[发明专利]一种面向工控网络的高效入侵检测系统

说明书

本发明提出一种面向工控网络的高效入侵检测系统，包括数据包捕获系统，数据包解析系统和基于TensorFlow的检测系统，所述数据包捕获系统采用DPDK进行数据包捕获，然后数据包解析系统将捕获的数据包进行层层解析，提取特征入队到共享内存中；所述基于TensorFlow的检测系统加载离线训练的模型，不断从共享内存中取出特征作为输入进行检测，最后把检测结果上送至Web端。

技术领域

本发明涉及一种入侵检测系统，尤其涉及一种面向工控网络的高效入侵检测系统。

背景技术

随着德国的“工业4.0”、美国的“再工业化”风潮等国家战略的推出，以及云计算、大数据、人工智能、物联网等新一代信息技术与制造技术的加速融合，工业控制系统由从原始的封闭独立走向开放、由单机走向互联、由自动化走向智能化。在工业企业获得巨大发展动能的同时,也出现了大量安全隐患，伊朗核电站遭受“震网”病毒攻击事件、乌克兰电网遭受持续攻击事件和委内瑞拉大规模停电事件等更为我们敲响了警钟。工控系统作为国家关键基础设施的重要组成部分，其安全关系到国家的战略安全、社会稳定，工业控制系统安全具有重大的意义与价值。

入侵检测系统作为维护网络安全的重要网络安全产品，也常常用于工业场景中，来检测攻击。传统入侵检测系统采用基于规则的方法，所谓规则是指恶意程序的签名和对恶意行为的描述，与规则相匹配的程序代码或网络行为会被检测为攻击。从实际应用情况来看，基于规则的入侵检测系统可以有效防御已知攻击方面，但由于基于规则只能使用固定的特征模式来检测入侵，对做过变形的攻击无法检测，因此容易被逃避检测。除此之外，基于规则的入侵检测对于新型攻击也素手无策。

现有技术中，基于异常的入侵检测方法主要采用机器学习的方法，通过大量流量数据的学习，然后使用训练好的机器学习模型检测入侵行为。与规则检测相比，基于异常的检测方法难以被认为的绕过，在一定程度上提升了入侵检测的能力，但目前对于机器学习在入侵检测中的应用，大多数关注于算法，缺少可以方便加载机器学习模型的检测引擎。

发明内容

本发明提出一种面向工控网络的高效入侵检测系统，包括数据包捕获系统，数据包解析系统和基于TensorFlow的检测系统，所述数据包捕获系统采用DPDK进行数据包捕获，然后数据包解析系统将捕获的数据包进行层层解析，提取特征入队到共享内存中；所述基于TensorFlow的检测系统加载离线训练的模型，不断从共享内存中取出特征作为输入进行检测，最后把检测结果上送至Web端。

进一步，所述数据包捕获系统使用Intel DPDK进行抓包的方式为轮询驱动方式，并通过设置CPU亲和性，将数据包处理线程绑定到固定核心。

进一步，所述数据包捕获系统采用无锁结构，数据包队列缓存和包括两个线程之间的数据交换均采用无锁队列进行数据交换。

进一步，所述数据包捕获系统实现两种线程模型，包括多线程模型和Pipeline模型，所述多线程模型适用于网卡或者网卡队列较多且流量比较均衡的场景，首个模块完成抓包，其他模块依次处理，直至最后上报警报信息；所述Pipeline模型，Pipeline模型适用于网卡或者网卡队列较少，对于同一个网卡队列，只用一个线程去取回数据包。

进一步，所述数据包解析系统采用插件式的报文解析模块，将不同的处理功能按照统一的结构化的模板封装成具有相同接口的插件类，所述插件类被编译为不同的动态链接库，在需要调用时加载，然后程序按照配置文件加载相应的插件式的报文解析模块。

进一步，所述插件化的报文协议解析模块包括协议识别函数和协议解析函数；所述协议识别函数进行识别数据包的具体协议，对于工控协议通过识别特定字段或者识别特定的特征值；在所述协议识别函数识别出具体协议后，调用所述协议解析函数进行深度解析，解析出协议中各个字段的值。