[发明专利]面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统

权利要求书

1.一种面向控制网络工业计算机的多层精准主动网络攻击检测方法，其特征在于，包括：

建立控制网络工业计算机面临的主动网络攻击特征库，将攻击特征对应于TCP/IP协议栈每层数据，生成面向控制网络工业计算机的多层主动网络攻击检测数据模型；

采集、解析控制网络工业计算机通信数据包，获取训练样本；

根据控制网络工业计算机所处受控环境进行训练样本标记，受控环境分为正常业务环境和攻击环境；

采用样本均衡算法对标记类型数量过少的样本做欠采样均衡处理；

利用机器学习算法对欠采样均衡处理后的样本数据进行自主学习，生成工业计算机的控制网络多层安全数据精准异常检测模型；

将工业计算机的控制网络多层安全数据精准异常检测模型应用到控制网络工业计算机中，实时检测针对控制网络工业计算机的主动网络攻击。

2.根据权利要求1所述的一种面向控制网络工业计算机的多层精准主动网络攻击检测方法，其特征在于，所述主动网络攻击特征分为探测扫描攻击和实际攻击两类，其中实际攻击包括拒绝服务类和伪造类，

通过查看是否存在异常IP地址发送探测数据包并结合数据包的发送时间来判断是否属于探测扫描攻击；

通过查看是否存在异常IP发送大量SYN请求数据包来判断是否存在拒绝服务类攻击；

通过对IP地址、MAC地址以及应用层工业控制协议中的设备号的异常数据的训练识别伪造类攻击。

3.根据权利要求1所述的一种面向控制网络工业计算机的多层精准主动网络攻击检测方法，其特征在于，所述多层主动网络攻击检测数据模型通过将攻击行为与多层次安全数据相匹配，实现根据数据特征定位到攻击行为，所述多层安全数据包括工业控制计算机控制网络通信数据包发送时间、规定周期内数据包的数量以及数据包内容。

4.根据权利要求1所述的一种面向控制网络工业计算机的多层精准主动网络攻击检测方法，其特征在于，所述控制网络工业计算机通信数据包通过在工业计算机控制网络镜像端口设置数据采集模块，并编写过滤条件进行采集。

5.根据权利要求1所述的一种面向控制网络工业计算机的多层精准主动网络攻击检测方法，其特征在于，所述控制网络工业计算机通信数据包通过提取出通信数据包各层次对应头部信息字段，并记录数据包发送时间，统计一定周期内流量大小进行解析。

6.根据权利要求3所述的一种面向控制网络工业计算机的多层精准主动网络攻击检测方法，其特征在于，所述样本标记通过在多层次安全数据中定义的基线判断出异常样本与正常样本。

7.根据权利要求6所述的一种面向控制网络工业计算机的多层精准主动网络攻击检测方法，其特征在于，所述样本均衡算法为合成少数类过采样技术，将异常样本合成新样本添加至训练集，均衡异常样本与正常样本。

8.一种面向控制网络工业计算机的多层精准主动网络攻击检测系统，其特征在于，包括：数据采集模块，用于在控制网络交换机的镜像端口采集数据包，筛选出以工业计算机为源地址或目的地址的数据包；

数据解析模块，接收数据采集模块采集的数据包进行解析，解析内容包括记录数据包发出的时间，特定周期内数据包的数量以及特定协议数据包内部多层次的报头解析；

异常检测模块，接收数据解析模块解析好的数据特征，进行异常检测，得到对应的检测结果。