[发明专利]一种基于机器学习的不可解析网络数据特征选择的攻击检测方法

说明书

本发明公开了一种基于机器学习的不可解析网络数据特征选择的攻击检测方法。本方法由数据获取预处理、特征提取与构建、基于机器学习攻击检测模型建立与检测三部分组成：数据预处理部分对网络数据数值化；特征提取与构建部分在深入解析工控网络攻击的基础上，基于数据包周期、长度信息完成数据特征的构建；建模部分是基于机器学习分类方法建立工控网络攻击检测模型。本发明能实时准确的检测工控系统网络中重放大流量攻击、中间人攻击等攻击形式，减少安全事故发生和带来的经济损失。

技术领域

本发明涉及一种工控网络攻击检测方法，具体地说，是一种利用机器学习，基于工控网络数据包特征工程完成工控网络特定攻击检测的方法，属于工控网络安全技术领域。

背景技术

工业互联网是互联网和新一代信息技术与全球工业系统全方位深度融合集成所形成的产业和应用生态，是工业智能化发展的关键综合信息基础设施。大型工控网络在带来设备智能化、便利的远程控制的同时也使其更加容易受到网络攻击的威胁。高技术含量的网络攻击手段不断出现，病毒日趋复杂，工业领域一旦受到网络攻击，将会造成巨大的经济损失。因此，研究适用于工控网络的实时攻击检测与定位技术进行安全防护显得极为重要。目前，主流的攻击检测方案大多是针对特定的工控系统场景，研究适用于该场景的算法，从而建立通信行为攻击检测模型，从而实现实时的、高精度的网络攻击检测。然而，主流的工控企业，例如中控、西门子、霍尼韦尔等，都在朝着私有化、高度加密化的方向开发产品。加密的网络数据使得攻击检测模型无法提取关键有效的特征进行推理决断，实用性和普适性得到限制。因此，研究基于加密的、协议不可解析的工控网络数据的特征提取与构建方法以及鲁棒的高性能的机器学习算法，实现加密网络的攻击检测进行安全防护显得极为重要。

目前常用的工控网络入侵检测方案是在通过网络数据数据包分析软件抓取工业通信过程中的网络数据包的基础上，引入适应网络数据特征的攻击检测算法，对构建的网络数据集进行训练测试，在满足攻击检测准确率和时间精度的要求下，建立工控网络攻击检测模型。现有的工控网络攻击检测方法主要是针对通用可解析网络数据，对加密未解析网络数据的攻击检测研究尚缺，同时由于工控网络系统受到攻击形式多变不一，基于常规机器学习算法的模型鲁棒性较差，可以将泛化能力高的集成学习方法应用到网络攻击检测中。

发明内容

为了加强工况系统的安全防护能力，工控现场控制层与现场设备层之间的通信普遍会进行加密和签名处理，加密的网络数据使得攻击检测模型无法提取关键有效的特征进行推理决断，本发明在深入解析异常攻击模式的基础上，设计一种基于周期和数据包长度特征的特征构建方案，并以SVM分类算法和集成学习自适应提升算法(Adaptive Boosting，AdaBoost)为重点，研究基于此重构特征的机器学习检测模型。

本发明是通过以下技术方案实现的：一种基于机器学习的不可解析网络数据特征选择的攻击检测方法，该方法包括如下步骤：

步骤1：实时抓取工控系统通信过程中控制层与现场设备层间通信网络数据包，完成网络数据包预处理；

步骤2：特征提取与构建，即深入解析工控系统中中间人、重放大流量攻击这两种攻击模式，由于数据包协议不可解析性，在数据包周期、长度信息的基础上构建新的数据特征，该数据特征包括发送周期内数据包之间的长度差值、周期间相同长度数据包的时间差值、数据包收发频率；

步骤3：在步骤2)的基础上，完成数据包预处理以及攻击数据包和正常数据包标定，建立工控网络训练集；

步骤4：基于机器学习方法建立工控网络攻击检测模型，并利用步骤3)得到的工控网络训练集训练所述模型；

步骤5：利用步骤4)训练好的工控网络攻击检测模型判断网络数据包是否异常，完成工控网络的攻击检测。