[发明专利]一种基于工业控制网络变种攻击的入侵检测规则创建方法有效

专利信息
申请号: 201710481026.6 申请日: 2017-06-22
公开(公告)号: CN107222491B 公开(公告)日: 2021-01-05
发明(设计)人: 赖英旭;蔡晓田;杨凯翔;张聪;张靖雯;刘静;庄俊玺 申请(专利权)人: 北京工业大学
主分类号: H04L29/06 分类号: H04L29/06;H04L12/24
代理公司: 北京思海天达知识产权代理有限公司 11203 代理人: 张慧
地址: 100124 *** 国省代码: 北京;11
权利要求书: 查看更多 说明书: 查看更多
摘要: 发明公开一种基于工业控制网络变种攻击的入侵检测规则创建方法,通过分析ModbusTCP工控协议的脆弱性,设计总结了针对ModbusTCP异常流量的现有规则库,并结合目前工控网络常见的攻击变种方式,对遗传算法加以改进,来自动创建入侵检测规则,创建的规则根据其适应值来存储,能够有效的检测到变种攻击,扩充规则库,具有检测准确率高,实时性强的特点。
搜索关键词: 一种 基于 工业 控制 网络 变种 攻击 入侵 检测 规则 创建 方法
【主权项】:
一种基于工业控制网络变种攻击的入侵检测规则创建方法,其特征在于,包括以下步骤:数据采集步骤:通过数据采集模块利用WinPcap从工控网络中捕获网络数据包,通过判断网络数据所属协议,依据ModbusTCP协议的502端口,将数据包分别保存于缓存队列中;数据解析步骤:通过数据解析模块从缓存队列中获取数据包,通过深度数据包解析技术解析ModubsTCP协议的应用层的数据字段;规则训练步骤:通过规则训练模块依据学习配置文件输入的规则样本,判断样本类型是单规则还是双规则,并依据该样本创建好相应的数据包,以便后续计算;若样本为单规则,则依据规则管理模块提供的特征字典进行选择,生成的初始种群为单规则形式;若为双规则,则生成的初始种群两种皆可,之后进行交叉、变异,产生子代,再根据选择的初始样本创建的相应数据包;根据适应函数模块计算各自的适应值,依据适应值大小进行锦标赛选择,生成新的一代,并根据输入的训练次数进行迭代循环,直到结束;最后选取其中的前三大适应值高的规则为训练结果;规则文件中保存选择的原始规则样本和训练后的三个新规则;规则检测步骤:通过规则检测模块将生成规则文件加载到系统中,获取所要检测的规则,并判断所选规则的形式;若选择的是单规则,则将数据解析模块解析的数据信息与每一个规则特征进行匹配,若与规则的每个特征完全匹配,则产生报警信息,否则丢弃该包,检测下一个数据包信息;若选取的是双规则,则判断响应包是否存在对应的请求包或请求包存在对应的响应包,若存在,则将请求响应包与双规则进行匹配,若完全匹配,则存在异常,产生报警信息,否则丢弃,匹配下一个;若选择的规则包含单规则和双规则,则先找到响应包对应的请求信息,若存在,则分别将两个数据包与每个单规则进行特征匹配,若其中一个完全匹配,则报警,否则,继续与双规则进行匹配,匹配则产生报警信息。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。

该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京工业大学,未经北京工业大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服

本文链接:http://www.vipzhuanli.com/patent/201710481026.6/,转载请声明来源钻瓜专利网。

×

专利文献下载

说明:

1、专利原文基于中国国家知识产权局专利说明书;

2、支持发明专利 、实用新型专利、外观设计专利(升级中);

3、专利数据每周两次同步更新,支持Adobe PDF格式;

4、内容包括专利技术的结构示意图流程工艺图技术构造图

5、已全新升级为极速版,下载速度显著提升!欢迎使用!

请您登陆后,进行下载,点击【登陆】 【注册】

关于我们 寻求报道 投稿须知 广告合作 版权声明 网站地图 友情链接 企业标识 联系我们

钻瓜专利网在线咨询

周一至周五 9:00-18:00

咨询在线客服咨询在线客服
tel code back_top