[发明专利]HJ212协议下基于OCSVM模型的通讯行为异常并行检测方法与系统

说明书

本发明公开了HJ212协议下基于OCSVM模型的通讯行为异常并行检测方法和系统，具体包括：(1)从工业控制网络获取包括多个HJ212协议通讯数据包的连接，对每个HJ212协议通讯数据包进行解析，以获取其对应的命令编码，按照该连接所包括的所有HJ212协议通讯数据包传输的时间先后顺序，将该所有HJ212协议通讯数据包所对应的多个命令编码进行排序，从而构成该连接对应的命令编码序列；(2)将该连接对应的命令编码序列输入训练好的HJ212协议异常检测模型中，以得到该连接的检测结果。本发明能解决现有方法中无法对HJ212协议下的通讯行为异常进行检测和检测率较低的技术问题。

技术领域

本发明属于工业控制网络信息安全领域，更具体地，涉及HJ212协议下基于OCSVM模型的通讯行为异常并行检测方法与系统。

背景技术

HJ212协议是一种适用于污染物在线监控(监测)系统和污染物排放过程(工况)自动监控系统的通讯规约，监控系统将远端监控仪器采集的污染物监测数据按照HJ 212协议发送至监控中心，通讯数据大、实时性好。

由于HJ 212协议的报文结构和数据格式是公开的，在没有足够的保护措施下，监控系统传输的数据很容易受到网络攻击，导致监控系统的安全受到威胁。随着信息技术的发展，互联网技术逐渐应用于污染物监控系统等工业控制网络中，缺乏保护措施的HJ 212协议通讯数据面临着巨大风险，而工业控制网络遭受网络攻击的防范措施主要是对通用的互联网协议的异常通讯行为进行解析和识别，并根据预设的规则和特征值进行匹配，从而实现简单的安全过滤。

然而，上述通讯行为异常检测方法存在一些不可忽略的技术问题：首先，现有技术主要依赖于特征匹配和专家经验来识别危险网络行为，却无法对工业控制网络中HJ 212协议下的通讯行为异常进行检测；其次，现有技术没有考虑同一连接中多个HJ 212协议数据包之间的关联性，因此其对通讯行为异常的检测率较低。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了HJ212协议下基于OCSVM模型的通讯行为异常并行检测方法与系统，其目的在于解决现有方法中无法对HJ212协议下的通讯行为异常进行检测和检测率较低的技术问题。

为实现上述目的，按照本发明的一个方面，提供了HJ212协议下基于OCSVM模型的通讯行为异常并行检测方法，具体包括如下步骤：

(1)从工业控制网络获取包括多个HJ212协议通讯数据包的连接，对每个HJ212协议通讯数据包进行解析，以获取其对应的命令编码，按照该连接所包括的所有HJ212协议通讯数据包传输的时间先后顺序，将该所有HJ212协议通讯数据包所对应的多个命令编码进行排序，从而构成该连接对应的命令编码序列；

(2)将步骤(1)得到的该连接对应的命令编码序列输入训练好的HJ212协议异常检测模型中，以得到该连接的检测结果。

优选地，HJ212协议通讯数据包包括包头、数据段长度、数据段、循环冗余校验和包尾，其中命令编码是位于数据段字段中；使用深度数据包检测方法对HJ212协议通讯数据包进行解析；

优选地，步骤(2)中的检测结果是该连接对应的通讯行为正常或异常；将连接对应的命令编码序列同时输入HJ212协议异常检测模型中的正轮廓和负轮廓线程中，正轮廓和负轮廓线程并行地对命令编码序列进行检测，任意一个线程的检测结果为异常时，则该连接对应的通讯行为异常；两个线程的检测结果为正常时，则该连接对应的通讯行为正常。

优选地，HJ212协议异常检测模型是通过以下过程训练得到的：