CN111818052B

CN111818052B - 基于cnn-lstm的工控协议同源攻击检测方法

Info

Publication number: CN111818052B
Application number: CN202010657202.9A
Authority: CN
Inventors: 谷良; 宫鑫; 刘晓捷; 狄婷; 李伟博; 景峰; 吴瑶; 任晓刚
Original assignee: Shanxi Liantuo Technology Co ltd; Information and Telecommunication Branch of State Grid Shanxi Electric Power Co Ltd
Current assignee: Shanxi Liantuo Technology Co ltd; Information and Telecommunication Branch of State Grid Shanxi Electric Power Co Ltd
Priority date: 2020-07-09
Filing date: 2020-07-09
Publication date: 2022-07-08
Anticipated expiration: 2040-07-09
Also published as: CN111818052A

Abstract

本发明实施例公开了一种基于CNN‑LSTM的工控协议同源攻击检测方法，包括：获取网络流量数据；对所述网络流量数据进行数据特征提取，得到特征数据；基于所述特征数据建立深度神经网络模型；对所述深度神经网络模型进行优化，得到优化后的神经网络模型；基于所述优化后的神经网络模型进行攻击检测。通过基于提取的特征数据建立深度神经网络模型，并对深度神经网络模型进行优化，基于优化后的深度神经网络模型进行网络攻击检测，达到提高IP溯源技术效率和精度的目的。

Description

基于CNN-LSTM的工控协议同源攻击检测方法

技术领域

本发明属于网络安全技术领域，更具体地，涉及一种基于CNN-LSTM的工控协议同源攻击检测方法。

背景技术

对恶意攻击溯源可以有效对工控***做出主动的防护，传统的攻击者溯源方式为IP溯源技术。这种技术为单一溯源，通过设置并更改专门的物理设备，使用概率包标记法(SAVAGE,Stefan,et al.Practical network support for IP traceback.)、日志信息溯源法(田红成；毕军；王虹.可增量部署,基于采样流的IP溯源方法)等进行IP溯源。Luo等人提出了一种单一封包溯源的方法，在包的报头中使用32位空间来记录攻击者的攻击路径，并使用生存时间字段来减少溯源的误报率(LUO,Jia-Ning；YANG,Ming-Hour.An ImprovedSingle Packet Traceback Scheme for IoT Devices)。Snoeren等人提出了一种基于报文摘要(Hash)的IP追踪溯源方法，相比较于日志溯源法，该方法节约日志空间(SNOEREN,AlexC.,et al.Single-packet IP traceback.IEEE/ACM Transactions on networking)。设备的修改以及日志格式的不统一，使得这种传统的IP溯源技术成本开销高，误报率高，实际可操作性不强，需要对网络基础设备进行一些修改、改变，使得这种方法开销很大。Li等人部署了分布式蜜罐***来收集威胁数据库，并根据三种不同的工控协议蜜罐数据，对攻击方法、攻击模式和攻击源分析，并提出一种聚类算法，进行攻击组织追溯，(LI,Ke,etal.Collaborative intelligence analysis for industrial control systems threatprofiling.)。Feng等人通过对S7comm协议中的功能码特征和攻击数据中的各项参数，构建了一个名为ICSTrance的恶意IP溯源模型，使用短序列概率方法将攻击行为特征转换为向量，并对该向量进行Partial Seeded K-Means算法模式聚类，追溯攻击组织，(XIAO,Feng；XU,Qiang.ICSTrace:A Malicious IP Traceback Model for Attacking Data ofIndustrial Control System)。然而，他们并没有用任何标识数据进行验证，无法解释结果的好坏。由于攻击者使用代理的普遍性，导致现有的IP溯源技术效率和精度都不高。

发明内容

有鉴于此，本发明实施例提供了一种基于CNN-LSTM的工控协议同源攻击检测方法，至少解决现有技术中IP溯源技术效率和精度都不高问题。

本发明实施例提供了一种基于CNN-LSTM的工控协议同源攻击检测方法，包括：

获取网络流量数据；

对所述网络流量数据进行数据特征提取，得到特征数据；

基于所述特征数据建立深度神经网络模型；

对所述深度神经网络模型进行优化，得到优化后的神经网络模型；

基于所述优化后的神经网络模型进行攻击检测。

可选的，所述获取网络流量数据，包括：

在不同虚拟专用服务器上部署多个分布式的蜜罐节点，使得蜜罐在预定义的相应机制下进行请求响应；

设置蜜罐数据捕捉模块，用于捕获与攻击者的所有交互数据。

可选的，所述对所述网络流量数据进行数据特征提取，得到特征数据，包括：

将特征提取的数据嵌入一个m维空间中，数据总量为n，生成一个m×n的位矩阵。

可选的，所述特征数据，包括：

Modbus TCP特有特征和流量传统特征。

可选的，所述基于所述特征数据建立深度神经网络模型，包括：

使用一维卷积层进行卷积计算，使用最大池化层降维特征值的维度，并生成对应的特征图，将特征图输入至LSTM网络。

可选的，对所述深度神经网络模型进行优化，包括：

在LSTM网络中进行无监督学习训练和有监督的微调，得到数据特征；

基于所述数据特征使用基于注意力机制的模型优化方法，对全连接层特征向量使用BP算法进行权值迭代优化。

可选的，所述注意力机制的模型优化方法为：

对输入内容的加权并求和，计算公式如下：

Z＝tanh(W_tY+b_t)

α＝softmax(w^TZ)

R＝Yα^T，

其中，W_t代表t时刻的权值矩阵，Y代表数据特征l₀所组成的矩阵，b_t则为有监督微调下的偏差值，α为注意力向量，w代表迭代寻优的权值矩阵，R代表基于注意力机制的数据流表达。

可选的，所述BP算法，包括：

激励传播和权值更新两个阶段，激励传播阶段通过训练输入网络获得激励，再通过反向输入对应的目标得到隐层和输出层的误差；

权值更新阶段通过下列公式进行权值更新；

w_n＝w₀-δ(l₀w₀-b_n)

w＝(w₁,w₂,...,w_n)^T，

其中，w₀表示初始权重，δ为梯度的修正比例，b_n为第n个偏置项，l₀为数据特征，w₁,w₂,...,w_n表示权值矩阵。

可选的，所述基于所述优化后的神经网络模型进行攻击检测，包括：

对于基于优化后的神经网络模型得到的特征向量值用softmax激活函数计算概率；

基于所述概率使用交叉熵损失函数进行模型评估。

可选的，所述softmax激活函数公式如下：

所述交叉熵损失函数为：

其中，p(x_i)为期望输出，q(x_i)为实际输出。

本发明通过基于提取的特征数据建立深度神经网络模型，并对深度神经网络模型进行优化，基于优化后的深度神经网络模型进行网络攻击检测，达到提高IP溯源技术效率和精度的目的。

本发明具有以下优点：

1.本发明相比现有的IP溯源技术，具有更高的效率以及精度。

2.本发明通过长时间部署工控协议蜜罐捕获攻击流量，结合深度学习模型分析攻击者流量特征，找到具有相同或相似攻击特征的攻击源或攻击组织，达到检测同源攻击的目的，相比于传统的入侵检测***以及网络防火墙，本发明能够在一定程度上保护工控***的基础上实现攻击溯源。

3.本发明使用CNN以及LSTM深度神经网络，对攻击流量进行特征提取，能够提取出流量中更深层次的特征，最后结合softmax函数计算概率进行分类，进一步提高效率以及精度。

本发明的其它特征和优点将在随后具体实施方式部分予以详细说明。

附图说明

通过结合附图对本发明示例性实施方式进行更详细的描述，本发明的上述以及其它目的、特征和优势将变得更加明显，其中，在本发明示例性实施方式中，相同的参考标号通常代表相同部件。

图1示出了本发明的一个实施例的基于CNN-LSTM的工控协议同源攻击检测方法的流程图；

图2示出了本发明的一个实施例的蜜罐构造以及部署的示意图；

图3示出了本发明的一个实施例的基于CNN-LSTM的工控协议同源攻击检测方法的总体结构示意图。

具体实施方式

下面将更详细地描述本发明的优选实施方式。虽然以下描述了本发明的优选实施方式，然而应该理解，可以以各种形式实现本发明而不应被这里阐述的实施方式所限制。

如图1所示，一种基于CNN-LSTM的工控协议同源攻击检测方法，包括：

步骤S101：获取网络流量数据；

在一个具体的应用场景中，获取网络流量数据为通过部署蜜罐，并抓取蜜罐中的恶意网络流量，部署蜜罐，并抓取蜜罐中的恶意网络流量的具体操作为：以Conpot框架为基础开发蜜罐并部署，在不同虚拟专用服务器上部署多个分布式的蜜罐节点，使得蜜罐在预先定义好的相应机制下进行请求响应，并设置蜜罐数据捕捉模块，捕获与攻击者的所有交互数据。在所有部署的蜜罐中集成开源认证发布-订阅协议(Hpfeeds)，将捕获的数据传输到数据中心Mongodb数据库中。由于通常情况下，攻击者利用漏洞的速度要比供应商创建和推出补丁的速度快得多，如果仅仅依靠传统的防御方式，例如入侵检测***和动态防火墙，并不能对检测出新的和正在出现的攻击模式提供全面的覆盖，而蜜罐作为一种新兴的攻击诱骗技术，可以通过其内置提供的各种通用工控协议，模拟构建基础设施，构建所需的虚拟***，从而获取网络攻击流量并进行分析，最后实现攻击者溯源。

步骤S102：对所述网络流量数据进行数据特征提取，得到特征数据；

在一个具体的应用场景中，对抓取的网络流量中特定内容进行数据预处理的具体操作为：依据Moore提出的248个流量统计特征，选择其中的15种工控流量特征，其中前6个为Modbus TCP特有特征，其余为流量传统特征，如表1所示。网络流量中包含许多冗余和与溯源无关的属性，这些属性会降低模型准确率，而且会增加基于CNN-LSTM模型的计算负载和计算复杂度，因此，本发明从抓取的恶意流量中提取并统计表1中提到的特定内容作为流量特征。将这些数据嵌入一个m维空间中，数据总量为n，则生成一个m×n的位矩阵。

表1流量层特征描述

步骤S103：基于所述特征数据建立深度神经网络模型；

在一个具体的应用场景中，建立深度神经网络模型的具体操作为：根据数据特性，使用一维卷积层进行卷积计算，接着使用最大池化层来降维特征值的维度，并生成对应的特征图，最后将CNN特征图结果输入至LSTM网络。

步骤S104：对所述深度神经网络模型进行优化，得到优化后的神经网络模型；

在一个具体的应用场景中，模型优化的具体操作为：通过在LSTM网络中进行无监督学***均到各个信息维度上所造成的资源浪费和精度降低。从本质上看，注意力机制就是对输入内容的加权并求和。

步骤S105：基于所述优化后的神经网络模型进行攻击检测。

在一个具体的应用场景中，实现攻击溯源的具体操作为：softmax激活函数对数据流特征向量实现进行归一化，计算概率进行分类并使用交叉熵损失函数来进行模型评估。

可选的，对所述深度神经网络模型进行优化，包括：

可选的，所述注意力机制的模型优化方法为：

对输入内容的加权并求和，计算公式如下：

Z＝tanh(W_tY+b_t)

α＝softmax(w^TZ)

R＝Yα^T，

可选的，所述BP算法，包括：

权值更新阶段通过下列公式进行权值更新；

基于所述概率使用交叉熵损失函数进行模型评估。

可选的，所述softmax激活函数公式如下：

所述交叉熵损失函数为：

其中，p(x_i)为期望输出，q(x_i)为实际输出。

实施例二：

一种基于CNN-LSTM的工控协议同源攻击检测方法，包括以下步骤：

步骤1，如图2为蜜罐构造以及部署图，本例中通过部署分布式工控蜜罐，并在不同国家的虚拟专用服务器(Virtual Private Servers，VPS)上部署了16个分布式的蜜罐节点，VPS部署国家包括中国、以色列、巴西、美国、英国、南非、德国和加拿大等，收集了专有的工控蜜罐数据集，蜜罐以Conpot框架为基础进行开发，它们可以在预先定义好的响应机制下进行响应请求，并设置了蜜罐数据捕捉模块，捕获与攻击者的所有交互数据流。为了使蜜罐更具欺骗性，根据反蜜罐识别的一些措施，更改了Conpot蜜罐框架的一些自定义属性和字段，改***编码特征，以达到欺骗攻击者的目的。此外，每个蜜罐集成了开源认证发布-订阅协议，将捕获的数据传输到数据中心Mongodb数据库中。

步骤2，如图3为总体结构和流程图，由于数据包的二进制形式，若关键字段长为m/8字节，将数据嵌入一个m维空间中，数据总量为n，则生成一个m×n的位矩阵。

步骤3，根据数据特性，使用一维卷积层进行卷积计算。其中，卷积核个数为k＝5，过滤器大小为m×q，若步幅为2，那么该层输出矩阵大小为5×(n/2)，在池化层，使用的最大值池化层(Max Pooling)来降低特征值的维度，并生成对应的特征图。若窗口值为2，那么输出特征图大小为5×(n/4)，将CNN特征图结果输入至构建好的LSTM网络中，此时输入为5维特征向量C₀。

步骤4，通过在LSTM网络中进行无监督学习训练和有监督的微调，得到数据特征l₀，接着引入注意力机制对模型进行优化，注意力机制就是对输入内容的加权并求和，计算公式如下：

其中，W_t代表t时刻的权值矩阵，Y代表数据特征l₀所组成的矩阵，b_t则为有监督微调下的偏差值。α为注意力向量，w代表迭代寻优的权值矩阵，R代表基于注意力机制的数据流表达。在注意力机制基础下，使用BP反向传播算法来对权值矩阵进行迭代寻优，使模型特征向量的偏差值达到最小。BP算法包含激励传播和权值更新两个阶段，第一个阶段通过将训练输入网络来获得激励，再通过反向输入对应的目标来得到隐层和输出层的误差。第二个阶段通过公式(2)来进行权值更新。

w_n＝w₀-δ(l₀w₀-b_n) (2)，

w＝(w₁,w₂,...,w_n)^T

其中，w₀表示初始权重，δ为梯度的修正比例，b_n为第n个偏置项。

步骤5，将基于CNN-LSTM神经网络模型通过一系列训练学习调整得到了特征向量值，通过softmax激活函数来计算概率，计算公式如公式(3)所示：

由于模型参数以及向量预测高度复杂等多重因素的影响，LSTM神经网络无法做到准确的预测。本例计算了真实值与估计值的偏差，并以交叉熵损失来评估模型的输出，交叉熵的值越小，实际与期望差距越小。交叉熵的计算公式如公式(4)所示：

其中，概率分布p(x_i)为期望输出，q(x_i)为实际输出。通过迭代注意力向量和注意力矩阵来降低的交叉熵损失。

以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。

Claims

1.一种基于CNN-LSTM的工控协议同源攻击检测方法，其特征在于，包括：

获取网络流量数据；

对所述网络流量数据进行数据特征提取，得到特征数据；

基于所述特征数据建立深度神经网络模型；

基于所述优化后的神经网络模型进行攻击检测；

对所述深度神经网络模型进行优化，包括：

基于所述数据特征使用基于注意力机制的模型优化方法，对全连接层特征向量使用BP算法进行权值迭代优化；

所述注意力机制的模型优化方法为：

对输入内容的加权并求和，计算公式如下：

Z＝tanh(W_tY+b_t)

α＝softmax(w^TZ)

R＝Yα^T，

其中，W_t代表t时刻的权值矩阵，Y代表数据特征l₀所组成的矩阵，b_t则为有监督微调下的偏差值，α为注意力向量，w代表迭代寻优的权值矩阵，R代表基于注意力机制的数据流表达；

所述BP算法，包括：

权值更新阶段通过下列公式进行权值更新；

其中，w₀表示初始权重，δ为梯度的修正比例，b_n为第n个偏置项，l₀为数据特征，w₁,w₂,...,w_n表示权值矩阵；

所述基于所述优化后的神经网络模型进行攻击检测，包括：

基于所述概率使用交叉熵损失函数进行模型评估；

所述softmax激活函数公式如下：

所述交叉熵损失函数为：

其中，p(x_i)为期望输出，q(x_i)为实际输出；

所述基于所述特征数据建立深度神经网络模型，包括：

使用一维卷积层进行卷积计算，使用最大池化层降维特征值的维度，并生成对应的特征图，将特征图输入至LSTM网络；

其中，卷积核个数为k＝5，过滤器大小为m×q，步幅为2，该层输出矩阵大小为5×(n/2)，在池化层，使用的最大值池化层来降低特征值的维度，并生成对应的特征图；窗口值为2，输出特征图大小为5×(n/4)，将CNN特征图结果输入至构建好的LSTM网络中，此时输入为5维特征向量C₀。

2.根据权利要求1所述的基于CNN-LSTM的工控协议同源攻击检测方法，其特征在于，所述获取网络流量数据，包括：

3.根据权利要求1所述的基于CNN-LSTM的工控协议同源攻击检测方法，其特征在于，所述对所述网络流量数据进行数据特征提取，得到特征数据，包括：

4.根据权利要求1所述的基于CNN-LSTM的工控协议同源攻击检测方法，其特征在于，所述特征数据，包括：

Modbus TCP特有特征和流量传统特征。