[发明专利]一种基于双重相似性度量的工业通信异常检测方法

说明书

一种基于双重相似性度量的工业通信异常检测方法，该方法依据工业通信交互方式和工业协议规约，分析工业控制网络中通信数据并提取工业通信行为特征，通过这些特征构建行为特征树，分别进行树内相似性度量和树间相似性度量，从而发现工业控制网络中异常的通信情况。本发明创造通过以上方法，能够综合考虑一般网络行为特征以及工业协议语义特征，通过对工业通信数据的实时分析与异常判定，检测由恶意攻击或误操作所引起的工业通信异常并产生报警，保障工业控制系统安全。

技术领域

本发明涉及工业控制系统网络安全技术领域，更具体的说是涉及一种基于双重相似性度量的工业通信异常检测方法。

背景技术

当前我国工业控制系统的信息安全风险隐患尤为突出，形势十分严峻。根据美国国土安全部下属工业控制系统网络应急响应小组的安全报告，近几年针对工业控制系统的信息安全事件呈阶梯式增长趋势，其中能源、制造等行业占比最大。尤其是近几年互联网与工业控制系统的融合，打破了工业系统原始固有的封闭性，随之的信息安全问题也日益暴露出来。

工业控制系统是由各种自动化控制组件以及对实时数据进行采集和监测的过程控制组件共同构成的、确保工业基础设施自动化运行和过程控制与监控的业务流程管控系统。相比于传统的网络与信息系统，大多数的工业控制系统在开发设计时，需要兼顾应用环境、控制管理等多方面因素，首要考虑效率和实时特性，并且在工业控制系统建立之初仅关注功能安全，而缺少对信息安全的相关设计，工业控制系统普遍缺乏有效的工业安全防御及数据通信保密措施。另外，工业控制系统的信息安全必须优先保障所有系统部件的可用性和可靠性，传统IT信息安全技术，如防火墙、放病毒软件等，无法适应工业控制系统的特点，不能直接应用到工业控制系统中。

为此，研究人员已经着手开展适应于工业控制系统自身特点的信息安全防护技术，典型地包括：工业防火墙、工业网闸、工业软件白名单技术以及工业入侵检测等。其中工业入侵检测包括特征检测和异常检测两部分，而异常检测通过与正常行为间的匹配实现异常行为发现，在不干扰工业控制系统实时性和可用性的前提下，无需预先了解攻击的特征形式，能有效地检测未知攻击，已经得到了研究人员的一致认可。目前针对工业控制系统的异常检测方法主要涉及三类：基于统计的方法、基于知识的方法和基于机器学习的方法。其中基于机器学习的方法又包括聚类、神经网络、贝叶斯算法、遗传算法、模糊逻辑、支持向量机等技术。一般情况下，这些方法都是从工业通信行为的特征出发，通过采用无监督或者半监督的手段，获取工业控制网络中的通信数据进行分析，构建正常的通信行为模型，通过计算与正常通信行为模型的偏差，判别是否出现异常。

上述工业异常检测方法往往仅仅从工业网络通信的某一个侧面去提供异常检测的能力，比如说很多基于统计的方法采用CUSUM算法去计算工业通信流量的异常变化点、基于机器学习的方法针对某一工业活动的变化(比如功能码的变化)来实现异常发现，缺少对所有工业通信特点的全方位考虑，其异常检测的能力是有限的，同时在异常检测引擎方法采用上也具有片面性。

发明内容

本发明的进一步目的是提供一种基于双重相似性度量的工业通信异常检测方法，依据工业通信交互方式和工业协议规约，分析工业控制网络中通信数据并提取工业通信行为特征，通过这些特征构建行为特征树，分别进行树内相似性度量和树间相似性度量，从而发现工业控制网络中异常的通信情况。该方法通过树内、树间两种相似性度量算法，能够有效、全方位的提升异常检测能力，实时发现工业网络通信中的已知和未知攻击，保护工业系统、网络与设备安全。

为了实现上述目的，本发明创造采用的技术方案为：一种基于双重相似性度量的工业通信异常检测方法，其特征在于，其步骤为：

1)工业通信行为特征的分类与选择：将工业通信数据按相同的时间间隔划分成不同的消息样本，依据工业通信协议的协议规约和工业通信交互方式，提取工业通信行为特征，构成特征空间；

2)构建工业行为特征树：根据每一个消息样本的特征空间，分别构建工业行为特征树的主分枝、次分枝和叶子节点，从而使每一个消息样本用一个工业行为特征树表示；