[发明专利]一种基于工业控制网络变种攻击的入侵检测规则创建方法

权利要求书

1.一种基于工业控制网络变种攻击的入侵检测规则创建方法，其特征在于，包括以下步骤：

数据采集步骤：通过数据采集模块利用WinPcap从工控网络中捕获网络数据包，通过判断网络数据所属协议，依据ModbusTCP协议的502端口，将数据包分别保存于缓存队列中；

数据解析步骤：通过数据解析模块从缓存队列中获取数据包，通过深度数据包解析技术解析ModubsTCP协议的应用层的数据字段；

规则训练步骤：通过规则训练模块依据学习配置文件输入的规则样本，判断样本类型是单规则还是双规则，并依据该样本创建好相应的数据包，以便后续计算；若样本为单规则，则依据规则管理模块提供的特征字典进行选择，生成的初始种群为单规则形式；若为双规则，则生成的初始种群两种皆可，之后进行交叉、变异，产生子代，再根据选择的初始样本创建的相应数据包；根据适应函数模块计算各自的适应值，依据适应值大小进行锦标赛选择，生成新的一代，并根据输入的训练次数进行迭代循环，直到结束；最后选取其中的前三大适应值高的规则为训练结果；规则文件中保存选择的原始规则样本和训练后的三个新规则；

规则检测步骤：通过规则检测模块将生成规则文件加载到系统中，获取所要检测的规则，并判断所选规则的形式；若选择的是单规则，则将数据解析模块解析的数据信息与每一个规则特征进行匹配，若与规则的每个特征完全匹配，则产生报警信息，否则丢弃该包，检测下一个数据包信息；若选取的是双规则，则判断响应包是否存在对应的请求包或请求包是否存在对应的响应包，若存在，则将请求响应包与双规则进行匹配，若完全匹配，则存在异常，产生报警信息，否则丢弃，匹配下一个；若选择的规则包含单规则和双规则，则先找到响应包对应的请求信息，若存在，则分别将两个数据包与每个单规则进行特征匹配，若其中一个完全匹配，则报警，否则，继续与双规则进行匹配，匹配则产生报警信息。

2.根据权利要求1所述的基于工业控制网络变种攻击的入侵检测规则创建方法，其特征在于：规则训练步骤的具体过程包括：

步骤21，启动规则训练模块；

步骤22，从学习配置文件中获取输入的规则样本序号和训练的规则次数；

步骤23，依据规则样本序号，从规则管理模块中提取样本规则信息，保存规则形式；

步骤24，创建规则样本对应的数据包；

步骤25，从规则管理模块获取特征字典信息；

步骤26，启动遗传算法

步骤27，判断样本规则是否为单规则形式；如果是，则执行步骤28，如果不是执行步骤29；

步骤28，从特征字典中筛选特征频率大于选择判定值的单规则形式特征，排除描述双规则的特征，组成单规则形式的初始个体，并为初始个体的每个特征赋予初始范围值；

步骤29，判断样本规则是否是双规则形式；如果是，则执行步骤210，如果不是执行步骤22；

步骤210，从特征字典中筛选特征频率大于选择判定值的能描述双规则形式的特征，生成双规则形式的初始个体，并为初始个体的每个特征赋予初始范围值；

步骤211，同理，依据上一步骤方法依次筛选，达到初始种群；

步骤212，从初始种群中随机挑选两个个体为父代；

步骤213，父代进行交叉，其中一个为主父母，另一个为次父母；产生的子代含有与主父母相同的特征字段；

步骤214，子代的每个特征字段都会产生一个随机判定值，判断其判定值是否大于交叉概率Pc；如果是，则执行步骤215，如果不是，则执行步骤216；

步骤215，选择该特征，该特征取值为主父母的值，之后执行步骤217；

步骤216，该特征的取值为次父母的值；若次父母不存在该特征，则默认值为主父母的值，之后执行步骤217；

步骤217，交叉完成，生成新子代个体；

步骤218，对新子代的每个特征字段产生一个0-1的随机判定值；

步骤219，判断每个特征的随机判定值是否小于变异概率Pm；如果是，执行步骤220，如果不是，执行步骤221；

步骤220，选择该特征，对该特征的值进行变异，之后执行步骤222；

步骤221，该特征的值保持不变，之后执行步骤222；

步骤222，变异完成，生成新的候选规则；

步骤223，依据适应函数模块，并结合步骤24创建的数据包，计算每个规则的适应值，并将规则与之对应的适应值保存到字典中，以便更新；

步骤224，依据规则适应值，进行锦标赛选择算法排序；

步骤225，判断是否满足训练迭代次数；如果是，执行步骤226，如果不是，执行步骤227；

步骤226，从中挑选适应值最大的前三大规则为本次训练的最优规则，并保存到列表中，之后执行步骤228；

步骤227，挑选并生成新一代初始种群，淘汰适应值低的个体；并执行步骤212；

步骤228，停止规则训练。