CN109768971A - 一种基于网络流量实时检测工控主机状态的方法 - Google Patents
一种基于网络流量实时检测工控主机状态的方法 Download PDFInfo
- Publication number
- CN109768971A CN109768971A CN201811606590.7A CN201811606590A CN109768971A CN 109768971 A CN109768971 A CN 109768971A CN 201811606590 A CN201811606590 A CN 201811606590A CN 109768971 A CN109768971 A CN 109768971A
- Authority
- CN
- China
- Prior art keywords
- host
- network
- flow
- real
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Abstract
目前工控环境具有封闭性、网络结构混杂、设备多样化老龄化等问题,工控环境的实时性是工控环境最重要的因素。一但出现不能及时检测到某个主机或者终端执行设备停止运行、非法连接外部网络、入侵攻击的情况,不仅会对工业生产造成巨大经济损失,而且及有可能对人员造成意外伤害。提出一种基于网络流量检测工控主机状态的方法,来对主机在线状态、主机非法外联、主机遭受网络攻击的情况进行实时检测分析,避免给工业生产及人员造成不必要的损失。
Description
技术领域
本发明涉及计算机安全设备网络通信领域,具体的说是一种可以对工控网络环境内的主机进行实时状态检测的方法,包括主机在线状态、非法外联状态、网络攻击等状态。
背景技术
目前,随着信息技术和智能制造的发展,工业4.0及中国制造2025对工业控制安全提出了全新的要求,明确提出工控环境的实时性必须放在首位。目前工控环境具有封闭性、网络结构混杂、设备多样化老龄化等问题,一但出现不能及时检测到某个主机或者终端执行设备停止运行、非法连接外部网络、入侵攻击的情况,不仅会对工业生产造成巨大经济损失,而且及有可能对人员造成意外伤害。
为了全面了解工控环境内主机实时状态信息,以及监测工控主机遭受外部入侵攻击的风险。目前现有技术一般基于主动检测技术,如利用周期性向目标主机进行ping或者利用诸如nmap等软件进行存活期扫描探测,判断主机当前是否在线;利用终端安装的防护软件对主机进行扫描,检测主机浏览器是否由访问外部网络的历史痕迹和检测主机是否已被入侵攻击的情况。
现有技术存在如下缺陷:1)需要利用ping命令或者类似nmap等软件周期性向目标设备发送存活性的检测数据包,由于存在周期性,所以不能对主机当前是否在线状态进行实时监测,同时也会对网络带宽及主机资源造成一定的消耗。2)需要安装额外的检测防护软件,扫描检测主机浏览器上网历史记录和检测异常文件、异常进程等情况,导致每一次检测需要人为操作或者周期性任务触发,失去了实时检测主机状态的要求,同时由于人为可以删除浏览器缓存记录文件,可以躲避检测防护软件主机非法外联的检测。
发明内容
鉴于现有技术的缺陷,本发明创造提出一种基于网络流量实时检测工控主机状态的方法,基于网络流量实时检测工控主机状态的方法,主要通过旁路部署一台检测设备,对网络内部所有流量进行镜像后实时监控检测,通过分析网络镜像流量并与配置的主机在线状态、非法外联、网络攻击等检测规则库进行匹配,来实时分析,当前主机是否在线、当前主机是否有非法访问外部网络、是否正遭受网络攻击等问题。
解决了如下问题:1)传统检测主机在线状态、主机非法访问外部网络状态、主机是否被网络攻击的状态,需要人为触发任务或周期性执行任务的非实时性。2)主动发送检测数据包导致的网络带宽和主机资源的消耗问题.3)需要对每一台主机安装部署检测防护软件的问题。
传统技术检测工控环境所有主机在线、非法外联和网络攻击的状态 ,会对每一台主机部署检测防护软件,会导致检测非实时性、主机资源异常消耗、部署的众多软件难以运维管理等问题。因此提出了基于网络流量实时检测主机状态的方法。
采用的技术解决方案如下:
一种基于网络流量实时检测工控主机状态的方法,分为主机状态检测知识库模块、流量采集模块、流量分析模块、告警模块,方法实现主要包含以下步骤:
步骤一:在监测审计设备上对要检测的主机建立状态知识库,分别配置主机在线状态检测规则库、主机非法外联状态检测规则库和主机网络攻击规则库(避免在多台主机部署及维护防护软件);
步骤去二:采用旁路接入方式,对要检测的所有主机流量进行镜像配置(避免对网络或主机造成资源消耗);
步骤三:流量采集,对流量数据包进行获取,主要涉及抓包、解包等操作,只将和主机关联的数据包送往流量分析模块(可以提高主机流量分析效率);
步骤四:流量分析,采取多线程和多模匹配算法对数据包流量进行实时分析,并与主机知识库里面的规则进行匹配,分析主机在线状态、主机非法外联、主机网络攻击的状态;
步骤四:告警分析,当检测到主机离线、主机非法访问外部网络、主机被入侵攻击时,进行实时告警。
有益效果:
与现有技术相比,本发明创造的优点在于:
优点1:实时检测分析工控环境内每一台主机的状态情况
优点2:不会对网络带宽或工控主机资源有任何的消耗;
优点3:易于对多台工控主机状态检测规则进行管理维护。
附图说明:
图1为本发明创造的流程图。
具体实施方式:
下面结合附图1,对本发明创造做进一步阐述:
本发明创造提出了一种基于网络流量实时检测工控主机状态的方法,
第一,建立主机状态知识库:
首先建立主机状态检测规则库,其中包括主机在线状态规则库、主机非法外联状态规则库、主机网络攻击状态规则库。
主机在线状态规则库,设置要检测主机的IP地址,根据主机业务行为特征设置检测时间间隔内,统计主机流量大小或者数据包个数。如主机5s内数据包个数等于零个。当检测到此值,则判断主机处于离线状态。
主机非法外联状态规则库,设置要检测主机的IP地址,根据主机业务行为特征设置与主机通讯的IP会话白名单。当检测到流量中有白名单之外的IP会话连接,则判断为主机非法外联外部网络。
主机网络攻击状态规则库,设置要检测主机的IP地址,根据主机业务行为特征设置如单位时间间隔内能主机通信流量大小或者主机通信数据包个数,如10s中出现10000个数据包或者1M流量。当检测到超过此值,则判断为遭受了网络攻击。
第二,流量镜像设置:对要实时检测主机状态的网络端口进行网络流量镜像,便于后续抓包分析。
第三,流量采集:通过对镜像口数据流量进行转包、解包等操作进行流量采集,并把和主机有关的流量数据包送往流量分析模块进行处理。
第四,流量分析:将主机流量数据包特征依次与主机在线状态规则库、主机非法外联规则库、主机网络状态规则库进行判断,如果匹配则进入告警分析模块,如果不匹配则回到流量采集模块继续后续操作。
第五,告警分析:对流量分析匹配中工控主机状态知识库,进行主机在线状态、主机非法外联和主机网络攻击的实时告。
Claims (1)
1.一种基于网络流量实时检测工控主机状态的方法,分为主机状态检测知识库模块、流量采集模块、流量分析模块、告警模块,方法实现主要包含以下步骤:
步骤一:在监测审计设备上对要检测的主机建立状态知识库,分别配置主机在线状态检测规则库、主机非法外联状态检测规则库和主机网络攻击规则库(避免在多台主机部署及维护防护软件);
步骤去二:采用旁路接入方式,对要检测的所有主机流量进行镜像配置(避免对网络或主机造成资源消耗);
步骤三:流量采集,对流量数据包进行获取,主要涉及抓包、解包等操作,只将和主机关联的数据包送往流量分析模块(可以提高主机流量分析效率);
步骤四:流量分析,采取多线程和多模匹配算法对数据包流量进行实时分析,并与主机知识库里面的规则进行匹配,分析主机在线状态、主机非法外联、主机网络攻击的状态;
步骤四:告警分析,当检测到主机离线、主机非法访问外部网络、主机被入侵攻击时,进行实时告警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811606590.7A CN109768971A (zh) | 2018-12-27 | 2018-12-27 | 一种基于网络流量实时检测工控主机状态的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811606590.7A CN109768971A (zh) | 2018-12-27 | 2018-12-27 | 一种基于网络流量实时检测工控主机状态的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109768971A true CN109768971A (zh) | 2019-05-17 |
Family
ID=66452160
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811606590.7A Withdrawn CN109768971A (zh) | 2018-12-27 | 2018-12-27 | 一种基于网络流量实时检测工控主机状态的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109768971A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110290154A (zh) * | 2019-07-23 | 2019-09-27 | 北京威努特技术有限公司 | 一种非法外联检测设备、方法与存储介质 |
CN110311914A (zh) * | 2019-07-02 | 2019-10-08 | 北京微步在线科技有限公司 | 通过镜像网络流量提取文件的方法及装置 |
CN111935167A (zh) * | 2020-08-20 | 2020-11-13 | 北京华赛在线科技有限公司 | 用于工控的违规外联检测方法、装置、设备及存储介质 |
CN112383417A (zh) * | 2020-11-02 | 2021-02-19 | 杭州安恒信息安全技术有限公司 | 一种终端安全外联检测方法、系统、设备及可读存储介质 |
CN113055375A (zh) * | 2021-03-10 | 2021-06-29 | 华能国际电力股份有限公司 | 一种面向电站工控系统实物网络的攻击过程可视化方法 |
CN115051867A (zh) * | 2022-06-22 | 2022-09-13 | 深信服科技股份有限公司 | 一种非法外联行为的检测方法、装置、电子设备及介质 |
-
2018
- 2018-12-27 CN CN201811606590.7A patent/CN109768971A/zh not_active Withdrawn
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110311914A (zh) * | 2019-07-02 | 2019-10-08 | 北京微步在线科技有限公司 | 通过镜像网络流量提取文件的方法及装置 |
CN110290154A (zh) * | 2019-07-23 | 2019-09-27 | 北京威努特技术有限公司 | 一种非法外联检测设备、方法与存储介质 |
CN111935167A (zh) * | 2020-08-20 | 2020-11-13 | 北京华赛在线科技有限公司 | 用于工控的违规外联检测方法、装置、设备及存储介质 |
CN112383417A (zh) * | 2020-11-02 | 2021-02-19 | 杭州安恒信息安全技术有限公司 | 一种终端安全外联检测方法、系统、设备及可读存储介质 |
CN112383417B (zh) * | 2020-11-02 | 2022-08-23 | 杭州安恒信息安全技术有限公司 | 一种终端安全外联检测方法、系统、设备及可读存储介质 |
CN113055375A (zh) * | 2021-03-10 | 2021-06-29 | 华能国际电力股份有限公司 | 一种面向电站工控系统实物网络的攻击过程可视化方法 |
CN113055375B (zh) * | 2021-03-10 | 2022-06-17 | 华能国际电力股份有限公司 | 一种面向电站工控系统实物网络的攻击过程可视化方法 |
CN115051867A (zh) * | 2022-06-22 | 2022-09-13 | 深信服科技股份有限公司 | 一种非法外联行为的检测方法、装置、电子设备及介质 |
CN115051867B (zh) * | 2022-06-22 | 2024-04-09 | 深信服科技股份有限公司 | 一种非法外联行为的检测方法、装置、电子设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109768971A (zh) | 一种基于网络流量实时检测工控主机状态的方法 | |
CN108931968B (zh) | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 | |
CN109739203B (zh) | 一种工业网络边界防护系统 | |
CN109474607A (zh) | 一种工业控制网络安全保护监测系统 | |
CN112799358B (zh) | 一种工业控制安全防御系统 | |
CN100531219C (zh) | 一种网络蠕虫检测方法及其系统 | |
CN107493265A (zh) | 一种面向工业控制系统的网络安全监控方法 | |
CN106698197A (zh) | 基于大数据的集装箱起重机在线诊断和预防性维护系统 | |
CN112306019A (zh) | 一种基于协议深度分析的工控安全审计系统及其应用 | |
US10547634B2 (en) | Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system | |
KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
CN108494672A (zh) | 一种工业通信网关、工业数据安全隔离系统及其方法 | |
CN107295010A (zh) | 一种企业网络安全管理云服务平台系统及其实现方法 | |
CN214306527U (zh) | 一种燃气管网调度监控网络安全系统 | |
Zhang et al. | Intrusion detection in SCADA systems by traffic periodicity and telemetry analysis | |
CN112437041B (zh) | 一种基于人工智能的工控安全审计系统及方法 | |
CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
CN112039858A (zh) | 一种区块链服务安全加固系统与方法 | |
CN113671909A (zh) | 一种钢铁工控设备安全监测系统和方法 | |
CN113542275A (zh) | 一种发电厂工业控制系统的漏洞发现方法 | |
CN114666088A (zh) | 工业网络数据行为信息的侦测方法、装置、设备和介质 | |
KR100745678B1 (ko) | 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법 | |
CN110049015B (zh) | 网络安全态势感知系统 | |
CN114493203A (zh) | 一种安全编排及自动化响应的方法和装置 | |
CN114125083A (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
CB02 | Change of applicant information |
Address after: 210012 Jiangsu Province Yuhuatai District Software Avenue 168, 3 buildings, 5 floors Applicant after: Bozhi Safety Technology Co.,Ltd. Address before: 210012 Jiangsu Province Yuhuatai District Software Avenue 168, 3 buildings, 5 floors Applicant before: JIANGSU BOZHI SOFTWARE TECHNOLOGY Co.,Ltd. |
|
CB02 | Change of applicant information | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190517 |
|
WW01 | Invention patent application withdrawn after publication |