[发明专利]一种面向未知工业通信协议规约的异常行为检测方法

摘要

本发明公开了一种面向未知工业通信协议规约的异常行为检测方法，分为在线自学习阶段和实时检测阶段，其中在线自学习阶段主要完成对网络原始通信数据的分析与特征提取，形成事件序列，将事件序列作为隐马尔可夫模型的输入对模型进行训练，通过迭代最终获得优化的隐马尔可夫模型和行为概率门限；实时检测阶段利用优化的隐马尔可夫模型对实时处理的事件序列进行行为概率计算，通过与行为概率门限对比，完成对工业通信行为的异常检测。本发明能够对使用未知工业通信协议规约的工业通信数据流进行合法性检测，实时发现异常工业通信行为并产生报警，保障工业控制系统的网络通信安全性。

主权项

1.一种面向未知工业通信协议规约的异常行为检测方法，其特征在于，包括以下阶段：阶段一，在线自学习阶段：首先捕获工业控制网络中通信数据包，然后进行数据预处理生成事件序列，并通过参数寻优得到优化的初始参数，最后利用事件序列和优化的初始参数训练基于事件的隐马尔可夫模型，同时确定行为概率门限；阶段二，实时检测阶段：首先实时捕获工业控制网络中通信数据包，进行数据预处理生成代表某一会话的事件序列，然后将事件序列输入至所述隐马尔可夫模型，利用Forward算法，计算此事件序列的行为概率，最后将计算结果与行为概率门限进行比较，实现工业通信行为的异常检测；所述数据预处理包括以下过程：会话重组，首先需要通过四元组信息<源IP、目的IP、源端口、目的端口>形成会话标识，用于确定一个会话，然后根据会话标识将属于同一会话的数据包进行重新组合；所述会话重组中，一个会话结束的判断准则如下：如果在设定时间间隔内没有出现具有相同会话标识的数据通信，则认为此会话已结束，此后如果出现相同会话标识的数据通信，则开启一个新的会话；数据载荷合并，提取重新组合的数据包中应用层的数据载荷信息，按所述重新组合的数据包到达时间先后顺序合并属于同一会话中的数据载荷内容，构成会话消息；特征提取，采用N‑gram模型，将会话消息中字节序列映射到一个有限的特征空间；聚类分析，采用K‑means算法对提取的特征进行聚类，将整个特征空间划分成多个簇，每一个簇称为一类事件；所述基于事件的隐马尔可夫模型训练过程如下：步骤一：利用遗传算法优化参数建立初始模型；步骤二：依据初始模型和输入的事件序列，采用Baum‑Welch算法训练新的隐马尔可夫模型；步骤三：利用Forward算法分别计算此事件序列在新的隐马尔可夫模型和前一次隐马尔可夫模型的行为概率；步骤四：若连续m次出现两次行为概率的差值小于预设的阈值，则结束训练，其中m为规定的比较次数；反之，转到步骤二。