[发明专利]一种工控网络异常会话检测方法，装置，电子设备以及存储介质

说明书

本发明公开了一种工控网络异常会话检测方法，装置，电子设备以及存储介质。上述方法包括：构造基检测器集合；对通过所述基检测器集合的会话进行检测，得到检测结果向量R；根据所述检测结果向量R，更新疑似源主机列表；对所述检测结果向量执行集成策略，得到检测结果R₀，其中R₀∈[0,1]；根据所述检测结果R₀和所述疑似源主机列表，判断所述会话是否为异常会话。本发明基于模型集成策略，结合序贯检验方法更新疑似源主机列表，识别网络异常行为，在保证漏报率的基础上，进一步降低了虚警率。

技术领域

本申请涉及工业控制领域，尤其涉及一种工控网络异常会话检测方法，装置，电子设备以及计算机可读存储介质。

背景技术

近年来工业控制系统（ICS）遭受网络异常攻击的情况日益频繁。由于工控系统对可用性要求较高，为了避免没有及时检测出异常而影响工控系统组件及设备的灵敏性和可靠性，造成严重的安全问题，迫切需要满足可检测微小工控网络异常、实时性强和准确度高的检测方法。

与传统网络明显不同的是，工业应用的网络环境下存在数据量小、周期性明显、突发性强的特点，因此无法简单移植传统网络的异常流量检测方案。传统的网络入侵检测系统（IDS）主要依赖于静态的签名和规则，规则库对于已知攻击的检测准确性高，但受限于专家知识，涉及工控场景的规则库可能不完善，不能满足工业控制网络对实时性较高、漏检率低且对未知攻击检测能力强的要求等。

近年发展比较成熟的完全依赖于监督学习的入侵检测技术，虽然更能在海量数据中找到最接近本质的特征表达，因而有更强的泛化能力，但同时仍然存在如下缺点，例如：已经被模型充分学习过的异常可能被漏报；标记工作量大；不完善性，场景问题在可以用的安全数据中的信息含量少，因此模型对于未知攻击的检测能力有限；样本会被误标记等。这些缺点会严重的削弱模型的异常检测能力。

发明内容

为解决上述技术问题，本发明的一个方面在于，提供一种工控网络异常会话检测方法，在工控行业网络实时异常检测背景下，对工控网络中未知、稀少异常具有高敏感能力，且能降低对正常流量的虚警率的异常检测。包括以下步骤：

对通过基检测器集合的会话进行检测，得到检测结果向量R；

根据所述检测结果向量R，更新疑似源主机列表；

对所述检测结果向量执行集成策略，得到检测结果R₀，其中R₀∈[0,1]；

根据所述检测结果R₀和所述疑似源主机列表，判断所述会话是否为异常会话。

可选的，所述对通过基检测器集合的会话进行检测，得到检测结果向量R的步骤之前还包括步骤：

根据模型评价指标体系，从待选基检测器中选择多个异构的基检测器，构造所述基检测器集合。

可选的，所述基检测器集合中包括基于以下检测模型的多种基检测器：基于线性模型的One-Class-SVM，基于聚类的模型，基于树的模型，基于时间序列的模型。

可选的，所述模型评价指标体系包括以下基于参照模型的评价指标中的至少一种：

参照的召回率FPR1，定义为所述参照模型未召回的正样本被所述待选基检测器召回的比例；

参照的虚警率TPR1，定义为所述参照模型未误报的负样本中被所述待选基检测器误报的比例；

参照的曲线下面积AUC1，定义为坐标点 (FPR1,TPR1) 的ROC曲线下面积；

其中，所述正样本为异常会话样本，所述负样本为正常会话样本，所述参照模型为预先选定的标准模型。