[发明专利]面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统

说明书

本发明公开了一种面向控制网络工业计算机IPC(Industrial PC)的多层精准主动网络攻击检测方法，以检测是否存在针对工业网络中的控制核心IPC的主动网络攻击。该方法分为IPC网络通信数据采集、数据分析和异常检测三部分，IPC网络通信数据采集部分负责收集包括以IPC为发送及接收方的、面向TCP/IP全协议栈的多层通信数据；数据分析部分基于主动网络攻击分类特征建立面向IPC的多层主动网络攻击检测数据模型，结合机器学习及样本均衡处理方法，自动标记和进行样本训练，从而自主学习主动网络攻击特征，生成面向IPC的主动网络攻击检测模型；异常检测部分采用上述检测模型实时检测IPC通信数据是否存在主动网络攻击异常行为。

技术领域

本发明属于工业控制技术领域，具体涉及面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统。

背景技术

工业控制系统广泛应用于化工、电力传输、发电、交通运输、油气开采、烟草等重要行业和领域，互联网的发展导致工业控制系统由最初的封闭状态转向全网融合，造成工业控制系统中广泛使用的私有协议设计和实现中的漏洞暴露给攻击者，带来了巨大的威胁。最初工业控制系统在设计时重点考虑了系统的可用性、实时性和业务连续性，没有就将信息安全最为重点关注对象。2015年乌克兰大面积停电，2017年勒索病毒肆虐全球，为工控安全拉响警报。

控制网络包括控制网络工业计算机、HMI、编程器等工控设备，分别负责对现场设备的逻辑控制、指令监控以及工控程序的编写。控制网络是整个工控系统的操作枢纽也最容易遭受攻击，因此对控制网络的异常检测极为重要。

目前控制网络安全检测方案主要存在以下三方面问题：1）目前的控制网络异常检测方法主要针对简单工控通信协议自身面临威胁的可编程逻辑控制器进行，没有对功能更强大、使用TCP/IP全栈协议的工业计算机面临的威胁进行系统分析；2）当前的异常检测方法没有全面分析工业计算机在控制网络中面临的主动网络攻击类型及行为特征；3）现有工业控制网络中获取的正常流量数量远高于不同的攻击流量，如果直接用于学习，将导致攻击流量难以得到充分学习，导致检测模型准确率降低。

发明内容

本发明的目的在于克服现有技术的不足，提供一种面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统，在保证工业计算机性能的同时，采集工业计算机控制网络多层安全数据，建立面向控制网络工业计算机的多层主动网络攻击检测数据模型，结合机器学习及样本均衡处理方法，自动学习和检测控制网络工业计算机面临的主动网络攻击。

一种面向控制网络工业计算机的多层精准主动网络攻击检测方法，包括：

建立控制网络工业计算机面临的主动网络攻击特征库，将攻击特征对应于TCP/IP协议栈每层数据，生成面向控制网络工业计算机的多层主动网络攻击检测数据模型；

采集、解析控制网络工业计算机通信数据包，获取训练样本；

根据控制网络工业计算机所处受控环境进行训练样本标记，受控环境分为正常业务环境和攻击环境；

采用样本均衡算法对标记类型数量过少的样本做欠采样均衡处理；

利用机器学习算法对欠采样均衡处理后的样本数据进行自主学习，生成工业计算机的控制网络多层安全数据精准异常检测模型；

将工业计算机的控制网络多层安全数据精准异常检测模型应用到控制网络工业计算机中，实时检测针对控制网络工业计算机的主动网络攻击。

进一步地，所述主动网络攻击特征分为探测扫描攻击和实际攻击两类，其中实际攻击包括拒绝服务类和伪造类，

通过查看是否存在异常IP地址发送探测数据包并结合数据包的发送时间来判断是否属于探测扫描攻击；

通过查看是否存在异常IP发送大量SYN请求数据包来判断是否存在拒绝服务类攻击；

通过对IP地址、MAC地址以及应用层工业控制协议中的设备号的异常数据的训练识别伪造类攻击。