CN113645181A - 一种基于孤立森林的分布式规约攻击检测方法及*** - Google Patents
一种基于孤立森林的分布式规约攻击检测方法及*** Download PDFInfo
- Publication number
- CN113645181A CN113645181A CN202110683154.5A CN202110683154A CN113645181A CN 113645181 A CN113645181 A CN 113645181A CN 202110683154 A CN202110683154 A CN 202110683154A CN 113645181 A CN113645181 A CN 113645181A
- Authority
- CN
- China
- Prior art keywords
- attack detection
- network protocol
- distributed network
- attack
- distributed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 104
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 33
- 230000006854 communication Effects 0.000 claims abstract description 31
- 238000004891 communication Methods 0.000 claims abstract description 29
- 230000002159 abnormal effect Effects 0.000 claims abstract description 16
- ZPUCINDJVBIVPJ-LJISPDSOSA-N ***e Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 claims description 24
- 230000009467 reduction Effects 0.000 claims description 10
- 238000012986 modification Methods 0.000 claims description 6
- 230000004048 modification Effects 0.000 claims description 6
- 238000013138 pruning Methods 0.000 claims description 6
- 238000004088 simulation Methods 0.000 claims description 6
- 238000002347 injection Methods 0.000 claims description 4
- 239000007924 injection Substances 0.000 claims description 4
- 230000001174 ascending effect Effects 0.000 claims description 3
- 230000008685 targeting Effects 0.000 claims description 3
- 230000009191 jumping Effects 0.000 claims description 2
- 238000000034 method Methods 0.000 description 32
- 230000006870 function Effects 0.000 description 17
- 230000008569 process Effects 0.000 description 8
- 238000003860 storage Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 102100029792 Dentin sialophosphoprotein Human genes 0.000 description 1
- 101000865404 Homo sapiens Dentin sialophosphoprotein Proteins 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000007635 classification algorithm Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/24323—Tree-organised classifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于孤立森林的分布式规约攻击检测方法及***,包括:根据孤立森林算法对含有攻击数据的数据集进行分类,得到异常数据;基于分类得到的异常数据结合关联规则算法提取未知攻击的攻击特征,生成所述异常数据的关联规则;基于分布式网络规约仿真软件,搭建分布式网络规约通信的攻击检测***,将所述关联规则添加到所述攻击检测***,得到规则扩充后的攻击检测***;利用攻击工具对所述攻击检测***进行中间人攻击,根据检测规则进行攻击检测与预警,实现分布式规约的攻击检测。本发明提供一种可靠、稳定且准确率高的基于分布式网络规约的攻击检测算法,从而有效提高工业控制***的安全性,阻止攻击者对工控***的攻击。
Description
技术领域
本发明涉及攻击检测的技术领域,尤其涉及一种基于孤立森林的分布式规约攻击检测方法及***。
背景技术
工业控制***包含了监控和数据采集***,它能控制和监控所有相关的基础设施,如发电厂、供水管道和电力***等;针对此类***的网络攻击越来越频繁,可能会给我们的社会带来不可挽回的损失,在过去,互联网服务提供商在专有网络上运行,并与合作网络(即商业网络)和互联网隔离;目前,它们的架构已经发生了变化,并在外部与商业网络和互联网互联,换句话说,它们现在更像是可以上网的企业局域网,这一变化大大增加了遭受网络攻击的可能性。
分布式网络协议是现代监控和数据采集网络协议之一,分布式网络规约是主设备和从设备之间通过各种通信介质进行通信的双向协议,这是一个相对可靠和有效的协议,为了实现更好的效率,分布式网络规约采用了一种称为增强性能架构的网络层模型,EPA只有三个层次:物理层、数据链路层和应用层,为了提高可靠性,分布式网络规约在其应用层中包含了传输功能。
由于分布式网络规约在设计阶段并未考虑到安全机制,因此分布式网络规约很容易遭受到攻击。而目前常见的攻击检测方法主要包括防火墙、入侵检测***与蜜罐技术等;其中,防火墙主要采取的是端口扫描技术,具有实时处理的优势;入侵检测***则通过先进的入侵检测技术来保障***的安全;蜜罐技术则通过不同的蜜罐对攻击数据进行捕获。而以上三种方法存在误报率较高的问题,因此无法适应工业***中的安全需求,为此,提出采用仿真的方式,搭建分布式网络规约通信环境,配置防火墙,利用机器学习方法,进行异常检测,并证明该方案的有效性。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述现有存在的问题,提出了本发明。
因此,本发明解决的技术问题是:现有技术存在误报率较高的问题,从而无法适应工业***中的安全需求。
为解决上述技术问题,本发明提供如下技术方案:根据孤立森林算法对含有攻击数据的数据集进行分类,得到异常数据;基于分类得到的异常数据结合关联规则算法提取未知攻击的攻击特征,生成所述异常数据的关联规则;基于分布式网络规约仿真软件,搭建分布式网络规约通信的攻击检测***,将所述关联规则添加到所述攻击检测***,得到规则扩充后的攻击检测***;利用攻击工具对所述攻击检测***进行攻击,根据检测规则进行攻击检测与预警,实现分布式规约的攻击检测。
作为本发明所述的基于孤立森林的分布式规约攻击检测方法的一种优选方案,其中:所述孤立森林算法的步骤包括,建立i棵子树,构建iForest;从数据集D中随机选取n个样本点作为所述i棵子树的根节点;若当前树的高度超过设置高度h,则返回子树,否则,随机选择一个特征q;所述随机在特征q的最大值和最小值之间选择切分点p;将小于所述p的样本放入左子节点,将大于所述p的样本放入右子节点;在子节点中递归判断当前树的高度到判断所述p所放节点的步骤;利用构建好的iForest计算样本得分Iso_anomaly_score;将所述样本得分进行升序排序;对阈值threshold进行限制;输出小于所述阈值的数据。
作为本发明所述的基于孤立森林的分布式规约攻击检测方法的一种优选方案,其中:所述关联规则算法包括,扫描全部数据,产生候选集的集合C1;根据最小支持度,由候选集集合C1产生频繁项集的集合;对K>1,重复执行连接和剪枝操作、产生频繁项集集合操作:由Lk执行连接和剪枝操作,产生候选(k+1)项集的集合CK+1;根据所述最小支持度,由候选(k+1)项集的集合CK+1,产生频繁项集(k+1)项集的集合;若L≠0,则k=k+1,跳往所述执行连接和剪枝操作步骤;否则,根据最小置信度,由频繁项集产生强关联规则,结束。
作为本发明所述的基于孤立森林的分布式规约攻击检测方法的一种优选方案,其中:所述攻击包括中间人攻击、分布式网络规约数据包修改和注入攻击、以分布式网络规约应用层为目标的分布式拒绝服务攻击以及分布式网络规约冷重启消息攻击。
作为本发明所述的基于孤立森林的分布式规约攻击检测方法的一种优选方案,其中:针对所述分布式网络规约协议的检测规则包括,针对任何访问分布式网络规约服务器端20000端口次数超过20次的访问者进行告警;针对任何访问分布式网络规约服务器端20000端口,并对功能码21进行访问的访问者进行告警;针对访问者在分布式网络规约端口上没有进行分布式网络规约协议的通信发出告警;针对任何访问分布式网络规约服务器端20000端口,并对功能码13进行访问的访问者进行告警;针对任何非已经设定好的分布式网络规约客户端访问分布式网络规约服务器端20000端口,将其视为没有权限的用户,因并进行告警;针对任何非已经设定好的分布式网络规约客户端访问分布式网络规约服务器端20000端口,并访问功能码1,将其视为没有访问PLC权限的用户,并进行告警;针对任何访问分布式网络规约服务器端20000端口且访问功能码18的访问者,将其视为非法停止程序运行,并进行告警。
作为本发明所述的基于孤立森林的分布式规约攻击检测方法的一种优选方案,其中:通过防火墙单元与snort攻击检测单元捕获攻击行为数据。
作为本发明所述的基于孤立森林的分布式规约攻击检测方法的一种优选方案,其中:所述防火墙单元捕获的攻击行为数据包括,
χi={x1,x2,...,xn}
其中,χi表示攻击序列,x1,x2...xn表示不同的攻击个体。
作为本发明所述的基于孤立森林的分布式规约攻击检测方法的一种优选方案,其中:所述snort攻击检测单元包括,
Yi=R-Xi={y1,y2,...,yn}
其中,Yi表示snort攻击检测单元捕获的攻击,R表示攻击总数,y1,y2…yn表示snort攻击检测单元捕获的攻击个体。
本发明解决的一个技术问题是:提供一种基于孤立森林的分布式规约攻击检测***,具有准确率更高的检测能力。
为解决上述技术问题,本发明提供如下技术方案:通信模块包括分布式网络规约服务器端以及客户端,用于实现分布式网络规约的仿真通信;攻击检测模块与所述通信模块进行连接,其包括防火墙单元和snort攻击检测单元,所述防火墙单元和所述snort攻击检测单元相连接,用于对分布式网络规约协议常见的攻击进行检测。
本发明的有益效果:本发明提供一种可靠、稳定且准确率高的基于分布式网络规约的攻击检测算法,从而有效提高工业控制***的安全性,阻止攻击者对工控***的攻击。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明一个实施例提供的一种基于孤立森林的分布式规约攻击检测方法及***的基本流程示意图;
图2为本发明一个实施例提供的一种基于孤立森林的分布式规约攻击检测方法及***的异常分类算法流程示意图;
图3为本发明一个实施例提供的一种基于孤立森林的分布式规约攻击检测方法及***的强规则生成算法流程示意图;
图4为本发明一个实施例提供的一种基于孤立森林的分布式规约攻击检测方法及***的攻击检测***拓扑示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明中除非另有明确的规定和限定,术语“安装、相连、连接”应做广义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1
参照图1~3,为本发明的一个实施例,提供了一种基于孤立森林的分布式规约攻击检测方法,包括:
S1:根据孤立森林算法对含有攻击数据的数据集进行分类,得到异常数据;需要说明的是,
孤立森林算法是一种无监督算法,适用于连续数据,即不需要有标记的样本,只需要特征是连续的;在孤立森林算法中,不再是描述正常的样本点,而是要孤立异常点;该算法主要从训练数据集中随机选取一个特征,在该特征的最大值最小值之间选取一个分割点,小于分割点的数据进入左侧分支,大于或等于分割点的数据进入右侧分支;不断重复以上过程后,直到只剩一个样本或相同样本或达到树的深度限制,然后通过路径长度来表示一个样本点被“孤立”的程度。如图2所示,孤立森林算法的具体步骤包括:
建立i棵子树,构建iForest;
从数据集D中随机选取n个样本点作为i棵子树的根节点;
若当前树的高度超过设置高度h,则返回子树,否则,随机选择一个特征q;
随机在特征q的最大值和最小值之间选择切分点p;
将小于p的样本放入左子节点,将大于p的样本放入右子节点;
在子节点中递归判断当前树的高度到判断p所放节点的步骤;
利用构建好的iForest计算样本得分Iso_anomaly_score;
将样本得分进行升序排序;
对阈值threshold进行限制;
输出小于阈值的数据。
S2:基于分类得到的异常数据结合关联规则算法提取未知攻击的攻击特征,生成异常数据的关联规则;需要说明的是,
关联规则算法是一种最有影响的挖掘布尔关联规则频繁项集的算法;该算法的基本思想是:首先找出所有的频集,这些项集出现的频繁性至少和预定义的最小支持度一样;然后由频集产生强关联规则,这些规则必须满足最小支持度和最小可信度;再者使用第一步找到的频集产生期望的规则,产生只包含集合的项的所有规则,其中每一条规则的右部只有一项,本发明采用的是中规则的定义,一旦这些规则被生成,那么只有那些大于用户给定的最小可信度的规则才被留下来,为了生成所有频集,使用了递推的方法。其中,关联规则算法属于强规则生成算法,如图3所示,其具体步骤包括:
扫描全部数据,产生候选集的集合C1;
根据最小支持度,由候选集集合C1产生频繁项集的集合;
对K>1,重复执行连接和剪枝操作、产生频繁项集集合操作:
由Lk执行连接和剪枝操作,产生候选(k+1)项集的集合CK+1;
根据最小支持度,由候选(k+1)项集的集合CK+1,产生频繁项集(k+1)项集的集合;
若L≠0,则k=k+1,跳往执行连接和剪枝操作步骤;否则,
根据最小置信度,由频繁项集产生强关联规则,结束。
S3:基于分布式网络规约仿真软件,搭建分布式网络规约通信的攻击检测***,将关联规则添加到攻击检测***,得到规则扩充后的攻击检测***;需要说明的是,
分布式网络规约协议主要用于与其它主机网络隔绝的工业控制网络,除了基础的要求之外,协议的安全性没有严格考虑,分布式网络规约协议目前典型的安全问题如下:
(1)没有认证保护:在分布式网络规约协议的通信过程中,没有任何认证的相关定义,攻击者可以通过使用定义明确的函数代码和数据类型创建对话,轻松中断整个或部分控制过程。
(2)没有授权保护:分布式网络规约协议没有进行权限的限制,因此,随意一个用户都可以执行任何操作来运行任意功能。
(3)没有加密保护:加密保证了信息的可信度,在分布式网络规约协议通信过程中,通常以纯文本的形式来发送地址和命令,因此传输过程易被捕获和解析。这可能有助于分析工业控制对象和过程。
分布式网络规约协议还有其他严重的安全问题,例如,未授权用户恶意修改和使用用户协议功能代码,一旦获得操作的主权,攻击者就可以向服务器发送任何功能代码,或者向客户端发送虚假信息以获得有用的反馈。
根据步骤S4中常见的攻击,可编写snort攻击检测规则,基于Snort引擎,设计规则用以匹配,即规则语言。本发明中用于检测DoS攻击的规则如下:
{alert icmp any any->$192.168.1.107 any(msg:"ICMP test";sid:10000001;rev:001;}
在这段规则中,alert表示如果攻击符合规则的设定,则发出告警,icmp表示协议类型,any表示任意源/目的IP地址,any/80表示端口号,msg表示记录的告警的日志信息,sid表示Snort规则的ID,rev则是用来识别规则修改的版本。
针对分布式网络规约协议的检测规则包括:
alert tcp any any->$DNP3_SERVER 20000(msg:"TCP SYN flood attackdetected";flags:S;threshold:type threshold,track by_dst,count 20,seconds 10;sid:5000001;rev:1;)
该规则表示,针对任何访问分布式网络规约服务器端20000端口次数超过20次的访问者进行告警;
alert tcp any any->$DNP3_SERVER 20000(msg:"SCADA_IDS:DNP3-DisableUnsolicited Responses";DNP3_func:21;classtype:attempted-dos;sid:11112011;rev:1;priority:2;)
该规则表示,针对任何访问分布式网络规约服务器端20000端口,并对功能码21进行访问的访问者进行告警;
alert tcp any any->$DNP3_SERVER 20000(flow:established;pcre:"/(?!\x05\x64)/iAR";msg:"SCADA_IDS:DNP3-Non-DNP3 Communication on a DNP3 Port";classtype:non-standard-protocol;sid:1111202;rev:1;priority:2;)
该规则表示,针对访问者在分布式网络规约端口上没有进行分布式网络规约协议的通信发出告警;
alert tcp$DNP3_CLIENT any->$DNP3_SERVER 20000(msg:"SCADA_IDS:DNP3-Cold Restart From Authorized Client";DNP3_func:13;sid:11112041;rev:1;priority:2;)
该规则表示,针对任何访问分布式网络规约服务器端20000端口,并对功能码13进行访问的访问者进行告警;
alert tcp!$DNP3_CLIENT any->$DNP3_SERVER 20000(msg:"SCADA_IDS:DNP3-Cold Restart From Unauthorized Client";DNP3_func:13;classtype:denial-of-service;sid:11112051;rev:1;priority:1;)
该规则表示,针对任何非已经设定好的分布式网络规约客户端访问分布式网络规约服务器端20000端口,将其视为没有权限的用户,因并进行告警;
alert tcp!$DNP3_CLIENT any->$DNP3_SERVER 20000(msg:"SCADA_IDS:DNP3-Unauthorized Read Request to a PLC";DNP3_func:1;classtype:bad-unknown;sid:11112061;rev:1;priority:2;)
该规则表示,针对任何非已经设定好的分布式网络规约客户端访问分布式网络规约服务器端20000端口,并访问功能码1,将其视为没有访问PLC权限的用户,并进行告警;
alert tcp any any->$DNP3_SERVER 20000(msg:"SCADA_IDS:DNP3-StopApplication";DNP3_func:18;classtype:denial-of-service;sid:11112091;rev:1;priority:2;)
该规则表示,针对任何访问分布式网络规约服务器端20000端口且访问功能码18的访问者,将其视为非法停止程序运行,并进行告警。
S4:利用攻击工具对攻击检测***进行攻击,根据检测规则进行攻击检测与预警,实现分布式规约的攻击检测;需要说明的是,
攻击包括:
中间人攻击:这种类型的攻击可以归类为网络攻击,是构成针对分布式网络规约节点或网络发起的大多数其他攻击的基础,这种攻击通过各种技术手段,将入侵者控制的一台计算机,放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”;
分布式网络规约数据包修改和注入攻击:为了操纵或修改分布式网络规约数据包,攻击者可以使用多种方法,其中就包括先劫持正在进行的TCP连接(这依赖于中间人攻击的成功),然后拦截要修改的数据包,这个被截取的包在被修改后,重新计算得出循环冗余校验码,在循环冗余校验重新计算之后,使用包注入工具将,便能将修改后的包重新注入通信介质;
以分布式网络规约应用层为目标的分布式拒绝服务攻击:拒绝服务(DoS)攻击是一种试图使机器或网络资源对其预期用户不可用的攻击,例如临时或无限期中断或暂停连接到网络服务。这种攻击是因为分布式网络规约是通过TCP/IP传输的。使用这种攻击方法,攻击者会向受害者的节点发送大量数据包,试图耗尽受害者的资源;
分布式网络规约冷重启消息攻击:当分站收到分布式网络规约冷重启请求命令,并且确认数据包来自主机时,分站在通信序列完成后执行完全重启,分站还将在重启前向主机发送一个回复,告知分站可用的时间,该攻击还会向分站发送一个名为冷重启的命令,该命令会导致分站完全重启。
进一步的,通过防火墙单元201与snort攻击检测单元202捕获攻击行为数据。
防火墙单元201捕获的攻击行为数据包括,
χi={x1,x2,...,xn}
其中,χi表示攻击序列,x1,x2...xn表示不同的攻击个体。
snort攻击检测单元202包括,
Yi=R-Xi={y1,y2,...,yn}
其中,Yi表示snort攻击检测单元202捕获的攻击,R表示攻击总数,y1,y2…yn表示snort攻击检测单元202捕获的攻击个体。
根据S3步骤生成的规则进行攻击行为检测及预警。
本发明在对数据的处理上使用了孤立森林算法,用来检测异常数据,再结合关联规则算法,来生成异常数据的强规则,从而对snort入侵检测***进行规则扩充,加强了工业控制***的安全。
为对本方法中采用的技术效果加以验证说明,本实施例采用传统技术方案与本发明方法进行对比测试,以科学论证的手段对比试验结果,以验证本方法所具有的真实效果。
在实验中,使用包含DNP3攻击数据的数据集,共有862条数据,其中正常数据470条,冷重启数据11条,禁用防止未经允许的访问有9条,拒绝服务攻击371条。
利用孤立森林算法对其进行检测,通过调整阈值,来得到最佳的检测率。
阈值 | 准确率 |
0.075 | 51.41% |
0.078 | 57.03% |
0.08 | 61.38% |
0.085 | 71.36% |
0.087 | 78.77% |
0.09 | 93.35% |
根据阈值的调整和准确率的计算可以得出,阈值为0.9的时候,准确率最高,达到93.35%。
将本发明算法与传统算法进行对比,基于孤立森林的攻击检测算法准确率为94.35%,LOF攻击检测算法准确率为66.89%,可以发现基于孤立森林的攻击检测算法检测准确率较高。
实施例2
如图4所示,本实施例提出一种基于孤立森林的分布式规约攻击检测***,上述实施例的方法能够依托于本***实现,该***包括:
通信模块100包括分布式网络规约服务器端101以及客户端102,用于实现分布式网络规约的仿真通信;
攻击检测模块200与通信模块100进行连接,其包括防火墙单元201和snort攻击检测单元202,防火墙单元201和snort攻击检测单元202相连接,用于对分布式网络规约协议常见的攻击进行检测。
具体的,防火墙单元201包括对连接数进行设置、白名单设定、对攻击的拦截,以及配置了snort攻击检测单元202,实现后续算法加强后的规则更新snort攻击检测单元202添加了分布式网络规约协议常见攻击方式所对应的检测规则,增加该攻击检测方法对于常见攻击的检测成功率。防火墙单元201主要对连接数进行设置,成为该***的第一道防线,当攻击者发起攻击时,攻击数据就会流经Pfsense防火墙,不符合所设置的规则则会被捕获。
如图4所示,为本发明的攻击检测***拓扑图,利用分布式网络规约仿真软件,搭建分布式网络规约通信的仿真,配置防火墙单元201,其使用的是pfsense防火墙,并可以根据预定义的防火墙单元201访问规则,公共网络和专用网络可以分开,其中客户端102指的是如台式电脑、平板电脑、手机、掌上电脑或者电子阅读器之类电子设备。
本发明提出使用分布式网络规约通讯协议分析及仿真软件来进行通讯仿真。主站搭建在配置了Winows7***的主机上,使用的是Outstation分布式网络规约Simulator部分作为分布式网络规约通讯的主站,从站搭建在配置了Winows10***的主机上,使用的是DMP3 Simulator作为通讯从站,通过对主从站的配置,来实现分布式网络规约通信。进一步的,***的安全性取决于防火墙单元201配置的规则,否则可能会导致不需要的数据流量进入,而阻止所需的数据,防火墙的主要功能是实现安全控制策略,保护***免受非法流量的影响。防火墙单元201还为在线计算机用户提供了高度灵活的安全性,防火墙单元201可以通过根据预定义的规则测试所有受约束和不受约束的网络流量来实现。
应当认识到,本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现,其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机***通信。然而,若需要,该程序可以以汇编或机器语言实现。在任何情况下,该语言可以是编译或解释的语言。此外,为此目的该程序能够在编程的专用集成电路上运行。
此外,可按任何合适的顺序来执行本文描述的过程的操作,除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机***的控制下执行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。计算机程序包括可由一个或多个处理器执行的多个指令。
进一步,方法可以在可操作地连接至合适的任何类型的计算平台中实现,包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现,无论是可移动的还是集成至计算平台,如硬盘、光学读取和/或写入存储介质、RAM、ROM等,使得其可由可编程计算机读取,当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外,机器可读代码,或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时,本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时,本发明还包括计算机本身。计算机程序能够应用于输入数据以执行本文所述的功能,从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中,转换的数据表示物理和有形的对象,包括显示器上产生的物理和有形对象的特定视觉描绘.
如在本申请所使用的,术语“组件”、“模块”、“***”等等旨在指代计算机相关实体,该计算机相关实体可以是硬件、固件、硬件和软件的结合、软件或者运行中的软件。例如,组件可以是,但不限于是:在处理器上运行的处理、处理器、对象、可执行文件、执行中的线程、程序和/或计算机。作为示例,在计算设备上运行的应用和该计算设备都可以是组件。一个或多个组件可以存在于执行中的过程和/或线程中,并且组件可以位于一个计算机中以及/或者分布在两个或更多个计算机之间。此外,这些组件能够从在其上具有各种数据结构的各种计算机可读介质中执行。这些组件可以通过诸如根据具有一个或多个数据分组(例如,来自一个组件的数据,该组件与本地***、分布式***中的另一个组件进行交互和/或以信号的方式通过诸如互联网之类的网络与其它***进行交互)的信号,以本地和/或远程过程的方式进行通信。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (9)
1.一种基于孤立森林的分布式规约攻击检测方法,其特性在于,包括:
根据孤立森林算法对含有攻击数据的数据集进行分类,得到异常数据;
基于分类得到的异常数据结合关联规则算法提取未知攻击的攻击特征,生成所述异常数据的关联规则;
基于分布式网络规约仿真软件,搭建分布式网络规约通信的攻击检测***,将所述关联规则添加到所述攻击检测***,得到规则扩充后的攻击检测***;
利用攻击工具对所述攻击检测***进行攻击,根据检测规则进行攻击检测与预警,实现分布式规约的攻击检测。
2.如权利要求1所述的基于孤立森林的分布式规约攻击检测方法,其特征在于:所述孤立森林算法的步骤包括,
建立i棵子树,构建iForest;
从数据集D中随机选取n个样本点作为所述i棵子树的根节点;
若当前树的高度超过设置高度h,则返回子树,否则,随机选择一个特征q;
所述随机在特征q的最大值和最小值之间选择切分点p;
将小于所述p的样本放入左子节点,将大于所述p的样本放入右子节点;
在子节点中递归判断当前树的高度到判断所述p所放节点的步骤;
利用构建好的iForest计算样本得分Iso_anomaly_score;
将所述样本得分进行升序排序;
对阈值threshold进行限制;
输出小于所述阈值的数据。
3.如权利要求1或2所述的基于孤立森林的分布式规约攻击检测方法,其特征在于:所述关联规则算法包括,
扫描全部数据,产生候选集的集合C1;
根据最小支持度,由候选集集合C1产生频繁项集的集合;
对K>1,重复执行连接和剪枝操作、产生频繁项集集合操作:
由Lk执行连接和剪枝操作,产生候选(k+1)项集的集合CK+1;
根据所述最小支持度,由候选(k+1)项集的集合CK+1,产生频繁项集(k+1)项集的集合;
若L≠0,则k=k+1,跳往所述执行连接和剪枝操作步骤;否则,
根据最小置信度,由频繁项集产生强关联规则,结束。
4.如权利要求3所述的基于孤立森林的分布式规约攻击检测方法,其特征在于:所述攻击包括中间人攻击、分布式网络规约数据包修改和注入攻击、以分布式网络规约应用层为目标的分布式拒绝服务攻击以及分布式网络规约冷重启消息攻击。
5.如权利要求1或4所述的基于孤立森林的分布式规约攻击检测方法,其特征在于:针对所述分布式网络规约协议的检测规则包括,
针对任何访问分布式网络规约服务器端20000端口次数超过20次的访问者进行告警;
针对任何访问分布式网络规约服务器端20000端口,并对功能码21进行访问的访问者进行告警;
针对访问者在分布式网络规约端口上没有进行分布式网络规约协议的通信发出告警;
针对任何访问分布式网络规约服务器端20000端口,并对功能码13进行访问的访问者进行告警;
针对任何非已经设定好的分布式网络规约客户端访问分布式网络规约服务器端20000端口,将其视为没有权限的用户,因并进行告警;
针对任何非已经设定好的分布式网络规约客户端访问分布式网络规约服务器端20000端口,并访问功能码1,将其视为没有访问PLC权限的用户,并进行告警;
针对任何访问分布式网络规约服务器端20000端口且访问功能码18的访问者,将其视为非法停止程序运行,并进行告警。
6.如权利要求5所述的基于孤立森林的分布式规约攻击检测方法,其特征在于:通过防火墙单元(201)与snort攻击检测单元(202)捕获攻击行为数据。
7.如权利要求6所述的基于孤立森林的分布式规约攻击检测方法,其特征在于:所述防火墙单元(201)捕获的攻击行为数据包括,
χi={x1,x2,...,xn}
其中,χi表示攻击序列,x1,x2…xn表示不同的攻击个体。
8.如权利要求6所述的基于孤立森林的分布式规约攻击检测方法,其特征在于:所述snort攻击检测单元(202)包括,
Yi=R-Xi={y1,y2,...,yn}
其中,Yi表示snort攻击检测单元(202)捕获的攻击,R表示攻击总数,y1,y2…yn表示snort攻击检测单元(202)捕获的攻击个体。
9.一种基于孤立森林的分布式规约攻击检测***,其特性在于,包括:
通信模块(100)包括分布式网络规约服务器端(101)以及客户端(102),用于实现分布式网络规约的仿真通信;
攻击检测模块(200)与所述通信模块(100)进行连接,其包括防火墙单元(201)和snort攻击检测单元(202),所述防火墙单元(201)和所述snort攻击检测单元(202)相连接,用于对分布式网络规约协议常见的攻击进行检测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110683154.5A CN113645181B (zh) | 2021-06-21 | 2021-06-21 | 一种基于孤立森林的分布式规约攻击检测方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110683154.5A CN113645181B (zh) | 2021-06-21 | 2021-06-21 | 一种基于孤立森林的分布式规约攻击检测方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113645181A true CN113645181A (zh) | 2021-11-12 |
CN113645181B CN113645181B (zh) | 2023-07-28 |
Family
ID=78415971
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110683154.5A Active CN113645181B (zh) | 2021-06-21 | 2021-06-21 | 一种基于孤立森林的分布式规约攻击检测方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113645181B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114157549A (zh) * | 2021-11-23 | 2022-03-08 | 上海创景信息科技有限公司 | 基于分布式总线的***仿真装置、方法、***及介质 |
CN117238058A (zh) * | 2023-11-10 | 2023-12-15 | 无锡明诚汽车部件有限公司 | 基于数据分析的汽车用起动机监测方法 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109600365A (zh) * | 2018-12-04 | 2019-04-09 | 沈阳安信合科技有限公司 | 基于电力网络iec规约的基因相似性入侵检测方法 |
CN110351260A (zh) * | 2019-06-28 | 2019-10-18 | 广州准星信息科技有限公司 | 一种内网攻击预警方法、装置及存储介质 |
CN111181971A (zh) * | 2019-12-31 | 2020-05-19 | 南京联成科技发展股份有限公司 | 一种自动检测工业网络攻击的*** |
CN111193738A (zh) * | 2019-12-30 | 2020-05-22 | 南京联成科技发展股份有限公司 | 一种工业控制***的入侵检测方法 |
CN111669371A (zh) * | 2020-05-18 | 2020-09-15 | 深圳供电局有限公司 | 一种适用于电力网络的网络攻击还原***及方法 |
CN111740957A (zh) * | 2020-05-21 | 2020-10-02 | 江苏信息职业技术学院 | 一种FP-tree优化的XSS攻击自动检测方法 |
CN111740856A (zh) * | 2020-05-07 | 2020-10-02 | 北京直真科技股份有限公司 | 基于异常检测算法的网络通信设备告警采集异常预警方法 |
CN112367307A (zh) * | 2020-10-27 | 2021-02-12 | 中国电子科技集团公司第二十八研究所 | 一种基于容器级蜜罐群的入侵检测方法及*** |
CN112686775A (zh) * | 2021-01-04 | 2021-04-20 | 中国电力科学研究院有限公司 | 基于孤立森林算法的电力网络攻击检测方法及*** |
CN112822151A (zh) * | 2020-11-06 | 2021-05-18 | 浙江中烟工业有限责任公司 | 面向控制网络工业计算机的多层精准主动网络攻击检测方法及*** |
-
2021
- 2021-06-21 CN CN202110683154.5A patent/CN113645181B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109600365A (zh) * | 2018-12-04 | 2019-04-09 | 沈阳安信合科技有限公司 | 基于电力网络iec规约的基因相似性入侵检测方法 |
CN110351260A (zh) * | 2019-06-28 | 2019-10-18 | 广州准星信息科技有限公司 | 一种内网攻击预警方法、装置及存储介质 |
CN111193738A (zh) * | 2019-12-30 | 2020-05-22 | 南京联成科技发展股份有限公司 | 一种工业控制***的入侵检测方法 |
CN111181971A (zh) * | 2019-12-31 | 2020-05-19 | 南京联成科技发展股份有限公司 | 一种自动检测工业网络攻击的*** |
CN111740856A (zh) * | 2020-05-07 | 2020-10-02 | 北京直真科技股份有限公司 | 基于异常检测算法的网络通信设备告警采集异常预警方法 |
CN111669371A (zh) * | 2020-05-18 | 2020-09-15 | 深圳供电局有限公司 | 一种适用于电力网络的网络攻击还原***及方法 |
CN111740957A (zh) * | 2020-05-21 | 2020-10-02 | 江苏信息职业技术学院 | 一种FP-tree优化的XSS攻击自动检测方法 |
CN112367307A (zh) * | 2020-10-27 | 2021-02-12 | 中国电子科技集团公司第二十八研究所 | 一种基于容器级蜜罐群的入侵检测方法及*** |
CN112822151A (zh) * | 2020-11-06 | 2021-05-18 | 浙江中烟工业有限责任公司 | 面向控制网络工业计算机的多层精准主动网络攻击检测方法及*** |
CN112686775A (zh) * | 2021-01-04 | 2021-04-20 | 中国电力科学研究院有限公司 | 基于孤立森林算法的电力网络攻击检测方法及*** |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114157549A (zh) * | 2021-11-23 | 2022-03-08 | 上海创景信息科技有限公司 | 基于分布式总线的***仿真装置、方法、***及介质 |
CN117238058A (zh) * | 2023-11-10 | 2023-12-15 | 无锡明诚汽车部件有限公司 | 基于数据分析的汽车用起动机监测方法 |
CN117238058B (zh) * | 2023-11-10 | 2024-01-26 | 无锡明诚汽车部件有限公司 | 基于数据分析的汽车用起动机监测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113645181B (zh) | 2023-07-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Martins et al. | Host-based IDS: A review and open issues of an anomaly detection system in IoT | |
Moustafa et al. | Generalized outlier gaussian mixture technique based on automated association features for simulating and detecting web application attacks | |
Wurzinger et al. | Automatically generating models for botnet detection | |
Dickerson et al. | Fuzzy network profiling for intrusion detection | |
US7464407B2 (en) | Attack defending system and attack defending method | |
EP1995929B1 (en) | Distributed system for the detection of eThreats | |
Jardine et al. | Senami: Selective non-invasive active monitoring for ics intrusion detection | |
CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
Portokalidis et al. | Sweetbait: Zero-hour worm detection and containment using low-and high-interaction honeypots | |
CN108259498B (zh) | 一种基于人工蜂群优化的bp算法的入侵检测方法及其*** | |
Igbe et al. | Deterministic dendritic cell algorithm application to smart grid cyber-attack detection | |
Kumar et al. | Intrusion detection systems: a review | |
Chen et al. | Intrusion detection | |
CN112685734B (zh) | 安全防护方法、装置、计算机设备和存储介质 | |
CN113645181A (zh) | 一种基于孤立森林的分布式规约攻击检测方法及*** | |
Victor et al. | Intrusion detection systems-analysis and containment of false positives alerts | |
Ádám et al. | Artificial neural network based IDS | |
CN113347184A (zh) | 网络流量安全检测引擎的测试方法、装置、设备及介质 | |
Auliar et al. | Security in iot-based smart homes: A taxonomy study of detection methods of mirai malware and countermeasures | |
RU2703329C1 (ru) | Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак | |
CN117254950A (zh) | 一种针对威胁攻击的检测分析方法及*** | |
Sun et al. | IoT‐IE: An Information‐Entropy‐Based Approach to Traffic Anomaly Detection in Internet of Things | |
Wutyi et al. | Heuristic rules for attack detection charged by NSL KDD dataset | |
Naik et al. | Building a cognizant honeypot for detecting active fingerprinting attacks using dynamic fuzzy rule interpolation | |
Beqiri | Neural networks for intrusion detection systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |