[发明专利]一种检测工控网络应用层协议报文长度异常的方法

说明书

本发明公开了一种检测工控网络应用层协议报文长度异常的方法，根据设备的基于TCP的应用层协议报文长度采样样本、基于UDP的应用层协议报文长度采样样本以及基于二层的应用层协议报文长度采样样本，计算出设备的基于不同传输层的应用层协议报文长度可信区间。在检测阶段，应用层协议报文长度采样值落入可信区间的外部是小概率事件，或者是不可能事件，从而判断设备的应用层协议报文是否异常。本发明期望提供一种方法，能够检测出网络中应用层协议报文的异常情况，特别是工业网络中的异常应用层协议报文，从而有效地发出警告信息。该方法不需要对网络流量进行协议的深度解析，可以与白名单方法结合起来使用。

技术领域

本发明涉及工业信息安全技术领域，尤其涉及一种检测工控网络应用层协议报文长度异常的方法。

背景技术

随着信息技术的发展，工业控制系统逐步走向开放，互联，通用。很多工业控制协议逐渐运行于工业以太网上,针对工业控制系统的攻击也更加普遍。目前，网络中基于机器学习的异常流量检测技术主要是白名单。这种方法有其使用场景，但也存在其使用限制性。

基于白名单方法的异常流量检测，主要通过协议深度解析方法实现，这种检测方法原理是首先针对协议报文进行机器学习，在学习阶段监测协议报文，根据协议标准规范生成一套白名单作为行为标准。在检测阶段，根据监测到的协议报文的协议格式对网络流量进行深度解析，并将解析结果与白名单进行比对，如果不命中白名单则认为是异常流量。

白名单方法依赖于协议标准规范，对于公开的协议，比较有效，但对于私有协议以及专用协议，则无法实现异常检测。

发明内容

本发明目的是针对上述问题，提供一种检测工控网络应用层协议报文长度异常的方法，通过检测网络设备应用层协议报文长度的方法，能够检测出网络中应用层协议报文的异常情况，特别是工业网络中的异常应用层协议报文，从而有效地发出警告信息。该方法不需要对网络流量进行协议的深度解析，可以与白名单方法结合起来使用。

为了实现上述目的，本发明的技术方案是：

一种检测工控网络应用层协议报文长度异常的方法，包括以下步骤：

S1、利用网络中部署的探针设备采集网络流量，对网络中的每台设备的不同传输层之上的应用层协议报文长度进行采样，形成各个设备的不同传输层之上的应用层协议报文长度采样样本；

设定我们总共对M台设备进行基于TCP的应用层协议报文长度采样，则可以获得如下表所示的采样样本数据；

设定设备m的基于TCP的应用层协议报文长度采样样本个数是N_m,tcp，表示设备m的基于TCP的应用层协议报文长度采样样本中的第n个采样点；

S2、同理获得对M台设备进行基于UDP的应用层协议报文长度采样数据，假定设备m的基于UDP的应用层协议报文长度采样样本个数是N_m,udp，表示设备m的基于UDP的应用层协议报文长度采样样本中的第n个采样点；

S3、同理获得对M台设备进行基于二层的应用层协议报文长度采样数据；假定设备m的基于二层的应用层协议报文长度采样样本个数是N_m,L2，表示设备m的基于二层的应用层协议报文长度采样样本中的第n个采样点；

S4、根据设备应用层协议报文长度的采样样本计算出可信区间，

每台设备的基于TCP的应用层协议报文长度样本的采样最大值，采样最小值、样本均值、以及样本标准差；

对设备m的基于TCP的应用层协议报文长度采样样本计算公式如下：