一种基于工业控制系统网络流量的异常检测方法
【专利摘要】一种基于工业控制系统网络流量的异常检测方法属于信息安全领域。本发明采集工业网络流量,通过对流量特性的分析发现,采用数字信号处理的方法将流量信号由时域变换到频域,正常流量和异常流量采样在功率谱密度上存在显著的差异。通过分析大量历史数据中的这种差异特性,找到一个低频功率和的临界值,若待检测样本的低频功率和大于此临界值,则认为该样本流量为异常流量。本方法分为三个模块:数据预处理模块负责前期的数据流量的处理;流量建模模块根据正常流量和异常流量的低频功率和分布建立正常模型和异常模型,从而计算得到低频功率和临界值;异常检测模块进行异常检测。本发明检测误报率为6.1%,漏报率为9.3%。
【专利说明】—种基于工业控制系统网络流量的异常检测方法
【技术领域】:
[0001]本发明涉及一种工业控制系统网络流量的异常检测方法。属于信息安全领域。
【背景技术】:
[0002]随着计算机和互联网技术的快速发展与广泛应用,计算机网络系统的安全受到了严重的挑战,特别是针对工业控制系统的安全威胁正在逐渐增多。工业控制系统是国家安全战略的重要组成部分,90%左右涉及国民的关键基础设施都需要依靠工业控制系统来实现自动化作业。2010年“震网”(Stuxnet)病毒的出现则为工业控制系统网络攻击开辟了一个新的时代。其利用微软Windows操作系统漏洞虽然能够像传统蠕虫病毒一样在互联网上广泛传播,但并不以获取用户数据或牟利为目的,仅作为攻击重要基础设施SCADA系统的跳板。“震网”病毒通过入侵SIMATIC WinCC平台的管理层系统、挂接动态链接库DLL(Dynamic Link Library),修改、操控PLC的数据采集、监测、调度等命令逻辑,造成现场级设备数据采集错误、命令调度混乱,破坏了 900多台伊朗核设施离心机,导致其核计划严重推迟。随着2012年“火焰”病毒再次在中东地区爆发,引发伊朗石油业系统瘫痪,全球多数专家都将针对工业控制系统的网络攻击列为国家间战略制约手段,世界各国对其安全防护的重视程度骤升。目前,越来越多的工业控制系统通过采用工业以太网技术由封闭、私有转向开放、互联模式,随之便带来了恶意代码攻击、信息泄露、指令篡改等安全问题,整个系统的可用性、可靠性、私密性等安全特质受到的威胁日益增加,工业信息安全的需求呈现井喷趋势。
[0003]虽然针对工业控制系统安全的研究已经有30多年的历史,但是由于来自于传统互联网的网络安全技术不能简单的移植到工控网中,到目前为止还没有取得突破性的进展,对工业网络流量的异常检测也还处于研究的初级阶段。
[0004]国内外现有的工业网络异常检测方法主要有基于自回归过程的异常检测,基于隐马尔可夫模型的异常检测,基于神经网络的异常检测等,但是这些方法基本上沿用了传统以太网的方案,对于工业网络流量异常检测效果并不明显。工业控制系统普遍适用于能源、电力、化工、交通运输、制造业等行业,工业控制系统中流量所呈现出的特性和传统以太网有所不同,因此直接套用传统以太网解决方案难以满足目前对于工业网络的安全需求。为了改善这方面的不足,有针对性的检测工业网络中出现的异常,发明人通过对工业网络流量进行深入分析,提出一种适合工业网络环境下的异常流量检测方法。本方法针对工业网络流量分析其流量特点,并根据工业网络的普遍特点——周期性,利用信号处理的方法将时域的流量信号变换到频域,使流量特点更加明显,然后根据正常流量和异常流量的功率谱密度在低频中的特点,提出以低频功率和为检测指标的检测方法,找到一个低频功率和的临界值,若待检测样本的低频功率和大于此临界值,则认为该样本流量为异常流量。
【发明内容】
:
[0005]针对上述问题,本发明提出了一种针对工业控制系统网络流量的异常检测方法,采集工业网络流量,通过对流量特性的分析发现采用数字信号处理的方法,将流量信号由时域变换到频域,工业网络中的正常流量和异常流量采样在功率谱密度上存在一定的差异,通过分析大量历史数据,发现异常流量的功率谱值比正常流量的功率谱值在低频部分大,因此提出以低频功率和为检测指标的检测方法,找到一个低频功率和的临界值,若待检测样本的低频功率和大于此临界值,则认为该样本流量为异常流量。
[0006]本方法包括以下步骤:
[0007]首先进行数据预处理:在工业网络的上位机上捕获数据包,并对数据包进行采样,采样频率需大于包最高频率的2倍,采样值为单位时间接收到的数据包的字节数,采样窗口大小至少要包含3个周期的流量序列,通过一个窗口的采样可以得到一个离散时间序列x(n)0该过程可用如下随机过程模型来表示x(n),t=nΔ,n∈N。其中Λ是一个常数,代表采样间隔。N是全部的取样点数,即离散时间序列的长度。χ(n)是一个随机变量,表示在间隔内捕获到的数据包的字节数。然后,对每个离散时间序列χ (n)计算其功率谱密度,即相对频率幅度谱。这里的功率谱密度通过计算χ (n)的自相关序列的离散傅里叶变换得到。最后,计算低频功率和。下面给出相关的定义:
[0008]定义1定义离散时间序列χ (n)的自相关序列的计算公式为
【权利要求】
1.一种针对工业网络流量的异常检测方法,其特征在于包括以下步骤: 首先进行数据预处理:在工业网络的上位机上捕获数据包,并对数据包进行采样,根据Nyquist采样定理,采样频率需大于包最高频率的2倍,采样值为单位时间接收到的数据包的字节数,采样窗口大小至少要包含3个周期的流量序列,通过一个窗口的采样得到一个离散时间序列X(η);该过程用如下随机过程模型来表示:{x(n),t=nA,neN};其中Λ是一个常数,代表采样间隔;N是全部的取样点数,即离散时间序列的长度;χ(η)是一个随机变量,表示在间隔内捕获到的数据包的字节数;然后,对每个离散时间序列x(n)计算其功率谱密度,即相对频率幅度谱;这里的功率谱密度通过计算X(η)的自相关序列的离散傅里叶变换得到;最后,计算低频功率和;下面给出相关的定义: 定义I定义离散时间序列X(η)的自相关序列的计算公式为
【文档编号】H04L12/26GK103684910SQ201310634369
【公开日】2014年3月26日 申请日期:2013年12月2日 优先权日:2013年12月2日
【发明者】赖英旭, 高春梅, 杨震, 李健 申请人:北京工业大学