本发明涉及一种监测方法,尤其涉及一种基于动态指纹特征函数库的数控网络安全监测方法,用于数控网络安全监测,属于网络安全技术领域。
背景技术:
数控网络安全威胁由内部威胁与外部威胁方式构成,内部威胁主要体现在关键数据泄漏、移动设备攻击(恶意代码植入、病毒等)以及误操作行为等,外部威胁主要体现在利用系统漏洞进行攻击、持续性高级攻击(ddos、apt等)等。威胁目标主要针对数控控制系统破坏生产制造过程、篡改数控设备坐标参数以及窃取加工代码及数控设备运行状态数据信息。威胁所受影响区域主要分为三个部分:1、办公网络(nc代码数据库、pdm服务器、mes服务器等);2、dnc管理控制网络(数控机床控制端等);3、数控机床设备终端。
传统特征库匹配调用机制基于协议规约合规模型,在数据包进行抓包、解析后,与协议特征库进行静态特征匹配,对异常数据包进行阻断或告警。这是一种针对端到端的检测机制,适用于小规模组网或单一模式数据传输等相对较为简单的网络应用环境中,而在实际的生产制造网络中,存在大量的源目的地址所发起的网络连接及数据传输工作,同时出现高时间频率低数据容量的数据传输特点,因此使用传统特征库将无法满足相对复杂的网络环境。所构成直接影响,可能导致数据传输中断、操作行为失效等现象而影响生产制造过程。
由于智能制造领域的数控网络环境与应用的网络安全防护及低延时数据传输特性的要求,亟待需要一种涉及工控、数控动态指纹特征的识别和分类方法,能够动态收集和识别指纹特征,从而确定数控网络是否受到攻击。
技术实现要素:
针对现有技术中存在的技术问题,本发明的目的在于提供一种基于动态指纹特征函数库的数控网络安全监测方法。
自适应动态特征库函数匹配算法调用saff采用贝叶斯&决策树分类方法,结合数控网络实际应用类型及构成因素,实现自适应动态特征匹配及库函数调用。本发明基于数控网络连接状态类型、数据类型、数据发送的时间周期、访问控制类型、异常数据处理机制多维度因素,从数控网络的当前业务流中提取多维度信息,通过朴素贝叶斯&决策树分类算法,计算确定库函数处理c(nx)、传输路径r(nx)、访问控制a(nx)、异常处理h(nx)的权值,本发明将每个权值分为三类,构造出如表1所示的决策表。通过加权所构建的动态特征函数库描述了当前业务流处于不同状态时应该调用的处理函数,例如ft(1)为业务周期建立函数集合,即当前业务流处于业务建立时期需要调用的安全检测函数,依据当前业务流及业务处理模式的解析,对照决策表,自动选择并调用相应的特征库函数进行安全检测,将数据传输、安全检测及业务处理模式构成统一整体,并以最为适用的检测、转发机制提高数据及操作通过率。同时,将已完成的自适应及调动的特征库函数写入动态特征模式匹配规则,在同业务处理时由函数指针直接调用特征库函数,以在数据安全检测的基础上最大限度提高数据通过率。如图1,如果未命中,首先,建立规则模型即对多维度信息的向量化过程,根据决策表和各维度信息特点确定权值,根据自适应动态分类机制计算出匹配的周期库函数,并将该规则信息记录到特征模式匹配库中。
本发明的技术方案为:
一种基于动态指纹特征函数库的数控网络安全监测方法,其步骤包括:
1)从数控网络的业务流中提取多维度信息;所述多维度信息包括数控网络的连接状态类型、数据类型、数据发送的时间周期、访问控制类型和异常数据处理机制;
2)根据提取的所述多维度信息确定所述业务流处于不同状态时,动态特征库函数、传输路径计算函数、访问控制授权函数、异常处理规则函数分别要进行的处理,为动态特征库函数、传输路径计算函数、访问控制授权函数、异常处理规则函数的不同处理分别设置对应的权值;
3)基于所述权值构造出一决策表;所述决策表中包括所述业务流处于不同状态时应调用的库函数集合;每一所述函数集合包含若干个动态特征函数,每一动态特征函数对应一组权值,包括动态特征库函数的权值、传输路径计算函数的权值、访问控制授权函数的权值、异常处理规则函数的权值;
4)对于当前待检测的业务流,根据该待检测业务流的所述多维度信息确定的所述权值查找所述决策表,调用对应的库函数集合对该待检测业务流进行监测。
进一步的,所述库函数集合包括业务建立周期函数集合、数据传输检测处理函数集合和数据处理反馈信息函数集合。
进一步的,所述动态特征库函数的权值包括高、中、低;所述传输路径计算函数的权值包括优、中、低;所述访问控制授权函数的权值包括充分、中等、不充分;所述异常处理规则函数的权值包括标准、缓冲、手动。
进一步的,所述业务建立周期函数集合包括三个动态特征函数:动态特征库函数的权值为高、传输路径计算函数的权值为优、访问控制授权函数的权值为充分、异常处理规则函数的权值为标准;动态特征库函数的权值为高、传输路径计算函数的权值为中、访问控制授权函数的权值为不充分、异常处理规则函数的权值为缓冲;动态特征库函数的权值为低、传输路径计算函数的权值为优、访问控制授权函数的权值为充分、异常处理规则函数的权值为标准。
进一步的,所述数据传输检测处理函数集合包括三个动态特征函数:动态特征库函数的权值为中、传输路径计算函数的权值为优、访问控制授权函数的权值为充分、异常处理规则函数的权值为标准;动态特征库函数的权值为中、传输路径计算函数的权值为中、访问控制授权函数的权值为中等、异常处理规则函数的权值为缓冲;动态特征库函数的权值为中、传输路径计算函数的权值为低、访问控制授权函数的权值为中等、异常处理规则函数的权值为缓冲。
进一步的,所述数据处理反馈信息函数集合包括二个动态特征函数:动态特征库函数的权值为中、传输路径计算函数的权值为优、访问控制授权函数的权值为充分、异常处理规则函数的权值为标准;动态特征库函数的权值为低、传输路径计算函数的权值为中、访问控制授权函数的权值为充分、异常处理规则函数的权值为手动。
与现有技术相比,本发明的积极效果为:
智能制造成为实现“中国制造2025”目标实现的必要前提及重要因素,通过自动化、信息化、互联网和智能化将智能装备、自动化装备、工业制造系统及制造管理系统进行互联,以工业互联网信息技术进行融合,以实现智能制造基础设施互联、互通信息化管理及生产模式。
在我国,数控机床制造还主要以中低端产品为主,高端数控机床主要依赖于进口,导致核心技术受制于人、设备或系统存在安全漏洞、后门以及第三方非法接入或操作,以及数控加工代码明文传输泄密、移动存储数据摆渡泄密、第三方运维操作未受监控等诸多安全隐患及泄密风险。为此,国家制定针对高端数控机床及机器人等制造装备的发展战略方向,一方面鼓励和支持数控机床和基础制造装备,打造完整数控机床和基础制造装备配套产业链,另一方面要求提高智能制造信息安全保障能力。特别是在军工行业,数控机床作为各种武器装备重要的制造手段,是国防军工装备现代化的重要保证,数控机床联网(数控网络)后进行数据通信的安全防护更突显其必要性和重要性。
由于智能制造领域的数控网络环境与应用的网络安全防护及低延时数据传输特性的要求,需要一种涉及工控、数控动态指纹特征的识别和分类,能够动态收集和识别指纹特征,特别涉及一种基于动态指纹特征函数库的自适应匹配分类技术。本发明依据自适应匹配分类算法,自动选择并调用相应的特征库函数,将指纹特征提取、特征函数库匹配及特征函数调用优先级排序构成统一整体,并以最为适用的分类机制提高指纹特征匹配效率,可以应用于数控制造网络对恶意攻击和失窃密的防护,达到智能制造设备数据通信的安全防护要求。
附图说明
图1为本发明方法的流程图。
具体实施方式
下面结合附图,对优选实施例作详细说明。应该强调的是下述说明仅仅是示例性的,而不是为了限制本发明的范围及其应用。
本发明的方法流程如图1所示,其通过自适应动态特征库函数匹配调用机制是将动态库函数作为函数集合,根据当前业务流状态对库函数集合进行分类,将属性不相关的因素参数,依据自适应动态分类机制,完成相应阶段及相应关联的库函数自动化匹配调用,最终实现对异常数据及操作行为的处理机制。
1、自适应动态特征库函数决策如表1所示:
表1为自适应动态特征库函数决策表
本发明将周期库函数调用(tw)分为三个库函数集合,其调用场景如下:
●业务建立周期函数w(n1):调用ft(1)库函数集合;
●数据传输检测处理函数w(n2):调用ft(2)库函数集合;
●数据处理反馈信息函数w(n3):调用ft(3)库函数集合。
本发明将表1中四类函数(动态特征库函数,传输路径计算函数,访问控制授权函数、异常处理规则函数)分别分为三种,即每一类函数包括三种处理,不同处理对应不同权值;种类及其对应的权值评级如下:
动态特征库函数处理(fc),其包含的处理和对应权值为:
●动态特征库函数指针读取c(n1):高;
●动态特征库函数读取调用c(n2):中;
●动态特征库函数规则新建c(n3):低。
传输路径计算函数(tr),其包含的处理和对应权值为:
●端到端最小路径传输r(n1):优先;
●单源端至多目的端路径传输r(n2):中等;
●多目的端至多目的端路径传输r(n3):滞后。
访问控制授权函数(aa),其包含的处理和对应权值为:
●合规授权用户单任务访问a(n1):充分;
●合规授权用户多任务访问a(n2):中等;
●合规授权用户无任务访问a(n3):不充分。
异常处理规则函数(eh),其包含的处理和对应权值为:
●标准模式匹配处理h(n1)标准;
●缓冲暂存模式处理h(n2):缓冲;
●告警提示等待手动处理h(n3):手动。
2、自适应动态分类机制p(w|x)
自适应动态分类机制的公式如下所示:
p(w|x)=p(c|nx)p(r|nx)p(a|nx)p(h|nx)/p(x)
其中,周期库函数调用w(nx)、库函数处理c(nx)、传输路径r(nx)、访问控制a(nx)、异常处理h(nx)。
例如:fc=c(n3)、tr=r(n2)、aa=a(n2)、eh=h(n3),根据上述公式得到:
p(w|x)=p(c|n3)p(r|n2)p(a|n2)p(h|n3)p(h)/p(x);
x=(低,中,优,手动),p(h)=8;
p(w|n1)=p(x|wn1)p(wn1)/p(x),p(x)=13;
p(w|n2)=p(x|wn2)p(wn2)/p(x),p(x)=11;
p(w|n3)=p(x|wn2)p(wn2)/p(x),p(x)=8。
通过计算,结果为:数据处理反馈信息函数,调用ft(3)库函数集合,即调用数据处理反馈信息函数集合对当前业务流进行检测。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。