买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：电子科技大学

摘要：本发明涉及智能终端安全技术领域，提供一种基于工业控制系统入侵检测的关联分析方法，其包括以下步骤：S1：入侵检测系统数据采集；S2：提取用于关联的属性；S3：按时间窗口tw1和权重去重；S4：划分告警序列；S5：配置关联分析参数；S6：删除非频繁项集；S7：构造FP‑Tree；S8：获得前缀模式基；S9：递归构造FP‑Tree，生成条件模式基，得到频繁项集；S10：生成关联规则并计算置信度，筛选出强关联规则；S11：去除规则中的冗余，得到顺序正确的最小不重复规则；S12：按IP对规则进行关联；S13：按设备对规则进行关联；S14：关联规则的存储。本发明能较佳地进行关联分析。

主权项：1.一种基于工业控制系统入侵检测的关联分析方法，其特征在于：包括以下步骤：S1：入侵检测系统数据采集；S2：提取用于关联的属性；S3：按时间窗口tw1和权重去重；S4：划分告警序列；S5：配置关联分析参数；S6：删除非频繁项集；S7：构造FP-Tree；S8：获得前缀模式基；S9：递归构造FP-Tree，生成条件模式基，得到频繁项集；S10：生成关联规则并计算置信度，筛选出强关联规则；S11：去除规则中的冗余，得到顺序正确的最小不重复规则；S12：按IP对规则进行关联；S13：按设备对规则进行关联；S14：关联规则的存储；S1中，在工业控制系统中的各种设备内部署IDS入侵检测系统，通过主机型IDS进行日志监控、完整性检测、应用行为监控，监控并采集工业控制系统的主机安全事件；通过网络型IDS对网络数据包进行网络安全检测；通过部署不同的IDS，获取多种告警，作为关联分析的原始数据；S2中，对多种告警进行关键属性提取，实现告警的统一格式表示；S3中，对S2中统一格式表示的告警，选取时间窗口tw1，并去除每个窗口内的重复告警；根据不同类型告警的不同属性的权重，根据告警的具体类型计算相似度，设置告警的相似度阈值min_sim，当同一个时间窗口内的两个告警达到相似度阈值，视为重复告警，只保留第一次出现的告警，由此得到新的告警集合；S4中，对S3中的告警集合，选取时间窗口tw2，按时间窗口划分，将同一时间窗口内的数据组织为一维序列，多个一维序列构成二维序列，将二维序列中每个元素的各个属性以统一的格式转化为字符串，由此得到二维告警序列；S5中，选取FP-Growth算法的最小支持度Min_support，最小置信度min_conf参数，其中最小支持度用于确定告警项的频繁程度，如果告警项的出现次数小于最小支持度，则该告警项属于非频繁项集，并且包含该告警项的项集也属于非频繁项集，直接将该告警项从集合中删除；最小置信度是指规则前件发生的条件下后件也发生的条件概率，当规则的置信度小于最小置信度，说明两者不属于同一个频繁项集，并且两个没有关联；S6中，对于S4得到的分组后的二维序列，遍历每个告警项，用哈希表统计告警项的出现频率，将频率小于最小支持度Min_support的告警项删除，得到频繁项集；S7中，对S6中得到的频繁告警项排序，构造FP-Tree，再次遍历频繁项集，先构造FP-Tree的根节点Root，将频繁告警依次插入FP-Tree，若FP-Tree中不存在当前节点，则当前节点作为root节点的子节点；如果存在相同的前缀告警集，就遍历FP-Tree，将告警序列中第一个不同的告警插入到前一个相同告警节点的子节点，从而保证出现频率高的元素项离根节点更近，得到FP-Tree；S8中，构造项头表，链接FP-Tree中的所有同名节点，从S7中得到的FP-Tree中，挖掘频繁项集，对项头表中的每个元素，从树中获得前缀模式基；S9中，利用前缀模式基，生成条件模式基，递归地构建一个更小规模的FP-Tree，从S7开始循环，直到FP-Tree中只有一条子分支，得到一个频繁一项集种元素的所有频繁项集，对项头表中的其他节点重复S8；S10中，根据S9的每个频繁项集，生成关联规则；关联规则的形式是A＝B，其中A和B分别是项的集合；对于生成的关联规则，计算其置信度；置信度是指如果一个事务包含项集A，那么它也很可能包含项集B的概率；计算置信度的公式是：supportAUB＝countAUB 筛选出confidence大于min_conf的关联规则，其他的规则被丢弃，由此得到强关联规则；S11中，对S10中得到的强关联规则进行筛选和处理，筛选出不重复的规则，根据告警的时间关系确定规则前件和后件的顺序，得到顺序正确的最小不重复规则；S12中，对于S11得到的不重复规则，根据复杂攻击本身的特点，对最小规则进行组合和关联，采用IP的相似性进行组合，而对于设备之间的跳板式的链状攻击，攻击前件的IP和攻击后件的IP具有很高的相似度，设置规则相似度ip_sim，如果规则相似度大于该阈值，经过组合得到更长的复杂攻击规则；S13中，对于S11得到的不重复规则，根据设备名称进行关联，设备名称属于告警的一个属性，对于工控系统中同一设备内部的复杂攻击链，具有统一的设备名称，因此，将关联规则中设备名称相同的规则判定为设备内部的关联规则；S14中，关联规则表示的是入侵检测系统中历史告警集合中存在的关联关系，属于过去发生的攻击场景，复杂攻击场景由多个攻击步骤组成，即复杂攻击和其中包含的单步攻击存在一对多的关系，将这种关系存储于云端关系型数据库MySQL中，用两张表存储，建立起工控系统复杂攻击场景的知识库。

全文数据：

权利要求：

百度查询： 电子科技大学 一种基于工业控制系统入侵检测的关联分析方法