一種基于雙重相似性度量的工業(yè)通信異常檢測(cè)方法，該方法依據(jù)工業(yè)通信交互方式和工業(yè)協(xié)議規(guī)約，分析工業(yè)控制網(wǎng)絡(luò)中通信數(shù)據(jù)并提取工業(yè)通信行為特征，通過(guò)這些特征構(gòu)建行為特征樹(shù)，分別進(jìn)行樹(shù)內(nèi)相似性度量和樹(shù)間相似性度量，從而發(fā)現(xiàn)工業(yè)控制網(wǎng)絡(luò)中異常的通信情況。本發(fā)明創(chuàng)造通過(guò)以上方法，能夠綜合考慮一般網(wǎng)絡(luò)行為特征以及工業(yè)協(xié)議語(yǔ)義特征，通過(guò)對(duì)工業(yè)通信數(shù)據(jù)的實(shí)時(shí)分析與異常判定，檢測(cè)由惡意攻擊或誤操作所引起的工業(yè)通信異常并產(chǎn)生報(bào)警，保障工業(yè)控制系統(tǒng)安全。

技術(shù)領(lǐng)域

本發(fā)明涉及工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，更具體的說(shuō)是涉及一種基于雙重相似性度量的工業(yè)通信異常檢測(cè)方法。

背景技術(shù)

當(dāng)前我國(guó)工業(yè)控制系統(tǒng)的信息安全風(fēng)險(xiǎn)隱患尤為突出，形勢(shì)十分嚴(yán)峻。根據(jù)美國(guó)國(guó)土安全部下屬工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組的安全報(bào)告，近幾年針對(duì)工業(yè)控制系統(tǒng)的信息安全事件呈階梯式增長(zhǎng)趨勢(shì)，其中能源、制造等行業(yè)占比最大。尤其是近幾年互聯(lián)網(wǎng)與工業(yè)控制系統(tǒng)的融合，打破了工業(yè)系統(tǒng)原始固有的封閉性，隨之的信息安全問(wèn)題也日益暴露出來(lái)。

工業(yè)控制系統(tǒng)是由各種自動(dòng)化控制組件以及對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行采集和監(jiān)測(cè)的過(guò)程控制組件共同構(gòu)成的、確保工業(yè)基礎(chǔ)設(shè)施自動(dòng)化運(yùn)行和過(guò)程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。相比于傳統(tǒng)的網(wǎng)絡(luò)與信息系統(tǒng)，大多數(shù)的工業(yè)控制系統(tǒng)在開(kāi)發(fā)設(shè)計(jì)時(shí)，需要兼顧應(yīng)用環(huán)境、控制管理等多方面因素，首要考慮效率和實(shí)時(shí)特性，并且在工業(yè)控制系統(tǒng)建立之初僅關(guān)注功能安全，而缺少對(duì)信息安全的相關(guān)設(shè)計(jì)，工業(yè)控制系統(tǒng)普遍缺乏有效的工業(yè)安全防御及數(shù)據(jù)通信保密措施。另外，工業(yè)控制系統(tǒng)的信息安全必須優(yōu)先保障所有系統(tǒng)部件的可用性和可靠性，傳統(tǒng)IT信息安全技術(shù)，如防火墻、放病毒軟件等，無(wú)法適應(yīng)工業(yè)控制系統(tǒng)的特點(diǎn)，不能直接應(yīng)用到工業(yè)控制系統(tǒng)中。

為此，研究人員已經(jīng)著手開(kāi)展適應(yīng)于工業(yè)控制系統(tǒng)自身特點(diǎn)的信息安全防護(hù)技術(shù)，典型地包括：工業(yè)防火墻、工業(yè)網(wǎng)閘、工業(yè)軟件白名單技術(shù)以及工業(yè)入侵檢測(cè)等。其中工業(yè)入侵檢測(cè)包括特征檢測(cè)和異常檢測(cè)兩部分，而異常檢測(cè)通過(guò)與正常行為間的匹配實(shí)現(xiàn)異常行為發(fā)現(xiàn)，在不干擾工業(yè)控制系統(tǒng)實(shí)時(shí)性和可用性的前提下，無(wú)需預(yù)先了解攻擊的特征形式，能有效地檢測(cè)未知攻擊，已經(jīng)得到了研究人員的一致認(rèn)可。目前針對(duì)工業(yè)控制系統(tǒng)的異常檢測(cè)方法主要涉及三類：基于統(tǒng)計(jì)的方法、基于知識(shí)的方法和基于機(jī)器學(xué)習(xí)的方法。其中基于機(jī)器學(xué)習(xí)的方法又包括聚類、神經(jīng)網(wǎng)絡(luò)、貝葉斯算法、遺傳算法、模糊邏輯、支持向量機(jī)等技術(shù)。一般情況下，這些方法都是從工業(yè)通信行為的特征出發(fā)，通過(guò)采用無(wú)監(jiān)督或者半監(jiān)督的手段，獲取工業(yè)控制網(wǎng)絡(luò)中的通信數(shù)據(jù)進(jìn)行分析，構(gòu)建正常的通信行為模型，通過(guò)計(jì)算與正常通信行為模型的偏差，判別是否出現(xiàn)異常。

上述工業(yè)異常檢測(cè)方法往往僅僅從工業(yè)網(wǎng)絡(luò)通信的某一個(gè)側(cè)面去提供異常檢測(cè)的能力，比如說(shuō)很多基于統(tǒng)計(jì)的方法采用CUSUM算法去計(jì)算工業(yè)通信流量的異常變化點(diǎn)、基于機(jī)器學(xué)習(xí)的方法針對(duì)某一工業(yè)活動(dòng)的變化(比如功能碼的變化)來(lái)實(shí)現(xiàn)異常發(fā)現(xiàn)，缺少對(duì)所有工業(yè)通信特點(diǎn)的全方位考慮，其異常檢測(cè)的能力是有限的，同時(shí)在異常檢測(cè)引擎方法采用上也具有片面性。

發(fā)明內(nèi)容

本發(fā)明的進(jìn)一步目的是提供一種基于雙重相似性度量的工業(yè)通信異常檢測(cè)方法，依據(jù)工業(yè)通信交互方式和工業(yè)協(xié)議規(guī)約，分析工業(yè)控制網(wǎng)絡(luò)中通信數(shù)據(jù)并提取工業(yè)通信行為特征，通過(guò)這些特征構(gòu)建行為特征樹(shù)，分別進(jìn)行樹(shù)內(nèi)相似性度量和樹(shù)間相似性度量，從而發(fā)現(xiàn)工業(yè)控制網(wǎng)絡(luò)中異常的通信情況。該方法通過(guò)樹(shù)內(nèi)、樹(shù)間兩種相似性度量算法，能夠有效、全方位的提升異常檢測(cè)能力，實(shí)時(shí)發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)通信中的已知和未知攻擊，保護(hù)工業(yè)系統(tǒng)、網(wǎng)絡(luò)與設(shè)備安全。

為了實(shí)現(xiàn)上述目的，本發(fā)明創(chuàng)造采用的技術(shù)方案為：一種基于雙重相似性度量的工業(yè)通信異常檢測(cè)方法，其特征在于，其步驟為：

1)工業(yè)通信行為特征的分類與選擇：將工業(yè)通信數(shù)據(jù)按相同的時(shí)間間隔劃分成不同的消息樣本，依據(jù)工業(yè)通信協(xié)議的協(xié)議規(guī)約和工業(yè)通信交互方式，提取工業(yè)通信行為特征，構(gòu)成特征空間；

2)構(gòu)建工業(yè)行為特征樹(shù)：根據(jù)每一個(gè)消息樣本的特征空間，分別構(gòu)建工業(yè)行為特征樹(shù)的主分枝、次分枝和葉子節(jié)點(diǎn)，從而使每一個(gè)消息樣本用一個(gè)工業(yè)行為特征樹(shù)表示；