工控网络尤其是电力系统的网络使用场景单一,在网络安全运行的情况下,流量数据表现平稳,并且具有周期性,一旦网络发生异常,流量就会产生较大的波动,具体表现为流量各个维度的数值相较于历史数据发生突变,不再符合周期性的特点基于工控网络流量平稳和周期性强的特点,而使用LSTM网络模型可以对工控网络的流量数据进行时序预测,在网络正常运行的情况下,可以认为模型的预测值为正常值,当某一时刻的实际值偏离预测值较大,即认为网络出现异常。
(一)异常流量检测流程
检测流程分为两个阶段,第一个阶段是解析流量数据包构建有效特征,第二个阶段是LSTM网络模型的离线训练过程和在线检测过程。
第一阶段在电力SCADA系统中通过镜像端口的方式采集通信流量,对采集到的数据包进行深度包解析,针对104规约数据包,除了要解析常规的源地址、目的地址、源端口、目的端口、标志位和连接时间等基本信息,还要解析长度为6个字节的APCI,里面包含了控制电路的操作信息。对解析到的字段进行整合并重新构造出模型输入需要的特征,除了采集流量构造出的特征,构建时序模型还需要加入滞后历史特征,即模型需要用多长时间的输入去预测下一时刻的数值。
第二阶段在模型离线训练完成后,即可部署线上环境,对电力通信网络进行异常流量预测并实时报警。
(二)特征构造
如图11-2所示,第一阶段包含从流量中提取特征,并构造有效特征两部分,流量分为两部分,第一部分是离线采集的流量,主要用于模型训练,第二部分是源源不断的在线流量。
图11-2 异常流量检测流程
从流量中解析出同TCP/IP协议一样的字段和104规约中的APCI字段。解析字段分为三类:(www.xing528.com)
第一类为9个内部属性,这些属性是从网络数据包的头部中提取得到,例如连接的持续时间(duration),连接的协议类型(protocol_type),包含http、ftp、smtp和telnet等70种网络服务类型(service)等;
第二类为内容属性,这些属性是从网络数据包的内容区域中提取,例如从应用规约数据单元中提取的信息体、数据单元标识和104规约报文变长帧中的APCI;
第三类为派生属性,这些属性的计算考虑了之前的连接,细分为时间流量属性和机器流量属性,时间流量属性考虑过去2秒内发生的连接,例如到同一目标IP地址的点击总和(count),到同一目标端口号的连接总和(srv_count)等字段。
对以上38个字段构建时间统计特征,构建方法分为计数(count)、占比(percent)和均值(average),共构造出12个有效特征。
例如“相同主机”特征,检查过去2秒内与当前连接具有相同目标主机的连接,统计连接的数量,再计算与当前连接具有相同服务的连接百分比、不同服务的百分比、SYN(泛洪)的百分比以及REJ(拒绝连接)的百分比。对于诸如报文内部属性中的网络服务类型等的非数值型特征,需要对其进行独热编码(one-hot)转换为数值型特征用于模型的输入。
(三)模型训练
图11-3中的第二阶段为模型训练部分,分为离线训练和在线检测两部分,离线训练把构造好的特征输入到初始化的LSTM网络中进行模型训练,训练好的预测模型输入以相同方式构造的特征样本进行异常流量检测,如果模型检测到网络中的流量异常则发出警报。
图11-3 特征构造流程
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
