[发明专利]一种基于工业控制网络变种攻击的入侵检测规则创建方法

摘要

本发明公开一种基于工业控制网络变种攻击的入侵检测规则创建方法，通过分析ModbusTCP工控协议的脆弱性，设计总结了针对ModbusTCP异常流量的现有规则库，并结合目前工控网络常见的攻击变种方式，对遗传算法加以改进，来自动创建入侵检测规则，创建的规则根据其适应值来存储，能够有效的检测到变种攻击，扩充规则库，具有检测准确率高，实时性强的特点。

主权项

一种基于工业控制网络变种攻击的入侵检测规则创建方法，其特征在于，包括以下步骤：数据采集步骤：通过数据采集模块利用WinPcap从工控网络中捕获网络数据包，通过判断网络数据所属协议，依据ModbusTCP协议的502端口，将数据包分别保存于缓存队列中；数据解析步骤：通过数据解析模块从缓存队列中获取数据包，通过深度数据包解析技术解析ModubsTCP协议的应用层的数据字段；规则训练步骤：通过规则训练模块依据学习配置文件输入的规则样本，判断样本类型是单规则还是双规则，并依据该样本创建好相应的数据包，以便后续计算；若样本为单规则，则依据规则管理模块提供的特征字典进行选择，生成的初始种群为单规则形式；若为双规则，则生成的初始种群两种皆可，之后进行交叉、变异，产生子代，再根据选择的初始样本创建的相应数据包；根据适应函数模块计算各自的适应值，依据适应值大小进行锦标赛选择，生成新的一代，并根据输入的训练次数进行迭代循环，直到结束；最后选取其中的前三大适应值高的规则为训练结果；规则文件中保存选择的原始规则样本和训练后的三个新规则；规则检测步骤：通过规则检测模块将生成规则文件加载到系统中，获取所要检测的规则，并判断所选规则的形式；若选择的是单规则，则将数据解析模块解析的数据信息与每一个规则特征进行匹配，若与规则的每个特征完全匹配，则产生报警信息，否则丢弃该包，检测下一个数据包信息；若选取的是双规则，则判断响应包是否存在对应的请求包或请求包存在对应的响应包，若存在，则将请求响应包与双规则进行匹配，若完全匹配，则存在异常，产生报警信息，否则丢弃，匹配下一个；若选择的规则包含单规则和双规则，则先找到响应包对应的请求信息，若存在，则分别将两个数据包与每个单规则进行特征匹配，若其中一个完全匹配，则报警，否则，继续与双规则进行匹配，匹配则产生报警信息。