本發明提出一種快速特征匹配的工業網絡DDoS入侵檢測方法，涉及工業網絡通信領域，屬于信息安全方面，該方法主要利用深度學習模型替換了傳統的入侵檢測所使用的數據庫查找特征匹配模型，完成工業網絡中入侵檢測系統的設計。該方法首先提取數據包特征，進行特征篩選和構建特征矩陣，再將特征矩陣輸入到深度學習模型中進行判別，模型經KDD99數據集訓練，對DDoS攻擊類型具有極高的識別率。該方法對傳統的數據庫查找特征匹配速度慢的缺陷做出改進，使系統不再需要等待查找數據庫的耗時，極大的提高了匹配速率，另外匹配的精確度高，誤報率低，并且部署方便，有效的降低了系統資源的使用，符合工業網絡對網絡實時性的要求。

技術領域

本發明涉及工業網絡通信領域，屬于信息安全方面，具體涉及一種快速特征匹配的工業網絡DDoS入侵檢測方法。

背景技術

工業網絡是指安裝在生產制造環境的一種數字化、雙向、多站的通信系統。隨著時代的發展，工業網絡已經和外部網絡的連接越來越密切和頻繁，在過去，工業網絡與外部互聯網之間通常沒有物理連接，僅僅作為孤立的局域網存在。但是現在，工業網絡不僅僅連接著內部的制造設備，同時也通過Internet連接到了全球各地，實現例如遠程監控、遠程軟件升級、資源統一調配、協作分工等任務。但設備互聯互通在滿足了現代工業信息化需要的同時，也使得攻擊者能夠通過外部網絡對工業系統進行網絡攻擊，從而給生產帶來巨大的安全隱患。工業網絡的安全性問題正在日益凸顯，也正是因為工業網絡不斷的提升連接性，開放性，復雜性，使得工業網絡的入侵風險不斷增加。為了應對于日益增長的網絡入侵威脅，入侵檢測系統IDS(Intrusion Detection System)現在已經成為了網絡安全防御中的關鍵組成部分，它通過收集和分析網絡中的行為，利用與已知的入侵行為模型的對比或對未知入侵行為的判斷分析，在發現可疑傳輸時，發出警報或者采取主動反應措施的網絡安全設備。

本發明重點意在防范以DDoS攻擊手段入侵工業網絡的行為，DDoS為分布式拒絕服攻擊，該攻擊的原理是在短時間內發起巨量請求，使服務器資源耗盡而癱瘓，常見類型如SYNFlooding、ACKFlooding攻擊等。DDoS一般的攻擊目標是網絡核心設施，在工控領域，可攻擊的目標有核心交換機，數據服務器等，網絡一旦停止服務，各類生產數據、報文、指令無法正常傳輸，在數據流量密集的工業現場造成的損失將難以估量。目前國內外對該類面向工業網絡的入侵檢測系統的研究還處在初級階段，目前應用的解決方案有利用異常檢測系統監控系統參數，如CPU占用率、登錄失敗次數等，這種方案的缺陷在于誤報率和漏報率較高；此外還有建立攻擊特征數據庫，對入站數據進行分析和匹配，這種方式較為消耗系統資源，檢測效率低下，這在實時性要求較高的工業網絡中是不允許的。因此，需要一種高效且精確的解決方案。

本發明提出一種快速特征匹配的工業網絡DDoS入侵檢測方法，該方法利用深度學習模型對進入工業內網的數據包進行快速特征匹配，判斷數據包是否攜帶攻擊特征，并作出響應。與傳統的入侵檢測系統相比，該方法將特征的數據庫查找過程替換為深度學習特征識別過程，傳統方式在數據庫查詢的過程中浪費了大量的時間，系統需要等待查詢結果才可以進行檢測，而本方法不需要查詢，在模型訓練完成的情況下只需進行特征匹配，因此大大提高了檢測速度，滿足了工業網絡數據傳輸中對時延較為苛刻的要求，同時實現入侵檢測與識別。

發明內容

本發明的目的在于提升目前工業網絡系統的安全性及實時性，由于傳統的工業網絡本身較為脆弱，在開放的互聯網環境中極易成為攻擊目標，但是為了滿足現代工業信息化的要求意味著網絡必須更加開放，這對工業網絡自身的安全性提出了挑戰。網絡入侵檢測則是一種有效的網絡安全防護技術，入侵檢測系統一般置于Internet接入路由器之后的第一臺交換機上，首先抓取網絡中流經的數據包，通過分析，匹配是否有DDoS攻擊的行為特征，并對這個連接進行下一步處理。但是傳統的入侵檢測系統存在著匹配速度慢，檢測效率低等缺陷，不適合工業網絡對實時性的要求。