本發(fā)明公開了一種基于機器學習的不可解析網(wǎng)絡數(shù)據(jù)特征選擇的攻擊檢測方法。本方法由數(shù)據(jù)獲取預處理、特征提取與構建、基于機器學習攻擊檢測模型建立與檢測三部分組成：數(shù)據(jù)預處理部分對網(wǎng)絡數(shù)據(jù)數(shù)值化；特征提取與構建部分在深入解析工控網(wǎng)絡攻擊的基礎上，基于數(shù)據(jù)包周期、長度信息完成數(shù)據(jù)特征的構建；建模部分是基于機器學習分類方法建立工控網(wǎng)絡攻擊檢測模型。本發(fā)明能實時準確的檢測工控系統(tǒng)網(wǎng)絡中重放大流量攻擊、中間人攻擊等攻擊形式，減少安全事故發(fā)生和帶來的經(jīng)濟損失。

技術領域

本發(fā)明涉及一種工控網(wǎng)絡攻擊檢測方法，具體地說，是一種利用機器學習，基于工控網(wǎng)絡數(shù)據(jù)包特征工程完成工控網(wǎng)絡特定攻擊檢測的方法，屬于工控網(wǎng)絡安全技術領域。

背景技術

工業(yè)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)和新一代信息技術與全球工業(yè)系統(tǒng)全方位深度融合集成所形成的產(chǎn)業(yè)和應用生態(tài)，是工業(yè)智能化發(fā)展的關鍵綜合信息基礎設施。大型工控網(wǎng)絡在帶來設備智能化、便利的遠程控制的同時也使其更加容易受到網(wǎng)絡攻擊的威脅。高技術含量的網(wǎng)絡攻擊手段不斷出現(xiàn)，病毒日趨復雜，工業(yè)領域一旦受到網(wǎng)絡攻擊，將會造成巨大的經(jīng)濟損失。因此，研究適用于工控網(wǎng)絡的實時攻擊檢測與定位技術進行安全防護顯得極為重要。目前，主流的攻擊檢測方案大多是針對特定的工控系統(tǒng)場景，研究適用于該場景的算法，從而建立通信行為攻擊檢測模型，從而實現(xiàn)實時的、高精度的網(wǎng)絡攻擊檢測。然而，主流的工控企業(yè)，例如中控、西門子、霍尼韋爾等，都在朝著私有化、高度加密化的方向開發(fā)產(chǎn)品。加密的網(wǎng)絡數(shù)據(jù)使得攻擊檢測模型無法提取關鍵有效的特征進行推理決斷，實用性和普適性得到限制。因此，研究基于加密的、協(xié)議不可解析的工控網(wǎng)絡數(shù)據(jù)的特征提取與構建方法以及魯棒的高性能的機器學習算法，實現(xiàn)加密網(wǎng)絡的攻擊檢測進行安全防護顯得極為重要。

目前常用的工控網(wǎng)絡入侵檢測方案是在通過網(wǎng)絡數(shù)據(jù)數(shù)據(jù)包分析軟件抓取工業(yè)通信過程中的網(wǎng)絡數(shù)據(jù)包的基礎上，引入適應網(wǎng)絡數(shù)據(jù)特征的攻擊檢測算法，對構建的網(wǎng)絡數(shù)據(jù)集進行訓練測試，在滿足攻擊檢測準確率和時間精度的要求下，建立工控網(wǎng)絡攻擊檢測模型。現(xiàn)有的工控網(wǎng)絡攻擊檢測方法主要是針對通用可解析網(wǎng)絡數(shù)據(jù)，對加密未解析網(wǎng)絡數(shù)據(jù)的攻擊檢測研究尚缺，同時由于工控網(wǎng)絡系統(tǒng)受到攻擊形式多變不一，基于常規(guī)機器學習算法的模型魯棒性較差，可以將泛化能力高的集成學習方法應用到網(wǎng)絡攻擊檢測中。

發(fā)明內(nèi)容

為了加強工況系統(tǒng)的安全防護能力，工控現(xiàn)場控制層與現(xiàn)場設備層之間的通信普遍會進行加密和簽名處理，加密的網(wǎng)絡數(shù)據(jù)使得攻擊檢測模型無法提取關鍵有效的特征進行推理決斷，本發(fā)明在深入解析異常攻擊模式的基礎上，設計一種基于周期和數(shù)據(jù)包長度特征的特征構建方案，并以SVM分類算法和集成學習自適應提升算法(Adaptive Boosting，AdaBoost)為重點，研究基于此重構特征的機器學習檢測模型。

本發(fā)明是通過以下技術方案實現(xiàn)的：一種基于機器學習的不可解析網(wǎng)絡數(shù)據(jù)特征選擇的攻擊檢測方法，該方法包括如下步驟：

步驟1：實時抓取工控系統(tǒng)通信過程中控制層與現(xiàn)場設備層間通信網(wǎng)絡數(shù)據(jù)包，完成網(wǎng)絡數(shù)據(jù)包預處理；

步驟2：特征提取與構建，即深入解析工控系統(tǒng)中中間人、重放大流量攻擊這兩種攻擊模式，由于數(shù)據(jù)包協(xié)議不可解析性，在數(shù)據(jù)包周期、長度信息的基礎上構建新的數(shù)據(jù)特征，該數(shù)據(jù)特征包括發(fā)送周期內(nèi)數(shù)據(jù)包之間的長度差值、周期間相同長度數(shù)據(jù)包的時間差值、數(shù)據(jù)包收發(fā)頻率；

步驟3：在步驟2)的基礎上，完成數(shù)據(jù)包預處理以及攻擊數(shù)據(jù)包和正常數(shù)據(jù)包標定，建立工控網(wǎng)絡訓練集；

步驟4：基于機器學習方法建立工控網(wǎng)絡攻擊檢測模型，并利用步驟3)得到的工控網(wǎng)絡訓練集訓練所述模型；

步驟5：利用步驟4)訓練好的工控網(wǎng)絡攻擊檢測模型判斷網(wǎng)絡數(shù)據(jù)包是否異常，完成工控網(wǎng)絡的攻擊檢測。