[发明专利]一种基于孤立森林的分布式规约攻击检测方法及系统

权利要求书

1.一种基于孤立森林的分布式规约攻击检测方法，其特性在于，包括：

根据孤立森林算法对含有攻击数据的数据集进行分类，得到异常数据；所述孤立森林算法的步骤包括，

建立i棵子树，构建iForest；

从数据集D中随机选取n个样本点作为所述i棵子树的根节点；

若当前树的高度超过设置高度h，则返回子树，否则，随机选择一个特征q；

所述随机在特征q的最大值和最小值之间选择切分点p；

将小于所述p的样本放入左子节点，将大于所述p的样本放入右子节点；

在子节点中递归判断当前树的高度到判断所述p所放节点的步骤；

利用构建好的iForest计算样本得分Iso_anomaly_score；

将所述样本得分进行升序排序；

对阈值threshold进行限制；

输出小于所述阈值的数据；

基于分类得到的异常数据结合关联规则算法提取未知攻击的攻击特征，生成所述异常数据的关联规则；

所述关联规则算法包括，

扫描全部数据，产生候选集的集合C₁；

根据最小支持度，由候选集集合C₁产生频繁项集的集合；

对k1，重复执行连接和剪枝操作、产生频繁项集集合操作：

由L_k执行连接和剪枝操作，产生候选(k+1)项集的集合C_k+1；

根据所述最小支持度，由候选(k+1)项集的集合C_k+1，产生频繁项集(k+1)项集的集合；

若L≠0，则k＝k+1，跳往所述执行连接和剪枝操作步骤；否则，

根据最小置信度，由频繁项集产生强关联规则，结束；

基于分布式网络规约仿真软件，搭建分布式网络规约通信的攻击检测系统，将所述关联规则添加到所述攻击检测系统，得到规则扩充后的攻击检测系统；

利用攻击工具对所述攻击检测系统进行攻击，根据检测规则进行攻击检测与预警，实现分布式规约的攻击检测；针对所述分布式网络规约协议的检测规则包括，

针对任何访问分布式网络规约服务器端20000端口次数超过20次的访问者进行告警；

针对任何访问分布式网络规约服务器端20000端口，并对功能码21进行访问的访问者进行告警；

针对访问者在分布式网络规约端口上没有进行分布式网络规约协议的通信发出告警；

针对任何访问分布式网络规约服务器端20000端口，并对功能码13进行访问的访问者进行告警；

针对任何非已经设定好的分布式网络规约客户端访问分布式网络规约服务器端20000端口，将其视为没有权限的用户，因并进行告警；

针对任何非已经设定好的分布式网络规约客户端访问分布式网络规约服务器端20000端口，并访问功能码1，将其视为没有访问PLC权限的用户，并进行告警；

针对任何访问分布式网络规约服务器端20000端口且访问功能码18的访问者，将其视为非法停止程序运行，并进行告警。

2.如权利要求1所述的基于孤立森林的分布式规约攻击检测方法，其特征在于：所述攻击包括中间人攻击、分布式网络规约数据包修改和注入攻击、以分布式网络规约应用层为目标的分布式拒绝服务攻击以及分布式网络规约冷重启消息攻击。

3.如权利要求2所述的基于孤立森林的分布式规约攻击检测方法，其特征在于：通过防火墙单元(201)与snort攻击检测单元(202)捕获攻击行为数据。

4.如权利要求3所述的基于孤立森林的分布式规约攻击检测方法，其特征在于：所述防火墙单元(201)捕获的攻击行为数据包括，

其中，表示攻击序列，表示不同的攻击个体。

5.如权利要求4所述的基于孤立森林的分布式规约攻击检测方法，其特征在于：所述snort攻击检测单元(202)包括，

其中，表示snort攻击检测单元(202)捕获的攻击，表示攻击总数，表示snort攻击检测单元(202)捕获的攻击个体。

6.一种基于孤立森林的分布式规约攻击检测系统实现如权利要求1所述的方法，其特性在于，包括：

通信模块(100)包括分布式网络规约服务器端(101)以及客户端(102)，用于实现分布式网络规约的仿真通信；

攻击检测模块(200)与所述通信模块(100)进行连接，其包括防火墙单元(201)和snort攻击检测单元(202)，所述防火墙单元(201)和所述snort攻击检测单元(202)相连接，用于对分布式网络规约协议常见的攻击进行检测。