CN115118447A - 工控网络流量的安全判别方法、装置、电子装置和介质 - Google Patents
工控网络流量的安全判别方法、装置、电子装置和介质 Download PDFInfo
- Publication number
- CN115118447A CN115118447A CN202210259591.9A CN202210259591A CN115118447A CN 115118447 A CN115118447 A CN 115118447A CN 202210259591 A CN202210259591 A CN 202210259591A CN 115118447 A CN115118447 A CN 115118447A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- safety
- trained
- traffic
- prediction model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种工控网络流量的安全判别方法、装置、电子装置和存储介质。其中,该工控网络流量的安全判别方法包括:获取工控系统的数据流量包;根据数据流量包,确定工控系统的维度特征;将维度特征输入到已训练完备的流量安全预测模型,得到预测结果;基于预测结果对工控系统的数据流量包进行安全判别。通过本申请,解决了相关技术中流量安全判别准确性低的问题,提高了流量安全判别准确性。
Description
技术领域
本申请涉及工业控制网络安全领域,特别是涉及工控网络流量的安全判别方法、装置、电子装置和存储介质。
背景技术
工业控制系统是由计算机与工业过程控制部件组成的自动控制系统,已应用于交通、电力、能源、水利等多个领域。智能化操作的普及,提高了传统工业的生产效率,但也使得工业控制系统面临被攻击的威胁。由于工业生产在一定时期内是周期性的,则工控设备运作而产生的工业控制网络中的流量也具有周期性。工业控制网络中的流量能反映出整个网络的运行状态,掌握流量规律能够对系统中的不合法访问、攻击进行检测。由于工控设备通常按照指定的任务运作,一般不会频繁变更,因此在某一时间段内所产生的流量模式相对固定,在相当长一段时间内,流量的分布存在一定的规律,从宏观的角度来看,这种流量的分布不局限于某一种协议,是对整个工控网络数据包中的所有协议做出的综合反馈。安全基线可以认为是能够使系统运行的最小集合,是最低性能和功能要求。根据正常状态下生成的基线为标准,当后续新发现的安全基线不在之前的基线控制的范围内时,可能发生异常情况。已有的基线规则主要基于各业务部门的经验和单一场景的历史流量统计数据,各个应用系统间数据无法流通,不能及时有效地捕捉相似业务场景的安全基线动态变化情况。
针对相关技术中存在流量安全判别准确性低的问题,目前还没有提出有效的解决方案。
发明内容
在本实施例中提供了一种工控网络流量的安全判别方法、装置、电子装置和存储介质,以解决相关技术中流量安全判别准确性低的问题。
第一个方面,在本实施例中提供了一种工控网络流量的安全判别方法,包括:
获取工控系统的数据流量包;
根据所述数据流量包,确定所述工控系统的维度特征;
将所述维度特征输入到已训练完备的流量安全预测模型,得到预测结果;
基于所述预测结果对所述工控系统的数据流量包进行安全判别。
在其中的一些实施例中,在将所述维度特征输入到已训练完备的流量安全预测模型,得到预测结果之前所述方法还包括:
获取所述工控系统的场景特征信息;
基于所述场景特征信息,从数据库中匹配与所述场景特征信息相对应的所述已训练完备的流量安全预测模型。
在其中的一些实施例中,还包括:
获取多个工控系统的数据流量包;
根据多个所述数据流量包,确定多个所述工控系统的维度特征;
对多个所述工控系统的维度特征进行特征拼接,得到训练维度特征;
基于所述训练维度特征和预先训练好的标签对待训练的流量安全预测模型进行无监督训练,得到所述已训练完备的流量安全预测模型。
在其中的一些实施例中,基于所述训练维度特征和预先训练好的标签对待训练的流量安全预测模型进行无监督学习训练,得到所述已训练完备的流量安全预测模型包括:
对多个所述数据流量包进行时间间隙聚类分析直至损失函数满足预设条件,并进行无监督学习训练,得到所述已训练完备的流量安全预测模型。
在其中的一些实施例中,在基于所述训练维度特征和预先训练好的标签对待训练的流量安全预测模型进行无监督训练,得到所述已训练完备的流量安全预测模型之后,所述方法还包括:
获取每个所述工控系统的场景特征信息;
基于每个所述工控系统的场景特征信息,生成场景安全指纹;
将所述场景安全指纹与所述已训练完备的流量安全预测模型进行匹配;
将匹配之后的所述场景安全指纹与所述已训练完备的流量安全预测模型进行加密,并保存至数据库中。
在其中的一些实施例中,基于所述预测结果对所述工控系统的数据流量包进行安全判别包括:
检测所述预测结果是否满足预设结果;
在检测到所述预测结果满足预设结果的情况下,将所述工控系统的数据流量包判定为安全数据流量包。
在其中的一些实施例中,根据所述数据流量包,确定所述工控系统的维度特征包括:
解析所述数据流量包;
基于解析之后的所述流量包,确定所述维度特征。
第二个方面,在本实施例中提供了一种工控网络流量的安全判别装置,包括:
第一获取模块,用于获取工控系统的数据流量包;
第一确定模块,用于根据所述数据流量包,确定所述工控系统的维度特征;
输入模块,用于将所述维度特征输入到已训练完备的流量安全预测模型,得到预测结果;
判别模块,用于基于所述预测结果对所述工控系统的数据流量包进行安全判别。
第三个方面,在本实施例中提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一个方面所述的工控网络流量的安全判别方法。
第四个方面,在本实施例中提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一个方面所述的工控网络流量的安全判别方法。
与相关技术相比,在本实施例中提供的工控网络流量的安全判别方法、装置、电子装置和存储介质,通过获取工控系统的数据流量包;根据数据流量包,确定工控系统的维度特征;将维度特征输入到已训练完备的流量安全预测模型,得到预测结果;基于预测结果对工控系统的数据流量包进行安全判别的方式,解决了相关技术中流量安全判别准确性低的问题,提高了流量安全判别准确性。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本实施例的工控网络流量的安全判别方法的终端的硬件结构框图;
图2是本实施例的工控网络流量的安全判别方法的流程图;
图3是本实施例的工控系统的端口镜像的示意图;
图4是本实施例的流量安全预测模型的训练过程的示意图;
图5是本实施例的另一种工控网络流量的安全判别方法的整体流程图;
图6是本实施例的数据流量包的周期变化示意图;
图7是本实施例的数据流量包的周期变化条形图;
图8是本实施例的基于滑动窗口构造维度特征的示意图;
图9是本实施例的工控网络流量的安全判别装置的结构框图。
具体实施方式
为更清楚地理解本申请的目的、技术方案和优点,下面结合附图和实施例,对本申请进行了描述和说明。
除另作定义外,本申请所涉及的技术术语或者科学术语应具有本申请所属技术领域具备一般技能的人所理解的一般含义。在本申请中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制,它们可以是单数或者复数。在本申请中所涉及的术语“包括”、“包含”、“具有”及其任何变体,其目的是涵盖不排他的包含;例如,包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元),而可包括未列出的步骤或模块(单元),或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本申请中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接,而可以包括电气连接,无论是直接连接还是间接连接。在本申请中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。通常情况下,字符“/”表示前后关联的对象是一种“或”的关系。在本申请中所涉及的术语“第一”、“第二”、“第三”等,只是对相似对象进行区分,并不代表针对对象的特定排序。
在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行,图1是本实施例的工控网络流量的安全判别方法的终端的硬件结构框图。如图1所示,终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104,其中,处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限制。例如,终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示出的不同配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如在本实施例中的工控网络流量的安全判别方法对应的计算机程序,处理器102 通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(NetworkInterface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频 (Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种工控网络流量的安全判别方法,图2是本实施例的工控网络流量的安全判别方法的流程图,如图2所示,该流程包括如下步骤:
步骤S201,获取工控系统的数据流量包。
在本步骤中,如图3所示,获取数据流量包可以通过旁路方式将探测器部署在现场工业系统的监控层边界,采用被动方式从工控系统中采集数据流量包,然后再通过抓包方式将镜像端口(也可以称为源端口)的报文复制一份到观察端口(也可以称为目的端口)。该镜像可以在不影响数据流量包正常处理流程的情况下,将镜像端口的数据流量包复制一份到观察端口,观察端口与旁路探测器直连,用于输出从镜像端口复制过来的数据流量包。
步骤S202,根据数据流量包,确定工控系统的维度特征。
在本步骤中,可以对数据流量包进行记录、分析,并根据用户设定的模板的进行维度特征提取,从而来确定该工控系统的维度特征。
步骤S203,将维度特征输入到已训练完备的流量安全预测模型,得到预测结果。
在本步骤中,流量安全预测模型是经过机器学习,并具有一定准确度的预测模型,通过流量安全预测模型并基于维度特征来进预测,可以在一定程度上,提高预测结果的准确度,并避免相关技术中基于人工经验或者单一角度去确定流量安全,而导致流量安全判别准确度低的问题。
步骤S204,基于预测结果对工控系统的数据流量包进行安全判别。
在本步骤中,基于准确度高的预测结果来进行安全性判定,可以避免相关技术中基于人工经验或者单一角度去确定流量安全,而导致流量安全判别准确度低的问题。
基于上述步骤S201至步骤S204,通过获取工控系统的数据流量包;并根据数据流量包,确定工控系统的维度特征;然后将维度特征输入到已训练完备的流量安全预测模型,得到预测结果;最后再基于预测结果对工控系统的数据流量包进行安全判别的方式,可以在一定程度上,提高预测结果的准确度,并避免相关技术中基于人工经验或者单一角度去确定流量安全,而导致流量安全判别准确度低的问题,提高了流量安全判别准确性。
在一些实施例中,还可以对该已训练完备的流量安全预测模型进行预测结果评估,对评估结果不符合预设要求的进行继续学习的处理。
在其中的一些实施例中,在将维度特征输入到已训练完备的流量安全预测模型,得到预测结果之前还包括:获取工控系统的场景特征信息;基于场景特征信息,从数据库中匹配与场景特征信息相对应的已训练完备的流量安全预测模型。
在本实施例中,基于每个工控系统的场景可能存在不同,因此本实施例中通过获取工控系统的场景特征信息;基于场景特征信息,从数据库中匹配与场景特征信息相对应的已训练完备的流量安全预测模型的方式,来获取与场景特征信息相匹配的模型来进行预测结果,可以避免场景而影响对流量安全的预测结果,从而提高了对流量安全的判别。
需要说明的是,匹配与场景特征信息相对应的已训练完备的流量安全预测模型可以是匹配度大于预设阈值的流量安全预测模型。
在其中的一些实施例中,还可以获取多个工控系统的数据流量包;根据多个数据流量包,确定多个工控系统的维度特征;对多个工控系统的维度特征进行特征拼接,得到训练维度特征;基于训练维度特征和预先训练好的标签对待训练的流量安全预测模型进行无监督训练,得到已训练完备的流量安全预测模型。
在本实施例中,通过根据多个数据流量包,确定多个工控系统的维度特征;对多个工控系统的维度特征进行特征拼接,得到训练维度特征;基于训练维度特征和预先训练好的标签对待训练的流量安全预测模型进行无监督训练,得到已训练完备的流量安全预测模型的方式,实现了对预测模型的无监督训练,避免了由于监督学习需要大量正负样本进行训练,难以在工控网络中制造足够多的异常数据问题。
需要说明的是,本实施例中的流量安全预测模型是可以基于数量流量包的维度特征不断的进行学习,从而来提高流量安全预测模型的预测结果的准确度,进而进一步的来提高流量安全判别准确性,并基于该不断的学习方式,可以形成一定的壁垒,同时具备先发优势,相比于其他刚部署的流量安全预测模型具有更高的预测准确度。
在上述训练过程中,该流量安全预测模型的训练过程包括两部分,如图4 所示,其中,第一部分包括:对流量数据包进行深度包解析,学习访问权限、指令功能码、地址和操作数目等信息,然后进行深度白名单学习,建立好指令级别的白名单;第二部分包括:使用密度聚类算法,对历史数据包的指令时间间隙进行聚类,获取到核心点后,存储在安全指纹数据库中;在该训练过程中,由于每个通道的指令时间间隙变化很小,正常的情况下误差仅限于网络抖动,所以聚类核心点比较稳定。因此在初始阶段对每个通道的指令时间间隙进行一次DBSCAN聚类,然后保存每个通道的指令时间间隙的核心点集合。在检测时,只要判断每个数据流量包的指令时间间隙是否与对应指令时间间隙聚类的核心点密度可达即可,若不是则视为异常数据流量包。
如图4所示,在预测结果之前,安全基线自动判别引擎(上述实施例中流量安全预测模型)会进行学习,建立每个通道流量数据包的正常行为模式,并将之存储于安全指纹数据库中。当系统初次启动检测时,实时检测模块先从安全指纹数据库中加载学习到的内容,然后对实时采集到的数据流量包进行检测和预测。
在其中的一些实施例中,基于训练维度特征和预先训练好的标签对待训练的流量安全预测模型进行无监督学习训练,得到已训练完备的流量安全预测模型包括:对多个数据流量包进行时间间隙聚类分析直至损失函数满足预设条件,并进行无监督学习训练,得到已训练完备的流量安全预测模型。
需要说明的是,时间间隙聚类分析可以是DBSCAN聚类算法,其中 DBSCAN是一种一维或多维特征空间中基于密度的聚类算法,能够将具有足够高密度的区域划分为簇。该算法选定度量距离的方式,然后根据距离来找出每个样本附近比较近的样本数作为密度,通过基于密度的方法,聚类并找出离群点,用于异常检测。
本实施例中使用无监督的密度聚类算法,对历史流量数据包的指令时间间隙进行聚类,获取到核心点后,存储在安全指纹数据库中,由于工控网络的指令时间间隙变化很小,正常的情况下误差仅限于网络抖动,可以使得聚类核心点比较稳定,误报率低,从而便于提高训练得到的流量安全预测模型的预测结果的准确度。
在其中的一些实施例中,在基于训练维度特征和预先训练好的标签对待训练的流量安全预测模型进行无监督训练,得到已训练完备的流量安全预测模型之后,还可以获取每个工控系统的场景特征信息;基于每个工控系统的场景特征信息,生成场景安全指纹;将场景安全指纹与已训练完备的流量安全预测模型进行匹配;将匹配之后的场景安全指纹与已训练完备的流量安全预测模型进行加密,并保存至数据库中。
在本实施例中,通过基于每个工控系统的场景特征信息,生成场景安全指纹;将场景安全指纹与已训练完备的流量安全预测模型进行匹配,并将匹配之后的场景安全指纹与已训练完备的流量安全预测模型进行加密,并保存至数据库中的方式,实现了已训练完备的流量安全预测模型与场景特征信息的绑定,以便于后续根据工控系统的场景特征信息来筛选已训练完备的流量安全预测模型,从而来提高预测结果的准确度;同时,通过加密的方式进行保存,也可以进一步的提高匹配之后的场景安全指纹与已训练完备的流量安全预测模型的安全性。
需要说明的,场景安全指纹(Unique Scene ID,简写为USID)是与场景业务安全相关的唯一标识符,顾名思义,如同人的指纹一样,可以用来精确的标识某个业务场景中安全基线的唯一性。作为安全检测系统的核心基础组件,精准性、唯一性和稳定性至关重要。场景安全指纹强制要求每个业务场景根据安全基线生成的USID必须是唯一的,USID的计算依托于加密参数配置模块和安全基线自动判别引擎学习结果,再将这些特征数据发送到USID的场景安全指纹生成模块,使用智能匹配算法计算出最终的场景安全唯一指纹。
在其中的一些实施例中,基于预测结果对工控系统的数据流量包进行安全判别包括:检测预测结果是否满足预设结果;在检测到预测结果满足预设结果的情况下,将工控系统的数据流量包判定为安全数据流量包。
在本实施例中,通过基于检测预测结果是否满足预设结果;并在检测到预测结果满足预设结果的情况下,将工控系统的数据流量包判定为安全数据流量包的方式,实现了对数据流量包的安全鉴定,并且基于预测结果准确度高的流量安全预测模型的预测结果来进行判别,从一定程度上提高了对流量包的安全性判定。
在其中的一些实施例中,根据数据流量包,确定工控系统的维度特征包括:解析数据流量包;基于解析之后的流量包,确定维度特征。
在本实施例中,获取的数据流量可能是为一种文件格式,因此本实施例中通过按照一定的解析规则进行解析,从而能够正常打开文件查看流量数据包,从而实现对维度特征的确定。
图5是本实施例的另一种工控网络流量的安全判别方法的整体流程图,应用于工控系统(图中为工控交换机),如图5所示,在本实施例中,通过旁路探测器获取工控交换机网络接口层的原始数据(上述实施例中的数据流量包),然后进行处理,输入到安全基线自动判别引擎(上述实施例中的已训练完成的流量安全预测模型)中的得到分析结果(即上述实施例中的预测结果),最后将该分析结果基于场景特征信息生成场景安全指纹,然后再基于加密参数进行加密存储在安全指纹数据库中的,可以实现分析结果的离线同步,同时该安全基线自动判别引擎还能够基于安全指纹数据库中的分析结果进行机器学习,从而提高分析结果的准确度。
下面通过优选实施例对本实施例进行描述和说明。
在一些实施例中,还提供了一种工控网络流量的安全判别方法,该工控网络流量的安全判别方法包括如下步骤:
步骤1,通过旁路方式将探测器部署在现场工控系统网络的监控层边界,通过抓包方式将镜像端口(源端口)的报文复制一份到观察端口(目的端口),如图3所示。本实施例中采用的流量数据为某工控网络通道指令数据,TCP/IP上的Modbus协议是在关键基础设施中广泛使用的最流行的工业网络协议之一。协议中的功能码字段指示了具体的操作。对于功能码这类符号序列在真实的流量中是呈现一定的周期模式的。如图6和图7所示,可见该流量中的功能码字段的时间周期模式为44424224244244224……。具有一定的规律,但是针对更为复杂的规律通过肉眼无法明显看到。
步骤2,这里采用滑动窗口的思想来构造维度特征,如图8所示,选定特定大小的窗口来手机Modbus/TCP数据包,检测窗口在每个通道的指令序列上滑动来学习和检测。学习或者检测时,将窗口内的Modbus/TCP指令序列映射成字符串,然后进行存储或检测。这样一来,只要学习时间覆盖一个完整的指令周期,就可以将通道的通信模式完整记录下来。如图8所示,通过各种统计算法得到表1中的统计量(sum、average、max、min和count),得到这些统计量以后将他们作为处理后的观测数据集。然后采用以60个单位为宽度的窗口在观测数据集上依次向后滑动构训练数据集X={x_1,x_2,…,x_n},紧邻窗口后的一个观测值构成训练数据集Y={y_1,y_2,…,y_n}。举例来说当原本得到的统计量数据有100条的时候,那么得到的训练数据就有41条,这里的41条就是 100-60+1得到的。由此就能构建一批数据集以供之后的模型使用。每条数据的维度这里默认是5维,也就是sum、average、max、min和count,之后还会对其进行特征选择,因此会产生不一样的维度数据。
表1数据字段及含义表
步骤3,将步骤2产出的特征数据做归一化和One-hot编码,由于工控网络数据高度聚集,所以数据表现出周期性,只是在通道指令时间间隙上有所波动,当在数据的所有维度做聚类时,由于除指令时间间隙外的特征都是离散量,经过One-hot编码后,不同数值属于不同维度,因此使用DBSCAN异常检测算法,当eps小于1时,对整个数据的聚类实际上只是对通道指令时间间隙做聚类,而其他维度的检测等价于做白名单检测。
步骤4,工控系统网络中的基线预测和检测模型从数据库中读取训练数据,将其进行数据清洗,数据划分,类型转换等一系列的数据预处理过程。根据滑动窗口思想,将每61个数据(其中前60个数据作为输入数据,最后一个数据是标签值表示输出值)构造成一组训练数据。采用训练数据训练模型,在训练期间需要不断调整模型参数,选择最佳的模型结构,最后将训练好的模型保存在本地安全指纹数据库中。
步骤5,对于待测数据流量包,需要将安全指纹数据库中的数据导入安全基线自动判别引擎,然后同样采用滑动窗口的思想构造测试数据(由60个数据点组成,没有标签值),然后将其输入至流量安全预测模型,得到预测结果,并将其输入到数据库中,设定阈值比对真实值与预测结果从而判断数据流量包是否异常。
在本实施例中还提供了一种工控网络流量的安全判别装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图9是本实施例的工控网络流量的安全判别装置的结构框图,如图9所示,该装置包括:
第一获取模块91,用于获取工控系统的数据流量包;
第一确定模块92,耦合至第一获取模块91,用于根据数据流量包,确定工控系统的维度特征;
输入模块93,耦合至第一确定模块92,用于将维度特征输入到已训练完备的流量安全预测模型,得到预测结果;
判别模块94,耦合至输入模块93,用于基于预测结果对工控系统的数据流量包进行安全判别。
在其中的一些实施例中,该装置还包括:第二获取模块,用于获取工控系统的场景特征信息;匹配模块,用于基于场景特征信息,从数据库中匹配与场景特征信息相对应的已训练完备的流量安全预测模型。
在其中的一些实施例中,该装置还包括:第三获取模块,用于获取多个工控系统的数据流量包;第二确定模块,用于根据多个数据流量包,确定多个工控系统的维度特征;拼接模块,用于对多个工控系统的维度特征进行特征拼接,得到训练维度特征;训练模块,用于基于训练维度特征和预先训练好的标签对待训练的流量安全预测模型进行无监督训练,得到已训练完备的流量安全预测模型。
在其中的一些实施例中,训练模块包括:训练单元,用于对多个数据流量包进行时间间隙聚类分析直至损失函数满足预设条件,并进行无监督学习训练,得到已训练完备的流量安全预测模型。
在其中的一些实施例中,该装置还包括:第四获取模块,用于获取每个工控系统的场景特征信息;生成模块,用于基于每个工控系统的场景特征信息,生成场景安全指纹;匹配模块,用于将场景安全指纹与已训练完备的流量安全预测模型进行匹配;加密模块,用于将匹配之后的场景安全指纹与已训练完备的流量安全预测模型进行加密,并保存至数据库中。
在其中的一些实施例中,判别模块94包括:检测单元,用于检测预测结果是否满足预设结果;判定单元,用于在检测到预测结果满足预设结果的情况下,将工控系统的数据流量包判定为安全数据流量包。
在其中的一些实施例中,第一确定模块92包括:解析单元,用于解析数据流量包;确定单元,用于基于解析之后的流量包,确定维度特征。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
在本实施例中还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
步骤S1,获取工控系统的数据流量包。
步骤S2,根据数据流量包,确定工控系统的维度特征。
步骤S3,将维度特征输入到已训练完备的流量安全预测模型,得到预测结果。
步骤S4,基于预测结果对工控系统的数据流量包进行安全判别。
需要说明的是,在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,在本实施例中不再赘述。
此外,结合上述实施例中提供的工控网络流量的安全判别方法,在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种工控网络流量的安全判别方法。
应该明白的是,这里描述的具体实施例只是用来解释这个应用,而不是用来对它进行限定。根据本申请提供的实施例,本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例,均属本申请保护范围。
显然,附图只是本申请的一些例子或实施例,对本领域的普通技术人员来说,也可以根据这些附图将本申请适用于其他类似情况,但无需付出创造性劳动。另外,可以理解的是,尽管在此开发过程中所做的工作可能是复杂和漫长的,但是,对于本领域的普通技术人员来说,根据本申请披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段,不应被视为本申请公开的内容不足。
“实施例”一词在本申请中指的是结合实施例描述的具体特征、结构或特性可以包括在本申请的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例,也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是,本申请中描述的实施例在没有冲突的情况下,可以与其它实施例结合。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对专利保护范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种工控网络流量的安全判别方法,其特征在于,包括:
获取工控系统的数据流量包;
根据所述数据流量包,确定所述工控系统的维度特征;
将所述维度特征输入到已训练完备的流量安全预测模型,得到预测结果;
基于所述预测结果对所述工控系统的数据流量包进行安全判别。
2.根据权利要求1所述的工控网络流量的安全判别方法,其特征在于,在将所述维度特征输入到已训练完备的流量安全预测模型,得到预测结果之前所述方法还包括:
获取所述工控系统的场景特征信息;
基于所述场景特征信息,从数据库中匹配与所述场景特征信息相对应的所述已训练完备的流量安全预测模型。
3.根据权利要求1所述的工控网络流量的安全判别方法,其特征在于,还包括:
获取多个工控系统的数据流量包;
根据多个所述数据流量包,确定多个所述工控系统的维度特征;
对多个所述工控系统的维度特征进行特征拼接,得到训练维度特征;
基于所述训练维度特征和预先训练好的标签对待训练的流量安全预测模型进行无监督训练,得到所述已训练完备的流量安全预测模型。
4.根据权利要求3所述的工控网络流量的安全判别方法,其特征在于,基于所述训练维度特征和预先训练好的标签对待训练的流量安全预测模型进行无监督学习训练,得到所述已训练完备的流量安全预测模型包括:
对多个所述数据流量包进行时间间隙聚类分析直至损失函数满足预设条件,并进行无监督学习训练,得到所述已训练完备的流量安全预测模型。
5.根据权利要求3所述的工控网络流量的安全判别方法,其特征在于,在基于所述训练维度特征和预先训练好的标签对待训练的流量安全预测模型进行无监督训练,得到所述已训练完备的流量安全预测模型之后,所述方法还包括:
获取每个所述工控系统的场景特征信息;
基于每个所述工控系统的场景特征信息,生成场景安全指纹;
将所述场景安全指纹与所述已训练完备的流量安全预测模型进行匹配;
将匹配之后的所述场景安全指纹与所述已训练完备的流量安全预测模型进行加密,并保存至数据库中。
6.根据权利要求1所述的工控网络流量的安全判别方法,其特征在于,基于所述预测结果对所述工控系统的数据流量包进行安全判别包括:
检测所述预测结果是否满足预设结果;
在检测到所述预测结果满足预设结果的情况下,将所述工控系统的数据流量包判定为安全数据流量包。
7.根据权利要求1所述的工控网络流量的安全判别方法,其特征在于,根据所述数据流量包,确定所述工控系统的维度特征包括:
解析所述数据流量包;
基于解析之后的所述流量包,确定所述维度特征。
8.一种工控网络流量的安全判别装置,其特征在于,包括:
第一获取模块,用于获取工控系统的数据流量包;
第一确定模块,用于根据所述数据流量包,确定所述工控系统的维度特征;
输入模块,用于将所述维度特征输入到已训练完备的流量安全预测模型,得到预测结果;
判别模块,用于基于所述预测结果对所述工控系统的数据流量包进行安全判别。
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至7中任一项所述的工控网络流量的安全判别方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的工控网络流量的安全判别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210259591.9A CN115118447A (zh) | 2022-03-16 | 2022-03-16 | 工控网络流量的安全判别方法、装置、电子装置和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210259591.9A CN115118447A (zh) | 2022-03-16 | 2022-03-16 | 工控网络流量的安全判别方法、装置、电子装置和介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115118447A true CN115118447A (zh) | 2022-09-27 |
Family
ID=83325433
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210259591.9A Pending CN115118447A (zh) | 2022-03-16 | 2022-03-16 | 工控网络流量的安全判别方法、装置、电子装置和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115118447A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115987619A (zh) * | 2022-12-21 | 2023-04-18 | 中国电子科技集团公司第三十研究所 | 网络流量异常检测方法、装置、设备及介质 |
| CN117633665A (zh) * | 2024-01-26 | 2024-03-01 | 深圳市互盟科技股份有限公司 | 一种网络数据监控方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107204975A (zh) * | 2017-05-11 | 2017-09-26 | 四川大学 | 一种基于场景指纹的工业控制系统网络攻击检测技术 |
| CN111262722A (zh) * | 2019-12-31 | 2020-06-09 | 中国广核电力股份有限公司 | 一种用于工业控制系统网络的安全监测方法 |
| CN113610171A (zh) * | 2021-08-13 | 2021-11-05 | 西安热工研究院有限公司 | 一种工控系统安全性评估方法 |
| WO2022042822A1 (en) * | 2020-08-24 | 2022-03-03 | Siemens Industry Software Netherlands B.V. | Validating a software-driven system based on real-world scenarios |
-
2022
- 2022-03-16 CN CN202210259591.9A patent/CN115118447A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107204975A (zh) * | 2017-05-11 | 2017-09-26 | 四川大学 | 一种基于场景指纹的工业控制系统网络攻击检测技术 |
| CN111262722A (zh) * | 2019-12-31 | 2020-06-09 | 中国广核电力股份有限公司 | 一种用于工业控制系统网络的安全监测方法 |
| WO2022042822A1 (en) * | 2020-08-24 | 2022-03-03 | Siemens Industry Software Netherlands B.V. | Validating a software-driven system based on real-world scenarios |
| CN113610171A (zh) * | 2021-08-13 | 2021-11-05 | 西安热工研究院有限公司 | 一种工控系统安全性评估方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115987619A (zh) * | 2022-12-21 | 2023-04-18 | 中国电子科技集团公司第三十研究所 | 网络流量异常检测方法、装置、设备及介质 |
| CN117633665A (zh) * | 2024-01-26 | 2024-03-01 | 深圳市互盟科技股份有限公司 | 一种网络数据监控方法及系统 |
| CN117633665B (zh) * | 2024-01-26 | 2024-05-28 | 深圳市互盟科技股份有限公司 | 一种网络数据监控方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111262722B (zh) | 一种用于工业控制系统网络的安全监测方法 | |
| CN111935170B (zh) | 一种网络异常流量检测方法、装置及设备 | |
| CN112738039B (zh) | 一种基于流量行为的恶意加密流量检测方法、系统及设备 | |
| CN115118447A (zh) | 工控网络流量的安全判别方法、装置、电子装置和介质 | |
| CN114205106A (zh) | 用于检测可疑网络行为的深度嵌入式自学系统和方法 | |
| CN103870751A (zh) | 入侵检测方法及系统 | |
| CN109889512B (zh) | 一种充电桩can报文的异常检测方法及装置 | |
| CN110046297B (zh) | 运维违规操作的识别方法、装置和存储介质 | |
| CN112165484B (zh) | 基于深度学习与侧信道分析的网络加密流量识别方法装置 | |
| CN114143037B (zh) | 一种基于进程行为分析的恶意加密信道检测方法 | |
| CN109150859B (zh) | 一种基于网络流量流向相似性的僵尸网络检测方法 | |
| CN112199671A (zh) | 基于人工智能的恶意数据分析方法、装置和电子装置 | |
| CN115967504A (zh) | 加密恶意流量检测方法、装置、存储介质及电子装置 | |
| CN113328985A (zh) | 一种被动物联网设备识别方法、系统、介质及设备 | |
| CN111181923A (zh) | 流量检测方法、装置、电子设备及存储介质 | |
| Han et al. | A packet-length-adjustable attention model based on bytes embedding using flow-wgan for smart cybersecurity | |
| CN114722091A (zh) | 数据处理方法、装置、存储介质以及处理器 | |
| CN111064719B (zh) | 文件异常下载行为的检测方法及装置 | |
| CN116232696A (zh) | 基于深度神经网络的加密流量分类方法 | |
| CN112087450B (zh) | 一种异常ip识别方法、系统及计算机设备 | |
| CN110472410B (zh) | 识别数据的方法、设备和数据处理方法 | |
| CN111107079A (zh) | 一种上传文件检测方法及装置 | |
| CN111010387A (zh) | 一种物联网设备非法替换检测方法、装置、设备及介质 | |
| WO2020036850A1 (en) | Protocol-independent anomaly detection | |
| CN117707902A (zh) | 基于机器学习的自动化日志解析方法、系统、电子装置和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |