买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：上海电力大学

摘要：本发明涉及一种分散控制系统攻击入侵检测装置及其方法，该系统包括与分散控制系统网络路由器连接的数据处理模块，数据处理模块连接至数据库模块，数据库模块与攻击入侵检测模块双向连接，数据处理模块从分散控制系统网络路由器获取通信链路数据，并从通信链路数据中提取出攻击征兆特征数据；攻击入侵检测模块根据设定的攻击入侵置信规则库，对攻击征兆特征数据进行分析，得到攻击检测结果；数据库模块接收并存储攻击征兆特征数据以及攻击检测结果。与现有技术相比，本发明通过建立与不同攻击入侵类型相互映射的攻击入侵置信规则库，能够实时可靠地对攻击入侵进行检测及预警，保证检测效率及准确率，从而有效提高分散控制系统运行的安全性。

主权项：1.一种分散控制系统攻击入侵检测方法，应用于一种分散控制系统攻击入侵检测装置，其特征在于，该装置包括与分散控制系统网络路由器连接的数据处理模块1，所述数据处理模块1连接至数据库模块2，所述数据库模块2与攻击入侵检测模块3双向连接，所述数据处理模块1从分散控制系统网络路由器获取通信链路数据，并从通信链路数据中提取出攻击征兆特征数据；所述攻击入侵检测模块3用于根据设定的攻击入侵置信规则库，对攻击征兆特征数据进行分析，得到攻击检测结果；所述数据库模块2用于接收并存储数据处理模块1输出的攻击征兆特征数据，以及接收并存储攻击入侵检测模块3输出的攻击检测结果；该方法包括以下步骤：S1、按照设定的数据监测时间周期，数据处理模块从分散控制系统网络路由获取通信链路数据，并从获取的通信链路数据中提取出攻击征兆特征数据；S2、数据处理模块将攻击征兆特征数据传输给数据库模块进行存储；S3、按照设定的检测启动时间周期，攻击入侵检测模块从数据库模块获取攻击征兆特征数据，并按照设定的攻击入侵置信规则库，对攻击征兆特征数据进行分析，得到对应的攻击检测结果；步骤S3具体包括以下步骤：S31、按照设定的检测启动时间周期，攻击入侵检测模块从数据库模块获取攻击征兆特征数据；S32、攻击入侵检测模块将攻击征兆特征数据分别与五种攻击入侵类型的阈值和限值进行比较，并采用线性插值法求取五种攻击入侵类型对应的当前证据置信度；S33、结合当前证据置信度、设定的对应前提条件置信度以及设定的对应结论置信度，计算得到五种攻击入侵类型对应的成立置信度；S34、判断成立置信度是否在设定的对应阈值范围内，若判断为是，则表明当前发生该种攻击入侵，否则表明当前并未发生该种攻击入侵；在步骤S32中，具体是依据设定的攻击入侵置信规则库进行攻击入侵检测，五种攻击入侵类型按顺序依次为：ARP攻击、DOS攻击、SSH口令爆破攻击、恶意篡改设定值攻击、中间人攻击，其中，攻击入侵置信规则库包含五种攻击入侵类型对应的检测规则、置信度、语义化阈值和限值：1ARP攻击检测方法，检测周期为1s：iARP攻击检测规则：如果检测到与系统ARP表匹配关系不匹配的数据包数目countsmismatchcountsmismatch＝[addressARP≠addressdetected]增多的置信度为0.8，并且检测到系统内的ARP表改变次数nARPchange的置信度为0.8，那么发生ARP攻击的置信度为0.95；ii语义化阈值和限值：a检测到不符合系统ARP表对应的数据包数目countsmismatch增多：阈值：1个，高限值：3个；b检测到系统内ARP表在非法条件下被修改次数nARPchange：阈值：0次，高限值：1次；2DOS攻击检测方法，检测周期为1s：iDOS攻击检测规则：如果检测网卡的数据传输流量速率Vnetcard增大的置信度为0.8，并且整个网络的数据传输流量速率Vnet增大置信度为0.8，并且DPU负荷率Pload增大的置信度为0.7，那么发生DOS攻击的置信度为0.95；ii语义化阈值和限值：a检测网卡的数据传输流量速率Vnetcard增大：阈值：1000bytes，高限值：10000bytes；b网络的数据传输流量速率Vnet增大：阈值：10000bytes，高限值：50000bytes；cDPU负荷率Pload增大：阈值：10％，高限值：90％；3SSH口令爆破攻击检测方法检测周期为1s：iSSH口令爆破攻击检测规则：如果通过登录端口登录失败次数nfail增多的置信度为0.7，并且在每五秒内登录端口使用次数nuse增多的置信度为0.8，那么发生SSH口令爆破攻击的置信度为0.95；ii语义化阈值和限制：a通过登录端口登录失败次数nfail增多：阈值：3次，高限值：5次；b每五秒内尝试登录次数nuse增多：阈值：10次，高限值：30次；4中间人攻击检测，检测周期为1s：i中间人攻击检测方法：如果检测到ARP攻击次数NARPattack增多的置信度为0.7，并且检测到不同的ARP攻击类型次数nARPtype增多的置信度为0.8，并且检测到系统内的ARP表改变次数nARPchange的置信度为0.8，那么发生中间人攻击的置信度为0.95；ii语义化阈值和限值a检测到ARP攻击次数NARPattack增多：阈值：1次，高限值：3次；b检测到不同ARP攻击类型次数nARPtype增多：阈值：2次，高限值：10次；c检测到系统内ARP表改变次数nARPchange：阈值：0次，高限值：1次；5恶意修改设定值攻击检测方法：i恶意修改设定值攻击检测规则：如果每1分钟内设定值被修改次数nSETchange增多的置信度为0.7，并且系统运行在稳定工况下设定值被修改次数nConditionchange增多的置信度为0.9，并且设定值被修改在安全运行设定值的区间之外的次数ndanger的置信为0.9，那么发生恶意修改设定值攻击的置信度为1；ii语义化阈值和限值：a1分钟内设定值修改次数nsETchange增多：阈值：1次，高限值：5次；b系统运行在稳定工况下设定值被修改次数nConditionchange增多：阈值：1次；高限值：5次；c设定值被修改在安全运行设定值的区间之外的次数ndanger：阈值：1次，高限值：2次。

全文数据：

权利要求：

百度查询： 上海电力大学 一种分散控制系统攻击入侵检测装置及其方法