本發明一種工控網絡流量實時入侵檢測方法，涉及一種互聯網安全檢測方法，本發明針對工業互聯網實時流量的周期性特征，提供了一種入侵檢測方法，該入侵檢測方法對采集的正常流量進行滑動窗口分組構造正常流量特征，并設置正常流量哨兵；然后對采集的攻擊流量進行滑動窗口分組構造攻擊流量特征，并設置異常流量哨兵；接著通過這兩個哨兵快速篩選實時流量中的絕對正常流量組和絕對異常流量組，對組中正常流量和異常流量摻雜的情況通過均值聚類將正常流量和異常流量分離，標記異常流量并反饋給可視化平臺，以達到態勢感知及入侵檢測的目的。該方法有較高的檢測成功率并且通過三個方面加快了入侵檢測速度，進一步滿足工業控制系統實時性的要求。

技術領域

本發明涉及一種工業控制系統網絡安全檢測方法，特別是涉及一種工控網絡流量實時入侵檢測方法。為一種基于suricata和滑動窗口均值聚類的工控網絡實時入侵檢測方法。

背景技術

工業信息安全已經成為國家戰略地位，國家高度重視工業信息安全的發展，工業信息安全事件一旦發生，所造成的財產損失不容小覷，嚴重的還可能造成人員傷亡等情況的出現。

工業互聯網平臺是在“互聯網+”的背景下衍生的新一代工業生產平臺，這一平臺是將工業控制系統、互聯網以及工業云平臺聯系起來，從而能夠實現工業數據的全面統計和分析。但是傳統工業系統與互聯網結合的同時，使得更多的工控節點暴露在互聯網上，工業平臺的受攻擊面增加。

近年來，基于機器學習的入侵檢測模型正處在研究熱潮，但大部分對工業控制網絡的研究僅采用經過特征處理好的歷史數據進行網絡仿真分析，而針對工業控制網絡流量特性的研究較少，這使得結論和實際使用之間可能存在嚴重偏差。目前工業互聯網內存在各種網絡入侵風險，其中資產識別攻擊和DDos是工業互聯網環境中最常見的兩種攻擊，信息收集是黑客進行安全破壞過程中最重要的一個環節，黑客能通過一些非法手段實施資產識別攻擊進而在大批量的資產中快速定位比較脆弱的資產，然后進行下一步的攻擊活動；DDos攻擊是一種能夠讓原本處于穩態運行的工控主機迅速宕機，這會給工廠帶來不可估計的財產損失，甚至威脅人身安全。

目前亟待針對工業控制網絡安全問題，提出一種有效的實時檢測常見的資產識別攻擊和DDos攻擊的入侵檢測方法。

發明內容

本發明的目的在于提供一種工業控制系統網絡安全檢測方法，該方通過改進開源框架Suricata進行實時采集并解析工業以太網的工業控制網絡流量的方法，將網絡傳輸過程中的數據幀解析成自然語言，對解析好的工業控制網絡流量特點進行充分分析，提出一種基于滑動窗口分組的均值聚類算法來對工業控制網絡內部的一些常見的網絡入侵進行檢測。本發明加強了對工控現場網絡狀況的檢測。

本發明的目的是通過以下技術方案實現的：

一種工控網絡流量實時入侵檢測方法，該方法為一種基于suricata和滑動窗口均值聚類工控網絡流量實時入侵檢測方法，所述方法包括以下步驟：

（1）通過修改suricata源碼，改變suricata運行模式，使其做到實時捕獲并解析全部的網絡數據幀，按照想要的格式將網絡數據幀解析成自然語言并進行轉儲；

（2）通過步驟（1）提取工控互聯網中正常的網絡流量數據，分析流量特點，構造正常流量特征，并設置正常流量哨兵；

（3）通過步驟（1）提取攻擊流量數據，分析流量特點，構造異常流量特征，并設置異常流量哨兵；

（4）將改修改后的suricata部署到工業互聯網網絡節點上，通過滑動窗口分組聚類算法對采集的實時流量進行檢測；

（5）將流量分析和檢測結果反饋到可視化平臺，對網絡內部出現的攻擊行為及時報警并記錄異常流量。