工控网络恶意行为检测研究与应用.pdfVIP

摘要

摘要

近年来，工业互联网在国家大力推进新基建的背景下取得了长足的进展，但

工控系统与互联网的融合也为工控产业带来了更多的网络安全隐患。现有的工控

网络安全防护技术还存在诸多不足，比如入侵检测模型对隐匿性攻击的检测精度

不高，高交互蜜罐难以适配多种工控场景等。本文设计实现了工控网络防御系统

以解决上述问题，该系统主要由高交互蜜罐模块和会话流入侵检测模块组成。相

比其它高交互蜜罐，本文的高交互蜜罐能适配更多的工控场景。会话流入侵检测

模块从不同层级的协议栈对会话流进行恶意行为分析，并采用了一种模型特征自

适应的方法提升了对工控隐匿性攻击检测的准确度。本文主要工作如下：

一、设计并实现了会话流入侵检测模块。该模块被动式地监听网卡流量，根据

TCP/IP协议栈模型对每一个以太网帧进行解析，通过会话流标识从数据包提取出

会话流。本模块对会话流进行协议分层的模型分析，工控应用层的字节流数据采

用卷积神经网络模型分析，工控应用层以下的网络统计特征采用传统机器学习方

法进行分析，最后对两种模型的预测结果进行整合以完成对会话流的恶意性分析。

二、设计并实现了一个高交互型蜜罐模块。蜜罐支持梯形图语言对PLC执行

逻辑的描述，以使蜜罐能适配多种工控生产场景。该蜜罐从两个层面对攻击者的

攻击进行日志记录。首先是网络层面，通过网络嗅探器收集攻击者的套接字连接

信息；其次是应用层面，蜜罐记录攻击者发送的工控指令序列。

三、提出了一种特征自适应更新的模型检测方法。高交互蜜罐对访问流量进

行特征工程和类别的自动化标注以生成临时数据集。将临时数据集用于机器学习

模型和卷积神经网络模型的训练，再对入侵检测系统的模型进行动态更新，使模

型能更好地适应攻击者的实时流量特征。实验结果表明，该方法提升了会话流入

侵检测模块对于工控隐蔽性攻击检测的准确率。

四、实现了插件式的工控协议解析框架。可通过插件动态地添加工控协议的

解析规则，通过协议的解析内容完善设备信息，并提供了设备的可视化资产列表，

该框架适配于会话流入侵检测模块。

关键词：工业控制系统，蜜罐，Modbus协议，机器学习，卷积神经网络

I

ABSTRACT

ABSTRACT

Inrecentyears,theindustrialInternethasmadegreatprogressunderthebackground

ofthecountry’svigorouspromotionofnewinfrastructure,buttheintegrationofindustrial

controlsystemsandtheInternethasalsobroughtmorenetworksecurityriskstotheindus-

trialcontrolindustry.Therearestillmanydeficienciesintheexistingindustrialcontrol

networksecurityprotectiontechnologies,suchasthelowdetectionaccuracyofintrusion

detectionmodelsforhiddenattacks,andthedifficultyofhigh-interactionhoneypotsto

adapttovariousindustrialcontrolscenarios.Thispaperdesignsandimplementsanin-

dustrialcontrolnetworkdefensesystemtosolvetheaboveproblems.Thesystemismainly

composedofahigh-interactionhoneypotmoduleandasessionflowintrusiondetection

module.Comparedwithotherhigh-interactionhoneypots,thehigh-