[发明专利]一种自动挖掘工控流量周期性特征的方法

说明书

本发明涉及工业控制系统网络流量分析技术领域，旨在提供一种自动挖掘工控流量周期性特征的方法。该方法立足于对工业控制流量的深度认识，即由于工业流程固定，工控以太网络数据包具有呈周期性出现的规律，且这种周期规律体现在数据包某些字段的周期性出现上。该方法的步骤包括：1）工控流量信道分离并按数据包长度对工控网络数据包进行分类，将长度相等的数据包分类在一起；2）通过Apriori算法挖掘支持度为1的字段频繁项，并利用数据包长度区间筛选出可变字段；3）通过周期验证算法判别可变字段是否是符合步进规律和时间规律的周期性变化字段；4）语义化表示挖掘出的符合步进规律和时间规律的周期性特征。

技术领域

本发明涉及工控网络流量分析技术，特别涉及一种基于工控网络流量特点的自动化挖掘工控流量周期性特征的方法。

背景技术

随着近些年对工业控制系统的不断升级改造，工控系统已经从串口通信逐渐升级改造到以太网通信，使得对工控流量的分析变得更加容易。工业控制系统因其自身的特点，其产生的网络流量与互联网上产生的流量有很大的不同，主要体现在以下两点：1）工控流量中用到的网络协议少，数据包种类少，而互联网中网络协议繁多，数据包种类更是数不胜数；2）工控流量符合工业生产流程的步骤，具有可预测性，而互联网中的流量繁杂，不可预测。造成这种区别的原因主要是因为工控流量主要由工业控制程序产生，由固定的编程逻辑控制；互联网流量主要由人产生，一般不具有严格的规律性。基于此，使得探索工控网络流量的特点是可行的。

由于自动工业产生流程的重复性高，并且由程序逻辑控制，反映到工控流量上，即表现出工控流量呈周期性出现的规律，工控流量具有可预测性。只要挖掘出工控流量的周期性特征，即可建立规则，用于发现针对工控系统的异常行为。目前，工控流量的特征主要由人工提取，且需在对工控协议进行理解的基础上才能完成。尚未有方法能够在未知工控协议字段的条件下，自动提取出工控流量中呈现周期性规律的特征。因此，本方法就是针对目前行业中存在的技术空白，提出的一种方法，用以自动地从工控流量中提取周期性特征，为建立工控异常检测规则打下基础。

发明内容

“一种自动挖掘工控流量周期性特征的方法”是在对工控流量进行分析的过程中，针对目前的技术还没有自动提取工控流量周期性特征的方法所提出的发明。本发明的目标是填补自动挖掘工控流量周期性特征的技术空白，提出的一个结合Apriori频繁项挖掘算法和周期性验证算法，从符合步进规律和时间规律两个维度来挖掘工控流量周期性特征的方法。由于工业生产流程重复性高，工控流量主要由控制程序产生，使得工控流量也呈现出周期性出现的规律。在数据包层面，则表现出数据包中某些字段呈周期性出现的规律。因此，在充分把握工控流量特点的基础上，自动挖掘工控流量的周期性特征是可行的。

为实现上述目标，本发明提出了一种自动挖掘工控流量周期性特征的方法，该方法通过结合Apriori频繁项挖掘算法和周期性验证算法，从符合步进规律和时间规律两个维度自动挖掘工控流量周期性特征。该方法的设计步骤包含：1）工控流量信道分离并按数据包长度对工控网络数据包进行分类，将长度相等的数据包分类在一起；2）通过Apriori算法挖掘支持度为1的字段频繁项，并利用数据包长度区间筛选出可变字段；3）通过周期验证算法判别可变字段是否是符合步进规律和时间规律的周期性变化字段；4）语义化表示挖掘出的符合步进规律和时间规律的周期性特征。

附图说明

从下面结合附图的详细描述中，将会更清楚的理解本发明的目标、实现方法、优点和特性，其中。

图1是一个展示本发明的特征挖掘方法的总体流程图。

图2是一个说明本发明的特征挖掘方法的数据包预处理层流程图。

图3是一个说明本发明的特征挖掘方法的可变字段挖掘流程图。

图4是一个说明本发明的特征挖掘方法的数据包应用层字段构成图。

图5是一个说明本发明的特征挖掘方法的周期性可变字段验证流程图。