CN113645181B - 一种基于孤立森林的分布式规约攻击检测方法及系统 - Google Patents

一种基于孤立森林的分布式规约攻击检测方法及系统 Download PDF

Info

Publication number
CN113645181B
CN113645181B CN202110683154.5A CN202110683154A CN113645181B CN 113645181 B CN113645181 B CN 113645181B CN 202110683154 A CN202110683154 A CN 202110683154A CN 113645181 B CN113645181 B CN 113645181B
Authority
CN
China
Prior art keywords
attack
distributed network
network protocol
attack detection
distributed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110683154.5A
Other languages
English (en)
Other versions
CN113645181A (zh
Inventor
王勇
李彤馨
王威
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Yunjian Information Technology Co ltd
Shanghai Electric Power University
Original Assignee
Shanghai Yunjian Information Technology Co ltd
Shanghai Electric Power University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Yunjian Information Technology Co ltd, Shanghai Electric Power University filed Critical Shanghai Yunjian Information Technology Co ltd
Priority to CN202110683154.5A priority Critical patent/CN113645181B/zh
Publication of CN113645181A publication Critical patent/CN113645181A/zh
Application granted granted Critical
Publication of CN113645181B publication Critical patent/CN113645181B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于孤立森林的分布式规约攻击检测方法及系统,包括:根据孤立森林算法对含有攻击数据的数据集进行分类,得到异常数据;基于分类得到的异常数据结合关联规则算法提取未知攻击的攻击特征,生成所述异常数据的关联规则;基于分布式网络规约仿真软件,搭建分布式网络规约通信的攻击检测系统,将所述关联规则添加到所述攻击检测系统,得到规则扩充后的攻击检测系统;利用攻击工具对所述攻击检测系统进行中间人攻击,根据检测规则进行攻击检测与预警,实现分布式规约的攻击检测。本发明提供一种可靠、稳定且准确率高的基于分布式网络规约的攻击检测算法,从而有效提高工业控制系统的安全性,阻止攻击者对工控系统的攻击。

Description

一种基于孤立森林的分布式规约攻击检测方法及系统
技术领域
本发明涉及攻击检测的技术领域,尤其涉及一种基于孤立森林的分布式规约攻击检测方法及系统。
背景技术
工业控制系统包含了监控和数据采集系统,它能控制和监控所有相关的基础设施,如发电厂、供水管道和电力系统等;针对此类系统的网络攻击越来越频繁,可能会给我们的社会带来不可挽回的损失,在过去,互联网服务提供商在专有网络上运行,并与合作网络(即商业网络)和互联网隔离;目前,它们的架构已经发生了变化,并在外部与商业网络和互联网互联,换句话说,它们现在更像是可以上网的企业局域网,这一变化大大增加了遭受网络攻击的可能性。
分布式网络协议是现代监控和数据采集网络协议之一,分布式网络规约是主设备和从设备之间通过各种通信介质进行通信的双向协议,这是一个相对可靠和有效的协议,为了实现更好的效率,分布式网络规约采用了一种称为增强性能架构的网络层模型,EPA只有三个层次:物理层、数据链路层和应用层,为了提高可靠性,分布式网络规约在其应用层中包含了传输功能。
由于分布式网络规约在设计阶段并未考虑到安全机制,因此分布式网络规约很容易遭受到攻击。而目前常见的攻击检测方法主要包括防火墙、入侵检测系统与蜜罐技术等;其中,防火墙主要采取的是端口扫描技术,具有实时处理的优势;入侵检测系统则通过先进的入侵检测技术来保障系统的安全;蜜罐技术则通过不同的蜜罐对攻击数据进行捕获。而以上三种方法存在误报率较高的问题,因此无法适应工业系统中的安全需求,为此,提出采用仿真的方式,搭建分布式网络规约通信环境,配置防火墙,利用机器学习方法,进行异常检测,并证明该方案的有效性。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述现有存在的问题,提出了本发明。
因此,本发明解决的技术问题是:现有技术存在误报率较高的问题,从而无法适应工业系统中的安全需求。
为解决上述技术问题,本发明提供如下技术方案:根据孤立森林算法对含有攻击数据的数据集进行分类,得到异常数据;基于分类得到的异常数据结合关联规则算法提取未知攻击的攻击特征,生成所述异常数据的关联规则;基于分布式网络规约仿真软件,搭建分布式网络规约通信的攻击检测系统,将所述关联规则添加到所述攻击检测系统,得到规则扩充后的攻击检测系统;利用攻击工具对所述攻击检测系统进行攻击,根据检测规则进行攻击检测与预警,实现分布式规约的攻击检测。
作为本发明所述的基于孤立森林的分布式规约攻击检测方法的一种优选方案,其中:所述孤立森林算法的步骤包括,建立i棵子树,构建iForest;从数据集D中随机选取n个样本点作为所述i棵子树的根节点;若当前树的高度超过设置高度h,则返回子树,否则,随机选择一个特征q;所述随机在特征q的最大值和最小值之间选择切分点p;将小于所述p的样本放入左子节点,将大于所述p的样本放入右子节点;在子节点中递归判断当前树的高度到判断所述p所放节点的步骤;利用构建好的iForest计算样本得分Iso_anomaly_score;将所述样本得分进行升序排序;对阈值threshold进行限制;输出小于所述阈值的数据。
作为本发明所述的基于孤立森林的分布式规约攻击检测方法的一种优选方案,其中:所述关联规则算法包括,扫描全部数据,产生候选集的集合C1;根据最小支持度,由候选集集合C1产生频繁项集的集合;对K>1,重复执行连接和剪枝操作、产生频繁项集集合操作:由Lk执行连接和剪枝操作,产生候选(k+1)项集的集合CK+1;根据所述最小支持度,由候选(k+1)项集的集合CK+1,产生频繁项集(k+1)项集的集合;若L≠0,则k=k+1,跳往所述执行连接和剪枝操作步骤;否则,根据最小置信度,由频繁项集产生强关联规则,结束。
作为本发明所述的基于孤立森林的分布式规约攻击检测方法的一种优选方案,其中:所述攻击包括中间人攻击、分布式网络规约数据包修改和注入攻击、以分布式网络规约应用层为目标的分布式拒绝服务攻击以及分布式网络规约冷重启消息攻击。
作为本发明所述的基于孤立森林的分布式规约攻击检测方法的一种优选方案,其中:针对所述分布式网络规约协议的检测规则包括,针对任何访问分布式网络规约服务器端20000端口次数超过20次的访问者进行告警;针对任何访问分布式网络规约服务器端20000端口,并对功能码21进行访问的访问者进行告警;针对访问者在分布式网络规约端口上没有进行分布式网络规约协议的通信发出告警;针对任何访问分布式网络规约服务器端20000端口,并对功能码13进行访问的访问者进行告警;针对任何非已经设定好的分布式网络规约客户端访问分布式网络规约服务器端20000端口,将其视为没有权限的用户,因并进行告警;针对任何非已经设定好的分布式网络规约客户端访问分布式网络规约服务器端20000端口,并访问功能码1,将其视为没有访问PLC权限的用户,并进行告警;针对任何访问分布式网络规约服务器端20000端口且访问功能码18的访问者,将其视为非法停止程序运行,并进行告警。
作为本发明所述的基于孤立森林的分布式规约攻击检测方法的一种优选方案,其中:通过防火墙单元与snort攻击检测单元捕获攻击行为数据。
作为本发明所述的基于孤立森林的分布式规约攻击检测方法的一种优选方案,其中:所述防火墙单元捕获的攻击行为数据包括,
χi={x1,x2,...,xn}
其中,χi表示攻击序列,x1,x2...xn表示不同的攻击个体。
作为本发明所述的基于孤立森林的分布式规约攻击检测方法的一种优选方案,其中:所述snort攻击检测单元包括,
Yi=R-Xi={y1,y2,...,yn}
其中,Yi表示snort攻击检测单元捕获的攻击,R表示攻击总数,y1,y2…yn表示snort攻击检测单元捕获的攻击个体。
本发明解决的一个技术问题是:提供一种基于孤立森林的分布式规约攻击检测系统,具有准确率更高的检测能力。
为解决上述技术问题,本发明提供如下技术方案:通信模块包括分布式网络规约服务器端以及客户端,用于实现分布式网络规约的仿真通信;攻击检测模块与所述通信模块进行连接,其包括防火墙单元和snort攻击检测单元,所述防火墙单元和所述snort攻击检测单元相连接,用于对分布式网络规约协议常见的攻击进行检测。
本发明的有益效果:本发明提供一种可靠、稳定且准确率高的基于分布式网络规约的攻击检测算法,从而有效提高工业控制系统的安全性,阻止攻击者对工控系统的攻击。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明一个实施例提供的一种基于孤立森林的分布式规约攻击检测方法及系统的基本流程示意图;
图2为本发明一个实施例提供的一种基于孤立森林的分布式规约攻击检测方法及系统的异常分类算法流程示意图;
图3为本发明一个实施例提供的一种基于孤立森林的分布式规约攻击检测方法及系统的强规则生成算法流程示意图;
图4为本发明一个实施例提供的一种基于孤立森林的分布式规约攻击检测方法及系统的攻击检测系统拓扑示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明中除非另有明确的规定和限定,术语“安装、相连、连接”应做广义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1
参照图1~3,为本发明的一个实施例,提供了一种基于孤立森林的分布式规约攻击检测方法,包括:
S1:根据孤立森林算法对含有攻击数据的数据集进行分类,得到异常数据;需要说明的是,
孤立森林算法是一种无监督算法,适用于连续数据,即不需要有标记的样本,只需要特征是连续的;在孤立森林算法中,不再是描述正常的样本点,而是要孤立异常点;该算法主要从训练数据集中随机选取一个特征,在该特征的最大值最小值之间选取一个分割点,小于分割点的数据进入左侧分支,大于或等于分割点的数据进入右侧分支;不断重复以上过程后,直到只剩一个样本或相同样本或达到树的深度限制,然后通过路径长度来表示一个样本点被“孤立”的程度。如图2所示,孤立森林算法的具体步骤包括:
建立i棵子树,构建iForest;
从数据集D中随机选取n个样本点作为i棵子树的根节点;
若当前树的高度超过设置高度h,则返回子树,否则,随机选择一个特征q;
随机在特征q的最大值和最小值之间选择切分点p;
将小于p的样本放入左子节点,将大于p的样本放入右子节点;
在子节点中递归判断当前树的高度到判断p所放节点的步骤;
利用构建好的iForest计算样本得分Iso_anomaly_score;
将样本得分进行升序排序;
对阈值threshold进行限制;
输出小于阈值的数据。
S2:基于分类得到的异常数据结合关联规则算法提取未知攻击的攻击特征,生成异常数据的关联规则;需要说明的是,
关联规则算法是一种最有影响的挖掘布尔关联规则频繁项集的算法;该算法的基本思想是:首先找出所有的频集,这些项集出现的频繁性至少和预定义的最小支持度一样;然后由频集产生强关联规则,这些规则必须满足最小支持度和最小可信度;再者使用第一步找到的频集产生期望的规则,产生只包含集合的项的所有规则,其中每一条规则的右部只有一项,本发明采用的是中规则的定义,一旦这些规则被生成,那么只有那些大于用户给定的最小可信度的规则才被留下来,为了生成所有频集,使用了递推的方法。其中,关联规则算法属于强规则生成算法,如图3所示,其具体步骤包括:
扫描全部数据,产生候选集的集合C1
根据最小支持度,由候选集集合C1产生频繁项集的集合;
对K>1,重复执行连接和剪枝操作、产生频繁项集集合操作:
由Lk执行连接和剪枝操作,产生候选(k+1)项集的集合CK+1
根据最小支持度,由候选(k+1)项集的集合CK+1,产生频繁项集(k+1)项集的集合;
若L≠0,则k=k+1,跳往执行连接和剪枝操作步骤;否则,
根据最小置信度,由频繁项集产生强关联规则,结束。
S3:基于分布式网络规约仿真软件,搭建分布式网络规约通信的攻击检测系统,将关联规则添加到攻击检测系统,得到规则扩充后的攻击检测系统;需要说明的是,
分布式网络规约协议主要用于与其它主机网络隔绝的工业控制网络,除了基础的要求之外,协议的安全性没有严格考虑,分布式网络规约协议目前典型的安全问题如下:
(1)没有认证保护:在分布式网络规约协议的通信过程中,没有任何认证的相关定义,攻击者可以通过使用定义明确的函数代码和数据类型创建对话,轻松中断整个或部分控制过程。
(2)没有授权保护:分布式网络规约协议没有进行权限的限制,因此,随意一个用户都可以执行任何操作来运行任意功能。
(3)没有加密保护:加密保证了信息的可信度,在分布式网络规约协议通信过程中,通常以纯文本的形式来发送地址和命令,因此传输过程易被捕获和解析。这可能有助于分析工业控制对象和过程。
分布式网络规约协议还有其他严重的安全问题,例如,未授权用户恶意修改和使用用户协议功能代码,一旦获得操作的主权,攻击者就可以向服务器发送任何功能代码,或者向客户端发送虚假信息以获得有用的反馈。
根据步骤S4中常见的攻击,可编写snort攻击检测规则,基于Snort引擎,设计规则用以匹配,即规则语言。本发明中用于检测DoS攻击的规则如下:
{alert icmp any any->$192.168.1.107 any(msg:"ICMP test";sid:10000001;rev:001;}
在这段规则中,alert表示如果攻击符合规则的设定,则发出告警,icmp表示协议类型,any表示任意源/目的IP地址,any/80表示端口号,msg表示记录的告警的日志信息,sid表示Snort规则的ID,rev则是用来识别规则修改的版本。
针对分布式网络规约协议的检测规则包括:
alert tcp any any->$DNP3_SERVER 20000(msg:"TCP SYN flood attackdetected";flags:S;threshold:type threshold,track by_dst,count 20,seconds 10;sid:5000001;rev:1;)
该规则表示,针对任何访问分布式网络规约服务器端20000端口次数超过20次的访问者进行告警;
alert tcp any any->$DNP3_SERVER 20000(msg:"SCADA_IDS:DNP3-DisableUnsolicited Responses";DNP3_func:21;classtype:attempted-dos;sid:11112011;rev:1;priority:2;)
该规则表示,针对任何访问分布式网络规约服务器端20000端口,并对功能码21进行访问的访问者进行告警;
alert tcp any any->$DNP3_SERVER 20000(flow:established;pcre:"/(?!\x05\x64)/iAR";msg:"SCADA_IDS:DNP3-Non-DNP3 Communication on a DNP3 Port";classtype:non-standard-protocol;sid:1111202;rev:1;priority:2;)
该规则表示,针对访问者在分布式网络规约端口上没有进行分布式网络规约协议的通信发出告警;
alert tcp$DNP3_CLIENT any->$DNP3_SERVER 20000(msg:"SCADA_IDS:DNP3-Cold Restart From Authorized Client";DNP3_func:13;sid:11112041;rev:1;priority:2;)
该规则表示,针对任何访问分布式网络规约服务器端20000端口,并对功能码13进行访问的访问者进行告警;
alert tcp!$DNP3_CLIENT any->$DNP3_SERVER 20000(msg:"SCADA_IDS:DNP3-Cold Restart From Unauthorized Client";DNP3_func:13;classtype:denial-of-service;sid:11112051;rev:1;priority:1;)
该规则表示,针对任何非已经设定好的分布式网络规约客户端访问分布式网络规约服务器端20000端口,将其视为没有权限的用户,因并进行告警;
alert tcp!$DNP3_CLIENT any->$DNP3_SERVER 20000(msg:"SCADA_IDS:DNP3-Unauthorized Read Request to a PLC";DNP3_func:1;classtype:bad-unknown;sid:11112061;rev:1;priority:2;)
该规则表示,针对任何非已经设定好的分布式网络规约客户端访问分布式网络规约服务器端20000端口,并访问功能码1,将其视为没有访问PLC权限的用户,并进行告警;
alert tcp any any->$DNP3_SERVER 20000(msg:"SCADA_IDS:DNP3-StopApplication";DNP3_func:18;classtype:denial-of-service;sid:11112091;rev:1;priority:2;)
该规则表示,针对任何访问分布式网络规约服务器端20000端口且访问功能码18的访问者,将其视为非法停止程序运行,并进行告警。
S4:利用攻击工具对攻击检测系统进行攻击,根据检测规则进行攻击检测与预警,实现分布式规约的攻击检测;需要说明的是,
攻击包括:
中间人攻击:这种类型的攻击可以归类为网络攻击,是构成针对分布式网络规约节点或网络发起的大多数其他攻击的基础,这种攻击通过各种技术手段,将入侵者控制的一台计算机,放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”;
分布式网络规约数据包修改和注入攻击:为了操纵或修改分布式网络规约数据包,攻击者可以使用多种方法,其中就包括先劫持正在进行的TCP连接(这依赖于中间人攻击的成功),然后拦截要修改的数据包,这个被截取的包在被修改后,重新计算得出循环冗余校验码,在循环冗余校验重新计算之后,使用包注入工具将,便能将修改后的包重新注入通信介质;
以分布式网络规约应用层为目标的分布式拒绝服务攻击:拒绝服务(DoS)攻击是一种试图使机器或网络资源对其预期用户不可用的攻击,例如临时或无限期中断或暂停连接到网络服务。这种攻击是因为分布式网络规约是通过TCP/IP传输的。使用这种攻击方法,攻击者会向受害者的节点发送大量数据包,试图耗尽受害者的资源;
分布式网络规约冷重启消息攻击:当分站收到分布式网络规约冷重启请求命令,并且确认数据包来自主机时,分站在通信序列完成后执行完全重启,分站还将在重启前向主机发送一个回复,告知分站可用的时间,该攻击还会向分站发送一个名为冷重启的命令,该命令会导致分站完全重启。
进一步的,通过防火墙单元201与snort攻击检测单元202捕获攻击行为数据。
防火墙单元201捕获的攻击行为数据包括,
χi={x1,x2,...,xn}
其中,χi表示攻击序列,x1,x2...xn表示不同的攻击个体。
snort攻击检测单元202包括,
Yi=R-Xi={y1,y2,...,yn}
其中,Yi表示snort攻击检测单元202捕获的攻击,R表示攻击总数,y1,y2…yn表示snort攻击检测单元202捕获的攻击个体。
根据S3步骤生成的规则进行攻击行为检测及预警。
本发明在对数据的处理上使用了孤立森林算法,用来检测异常数据,再结合关联规则算法,来生成异常数据的强规则,从而对snort入侵检测系统进行规则扩充,加强了工业控制系统的安全。
为对本方法中采用的技术效果加以验证说明,本实施例采用传统技术方案与本发明方法进行对比测试,以科学论证的手段对比试验结果,以验证本方法所具有的真实效果。
在实验中,使用包含DNP3攻击数据的数据集,共有862条数据,其中正常数据470条,冷重启数据11条,禁用防止未经允许的访问有9条,拒绝服务攻击371条。
利用孤立森林算法对其进行检测,通过调整阈值,来得到最佳的检测率。
阈值 准确率
0.075 51.41%
0.078 57.03%
0.08 61.38%
0.085 71.36%
0.087 78.77%
0.09 93.35%
根据阈值的调整和准确率的计算可以得出,阈值为0.9的时候,准确率最高,达到93.35%。
将本发明算法与传统算法进行对比,基于孤立森林的攻击检测算法准确率为94.35%,LOF攻击检测算法准确率为66.89%,可以发现基于孤立森林的攻击检测算法检测准确率较高。
实施例2
如图4所示,本实施例提出一种基于孤立森林的分布式规约攻击检测系统,上述实施例的方法能够依托于本系统实现,该系统包括:
通信模块100包括分布式网络规约服务器端101以及客户端102,用于实现分布式网络规约的仿真通信;
攻击检测模块200与通信模块100进行连接,其包括防火墙单元201和snort攻击检测单元202,防火墙单元201和snort攻击检测单元202相连接,用于对分布式网络规约协议常见的攻击进行检测。
具体的,防火墙单元201包括对连接数进行设置、白名单设定、对攻击的拦截,以及配置了snort攻击检测单元202,实现后续算法加强后的规则更新snort攻击检测单元202添加了分布式网络规约协议常见攻击方式所对应的检测规则,增加该攻击检测方法对于常见攻击的检测成功率。防火墙单元201主要对连接数进行设置,成为该系统的第一道防线,当攻击者发起攻击时,攻击数据就会流经Pfsense防火墙,不符合所设置的规则则会被捕获。
如图4所示,为本发明的攻击检测系统拓扑图,利用分布式网络规约仿真软件,搭建分布式网络规约通信的仿真,配置防火墙单元201,其使用的是pfsense防火墙,并可以根据预定义的防火墙单元201访问规则,公共网络和专用网络可以分开,其中客户端102指的是如台式电脑、平板电脑、手机、掌上电脑或者电子阅读器之类电子设备。
本发明提出使用分布式网络规约通讯协议分析及仿真软件来进行通讯仿真。主站搭建在配置了Winows7系统的主机上,使用的是Outstation分布式网络规约Simulator部分作为分布式网络规约通讯的主站,从站搭建在配置了Winows10系统的主机上,使用的是DMP3 Simulator作为通讯从站,通过对主从站的配置,来实现分布式网络规约通信。进一步的,系统的安全性取决于防火墙单元201配置的规则,否则可能会导致不需要的数据流量进入,而阻止所需的数据,防火墙的主要功能是实现安全控制策略,保护系统免受非法流量的影响。防火墙单元201还为在线计算机用户提供了高度灵活的安全性,防火墙单元201可以通过根据预定义的规则测试所有受约束和不受约束的网络流量来实现。
应当认识到,本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现,其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而,若需要,该程序可以以汇编或机器语言实现。在任何情况下,该语言可以是编译或解释的语言。此外,为此目的该程序能够在编程的专用集成电路上运行。
此外,可按任何合适的顺序来执行本文描述的过程的操作,除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。计算机程序包括可由一个或多个处理器执行的多个指令。
进一步,方法可以在可操作地连接至合适的任何类型的计算平台中实现,包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现,无论是可移动的还是集成至计算平台,如硬盘、光学读取和/或写入存储介质、RAM、ROM等,使得其可由可编程计算机读取,当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外,机器可读代码,或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时,本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时,本发明还包括计算机本身。计算机程序能够应用于输入数据以执行本文所述的功能,从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中,转换的数据表示物理和有形的对象,包括显示器上产生的物理和有形对象的特定视觉描绘.
如在本申请所使用的,术语“组件”、“模块”、“系统”等等旨在指代计算机相关实体,该计算机相关实体可以是硬件、固件、硬件和软件的结合、软件或者运行中的软件。例如,组件可以是,但不限于是:在处理器上运行的处理、处理器、对象、可执行文件、执行中的线程、程序和/或计算机。作为示例,在计算设备上运行的应用和该计算设备都可以是组件。一个或多个组件可以存在于执行中的过程和/或线程中,并且组件可以位于一个计算机中以及/或者分布在两个或更多个计算机之间。此外,这些组件能够从在其上具有各种数据结构的各种计算机可读介质中执行。这些组件可以通过诸如根据具有一个或多个数据分组(例如,来自一个组件的数据,该组件与本地系统、分布式系统中的另一个组件进行交互和/或以信号的方式通过诸如互联网之类的网络与其它系统进行交互)的信号,以本地和/或远程过程的方式进行通信。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (6)

1.一种基于孤立森林的分布式规约攻击检测方法,其特性在于,包括:
根据孤立森林算法对含有攻击数据的数据集进行分类,得到异常数据;所述孤立森林算法的步骤包括,
建立i棵子树,构建iForest;
从数据集D中随机选取n个样本点作为所述i棵子树的根节点;
若当前树的高度超过设置高度h,则返回子树,否则,随机选择一个特征q;
所述随机在特征q的最大值和最小值之间选择切分点p;
将小于所述p的样本放入左子节点,将大于所述p的样本放入右子节点;
在子节点中递归判断当前树的高度到判断所述p所放节点的步骤;
利用构建好的iForest计算样本得分Iso_anomaly_score;
将所述样本得分进行升序排序;
对阈值threshold进行限制;
输出小于所述阈值的数据;
基于分类得到的异常数据结合关联规则算法提取未知攻击的攻击特征,生成所述异常数据的关联规则;
所述关联规则算法包括,
扫描全部数据,产生候选集的集合C1
根据最小支持度,由候选集集合C1产生频繁项集的集合;
对k>1,重复执行连接和剪枝操作、产生频繁项集集合操作:
由Lk执行连接和剪枝操作,产生候选(k+1)项集的集合Ck+1
根据所述最小支持度,由候选(k+1)项集的集合Ck+1,产生频繁项集(k+1)项集的集合;
若L≠0,则k=k+1,跳往所述执行连接和剪枝操作步骤;否则,
根据最小置信度,由频繁项集产生强关联规则,结束;
基于分布式网络规约仿真软件,搭建分布式网络规约通信的攻击检测系统,将所述关联规则添加到所述攻击检测系统,得到规则扩充后的攻击检测系统;
利用攻击工具对所述攻击检测系统进行攻击,根据检测规则进行攻击检测与预警,实现分布式规约的攻击检测;针对所述分布式网络规约协议的检测规则包括,
针对任何访问分布式网络规约服务器端20000端口次数超过20次的访问者进行告警;
针对任何访问分布式网络规约服务器端20000端口,并对功能码21进行访问的访问者进行告警;
针对访问者在分布式网络规约端口上没有进行分布式网络规约协议的通信发出告警;
针对任何访问分布式网络规约服务器端20000端口,并对功能码13进行访问的访问者进行告警;
针对任何非已经设定好的分布式网络规约客户端访问分布式网络规约服务器端20000端口,将其视为没有权限的用户,因并进行告警;
针对任何非已经设定好的分布式网络规约客户端访问分布式网络规约服务器端20000端口,并访问功能码1,将其视为没有访问PLC权限的用户,并进行告警;
针对任何访问分布式网络规约服务器端20000端口且访问功能码18的访问者,将其视为非法停止程序运行,并进行告警。
2.如权利要求1所述的基于孤立森林的分布式规约攻击检测方法,其特征在于:所述攻击包括中间人攻击、分布式网络规约数据包修改和注入攻击、以分布式网络规约应用层为目标的分布式拒绝服务攻击以及分布式网络规约冷重启消息攻击。
3.如权利要求2所述的基于孤立森林的分布式规约攻击检测方法,其特征在于:通过防火墙单元(201)与snort攻击检测单元(202)捕获攻击行为数据。
4.如权利要求3所述的基于孤立森林的分布式规约攻击检测方法,其特征在于:所述防火墙单元(201)捕获的攻击行为数据包括,
其中,表示攻击序列,表示不同的攻击个体。
5.如权利要求4所述的基于孤立森林的分布式规约攻击检测方法,其特征在于:所述snort攻击检测单元(202)包括,
其中,表示snort攻击检测单元(202)捕获的攻击,表示攻击总数,表示snort攻击检测单元(202)捕获的攻击个体。
6.一种基于孤立森林的分布式规约攻击检测系统实现如权利要求1所述的方法,其特性在于,包括:
通信模块(100)包括分布式网络规约服务器端(101)以及客户端(102),用于实现分布式网络规约的仿真通信;
攻击检测模块(200)与所述通信模块(100)进行连接,其包括防火墙单元(201)和snort攻击检测单元(202),所述防火墙单元(201)和所述snort攻击检测单元(202)相连接,用于对分布式网络规约协议常见的攻击进行检测。
CN202110683154.5A 2021-06-21 2021-06-21 一种基于孤立森林的分布式规约攻击检测方法及系统 Active CN113645181B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110683154.5A CN113645181B (zh) 2021-06-21 2021-06-21 一种基于孤立森林的分布式规约攻击检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110683154.5A CN113645181B (zh) 2021-06-21 2021-06-21 一种基于孤立森林的分布式规约攻击检测方法及系统

Publications (2)

Publication Number Publication Date
CN113645181A CN113645181A (zh) 2021-11-12
CN113645181B true CN113645181B (zh) 2023-07-28

Family

ID=78415971

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110683154.5A Active CN113645181B (zh) 2021-06-21 2021-06-21 一种基于孤立森林的分布式规约攻击检测方法及系统

Country Status (1)

Country Link
CN (1) CN113645181B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114157549A (zh) * 2021-11-23 2022-03-08 上海创景信息科技有限公司 基于分布式总线的系统仿真装置、方法、系统及介质
CN117238058B (zh) * 2023-11-10 2024-01-26 无锡明诚汽车部件有限公司 基于数据分析的汽车用起动机监测方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111193738A (zh) * 2019-12-30 2020-05-22 南京联成科技发展股份有限公司 一种工业控制系统的入侵检测方法
CN112822151A (zh) * 2020-11-06 2021-05-18 浙江中烟工业有限责任公司 面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109600365A (zh) * 2018-12-04 2019-04-09 沈阳安信合科技有限公司 基于电力网络iec规约的基因相似性入侵检测方法
CN110351260A (zh) * 2019-06-28 2019-10-18 广州准星信息科技有限公司 一种内网攻击预警方法、装置及存储介质
CN111181971B (zh) * 2019-12-31 2022-07-15 南京联成科技发展股份有限公司 一种自动检测工业网络攻击的系统
CN111740856B (zh) * 2020-05-07 2023-04-28 北京直真科技股份有限公司 基于异常检测算法的网络通信设备告警采集异常预警方法
CN111669371B (zh) * 2020-05-18 2022-09-30 深圳供电局有限公司 一种适用于电力网络的网络攻击还原系统及方法
CN111740957A (zh) * 2020-05-21 2020-10-02 江苏信息职业技术学院 一种FP-tree优化的XSS攻击自动检测方法
CN112367307B (zh) * 2020-10-27 2023-05-23 中国电子科技集团公司第二十八研究所 一种基于容器级蜜罐群的入侵检测方法及系统
CN112686775A (zh) * 2021-01-04 2021-04-20 中国电力科学研究院有限公司 基于孤立森林算法的电力网络攻击检测方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111193738A (zh) * 2019-12-30 2020-05-22 南京联成科技发展股份有限公司 一种工业控制系统的入侵检测方法
CN112822151A (zh) * 2020-11-06 2021-05-18 浙江中烟工业有限责任公司 面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统

Also Published As

Publication number Publication date
CN113645181A (zh) 2021-11-12

Similar Documents

Publication Publication Date Title
Raiyn A survey of cyber attack detection strategies
EP1995929B1 (en) Distributed system for the detection of eThreats
KR101689296B1 (ko) 보안이벤트 자동 검증 방법 및 장치
Jardine et al. Senami: Selective non-invasive active monitoring for ics intrusion detection
Uddin et al. Signature-based Multi-Layer Distributed Intrusion Detection System using Mobile Agents.
Catak et al. Distributed denial of service attack detection using autoencoder and deep neural networks
JP6290659B2 (ja) アクセス管理方法およびアクセス管理システム
Hajj et al. Anomaly‐based intrusion detection systems: The requirements, methods, measurements, and datasets
CN113645181B (zh) 一种基于孤立森林的分布式规约攻击检测方法及系统
Kumar et al. Intrusion detection systems: a review
Ghafir et al. DNS query failure and algorithmically generated domain-flux detection
Badajena et al. Incorporating hidden Markov model into anomaly detection technique for network intrusion detection
Meng et al. Adaptive non-critical alarm reduction using hash-based contextual signatures in intrusion detection
Bhardwaj et al. Detection of cyber attacks: XSS, sqli, phishing attacks and detecting intrusion using machine learning algorithms
CN112804204B (zh) 一种基于大数据分析的智能网络安全系统
Zhao et al. Intelligent networking in adversarial environment: challenges and opportunities
Wei et al. Comparing Malware Attack Detection using Machine Learning Techniques in IoT Network Traffic
Sukhni et al. A systematic analysis for botnet detection using genetic algorithm
Alnabulsi et al. Protecting code injection attacks in intelligent transportation system
Auliar et al. Security in iot-based smart homes: A taxonomy study of detection methods of mirai malware and countermeasures
El‐Hajj et al. Updating snort with a customized controller to thwart port scanning
Naik et al. Building a cognizant honeypot for detecting active fingerprinting attacks using dynamic fuzzy rule interpolation
Ponomarev Intrusion Detection System of industrial control networks using network telemetry
Ramprasath et al. Virtual Guard Against DDoS Attack for IoT Network Using Supervised Learning Method
Nia et al. A software solution for realtime malware detection in distributed systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant