專利名稱:網(wǎng)絡(luò)中的異常檢測的方法
網(wǎng)絡(luò)中的異常檢測的方法
背景技術(shù):
近幾十年來���,眾多計(jì)算機(jī)和局域網(wǎng)絡(luò)聯(lián)網(wǎng)成世界范圍的網(wǎng)絡(luò)(互聯(lián)網(wǎng))��,這明顯提高了商業(yè)���、政府以及私人領(lǐng)域中的大量過程的效率和客戶端友好性。不幸的是����,隨著使用的復(fù)雜性,固有故障和薄弱環(huán)節(jié)的數(shù)量也明顯增長��,這些固有故障和薄弱環(huán)節(jié)使得懷有惡意的第三者能夠出于自身目的濫用該系統(tǒng)���。即使制造者已經(jīng)在軟件研發(fā)中通過適當(dāng)?shù)木幊碳夹g(shù)和質(zhì)量保障過程逐漸試圖減少這些薄弱環(huán)節(jié)��,并且試圖在發(fā)現(xiàn)這些薄弱環(huán)節(jié)后盡可能迅速地將其清除�����,但在每年IT-系統(tǒng)中發(fā)現(xiàn)的薄弱環(huán)節(jié)的數(shù)量仍持續(xù)增長�。同時(shí)�����,基于IT的監(jiān)視系統(tǒng)和控制系統(tǒng)(這種系統(tǒng)的通用的英文名稱為 "Supervisory Control and Data Acquisition (數(shù)據(jù)采集與監(jiān)控系統(tǒng))”或 SCADA�, "Distributed Control System( ^^ M M Mt ) " ^ DCS, "Energy Management System(能源管理系統(tǒng))”或EMS,等)也在例如工業(yè)設(shè)備���、工廠以及發(fā)電廠的多種技術(shù)設(shè)備中�����,在分配電����、水和天然氣時(shí)以及在石油-和天然氣管道中被使用��。該系統(tǒng)與迄今為止傳統(tǒng)的IT系統(tǒng)的區(qū)別在于����,該系統(tǒng)完全隔離地在物理性保護(hù)區(qū)域內(nèi)工作,并且經(jīng)常特別是在IT 環(huán)境中并不使用常用的通信協(xié)議��。最高級(jí)的優(yōu)先權(quán)在此具有高度的可靠性��。直至在毫秒范圍內(nèi)的快速回復(fù)時(shí)間是場設(shè)備彼此通信的先決條件(例如用于在能量傳輸和分配中實(shí)現(xiàn)保護(hù)功能)�。與IT環(huán)境相比�,信息安全是次要的�,因?yàn)檫@些自動(dòng)化網(wǎng)絡(luò)本身已經(jīng)是安全的或并未與不安全的網(wǎng)絡(luò)相連接。為了實(shí)現(xiàn)進(jìn)一步提高效率�,該系統(tǒng)現(xiàn)在也越來越多地與其他網(wǎng)絡(luò)相連接從而形成全面的控制網(wǎng)絡(luò)。因此����,例如,將用于直接控制設(shè)備的系統(tǒng)(“Manufacturing Control System制造控制系統(tǒng)”或MCS)與質(zhì)量監(jiān)督和生產(chǎn)規(guī)劃(“Manufacturing Execution System制造執(zhí)行系統(tǒng)”或MES)相連接����,并且將該系統(tǒng)-或這兩個(gè)系統(tǒng)_再次與用于規(guī)劃企業(yè)資源的系統(tǒng)(“企業(yè)資源規(guī)劃系統(tǒng)”或ERP)相連接,該企業(yè)資源規(guī)劃系統(tǒng)是企業(yè)的辦公軟件應(yīng)用中的一種����。不同場所的技術(shù)設(shè)備通過租用的線路或甚至完全公開的網(wǎng)絡(luò)彼此通信。 建立起了用于遠(yuǎn)程維護(hù)設(shè)備的通道���。來自公開的網(wǎng)絡(luò)(時(shí)間�、天氣預(yù)報(bào)��、供應(yīng)商的原料價(jià)格等)的信息甚至可以匯入技術(shù)設(shè)備的操作中����。經(jīng)過持續(xù)的網(wǎng)絡(luò)化�,現(xiàn)在形成了更易受到攻擊的控制網(wǎng)絡(luò)�,這是因?yàn)楦鱾€(gè)系統(tǒng)的隔離導(dǎo)致固有的保護(hù)逐漸失效。由此��,-正如傳統(tǒng)的IT環(huán)境一樣-越來越需要使設(shè)備部件處于安全技術(shù)的當(dāng)前狀態(tài)中��,并且將其保持在此狀態(tài)中��。但這通常是不可能的���,因?yàn)楫?dāng)相應(yīng)的補(bǔ)丁(英文“Patch”)-假如是完全可用的-需要各個(gè)系統(tǒng)均重新啟動(dòng)一遍時(shí),那么無法在進(jìn)行的操作中運(yùn)行該補(bǔ)丁��。由于在維護(hù)間歇中可能必須執(zhí)行其他工作���,因此維護(hù)間歇為此也經(jīng)常并不充足����。這會(huì)導(dǎo)致很多年都無法排除控制網(wǎng)絡(luò)中公知的安全薄弱環(huán)節(jié)����。查毒軟件的使用也存在問題,這是因?yàn)橛捎诒粧呙璧脑O(shè)備的性能喪失(Performanzeinbuss)并且由于阻擋了 (可能錯(cuò)位地)被識(shí)別為有害的數(shù)據(jù)和程序�,查毒軟件可以嚴(yán)重影響設(shè)備控制��。由此��,為了能夠預(yù)先采取適當(dāng)?shù)膶Σ卟⑶覟榱吮苊饧夹g(shù)設(shè)備失效可能對人�����、材料和環(huán)境帶來嚴(yán)重的后果���,必要的是盡可能精確地監(jiān)視技術(shù)設(shè)備的控制網(wǎng)絡(luò),尤其是監(jiān)視基于網(wǎng)絡(luò)的攻擊�����?�?刂凭W(wǎng)絡(luò)-根據(jù)所涉及的技術(shù)設(shè)備-用于在工業(yè)或建筑自動(dòng)化中進(jìn)行控制和監(jiān)視�����。在工業(yè)自動(dòng)化中�,控制網(wǎng)絡(luò)還控制工廠或發(fā)電廠以及分配電、水或天然氣���,這些控制網(wǎng)絡(luò)也用在石油-和天然氣管道中����。但迄今為止仍然極少對控制網(wǎng)絡(luò)進(jìn)行安全技術(shù)監(jiān)視,人們?nèi)耘f最大程度上信賴對用于生產(chǎn)控制的控制網(wǎng)絡(luò)的(臆想的)隔離以及一些不充分的認(rèn)識(shí)�����,這些認(rèn)識(shí)涉及大多數(shù)來源于傳統(tǒng)IT環(huán)境中的潛在攻擊者的相應(yīng)協(xié)議和設(shè)備����。隨著網(wǎng)絡(luò)連接的增加���、攻擊者經(jīng)驗(yàn)的增加及其動(dòng)機(jī)的增加和商業(yè)化程度提高�,這些方案越來越不成功����。只要攻擊或干擾仍持續(xù)著,便可以通過現(xiàn)有技術(shù)公知的入侵檢測系統(tǒng)(英文表達(dá)為“Intrusion Detection System”或IDS)來發(fā)現(xiàn)控制網(wǎng)絡(luò)的入侵�。分布最廣泛的入侵檢測系統(tǒng)(例如,SNORT)大多數(shù)以簽名為基礎(chǔ)進(jìn)行工作�����。必須費(fèi)用高昂地生成這些簽名�,用于檢測各個(gè)攻擊�。在對已安裝的入侵檢測系統(tǒng)進(jìn)行配置時(shí)��,必須選擇出和攻擊相關(guān)的樣本并且���,例如����,以配置文件的形式使入侵檢測系統(tǒng)知曉���。一旦已知了新的薄弱環(huán)節(jié)或?qū)σ呀?jīng)已知的薄弱環(huán)節(jié)的攻擊被修改��,便生成新的簽名并且相應(yīng)地?cái)U(kuò)展入侵檢測系統(tǒng)的配置文件����。其他公知的交通分析途徑借助其明顯變化的交通量來檢測已經(jīng)位于TCP/IP-層中的Scanning攻擊禾口 Flooding攻擊�����。所有上述的和其他的方法(例如防火墻�����、應(yīng)用網(wǎng)關(guān)、DMZ����、安全單元)均適于保護(hù)控制網(wǎng)絡(luò)。然而��,一旦控制網(wǎng)絡(luò)已經(jīng)-無論如何-受到感染并且被接收���,實(shí)際的技術(shù)設(shè)備僅具有很少的保護(hù)��。然后����,可以利用常規(guī)指令來收集關(guān)于設(shè)備流程的詳細(xì)信息�。另外��,在此情況下可通過調(diào)節(jié)執(zhí)行機(jī)構(gòu)來使技術(shù)設(shè)備失去控制�。
發(fā)明內(nèi)容
因此,本發(fā)明的目的在于提供一種控制網(wǎng)絡(luò)中的異常檢測的方法�,利用該方法可以檢測出利用現(xiàn)有技術(shù)所公知的方法無法得出的異常。根據(jù)本發(fā)明由此實(shí)現(xiàn)該目的�����,S卩,對微處理器進(jìn)行編程來檢測控制網(wǎng)絡(luò)中的異常��, 以便執(zhí)行五個(gè)步驟�。在第一步驟中得出控制網(wǎng)絡(luò)中的通信數(shù)據(jù)��。在第二步驟中得出通信數(shù)據(jù)中按一定順序的(ordnung^emafien )消息的時(shí)間序列和/或時(shí)間間隔并且將其存儲(chǔ)在訓(xùn)練數(shù)據(jù)中����。在第三步驟中利用訓(xùn)練數(shù)據(jù)訓(xùn)練異常檢測系統(tǒng)�����。在第四步驟中得出控制網(wǎng)絡(luò)中的當(dāng)前通信數(shù)據(jù)��。最后在第五步驟中利用異常檢測系統(tǒng)檢測當(dāng)前通信數(shù)據(jù)中的按一定順序的消息的時(shí)間序列和/或時(shí)間間隔與訓(xùn)練數(shù)據(jù)的偏差�。另外,本發(fā)明包括計(jì)算機(jī)程序模塊���,該計(jì)算機(jī)程序模塊在計(jì)算機(jī)中運(yùn)行并且在此以上述步驟實(shí)施該方法�。在此��,計(jì)算機(jī)程序模塊也可以被存儲(chǔ)在計(jì)算機(jī)可讀的數(shù)據(jù)載體上�。本發(fā)明的另一個(gè)有利的實(shí)施方式表現(xiàn)為從屬權(quán)利要求的特征。根據(jù)該方法得出了通信數(shù)據(jù)中按一定順序的消息的時(shí)間序列和/或時(shí)間間隔�,其被存儲(chǔ)在訓(xùn)練數(shù)據(jù)中并且考慮用于訓(xùn)練異常檢測系統(tǒng)(并且由此用于隨后對偏差的檢測)��。通過得出按一定順序的消息的時(shí)間序列和“節(jié)拍”�����,能夠檢測出攻擊�����,在使用正規(guī)的���、但被攻擊者接管的觀察站或控制站的情況下進(jìn)行這種攻擊,并且無論是利用以內(nèi)容為基礎(chǔ)的方法(借助簽名或字節(jié)序列分析)還是通過數(shù)據(jù)信息流通量的明顯增長均無法檢測出這種攻擊�。另外,也可以檢測出���,例如����,攻擊者通過接管正規(guī)的并且被授權(quán)的設(shè)備而具有了受信任的密碼鑰匙后所可能發(fā)起的攻擊��。由此可以發(fā)現(xiàn)的攻擊無論由于其消息的內(nèi)容(使用其他協(xié)議�、非常規(guī)的訪問���、錯(cuò)誤的HMAC或簽名...)還是由于其路徑(錯(cuò)誤的發(fā)送人或接收人)均與通常特性不同���,并且因此無法被字節(jié)樣本(Byte-Muster)探測方法檢測出來�。既可以使用以網(wǎng)絡(luò)為基礎(chǔ)的入侵檢測系統(tǒng)(NIDS)技術(shù)也可以使用以設(shè)備為基礎(chǔ)的入侵檢測系統(tǒng)(HIDS)���。有利地是將該異常檢測系統(tǒng)安裝在一個(gè)或多個(gè)服務(wù)器上�。該方法的一個(gè)優(yōu)點(diǎn)在于����,對正規(guī)授權(quán)的設(shè)備之間的按一定順序的消息的時(shí)間特性 (順序,節(jié)拍)進(jìn)行分析�,將其作為對于控制網(wǎng)絡(luò)的安全監(jiān)視的另一個(gè)新標(biāo)準(zhǔn)。該方法形成了進(jìn)一步的安全屏障��,該安全屏障仍能夠?qū)σ粋€(gè)其控制網(wǎng)絡(luò)已經(jīng)被感染的技術(shù)設(shè)備進(jìn)行監(jiān)視并且(通過安全人員報(bào)警)來防止可能的破壞行為����。
下面借助附圖詳細(xì)闡述本發(fā)明的實(shí)施例。其示出圖1是帶有在可能的情況下可能被攻擊者接管的設(shè)備的控制網(wǎng)絡(luò)�;圖2是方法的流程圖;圖3是方法和參與系統(tǒng)的示意圖��。
具體實(shí)施例方式圖1示出了控制網(wǎng)絡(luò)10�����。該控制網(wǎng)絡(luò)由多個(gè)彼此連接的網(wǎng)絡(luò)構(gòu)成,其中有企業(yè)控制網(wǎng)絡(luò)100(例如�,在ERP系統(tǒng)或MES系統(tǒng)范圍內(nèi))、過程控制網(wǎng)絡(luò)200以及控制系統(tǒng)網(wǎng)絡(luò) 300����。另外,控制網(wǎng)絡(luò)10還包括多個(gè)被授權(quán)的觀察站或控制站����,其中有客戶端11、網(wǎng)絡(luò)客戶端12以及用于遠(yuǎn)程維護(hù)入口的支援站13�����。作為安全措施���,在控制網(wǎng)絡(luò)10中設(shè)置了多個(gè)防火墻70�����。圖1現(xiàn)在示出的情況是�,攻擊者已經(jīng)成功地接管了被授權(quán)的觀察站或控制站�����,例如-過程控制網(wǎng)絡(luò)200中的客戶端11或服務(wù)器���,-企業(yè)控制網(wǎng)絡(luò)100中的網(wǎng)絡(luò)客戶端12���,或-支援站13。攻擊者現(xiàn)在可以窺探并且甚至操控技術(shù)設(shè)備的那些被其所接管的授權(quán)的觀察站或控制站所管轄的部分�����。在此����,攻擊并不針對控制網(wǎng)絡(luò)10,而是-在使用或?yàn)E用控制網(wǎng)絡(luò) 10的情況下-針對技術(shù)設(shè)備本身���。在此���,攻擊局限于正規(guī)的命令和通信消息。被接管的授權(quán)觀察站或控制站可以正確地計(jì)算出密碼的校驗(yàn)和以及簽名�。-如在規(guī)劃中確定的-按順序地遵尋通信路徑。因此��,基于簽名的入侵檢測系統(tǒng)和基于字節(jié)序列的自學(xué)入侵檢測系統(tǒng)實(shí)際上均無法確定這種攻擊。因此���,尤其是當(dāng)觀察站和控制站處于在物理上和信息技術(shù)上受到相對較好保護(hù)的控制網(wǎng)絡(luò)10以外時(shí)�,必須特別對其進(jìn)行保護(hù)�。下面對第一個(gè)實(shí)施例進(jìn)行描述。圖2示出了用于控制網(wǎng)絡(luò)10中的異常檢測的方法的流程圖����。描述的是該方法的第一步驟1、第二步驟2�、第三步驟3、第四步驟4以及第五步驟5���。除第一步驟1以外����,這些步驟也在圖3中被示出�,圖3示意性地描述了該方法以及異常檢測系統(tǒng)50和控制網(wǎng)絡(luò)10。
在圖2所示的第一步驟中�����,得出控制網(wǎng)絡(luò)10中的通信數(shù)據(jù),例如網(wǎng)絡(luò)通信數(shù)據(jù)���。在圖2和圖3所示的第二步驟中�,得出通信數(shù)據(jù)中按一定順序的消息的時(shí)間序列和/或時(shí)間間隔�����,并且將其存儲(chǔ)在訓(xùn)練數(shù)據(jù)30中�����。在第三步驟中����,利用訓(xùn)練數(shù)據(jù)30來訓(xùn)練異常檢測系統(tǒng)50����。因此在最初的訓(xùn)練階段中,異常檢測系統(tǒng)50基于安全的���、仍未受到敵對的攻擊感染的控制網(wǎng)絡(luò)10進(jìn)行訓(xùn)練��。異常檢測系統(tǒng)50對此具有例如受過訓(xùn)練的中樞網(wǎng)絡(luò)60����。然而,也可以利用其他技術(shù)���,例如支持向量機(jī)來執(zhí)行該異常檢測系統(tǒng)50��。在第四步驟中��,在控制網(wǎng)絡(luò)中得出當(dāng)前通信數(shù)據(jù)40��。在第五步驟中����,利用異常檢測系統(tǒng)50來檢測當(dāng)前通信數(shù)據(jù)40中的按一定順序的消息的時(shí)間序列和/或時(shí)間間隔與訓(xùn)練數(shù)據(jù)30之間的偏差����。當(dāng)控制網(wǎng)絡(luò)10中的一個(gè)在圖 3中示出的單元20、尤其是一個(gè)在圖1所示的觀察站或控制站被攻擊者接管或被另外操縱或具有故障時(shí)�����,這種偏差將被檢測出來�����。控制網(wǎng)絡(luò)10并不局限于工業(yè)自動(dòng)化(包括能量和水分配��,管道等)����,也可以涉及其他領(lǐng)域和行業(yè),例如����,用于建筑自動(dòng)化����、通信網(wǎng)絡(luò)等的網(wǎng)絡(luò)。下面將描述第二個(gè)實(shí)施例�,該實(shí)施例示出了迄今為止的實(shí)施方式的具體形式。根據(jù)第二個(gè)實(shí)施例����,可以在客戶端11處為操作者示出整個(gè)技術(shù)設(shè)備的概況和其部分區(qū)域的詳細(xì)信息。為了進(jìn)行監(jiān)視��,操作者通常在調(diào)出下一幅圖像之前至少要花費(fèi)幾秒鐘來關(guān)注剛剛調(diào)出的圖像�����。然而如果客戶端11在短時(shí)間內(nèi)(例如少于一秒鐘)對多個(gè)圖像進(jìn)行請求, 那么不再將其歸結(jié)為操作者正常并謹(jǐn)慎的行為����,而更確切地指出,例如有惡意的程序掃描技術(shù)設(shè)備并且在盡可能短的時(shí)間內(nèi)收集大量信息�。為了實(shí)現(xiàn)第二個(gè)實(shí)施例,要對微處理器進(jìn)行編程�,從而得出控制網(wǎng)絡(luò)10中的通信數(shù)據(jù)并且將按一定順序的消息(其包括在通信數(shù)據(jù)中)的時(shí)間間隔存儲(chǔ)在訓(xùn)練數(shù)據(jù)30中。 按一定順序的消息在此是用于調(diào)出圖像的消息����。在通常情況下,時(shí)間間隔大于一秒�。該消息被存儲(chǔ)在訓(xùn)練數(shù)據(jù)30中,利用該訓(xùn)練數(shù)據(jù)來訓(xùn)練異常檢測系統(tǒng)50�。如果在客戶端11的后期運(yùn)行階段中在短時(shí)間內(nèi)對多個(gè)圖像進(jìn)行請求的話,那么這在控制網(wǎng)絡(luò)10的當(dāng)前通信數(shù)據(jù)40中是可見的��?�;谥八M(jìn)行的訓(xùn)練�����,異常檢測系統(tǒng)50可以檢測出相應(yīng)的消息與訓(xùn)練過的時(shí)間間隔之間的偏差����,并且例如�����,由此斷定客戶端11是否已被攻擊者接管����。為了在前述訓(xùn)練之后檢測出該偏差����,要將異常檢測系統(tǒng)50編程為中樞網(wǎng)絡(luò)60或支持向量機(jī)。下面描述第三個(gè)實(shí)施例����,該實(shí)施例是可選的�����,但也可以實(shí)施該實(shí)施例作為對第二個(gè)實(shí)施例的補(bǔ)充��。在第三個(gè)實(shí)施例中�,網(wǎng)絡(luò)客戶端12有規(guī)律地(例如每一秒或兩秒)對控制網(wǎng)絡(luò)10中的服務(wù)器的圖像的當(dāng)前值進(jìn)行請求,該圖像恰好是客戶端所關(guān)注的����。該請求是自動(dòng)發(fā)生的�,無需操作者進(jìn)行協(xié)助��,因此消息(忽略網(wǎng)絡(luò)中可能的抖動(dòng)(Jitter))的間隔始終完全相同���。與此相反地�����,通常由操作者引發(fā)兩個(gè)不同圖像之間的交替���,并且該交替由此會(huì)以很不規(guī)律的間隔來實(shí)現(xiàn)。然而如果以完全相同的時(shí)間間隔實(shí)現(xiàn)該交替���,那么該交替必須是受程序控制的��。這指出了顯示交替的通過操作人員的(可能不可靠的)自動(dòng)化���,利用顯示交替來掩飾網(wǎng)絡(luò)客戶端12的物理缺席,或指出了被攻擊者所接管的網(wǎng)絡(luò)客戶端12�,其想要獲得關(guān)于技術(shù)設(shè)備的信息并且對此以較低頻率對圖像進(jìn)行請求。在實(shí)施第三個(gè)實(shí)施例時(shí)要注意的是��,正如在請求問時(shí)操作者對此進(jìn)行等待那樣, 在訓(xùn)練數(shù)據(jù)30中消息的時(shí)間間隔略微不規(guī)律��,這些消息標(biāo)記了在不同的圖像之間的交替�。由此,被訓(xùn)練的異常檢測系統(tǒng)50所處的狀態(tài)是����,檢測出明顯有規(guī)律的時(shí)間間隔并且由此推測出攻擊。根據(jù)仍然是可選的��、但可以作為對前述的實(shí)施例的補(bǔ)充而實(shí)施的第四個(gè)實(shí)施例����, 通過異常檢測系統(tǒng)50將同一個(gè)指令有規(guī)律地或短時(shí)間地重復(fù)(例如每2s重復(fù)指令“關(guān)閉閥門123”)檢測成偏差-并且因此被作為對設(shè)備部分發(fā)生故障的指示或作為對攻擊的指示。在訓(xùn)練異常檢測系統(tǒng)之前要確保是訓(xùn)練數(shù)據(jù)30中不包括這種命令序列�。作為基礎(chǔ),在所有實(shí)施例中均使用了異常檢測系統(tǒng)50�,該系統(tǒng)將控制網(wǎng)絡(luò)10中的觀察站或控制站(客戶端11���、網(wǎng)絡(luò)客戶端12�、支援站1 和相應(yīng)的服務(wù)器之間的數(shù)據(jù)流記錄下來作為通信數(shù)據(jù)并且進(jìn)行分析�。以下算法尤其適用于實(shí)施該方法,a)在學(xué)習(xí)階段(第一步驟1����、第二步驟2��、第三步驟幻中可以獲取生成作為訓(xùn)練數(shù)據(jù)30的消息的序列(也就是說����,時(shí)間順序)�,包括其時(shí)間間隔,并且b)在操作階段(第四步驟4����、第五步驟幻中可以檢測出當(dāng)前通信數(shù)據(jù)40中的序列,該序列無論是在消息的順序方面和/或其時(shí)間間隔方面均與訓(xùn)練數(shù)據(jù)30存在明顯偏差���。為此所使用的公知方法是所謂的頻繁情節(jié)挖掘(Episode Rule Mining)�,該方法能夠研究彼此相連的事件在時(shí)間間隔上的頻率并且也適用于進(jìn)行分類�����。該頻繁情節(jié)挖掘是 Mannila, H. �����;Toivonnen, H.和 Verkamo���,A.在由 Kluwer 學(xué)術(shù)出版社在 1997 年出版的數(shù)據(jù)挖掘和知識(shí)發(fā)現(xiàn) 1 的第 259-298 頁中的 “Discovery of frequent episodes in event sequences (發(fā)現(xiàn)事件序列中的頻繁情節(jié))�,,中公知的Marmila算法���。該Marmila算法在數(shù)據(jù)組中找出了以下形式的頻繁的情節(jié)X�����,Y_ > Z (s��,k�����,w)�����,其中�,X��,Y和Z是出現(xiàn)在順序Χ. ..Y... Z中的長度為W的時(shí)間窗中的一定的事件量���。S是所謂的支持度(總量中的X UYU Z的相對頻率)���,而k是可信度=s(X U Y)/s(X U Y U ζ)。 在前提(χ���,γ)的條件下��,可信度k缺少結(jié)論出現(xiàn)的相對頻率���。在此,令人關(guān)注的僅在于具有確定的最小頻率smin和可信度kmin的情節(jié)��。將在記錄下來的通信數(shù)據(jù)中所找到的事件量(消息的總量)X����,Y和Z轉(zhuǎn)用于第二個(gè)實(shí)施例,該事件量與用于傳送三個(gè)圖像Bx��、By和Bz的信息流相應(yīng)�����。如果需要這些圖像來圖形地描述客戶端11的話�,那么在短時(shí)間窗w中進(jìn)行顯示。如果額外地一再更新該圖形的話,那么正如算法所發(fā)現(xiàn)的那樣�,已經(jīng)具有了頻繁的情節(jié)X,Y�����,Z�。通信數(shù)據(jù)中全部被找到的情節(jié)因此表現(xiàn)為普通的數(shù)據(jù)流,其包括了技術(shù)設(shè)備的控制網(wǎng)絡(luò)10中普通的時(shí)間間隔��。一旦在當(dāng)前通信數(shù)據(jù)40的操作階段中����,在相同的時(shí)間窗w中觀察到多個(gè)較長的情節(jié),這就指出了第二個(gè)實(shí)施例中所描述的攻擊��。即使是適當(dāng)?shù)脑谟?xùn)練數(shù)據(jù)30中沒有出現(xiàn)過的全新情節(jié)也可以指出攻擊���。替代Marmila算法��,還可以通過現(xiàn)有技術(shù)所公知的概率方法����,例如����,類似擴(kuò)展的馬科夫模型(Markov-Modelle)來實(shí)施該方法(參見,例如��,Ge, X. ���;Smyth, P "DeformabIe Markov model templates for time-series pattern matching",in Proceedings of the 6th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining, Boston�,MA�����,August2000�,第81-90頁)。這些方法以及相似的算法在其他領(lǐng)域中已經(jīng)成功地用于執(zhí)行類似的分類任務(wù)�,類似用于分析腦機(jī)相互作用所用的ECG和EEG信號(hào),用于在金融數(shù)據(jù)中進(jìn)行樣本識(shí)別����,用于語言識(shí)別,用于對音樂作品進(jìn)行自動(dòng)化分類���,以及用于分析多人游戲中玩家的點(diǎn)擊行為�,但也可以被用在網(wǎng)絡(luò)付款模式中(參見khlilssler�����,Τ. ;Goglin, S. ����;Johnson, Ε. “Is a bot at the Controls ? Detecting Input Data Attacks�,,��,in Proceedings of the 6th ACM SIGCOMM NetGames, Melbourne, Australien, September 2007)�。
權(quán)利要求
1.一種用于控制網(wǎng)絡(luò)(10)中的異常檢測的方法,在所述方法中對微處理器進(jìn)行編程��,以便-在第一步驟(1)中得出所述控制網(wǎng)絡(luò)(10)中的通信數(shù)據(jù)��;-在第二步驟O)中得出所述通信數(shù)據(jù)中按一定順序的消息的時(shí)間序列和/或時(shí)間間隔并且將所述時(shí)間序列和/或時(shí)間間隔存儲(chǔ)在訓(xùn)練數(shù)據(jù)(30)中�;-在第三步驟(3)中利用所述訓(xùn)練數(shù)據(jù)(30)訓(xùn)練異常檢測系統(tǒng)(50); -在第四步驟中得出所述控制網(wǎng)絡(luò)(10)中的當(dāng)前通信數(shù)據(jù)GO)��;和 -在第五步驟(5)中利用所述異常檢測系統(tǒng)(50)檢測所述當(dāng)前通信數(shù)據(jù)GO)中的所述按一定順序的消息的時(shí)間序列和/或時(shí)間間隔與所述訓(xùn)練數(shù)據(jù)(30)的偏差����。
2.根據(jù)權(quán)利要求1所述的方法,-在所述方法中����,當(dāng)攻擊者接管或使用者未經(jīng)許可地改變所述異常檢測系統(tǒng)(50)中的單元00)尤其是觀察站或控制站���、或者所述單元O0)尤其是觀察站或控制站具有故障時(shí), 所述第五步驟(5)中的所述異常檢測系統(tǒng)(50)檢測出偏差����。
3.根據(jù)權(quán)利要求1所述的方法�,-在所述方法中,將所述異常檢測系統(tǒng)(50)作為以網(wǎng)絡(luò)為基礎(chǔ)的入侵檢測系統(tǒng)來執(zhí)行�����,并且所述通信數(shù)據(jù)以及所述當(dāng)前通信數(shù)據(jù)GO)是網(wǎng)絡(luò)流量數(shù)據(jù)��,或-在所述方法中�,將所述異常檢測系統(tǒng)(50)作為以設(shè)備為基礎(chǔ)的入侵檢測系統(tǒng)來執(zhí)行,并且所述通信數(shù)據(jù)以及所述當(dāng)前通信數(shù)據(jù)GO)描述了設(shè)備���、尤其是服務(wù)器的通信特性���。
4.根據(jù)權(quán)利要求1所述的方法,-在所述方法中�,在所述第二步驟O)中借助頻繁情節(jié)挖掘��、尤其是根據(jù)Marmila的算法��、或借助概率方法���、尤其是具有擴(kuò)展的馬科夫模型的方法來得出所述通信數(shù)據(jù)中的所述按一定順序的消息的所述時(shí)間序列和/或時(shí)間間隔。
5.根據(jù)權(quán)利要求1所述的方法�,-在所述方法中,所述異常檢測系統(tǒng)(50)至少部分包括中樞網(wǎng)絡(luò)(60)或支持向量機(jī)����。
6.根據(jù)權(quán)利要求1所述的方法,-在所述方法中��,所述控制網(wǎng)絡(luò)是用于監(jiān)視和控制���、工業(yè)自動(dòng)化或建筑自動(dòng)化的網(wǎng)絡(luò)��。
7.根據(jù)權(quán)利要求1所述的方法����,-在所述方法中���,所述單元是觀察站或控制站���。
8.一種計(jì)算機(jī)可讀的數(shù)據(jù)載體�����,-當(dāng)計(jì)算機(jī)程序在計(jì)算機(jī)中運(yùn)行時(shí)���,在所述數(shù)據(jù)載體上存儲(chǔ)實(shí)施根據(jù)上述權(quán)利要求中任意一項(xiàng)所述的方法的所述計(jì)算機(jī)程序。
9.一種計(jì)算機(jī)程序模塊����,-所述計(jì)算機(jī)程序模塊在計(jì)算機(jī)中運(yùn)行并且在此實(shí)施根據(jù)權(quán)利要求1至7中任意一項(xiàng)所述的方法���。
全文摘要
為了檢測例如用于監(jiān)視和控制����、工業(yè)自動(dòng)化或建筑自動(dòng)化的控制網(wǎng)絡(luò)中的異常�����,采用了一種入侵檢測系統(tǒng)技術(shù)(英文名稱為“intrusion detection system”或IDS)����,從而對網(wǎng)絡(luò)通信中按一定順序的消息的時(shí)間順序和時(shí)間間隔進(jìn)行分析并且將其用來訓(xùn)練異常檢測系統(tǒng)�。通過獲得按一定順序的消息的時(shí)間順序和節(jié)拍能夠檢測出設(shè)備的故障或所受的操縱�����,以及能夠檢測出在使用正規(guī)的�、但卻是被攻擊者所接管的或有故障的觀察站或控制站的情況下所進(jìn)行的攻擊,并且這些攻擊無論是利用以內(nèi)容為基礎(chǔ)的方法(借助簽名或字節(jié)序列分析)還是通過明顯的數(shù)據(jù)通信增長均無法檢測出����。由此形成了進(jìn)一步的安全屏障,該安全屏障仍能夠?qū)σ粋€(gè)其控制網(wǎng)絡(luò)已經(jīng)被感染的技術(shù)設(shè)備進(jìn)行監(jiān)視并且(可能通過安全人員報(bào)警)來防止可能的破壞行為��。
文檔編號(hào)H04L29/06GK102577305SQ201080041207
公開日2012年7月11日 申請日期2010年8月12日 優(yōu)先權(quán)日2009年9月21日
發(fā)明者克里斯托夫·施特爾曼, 延斯-烏韋·布瑟, 揚(yáng)·克斯特納, 邁克爾·蒙策爾特 申請人:西門子公司