[发明专利]一种面向工控系统的入侵检测规则匹配优化方法

说明书

一种面向工控系统的入侵检测规则匹配优化方法，该方法包括：整理工控系统资产的IP、端口、漏洞、安全配置等信息，从匹配规则的规则头、规则选项选取多个特征属性，设置聚类中心为3，采用均值聚类算法把规则库中的规则分为三级，再由规则头特征数据、漏洞评分、配置脆弱性评分、规则动作的威胁评分计算规则匹配成功后的威胁值，并根据威胁值在分级聚类内排序；在对数据包进行入侵检测时，提取数据包的特征信息后，按分级和排序将特征信息与规则进行匹配。本方法能够按工控系统面临的真正威胁对规则库中的规则进行分级、排序，将骚扰性攻击对应的规则匹配推后，解决因规则数量庞大而引起的检测效率低下问题，提高检测效率。

技术领域

本发明涉及工控安全检测技术领域，具体涉及一种面向工控系统的入侵检测规则匹配优化方法。

背景技术

为保证工业生产网络安全，在工控系统中一般都配备了入侵检测设备，现有的主流技术包括误用检测、异常检测两种。对于采用误用检测技术的设备，由于厂家对于实际的工业生产环境缺乏深入的了解，为保证匹配规则的完备性，在规则库中保留了大量的检测规则，甚至存在很多无效的规则，在日常的使用过程中，安全运维人员会根据现场情况在设备中增加很多的检测规则，而入侵检测设备采用遍历的方式对数据包进行检测时，造成匹配效率低下，导致面临真正的能够对生产造成影响的网络入侵时，发现不够及时。

在实际的工业生产现场，工控系统经常面临试探性、骚扰性的攻击，入侵检测检测虽然也需要对此类攻击进行检测，但可以推后，应该将能真正造成伤害的攻击对应的检测规则往提前，如何根据工控系统资产存在的漏洞、安全配置脆弱性等信息对规则库中的规则进行分级和排序，是提高检测的针对性、时效性的关键；同时，因为规则数量的庞大及不断变化，依靠人工进行分类和排序并不现实。

发明内容

为了克服上述现有技术存在的问题，本发明提出了一种面向工控系统的入侵检测规则匹配优化方法，目的是结合工控系统资产的业务访问关系及安全特征属性对入侵检测设备规则库中的规则进行聚类分级、排序，在进行规则匹配时将有效且威胁值高的匹配提前，提高网络入侵的检测效率。

为达到上述目的，本发明采用如下技术方案：

一种面向工控系统的入侵检测规则匹配优化方法，包括以下步骤：

步骤(1)按照工控系统网络拓扑及业务系统实际情况，整理工控系统业务合理访问列表，包括工控系统内部之间的访问及内部和外部的交互访问，整理访问关系对应的协议、源地址、源端口、目的地址、目的端口等信息，由工控系统业务合理访问列表可得到非受控访问列表；再利用漏扫工具对工控系统进行漏洞扫描，得到漏洞列表，该漏洞列表含漏洞危害程度级别的评分数据、节点IP及端口，然后利用配置核查工具对工控系统进行配置核查，得到安全配置脆弱性列表，该安全配置脆弱性列表含脆弱性评分数据、节点IP及端口，漏洞扫描及配置核查整理的节点IP及端口形成危险访问列表，完成工控系统三个访问列表及安全特性的整理；如果漏洞危害程度级别的评分数据及安全配置脆弱性评分两者评分标准不一致，则需要换算成10分制；

步骤(2)对检测规则库中的规则进行聚类分析，规则库中每条规则包括规则头和规则选项两部分，对规则库D，有s条规则，从规则头的协议、源地址、源端口、目的地址、目的端口、方向操作符共6个属性中选取m个特征属性，其中3≤m≤6，特征数据根据步骤(1)中整理的工控系统资产信息中的合理访问列表、非受控访问列表、危险访问列表计算得到，如特征属性属于合理访问列表则对应的特征数据取0.3，如特征属性属于非受控访问列则对应的特征数据取0.6，如特征属性属于危险访问列表则对应的特征数据取0.9；

从规则选项的IP查看选项域、IP包头的分片位、数据包数据段的大小、TCP标志、TCP包的序列号、TCP包的确认域、回送包的标志符、在数据包的数据段中搜索模式、搜索的偏移量、搜索最大深度共10个属性中选取n个属性作为攻击特征属性，其中3≤n≤10，攻击特征数据由规则选项参数得到，如果规则选项参数为数值，特征数据取该值，如果规则选项参数为多个选项中的一个，取序号值，规则选项参数为空时取0；