本發(fā)明涉及網(wǎng)絡安全領域，尤其涉及一種基于plc蜜點的內(nèi)部攻擊感知方法。

背景技術：

1、在工業(yè)制造業(yè)廣泛自動化的發(fā)展趨勢中，基礎設施的重要性得到了高度重視，隨著通過破壞工業(yè)設備等方式獲取經(jīng)濟利益或其它利益的安全事件的增多，保障工業(yè)生產(chǎn)環(huán)境的安全變得尤為重要。

2、工業(yè)控制系統(tǒng)(industrial?control?system，ics)是用于對工業(yè)設備進行控制盒管理的系統(tǒng)，其中可編輯邏輯控制器(programmable?logic?controller,plc)是專門用于管理ics中的重要設備。對于ics來說，常規(guī)的防御系統(tǒng)部署于受保護內(nèi)部網(wǎng)絡的邊界，對來自系統(tǒng)外部的攻擊與入侵進行抵御。

3、隨著社會工程戰(zhàn)略和技術發(fā)展的新興技術的興起，傳統(tǒng)防御系統(tǒng)與機制的有效性被大大削弱。為彌補邊界防御系統(tǒng)的缺陷，以蜜罐技術為代表的欺騙防御系統(tǒng)能夠有效地抵御來自公共網(wǎng)絡的攻擊。

4、但是傳統(tǒng)的蜜罐技術仍有諸多缺陷：首先，蜜罐技術在配置部署方面，與部署一個實際的plc系統(tǒng)有著同等規(guī)模的工作量；其次，由于蜜罐技術屬于被動防御系統(tǒng)，在受到攻擊后將會暴露而失去保護功能，同時因攻擊收到破壞；最后，由于蜜罐技術獨立部署的特殊性，其無法抵御來自系統(tǒng)內(nèi)部的攻擊。

5、內(nèi)部攻擊是來自內(nèi)網(wǎng)的攻擊，由于其具備較高的隱蔽性，因此天生難以檢測，對ics造成嚴重的威脅，因此，需要提供一種方案，改善上述問題。

技術實現(xiàn)思路

1、本發(fā)明的目的在于提供一種基于plc蜜點的內(nèi)部攻擊感知方法，可以改善現(xiàn)有技術中無法對內(nèi)部攻擊進行有效檢測或捕捉的問題。

2、本發(fā)明提供的一種基于plc蜜點的內(nèi)部攻擊感知方法，包括：

3、基于訓練數(shù)據(jù)集對數(shù)據(jù)生成模型進行訓練，獲得訓練后的數(shù)據(jù)生成模型；訓練數(shù)據(jù)集為系統(tǒng)內(nèi)部網(wǎng)絡中與待保護plc設備通訊時的通訊數(shù)據(jù)；

4、基于訓練后的數(shù)據(jù)生成模型構建plc蜜點，并將plc蜜點部署在系統(tǒng)內(nèi)部網(wǎng)絡中，plc蜜點用于獲取系統(tǒng)內(nèi)部向待保護plc設備發(fā)出的訪問請求；

5、當plc蜜點獲取到訪問請求并與訪問者建立通訊時，plc蜜點感知到系統(tǒng)內(nèi)部向待保護plc設備發(fā)出的攻擊訪問。

6、其有益效果在于：

7、plc蜜點作為主動防御技術，部署在系統(tǒng)內(nèi)部網(wǎng)絡中，不會被系統(tǒng)中正常的工作設備訪問，在訪問者對設備進行訪問時，plc蜜點會模仿待保護plc設備的行為向訪問者發(fā)送反饋數(shù)據(jù)并與其建立連接，當建立通訊時，感知到了來自系統(tǒng)內(nèi)部的攻擊訪問，該訪問者基本可以判定為內(nèi)部攻擊者，在感知到內(nèi)部共計并與攻擊者保持通訊時，plc蜜點將相關數(shù)據(jù)發(fā)送給檢測設備以便后續(xù)的檢測。

8、可選的，基于訓練數(shù)據(jù)集對數(shù)據(jù)生成模型進行訓練時，數(shù)據(jù)生成模型在訓練完成后能夠在接收到是數(shù)據(jù)輸入時，生成與待保護plc設備通訊數(shù)據(jù)相同類型的數(shù)據(jù)。

9、其有益效果在于：

10、本發(fā)明的plc蜜點在和攻擊者建立通訊時，需要讓訪問者相信自己是真實的plc設備，plc蜜點中的數(shù)據(jù)生成模型基于plc設備通訊時的通訊數(shù)據(jù)進行訓練后，能夠生成與常規(guī)plc設備相似的通訊數(shù)據(jù)，使得plc蜜點在向訪問者發(fā)送反饋數(shù)據(jù)時能夠讓訪問者認為該反饋數(shù)據(jù)是plc設備的通訊數(shù)據(jù)。

11、可選的，當plc蜜點獲取到訪問請求時，對訪問請求進行解析并獲得解析結果，基于解析結果查詢匹配數(shù)據(jù)，基于匹配數(shù)據(jù)生成反饋數(shù)據(jù)。

12、其有益效果在于：

13、針對以往技術中不同環(huán)境中部署慢的問題，本發(fā)明的plc蜜點通過數(shù)據(jù)驅(qū)動的方法構建數(shù)據(jù)生成模型，將部署過程轉(zhuǎn)化為數(shù)據(jù)模型的訓練過程，僅需較短時間便可以完成模型訓練。

14、此外，針對以往技術中無法高效遷移的問題，本發(fā)明使用的plc蜜點采用的是數(shù)據(jù)驅(qū)動的方法，不受數(shù)據(jù)的類型限制，僅需要對應設備的歷史使用記錄或者歷史數(shù)據(jù)便可以進行模型的構建，遷移成本低。

15、可選的，與訪問者建立通訊時，plc蜜點將反饋數(shù)據(jù)發(fā)送給訪問者，并放松通訊建立的信號，告知訪問者通訊建立。

16、其有益效果在于：

17、針對以往技術中無法抵御對自身plc攻擊的問題，本發(fā)明中的plc蜜點采用基于數(shù)據(jù)驅(qū)動的方式，并未實際部署真實或者仿真的系統(tǒng)，不受內(nèi)部plc攻擊的影響。

18、可選的，對訪問請求進行解析時，包括：plc蜜點獲取待保護plc設備在面對訪問請求時的對應數(shù)據(jù)格式，并基于該數(shù)據(jù)格式對訪問請求進行解析。

19、其有益效果在于：

20、plc蜜點獲取待保護plc設備的響應數(shù)據(jù)和響應數(shù)據(jù)的格式，基于該數(shù)據(jù)格式對訪問請求進行解析，本過程使得plc蜜點可以對訪問請求生成具有針對性的反饋數(shù)據(jù)。

21、可選的，對訪問請求進行解析并獲得解析結果時，解析結果包括查詢信息和輔助數(shù)據(jù)，查詢信息用于匹配數(shù)據(jù)，輔助數(shù)據(jù)用于參與反饋數(shù)據(jù)的生成。

22、可選的，基于解析結果查詢匹配數(shù)據(jù)時，包括：基于查詢信息在歷史數(shù)據(jù)內(nèi)查詢與查詢信息相匹配的記憶信息，記憶信息用于進行內(nèi)容生成獲得向量序列，歷史數(shù)據(jù)初始為預先收集的待保護plc設備的通訊數(shù)據(jù)，在plc蜜點部署后持續(xù)收集后續(xù)帶保護plc設備產(chǎn)生的通訊數(shù)據(jù)。

23、其有益效果在于：

24、plc蜜點基于解析獲得的查詢信息到歷史數(shù)據(jù)中查詢匹配的記憶信息，此步驟的目的在于，基于該記憶信息生成的反饋數(shù)據(jù)對于訪問者來說無法在短時間、低成本、低影響地對反饋數(shù)據(jù)進行辨別，從而使plc蜜點生成的反饋數(shù)據(jù)對于訪問者來說具備較高的置信度。

25、可選的，基于記憶信息進行進行內(nèi)容生成獲得向量序列時，包括：

26、將查詢到的記憶信息進行填充，獲得符合數(shù)據(jù)生成模型輸入長度的數(shù)據(jù)，將填充后的數(shù)據(jù)嵌入到特征向量中，將該特征向量進行位置編碼，基于帶有位置編碼的特征向量學習并生成向量序列。

27、其有益效果在于：

28、此步驟中，將查詢到的記憶信息通過多步處理轉(zhuǎn)換為數(shù)據(jù)生成模型可理解的形式，數(shù)據(jù)生成模型在對該轉(zhuǎn)換的數(shù)據(jù)進行學習然后生成相類似的數(shù)據(jù)，該生成的數(shù)據(jù)與正常plc設備通訊時的通訊數(shù)據(jù)相似，但是由于該數(shù)據(jù)本身為針對性生成的數(shù)據(jù)，因此在作為反饋數(shù)據(jù)發(fā)送給訪問者時不會因為潛在的攻擊行為而造成數(shù)據(jù)泄露或者設備受損等問題。

29、可選的，基于向量序列生成反饋數(shù)據(jù)時，包括：

30、將向量序列通過截斷的方式還原為記憶信息的長度，基于截斷后的向量序列轉(zhuǎn)化為與記憶信息相同類型的內(nèi)容數(shù)據(jù)，基于內(nèi)容數(shù)據(jù)和輔助數(shù)據(jù)構建完整的反饋數(shù)據(jù)。

31、其有益效果在于：

32、該步驟將數(shù)據(jù)生成模型生成的數(shù)據(jù)進行轉(zhuǎn)換后與解析訪問請求后獲得的輔助數(shù)據(jù)構成完整的反饋數(shù)據(jù)，反饋數(shù)據(jù)在此步驟后對于訪問者來說具備極高的欺騙性，對于訪問者來說，該反饋數(shù)據(jù)就是plc設備返回的通訊數(shù)據(jù)，從而接收反饋數(shù)據(jù)并與plc蜜點建立通訊連接。

33、可選的，基于查詢信息在歷史數(shù)據(jù)中進行查詢與查詢信息相匹配的記憶信息時，若未能查詢到匹配的記憶信息，則向訪問者反饋錯誤信息。

34、其有益效果在于：

35、當plc蜜點未能查詢到匹配度記憶信息時，此時模型并未學習過該類型的信息，因此反饋錯誤信息用以完成完整的信息交互過程，模擬出面對部分指令反饋錯誤的特性。