本發(fā)明屬于入侵檢測(cè)技術(shù)領(lǐng)域，更為具體地講，涉及一種基于機(jī)器學(xué)習(xí)的工業(yè)控制系統(tǒng)入侵檢測(cè)方法。

背景技術(shù)：

工業(yè)控制系統(tǒng)信息安全在控制器的安全防護(hù)方面有著非常廣泛的應(yīng)用，諸如電力、石油天然氣、以及大型制造行業(yè)等。過去幾年間，工業(yè)控制系統(tǒng)開始廣泛采用信息化技術(shù)，使工廠變的智能化，但是由于工業(yè)控制系統(tǒng)與傳統(tǒng)的it系統(tǒng)之間有著很大的區(qū)別，工業(yè)控制系統(tǒng)在安全方面還存著很多不足，而由于防護(hù)不足會(huì)造成很多嚴(yán)重的問題，其中包括核心數(shù)據(jù)被竊取、關(guān)鍵工控流程被破壞、對(duì)工業(yè)系統(tǒng)功能未經(jīng)授權(quán)的訪問以及甚至造成工廠停產(chǎn)等，所以增加工業(yè)控制系統(tǒng)的防護(hù)功能有非常重要的意義。機(jī)器學(xué)習(xí)是一種讓計(jì)算機(jī)在沒有事先明確的編程的情況下做出正確反應(yīng)的科學(xué)。在過去的十年中，機(jī)器學(xué)習(xí)已經(jīng)給我們?cè)谧詣?dòng)駕駛汽車，實(shí)用語音識(shí)別，有效的網(wǎng)絡(luò)搜索，以及提高人類基因組的認(rèn)識(shí)方面帶來大量幫助。將機(jī)器學(xué)習(xí)應(yīng)用到工業(yè)控制環(huán)境中具有極大的適用性和極強(qiáng)的便利性。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中的通信跟傳統(tǒng)網(wǎng)絡(luò)不同的是，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中通信具有較高的周期性特點(diǎn)，這給機(jī)器學(xué)習(xí)在工業(yè)控制系統(tǒng)安全方面的使用提供了基礎(chǔ)，這是機(jī)器學(xué)習(xí)在工業(yè)控制環(huán)境中具有適用性的體現(xiàn)。在工業(yè)控制系統(tǒng)中引入機(jī)器學(xué)習(xí)可以減少對(duì)于工業(yè)防火墻的配置，提高工業(yè)防火墻對(duì)于不同工業(yè)環(huán)境的適應(yīng)性，所以將機(jī)器學(xué)習(xí)引入工業(yè)控制系統(tǒng)環(huán)境中是一種非常有效且可行的方式。

工業(yè)控制系統(tǒng)環(huán)境中，所謂控制端是指工業(yè)環(huán)境中控制指令發(fā)送端，也就是發(fā)送工業(yè)現(xiàn)場(chǎng)設(shè)備動(dòng)作指令的一端；所謂執(zhí)行端就是工業(yè)環(huán)境中具體執(zhí)行動(dòng)作的一端，像plc控制器等。實(shí)際工業(yè)環(huán)境中，發(fā)送指令的控制端和執(zhí)行指令的執(zhí)行端都相對(duì)固定，也就是說發(fā)送指令的控制端的ip、執(zhí)行端的ip和端口號(hào)等都相對(duì)固定，在防火墻的機(jī)器學(xué)習(xí)階段，我們可以對(duì)于控制端和執(zhí)行端的ip和端口號(hào)進(jìn)行學(xué)習(xí)，在檢測(cè)過程中若出現(xiàn)非常用的ip或者端口號(hào)則進(jìn)行報(bào)警。另外，根據(jù)工業(yè)控制系統(tǒng)環(huán)境中通信的周期性特點(diǎn)，將實(shí)際的通信流量和時(shí)間作為一種檢測(cè)特征，將在機(jī)器學(xué)習(xí)階段，統(tǒng)計(jì)不同時(shí)間段內(nèi)流量大小的閾值，在檢測(cè)過程中，若出現(xiàn)在某個(gè)時(shí)間段內(nèi)高于學(xué)習(xí)階段的閾值情況則發(fā)送報(bào)警。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足，提供一種基于機(jī)器學(xué)習(xí)的工業(yè)控制系統(tǒng)入侵檢測(cè)方法，在任何工業(yè)環(huán)境中都無需人工配置工業(yè)防火墻，通過入侵檢測(cè)模塊的機(jī)器學(xué)習(xí)實(shí)現(xiàn)入侵的自動(dòng)檢測(cè)。

為實(shí)現(xiàn)上述發(fā)明目的，本發(fā)明一種基于機(jī)器學(xué)習(xí)的工業(yè)控制系統(tǒng)入侵檢測(cè)方法，其特征在于，包括以下步驟：

(1)、對(duì)待檢測(cè)的工業(yè)控制系統(tǒng)通信進(jìn)行數(shù)據(jù)包的檢測(cè)、識(shí)別和分析；

設(shè)工業(yè)控制系統(tǒng)中共有m組控制端和執(zhí)行端組合，其通信周期劃分為x個(gè)單位時(shí)間；

在機(jī)器學(xué)習(xí)階段，通過防火墻中的入侵檢測(cè)模塊對(duì)工業(yè)控制系統(tǒng)的通信數(shù)據(jù)包進(jìn)行檢測(cè)、識(shí)別，分析提取出控制端和執(zhí)行端之間通信數(shù)據(jù)包的源ip地址sip、源端口號(hào)sd、目的ip地址dip、目的端口號(hào)dd、時(shí)刻值t以及單位時(shí)間內(nèi)通過的數(shù)據(jù)包數(shù)量n，則共提取出m×x組數(shù)據(jù)；

(2)、對(duì)獲取的數(shù)據(jù)進(jìn)行預(yù)處理；

在m×x組數(shù)據(jù)中，分別將每組數(shù)據(jù)中的源ip地址sip、源端口號(hào)sd、目的ip地址dip、目的端口號(hào)dd、時(shí)刻值t以及單位時(shí)間內(nèi)通過的數(shù)據(jù)包數(shù)量n組成向量(sip,sd,dip,dd,t,n)，再將m×x組向量(sip,sd,dip,dd,t,n)傳入防火墻中的入侵檢測(cè)模塊；

(3)、判斷m×x組向量(sip,sd,dip,dd,t,n)的異常

(3.1)、入侵檢測(cè)模塊監(jiān)測(cè)機(jī)器學(xué)習(xí)階段某一組向量出現(xiàn)未檢測(cè)到的源/目的ip地址sip或未使用的端口號(hào)sd或未出現(xiàn)的組合，即出現(xiàn)非法ip或非法端口或非法組合，則判斷該組向量異常，否則判斷該組向量正常，并進(jìn)入步驟(3.2)進(jìn)行下一步判斷；

(3.2)、根據(jù)源ip地址sip、源端口號(hào)sd、目的ip地址dip、目的端口號(hào)dd確定通信的雙方，若時(shí)刻值t通信雙方的通信數(shù)據(jù)包數(shù)量n在合法的通信數(shù)據(jù)包的上限閾值和下限閾值之間，則判斷該組向量正常，否則判斷該組向量異常；

(4)、建立入侵檢測(cè)模型

將步驟(3)中得到的m×x組正常或異常的向量進(jìn)行機(jī)器學(xué)習(xí)，其正常向量對(duì)應(yīng)的輸出設(shè)置為1，異常向量對(duì)應(yīng)的輸出設(shè)置為0，從而建立起入侵檢測(cè)模型；

(5)、利用入侵檢測(cè)模型對(duì)通信數(shù)據(jù)進(jìn)行異常流量檢測(cè)

在實(shí)際的工業(yè)環(huán)境中進(jìn)行檢測(cè)，入侵檢測(cè)模塊提取到工業(yè)控制系統(tǒng)的通信數(shù)據(jù)之后，將通信數(shù)據(jù)按照步驟(1)～(2)所述方法調(diào)整成向量(sip,sd,dip,dd,t,n)，并輸入到入侵檢測(cè)模型中進(jìn)行檢測(cè)，若入侵檢測(cè)模型的輸出為1，則判斷該通信數(shù)據(jù)正常，若入侵檢測(cè)模型的輸出為0，則判斷該通信數(shù)據(jù)異常，存在入侵。

本發(fā)明的發(fā)明目的是這樣實(shí)現(xiàn)的：

本發(fā)明一種基于機(jī)器學(xué)習(xí)的工業(yè)控制系統(tǒng)入侵檢測(cè)方法，先通過實(shí)際的工業(yè)環(huán)境中進(jìn)行機(jī)器學(xué)習(xí)，記錄下控制端和執(zhí)行端的ip和端口號(hào)等，再將數(shù)據(jù)流量和時(shí)間對(duì)應(yīng)的特征建立模型，最后通過建立的模型進(jìn)行入侵檢測(cè)，其中，如果發(fā)現(xiàn)有未知ip或者端口進(jìn)行通信或者某個(gè)時(shí)間段的通信流量極大的大于或者小于學(xué)習(xí)階段的閾值，則進(jìn)行報(bào)警，極大的提高系統(tǒng)的通信安全性；此外，本發(fā)明還可以適用于各種工業(yè)網(wǎng)絡(luò)環(huán)境下的入侵檢測(cè)，無需手動(dòng)配置，通過自動(dòng)學(xué)習(xí)即可實(shí)現(xiàn)異常檢測(cè)。

附圖說明

圖1是本發(fā)明基于機(jī)器學(xué)習(xí)的工業(yè)控制系統(tǒng)入侵檢測(cè)的拓?fù)浣Y(jié)構(gòu)圖；

圖2是入侵檢測(cè)模塊檢測(cè)流程圖。

具體實(shí)施方式

下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式進(jìn)行描述，以便本領(lǐng)域的技術(shù)人員更好地理解本發(fā)明。需要特別提醒注意的是，在以下的描述中，當(dāng)已知功能和設(shè)計(jì)的詳細(xì)描述也許會(huì)淡化本發(fā)明的主要內(nèi)容時(shí)，這些描述在這里將被忽略。

實(shí)施例

圖1是本發(fā)明基于機(jī)器學(xué)習(xí)的工業(yè)控制系統(tǒng)入侵檢測(cè)的拓?fù)浣Y(jié)構(gòu)圖。

在本實(shí)施例中，如圖1所示，控制端和執(zhí)行端所有的通信流量都會(huì)經(jīng)過防火墻，而入侵檢測(cè)模塊就在防火墻之中，在防火墻中包含有入侵檢測(cè)模塊和深度包解析模塊。

下面結(jié)合圖1對(duì)本發(fā)明一種基于機(jī)器學(xué)習(xí)的工業(yè)控制系統(tǒng)入侵檢測(cè)方法進(jìn)行詳細(xì)說明，具體包括以下步驟：

s1、對(duì)待檢測(cè)的工業(yè)控制系統(tǒng)通信進(jìn)行數(shù)據(jù)包的檢測(cè)、識(shí)別和分析；

設(shè)工業(yè)控制系統(tǒng)中共有m組控制端和執(zhí)行端組合，其通信周期劃分為x個(gè)單位時(shí)間；

在機(jī)器學(xué)習(xí)階段，通過防火墻中的入侵檢測(cè)模塊對(duì)工業(yè)控制系統(tǒng)的通信數(shù)據(jù)包進(jìn)行檢測(cè)、識(shí)別，分析提取出控制端和執(zhí)行端之間通信數(shù)據(jù)包的源ip地址sip、源端口號(hào)sd、目的ip地址dip、目的端口號(hào)dd、時(shí)刻值t以及單位時(shí)間內(nèi)通過的數(shù)據(jù)包數(shù)量n，則共提取出m×x組數(shù)據(jù)；

s2、對(duì)獲取的數(shù)據(jù)進(jìn)行預(yù)處理；

在m×x組數(shù)據(jù)中，分別將每組數(shù)據(jù)中的源ip地址sip、源端口號(hào)sd、目的ip地址dip、目的端口號(hào)dd、時(shí)刻值t以及單位時(shí)間內(nèi)通過的數(shù)據(jù)包數(shù)量n組成向量(sip,sd,dip,dd,t,n)，例如此刻的向量值為(19216810147,10036,19216810133,502,011008,30)其中19216810147是源ip地址，10036是源端口號(hào)，1921610133是目的ip地址，502是目的端口號(hào)，011008代表時(shí)刻值，30代表此時(shí)刻內(nèi)通過的數(shù)據(jù)包數(shù)量，再將m×x組向量(sip,sd,dip,dd,t,n)傳入防火墻中的入侵檢測(cè)模塊；

s3、判斷m×x組向量(sip,sd,dip,dd,t,n)的異常

s3.1、入侵檢測(cè)模塊監(jiān)測(cè)機(jī)器學(xué)習(xí)階段某一組向量出現(xiàn)未檢測(cè)到的源/目的ip地址sip或未使用的端口號(hào)sd或未出現(xiàn)的組合，即出現(xiàn)非法ip或非法端口或非法組合，則判斷該組向量異常，否則判斷該組向量正常，并進(jìn)入步驟(3.2)進(jìn)行下一步判斷；例如正常的ip地址為19216810147、19216810133、19216810178出現(xiàn)了未知的ip地址1921610110則通信異常；再比如正常的端口號(hào)為10036,10098，出現(xiàn)了未知的端口號(hào)10010則判斷為通信異常；再比如ip地址19216810147跟端口號(hào)10098是合法搭配，但是出現(xiàn)了19216810133跟端口10098搭配則判斷為通信異常。

s3.2、根據(jù)源ip地址sip、源端口號(hào)sd、目的ip地址dip、目的端口號(hào)dd確定通信的雙方，若時(shí)刻值t通信雙方的通信數(shù)據(jù)包數(shù)量n在合法的通信數(shù)據(jù)包的上限閾值和下限閾值之間，則判斷該組向量正常，否則判斷該組向量異常；例如通過源ip地址19216810147、源端口號(hào)10036、目的ip地址1921610133、目的端口號(hào)502來確定的通信雙方在時(shí)刻011008時(shí)通信的數(shù)據(jù)包的上限閾值是50，下限閾值是30，但是此刻檢測(cè)到通信數(shù)據(jù)包是100則判斷為通信異常。

s4、建立入侵檢測(cè)模型

將步驟s3中得到的m×x組正?；虍惓５南蛄窟M(jìn)行機(jī)器學(xué)習(xí)，其正常向量對(duì)應(yīng)的輸出設(shè)置為1，異常向量對(duì)應(yīng)的輸出設(shè)置為0，從而建立起入侵檢測(cè)模型；

s5、利用入侵檢測(cè)模型對(duì)通信數(shù)據(jù)進(jìn)行異常流量檢測(cè)

在實(shí)際的工業(yè)環(huán)境中進(jìn)行檢測(cè)，入侵檢測(cè)模塊提取到工業(yè)控制系統(tǒng)的通信數(shù)據(jù)之后，將通信數(shù)據(jù)按照步驟s1～s2所述方法調(diào)整成向量(sip,sd,dip,dd,t,n)，例如(19216810147,10036,19216810133,502,011008,30)，并輸入到入侵檢測(cè)模型中進(jìn)行檢測(cè)，若入侵檢測(cè)模型的輸出為1，則判斷該通信數(shù)據(jù)正常，若入侵檢測(cè)模型的輸出為0，則判斷該通信數(shù)據(jù)異常，存在入侵。

實(shí)例

使用控制端軟件作為客戶端，執(zhí)行端軟件服務(wù)器，設(shè)置為每1分鐘讀取一次數(shù)據(jù)。

進(jìn)行一段時(shí)間的通訊，我們選取的合法樣本值為：

x1＝(19216810147,10036,19216810133,502,011008,30)

x2＝(19216810147,10098,19216810133,502,011009,45)

x3＝(19216810147,10023,19216810133,502,011010,50)

x4＝(19216810125,10211,19216810133,502,011010,19)

選取非法的樣本值為：

x1＝(19216810147,10036,19216810133,502,011008,100)

x2＝(19216810147,10098,19216810133,502,011009,10)

x3＝(19216810147,10023,19216810133,502,011010,198)

x4＝(19216810125,10211,19216810133,502,011010,201)

輸出結(jié)果：對(duì)于該模型，當(dāng)入侵檢測(cè)模塊獲取數(shù)據(jù)為(19216810147,10036,19216810133,502,011008,30)，輸入入侵檢測(cè)模型，正常時(shí)候由源ip地址19216810147、源端口號(hào)10036、目的ip地址1921610133、目的端口號(hào)502確定的同通信雙方在時(shí)刻011008通信數(shù)據(jù)包的合法范圍是30到50，此時(shí)通過的數(shù)據(jù)包是30,檢測(cè)結(jié)果是0.99，通常在理想狀態(tài)下，入侵檢測(cè)模型的輸出為1或0，但在實(shí)際的檢測(cè)中，其輸出只能趨近于1或0，如圖2所示，當(dāng)輸出結(jié)果在0.7至1.3之間的時(shí)候，我們判斷為通信正常；當(dāng)入侵檢測(cè)模塊獲取的數(shù)據(jù)為(19216810147,10036,19216810133,502,011008,100)，輸出結(jié)果為0.001，此時(shí)0.001不在0.7到1.3的范圍內(nèi)，所以同樣的分析判斷為通信異常。

盡管上面對(duì)本發(fā)明說明性的具體實(shí)施方式進(jìn)行了描述，以便于本技術(shù)領(lǐng)域的技術(shù)人員理解本發(fā)明，但應(yīng)該清楚，本發(fā)明不限于具體實(shí)施方式的范圍，對(duì)本技術(shù)領(lǐng)域的普通技術(shù)人員來講，只要各種變化在所附的權(quán)利要求限定和確定的本發(fā)明的精神和范圍內(nèi)，這些變化是顯而易見的，一切利用本發(fā)明構(gòu)思的發(fā)明創(chuàng)造均在保護(hù)之列。