一種面向工控系統的入侵檢測規則匹配優化方法，該方法包括：整理工控系統資產的IP、端口、漏洞、安全配置等信息，從匹配規則的規則頭、規則選項選取多個特征屬性，設置聚類中心為3，采用均值聚類算法把規則庫中的規則分為三級，再由規則頭特征數據、漏洞評分、配置脆弱性評分、規則動作的威脅評分計算規則匹配成功后的威脅值，并根據威脅值在分級聚類內排序；在對數據包進行入侵檢測時，提取數據包的特征信息后，按分級和排序將特征信息與規則進行匹配。本方法能夠按工控系統面臨的真正威脅對規則庫中的規則進行分級、排序，將騷擾性攻擊對應的規則匹配推后，解決因規則數量龐大而引起的檢測效率低下問題，提高檢測效率。

技術領域

本發明涉及工控安全檢測技術領域，具體涉及一種面向工控系統的入侵檢測規則匹配優化方法。

背景技術

為保證工業生產網絡安全，在工控系統中一般都配備了入侵檢測設備，現有的主流技術包括誤用檢測、異常檢測兩種。對于采用誤用檢測技術的設備，由于廠家對于實際的工業生產環境缺乏深入的了解，為保證匹配規則的完備性，在規則庫中保留了大量的檢測規則，甚至存在很多無效的規則，在日常的使用過程中，安全運維人員會根據現場情況在設備中增加很多的檢測規則，而入侵檢測設備采用遍歷的方式對數據包進行檢測時，造成匹配效率低下，導致面臨真正的能夠對生產造成影響的網絡入侵時，發現不夠及時。

在實際的工業生產現場，工控系統經常面臨試探性、騷擾性的攻擊，入侵檢測檢測雖然也需要對此類攻擊進行檢測，但可以推后，應該將能真正造成傷害的攻擊對應的檢測規則往提前，如何根據工控系統資產存在的漏洞、安全配置脆弱性等信息對規則庫中的規則進行分級和排序，是提高檢測的針對性、時效性的關鍵；同時，因為規則數量的龐大及不斷變化，依靠人工進行分類和排序并不現實。

發明內容

為了克服上述現有技術存在的問題，本發明提出了一種面向工控系統的入侵檢測規則匹配優化方法，目的是結合工控系統資產的業務訪問關系及安全特征屬性對入侵檢測設備規則庫中的規則進行聚類分級、排序，在進行規則匹配時將有效且威脅值高的匹配提前，提高網絡入侵的檢測效率。

為達到上述目的，本發明采用如下技術方案：

一種面向工控系統的入侵檢測規則匹配優化方法，包括以下步驟：

步驟(1)按照工控系統網絡拓撲及業務系統實際情況，整理工控系統業務合理訪問列表，包括工控系統內部之間的訪問及內部和外部的交互訪問，整理訪問關系對應的協議、源地址、源端口、目的地址、目的端口等信息，由工控系統業務合理訪問列表可得到非受控訪問列表；再利用漏掃工具對工控系統進行漏洞掃描，得到漏洞列表，該漏洞列表含漏洞危害程度級別的評分數據、節點IP及端口，然后利用配置核查工具對工控系統進行配置核查，得到安全配置脆弱性列表，該安全配置脆弱性列表含脆弱性評分數據、節點IP及端口，漏洞掃描及配置核查整理的節點IP及端口形成危險訪問列表，完成工控系統三個訪問列表及安全特性的整理；如果漏洞危害程度級別的評分數據及安全配置脆弱性評分兩者評分標準不一致，則需要換算成10分制；

步驟(2)對檢測規則庫中的規則進行聚類分析，規則庫中每條規則包括規則頭和規則選項兩部分，對規則庫D，有s條規則，從規則頭的協議、源地址、源端口、目的地址、目的端口、方向操作符共6個屬性中選取m個特征屬性，其中3≤m≤6，特征數據根據步驟(1)中整理的工控系統資產信息中的合理訪問列表、非受控訪問列表、危險訪問列表計算得到，如特征屬性屬于合理訪問列表則對應的特征數據取0.3，如特征屬性屬于非受控訪問列則對應的特征數據取0.6，如特征屬性屬于危險訪問列表則對應的特征數據取0.9；

從規則選項的IP查看選項域、IP包頭的分片位、數據包數據段的大小、TCP標志、TCP包的序列號、TCP包的確認域、回送包的標志符、在數據包的數據段中搜索模式、搜索的偏移量、搜索最大深度共10個屬性中選取n個屬性作為攻擊特征屬性，其中3≤n≤10，攻擊特征數據由規則選項參數得到，如果規則選項參數為數值，特征數據取該值，如果規則選項參數為多個選項中的一個，取序號值，規則選項參數為空時取0；