[发明专利]一种用于工控蜜罐的恶意行为识别方法

说明书

本发明属于网络安全技术领域，公开了一种用于工控蜜罐的恶意行为识别方法。本发明首先利用搭建的高交互工控蜜罐捕获攻击者流量，随后对网络流量进行分割操作，生成网络会话流，然后将所生成的网络会话流输入至一维卷积神经网络和GRU网络中，并引入注意力机制为各字节分配不同的权重，对其恶意行为进行识别，最后通过计算神经网络所输出的概率与各类别坐标之间的欧式距离来分离出未知类型的恶意行为。提高了分类的准确率，实现了对工控蜜罐所捕获恶意行为的精准识别和对未知行为的分离，使安全管理人员能够更加直观的了解到攻击者的攻击手段及其真正意图。

技术领域

本发明属于网络安全技术领域，具体涉及一种用于工控蜜罐的恶意行为识别方法。

背景技术

随着信息化和工业化的逐步融合，工业控制系统的信息化程度越来越高，通用软硬件和网络设施的广泛使用，打破了传统工业控制系统与信息网络的“隔离”，在不断促进工业控制网络的发展和壮大的同时，也带来了极大的安全威胁。

由于工控现场对网络的实时性、可靠性、连续性具有极高的要求，导致一些传统的被动式网络安全产品，如工业防火墙、入侵检测系统等无法大规模应用于工业控制网络中。而蜜罐作为一种低侵入式的主动防御技术其能够在不影响当前业务可靠性及网络结构的前提下，对工控网络进行有效保护，这使得蜜罐技术在工业控制网络网络安全检测中具有广泛的应用前景。但目前应用于工控网络的蜜罐对于所捕获数据的分析大多集中在攻击者溯源追踪、APT攻击识别、恶意软件、恶意代码检测等传统IT网络攻击领域。然而，随着恶意攻击者水平的不断提高，越来越多的攻击者采用工业控制网络中专有的工业协议对系统发起攻击，而现有蜜罐系统由于缺乏对此类攻击的有效的检测手段导致无法对其进行有效识别，使得安全管理人员无法获取到攻击者的真正攻击意图，从而使蜜罐无法发挥出其最大价值。

发明内容

本发明针对现有工控蜜罐无法对工业协议恶意行为进行有效识别的问题，提出了一种用于工控蜜罐的恶意行为识别方法。现有工控蜜罐在恶意行为识别方面大多采用基于规则及机器学习的检测方法，需要对蜜罐进行大量的配置操作和对所捕获数据进行复杂的特征提取工作，而本发明通过采用深度学习方法，能够在不对数据进行特征提取的前提下对所捕获的恶意流量进行准确识别，并且本发明还能够分离出未知类型的恶意流量，以方便对其进行后续研究。

本发明首先利用搭建的高交互工控蜜罐捕获攻击者流量，随后对网络流量进行分割操作，生成网络会话流，然后将所生成的网络会话流输入至一维卷积神经网络和GRU网络中对其恶意行为进行识别，最后通过计算神经网络所输出的概率与各类别坐标之间的欧式距离来分离出未知类型的恶意行为。完成对已知恶意行为的准确分类和未知恶意行为的分离，帮助安全管理人员了解攻击者的真正意图。

本发明的实现方案如下：

一种用于工控蜜罐的恶意行为识别方法的整体结构如图1所示，主要包括以下步骤：

步骤1，数据预处理；

(1)通过所搭建的工控蜜罐捕获使用工控协议的各类恶意网络流量，并对网络数据流分割为数据流单元，每一数据流单元为单位时间内具有相同五元组的数据包；所述数据包中包含源地址、目的地址、源端口、目的端口、协议；

(2)将数据流单元中的应用层协议数据部分提取出来，并设置最大数据流长度为512，若数据流长度超过512则丢弃超过部分的数据包，若数据流长度不足则填0补全该数据流单元；

步骤2，训练阶段；

将步骤1所捕获的网络流量预处理完成后建立网络流字典，数值为0-255，其中0代表0x00，255代表0xff；随后将样本数据输入神经网络中进行训练；