本發明提供了一種基于事件序列的威脅檢測方法，該方法包括：捕獲正常運行時工控系統的網絡數據包，從中提取訓練數據集；建立并訓練隱馬爾可夫模型λ；提取當前運行狀態下工控系統的網絡數據包，從中獲取當前運行狀態下真實的觀測序列o′_real，計算觀測序列o′_real在隱馬爾可夫模型下的概率P(o′_real|λ)；通過隱馬爾可夫模型生成一個預測觀測序列o′_pre，計算出o′_real和o′_pre的相似度r；根據P(o′_real|λ)和r判斷工控系統是否遭受攻擊。本發明提出的一種基于事件序列的威脅檢測方法只需對工控系統的網絡數據包進行抓取，執行威脅檢測的檢測模塊用單獨的主機執行，不需要將檢測模塊放入到工控系統的工控設備中，不僅保障了工控系統的實時性要求，而且能夠很方便的在其他工控系統使用，提高了擴展性。

技術領域

本發明涉及工業控制系統領域的攻擊檢測技術，具體涉及一種基于事件序列的威脅檢測方法。

背景技術

目前，越來越多的工業控制系統(簡稱工控系統)內部網絡需要和外部網絡互連，使工業控制系統暴露于公共網絡之中，面臨更多的攻擊。為了保證工業控制系統的安全性，網絡安全技術被越來越多地應用。網絡流量分析技術是目前應用最廣泛的信息網絡攻擊檢測方法之一，通過監視和分析網絡流量以檢測出帶有異常行為的數據分組，從而實現攻擊檢測。

但是，傳統的攻擊檢測技術通常是搜索單個、不尋常或不允許的“操作”，而越來越多的攻擊表明，網絡入侵采用一系列合法的但操作順序異常，能夠避開標準的攻擊檢測系統，由于執行的順序發生改變，仍然會破壞工業控制系統的基礎設施。

發明內容

針對上述問題，本發明提出了一種基于事件序列的威脅檢測方法，該威脅檢測方法不但能夠檢測出單個的常規的不合法操作，而且能夠檢測出操作順序異常的攻擊序列。

本發明旨在提出一種基于事件序列的威脅檢測方法，這種攻擊檢測方法只需要獲取控制系統網絡的數據包，經過處理轉化成事件序列，根據得到的事件序列進行建模；不僅保障了工控系統的實時性要求，而且能夠很方便的在其他工控系統使用，提高了擴展性。

本發明首先捕獲正常運行時工控系統的網絡數據包，將所述網絡數據包轉換成事件序列，然后提取觀測序列o和狀態序列I作為訓練數據集，建立并訓練隱馬爾可夫模型λ；在威脅檢測時提取當前運行狀態下所述工控系統的當前網絡數據包，將所述當前網絡數據包轉化為當前事件序列，從中獲取當前運行狀態下所述工控系統真實的觀測序列o′_real，計算觀測序列o′_real在已訓練完成的隱馬爾可夫模型下的概率P(o′_real|λ)；然后通過已訓練完成的隱馬爾可夫模型生成一個預測觀測序列o′_pre，然后計算出兩個觀測序列o′_real和o′_pre的相似度r，最后根據概率P(o′_real|λ)和相似度r來判斷所述工控系統是否遭受攻擊。

本發明提出的一種基于事件序列的威脅檢測方法只需要對工控系統的網絡數據包進行抓取，執行威脅檢測的檢測模塊可以用單獨的主機來執行，不需要將所述檢測模塊放入到工控系統的工控設備中，不僅保障了工控系統的實時性要求，而且能夠很方便的在其他工控系統使用，提高了擴展性。

附圖說明

圖1是本發明的流程示意圖

圖2是本發明序列攻擊檢測階段示意圖

圖3是本發明實施例中采用的替換矩陣

具體實施方式

下面將結合本發明實施例，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。