[发明专利]一种面向工业互联网边界防护的对抗式入侵检测方法

说明书

本发明提出了一种面向工业互联网边界防护的对抗式入侵检测方法，主要步骤包括：对通过工业互联网边界设备的网络流量进行特征选择；对选取的网络特征评估并量化其被攻击者篡改的难易程度，并将这一难易程度定义为网络特征的风险值；训练入侵检测分类器时采用支持向量机，计算样本在网络特征空间的距离中融合特征风险，使特征风险值与该特征分量对距离计算的贡献成反比，从而使训练出的入侵检测分界面在高风险的网络特征分量上更加远离入侵样本。该方法借鉴攻防博弈的设计思路，在工业互联网边界防护中考虑入侵检测方法被攻击者规避的风险，从而在训练入侵检测分类器时提前对抗攻击向量中网络特征潜在的篡改行为，形成对抗式入侵检测方法。

技术领域

本发明涉及一种面向工业互联网边界防护的入侵检测方法，适用于工业互联网边界防护 场景下针对试图躲避入侵检测系统的攻击流量进行对抗式检测。

技术背景

工业互联网边界防护一般包括对外来入侵网络流量的识别、检测、响应、对抗和取证等 多个环节。而这其中入侵检测是尤其重要的一环，可以在工业互联网的边界对网络流量进行 检测和审查，通过流量异常和网络特征定位潜在的攻击数据，从而可以在攻击流量进入工业 设施内部产生实质性破坏前对其进行甄别与过滤，为后续的安全响应和安全恢复机制提供基 础的信息和决策支撑。

当前，工业企业将其控制系统接入工业互联网过程中，在工业互联网边界设备上布置入 侵检测系统已成为一项默认的防护措施，为工业互联网的持续稳定运行提供最基本的安全保 障。现有的入侵检测技术一般分为基于攻击特征的检测方法和基于网络异常的检测方法两种。 其中第一种为基于攻击特征，由于直接以攻击样本固有的网络特征为线索进行检测，能达到 较高的检测率并同时保证较低的误报率，但是只能对已知样本的攻击进行检测，无法检测零 日攻击的情况。与此不同，基于网络异常的检测方法由于训练检测器时无需攻击样本，仅基 于正常网络流量训练即可，可以有效应对零日攻击，但会产生较高的误报率。在工业互联网 入侵检测的应用中，特别是部署在工业互联网边界设备上的入侵检测系统，由于动态汇集大 量工业互联网流量从而导致网络流量结构复杂且易变，对正常网络流量建模困难，同时零日 攻击频繁，零日攻击的特征无法提前获取，很多时候需要将这两种入侵检测方法有机结合起 来使用，以达到理想的效果。

然而，从攻击者的角度来说，在发起攻击时就已经知道工业互联网边界设备上存在入侵 防御系统，因此往往会采取一定的规避手段以隐藏攻击流量，躲避检测。具体来说，攻击者 在发动攻击时可以提前站在防御方的角度考虑其通过攻击流量中的网络特征和异常检出攻击 的可能性，入侵检测系统的检测算法和用于检测的网络特征一般是公开的，从而有针对性的 对攻击流量的网络特征表达进行调整，通常以牺牲攻击效果为代价，以隐藏攻击流量的网络 特征和异常，从而达到躲避检测渗透工业互联网边界防护的目标。现有的入侵检测技术在设 计时鲜有考虑攻击者的规避行为，从而使攻击者可以以最小的攻击效果损失来突破入侵检测 系统的防护。

发明内容

本发明的目的在于，从工业互联网边界安全攻防对抗的角度出发，提出一种面向工业互 联网边界防护的入侵检测方法，在入侵检测模型的训练阶段充分考虑攻击者规避检测的可能 性，并将这一可能性通过训练样本特征空间中各维度特征值被篡改的难易程度进行表达，形 成样本特征的风险值。计算样本在网络特征空间的距离时融合特征风险，使特征风险值与该 特征分量对距离计算的贡献成反比，从而使训练出的入侵检测分界面在高风险的网络特征分 量上更加远离入侵样本，避免攻击者低成本的篡改网络特征以躲避检测。与现有对抗式检测 方法不同，本发明将攻击者可能的规避行为通过网络特征的风险值进行显示表达，从而可以 在与特征值进行融合的基础上直接训练对抗式入侵检测模型。

为了实现上述发明目的，本发明通过以下具体技术方案进行实现：

一种面向工业互联网边界防护的对抗式入侵检测方法；操作步骤如下：

步骤1)对通过工业互联网边界设备的网络流量进行特征选择；