存在异常时进行异常报警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110589716.XA CN113259367B (zh) | 2021-05-28 | 2021-05-28 | 工控网络流量多级异常检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110589716.XA CN113259367B (zh) | 2021-05-28 | 2021-05-28 | 工控网络流量多级异常检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113259367A true CN113259367A (zh) | 2021-08-13 |
| CN113259367B CN113259367B (zh) | 2022-05-06 |
Family
ID=77185220
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110589716.XA Active CN113259367B (zh) | 2021-05-28 | 2021-05-28 | 工控网络流量多级异常检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113259367B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114727166A (zh) * | 2022-06-09 | 2022-07-08 | 南京天梯自动化设备股份有限公司 | 基于物联网的远程在线式计量仪表状态监控方法及系统 |
| CN114844802A (zh) * | 2022-07-04 | 2022-08-02 | 北京六方云信息技术有限公司 | 流量检测方法、装置、终端设备以及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110149343A (zh) * | 2019-05-31 | 2019-08-20 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和系统 |
| CN111245848A (zh) * | 2020-01-15 | 2020-06-05 | 太原理工大学 | 一种分层依赖关系建模的工控入侵检测方法 |
| CN111698209A (zh) * | 2020-05-08 | 2020-09-22 | 国网安徽省电力有限公司亳州供电公司 | 一种网络异常流量检测方法及装置 |
| CN112448919A (zh) * | 2019-08-30 | 2021-03-05 | 中国电信股份有限公司 | 网络异常检测方法、装置和系统、计算机可读存储介质 |
| CN112822151A (zh) * | 2020-11-06 | 2021-05-18 | 浙江中烟工业有限责任公司 | 面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统 |
-
2021
- 2021-05-28 CN CN202110589716.XA patent/CN113259367B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110149343A (zh) * | 2019-05-31 | 2019-08-20 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和系统 |
| CN112448919A (zh) * | 2019-08-30 | 2021-03-05 | 中国电信股份有限公司 | 网络异常检测方法、装置和系统、计算机可读存储介质 |
| CN111245848A (zh) * | 2020-01-15 | 2020-06-05 | 太原理工大学 | 一种分层依赖关系建模的工控入侵检测方法 |
| CN111698209A (zh) * | 2020-05-08 | 2020-09-22 | 国网安徽省电力有限公司亳州供电公司 | 一种网络异常流量检测方法及装置 |
| CN112822151A (zh) * | 2020-11-06 | 2021-05-18 | 浙江中烟工业有限责任公司 | 面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114727166A (zh) * | 2022-06-09 | 2022-07-08 | 南京天梯自动化设备股份有限公司 | 基于物联网的远程在线式计量仪表状态监控方法及系统 |
| CN114844802A (zh) * | 2022-07-04 | 2022-08-02 | 北京六方云信息技术有限公司 | 流量检测方法、装置、终端设备以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113259367B (zh) | 2022-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110011999B (zh) | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 | |
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| CN111277578A (zh) | 加密流量分析特征提取方法、系统、存储介质、安全设备 | |
| CN113259367B (zh) | 工控网络流量多级异常检测方法及装置 | |
| CN106357470B (zh) | 一种基于sdn控制器网络威胁快速感知方法 | |
| CN109768952B (zh) | 一种基于可信模型的工控网络异常行为检测方法 | |
| CN110324323B (zh) | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 | |
| CN113612763B (zh) | 基于网络安全恶意行为知识库的网络攻击检测装置和方法 | |
| CN111885060B (zh) | 面向车联网的无损式信息安全漏洞检测系统和方法 | |
| CN111245848B (zh) | 一种分层依赖关系建模的工控入侵检测方法 | |
| CN109150869A (zh) | 一种交换机信息采集分析系统及方法 | |
| CN111709034A (zh) | 基于机器学习的工控环境智能安全检测系统与方法 | |
| CN112149120A (zh) | 一种透传式双通道电力物联网安全检测系统 | |
| Jadidi et al. | Automated detection-in-depth in industrial control systems | |
| CN113328985A (zh) | 一种被动物联网设备识别方法、系统、介质及设备 | |
| CN111224973A (zh) | 一种基于工业云的网络攻击快速检测系统 | |
| CN115396324A (zh) | 一种网络安全态势感知预警处理系统 | |
| Deng et al. | Intrusion detection method based on support vector machine access of modbus TCP protocol | |
| CN118233135A (zh) | 一种基于隔离森林算法的网络流量异常检测方法 | |
| CN115333915B (zh) | 一种面向异构主机的网络管控系统 | |
| CN116366465A (zh) | 一种工业控制系统网络分析报告生成方法及系统 | |
| CN116405241A (zh) | 一种网络安全设备告警的时序关联分析方法及系统 | |
| CN116346434A (zh) | 电力系统网络攻击行为监测准确度提升方法及系统 | |
| EP3576365B1 (en) | Data processing device and method | |
| Peng et al. | Anomaly detection based on multiple streams clustering for train real-time ethernet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |