[发明专利]一种基于工业控制系统网络流量的异常检测方法

说明书

技术领域：

本发明涉及一种工业控制系统网络流量的异常检测方法。属于信息安全领域。

背景技术：

随着计算机和互联网技术的快速发展与广泛应用，计算机网络系统的安全受到了严重的挑战，特别是针对工业控制系统的安全威胁正在逐渐增多。工业控制系统是国家安全战略的重要组成部分，90%左右涉及国民的关键基础设施都需要依靠工业控制系统来实现自动化作业。2010年“震网”（Stuxnet）病毒的出现则为工业控制系统网络攻击开辟了一个新的时代。其利用微软Windows操作系统漏洞虽然能够像传统蠕虫病毒一样在互联网上广泛传播，但并不以获取用户数据或牟利为目的，仅作为攻击重要基础设施SCADA系统的跳板。“震网”病毒通过入侵SIMATIC WinCC平台的管理层系统、挂接动态链接库DLL（Dynamic Link Library），修改、操控PLC的数据采集、监测、调度等命令逻辑，造成现场级设备数据采集错误、命令调度混乱，破坏了900多台伊朗核设施离心机，导致其核计划严重推迟。随着2012年“火焰”病毒再次在中东地区爆发，引发伊朗石油业系统瘫痪，全球多数专家都将针对工业控制系统的网络攻击列为国家间战略制约手段，世界各国对其安全防护的重视程度骤升。目前，越来越多的工业控制系统通过采用工业以太网技术由封闭、私有转向开放、互联模式，随之便带来了恶意代码攻击、信息泄露、指令篡改等安全问题，整个系统的可用性、可靠性、私密性等安全特质受到的威胁日益增加，工业信息安全的需求呈现井喷趋势。

虽然针对工业控制系统安全的研究已经有30多年的历史，但是由于来自于传统互联网的网络安全技术不能简单的移植到工控网中，到目前为止还没有取得突破性的进展，对工业网络流量的异常检测也还处于研究的初级阶段。

国内外现有的工业网络异常检测方法主要有基于自回归过程的异常检测，基于隐马尔可夫模型的异常检测，基于神经网络的异常检测等，但是这些方法基本上沿用了传统以太网的方案，对于工业网络流量异常检测效果并不明显。工业控制系统普遍适用于能源、电力、化工、交通运输、制造业等行业，工业控制系统中流量所呈现出的特性和传统以太网有所不同，因此直接套用传统以太网解决方案难以满足目前对于工业网络的安全需求。为了改善这方面的不足，有针对性的检测工业网络中出现的异常，发明人通过对工业网络流量进行深入分析，提出一种适合工业网络环境下的异常流量检测方法。本方法针对工业网络流量分析其流量特点，并根据工业网络的普遍特点——周期性，利用信号处理的方法将时域的流量信号变换到频域，使流量特点更加明显，然后根据正常流量和异常流量的功率谱密度在低频中的特点，提出以低频功率和为检测指标的检测方法，找到一个低频功率和的临界值，若待检测样本的低频功率和大于此临界值，则认为该样本流量为异常流量。

发明内容：

针对上述问题，本发明提出了一种针对工业控制系统网络流量的异常检测方法，采集工业网络流量，通过对流量特性的分析发现采用数字信号处理的方法，将流量信号由时域变换到频域，工业网络中的正常流量和异常流量采样在功率谱密度上存在一定的差异，通过分析大量历史数据，发现异常流量的功率谱值比正常流量的功率谱值在低频部分大，因此提出以低频功率和为检测指标的检测方法，找到一个低频功率和的临界值，若待检测样本的低频功率和大于此临界值，则认为该样本流量为异常流量。

本方法包括以下步骤：

首先进行数据预处理：在工业网络的上位机上捕获数据包，并对数据包进行采样，采样频率需大于包最高频率的2倍，采样值为单位时间接收到的数据包的字节数，采样窗口大小至少要包含3个周期的流量序列，通过一个窗口的采样可以得到一个离散时间序列x(n)。该过程可用如下随机过程模型来表示：{x(n),t=nΔ,n∈N}。其中Δ是一个常数，代表采样间隔。N是全部的取样点数,即离散时间序列的长度。x(n)是一个随机变量，表示在(t-Δ,t)间隔内捕获到的数据包的字节数。然后，对每个离散时间序列x(n)计算其功率谱密度，即相对频率幅度谱。这里的功率谱密度通过计算x(n)的自相关序列的离散傅里叶变换得到。最后，计算低频功率和。下面给出相关的定义：