面向工控系统的未知协议行为预测
发布时间:2021-06-05 10:15
互联网高速发展的同时,也给传统工业的发展带来了新的契机。受IT互联网的影响,工控系统(Industrial Control System,ICS)由原本的物理隔离也发展到了如今的分布式控制、全面接入互联网。然而,互联网的引入固然加快了工控系统的发展步伐,但是来自互联网的威胁从来不会缺席,工控系统关系企业和国家的发展,是提高社会生产力的关键,如何应对攻击者五花八门的攻击来保证工控系统的安全是亟待我们研究的问题。建立攻击代码库耗时且费力,而且网络的攻击手段层出不穷,很难收集完全。如果对工控系统内的指令流建立模型,以此为依据对系统内的指令进行预测,通过比对估计的结果与实际接收指令的异同,就可以实现对工控系统的安全防护。本文提出了基于自适应DBSCAN的聚类方法用于分析工控系统的网络数据,不同于协议逆向工程的是,只需分析出协议的关键信息、能够识别出协议的数据段即可,而不必具体得出每个字段所代表的含义。首先对捕获的报文进行预处理,只保留我们感兴趣的协议内容,然后计算它们的全局相似度矩阵,即报文之间的距离信息。自适应DBSCAN从相似度矩阵中估计出一个合适的参数用于聚类,随后在每个簇内分析协议的信...
【文章来源】:哈尔滨工业大学黑龙江省 211工程院校 985工程院校
【文章页数】:58 页
【学位级别】:硕士
【部分图文】:
传统OSI七层模型
哈尔滨工业大学工学硕士学位论文其中 | G(s)|n表示字符串 s 的 n-gram 集合的元素数目。由公式可知,字的距离越小,它们的就越相似。当两个字符串完全相同时,它们之间 0。基于隐马尔科夫模型和 n-gram 分析的技术已被用于 HTTP 攻击检测中对原始 HTTP 字节进行建模实现攻击检测[27]。以 n-gram 模型为基础解决文件分类的问题[28]。另外,n-gram 在机器翻译、语音识别的领域的使用的地方,而且由于 n-gram 模型考虑了文本或词语的历史信息及,在实际应用中它的效果也比朴素贝叶斯方法好[29]。以 n-gram 模型为基础,实现基于统计的行为预测将在下文详细讲述。 本文的研究内容考虑到工控系统未必使用已知的协议进行控制指令的传输,因此首先逆向的工作,然后再进行行为预测,具体流程如图 1-2 所示。
从网络数据中提取控制指令的方法。即使是某种未知传输和控制,协议也应该分为不同种类型,如请求、种类型的数据报文进行比对,这样就更容易获得协议内的数据部分。而为了将不同种类型的协议报文区别。但是对报文进行聚类需要报文之间的距离信息,因报文之间的相似程度,即距离,之后再进行聚类操作部,经由特殊到一般的逐渐泛化,获得协议的格式信据域。集与数据预处理的采集过程如图 2-1 所示。
【参考文献】:
期刊论文
[1]迫在眉睫的工控系统安全防护[J]. 信息安全与通信保密. 2014(06)
[2]协议规范挖掘研究综述[J]. 张钊,温巧燕,唐文. 计算机工程与应用. 2013(09)
[3]震网病毒分析与防范[J]. 蒲石,陈周国,祝世雄. 信息网络安全. 2012(02)
[4]剖析HTTP服务器程序[J]. 任振兴. 电脑知识与技术. 2012(02)
[5]基于改进DBSCAN算法的文本聚类[J]. 蔡岳,袁津生. 计算机工程. 2011(12)
[6]物联网关键技术及应用[J]. 杨倩. 电信科学. 2010(S1)
[7]生物信息学中基于启发式的多序列比对算法[J]. 向昌盛,周建军. 科技信息. 2006(S3)
[8]影响TCP协议安全性的几个要素[J]. 孟朝霞,吴晨晖. 现代电子技术. 2003(16)
[9]HTTP协议技术探析[J]. 肖戈林. 江西通信科技. 2001(01)
[10]网络协议系列文章[1]开放系统互连技术概述[J]. 周伟安. 计算机与通信. 1996(07)
硕士论文
[1]基于Net-Trace的未知协议格式逆向技术研究[D]. 孙芳慧.哈尔滨工业大学 2015
[2]人名消歧研究与实现[D]. 韩伟.北京邮电大学 2014
[3]基于FPGA的高帧频CMOS相机数据传输系统设计[D]. 杜鹃.西安工业大学 2011
[4]源代码抄袭检测系统的研究和实现[D]. 赵文硕.中山大学 2011
[5]生物序列比对问题的研究[D]. 吕艳萍.福州大学 2005
[6]现场总线控制系统在燃气热电厂中的应用[D]. 王晓明.西安理工大学 2003
本文编号:3211974
【文章来源】:哈尔滨工业大学黑龙江省 211工程院校 985工程院校
【文章页数】:58 页
【学位级别】:硕士
【部分图文】:
传统OSI七层模型
哈尔滨工业大学工学硕士学位论文其中 | G(s)|n表示字符串 s 的 n-gram 集合的元素数目。由公式可知,字的距离越小,它们的就越相似。当两个字符串完全相同时,它们之间 0。基于隐马尔科夫模型和 n-gram 分析的技术已被用于 HTTP 攻击检测中对原始 HTTP 字节进行建模实现攻击检测[27]。以 n-gram 模型为基础解决文件分类的问题[28]。另外,n-gram 在机器翻译、语音识别的领域的使用的地方,而且由于 n-gram 模型考虑了文本或词语的历史信息及,在实际应用中它的效果也比朴素贝叶斯方法好[29]。以 n-gram 模型为基础,实现基于统计的行为预测将在下文详细讲述。 本文的研究内容考虑到工控系统未必使用已知的协议进行控制指令的传输,因此首先逆向的工作,然后再进行行为预测,具体流程如图 1-2 所示。
从网络数据中提取控制指令的方法。即使是某种未知传输和控制,协议也应该分为不同种类型,如请求、种类型的数据报文进行比对,这样就更容易获得协议内的数据部分。而为了将不同种类型的协议报文区别。但是对报文进行聚类需要报文之间的距离信息,因报文之间的相似程度,即距离,之后再进行聚类操作部,经由特殊到一般的逐渐泛化,获得协议的格式信据域。集与数据预处理的采集过程如图 2-1 所示。
【参考文献】:
期刊论文
[1]迫在眉睫的工控系统安全防护[J]. 信息安全与通信保密. 2014(06)
[2]协议规范挖掘研究综述[J]. 张钊,温巧燕,唐文. 计算机工程与应用. 2013(09)
[3]震网病毒分析与防范[J]. 蒲石,陈周国,祝世雄. 信息网络安全. 2012(02)
[4]剖析HTTP服务器程序[J]. 任振兴. 电脑知识与技术. 2012(02)
[5]基于改进DBSCAN算法的文本聚类[J]. 蔡岳,袁津生. 计算机工程. 2011(12)
[6]物联网关键技术及应用[J]. 杨倩. 电信科学. 2010(S1)
[7]生物信息学中基于启发式的多序列比对算法[J]. 向昌盛,周建军. 科技信息. 2006(S3)
[8]影响TCP协议安全性的几个要素[J]. 孟朝霞,吴晨晖. 现代电子技术. 2003(16)
[9]HTTP协议技术探析[J]. 肖戈林. 江西通信科技. 2001(01)
[10]网络协议系列文章[1]开放系统互连技术概述[J]. 周伟安. 计算机与通信. 1996(07)
硕士论文
[1]基于Net-Trace的未知协议格式逆向技术研究[D]. 孙芳慧.哈尔滨工业大学 2015
[2]人名消歧研究与实现[D]. 韩伟.北京邮电大学 2014
[3]基于FPGA的高帧频CMOS相机数据传输系统设计[D]. 杜鹃.西安工业大学 2011
[4]源代码抄袭检测系统的研究和实现[D]. 赵文硕.中山大学 2011
[5]生物序列比对问题的研究[D]. 吕艳萍.福州大学 2005
[6]现场总线控制系统在燃气热电厂中的应用[D]. 王晓明.西安理工大学 2003
本文编号:3211974
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3211974.html
