[发明专利]一种基于机器学习的不可解析网络数据特征选择的攻击检测方法

权利要求书

1.一种基于机器学习的不可解析网络数据特征选择的攻击检测方法，其特征在于，包括如下步骤：

步骤1：实时抓取工控系统通信过程中控制层与现场设备层间通信网络数据包，完成网络数据包预处理；

步骤2：特征提取与构建，即深入解析工控系统中中间人、重放大流量攻击这两种攻击模式，由于数据包协议不可解析性，在数据包周期、长度信息的基础上构建新的数据特征，该数据特征包括发送周期内数据包之间的长度差值、周期间相同长度数据包的时间差值、数据包收发频率；根据数据包周期、长度信息构建的新的数据特征与数据包原有的数据特征共同组成用于模型训练的数据特征，所述数据包原有的数据特征包括数据包帧头信息，所述数据包帧头中具有时间t、数据包长度length两种数据信息；从数据包周期出发，选择每相邻的两个相同长度数据包i和j的时间间隔作为数据包i的特征量，与原有特征综合得到现有不可解析数据包的特征向量：

考虑到一个周期内相同长度的数据包数量共有n个，第n个数据包序列设为σ_n，特征向量：

同时考虑数据包在一个周期内的位置序列，通过比对周期内相邻数据包长度差值，即可确定该数据包周期内序列是否正确，将作为数据包i的新特征量：

考虑到周期内可能具有相邻长度差相同的数据包对共m对，特征向量：

从数据包收发时间特征出发，提取数据包收发频率特征f，f为数据包i前ΔT时间内通信过程中收发数据包个数，构成特征向量：

基于周期内相同长度数量数据包个数n，具有相邻长度差相同的数据包对m对，最终用以下向量表示协议不可解析数据包i的数据特征：

步骤3：在步骤2)的基础上，完成数据包预处理以及攻击数据包和正常数据包标定，建立工控网络训练集；

步骤4：基于机器学习方法建立工控网络攻击检测模型，并利用步骤3)得到的工控网络训练集训练所述模型；

步骤5：利用步骤4)训练好的工控网络攻击检测模型判断网络数据包是否异常，完成工控网络的攻击检测。

2.根据权利要求1所述的一种基于机器学习的不可解析网络数据特征选择的攻击检测方法，其特征在于：所述步骤1中，对通过抓包工具抓取的通信网络数据包进行预处理，包括对IP地址、协议类型等非数值信息完成数值转化，转化过程具体为：将IP地址的四位信息转化为四位数值信息，将q种协议类型依次转化为0，1，2，…，q-1。