[发明专利]一种基于机器学习的工业控制系统入侵检测方法

说明书

技术领域

本发明属于入侵检测技术领域，更为具体地讲，涉及一种基于机器学习的工业控制系统入侵检测方法。

背景技术

工业控制系统信息安全在控制器的安全防护方面有着非常广泛的应用，诸如电力、石油天然气、以及大型制造行业等。过去几年间，工业控制系统开始广泛采用信息化技术，使工厂变的智能化，但是由于工业控制系统与传统的IT系统之间有着很大的区别，工业控制系统在安全方面还存着很多不足，而由于防护不足会造成很多严重的问题，其中包括核心数据被窃取、关键工控流程被破坏、对工业系统功能未经授权的访问以及甚至造成工厂停产等，所以增加工业控制系统的防护功能有非常重要的意义。机器学习是一种让计算机在没有事先明确的编程的情况下做出正确反应的科学。在过去的十年中，机器学习已经给我们在自动驾驶汽车，实用语音识别，有效的网络搜索，以及提高人类基因组的认识方面带来大量帮助。将机器学习应用到工业控制环境中具有极大的适用性和极强的便利性。工业控制系统网络中的通信跟传统网络不同的是，工业控制系统网络中通信具有较高的周期性特点，这给机器学习在工业控制系统安全方面的使用提供了基础，这是机器学习在工业控制环境中具有适用性的体现。在工业控制系统中引入机器学习可以减少对于工业防火墙的配置，提高工业防火墙对于不同工业环境的适应性，所以将机器学习引入工业控制系统环境中是一种非常有效且可行的方式。

工业控制系统环境中，所谓控制端是指工业环境中控制指令发送端，也就是发送工业现场设备动作指令的一端；所谓执行端就是工业环境中具体执行动作的一端，像PLC控制器等。实际工业环境中，发送指令的控制端和执行指令的执行端都相对固定，也就是说发送指令的控制端的IP、执行端的IP和端口号等都相对固定，在防火墙的机器学习阶段，我们可以对于控制端和执行端的IP和端口号进行学习，在检测过程中若出现非常用的IP或者端口号则进行报警。另外，根据工业控制系统环境中通信的周期性特点，将实际的通信流量和时间作为一种检测特征，将在机器学习阶段，统计不同时间段内流量大小的阈值，在检测过程中，若出现在某个时间段内高于学习阶段的阈值情况则发送报警。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于机器学习的工业控制系统入侵检测方法，在任何工业环境中都无需人工配置工业防火墙，通过入侵检测模块的机器学习实现入侵的自动检测。

为实现上述发明目的，本发明一种基于机器学习的工业控制系统入侵检测方法，其特征在于，包括以下步骤：

(1)、对待检测的工业控制系统通信进行数据包的检测、识别和分析；

设工业控制系统中共有M组控制端和执行端组合，其通信周期划分为X个单位时间；

在机器学习阶段，通过防火墙中的入侵检测模块对工业控制系统的通信数据包进行检测、识别，分析提取出控制端和执行端之间通信数据包的源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD、时刻值T以及单位时间内通过的数据包数量N，则共提取出M×X组数据；

(2)、对获取的数据进行预处理；

在M×X组数据中，分别将每组数据中的源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD、时刻值T以及单位时间内通过的数据包数量N组成向量(SIP,SD,DIP,DD,T,N)，再将M×X组向量(SIP,SD,DIP,DD,T,N)传入防火墙中的入侵检测模块；

(3)、判断M×X组向量(SIP,SD,DIP,DD,T,N)的异常

(3.1)、入侵检测模块监测机器学习阶段某一组向量出现未检测到的源/目的IP地址SIP或未使用的端口号SD或未出现的组合，即出现非法IP或非法端口或非法组合，则判断该组向量异常，否则判断该组向量正常，并进入步骤(3.2)进行下一步判断；

(3.2)、根据源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD确定通信的双方，若时刻值T通信双方的通信数据包数量N在合法的通信数据包的上限阈值和下限阈值之间，则判断该组向量正常，否则判断该组向量异常；

(4)、建立入侵检测模型

将步骤(3)中得到的M×X组正常或异常的向量进行机器学习，其正常向量对应的输出设置为1，异常向量对应的输出设置为0，从而建立起入侵检测模型；

(5)、利用入侵检测模型对通信数据进行异常流量检测