[发明专利]一种基于工业控制网络变种攻击的入侵检测规则创建方法

说明书

本发明公开一种基于工业控制网络变种攻击的入侵检测规则创建方法，通过分析ModbusTCP工控协议的脆弱性，设计总结了针对ModbusTCP异常流量的现有规则库，并结合目前工控网络常见的攻击变种方式，对遗传算法加以改进，来自动创建入侵检测规则，创建的规则根据其适应值来存储，能够有效的检测到变种攻击，扩充规则库，具有检测准确率高，实时性强的特点。

技术领域

本发明属于工业控制网络技术领域，特别涉及一种基于工业控制网络变种攻击的入侵检测规则创建方法。

背景技术

工业控制系统(Industrial Control Systems,ICS)是由计算机设备与工业过程控制部件组成的自动控制系统。目前，已经成为国家关键基础设施的重要组成部分，广泛应用在电力传输、交通运输、油田开采、食品制药等重要领域，实现设施的自动化作业。

随着工业化与信息化进程的不断交叉融合，越来越多的信息和计算机技术被广泛应用于工业控制领域。规范便利的工业以太网的使用以多种方式与企业网络之间建立了连接。这使得工业控制系统被普通计算机网络中存在的恶意程序或者网络攻击破坏的风险大大增加。攻击者可以通过工控设备漏洞、TCP/IP协议缺陷、工业软件漏洞等多种安全缺陷，构建更加隐蔽的攻击方法。而攻击者为了躲避检测，乐此不疲地更新功能或在一些攻击特征上进行修改，制作出更多的变种攻击，导致检测手段失效。因此工业控制系统面临严重的信息安全问题。

所以，为解决工控网络的信息安全问题，学术界和工业界都在积极的寻找合适的解决方案。目前，基于工业控制网络的入侵检测主要分为误用入侵检测和异常入侵检测。基于特征的入侵检测系统能够检测具体的入侵类型，具有误报率低的特点，但传统的入侵检测规则需要专家手工建立，不能适时改变，不利于规则库的建立和升级。因此，本发明提出了基于工业控制网络变种攻击的入侵检测系统。

发明内容

为了解决上述问题，本发明提出了一种基于工业控制网络变种攻击的入侵检测规则创建方法，通过将遗传算法应用于入侵检测规则学习中，并结合攻击变种的特点，自动生成多条攻击变种的入侵检测规则。其能有效的对本发明提出的变种攻击的行为进行检测，实时性较强。

为了达到本发明的目的，采用如下的技术方案：

一种基于工业控制网络变种攻击的入侵检测规则创建方法，包括以下步骤：

数据采集步骤：通过数据采集模块利用WinPcap从工控网络中捕获网络数据包，通过判断网络数据所属协议，依据ModbusTCP协议的502端口，将数据包分别保存于缓存队列中；

数据解析步骤：通过数据解析模块从缓存队列中获取数据包，通过深度数据包解析技术解析ModubsTCP协议的应用层的数据字段；

规则训练步骤：通过规则训练模块依据学习配置文件输入的规则样本，判断样本类型是单规则还是双规则，并依据该样本创建好相应的数据包，以便后续计算；若样本为单规则，则依据规则管理模块提供的特征字典进行选择，生成的初始种群为单规则形式；若为双规则，则生成的初始种群两种皆可，之后进行交叉、变异，产生子代，再根据选择的初始样本创建的相应数据包；根据适应函数模块计算各自的适应值，依据适应值大小进行锦标赛选择，生成新的一代，并根据输入的训练次数进行迭代循环，直到结束；最后选取其中的前三大适应值高的规则为训练结果；规则文件中保存选择的原始规则样本和训练后的三个新规则；