[发明专利]一种面向未知工业通信协议规约的异常行为检测方法

权利要求书

1.一种面向未知工业通信协议规约的异常行为检测方法，其特征在于，包括以下阶段：

阶段一，在线自学习阶段：首先捕获工业控制网络中通信数据包，然后进行数据预处理生成事件序列，并通过参数寻优得到优化的初始参数，最后利用事件序列和优化的初始参数训练基于事件的隐马尔可夫模型，同时确定行为概率门限；

阶段二，实时检测阶段：首先实时捕获工业控制网络中通信数据包，进行数据预处理生成代表某一会话的事件序列，然后将事件序列输入至所述隐马尔可夫模型，利用Forward算法，计算此事件序列的行为概率，最后将计算结果与行为概率门限进行比较，实现工业通信行为的异常检测；

所述数据预处理包括以下过程：

会话重组，首先需要通过四元组信息<源IP、目的IP、源端口、目的端口>形成会话标识，用于确定一个会话，然后根据会话标识将属于同一会话的数据包进行重新组合；所述会话重组中，一个会话结束的判断准则如下：如果在设定时间间隔内没有出现具有相同会话标识的数据通信，则认为此会话已结束，此后如果出现相同会话标识的数据通信，则开启一个新的会话；

数据载荷合并，提取重新组合的数据包中应用层的数据载荷信息，按所述重新组合的数据包到达时间先后顺序合并属于同一会话中的数据载荷内容，构成会话消息；

特征提取，采用N-gram模型，将会话消息中字节序列映射到一个有限的特征空间；

聚类分析，采用K-means算法对提取的特征进行聚类，将整个特征空间划分成多个簇，每一个簇称为一类事件；

所述基于事件的隐马尔可夫模型训练过程如下：

步骤一：利用遗传算法优化参数建立初始模型；

步骤二：依据初始模型和输入的事件序列，采用Baum-Welch算法训练新的隐马尔可夫模型；

步骤三：利用Forward算法分别计算此事件序列在新的隐马尔可夫模型和前一次隐马尔可夫模型的行为概率；

步骤四：若连续m次出现两次行为概率的差值小于预设的阈值，则结束训练，其中m为规定的比较次数；反之，转到步骤二。

2.根据权利要求1所述的一种面向未知工业通信协议规约的异常行为检测方法，其特征在于，所述工业控制网络中通信数据包是使用协议规约和消息格式未公开的工业通信协议进行通信的数据包。

3.根据权利要求1所述的一种面向未知工业通信协议规约的异常行为检测方法，其特征在于，所述设定时间间隔可依据具体网络通信情况进行调整。

4.根据权利要求1所述的一种面向未知工业通信协议规约的异常行为检测方法，其特征在于，所述参数寻优采用遗传算法优化隐马尔可夫模型的初始参数，所述初始参数具体包括：起始状态概率矢量、状态转移概率矩阵和观察值概率矩阵。

5.根据权利要求1所述的一种面向未知工业通信协议规约的异常行为检测方法，其特征在于，所述行为概率门限是在隐马尔可夫模型训练时所计算的m次行为概率的最小值。

6.根据权利要求1所述的一种面向未知工业通信协议规约的异常行为检测方法，其特征在于，所述将计算结果与行为概率门限进行比较，实现工业通信行为的异常检测，具体为：进行概率比较，若此事件序列的行为概率小于行为概率门限，则判断控制网络通信中出现异常，产生报警。