一种工控网络流量实时入侵检测方法

1.本发明涉及一种工业控制系统网络安全检测方法，特别是涉及一种工控网络流量实时入侵检测方法。为一种基于suricata和滑动窗口均值聚类的工控网络实时入侵检测方法。


背景技术：

2.工业信息安全已经成为国家战略地位，国家高度重视工业信息安全的发展，工业信息安全事件一旦发生，所造成的财产损失不容小觑，严重的还可能造成人员伤亡等情况的出现。工业互联网平台是在“互联网 ”的背景下衍生的新一代工业生产平台，这一平台是将工业控制系统、互联网以及工业云平台联系起来，从而能够实现工业数据的全面统计和分析。但是传统工业系统与互联网结合的同时，使得更多的工控节点暴露在互联网上，工业平台的受攻击面增加。
3.近年来，基于机器学习的入侵检测模型正处在研究热潮，但大部分对工业控制网络的研究仅采用经过特征处理好的历史数据进行网络仿真分析，而针对工业控制网络流量特性的研究较少，这使得结论和实际使用之间可能存在严重偏差。目前工业互联网内存在各种网络入侵风险，其中资产识别攻击和ddos是工业互联网环境中最常见的两种攻击，信息收集是黑客进行安全破坏过程中最重要的一个环节，黑客能通过一些非法手段实施资产识别攻击进而在大批量的资产中快速定位比较脆弱的资产，然后进行下一步的攻击活动；ddos攻击是一种能够让原本处于稳态运行的工控主机迅速宕机，这会给工厂带来不可估计的财产损失，甚至威胁人身安全。
4.目前亟待针对工业控制网络安全问题，提出一种有效的实时检测常见的资产识别攻击和ddos攻击的入侵检测方法。


技术实现要素：

5.本发明的目的在于提供一种工业控制系统网络安全检测方法，该方通过改进开源框架suricata进行实时采集并解析工业以太网的工业控制网络流量的方法，将网络传输过程中的数据帧解析成自然语言，对解析好的工业控制网络流量特点进行充分分析，提出一种基于滑动窗口分组的均值聚类算法来对工业控制网络内部的一些常见的网络入侵进行检测。本发明加强了对工控现场网络状况的检测。
6.本发明的目的是通过以下技术方案实现的：一种工控网络流量实时入侵检测方法，该方法为一种基于suricata和滑动窗口均值聚类工控网络流量实时入侵检测方法，所述方法包括以下步骤：（1）通过修改suricata源码，改变suricata运行模式，使其做到实时捕获并解析全部的网络数据帧，按照想要的格式将网络数据帧解析成自然语言并进行转储；（2）通过步骤（1）提取工控互联网中正常的网络流量数据，分析流量特点，构造正
常流量特征，并设置正常流量哨兵；（3）通过步骤（1）提取攻击流量数据，分析流量特点，构造异常流量特征，并设置异常流量哨兵；（4）将改修改后的suricata部署到工业互联网网络节点上，通过滑动窗口分组聚类算法对采集的实时流量进行检测；（5）将流量分析和检测结果反馈到可视化平台，对网络内部出现的攻击行为及时报警并记录异常流量。
7.所述的一种工控网络流量实时入侵检测方法，所述步骤（1）中，通过修改suricata源码，使其跳出原来的工作模式，在流量处理线程中，在完成网络数据帧捕获函数之后改变插槽指针，使其指向本发明重写的流量解析函数，将网络数据帧解析成我们想要的格式，其中包含的字段有《time, srcip, dstip, sp, dp, proto, payload, length》时间戳、源ip地址、目的ip地址、源端口号、目的端口号、数据包通信协议、数据包的payload内容、数据包总长度。
8.所述的一种工控网络流量实时入侵检测方法，所述步骤（2）或步骤（3）中，对采集的流量主要从流量种类，流量长度和时序特征三个方面来流量的特点，发现正常的工业控制网络环境中流量的长度是在动态的变化的且呈现出一定的周期性，这正是由于工控网络工作机制多为轮询、诊断、周期刷新业务类型，才使得网络流量特征会表现出较强的周期性；而攻击流量多数都是在短时间内发送超过255条长度几乎相同的流量，流量长度的变化极小，因此设置滑动窗口大小为255，对正常流量和攻击流量分组计算组内长度方差，构造流量特征，采用公式为：(j=0,255,510
……
)式中为组内每个元素的长度，为组内元素长度平均值；取正常流量的方差最小值为正常流量哨兵；取攻击流量的方差最大值为异常流量哨兵。
9.所述的一种工控网络流量实时入侵检测方法，所述步骤（4）中的实时流量检测方法，对实时流量通过滑动分组计算出组内长度方差，然后与两个哨兵进行对比，若该组内方差大于等于正常流量哨兵，则该组为正常流量组；若该组内方差小于等于异常流量哨兵，则该组为异常流量组；这样先快速过滤掉绝对正常流量和绝对异常流量，接着对位于正常流量哨兵和异常流量哨兵之间的流量组，也就是组内既有正常流量也有异常流量，通过均值聚类将该组内的正常流量和异常流量分离。
10.所述的一种工控网络流量实时入侵检测方法，所述步骤（5）中，可视化平台为web平台，该平台只进行数据展示及威胁报警，并对工控网络内部出现的攻击行为提供防御建议；可视化数据包括工控网络内部访问源及访问次数统计、访问目标及访问次数统计、访问事件统计、威胁报警及防御建议、威胁流量统计、威胁事件统计。
附图说明
11.图1为本发明的suricata运行模式图；图2为本发明入侵检测算法流程图；图3为本发明实时流量提取入侵检测及可视化平台结构图。
具体实施方式
12.本发明提供一种基于suricata的工业互联网数据帧实时采集方法，所述方法包括：对开源框架suricata源码的修改过程，使其能够实时采集并转储工业互联网数据帧，并将网络数据帧解析成自然语言形式，具体包括：修改suricata源码，使suricata跳出原来的运行模式，新的运行模式如图1所示；完成网络数据帧采集操作之后，修改插槽函数指针，使其指向本发明开发的网络数据帧解析函数，将网络数据帧解析成我们想要的自然语言形式；经解析后的数据具体字段包括：《time, srcip, desip, sp, dp, proto, payload, length》时间戳、源ip地址、目的ip地址、源端口号、目的端口号、数据包通信协议、数据包的payload内容、数据包总长度等内容。
13.进一步的，为满足工业控制系统实时检测需求，本发明通过部署dpdk的方式加快网络数据帧采集效率，为工业互联网的实时性提供了第一层保障；另一方面，本发明提供一种基于滑动窗口分组均值聚类的网络入侵方法，所属方法包括：对采集的解析后的正常工控网络数据的流量种类，流量长度和时序特征三个方面来分析工业控制网络流量的特点，得出由于工控系统的工作机制使其流量会表现出较强的周期性特征，而这周期性特征在网络数据包长度方面能得到体现。
14.通过滑动窗口分组计算出正常流量组的数据包长度的组内方差，构造正常流量特征；并取数据包长度方差的最小值作为正常流量组的判定哨兵；然后在工控网络仿真平台上进行常见的网络入侵攻击以及针对工业控制系统的网络入侵，攻击的同时通过本发明改进的suricata框架进行流量采集；对采集的解析后的攻击流量数据的流量种类，流量长度和时序特征三个方面来分析攻击流量的特点，发现攻击流量往往在较短事件内发送数量较多且长度相同的网络数据包，所以在组内流量长度变化较小；通过滑动窗口分组计算出攻击流量组的数据包长度的组内方差，构造异常流量特征；并取数据包长度方差的最大值作为异常流量组的判定哨兵；然后根据流量特征先快速筛选绝对正常流量组和绝对异常流量组，对不确定的流量组，也就是正常流量和异常流量掺杂的组，在通过均值聚类将异常流量和正常流量分离，以达到对异常流量检测的目的。
15.其次，本发明所提供的入侵检测算法首先过滤掉大部分绝对正常的网络数据和绝对异常的网络数据，减少了机器学习的数据处理量，加快了检测速度，为工业互联网的实时性提供了第二层保障；进一步的，为满足工业控制系统实时检测需求，本发明通过采用redis缓存技术和es数据库技术，加快对解析后的网络数据的读写效率，为工业互联网的实时性提供了第三层保障;第三方面，本发明提供了web可视化平台，将后端对网络流量的解析分析及检测结果实时反馈到前端进行展示，并对检测到的网络入侵进行实时告警并记录，便于现场工作人员及时感知并处理风险。
16.本发明适用于对工业互联网的网络安全进行监控和检测，及时反馈工控系统内部网络状态，降低网络入侵风险。
实施例
17.下面结合附图及特定的具体实例来对本发明的具体实施方式进行进一步详细说明。
18.本实施方式提供了一种工控网络流量采集方法，该方法通过改进suricata框架来实现，具体包括：通过修改suricata源码，使其跳出原来的工作模式，新的工作模式如图1所示，在完成插槽中的网络数据帧捕获工作之后，修改插槽指针，使其指向本发明开发的网络数据帧解析函数，在该函数内对捕获的网络数据帧解析成我们想要的自然语言格式，并进行数据转储，以便我们进一步处理；其中，为了满足工控系统实时性要求，我们通过部署dpdk技术来加快数据帧捕获速度，为工业互联网的实时性提供第一层保障；并且我们采用了redis缓存和el数据库技术，加快了数据读写速度，为工业互联网的实时性提供第二层保障；整个系统的结构图如图3所示。
19.此外，本实施方式提供了一种基于滑动窗口分组均值聚类的网络入侵方法，方法流程如图2所示，该方法具体包括：步骤1、通过suricata在工控系统内部网络对正常的网络流量进行实时流量采集，并且在工业控制系统仿真平台上进行一些常见攻击，同时对攻击流量进行实时流量采集，将采集的数据存储到数据库中，为机器学习算法提供数据源。
20.步骤2、从流量种类，流量长度和时序特征三个方面分析工控系统内部正常网络流量和攻击流量的特征，发现通过本发明提供的算法对采集的实时网络流量数据进行特征处理，构建正常网络流量哨兵和异常网络流量哨兵步骤2.1、因为同一网段的内网ip地址一般为255个，资产识别攻击也一般是扫描本网段的全部ip也就是255次，ddos攻击所发送的数据包更会超过255个，因此设定滑动窗口的大小为255，通过滑动窗口对流量进行分组；步骤2.2、通过公式1计算正常流量和攻击流量每组的长度方差，并设置正常流量长度方差的最小值为正常流量哨兵，设置攻击流量的长度方差最大值为异常流量哨兵；(j=0,255,510
……
)
ꢀꢀꢀꢀꢀꢀꢀꢀ
（1）式中为组内每个元素的长度，为组内元素长度平均值步骤2.3、对工控环境中的实时网络流量进行检测，通过滑动窗口进行分组，滑动窗口大小设置为255，通过公式1计算每组流量的长度方差并与哨兵进行比对，若该组流量方差值小于等于异常流量哨兵，则该组全部标记为异常流量；若该组流量方差大于等于正常流量哨兵，则该组全部标记为正常组；若该组流量方差位于正常流量哨兵和异常流量哨兵之间，则进入步骤2.4。
21.步骤2.4、将流量方差位于正常流量哨兵和异常流量哨兵之间的流量，也就是该组内既有正常流量又有异常流量的情况，对组内流量通过k-means算法聚类，将正常流量和异
常流量分离。
22.整个算法过程如下：步骤3、将分析及检测结果反馈到态势感知web平台，做到数据可视化，使工作人员能够直观的看到工控网络内部存在的风险，便于现场工作人员及时对工控网络内部发生的攻击进行处理。
23.显然，上述实施例仅仅是为清楚地说明所作的举例，并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本发明创造的保护范围之中。