技术特征:
1.一种面向工控网络设备的安全检测准入方法,其特征在于:包括以下步骤:(1)、基于报文特征的分析,构造时序特征数据,确定连续报文的数量n,将每个报文的内容向量化,并加入整体报文的统计量特征作为辅助特征,形成一维向量,n个报文的一维向量表征组成报文特征矩阵,即是表征报文指纹特征的矩阵;(2)、将根据步骤(1)得到的特征矩阵输入训练好的设备识别分类器中,以得到输出结果,包括工控网络设备的名称、设备类型、设备制造商、以及固件版本,根据得到的输出结果进行漏洞匹配和验证,即通过本地漏洞库中查询工控网络设备可能存在的漏洞及其类型,并根据该类型判断查询到的漏洞是否为中高危漏洞,然后进行漏洞验证判定是否真实存在对应的漏洞,如果是则暂时禁止该工控网络设备接入,否则允许该工控网络设备接入,过程结束;(3)、根据步骤(2)得到存在漏洞的工控网络设备,根据漏洞库提供的补丁进行安全加固,对存在漏洞的工控网络设备进行安全修复,将修复后的工控网络设备重新进行接入。2.根据权利要求1所述的一种面向工控网络设备的安全检测准入方法,其特征在于:物联网设备的特征属性包括:网络协议版本:ipv4为0,ipv6为1;网络协议可选项:如果ip协议报文头部长度小于等于20,则为0,否则为1;传输层协议:tcp为0,udp为1,其他协议为2;传输层协议可选项:表示tcp/udp报文是否存在可选项,不存在为0,存在为1;端口字段:周知端口(0-1023)、注册端口(1024-49151)和动态端口(49152-65535)分别编码为0、1、2;应用层协议:modbus、iec104、s7comm、dnp3、ethernet/ip、profibus、omron、melsec-q、bacnet、pcworx、opc da、opc ua、iec 60870-5、mqtt、profinet、canopen、fox、zigbee、power link、opensafety分别编码为0-19。3.根据权利要求2所述的一种面向工控网络设备的安全检测准入方法,其特征在于:设备识别分类器采用的是双向长短期记忆网络模型。4.根据权利要求3所述的一种面向工控网络设备的安全检测准入方法,其特征在于:所述步骤(2)中,设备识别分类器是通过以下步骤训练得到的:(2-1)获取多个物联网设备的设备指纹信息{f1,f2,
…
,f
m
},对每个工控网络设备的每个设备指纹信息进行解析,以获取该设备指纹信息对应的特征属性值,并根据获取的该工控网络设备的所有设备指纹信息对应的特征属性值构建特征向量(x1,x2,
…
,x
m
),并将所有工控网络设备对应的特征矩阵进行合并,以得到合并后的特征矩阵h,其中m表示工控网络设备的总数,f
num
表示第num个工控网络设备的设备指纹信息,且有num∈[1,m];(2-2)将步骤(2-1)处理后的特征矩阵按照行数8:2的比例划分为训练集和测试集,并将训练集输入设备识别分类器;(2-3)特征向量经过前向的lstm神经网络的隐藏层输出为(x
’1,x
’2,
…
,x’m
),经过后向的lstm神经网络的隐藏层输出为(`x1,`x2,
…
,`x
m
),最终的隐藏层输出为(x’m
,`x
m
),双向lstm输出经过使用relu激励函数的全连接层,全连接层的输出作为输出层的输入,通过softmax函数完成对输入数据的分类;(2-4)对步骤(2-3)更新后的设备识别分类器进行迭代训练,选取适合的隐含层大小和层数,查看训练过程中loss是否逐步下降至合理区间;若训练过程损失下降不平稳或者无
法收敛至合理区间,则适当增加隐含层大小以及层数,提高算法的拟合能力,直到该设备识别分类器的损失函数达到最小为止,从而得到初步训练好的设备识别分类器;(2-5)使用步骤(2-4)得到的验证集对初步训练好的设备识别分类器进行迭代验证,直到得到的分类精度达到最优为止,从而得到训练好的设备识别分类器。5.根据权利要求1所述的一种面向工控网络设备的安全检测准入方法,其特征在于:输出结果包括工控网络设备的名称、设备类型、设备制造商、以及固件版本。6.一种面向工控网络设备的安全检测准入方法所建立的准入系统,其特征在于:包括:第一模块,用于获取工控网络设备在接入时产生的数据流量,从中提取出多个设备指纹信息,对每个设备指纹信息进行解析,以构造指纹特征向量;第二模块,用于将第一模块构建的特征矩阵输入基于双向长短期记忆网络模型的设备识别分类器中,以得到输出结果;第三模块,用于根据第二模块得到的输出结果,通过本地漏洞库中查询工控网络设备可能存在的漏洞及其类型;第四模块,用于根据第三模块得到的存在漏洞的工控网络设备,根据漏洞库提供的补丁进行安全加固,对存在漏洞的工控网络设备进行安全修复,将修复后的工控网络设备重新进行接入。7.根据权利要求6所述的一种面向工控网络设备的安全检测准入系统,其特征在于:所述第一模块内,根据获取的所有设备指纹特征向量构建特征矩阵。8.根据权利要求6所述的一种面向工控网络设备的安全检测准入系统,其特征在于:所述第二模块的输出结果包括工控网络设备的名称、设备类型、设备制造商、以及固件版本。9.根据权利要求8所述的一种面向工控网络设备的安全检测准入系统,其特征在于:根据该类型判断查询到的漏洞是否为中、高危漏洞,然后进行漏洞验证判定是否真实存在对应的漏洞,如果是则暂时禁止该工控网络设备接入,否则允许该工控网络设备接入,过程结束。
技术总结
本发明提供一种面向工控网络设备的安全检测准入方法和系统,本发明的基本思路在于,首先提取设备指纹特征信息。进行模型训练,得到设备识别分类器。将待接入工控网络设备指纹特征向量矩阵输入分类器,得到设备的指纹信息。匹配本地漏洞库,精准进行设备安全漏洞评估。根据漏洞库提供的补丁进行安全加固,并将修复后的工控网络设备重新进行接入。本发明的工控网络设备安全信息检测方法既能利用当前的信息,还能利用历史信息,又能够利用未来的信息,具有良好的适用性以及精确的识别度。解决了现有的工控网络安全检测系统结构和功能比较单一,不具备在检测到漏洞时对工控网络设备进行维护修复的问题。备进行维护修复的问题。备进行维护修复的问题。
技术研发人员:潘章达 林瑨 刘颖彤 张杨忆 白海 徐超 郭莎莎 朱彤 吴頔 李韬睿 詹婧晗
受保护的技术使用者:国网湖北省电力有限公司超高压公司
技术研发日:2022.11.23
技术公布日:2023/3/27