TWI793650B - 具深度學習之工控網路威脅智慧偵測系統及訓練系統 - Google Patents

具深度學習之工控網路威脅智慧偵測系統及訓練系統 Download PDF

Info

Publication number
TWI793650B
TWI793650B TW110123063A TW110123063A TWI793650B TW I793650 B TWI793650 B TW I793650B TW 110123063 A TW110123063 A TW 110123063A TW 110123063 A TW110123063 A TW 110123063A TW I793650 B TWI793650 B TW I793650B
Authority
TW
Taiwan
Prior art keywords
industrial control
control network
packet
malicious
packets
Prior art date
Application number
TW110123063A
Other languages
English (en)
Other versions
TW202301205A (zh
Inventor
廖宜恩
蔡辰彥
王乾隆
許藍元
Original Assignee
泓格科技股份有限公司
國立中興大學
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 泓格科技股份有限公司, 國立中興大學 filed Critical 泓格科技股份有限公司
Priority to TW110123063A priority Critical patent/TWI793650B/zh
Publication of TW202301205A publication Critical patent/TW202301205A/zh
Application granted granted Critical
Publication of TWI793650B publication Critical patent/TWI793650B/zh

Links

Images

Abstract

本發明提出一種具深度學習之工控網路威脅智慧偵測系統及訓練系統,在該訓練系統中,以實體蜜罐收集工控網路中的惡意封包,再提供給一集成門控循環單元訓練模組進行深度學習以預測封包之惡意攻擊種類;當完成學習後,該集成門控循環單元訓練模組係作為一集成門控循環單元預測模組,佈署於工控網路環境中並即時監控網路中傳輸的封包,預測其為正常封包或異常封包的攻擊類別,若為異常封包則可產生示警功能。

Description

具深度學習之工控網路威脅智慧偵測系統及訓練系統
本發明關於一種工業控制網路之安全防護技術,尤指一種基於實體蜜罐與深度學習的工控網路威脅智慧偵測系統。
傳統的工業控制網路(Industrial Control Network,簡稱工控網路)常被視為獨立或隔離的網路,不容易被駭客攻擊。但在智慧製造時代,物聯網(Internet of Things)、5G的普及,都讓工控網路暴露在更大的攻擊面(Attack Surface)。工控網路當中的各種終端設備,諸如機台、PLC控制器、網路設備(如hub、switch)透過網路彼此互聯,互相之間可進行互動通訊,各終端設備均是工控網路中的一個網路節點,這些大量的終端設備依據實際的配置清況可能分散在各地,遠端的管理者必須透過網際網路才能監測、控制各終端設備。
若有惡意駭客在工控網路中執行非法活動,如竊取資源、干擾設備、惡意攻擊或刻意傳送錯誤的感測資料以擾亂分析結果,皆有可能使整體網路產生重大的損失,甚至癱瘓整體網路環境,故工控網路的安全防護設施係不可或缺。
本發明的主要目的是提出一種創新的「具深度學習之工控網路威脅智慧偵測系統及訓練系統」,實現即時偵測與示警的功能,以保護工業控制網路,避免遭受網路攻擊。
該「具深度學習之工控網路威脅智慧訓練系統」,是應用於一工控網路中,該工控網路威脅智慧訓練系統包含:至少一實體蜜罐,用以收集工控網路中之惡意封包;一封包資料庫,接收來自該實體蜜罐中的惡意封包及工控網路中的正常封包,並將該惡意封包及正常封包的格式轉換為會談資料;一會談資料解析模組,係下載該封包資料庫中的該會談資料,並從會談資料中擷取複數個特徵欄位;一集成門控循環單元訓練模組,係接收該會談資料解析模組已解析出的特徵欄位,該集成門控循環單元訓練模組包含有多個門控循環單元,其中:該正常封包及該惡意封包混合作為訓練資料,該訓練資料中係隨機抽樣產生多個訓練資料集,每一個訓練資料集用於訓練一個對應的門控循環單元,以訓練各門控循環單元預測出一惡意攻擊種類,該多個門控循環單元分別預測出的惡意攻擊種類係以多數決方式而產生一最終預測結果。
在該訓練系統中,本發明可以彈性將實體蜜罐佈署在工控網路的內網及/或外網,以收集來自外部及/或內部的惡意封包;再基於已知類別的惡意封包,採用集成式深度學習方法建立出惡意攻擊類別預測模型,以有效偵測工控網路中可能存在的惡意攻擊。
該「具深度學習之工控網路威脅智慧偵測系統」,是應用於一工控網路中,該工控網路威脅智慧偵測系統包含:一封包資料庫,接收來自該工控網路中的封包,並將該些封包的格式轉換為會談資料;一會談資料解析模組,係下載該封包資料庫中的該會談資料,並從會談資料中擷取複數個特徵欄位; 一集成門控循環單元預測模組,其中,該集成門控循環單元預測模組接收該會談資料解析模組已解析出的特徵欄位,該集成門控循環單元預測模組包含有多個如請求項1中所述的門控循環單元,各門控循環單元用以預測出該封包所屬的一惡意攻擊種類,該多個門控循環單元分別預測出的惡意攻擊種類係以多數決方式而產生一最終預測結果;一示警模組,當該最終預測結果係表示該封包為一惡意封包,該示警模組係輸出一示警訊息。
在該偵測系統中,本發明利用已訓練完成的該集成門控循環單元預測模組,可有效偵測工控網路中可能存在的惡意攻擊。
10:實體蜜罐
10a:外網實體蜜罐
10b,10c:內網實體蜜罐
20:封包資料庫
30:會談資料解析模組
40:集成門控循環單元訓練模組
50:集成門控循環單元預測模組
60:示警模組
100:工控網路威脅智慧訓練系統
200:工控網路威脅智慧偵測系統
S1,S2,Sn:訓練資料集
GRU1,GRU2,GRUn:門控循環單元
圖1:本發明應用在工業控制網路中的場域佈建示意圖。
圖2:本發明在訓練階段中的系統方塊圖。
圖3:圖2系統的訓練作業示意圖。
圖4:本發明在實際應用時的系統方塊圖。
圖1為本發明應用於Modbus工控網路的場域佈建示意圖,該工控網路的架構及當中的裝置種類、數量及連接方式僅作為範例,而不僅侷限於圖面上呈現的架構,該範例中的工控網路以圖中的虛線區分為外部網路及內部網路,其中,在外部網路方面,可透過外網連線裝置(如網路交換器Switch)、防火牆等相關設備連接到外部的網際網路;在內部網路方面,透過不同通訊協定(如Modbus TCP、Ethernet、RS-485等)的傳輸介面樹狀連結內部網路中各種硬體裝置,如產線機台、控制設備、資料處理設備、通訊裝置或智慧家電。
在外部網路及內部網路中可分別設置外網實體蜜罐(physical honeypot)10a與內網實體蜜罐10b、10c。該外網實體蜜罐10a可連接在對外連網的網路交換器,該內網實體蜜罐10b、10c則是根據需要適當配置,例如部分的內網實體蜜罐10b可設置在用以連接外網的前端交換器,另一部分的內網實體蜜罐10c則是設置在末端的資料集中器。雖然外網實體蜜罐10a或內網實體蜜罐10b、10c都連接到工控網路,但實際上不參與工控網路中的任何作業,在正常情況下不會對實體蜜罐有任何訪問,所以無論是外網實體蜜罐10a或內網實體蜜罐10b、10c一旦有收集到訪問封包,可視為惡意攻擊封包,供作為訓練用的異常資料來源。
本發明係先以一工控網路威脅智慧訓練系統100完成前置的訓練作業而得到一工控網路威脅智慧偵測系統200,再將該完成訓練的工控網路威脅智慧偵測系統200實際應用在工控網路中,偵測工控網路中可能存在的惡意封包。
請參考圖2所示,在訓練階段中,該「工控網路威脅智慧訓練系統100」包含有:一實體蜜罐10、一封包資料庫(Modbus Packet Database)20、一會談資料解析模組(Session Data Parsing Module)30、一集成門控循環單元訓練模組(Ensemble Gated Recurrent Unit Predicting Module)40。
該實體蜜罐10可以是常用的Modbus裝置,例如PLC、資料集中器(PMC-5151)等,作為吸引工控網路之外部網路與內部網路的惡意攻擊標的,即相當於圖1中的外網實體蜜罐10a或內網實體蜜罐10b,10c。該實體蜜罐10使用Tshark工具捕捉網路惡意封包,利用Tshark將收集到的網路惡意封包轉換成日誌資料封包(log data),再將日誌資料封包上傳至該封包資料庫20。
該封包資料庫20可以選用合適的網路封包擷取與分析軟體系統,例如本實施例是採用Arkime此開源式封包儲存資料庫應用軟體,當實體蜜 罐10傳送出日誌資料封包後,該封包資料庫20可將該日誌資料封包的格式轉為以會談資料(session data)為單位儲存。
該會談資料解析模組30將從封包資料庫20下載該會談資料,並從會談資料中擷取必要的特徵欄位,將特徵欄位轉換為CSV格式。所擷取的特徵欄位包含:{交易識別碼(Transaction_id),通信協定(protocol),Slave識別碼(unit_id),序列碼(serial=1代表request;serial=2代表response),控制功能碼(Modbus Function Code,FC),暫存器位址(reg_addr),位元組數(word_cnt),暫存器值(reg_value)}。前述特徵欄位將會輸入該集成門控循環單元訓練模組40進行學習訓練。
本發明的集成門控循環單元訓練模組40是預先透過訓練作業而產出的,執行圖3的訓練作業。請參考圖3,該門控循環單元訓練模組40中包含n個門控循環單元GRU1、GRU2...、GRUn,在進行訓練時,將已知的正常封包與已知的惡意封包先混合,混合後的封包利用該會談資料解析模組30進行解析而作為訓練資料(training data),再以Bagging(引導聚集演算法)方式從該訓練資料中隨機抽樣產生n個訓練資料集S1、S2…、Sn,每一個訓練資料集S1、S2…、Sn用來訓練一個對應的門控循環單元GRU1、GRU2...、GRUn
其中,已知的惡意封包是透過入工方式預先標記該封包是屬於何種惡意攻擊,換言之,惡意封包中存在的特徵欄位也是已知的資訊,利用這些已知的特徵欄位資訊可訓練門控循環單元GRU1、GRU2...、GRU。本發明欲辨識的惡意攻擊主要包含有下表的三大類:A.異常偵查攻擊、B.未授權修改、C.阻斷服務攻擊,其中偵測攻擊又可細分為四類a1~a4,總共辨識六種惡意攻擊。
Figure 110123063-A0305-02-0006-3
Figure 110123063-A0305-02-0007-2
本發明採用集成學習(Ensemble Learning)的方式,是因為相較於使用單一個門控循環單元來說,同時使用多個門控循環單元GRU1、GRU2...、GRUn可以得到比較精確的分類效果。每一個門控循環單元GRU1、GRU2...、GRUn在訓練過程中使用對應的訓練資料集S1、S2…、Sn進行訓練而得出一預測結果,也就是其屬於上述表格中六種惡意攻擊中的其中之一,若非屬於惡意攻擊則判斷屬於正常行為,該n個門控循環單元GRU1、GRU2...、GRUn的權重相同,最後再以多數決的方式決定一最終預測結果,確定屬於何種惡意攻擊。訓練完成的所有門控循環單元GRU1、GRU2...、GRUn即可構成一集成門控循環單元預測模組50。
請參考圖4,在完成訓練而得到該集成門控循環單元預測模組50後,可將此集成門控循環單元預測模組50佈署於實際的工控網路並進一步結合一示警模組60而組成該工控網路威脅智慧偵測系統200,監控工控網路的Modbus封包,即時預測封包的類別,該工控網路威脅智慧偵測系統200仍包含有上述的封包資料庫20、會談資料解析模組30。其中,在工控網路中進行即時監控的Modbus封包,同樣先經由該封包資料庫20將格式轉換為會談資料,再由該會談資料解析模組30取出特徵欄位,並提供給該集成門控循環單元預測模組 50進行分析,判斷該Modbus封包是為惡意封包或是正常封包,若是屬於惡意封包則會傳送相關資訊給該示警模組60。
該示警模組60於接收集成門控循環單元預測模組50傳來的惡意封包資訊後,立即傳送示警訊息(Alert)給一系統管理員,以避免工控網路遭受更大破壞,並將惡意封包與其攻擊類別寫入該封包資料庫20,以利後續再循環訓練該集成門控循環單元預測模組40。
本發明結合實體蜜罐與深度學習,提出一種應用於Modbus工業控制網絡的入侵偵測系統。該實體蜜罐可以佈署在工業控制網路對外與對內的網路交換器(Switch)上,以收集來自工控網路外部與內部的惡意封包。惡意封包的分析則由集成式深度學習門控循環單元以學習建立惡意攻擊類別預測模型,本發明適用於在智慧製造的工業控制網路環境中佈署,即時監控工控網路中的傳輸封包,預測其為正常封包或異常封包的攻擊類別,若為異常封包則即時發出警報(Alarm)給系統管理者。
10:實體蜜罐 20:封包資料庫 30:會談資料解析模組 40:集成門控循環單元訓練模組 100:工控網路威脅智慧訓練系統

Claims (9)

  1. 一種具深度學習之工控網路威脅智慧訓練系統,應用於一工控網路中,該工控網路威脅智慧訓練系統包含:至少一實體蜜罐,用以收集該工控網路中之惡意封包;一封包資料庫,接收來自該實體蜜罐中的該惡意封包及該工控網路中的正常封包,並將該惡意封包及該正常封包的格式轉換為會談資料;一會談資料解析模組,係下載該封包資料庫中的該會談資料,並從該會談資料中擷取複數個特徵欄位;一集成門控循環單元訓練模組,係接收該會談資料解析模組已解析出的該特徵欄位,該集成門控循環單元訓練模組包含有多個門控循環單元,其中:該正常封包及該惡意封包混合作為訓練資料,從該訓練資料中係隨機抽樣產生多個訓練資料集,每一個該訓練資料集用於訓練一個對應的該門控循環單元,以訓練各該門控循環單元預測出一惡意攻擊種類,該多個門控循環單元分別預測出的惡意攻擊種類係以多數決方式而產生一最終預測結果。
  2. 如請求項1所述具深度學習之工控網路威脅智慧訓練系統,其中,該至少一實體蜜罐包含有:一外網實體蜜罐,收集來自該工控網路外部的該惡意封包;以及一內網實體蜜罐,收集來自該工控網路內部的該惡意封包。
  3. 如請求項1所述具深度學習之工控網路威脅智慧訓練系統,其中,該至少一實體蜜罐將收集到的該惡意封包轉換成日誌資料封包,再將該日誌資料封包傳送至該封包資料庫。
  4. 如請求項1所述具深度學習之工控網路威脅智慧訓練系統,其中,該複數個特徵欄位包含:交易識別碼、通信協定、Slave識別碼、序列碼、控制功能碼、暫存器位址、位元組數以及暫存器值。
  5. 如請求項1所述具深度學習之工控網路威脅智慧訓練系統,其中,該惡意攻擊種類包含異常偵查攻擊、未授權修改以及阻斷服務攻擊三種類別。
  6. 一種具深度學習之工控網路威脅智慧偵測系統,應用於一工控網路中,該工控網路威脅智慧偵測系統包含:一封包資料庫,接收來自該工控網路中的封包,並將該些封包的格式轉換為會談資料;一會談資料解析模組,係下載該封包資料庫中的該會談資料,並從該會談資料中擷取複數個特徵欄位;一集成門控循環單元預測模組,其中,該集成門控循環單元預測模組接收該會談資料解析模組已解析出的該特徵欄位,該集成門控循環單元預測模組包含有多個如請求項1中所述的該門控循環單元,各該門控循環單元用以預測出該封包所屬的一惡意攻擊種類,該多個門控循環單元分別預測出的該惡意攻擊種類係以多數決方式而產生一最終預測結果;一示警模組,當該最終預測結果係表示該封包屬於該惡意封包,該示警模組係輸出一示警訊息。
  7. 如請求項6所述具深度學習之工控網路威脅智慧偵測系統,其中,該示警模組於輸出該示警訊息時,係將該惡意封包再寫入至該封包資料庫。
  8. 如請求項6所述具深度學習之工控網路威脅智慧偵測系統,其中,該複數個特徵欄位包含:交易識別碼、通信協定、Slave識別碼、序列碼、控制功能碼、暫存器位址、位元組數以及暫存器值。
  9. 如請求項6所述具深度學習之工控網路威脅智慧偵測系統,其中,該惡意攻擊種類包含異常偵查攻擊、未授權修改以及阻斷服務攻擊三種類別。
TW110123063A 2021-06-24 2021-06-24 具深度學習之工控網路威脅智慧偵測系統及訓練系統 TWI793650B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW110123063A TWI793650B (zh) 2021-06-24 2021-06-24 具深度學習之工控網路威脅智慧偵測系統及訓練系統

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW110123063A TWI793650B (zh) 2021-06-24 2021-06-24 具深度學習之工控網路威脅智慧偵測系統及訓練系統

Publications (2)

Publication Number Publication Date
TW202301205A TW202301205A (zh) 2023-01-01
TWI793650B true TWI793650B (zh) 2023-02-21

Family

ID=86658133

Family Applications (1)

Application Number Title Priority Date Filing Date
TW110123063A TWI793650B (zh) 2021-06-24 2021-06-24 具深度學習之工控網路威脅智慧偵測系統及訓練系統

Country Status (1)

Country Link
TW (1) TWI793650B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170214708A1 (en) * 2016-01-25 2017-07-27 Acalvio Technologies, Inc. Detecting security threats by combining deception mechanisms and data science
TW201835784A (zh) * 2016-12-30 2018-10-01 美商英特爾公司 物聯網
US20180375880A1 (en) * 2017-06-27 2018-12-27 Honeywell International Inc. Malicious industrial internet of things node activity detection for connected plants
CN112887325A (zh) * 2021-02-19 2021-06-01 浙江警察学院 一种基于网络流量的电信网络诈骗犯罪欺诈识别方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170214708A1 (en) * 2016-01-25 2017-07-27 Acalvio Technologies, Inc. Detecting security threats by combining deception mechanisms and data science
TW201835784A (zh) * 2016-12-30 2018-10-01 美商英特爾公司 物聯網
US20180375880A1 (en) * 2017-06-27 2018-12-27 Honeywell International Inc. Malicious industrial internet of things node activity detection for connected plants
CN112887325A (zh) * 2021-02-19 2021-06-01 浙江警察学院 一种基于网络流量的电信网络诈骗犯罪欺诈识别方法

Also Published As

Publication number Publication date
TW202301205A (zh) 2023-01-01

Similar Documents

Publication Publication Date Title
CN109167796B (zh) 一种基于工业scada系统的深度包检测平台
CN111277578B (zh) 加密流量分析特征提取方法、系统、存储介质、安全设备
US8065722B2 (en) Semantically-aware network intrusion signature generator
Gao et al. Omni SCADA intrusion detection using deep learning algorithms
CN107135093B (zh) 一种基于有限自动机的物联网入侵检测方法及检测系统
CN109450842A (zh) 一种基于神经网络的网络恶意行为识别方法
CN109600363A (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
KS et al. An artificial neural network based intrusion detection system and classification of attacks
Barbosa et al. Exploiting traffic periodicity in industrial control networks
CN103916288B (zh) 一种基于网关与本地的Botnet检测方法及系统
Amoli et al. Unsupervised network intrusion detection systems for zero-day fast-spreading attacks and botnets
CN113098878A (zh) 一种基于支持向量机的工业互联网入侵检测方法及实现系统
Pan et al. Anomaly based intrusion detection for building automation and control networks
Faisal et al. Modeling Modbus TCP for intrusion detection
Moorthy et al. Botnet detection using artificial intelligence
Gadallah et al. Machine Learning-based Distributed Denial of Service Attacks Detection Technique using New Features in Software-defined Networks.
Du et al. Using Object Detection Network for Malware Detection and Identification in Network Traffic Packets.
Mubarak et al. Industrial datasets with ICS testbed and attack detection using machine learning techniques
Ghourabi et al. Data analyzer based on data mining for honeypot router
Fenil et al. Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches
TWI793650B (zh) 具深度學習之工控網路威脅智慧偵測系統及訓練系統
Pan et al. Anomaly behavior analysis for building automation systems
Sapozhnikova et al. Intrusion detection system based on data mining technics for industrial networks
Hoeve Detecting intrusions in encrypted control traffic
WO2023059575A2 (en) Network security system for preventing unknown network attacks