[发明专利]一种面向未知工业通信协议规约的异常行为检测方法

说明书

本发明公开了一种面向未知工业通信协议规约的异常行为检测方法，分为在线自学习阶段和实时检测阶段，其中在线自学习阶段主要完成对网络原始通信数据的分析与特征提取，形成事件序列，将事件序列作为隐马尔可夫模型的输入对模型进行训练，通过迭代最终获得优化的隐马尔可夫模型和行为概率门限；实时检测阶段利用优化的隐马尔可夫模型对实时处理的事件序列进行行为概率计算，通过与行为概率门限对比，完成对工业通信行为的异常检测。本发明能够对使用未知工业通信协议规约的工业通信数据流进行合法性检测，实时发现异常工业通信行为并产生报警，保障工业控制系统的网络通信安全性。

技术领域

本发明涉及工业控制系统网络安全技术领域，更具体的说是涉及一种面向未知工业通信协议规约的异常行为检测方法。

背景技术

随着现代通信、计算、网络和控制技术的发展，信息技术运用领域的不断开拓，使得工业化和信息化的融合已经成为一种发展的必然趋势。作为标志性的产物，网络化的工业控制系统得到了国家的高度重视，已经成为未来国民经济和社会发展的战略性规划之一。然而，网络化、信息化的发展也逐渐打破了工业控制系统原始固有的封闭性，随之的信息安全问题也日益暴露出来，并呈现愈演愈烈的趋势。之所以工业控制系统存在诸多信息安全隐患，一个重要原因就是其使用的工业通信协议在设计及实现时缺乏信息安全考虑，缺少相应的安全机制。

为此，工业界和学术界已经开始对工业控制系统的信息安全防护进行了研究与探讨。目前针对工业控制系统的很多网络攻击行为主要以工业通信协议漏洞为突破口，对工控终端设备造成威胁，因此现有的工业控制系统安全防护方法也是以解析专有工业通信协议为基础进行展开研究。例如，工业防火墙采用深度包解析技术(Deep PacketInspection，DPI)对工业通信协议进行深层次分析与过滤，实现了对工业通信数据流的访问控制目的。工业网闸通过采用面向专有工业通信协议的网络隔离技术，保障了不同区域的安全数据采集与交换。上述两种方法虽然在一定程度上保护工业控制系统不受网络攻击，但是也存在着不足：首先，白名单的规则设置由人工完成，若出现偏差将导致安全规则错误；其次，作为一种网络安全中间件，会对系统的实时操作产生影响。

由于在不干扰工业控制系统运行实时性和可用性的前提下，能够对网络中出现的入侵行为以及非授权行为进行识别、检测与响应，作为一种第三方的旁路异常行为监听方法，工业控制系统的异常检测技术已经成为研究热点之一。目前工业控制系统的异常检测技术可以分为三类：基于统计的方法、基于知识的方法和基于机器学习的方法。这三类方法都是在深入分析工业通信协议的基础上，模拟工业通信行为的异常检测方法，其目的在于通过采用无监督或者半监督的自学习式方法，构建网络化控制系统中网络通信的正常行为模型，与下一轮通信行为进行对比分析，从而判别是否出现通信行为异常。然而，依据工业控制系统中协议规约和消息格式的开放程度，工业通信协议可以分为已知和未知两类，其中已知协议的协议规约和消息格式是完全公开化的，未知协议的协议规约和消息格式是非公开化的、私有化的。上述工业控制系统的异常检测技术大多局限于对已知工业通信协议规约的异常检测方法研究，很少涉及到未知工业通信协议规约的异常检测研究。

发明内容

有鉴于此，本发明的目的是提供一种面向未知工业通信协议规约的异常行为检测方法，该方法符合“纵深防御”的思想，解决工业控制系统脆弱性和安全检测问题，保障工业控制系统的安全运行。

本发明的进一步目的是提供一种面向未知工业通信协议规约的异常行为检测方法，针对工业控制系统中使用的协议规约和消息格式非公开化的工业通信协议，完成对通信会话的特征提取，自学习式的训练异常检测模型，实现实时的发现与检测工业控制系统中的异常通信行为，保护工业控制系统中关键基础设施的安全。

本发明为实现上述目的所采用的技术方案是：一种面向未知工业通信协议规约的异常行为检测方法，包括以下阶段：