[发明专利]一种面向工控系统的入侵检测规则匹配优化方法

权利要求书

1.一种面向工控系统的入侵检测规则匹配优化方法，其特征在于：包括以下步骤：

步骤(1)按照工控系统网络拓扑及业务系统实际情况，整理工控系统业务合理访问列表，包括工控系统内部之间的访问及内部和外部的交互访问，整理访问关系对应的协议、源地址、源端口、目的地址、目的端口信息，由工控系统业务合理访问列表能够得到非受控访问列表；再利用漏扫工具对工控系统进行漏洞扫描，得到漏洞列表，该漏洞列表含漏洞危害程度级别的评分数据、节点IP及端口，然后利用配置核查工具对工控系统进行配置核查，得到安全配置脆弱性列表，该安全配置脆弱性列表含脆弱性评分数据、节点IP及端口，漏洞扫描及配置核查整理的节点IP及端口形成危险访问列表，完成工控系统资产信息的整理；

步骤(2)对检测规则库中的规则进行聚类分析，规则库中每条规则包括规则头和规则选项两部分，对规则库D，有s条规则，从规则头的协议、源地址、源端口、目的地址、目的端口、方向操作符共6个属性中选取m个特征属性，其中3≤m≤6，特征数据根据步骤(1)中整理的合理访问列表、非受控访问列表、危险访问列表得到，如特征属性属于合理访问列表则对应的特征数据取0.3，如特征属性属于非受控访问列则对应的特征数据取0.6，如特征属性属于危险访问列表则对应的特征数据取0.9；从规则选项的IP查看选项域、IP包头的分片位、数据包数据段的大小、TCP标志、TCP包的序列号、TCP包的确认域、回送包的标志符、在数据包的数据段中搜索模式、搜索的偏移量、搜索最大深度共10个属性中选取n个属性作为攻击特征属性，其中3≤n≤10，攻击特征数据根据规则选项参数得到，如规则选项参数为数值，特征数据取该值，如规则选项参数为多个选项中的一个，取序号值，规则选项参数为空的取0；从规则头和规则选项两部分共选取k个特征属性，其中k＝m+n，采用均值聚类算法对规则库中的规则进行聚类；将聚类个数设置为3，选取三条规则，第一条规则：规则头与 工控系统危险访问列表中某一记录对应，且规则选项与工控系统漏洞或安全配置脆弱性列表中某一记录对应，特征属性值为中位数；第二条规则：规则头及规则选项仅一项存在对应关系；第三条规则：规则头及规则选项都不存在对应关系；以第一条规则、第二条规则、第三条规则分别作为高级、中级、低级三级规则的聚类中心；对于规则库中的某条规则，计算其到三个聚类中心的欧式距离，根据距离值的大小将规则分到距离最小的聚类中，得到3个聚类；

步骤(3)计算每条规则匹配成功后对应的威胁值，对高级规则聚类中的规则，威胁值由规则头的特征数据、漏扫结果的漏洞评分或配置核查结果的安全配置脆弱性评分相乘得到；对中级及低级规则聚类中的规则，威胁值由规则头的特征数据、规则的动作级别对应的威胁评分相乘得到，并在规则库的3级聚类中进行排序；

步骤(4)对工控系统中数据包进行入侵检测的过程中，提取数据包的特征信息后，在特征信息与规则进行匹配时，匹配过程按照先高级、再中级、最后是低级的规则聚类进行，对每级内的规则匹配按照排序进行。

2.根据权利要求1所述的一种面向工控系统的入侵检测规则匹配优化方法，其特征在于：基于工控系统资产相关信息对匹配规则库进行分级和排序，能将工控系统面临的真正有效的、威胁程度高的攻击匹配提前，将试探性、骚扰性攻击的匹配推后，提高了检测的效率。

3.权利要求1所述的一种面向工控系统的入侵检测规则匹配优化方法，其特征在于：能够应用于分布式入侵检测系统，提升数据包并发检测能力。

4.根据权利要求1所述的一种面向工控系统的入侵检测规则匹配优化方法，其特征在于：如果漏洞危害程度级别的评分数据及安全配置脆弱性评分两者评分标准不一致，则需要换算成10分制。