[发明专利]一种入侵检测系统安全规则的自动生成方法

说明书

本发明涉及工业控制系统信息安全领域，具体涉及一种入侵检测系统安全规则的自动生成方法，包括如下步骤：(1)检测点的部署；(2)网络数据的抓取与保存；(3)正常数据样本以及变异数据样本的构造；(4)正常数据样本的特征点的提取；(5)安全规则的生成。本发明能自动化地提取工业控制网络的安全规则，解决目前严重依赖专家知识制定安全规则的问题，可有效弥补现有工业入侵检测方法的短板，降低工业入侵检测系统的漏报率，提高检测的准确性、高效性和通用性，可以实现不同生产领域的入侵检测。

技术领域

本发明涉及工业控制系统信息安全领域，具体涉及一种入侵检测系统安全规则的自动生成方法。

背景技术

随着工业4.0时代的到来以及中国制造2025的提出，原本相对封闭的工业控制网络逐渐暴露在互联网中。无论是2017年发生的勒索病毒事件还是近几年发生的黑暗能量、震网病毒等事件都对工业控制系统造成了巨大影响，对工业控制系统进行必要的安全防护显得尤为迫切。

目前，一些关系到国家利益的重要基础设施和企业如电力、石化、城市供水、烟草以及市政等行业已经在其生产和控制网络采取部分安全措施。例如，在生产大区和办公网络区之间布置硬件隔离装置，阻断不同分区之间网络流量的传输。但是这种方式一方面不能阻断摆渡攻击以及PLC蠕虫等攻击方式，另一方面，过于封闭的控制网络给日常生产和智能制造的发展也带来了一定的阻碍。再如，在控制网络的关键节点上部署工业防火墙或者在工控主机上安装病毒查杀软件，这也在一定程度对工业控制网络进行了防护，但是防护效果也及其有限。首先，多数工业防火墙和病毒查杀软件都是由应用在传统IT网络的产品发展而来，虽然它们对主流工业协议进行了兼容性的升级，但是，不一定能兼容某些私有协议。而且，不同领域工业系统的网络拓扑结构和现场设备都不同，限制了这些产品的使用效果。其次，由于攻击手段的千变万化以及产品自身的更新换代，需要对安全产品进行频繁升级和更新。但是，更新过程中带来的短暂停产以及严格的管理制度都会使得安全产品在事实上处于长期未更新状态，达不到应有的防护效果。综上，工业控制系统需要一款既能达到良好防护水平，又在运行维护需求方面不大的安全产品。

工业入侵检测系统可以实时监控工业系统的控制网络，对可疑行为发出警报、阻断和记录等。现有工业入侵检测系统的安全规则生成方式主要依赖专家知识和各漏洞共享平台公布的设备、系统等漏洞特征，前者对实施者的先验知识和技术水平要求很高，后者不能发现新型攻击和变种攻击方式，降低了入侵检测系统的防护水平。所以，工业入侵检测领域急需一种能通过学习网络数据包特点，自动生成安全规则的方法。

发明内容

本发明的目的是提供一种可弥补现有工业入侵检测方法的短板，降低工业入侵检测系统的漏报率，提高检测的准确性、高效性和通用性，可以实现不同生产领域的入侵检测的入侵检测系统安全规则的自动生成方法。

上述目的是通过如下技术方案实现：一种入侵检测系统安全规则的自动生成方法，包括如下步骤：

(1)检测点的部署：结合工业控制系统网络拓扑，分析造成所述工业控制系统脆弱性的关键节点，并将所述入侵检测系统的检测点部署于所述的关键节点；

(2)网络数据的抓取与保存：利用步骤(1)中部署的检测点对所述关键节点的网络流量进行抓取并进行保存；

(3)正常数据样本以及变异数据样本的构造：将步骤(2)中保存的数据包进行解析处理，并进行协议分析和数据格式的转换，构造正常数据样本；利用测试工具对预定的通信协议的数据进行变异，构造变异数据样本；

(4)正常数据样本的特征点的提取：利用栈式稀疏自编码器对步骤(3)中的数据样本以及变异数据进行深度学习，提取出正常数据样本的特征点；

(5)安全规则的生成：将步骤(4)中提取的正常数据样本的特征点转换为所述入侵检测系统可以识别的安全规则文件，并将所述的安全规则写入规则库中。