[发明专利]一种用于工业控制系统入侵检测方法及系统在审
| 申请号: | 201910804357.8 | 申请日: | 2019-08-28 |
| 公开(公告)号: | CN110535854A | 公开(公告)日: | 2019-12-03 |
| 发明(设计)人: | 张富强;蒋茹;马妙博 | 申请(专利权)人: | 南京市晨枭软件技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06N20/20 |
| 代理公司: | 32360 南京泰普专利代理事务所(普通合伙) | 代理人: | 窦贤宇<国际申请>=<国际公布>=<进入 |
| 地址: | 211100 江苏省南京市麒麟*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种用于工业控制系统入侵检测方法及系统,包括以下步骤:通过带镜像口的交换机设备利用抓包软件抓取工业控制系统流入程序的数据包,并对数据包进行解析;将上述数据包解析结果发送给IDS的命令解析器;所述命令解析器将接收到的所述数据包解析结果与预先设置的规则库中对应的攻击特征进行匹配;如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功。有益效果:能够通过集成学习模型检测出恶意入侵程序,并及时暂停工业控制系统的运行和发出声光报警,同时还能够将该恶意入侵程序添加到规则库中,能够不断的扩充规则库,从而增加了工业控制系统入侵检测的智能性、准确性和检测效率。 | ||
| 搜索关键词: | 工业控制系统 规则库 数据包解析 命令解析器 攻击特征 入侵检测 数据包 入侵 抓取 交换机设备 集成学习 模型检测 匹配成功 声光报警 预先设置 抓包软件 镜像口 智能性 解析 匹配 检测 | ||
【主权项】:
1.一种用于工业控制系统入侵检测方法,其特征在于,包括以下步骤:/n通过带镜像口的交换机设备利用抓包软件抓取工业控制系统流入程序的数据包,并对数据包进行解析;/n将上述数据包解析结果发送给IDS的命令解析器;/n所述命令解析器将接收到的所述数据包解析结果与预先设置的规则库中对应的攻击特征进行匹配;/n如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功,则属于恶意入侵程序,并且命令解析器发出警报并暂停工业控制系统的运行;/n如果判断出数据包解析结果与规则库中对应的攻击特征匹配失败,则将对数据包进行协议解析工作,识别、提取其中有效特征,包括:通信数据的源IP地址、源端口号、目的IP地址、目的端口号、包间隔时间、包发送时间、包功能码;/n在上述提取的有效特征中,利用专家知识或者机器学习特征选择技术,选择合适的特征建立特征集;/n对特征集中的数据进行预处理,将每一条网络通信报文处理成一条标准化的多维向量数据;/n将上述处理后的多维向量数据输入到集成学习模型中,对有标签的工业控制系统通信数据进行有监督学习,并在实时检测时,对到来的每一个工业控制系统通信数据包判断是否为异常数据;/n若检测到有异常数据,则判断属于恶意入侵程序,然后命令解析器发出警报并暂停工业控制系统的运行,并将提取攻击特征并添加到上述规则库中;/n若未检测到有异常数据,则判断不属于恶意入侵程序。/n
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南京市晨枭软件技术有限公司,未经南京市晨枭软件技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910804357.8/,转载请声明来源钻瓜专利网。
