基于Snort的工控网络靶场入侵感知模型研究
摘要
随着科技的快速进步,工业信息化的不断发展推动着工业控制系统的转型,将工业
互联网、人工智能和云计算等前沿技术整合到不同的工业流程中,使得生产环境相对闭
塞的工业控制网络开放了互联的大门。这为整个工业生产体系带来巨大变化与动力的同
时,也使工控网络面临着外界入侵的风险。由于工业控制系统自身的易损性与封闭性,
市面上工业控制相关的软硬件平台难以寻得,使得我国工控系统的安全研究难以开展;
也因我国在工控安全研究的起步稍晚,致使相关技术人员稀缺。为了推动我国工控安全
领域的研究发展,本文研究工作主要包括以下两部分:
工控网络入侵感知靶场架构:通过对现今工控网络架构与可能面临的安全威胁的研
究与分析,设计应用于入侵与感知的工控网络拓扑架构;通过常见网络入侵行为的模拟,
设计工控网络靶场入侵模块,并且通过对Snort入侵检测的机制研究,设计基于Snort
入侵检测系统的靶场感知模块;采用Openstack开源云平台与Ceph分布式存储系统构
成靶场架构的平台基础,融入西门子、ScadaBR、OpenPLC等工控仿真软件作为靶场感
知模块的工控网络仿真部件,为工控安全研究提供技术支撑;通过相关功能与性能测试
来验证该架构应用于工控安全研究的可行性。
基于神经网络的Snort入侵感知模型:通过对入侵检测技术的相关研究,将Snort
开源入侵检测系统作为本靶场网络攻防的设计核心,并通过对Snort检测机制研究与工
控网络协议的数据包分析,进行数据包检测模块的拓展;引入机器学习相关知识,对
CNN-BiLSTM神经网络模型中学习率与网络维度等参数进行了优化,使用网络流量数
CNNLSTM
据集进行了该模型与、等神经网络模型的对比实验,验证了本模型的检测性
能得到了提升。并且该模型对于新型网络攻击的检测率近63%,提高了对于未知网络风
险的应对能力;将Snort原模式匹配算法与其他算法进行对比分析,根据其不足之处提
出了新型优化算法,旨在增加模式匹配中的移动步长和降低匹配次数来改善原有算法的
检测质量。通过字符串匹配相关对比实验,验证了新算法的匹配效率提升了60%左右。
之后将优化算法与神经网络模型融入Snort系统中形成工控网络靶场入侵感知模型,并
在网络靶场中对该感知模型开展了入侵感知测试,验证了新模型具备在工控场景数据包
的入侵感知与分析功能。
SnortBoyer-MooreCNN-BiLSTM
关键词:工控网络靶场;;入侵检测;;
基于Snort的工控网络靶场入侵感知模型研究
Abstract
Withtherapidadvancementoftechnology,theongoingdevelopmentofindustrial
informatizationisdrivingthetransformationofindustrialcontrolsystemsbyintegrating
cutting-edgetechnologiessuchasindustrialinternet,artificialintelligence,andcloud
computingintovariousindustrialprocesses,openingthedoorsofinterconnectedin
productionenvironmentsthatwererelativelyclosed-offinindustrialcontrolnetwork.Asa
result,theindustrialcontrolnetworkwithrelativelyblockedproductionenvironmentopensup
theinterconnecteddoor,whichbringsgreatchangesandpowertotheentireindustrial
pro