[发明专利]一种基于自编码的通用工业协议异常检测模块及方法

说明书

本发明公开了一种基于自编码的通用工业协议异常检测模块及方法，包括解析模块、预处理模块和编码器特征重构模块；所述解析模块用于解析工控事件的数据包头并截取数据包的payload信息，获取单个事件表征；所述预处理模块用于借鉴自然语言预处理方式对payload信息进行编码及词嵌入；所述编码器特征重构模块用于对预处理后的payload信息进行编码及重构，利用重构误差及所设阈值，判断是否有工控异常通信行为的存在。本发明给出了一种基于实时滑动时间窗口，并结合上下文事件的流量预处理方式，并借助自编码器及其变种有效提取时间、空间及特征的相关性。

技术领域

本发明涉及工业控制系统技术领域，具体涉及一种基于自编码的通用工业协议异常检测模块及方法。

背景技术

现有的工业控制系统（ICS）中的工业协议异常通信行为的检测基本都依赖于各种工控协议的深度解析特征。而工控网络协议众多，包含工控标准协议如Modbus、DNP3IEC104，私有协议如FINS，私有不公开协议S7、PPI、 GE SRTP等，这给安全产品的检测带来了更高的成本。

发明内容

针对现有技术中的上述不足，本发明提供的一种基于自编码的通用工业协议异常检测模块及方法解决了工控网络协议众多导致安全产品检测成本较高的问题。

为了达到上述发明目的，本发明采用的技术方案为：一种基于自编码的通用工业协议异常检测模块，包括解析模块、预处理模块和编码器特征重构模块；

所述解析模块用于解析工控事件的数据包头并截取数据包的payload信息，获取单个事件表征；

所述预处理模块用于借鉴自然语言预处理方式对payload（载荷）信息进行编码及词嵌入；

所述编码器特征重构模块用于对预处理后的payload信息进行编码及重构，利用重构误差及所设阈值，判断是否有工控异常通信行为的存在。

进一步地：所述预处理模块包括数据订阅子模块、字符编码子模块和Embedding（词嵌入）子模块；

所述数据订阅子模块用于提取滑动窗口流量数据，并在每个时间窗口内把将下位机/从机作为源地址的流量进行聚合，获取当前事件的上下文信息；

所述字符编码子模块用于将payload信息中的十六进制码依次编码为[1,256]的数字，并进行序列截断及填充；

所述Embedding子模块用于对标准长度的编码序列进行嵌入，得到预处理后的payload信息。

进一步地：所述单个事件表征形式包括时间戳，五元组信息和payload信息。

进一步地：一种基于自编码的通用工业协议异常检测方法，包括以下步骤：

S1、通过解析模块解析工控事件的数据包头并截取包的payload信息，获取单个事件的表征，表征形式包括时间戳、五元组信息和payload信息；

S2、通过数据订阅子模块提取滑动窗口流量数据，并在每个时间窗口内把将下位机/从机作为原地址的流量进行聚合，获取当前事件的上下文信息；

S3、通过字符编码子模块将payload信息中的十六进制码依次编码为[1,256]的数字，并进行序列截断及填充；

S4、通过Embedding子模块对标准长度的编码序列进行嵌入，输出预处理后的payload信息；

S5、将预处理后的payload信息的正常样本通过编码模块获取重构误差序列；

S6、将重构误差与判断阈值进行比较，若重构误差大于判断阈值，则将当前事件判断为异常事件。