CN111565196B - 一种KNXnet/IP协议入侵检测方法、装置、设备及介质 - Google Patents

一种KNXnet/IP协议入侵检测方法、装置、设备及介质 Download PDF

Info

Publication number
CN111565196B
CN111565196B CN202010437099.7A CN202010437099A CN111565196B CN 111565196 B CN111565196 B CN 111565196B CN 202010437099 A CN202010437099 A CN 202010437099A CN 111565196 B CN111565196 B CN 111565196B
Authority
CN
China
Prior art keywords
knxnet
protocol
data packet
protocol data
service type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010437099.7A
Other languages
English (en)
Other versions
CN111565196A (zh
Inventor
程学
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202010437099.7A priority Critical patent/CN111565196B/zh
Publication of CN111565196A publication Critical patent/CN111565196A/zh
Application granted granted Critical
Publication of CN111565196B publication Critical patent/CN111565196B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

本申请公开了一种KNXnet/IP协议入侵检测方法、装置、设备及介质,包括:获取目标网络系统的KNXnet/IP协议数据包;解析出KNXnet/IP协议数据包中的服务类型字段,得到对应的服务类型;服务类型字段为KNXnet/IP协议数据包中KNXnet协议数据的head头中的字段;根据服务类型对KNXnet/IP协议数据包继续解析,得到解析后的KNXnet/IP协议数据包;利用KNXnet/IP协议数据包对应的五元组和目标标识筛选出解析后的KNXnet/IP协议数据包中的会话组,得到对应的会话数据;利用预设检测策略对所述会话数据进行匹配,若所述会话数据与所述预设检测策略不匹配,则判定所述目标网络系统存在入侵风险;所述预设检测策略为与所述KNXnet协议数据的目标关键字段对应的检测策略。这样,能够及时准确的检测出KNXnet/IP入侵,从而提升网络的安全性。

Description

一种KNXnet/IP协议入侵检测方法、装置、设备及介质
技术领域
本申请涉及信息安全技术领域,特别涉及一种KNXnet/IP协议入侵检测方法、装置、设备及介质。
背景技术
智能楼宇作为现代物联网设备应用的场景,能够有效的节约楼宇管理的成本,提高楼宇管理效率,被各大酒店、地铁站、公共场所和核电站等场所广泛使用。而KNX(Konnex)是唯一全球性的住宅和楼宇控制标准,在智能楼宇的应用中越来越广泛,但随着智能楼宇网络建设的普及与联网,攻击智能楼宇网络也逐步成为一个新的攻击场景,因此智能楼宇网络的安全性是网络建设和验收时都需要考虑的一个重要问题。
目前,KNX作为一种成熟的通信协议广泛应用于智能楼宇中,由于实施KNX项目部署的人员安全意识不一,同时项目实施方也可能会基于项目周期、人力成本等因素的考虑,不能确保在KNX项目部署过程中按安全规范进行安全部署实施。因此,如何有效而客观的发现智能楼宇网络是否存在安全隐患是需要考虑的问题。
发明内容
有鉴于此,本申请的目的在于提供一种KNXnet/IP协议入侵检测方法、装置、设备及介质,能够及时准确的检测出KNXnet/IP入侵,从而提升网络的安全性。其具体方案如下:
第一方面,本申请公开了一种KNXnet/IP协议入侵检测方法,包括:
获取目标网络系统的KNXnet/IP协议数据包;
解析出所述KNXnet/IP协议数据包中的服务类型字段,得到对应的服务类型;所述服务类型字段为所述KNXnet/IP协议数据包中KNXnet协议数据的head头中的字段;
根据所述服务类型对所述KNXnet/IP协议数据包继续解析,得到解析后的所述KNXnet/IP协议数据包;
利用所述KNXnet/IP协议数据包对应的五元组和目标标识筛选出解析后的所述KNXnet/IP协议数据包中的会话组,得到对应的会话数据;
利用预设检测策略对所述会话数据进行匹配,若所述会话数据与所述预设检测策略不匹配,则判定所述目标网络系统存在入侵风险;所述预设检测策略为与所述KNXnet协议数据的目标关键字段对应的检测策略。
可选的,所述获取目标网络系统的KNXnet/IP协议数据包,包括:
采集所述目标网络系统中的流量数据;
利用预设端口号对所述流量数据进行过滤,得到对应的所述KNXnet/IP协议数据包。
可选的,所述KNXnet/IP协议入侵检测方法,还包括:
利用五元组匹配策略对所述KNXnet/IP协议数据包进行匹配,若所述KNXnet/IP协议数据包与所述五元组匹配策略无法匹配,则生成对应的五元组级别告警,若所述KNXnet/IP协议数据包与所述五元组匹配策略匹配,则进入根据所述服务类型对所述KNXnet/IP协议数据包继续解析的步骤,以利用预设检测策略对所述会话数据进行匹配。
可选的,所述KNXnet/IP协议入侵检测方法,还包括:
根据所述服务类型确定所述五元组匹配策略。
可选的,所述KNXnet/IP协议入侵检测方法,还包括:
根据所述服务类型确定所述预设检测策略;所述预设检测策略支持用于对所述预设检测策略以及所述会话数据进行匹配的比较操作字符。
可选的,所述判定所述目标网络系统存在入侵风险之后,还包括:
根据匹配结果向用户终端发送对应等级的告警信息。
第二方面,本申请公开了一种KNXnet/IP协议入侵检测装置,包括:
协议数据包获取模块,用于获取目标网络系统的KNXnet/IP协议数据包;
第一数据解析模块,解析出所述KNXnet/IP协议数据包中的服务类型字段,得到对应的服务类型;所述服务类型字段为所述KNXnet/IP协议数据包中KNXnet协议数据的head头中的字段;
第二数据解析模块,用于根据所述服务类型对所述KNXnet/IP协议数据包继续解析,得到解析后的所述KNXnet/IP协议数据包;
会话数据获取模块,用于利用所述KNXnet/IP协议数据包对应的五元组和目标标识筛选出解析后的所述KNXnet/IP协议数据包中的会话组,得到对应的会话数据;
会话数据检测模块,用于利用预设检测策略对所述会话数据进行匹配,若所述会话数据与所述预设检测策略不匹配,则判定所述目标网络系统存在入侵风险;所述预设检测策略为与所述KNXnet协议数据的目标关键字段对应的检测策略。
可选的,所述协议数据包获取模块,包括:
数据采集子模块,用于采集所述目标网络系统中的流量数据;
数据过滤子模块,用于利用预设端口号对所述流量数据进行过滤,得到对应的所述KNXnet/IP协议数据包。
第三方面,本申请公开了一种KNXnet/IP协议入侵检测设备,包括处理器和存储器;其中,
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序以实现前述的KNXnet/IP协议入侵检测方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述的KNXnet/IP协议入侵检测方法。
可见,本申请获取目标网络系统的KNXnet/IP协议数据包,然后解析出所述KNXnet/IP协议数据包中的服务类型字段,得到对应的服务类型;所述服务类型字段为所述KNXnet/IP协议数据包中KNXnet协议数据的head头中的字段,之后根据所述服务类型对所述KNXnet/IP协议数据包继续解析,得到解析后的所述KNXnet/IP协议数据包,并利用所述KNXnet/IP协议数据包对应的五元组和目标标识筛选出解析后的所述KNXnet/IP协议数据包中的会话组,得到对应的会话数据,最后利用预设检测策略对所述会话数据进行匹配,若所述会话数据与所述预设检测策略不匹配,则判定所述目标网络系统存在入侵风险;所述预设检测策略为与所述KNXnet协议数据的目标关键字段对应的检测策略。这样,对KNXnet/IP协议数据包解析,并筛选出会话数据,然后利用所述KNXnet协议数据的目标关键字段对应的检测策略对所述会话数据进行匹配,能够及时准确的检测出KNXnet/IP入侵,从而提升网络的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种KNXnet/IP协议入侵检测方法流程图;
图2为本申请公开的一种具体的KNXnet/IP协议入侵检测实施架构图;
图3为本申请公开的一种具体的KNXnet/IP协议入侵检测方法流程图;
图4为本申请公开的一种具体的KNXnet/IP协议入侵检测方法流程图;
图5为本申请公开的一种KNXnet/IP协议入侵检测装置结构示意图;
图6为本申请公开的一种KNXnet/IP协议入侵检测设备结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,KNX作为一种成熟的通信协议广泛应用于智能楼宇中,由于实施KNX项目部署的人员安全意识不一,同时项目实施方也可能会基于项目周期、人力成本等因素的考虑,不能确保在KNX项目部署过程中按安全规范进行安全部署实施。因此,如何有效而客观的发现智能楼宇网络是否存在安全隐患是需要考虑的问题。为此,本申请提供了一种KNXnet/IP协议入侵检测方案,能够及时准确的检测出KNXnet/IP入侵,从而提升网络的安全性。
参见图1所示,本申请实施例公开了一种KNXnet/IP协议入侵检测方法,包括:
步骤S11:获取目标网络系统的KNXnet/IP协议数据包。
在具体的实施方式中,本实施例可以采集所述目标网络系统中的流量数据;利用预设端口号对所述流量数据进行过滤,得到对应的所述KNXnet/IP协议数据包。具体的,可以基于libpcap采集流量数据,然后进行端口过滤,KNXnet的默认端口为3671。
步骤S12:解析出所述KNXnet/IP协议数据包中的服务类型字段,得到对应的服务类型;所述服务类型字段为所述KNXnet/IP协议数据包中KNXnet协议数据的head头中的字段。
步骤S13:根据所述服务类型对所述KNXnet/IP协议数据包继续解析,得到解析后的所述KNXnet/IP协议数据包。
需要指出的是,KNXnet/ip协议是KNXnet协议基于以太网传输的协议。协议包括Header、KNXnet version、service type、Message Code、Control Field 1、ControlField2等多个字段。根据KNXnet/ip协议的结构特征,先解析出服务类型,再对KNXnet/ip协议进行深度解析。在具体的实施方式中,先解析KNXnet协议数据header中的Service type字段,再根据解析出来的Service type值,判断出消息的服务类型,进一步解析剩余的字段,包括Message Code、Add.Info Length、Control Field 1、Control Field 2、SourceAddress、Dest.Address、Data Length、APDU等各个字段,也即,完成了KNXnet协议PDU的解析。
步骤S14:利用所述KNXnet/IP协议数据包对应的五元组和目标标识筛选出解析后的所述KNXnet/IP协议数据包中的会话组,得到对应的会话数据。
在具体的实施方式中,本申请实施例可以根据五元组再结合KNXnet协议中的目标标识com_ch_id来判断一组消息的请求和响应,以会话为一组,进行KNXnet/IP协议入侵检测。可以理解的是,一组会话包括request和response两种类型数据包,以会话作为匹配单位能达到更精确的KNXnet/IP协议入侵检测效果。
步骤S15:利用预设检测策略对所述会话数据进行匹配,若所述会话数据与所述预设检测策略不匹配,则判定所述目标网络系统存在入侵风险;所述预设检测策略为与所述KNXnet协议数据的目标关键字段对应的检测策略。
在具体的实施方式中,本实施例可以根据所述服务类型确定所述预设检测策略;所述预设检测策略支持用于对所述预设检测策略以及所述会话数据进行匹配的比较操作字符。
也即,根据不同Service type类型定义不同策略,包括Service type、MessageCode、Add.Info Length、Control Field 1、Control Field 2、Source Address、Dest.Address、Data Length、APDU等字段对应的检测策略,并支持“=”、“!”、“<”、“>”等用来匹配的比较操作符。需要指出的是,协议中各字段均有规定的预设数据范围,若超出预设数据范围则判定对应的数据不合法,因此,本实施例中所述预设检测策略支持用于对所述预设检测策略以及所述会话数据进行匹配的比较操作字符。
可以理解的是,若所述会话数据与所述预设检测策略匹配,则判定当前会话数据处于正常通信过程,若所述会话数据与所述预设检测策略不匹配,则表明当前会话数据存在一定风险。本申请可以根据匹配结果向用户终端发送对应等级的告警信息,以通知用户。
例如,参见图2所示,图2为本申请实施例公开的一种具体的KNXnet/IP协议入侵检测实施架构图。以独立设备的形式搭载本申请实施例的对应的KNXnet/IP协议入侵检测平台。设备网口提供管理口和业务口,管理口提供平台访问,业务口提供镜像流量访问。整个KNXnet入侵检测系统主要包含流量采集、入侵检测、用户展示功能。平台通过业务口接入到智能楼宇网络的镜像口,实时采集网络中的镜像口的所有流量;KNXnet入侵检测系统根据KNXnet/ip协议的特征,过滤出KNXnet/ip协议的数据包,并和自定义的KNXnet/ip规则匹配,判断当前流量包是否存在入侵风险,如有则给出风险告警;用户通过管理口访问平台,查看风险告警信息。
可见,本申请实施例获取目标网络系统的KNXnet/IP协议数据包,然后解析出所述KNXnet/IP协议数据包中的服务类型字段,得到对应的服务类型;所述服务类型字段为所述KNXnet/IP协议数据包中KNXnet协议数据的head头中的字段,之后根据所述服务类型对所述KNXnet/IP协议数据包继续解析,得到解析后的所述KNXnet/IP协议数据包,并利用所述KNXnet/IP协议数据包对应的五元组和目标标识筛选出解析后的所述KNXnet/IP协议数据包中的会话组,得到对应的会话数据,最后利用预设检测策略对所述会话数据进行匹配,若所述会话数据与所述预设检测策略不匹配,则判定所述目标网络系统存在入侵风险;所述预设检测策略为与所述KNXnet协议数据的目标关键字段对应的检测策略。这样,对KNXnet/IP协议数据包解析,并筛选出会话数据,然后利用所述KNXnet协议数据的目标关键字段对应的检测策略对所述会话数据进行匹配,能够及时准确的检测出KNXnet/IP入侵,从而提升网络的安全性。
参见图3所示,本申请实施例公开的一种具体的KNXnet/IP协议入侵检测方法,包括:
步骤S21:获取目标网络系统的KNXnet/IP协议数据包。
步骤S22:解析出所述KNXnet/IP协议数据包中的服务类型字段,得到对应的服务类型;所述服务类型字段为所述KNXnet/IP协议数据包中KNXnet协议数据的head头中的字段。
步骤S23:利用五元组匹配策略对所述KNXnet/IP协议数据包进行匹配,若所述KNXnet/IP协议数据包与所述五元组匹配策略无法匹配,则生成对应的五元组级别告警,若所述KNXnet/IP协议数据包与所述五元组匹配策略匹配,则进入根据所述服务类型对所述KNXnet/IP协议数据包继续解析的步骤。
在具体的实施方式中,本实施例可以根据所述服务类型确定所述五元组匹配策略。需要指出的是,步骤S22和步骤S23不存在顺序限制,利用五元组匹配策略对所述KNXnet/IP协议数据包进行匹配的具体过程为,获取目标网络系统的KNXnet/IP协议数据包之后,先利用五元组匹配策略对KNXnet/IP协议数据包中的源IP、目的IP、源端口以及目的端口进行匹配,若匹配成功,待解析出所述服务类型后,利用五元组匹配策略对所述服务类型匹配,若服务类型匹配成功,则进入步骤S24。也即,本申请实施例利用五元组匹配策略对实时采集上来的KNXnet/IP协议数据包,先通过基本的五元组进行匹配,若发现源IP、目的IP、指令(KNXnet协议对应Service type)不在制定的策略中,则报告五元组级别的告警;只有通过五元组匹配的数据才进行后续处理,也即,才会根据PDU类型即服务类型进行策略中的其他字段匹配过程。根据不同匹配结果给出不同严重等级的告警。
步骤S24:根据所述服务类型对所述KNXnet/IP协议数据包继续解析,得到解析后的所述KNXnet/IP协议数据包。
步骤S25:利用所述KNXnet/IP协议数据包对应的五元组和目标标识筛选出解析后的所述KNXnet/IP协议数据包中的会话组,得到对应的会话数据。
步骤S26:利用预设检测策略对所述会话数据进行匹配,若所述会话数据与所述预设检测策略不匹配,则判定所述目标网络系统存在入侵风险;所述预设检测策略为与所述KNXnet协议数据的目标关键字段对应的检测策略。
例如,参见图4所示,图4为本申请实施例公开的一种具体的KNXnet/IP协议入侵检测方法流程图,包括:策略制定,策略是一组规则组成的集合。本申请提出的策略颗粒单位细化到KNXnet协议各种PDU对应的重要关键字段,并以会话(session)作为匹配单位。这些重要关键字段包括:KNXnet version、service type、Message Code、Control Field 1、Control Field2等。一组会话包括request和response两种类型数据包,以会话作为匹配单位能达到更精确的入侵检测效果。策略的配置存储以json文件为主,因其简短且可扩展性强,也即,本实施例以json文件的形式存储所述预设检测策略;实时数据采集,通过libpcap采集到的数据包未经过处理,所以,可以通过端口过滤、协议标志识别等解析处理可以初步得到KNXnet协议对应的PDU,然后通过深层次的解析动作完成该PDU各个字段的解析,以会话为一组,对经过深层解析后的会话数据做实时入侵检测;在实时入侵检测的过程中,首先,加载定义好的策略,同时采集口根据KNXnet/ip的端口过滤出KNXnet/ip协议的数据包,对数据包的各字段做深度解析,并根据五元组和com_ch_id筛选出session组,将解析出的数据去策略中做匹配。若匹配命中规则说明该会话数据包处在正常通信过程,若未匹配中则说明该会话数据包存在一定的风险,以不同相应等级告警的形式通知用户。
参见图5所示,本申请实施例公开了一种KNXnet/IP协议入侵检测装置,包括:
协议数据包获取模块11,用于获取目标网络系统的KNXnet/IP协议数据包;
第一数据解析模块12,解析出所述KNXnet/IP协议数据包中的服务类型字段,得到对应的服务类型;所述服务类型字段为所述KNXnet/IP协议数据包中KNXnet协议数据的head头中的字段;
第二数据解析模块13,用于根据所述服务类型对所述KNXnet/IP协议数据包继续解析,得到解析后的所述KNXnet/IP协议数据包;
会话数据获取模块14,用于利用所述KNXnet/IP协议数据包对应的五元组和目标标识筛选出解析后的所述KNXnet/IP协议数据包中的会话组,得到对应的会话数据;
会话数据检测模块15,用于利用预设检测策略对所述会话数据进行匹配,若所述会话数据与所述预设检测策略不匹配,则判定所述目标网络系统存在入侵风险;所述预设检测策略为与所述KNXnet协议数据的目标关键字段对应的检测策略。
可见,本申请实施例获取目标网络系统的KNXnet/IP协议数据包,然后解析出所述KNXnet/IP协议数据包中的服务类型字段,得到对应的服务类型;所述服务类型字段为所述KNXnet/IP协议数据包中KNXnet协议数据的head头中的字段,之后根据所述服务类型对所述KNXnet/IP协议数据包继续解析,得到解析后的所述KNXnet/IP协议数据包,并利用所述KNXnet/IP协议数据包对应的五元组和目标标识筛选出解析后的所述KNXnet/IP协议数据包中的会话组,得到对应的会话数据,最后利用预设检测策略对所述会话数据进行匹配,若所述会话数据与所述预设检测策略不匹配,则判定所述目标网络系统存在入侵风险;所述预设检测策略为与所述KNXnet协议数据的目标关键字段对应的检测策略。这样,对KNXnet/IP协议数据包解析,并筛选出会话数据,然后利用所述KNXnet协议数据的目标关键字段对应的检测策略对所述会话数据进行匹配,能够及时准确的检测出KNXnet/IP入侵,从而提升网络的安全性。
其中,所述协议数据包获取模块11,包括:
数据采集子模块,用于采集所述目标网络系统中的流量数据;
数据过滤子模块,用于利用预设端口号对所述流量数据进行过滤,得到对应的所述KNXnet/IP协议数据包。
所述KNXnet/IP协议入侵检测装置,还包括:
五元组匹配模块,用于利用五元组匹配策略对所述KNXnet/IP协议数据包进行匹配,若所述KNXnet/IP协议数据包与所述五元组匹配策略无法匹配,则生成对应的五元组级别告警,若所述KNXnet/IP协议数据包与所述五元组匹配策略匹配,则进入根据所述服务类型对所述KNXnet/IP协议数据包继续解析的步骤,以利用预设检测策略对所述会话数据进行匹配。
所述KNXnet/IP协议入侵检测装置,还包括五元组匹配策略确定模块,用于根据所述服务类型确定所述五元组匹配策略。
所述KNXnet/IP协议入侵检测装置,还包括预设检测策略确定模块,用于根据所述服务类型确定所述预设检测策略;所述预设检测策略支持用于对所述预设检测策略以及所述会话数据进行匹配的比较操作字符。
所述KNXnet/IP协议入侵检测装置,还包括告警发送模块,用于根据匹配结果向用户终端发送对应等级的告警信息。
参见图6所示,本申请实施例公开了一种KNXnet/IP协议入侵检测设备,包括处理器21和存储器22;其中,所述存储器22,用于保存计算机程序;所述处理器21,用于执行所述计算机程序,以实现前述实施例公开的KNXnet/IP协议入侵检测方法。
关于上述KNXnet/IP协议入侵检测方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
进一步的,本申请实施例还公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述实施例公开的KNXnet/IP协议入侵检测方法。
关于上述KNXnet/IP协议入侵检测方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种KNXnet/IP协议入侵检测方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种KNXnet/IP协议入侵检测方法,其特征在于,包括:
获取目标网络系统的KNXnet/IP协议数据包;
解析出所述KNXnet/IP协议数据包中的服务类型字段,得到对应的服务类型;所述服务类型字段为所述KNXnet/IP协议数据包中KNXnet协议数据的head头中的字段;
根据所述服务类型对所述KNXnet/IP协议数据包继续解析,得到解析后的所述KNXnet/IP协议数据包;
利用所述KNXnet/IP协议数据包对应的五元组和目标标识筛选出解析后的所述KNXnet/IP协议数据包中的会话组,得到对应的会话数据;
利用预设检测策略对所述会话数据进行匹配,若所述会话数据与所述预设检测策略不匹配,则判定所述目标网络系统存在入侵风险;所述预设检测策略为与所述KNXnet协议数据的目标关键字段对应的检测策略;
其中,所述方法还包括根据所述服务类型确定所述预设检测策略。
2.根据权利要求1所述的KNXnet/IP协议入侵检测方法,其特征在于,所述获取目标网络系统的KNXnet/IP协议数据包,包括:
采集所述目标网络系统中的流量数据;
利用预设端口号对所述流量数据进行过滤,得到对应的所述KNXnet/IP协议数据包。
3.根据权利要求1所述的KNXnet/IP协议入侵检测方法,其特征在于,还包括:
利用五元组匹配策略对所述KNXnet/IP协议数据包进行匹配,若所述KNXnet/IP协议数据包与所述五元组匹配策略无法匹配,则生成对应的五元组级别告警,若所述KNXnet/IP协议数据包与所述五元组匹配策略匹配,则进入根据所述服务类型对所述KNXnet/IP协议数据包继续解析的步骤,以利用预设检测策略对所述会话数据进行匹配。
4.根据权利要求3所述的KNXnet/IP协议入侵检测方法,其特征在于,还包括:
根据所述服务类型确定所述五元组匹配策略。
5.根据权利要求1所述的KNXnet/IP协议入侵检测方法,其特征在于,还包括:
所述预设检测策略支持用于对所述预设检测策略以及所述会话数据进行匹配的比较操作字符。
6.根据权利要求1至5任一项所述的KNXnet/IP协议入侵检测方法,其特征在于,所述判定所述目标网络系统存在入侵风险之后,还包括:
根据匹配结果向用户终端发送对应等级的告警信息。
7.一种KNXnet/IP协议入侵检测装置,其特征在于,包括:
协议数据包获取模块,用于获取目标网络系统的KNXnet/IP协议数据包;
第一数据解析模块,解析出所述KNXnet/IP协议数据包中的服务类型字段,得到对应的服务类型;所述服务类型字段为所述KNXnet/IP协议数据包中KNXnet协议数据的head头中的字段;
第二数据解析模块,用于根据所述服务类型对所述KNXnet/IP协议数据包继续解析,得到解析后的所述KNXnet/IP协议数据包;
会话数据获取模块,用于利用所述KNXnet/IP协议数据包对应的五元组和目标标识筛选出解析后的所述KNXnet/IP协议数据包中的会话组,得到对应的会话数据;
会话数据检测模块,用于利用预设检测策略对所述会话数据进行匹配,若所述会话数据与所述预设检测策略不匹配,则判定所述目标网络系统存在入侵风险;所述预设检测策略为与所述KNXnet协议数据的目标关键字段对应的检测策略;
所述KNXnet/IP协议入侵检测装置,还包括预设检测策略确定模块,用于根据所述服务类型确定所述预设检测策略。
8.根据权利要求7所述的KNXnet/IP协议入侵检测装置,其特征在于,所述协议数据包获取模块,包括:
数据采集子模块,用于采集所述目标网络系统中的流量数据;
数据过滤子模块,用于利用预设端口号对所述流量数据进行过滤,得到对应的所述KNXnet/IP协议数据包。
9.一种KNXnet/IP协议入侵检测设备,其特征在于,包括处理器和存储器;其中,
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序以实现如权利要求1至6任一项所述的KNXnet/IP协议入侵检测方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的KNXnet/IP协议入侵检测方法。
CN202010437099.7A 2020-05-21 2020-05-21 一种KNXnet/IP协议入侵检测方法、装置、设备及介质 Active CN111565196B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010437099.7A CN111565196B (zh) 2020-05-21 2020-05-21 一种KNXnet/IP协议入侵检测方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010437099.7A CN111565196B (zh) 2020-05-21 2020-05-21 一种KNXnet/IP协议入侵检测方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN111565196A CN111565196A (zh) 2020-08-21
CN111565196B true CN111565196B (zh) 2022-02-01

Family

ID=72074982

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010437099.7A Active CN111565196B (zh) 2020-05-21 2020-05-21 一种KNXnet/IP协议入侵检测方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN111565196B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113259351B (zh) * 2021-05-12 2022-04-26 北京天融信网络安全技术有限公司 一种入侵检测方法、装置、存储介质和电子设备
CN113923002B (zh) * 2021-09-29 2024-04-19 山石网科通信技术股份有限公司 计算机网络入侵防御方法、装置、存储介质及处理器

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103795709A (zh) * 2013-12-27 2014-05-14 北京天融信软件有限公司 一种网络安全检测方法和系统
CN109040119A (zh) * 2018-09-11 2018-12-18 腾讯科技(深圳)有限公司 一种智能楼宇网络的漏洞检测方法和装置
CN109561051A (zh) * 2017-09-26 2019-04-02 中兴通讯股份有限公司 内容分发网络安全检测方法及系统
CN109995740A (zh) * 2018-01-02 2019-07-09 国家电网公司 基于深度协议分析的威胁检测方法
CN110430225A (zh) * 2019-09-16 2019-11-08 杭州安恒信息技术股份有限公司 一种工业设备监管方法、装置、设备及可读存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8042182B2 (en) * 2004-03-30 2011-10-18 Telecom Italia S.P.A. Method and system for network intrusion detection, related network and computer program product

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103795709A (zh) * 2013-12-27 2014-05-14 北京天融信软件有限公司 一种网络安全检测方法和系统
CN109561051A (zh) * 2017-09-26 2019-04-02 中兴通讯股份有限公司 内容分发网络安全检测方法及系统
CN109995740A (zh) * 2018-01-02 2019-07-09 国家电网公司 基于深度协议分析的威胁检测方法
CN109040119A (zh) * 2018-09-11 2018-12-18 腾讯科技(深圳)有限公司 一种智能楼宇网络的漏洞检测方法和装置
CN110430225A (zh) * 2019-09-16 2019-11-08 杭州安恒信息技术股份有限公司 一种工业设备监管方法、装置、设备及可读存储介质

Also Published As

Publication number Publication date
CN111565196A (zh) 2020-08-21

Similar Documents

Publication Publication Date Title
CN109951500B (zh) 网络攻击检测方法及装置
CN111935170B (zh) 一种网络异常流量检测方法、装置及设备
EP1999890B1 (en) Automated network congestion and trouble locator and corrector
CN101924757B (zh) 追溯僵尸网络的方法和系统
CN108521408B (zh) 抵抗网络攻击方法、装置、计算机设备及存储介质
CN107623685B (zh) 快速检测SYN Flood攻击的方法及装置
CN111565196B (zh) 一种KNXnet/IP协议入侵检测方法、装置、设备及介质
CN111600863B (zh) 网络入侵检测方法、装置、系统和存储介质
CN111181978B (zh) 异常网络流量的检测方法、装置、电子设备及存储介质
CN111800412A (zh) 高级可持续威胁溯源方法、系统、计算机设备及存储介质
CN106789486B (zh) 共享接入的检测方法、装置、电子设备及计算机可读存储介质
CN110266726B (zh) 一种识别ddos攻击数据流的方法及装置
Rout et al. A hybrid approach for network intrusion detection
CN106302450A (zh) 一种基于ddos攻击中恶意地址的检测方法及装置
CN106790073B (zh) 一种Web服务器恶意攻击的阻断方法、装置及防火墙
CN113132316A (zh) 一种Web攻击检测方法、装置、电子设备及存储介质
CN114338120A (zh) 一种扫段攻击检测方法、装置、介质和电子设备
CN111698168B (zh) 消息处理方法、装置、存储介质及处理器
CN111277552B (zh) 一种对直径信令安全威胁识别的方法、装置及存储介质
CN112422486B (zh) 一种基于sdk的安全防护方法及设备
Cukier et al. A statistical analysis of attack data to separate attacks
CN112104611A (zh) 一种cc攻击防护管理的方法
CN115633359A (zh) Pfcp会话安全检测方法、装置、电子设备和存储介质
CN110198288A (zh) 一种异常节点的处理方法及设备
CN114374838A (zh) 一种网络摄像头监测方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant