CN110535878B

CN110535878B - 一种基于事件序列的威胁检测方法

Info

Publication number: CN110535878B
Application number: CN201910898421.3A
Authority: CN
Inventors: 丁旭阳; 谢盈; 张帅; 游新童; 丁晓聪; 张小松
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2019-09-23
Filing date: 2019-09-23
Publication date: 2021-03-30
Anticipated expiration: 2039-09-23
Also published as: CN110535878A

Abstract

本发明提供了一种基于事件序列的威胁检测方法，该方法包括：捕获正常运行时工控***的网络数据包，从中提取训练数据集；建立并训练隐马尔可夫模型λ；提取当前运行状态下工控***的网络数据包，从中获取当前运行状态下真实的观测序列o′_real，计算观测序列o′_real在隐马尔可夫模型下的概率P(o′_real|λ)；通过隐马尔可夫模型生成一个预测观测序列o′_pre，计算出o′_real和o′_pre的相似度r；根据P(o′_real|λ)和r判断工控***是否遭受攻击。本发明提出的一种基于事件序列的威胁检测方法只需对工控***的网络数据包进行抓取，执行威胁检测的检测模块用单独的主机执行，不需要将检测模块放入到工控***的工控设备中，不仅保障了工控***的实时性要求，而且能够很方便的在其他工控***使用，提高了扩展性。

Description

一种基于事件序列的威胁检测方法

技术领域

本发明涉及工业控制***领域的攻击检测技术，具体涉及一种基于事件序列的威胁检测方法。

背景技术

目前，越来越多的工业控制***(简称工控***)内部网络需要和外部网络互连，使工业控制***暴露于公共网络之中，面临更多的攻击。为了保证工业控制***的安全性，网络安全技术被越来越多地应用。网络流量分析技术是目前应用最广泛的信息网络攻击检测方法之一，通过监视和分析网络流量以检测出带有异常行为的数据分组，从而实现攻击检测。

但是，传统的攻击检测技术通常是搜索单个、不寻常或不允许的“操作”，而越来越多的攻击表明，网络入侵采用一系列合法的但操作顺序异常，能够避开标准的攻击检测***，由于执行的顺序发生改变，仍然会破坏工业控制***的基础设施。

发明内容

针对上述问题，本发明提出了一种基于事件序列的威胁检测方法，该威胁检测方法不但能够检测出单个的常规的不合法操作，而且能够检测出操作顺序异常的攻击序列。

本发明旨在提出一种基于事件序列的威胁检测方法，这种攻击检测方法只需要获取控制***网络的数据包，经过处理转化成事件序列，根据得到的事件序列进行建模；不仅保障了工控***的实时性要求，而且能够很方便的在其他工控***使用，提高了扩展性。

本发明首先捕获正常运行时工控***的网络数据包，将所述网络数据包转换成事件序列，然后提取观测序列o和状态序列I作为训练数据集，建立并训练隐马尔可夫模型λ；在威胁检测时提取当前运行状态下所述工控***的当前网络数据包，将所述当前网络数据包转化为当前事件序列，从中获取当前运行状态下所述工控***真实的观测序列o′_real，计算观测序列o′_real在已训练完成的隐马尔可夫模型下的概率P(o′_real|λ)；然后通过已训练完成的隐马尔可夫模型生成一个预测观测序列o′_pre，然后计算出两个观测序列o′_real和o′_pre的相似度r，最后根据概率P(o′_real|λ)和相似度r来判断所述工控***是否遭受攻击。

本发明提出的一种基于事件序列的威胁检测方法只需要对工控***的网络数据包进行抓取，执行威胁检测的检测模块可以用单独的主机来执行，不需要将所述检测模块放入到工控***的工控设备中，不仅保障了工控***的实时性要求，而且能够很方便的在其他工控***使用，提高了扩展性。

附图说明

图1是本发明的流程示意图

图2是本发明序列攻击检测阶段示意图

图3是本发明实施例中采用的替换矩阵

具体实施方式

下面将结合本发明实施例，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，在工控***中，首先获取上位机和PLC(Programmable LogicController，可编程逻辑控制器)等设备之间的正常运行状态下工控***网络数据包，然后对所述网络数据包中的每个数据包提取相应特征转化为事件e，事件e表示为：

e＝<ID,Code,Data,Time> (1)

其中ID表示每个数据包唯一标识,Code表示工控***中工控设备执行的操作类型,Data表示执行操作的具体信息,Time表示时间戳；根据事件定义，将获取到的所述网络数据包转化为事件序列E＝{e₁,e₂,…,e_t,…}，并从所述网络数据包中获取所有可能的状态集合Q＝{q₁,q₂,...,q_N}以及所有可能的观测值集合V＝{v₁,v₂,...,v_M}；

获得事件序列E后，根据事件序列E建立隐马尔可夫模型λ；隐马尔可夫模型由初始状态概率向量π、状态转移概率矩阵A和观测概率矩阵B决定，隐马尔可夫模型λ可以用(2)中的三元符号表示：

λ＝(A,B,π) (2)

A＝[a_ij]_N*N (3)

B＝[b_j(k)]_N*M (4)

π＝(π_i) (5)

其中，

a_ij＝P(I_t+1＝q_j|I_t＝q_i),i,j＝1,2,...,N (6)

a_ij表示t时刻处于状态q_i的条件下在t+1时刻转移到状态q_j的概率；I_t表示t时刻的状态，t≥1并且为整数；

b_j(k)＝P(o_t＝v_k|I_t＝q_j),k＝1,2,...,M；j＝1,2,...,N (7)

b_j(k)表示t时刻处于状态q_j的条件下生成观测值v_k的概率；o_t表示t时刻的观测值；

π_i＝P(I₁＝q_i),i＝1,2,...,N (8)

π_i表示初始时刻t＝1处于状态q_i的概率；I₁表示初始时刻t＝1的状态。

当工控***正常运行时，抓取大量正常情况下的网络数据包，并从中获取所有可能的状态集合以及所有可能的观测值集合，将所述网络数据包转化成大量的事件序列，从中提取出训练隐马尔可夫模型λ模型所需的观测序列和状态序列作为训练数据集。所述训练数据集的提取方法为：将所述事件序列中的每个事件中的Data字段均作为一个观测值、Code字段均作为一个状态值，从而获取训练所需的众多观测序列o＝(o₁,o₂,...,o_t,...)和对应的状态序列I＝(I₁,I₂,...,I_t,...)；然后利用极大似然估计来估计隐马尔可夫模型λ的参数：初始状态概率π_i的估计值为训练数据集中初始状态为q_i的频率；a_ij和b_j(k)的估计值如下公式所示：

其中A_ij表示训练数据集中当前时刻状态为q_i且下一时刻状态为q_j的频数，B_jk表示训练数据集中状态为q_j并且观测值为v_k的频数。

隐马尔可夫模型λ训练完成后，可以通过训练完成的隐马尔可夫模型λ生成一个预测观测序列，所述预测观测序列的生成过程为：根据正常运行状态下工控***的初始状态分布确定初始时刻状态I₁，然后根据所述正常运行状态下工控***的观测概率分布b_j(k)确定所述工控***在t时刻的观测值o_t，随后根据所述正常运行状态下工控***的状态转移概率分布a_ij确定下一时刻的状态，重复上述步骤，直至所述工控***的观测序列预测完成，预测出的观测序列是训练完成的隐马尔可夫模型λ生成的概率最大的观测序列o′_pre。

如图2所示，在威胁检测的时候，将当前运行状态下所述工控***的当前网络流量数据转化为当前事件序列，从中获取当前运行状态下所述工控***真实的观测序列o′_real，先是用前向算法计算在训练完成的隐马尔可夫模型λ下当前运行状态下所述工控***真实的观测序列o′_real的概率P(o′_real|λ)，然后将当前运行状态下所述工控***真实的观测序列o′_real和预测出的观测序列o′_pre进行比对，计算两个观测序列o′_real和o′_pre之间相似度r；

两个序列之间相似度的定义为：两个序列对应位置上元素相同或相似的数目占序列长度的百分比。判断两个元素是否相似取决于所述工控***正常情况下的训练数据集，在训练数据集中如果两个序列相同位置上的元素具有相似性，则它们可以互相替换。

为记录相应位置上元素之间的相似关系，用L个替换矩阵C_K来记录序列对应位置上元素之间的相似关系，L表示观测序列o′_real和o′_pre的长度，矩阵的定义如下：

C_k＝[c_k(i′,j′)]_M*M,k＝1,2,...,L (11)

其中，M是所述工控***的所有观测值集合V＝{v₁,v₂,...,v_M}的大小，i′,j′＝1,2,...,M，C_k是M*M的矩阵，c_k(i′,j′)取值为0或1，c_k(i′,j′)＝1表示第k个位置上任意两个观测值v_i与v_j可替换，c_k(i′,j′)＝0表示第k个位置上任意两个观测值v_i与v_j不可替换；对于观测序列o′_real和o′_pre的每个位置k，根据预设规则并按照公式(11)将替换矩阵C_k中对应元素置1或置0，由于替换矩阵C_k中对角线上的元素对应所述观测值集合中的两个相同的观测值，因此对角线上的元素值为1。

在生成L个替换矩阵C_k后，将观测序列o′_real和o′_pre进行比对，对于每个位置k,将观测序列o′_real和o′_pre的元素对应到替换矩阵C_k中查询对应的值，如果为1则将两个序列的相似元素数目加1，最后将相似元素数目除以观测序列o′_real和o′_pre的长度L，得到相似度r。

计算出概率P(o′_real|λ)和相似度r后，根据下面公式计算出D值，其中u+v＝1，u和v表示权重，可以根据具体情况设置；

D＝u*P(o′_real|λ)+v*r (12)

当计算出的D值小于预设阈值T时表明当前运行状态下所述工控***真实的观测序列o′_real与所述工控***正常运行状态下的观测序列差异太大，判定遭受到攻击，否则所述工控***当前运行状态正常。

在本发明的实施例中，根据训练完成的隐马尔可夫模型λ预测出的观测序列o′_pre＝(C,A,D,E,C)，将当前运行状态下所述工控***的网络流量数据转化为事件序列，从中获取的真实的当前运行状态下所述工控***的观测序列o′_real＝(A,B,D,E,A)；

已知观测值集合V＝{A,B,C,D,E}，先计算训练完成的隐马尔可夫模型λ下真实的当前运行状态下所述工控***的观测序列o′_real的概率P(o′_real|λ)为0.6，然后计算两个序列o′_real和o′_pre之间相似度r；替换矩阵C₁,C₂,C₃,C₄,C₅根据所述训练数据集并按预设规则求出，替换矩阵如图3所示；根据替换矩阵可知o′_pre＝(C,A,D,E,C)和o′_real＝(A,B,D,E,A)这两个序列中的相似元素数目为3，相似度r＝3/5＝0.6；

经过多次试验，将预设阈值T设为0.5较为合理，当计算出的D值小于阈值T时表明当前观测序列与正常观测序列差异太大，判定遭受到攻击，否则***正常。

已知概率P(o′_real|λ)和相关系数r后，u和v结合实际情况，选择u＝0.5，v＝0.5，计算D＝0.6，大于阈值T，表明所述工业控制***运行正常。

尽管上面对本发明说明性的具体实施方式进行了描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围。凡采用等同替换或等效替换，这些变化是显而易见，一切利用本发明构思的发明创造均在保护之列。

Claims

1.一种基于事件序列的威胁检测方法，其特征在于，该方法包括如下步骤：

S1)当工控***正常运行时，抓取大量正常运行状态下的网络数据包，并从所述网络数据包中获取所有可能的状态集合Q＝{q₁，q₂，...，q_N}以及所有可能的观测值集合V＝{v₁，v₂，...，w_M}，并将所述网络数据包转化成大量的事件序列E＝{e₁，e₂，…，e_t，…}，从中提取出训练隐马尔科夫模型λ模型所需的观测序列和状态序列作为训练数据集，其中，所述网络数据包中的每个数据包被提取相应特征转化为一个事件e，e₁，e₂，…，e_t分别表示第1，2，…，t个事件e，每一个事件e表示为e＝<ID，Code，Data，Time>，ID表示每个数据包唯一标识，Code表示所述工控***中工控设备执行的操作类型，Data表示所述工控设备执行操作的具体信息，Time表示时间戳；所述训练数据集的提取方法为：将所述事件序列中的每个事件e中的Data字段作为一个观测值、Code字段作为一个状态值，从而获取训练所需的观测序列o＝(o₁，o₂，...，o_t，...)和对应的状态序列I＝(I₁，I₂，...，I_t，...)；

S2)根据步骤S1)得到的事件序列E建立隐马尔可夫模型λ，隐马尔可夫模型λ由初始状态概率向量π、状态转移概率矩阵A和观测概率矩阵B决定，表示为三元符号λ＝(A，B，π)，A＝[a_ij]_N*N，B＝[b_j(k)]_N*M，π＝(π_i)，其中，a_ij＝P(I_t+1＝q_j|I_t＝q_i)，b_j(k)＝P(o_t＝v_k|I_t＝q_j)，π_i＝P(I₁＝q_i)，t≥1并且为整数，i，j＝1，2，...，N，k＝1，2，...，M，M表示所述观测值集合V的大小，N表示所述状态集合Q的大小，a_ij表示t时刻处于状态q_i的条件下在t+1时刻转移到状态q_j的概率；I_t表示t时刻的状态；b_j(k)表示t时刻处于状态q_j的条件下生成观测值v_k的概率；o_t表示t时刻的观测值；π_i表示初始时刻t＝1处于状态q_i的概率；I₁表示初始时刻t＝1的状态；

S3)采用步骤S1)提取的所述训练数据集训练步骤S2)建立的隐马尔可夫模型λ，利用极大似然估计估计隐马尔可夫模型λ的参数：初始状态概率π_i的估计值为所述训练数据集中初始状态为q_i的频率；a_ij和b_j(k)的估计值分别为

其中A_ij表示所述训练数据集中当前时刻状态为q_i且下一时刻状态为q_j的频数，B_ik表示所述训练数据集中状态为q_j并且观测值为v_k的频数，由此得到训练完成的隐马尔可夫模型λ；

S4)根据步骤S3)训练完成的隐马尔可夫模型λ生成一个预测观测序列，所述预测观测序列的生成过程为：根据正常运行状态下工控***的初始状态分布确定初始时刻状态I₁，然后根据所述正常运行状态下工控***的观测概率分布b_j(k)确定所述工控***在t时刻的观测值o_t，随后根据所述正常运行状态下工控***的状态转移概率分布a_ij确定下一时刻的状态，重复上述步骤，直至所述工控***的观测序列预测完成，预测出的观测序列是训练完成的隐马尔可夫模型λ生成的概率最大的观测序列o′_pre；

S5)在威胁检测的时候，将当前运行状态下所述工控***的当前网络流量数据转化为当前事件序列，从中获取当前运行状态下所述工控***真实的观测序列o′_real，首先采用前向算法计算在步骤S3)训练完成的隐马尔可夫模型λ下当前运行状态下所述工控***真实的观测序列o′_real的概率P(o′_real|λ)，然后将当前运行状态下所述工控***真实的观测序列o′_real和步骤S4)预测出的观测序列o′_pre进行比对，计算两个观测序列o′_real和o′_pre之间相似度r；由计算得到的概率P(o′_real|λ)和相似度r，根据公式D＝u*P(o′_real|λ)+v*r计算出D值，其中u+v＝1，u和v表示预设权重；当计算出的D值小于预设阈值T时表明当前运行状态下所述工控***真实的观测序列o′_real与所述工控***正常运行状态下的观测序列差异太大，判定遭受到攻击，否则所述工控***当前运行状态正常；

其中，所述步骤S5)中计算两个观测序列o′_real和o′_pre之间相似度r的方法包括：首先定义两个观测序列之间相似度：两个观测序列对应位置上元素相同或相似的数目占观测序列长度的百分比，其中，判断两个元素是否相似取决于所述工控***正常情况下的所述训练数据集，在所述训练数据集中如果两个序列相同位置上的元素具有相似性，则它们可以互相替换；

然后为记录两个观测序列相应位置上元素之间的相似关系，用L个替换矩阵C_K来记录两个观测序列对应位置上元素之间的相似关系，L表示观测序列o′_real和o′_pre的长度，矩阵的定义如下：

C_k＝[c_k(i′，j′)]_M*M，k＝1，2，...，L

其中，M是所述工控***的所述观测值集合V＝{v₁，v₂，...，v_M}的大小，i′，j′＝1，2，...，M，C_k是M*M的矩阵，c_k(i′，j′)取值为0或1，c_k(i′，j′)＝1表示第k个位置上任意两个观测值v_i与v_j可替换，c_k(i′，j′)＝0表示第k个位置上任意两个观测值v_i与v_j不可替换；对于每个位置k，根据预设规则并按照公式C_k＝[c_k(i′，j′)]_M*M，k＝1，2，...，L将替换矩阵C_k中对应元素置1或置0，由于替换矩阵C_k中对角线上的元素对应所述观测值集合中的两个相同的观测值，因此对角线上的元素值为1；

在生成L个替换矩阵C_k后，将观测序列o′_real和o′_pre进行比对，对于每个位置k，将观测序列o′_real和o′_pre的元素对应到替换矩阵C_k中查询对应的值，如果为1则将两个序列的相似元素数目加1，最后将相似元素数目除以观测序列o′_real和o′_pre的长度L，得到相似度r。

2.根据权利要求1所述的基于事件序列的威胁检测方法，其特征在于，所述预设阈值T取值为0.5。

3.根据权利要求2所述的基于事件序列的威胁检测方法，其特征在于，所述预设权重u和v取值分别为u＝0.5，v＝0.5。