本发明涉及风险评估,尤其是涉及一种基于机器学习算法的工控系统威胁诱捕方法。
背景技术:
1、工业控制系统作为现代社会的关键基础设施,其安全性至关重要。然而,随着工业4.0时代的演进,新一代信息技术与工业化正经历着前所未有的融合,直接推动了传统封闭的工控系统向开放化和智能化方向转变,也使得它们日益成为网络攻击的主要目标。
2、随着全球网络信息化高速发展,网络安全威胁在不断演化,攻击手段也日益复杂。传统网络安全防护措施在面对日新月异的攻击手段,尤其是那些利用系统漏洞和未知攻击模式的高级持续性威胁时,其有效性正在经受严峻考验。为了改变网络空间对抗中防御方的被动局面,安全人员开始将目光聚焦于基于主动防御的蜜网安全防御技术,其通过部署模拟工控系统特征的蜜罐蜜网来诱骗攻击者,捕获攻击行为并进行研究分析,更新防御策略以加强工控系统的安全防护能力。
3、针对工控系统安全的蜜网技术,王毓贞等人设计并实现了一种基于强化学习的智能电网蜜罐框架——sgpot,该框架能够精准模拟电力行业真实设备中的系统恒定参数,以高度还原智能变电站控制端。吴南旭等人针对当前防御方法在抵御网络攻击时存在入侵成功概率高、入侵时间短的问题,提出了k-means算法和蜜罐技术相结合的主动防御方案。林志等针对工控系统中modbus协议及其附属umas协议的高危功能设计了一种基于工控设备仿真的蜜罐框架,以精确模拟umas协议报文并提升蜜罐的诱捕能力。g.wagener基于博弈论概念定义了高交互蜜罐的配置与行为,作为强化学习的一种变体,该方法旨在帮助蜜罐在面对网络攻击时采取最佳防御行为。pauna等人首先开发了一种名为rassh的自适应中交互蜜罐系统,该系统能够模拟ssh服务器,并利用机器学习算法与攻击者进行智能交互。yamamoto设计并实现了一个使用firmpot固件自动生成物联网蜜罐的框架。seamusdowling提出了一种基于机器学习的自适应蜜罐,旨在通过学习智能地响应攻击命令。touch等人创新性地提出了强化学习蜜罐架构asgard及其衍生架构midgard。lopezy等人通过结合word2vec模型和深度强化学习技术,显著提升了攻击者在自适应蜜罐环境中的交互参与程度。
4、然而,以上的传统蜜网技术的静态特性使其在应对复杂网络环境存在时局限。大部分蜜罐都属于静态防御的方式,需要手动进行部署配置,仍存在资源的优化和效率问题,因此,目前亟需一种更高效的策略来减少资源浪费以提升系统性能的威胁诱捕模型。
技术实现思路
1、本发明针对上述现有技术的缺点,提供一种基于机器学习算法的工控系统威胁诱捕方法,其包括以下步骤:
2、步骤1:针对工控系统中各个设备和协议的特征,修改conpot蜜罐的初始配置文件;
3、步骤2:在工控网络中部署多个不同类型的蜜罐节点,对不同类型的工控设备进行仿真;
4、步骤3:在每个蜜罐节点上构建诱捕模型;
5、步骤4:利用诱捕模型对进入蜜罐节点的数据流量判断,捕获异常数据时,动态执行配置的策略。
6、进一步地,步骤3建立诱捕模型的具体步骤包括:
7、步骤3.1:基于cic-ids-2017数据集,构建流量分类样本集;
8、步骤3.2:构建随机森林模型,并利用流量分类样本集对模型进行训练和测试;
9、步骤3.3:将随机森林模型的输出作为dqn模型的输入;
10、步骤3.4:dqn模型检测输入的流量数据标签,根据标签类型得到不同的奖励,根据奖励计算目标q值函数,通过最小化损失函数,优化dqn模型参数,构建威胁诱捕模型。
11、进一步地,步骤3.1的具体步骤包括:
12、步骤3.1.1:删除原始数据集数据中的流字节率和流包率两列特征中特征值为nan和infinite的脏数据;
13、步骤3.1.2:从良性流量数据中随机筛选三分之一数据作为正常流量数据样本;
14、步骤3.1.3:从原始数据集的剩余数据中筛选出非良性流量作为异常流量样本;
15、步骤3.1.4:将正常流量数据样本和异常流量样本合并,并去掉所有脏数据行,得到流量分类样本集。
16、进一步地,步骤3.2的具体步骤包括:
17、步骤3.2.1:根据下式对流量分类样本集中的数据进行标准化:
18、
19、其中,xi表示原始数据,zi表示经过标准化处理后的数据,μ表示原始数据的均值,σ表示其标准差;
20、步骤3.2.2:将标准化处理后的流量分类样本集按7:3的比例划分为训练集和测试集;
21、步骤3.2.3:对训练集和测试集中样本数据的标签进行编码;
22、步骤3.2.4:在训练集上训练随机森林模型,更新模型参数,优化模型;
23、步骤3.2.5:在测试集上对训练好的随机森林模型进行测试;
24、步骤3.2.6:构建随机森林模型。
25、进一步地,步骤3.4的具体步骤包括:
26、步骤3.4.1:获取随机森林模型检测后的流量数据;
27、步骤3.4.2:dqn模型对流量数据中的标签进行判定,若标签为“benign”,则判断当前流量数据为异常流量,进入步骤3.4.3;否则当前流量数据为正常流量,得到相应的负奖励;
28、步骤3.4.3:执行异常流量动作,若执行成功,则得到相应的正奖励;否则得到相应的负奖励;
29、步骤3.4.4:根据得到的奖励值计算目标q值,最小化损失函数,判断损失函数的损失值损是否小于等于预设阈值,若否,利用梯度下降法来更新dqn的参数;若是,输出构建的dqn模型。
30、进一步地,步骤3.4.4计算目标q值的步骤为:根据流量数据为异常流量时所对应的状态s′,通过下式计算修改蜜罐指纹信息动作a′所对应的q值:
31、
32、其中,γ表示折扣因子,用于平衡当前奖励与未来潜在奖励之间的权重;θ-表示目标网络的参数;ri表示智能体在状态s执行动作a后,即时获得的奖励。
33、进一步地,所述损失函数为:
34、
35、其中,s表示特定状态,a表示执行动作,θ表示dqn神经网络的参数,n表示样本的数量。
36、因此,本发明采用上述一种基于机器学习算法的工控系统威胁诱捕方法,具有以下有益效果:
37、本发明提出一种基于机器学习的工控系统威胁诱捕技术,在conpot上构建工控系统仿真环境,基于随机森林模型进行实时流量检测与分类,利用cic-ids-2017数据集对随机森林算法模型进行训练,提高异常流量识别准确率,并通过引入dqn算法,实现蜜网的策略动态配置,有效解决了传统蜜网缺乏动态性的问题。
38、下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
1.基于机器学习算法的工控系统威胁诱捕方法,其特征在于,包括以下步骤:
2.如权利要求1所述的基于机器学习算法的工控系统威胁诱捕方法,其特征在于,步骤3建立诱捕模型的具体步骤包括:
3.如权利要求1所述的基于机器学习算法的工控系统威胁诱捕方法,其特征在于,步骤3.1的具体步骤包括:
4.如权利要求3所述的基于机器学习算法的工控系统威胁诱捕方法,其特征在于,步骤3.2的具体步骤包括:
5.如权利要求2所述的基于机器学习算法的工控系统威胁诱捕方法,其特征在于,步骤3.4的具体步骤包括:
6.如权利要求5所述的基于机器学习算法的工控系统威胁诱捕方法,其特征在于,步骤3.4.4计算目标q值的步骤为:根据流量数据为异常流量时所对应的状态s′,通过下式计算修改蜜罐指纹信息动作a′所对应的q值:
7.如权利要求5所述的基于机器学习算法的工控系统威胁诱捕方法,其特征在于,所述损失函数为:
