CN111614674A - 一种异常访问行为检测方法、系统、介质及其设备 - Google Patents
一种异常访问行为检测方法、系统、介质及其设备 Download PDFInfo
- Publication number
- CN111614674A CN111614674A CN202010435023.0A CN202010435023A CN111614674A CN 111614674 A CN111614674 A CN 111614674A CN 202010435023 A CN202010435023 A CN 202010435023A CN 111614674 A CN111614674 A CN 111614674A
- Authority
- CN
- China
- Prior art keywords
- network
- behavior
- access
- abnormal
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种异常访问行为检测方法、系统、介质及其设备,该方法包括:自动生成每个网络行为主体的访问边界并将访问边界加入网络行为表格,网络行为主体由网络设备的IP构成,每个网络行为主体的访问边界由一个或多个访问边界条目进行描述;监听工业控制网络环境中的网络报文,分析网络报文得到网络报文的源IP、目的IP、网络协议和服务端口;判断网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中;若存在于网络行为表格中,认定网络报文所属网络行为主体无异常;反之,认定网络报文所属网络行为主体有异常。本发明能够在网络安全危机造成实质损害前检测到异常访问行为,有效提高网络安全处置效率。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种应用于工业控制网络环境的异常访问行为检测方法、系统、介质及其设备。
背景技术
随着信息化和工业化融合的不断深入,工业控制系统从单机走向互联,从封闭走向开放,从自动化走向智能化。在生产力显著提高的同时,工业控制系统面临着日益严峻的网络安全威胁。为了应对这些网络安全威胁,通常会将工业控制网络环境与互联网环境进行物理隔离。然而,物理隔离可以作为工业控制网络的有效保护的手段,但无法应对来自工业控制网络环境内部的网络威胁。
工业控制网络环境与互联网环境的特性不同,工业控制网络环境的自动化程度远高于互联网,自动化具备更强的网络行为规律性,因此决定了工业控制网络环境需要更为适合自身特性的保护方式。
目前工业控制网络环境中缺少符合自身特性的网络安全保护产品,而常规网络安全保护产品中,除防火墙等少数几种产品能够在工业控制网络环境中应用外,多数产品在工业控制网络环境难以表现出足够的适应性,无法满足当前工业控制安全要求。
发明内容
本发明的目的在于提供一种异常访问行为检测方法、系统、介质及其设备,能够在网络安全危机造成实质损害前检测到异常访问行为,有效提高网络安全处置效率。
为解决上述技术问题,本发明采用的一个技术方案是:提供一种异常访问行为检测方法,应用于工业控制网络环境,包括以下步骤:S1:自动生成每个网络行为主体的访问边界并将访问边界加入网络行为表格,其中,所述网络行为主体由网络设备的IP构成,每个网络行为主体的访问边界由一个或多个访问边界条目进行描述,所述访问边界条目包括允许访问的行为主体IP、允许访问的行为客体IP、允许使用的网络协议、允许使用的服务端口;S2:监听工业控制网络环境中的网络报文,分析所述网络报文得到网络报文的源IP、目的IP、网络协议和服务端口;S3:判断所述网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中;若存在于网络行为表格中,则认定网络报文所属网络行为主体无异常;反之,则认定网络报文所属网络行为主体有异常。
优选的,步骤S1的具体步骤包括:S11:抓取工业控制网络环境中的网络报文,提取网络报文中的源IP、目的IP作为网络行为主体;S12:设置学习期,分析每个网络行为主体在学习期内出现的关联IP报文协议及内容,并自动生成每个网络行为主体的访问边界,将访问边界加入网络行为表格,所述网络行为表格中每行记录一个访问边界条目;S13:当学习期结束时,不再生成新的访问边界并结束学习。
优选的,所述步骤S12的具体步骤包括:S121:设置学习期,所述学习期包括开始时间和学习时长;S122:判断当前时间是否早于开始时间,若当前时间早于开始时间时,则直接结束;若当前时间不早于开始时间,则进行步骤S123; S123:判断当前累计学习时间是否大于学习时长,如果不大于学习时长,则进行步骤S124,如果大于学习时长,则进行步骤S13;S124:判断网络报文中的源IP、目的IP、网络协议和服务端口是否在网络行为表格中存在相同的访问边界条目,如果不存在相同的访问边界条目,则进行步骤S125,如果存在相同的访问边界条目,则进行步骤S126;S125:将网络报文中的源IP、目的IP、网络协议和服务端口作为新的访问边界条目加入网络行为表格,并新增记录访问边界条目的行为首次发生时间;S126:在网络行为表格中新增记录访问边界条目的行为最近发生时间。
优选的,所述步骤S3具体包括:S31:判断所述网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中,如果存在于网络行为表格中,则进行步骤S32,如果不存在于网络行为表格中,则进行步骤S33;S32:认定网络报文所属网络行为主体无异常;S33:认定网络报文所属网络行为主体有异常;S34:查询异常网络行为表格中是否存在与所述网络报文的源IP、目的IP、网络协议和服务端口相同且行为状态为进行中的记录项,如果不存在相同的记录项,则进行步骤S35,如果存在相同的记录项,则进行步骤S36,其中,所述异常网络行为表格的表格结构包括记录项、记录项的开始时间、记录项的结束时间和记录项的行为状态;S35:将网络报文中的源IP、目的IP、网络协议和服务端口作为新的记录项加入异常网络行为表格,并更新开始时间,同时将行为状态设置为进行中;S36:分析所述网络报文所属的网络行为是否结束,如果结束,则进行步骤S37;S37:将所述异常网络行为表格中对应的记录项的行为状态设置为已结束,并更新记录项的结束时间。
为解决上述技术问题,本发明采用的另一个技术方案是:提供一种异常访问行为检测系统,应用于工业控制网络环境,所述异常访问行为检测系统包括访问边界学习模块、访问监听模块和访问检测模块;所述访问边界学习模块用于自动生成每个网络行为主体的访问边界并将访问边界加入网络行为表格,其中,所述网络行为主体由网络设备的IP构成,每个网络行为主体的访问边界由一个或多个访问边界条目进行描述,所述访问边界条目包括允许访问的行为主体IP、允许访问的行为客体IP、允许使用的网络协议、允许使用的服务端口;所述访问监听模块用于监听工业控制网络环境中的网络报文,分析所述网络报文得到网络报文的源IP、目的IP、网络协议和服务端口;所述访问检测模块用于判断所述网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中;若存在于网络行为表格中,则认定网络报文所属网络行为主体无异常;反之,则认定网络报文所属网络行为主体有异常。
优选的,所述访问边界学习模块包括报文抓取单元和学习单元;所述报文抓取单元用于抓取工业控制网络环境中的网络报文,提取网络报文中的源IP、目的IP作为网络行为主体;所述学习单元用于设置学习期,分析每个网络行为主体在学习期内出现的关联IP报文协议及内容,并自动生成每个网络行为主体的访问边界,将访问边界加入网络行为表格,所述网络行为表格中每行记录一个访问边界条目,以及在学习期结束时,不再生成新的访问边界并结束学习。
优选的,所述学习单元具体包括时间设置子单元、计时子单元、判断子单元和集合生成单元;所述时间设置子单元用于设置学习期,所述学习期包括开始时间和学习时长;所述计时子单元用于判断当前时间是否早于开始时间,以及在当前时间早于开始时间时,直接结束,以及在当前时间不早于开始时间时,判断当前累计学习时间是否大于学习时长;所述判断子单元用于在计时子单元判断为当前累计学习时间不大于学习时长时,判断网络报文中的源IP、目的IP、网络协议和服务端口是否在网络行为表格中存在相同的访问边界条目;所述集合生成单元用于在判断子单元判断为不存在相同的访问边界条目时,将网络报文中的源IP、目的IP、网络协议和服务端口作为新的访问边界条目加入网络行为表格,并新增记录访问边界条目的行为首次发生时间,以及在判断子单元判断为存在相同的访问边界条目时,在网络行为表格中新增记录访问边界条目的行为最近发生时间。
优选的,所述访问检测模块包括比对单元、判定单元、异常查询单元、访问分析单元和表格构建单元,所述比对单元用于判断所述网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中;所述判定单元用于在比对单元判断为存在于网络行为表格中时,认定网络报文所属网络行为主体无异常,以及在比对单元判断为不存在于网络行为表格中时,认定网络报文所属网络行为主体有异常;所述异常查询单元用于在判定单元认定网络报文所属网络行为主体有异常之后,查询异常网络行为表格中是否存在与所述网络报文的源IP、目的IP、网络协议和服务端口相同且行为状态为进行中的记录项;所述访问分析单元用于在异常查询单元查询到存在相同的记录项时,分析所述网络报文所属的网络行为是否结束;所述表格构建单元用于在异常查询单元查询到不存在相同的记录项时,将网络报文中的源IP、目的IP、网络协议和服务端口作为新的记录项加入异常网络行为表格,并更新开始时间,同时将行为状态设置为进行中,以及在访问分析单元判断为结束时,将所述异常网络行为表格中对应的记录项的行为状态设置为已结束,并更新记录项的结束时间。
为解决上述技术问题,本发明采用的另一个技术方案是:提供一种计算机可读存储介质,应用于工业控制网络环境,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现前述任一种所述的异常访问行为检测方法的步骤。
为解决上述技术问题,本发明采用的另一个技术方案是:提供一种异常访问行为检测设备,应用于工业控制网络环境,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现前述任一种所述的异常访问行为检测方法的步骤。
区别于现有技术的情况,本发明的有益效果是:能够有效识别出工业控制环境中的网络行为主体发起的异常访问行为,提升工业控制环境中网络安全事件处置效率,大幅度减少网络安全访问边界建立的人工成本,提高网络安全电子围栏建设的可行性。
附图说明
图1是本发明实施例提供的异常访问行为检测方法的流程示意图;
图2是图1所示的异常访问行为检测方法的步骤S1的具体流程示意图;
图3是图1所示的异常访问行为检测方法的步骤S12的具体流程示意图;
图4是图1所示的异常访问行为检测方法的步骤S3的具体流程示意图;
图5是本发明另一实施例提供的异常访问行为检测系统在一种应用中的拓扑示意图。
图6是异常访问行为检测系统的访问边界学习模块的具体框图;
图7是异常访问行为检测系统的学习单元的具体框图。
图8是异常访问行为检测系统的访问检测模块的具体框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1,本发明实施例的异常访问行为检测方法应用于工业控制网络环境,其包括以下步骤:
S1:自动生成每个网络行为主体的访问边界并将访问边界加入网络行为表格,其中,网络行为主体由网络设备的IP构成,每个网络行为主体的访问边界由一个或多个访问边界条目进行描述,访问边界条目包括允许访问的行为主体IP、允许访问的行为客体IP、允许使用的网络协议、允许使用的服务端口;
S2:监听工业控制网络环境中的网络报文,分析网络报文得到网络报文的源IP、目的IP、网络协议和服务端口;
S3:判断网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中;若存在于网络行为表格中,则认定网络报文所属网络行为主体无异常;反之,则认定网络报文所属网络行为主体有异常。
其中,网络行为主体可以仅是单独的网络设备的IP,也可以是网络设备的 IP和MAC的组合。网络报文可以通过网络嗅探、交换机镜像等方式监听。当网络报文的源IP、目的IP、网络协议和服务端口能够在网络行为表格中找到,也就是存在相同的访问边界条目时,判定网络报文所属的网络行为主体无异常,否则判定网络报文所属的网络行为主体异常。
在本实施例中,参见图2,步骤S1的具体步骤包括:
S11:抓取工业控制网络环境中的网络报文,提取网络报文中的源IP、目的 IP作为网络行为主体;
S12:设置学习期,分析每个网络行为主体在学习期内出现的关联IP报文协议及内容,并自动生成每个网络行为主体的访问边界,将访问边界加入网络行为表格,网络行为表格中每行记录一个访问边界条目;
S13:当学习期结束时,不再生成新的访问边界并结束学习。
其中,学习期可以基于配置管理员事先安排的网络策略进行设置。在学习期内,对抓取到的网络报文进行归类、信息提取得到网络报文的源IP、目的IP,将所有网络报文的源IP、目的IP作为网络行为主体,再利用源IP、目的IP可以从网络报文中查找对应的网络协议、服务端口,进而得到访问边界条目。
具体而言,参见图3,步骤S12的具体步骤包括:
S121:设置学习期,学习期包括开始时间和学习时长;
S122:判断当前时间是否早于开始时间,若当前时间早于开始时间时,则直接结束;若当前时间不早于开始时间,则进行步骤S123;
S123:判断当前累计学习时间是否大于学习时长,如果不大于学习时长,则进行步骤S124,如果大于学习时长,则进行步骤S13;
S124:判断网络报文中的源IP、目的IP、网络协议和服务端口是否在网络行为表格中存在相同的访问边界条目,如果不存在相同的访问边界条目,则进行步骤S125,如果存在相同的访问边界条目,则进行步骤S126;
S125:将网络报文中的源IP、目的IP、网络协议和服务端口作为新的访问边界条目加入网络行为表格,并新增记录访问边界条目的行为首次发生时间;
S126:在网络行为表格中新增记录访问边界条目的行为最近发生时间。
其中,在初始状态下,网络行为表格为空,在学习期期间,网络行为表格会不断加入新的访问边界条目。在学习期结束时,网络行为表格就包含多条访问边界条目,且访问边界条目除了包含允许访问的行为主体IP、允许访问的行为客体IP、允许使用的网络协议、允许使用的服务端口之外,还包含行为首次发生时间以及行为最近发生时间。
请继续参见图4,在本实施例中,步骤S3具体包括:
S31:判断网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中,如果存在于网络行为表格中,则进行步骤S32,如果不存在于网络行为表格中,则进行步骤S33;
S32:认定网络报文所属网络行为主体无异常;
S33:认定网络报文所属网络行为主体有异常;
S34:查询异常网络行为表格中是否存在与网络报文的源IP、目的IP、网络协议和服务端口相同且行为状态为进行中的记录项,如果不存在相同的记录项,则进行步骤S35,如果存在相同的记录项,则进行步骤S36,其中,所述异常网络行为表格的表格结构包括记录项、记录项的开始时间、记录项的结束时间和记录项的行为状态;
S35:将网络报文中的源IP、目的IP、网络协议和服务端口作为新的记录项加入异常网络行为表格,并更新开始时间,同时将行为状态设置为进行中;
S36:分析网络报文所属的网络行为是否结束,如果结束,则进行步骤S37;
S37:将异常网络行为表格中对应的记录项的行为状态设置为已结束,并更新记录项的结束时间。
其中,在初始状态下,异常网络行为表格为空。通过将监听到的网络报文与网络行为表格对比,如果网络行为表格中不存在与网络报文的源IP、目的IP、网络协议和服务端口相同的记录项,则表明网络报文的源IP、目的IP、网络协议和服务端口不能在网络行为表格中找到,该网络报文所属的网络行为主体发生了异常访问行为。异常网络行为表格中每一行记录一个记录项、记录项的开始时间、记录项的结束时间和行为状态,每个记录项表示一个异常访问行为,通过查询异常网络行为表格可以得知每个异常访问行为的内容、开始时间、结束时间以及是否结束。
通过上述方式,本发明实施例的应用于工业控制网络环境的异常访问行为检测方法根据工业控制网络环境的特点,通过学习工业网络通信规律来建立访问边界,根据建立的访问边界,能够在网络安全危机造成实质损害前检测到异常网络行为,有效提高网络安全处置效率。
参见图5,本发明另一实施例的异常访问行为检测系统10,其应用于工业控制网络环境,异常访问行为检测系统10包括访问边界学习模块20、访问监听模块30和访问检测模块40。图中11表示交换机。
访问边界学习模块20用于自动生成每个网络行为主体的访问边界并将访问边界加入网络行为表格,其中,网络行为主体由网络设备50的IP构成,每个网络行为主体的访问边界由一个或多个访问边界条目进行描述,访问边界条目包括允许访问的行为主体IP、允许访问的行为客体IP、允许使用的网络协议、允许使用的服务端口。
访问监听模块30用于监听工业控制网络环境中的网络报文,分析网络报文得到网络报文的源IP、目的IP、网络协议和服务端口。
访问检测模块40用于判断网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中;若存在于网络行为表格中,则认定网络报文所属网络行为主体无异常;反之,则认定网络报文所属网络行为主体有异常。
其中,网络行为主体可以仅是单独的网络设备50的IP,也可以是网络设备50的IP和MAC的组合。网络报文可以通过网络嗅探、交换机镜像等方式监听。当网络报文的源IP、目的IP、网络协议和服务端口能够在网络行为表格中找到,也就是存在相同的访问边界条目时,判定网络报文所属的网络行为主体无异常,否则判定网络报文所属的网络行为主体异常。
在本实施例中,参见图6,访问边界学习模块20包括报文抓取单元21和学习单元22;报文抓取单元21用于抓取工业控制网络环境中的网络报文,提取网络报文中的源IP、目的IP作为网络行为主体;学习单元22用于设置学习期,分析每个网络行为主体在学习期内出现的关联IP报文协议及内容,并自动生成每个网络行为主体的访问边界,将访问边界加入网络行为表格,网络行为表格中每行记录一个访问边界条目,以及在学习期结束时,不再生成新的访问边界并结束学习。
其中,学习期可以基于配置管理员事先安排的网络策略进行设置。在学习期内,对抓取到的网络报文进行归类、信息提取得到网络报文的源IP、目的IP,将所有网络报文的源IP、目的IP作为网络行为主体,再利用源IP、目的IP可以从网络报文中查找对应的网络协议、服务端口,进而得到访问边界条目。
具体而言,参见图7,学习单元22具体包括时间设置子单元221、计时子单元222、判断子单元223和集合生成单元224。
时间设置子单元221用于设置学习期,学习期包括开始时间和学习时长;
计时子单元222用于判断当前时间是否早于开始时间,以及在当前时间早于开始时间时,直接结束,以及在当前时间不早于开始时间时,判断当前累计学习时间是否大于学习时长;
判断子单元223用于在计时子单元222判断为当前累计学习时间不大于学习时长时,判断网络报文中的源IP、目的IP、网络协议和服务端口是否在网络行为表格中存在相同的访问边界条目;
集合生成单元224用于在判断子单元223判断为不存在相同的访问边界条目时,将网络报文中的源IP、目的IP、网络协议和服务端口作为新的访问边界条目加入网络行为表格,并新增记录访问边界条目的行为首次发生时间,以及在判断子单元223判断为存在相同的访问边界条目时,在网络行为表格中新增记录访问边界条目的行为最近发生时间。
其中,在初始状态下,网络行为表格为空,在学习期期间,网络行为表格会不断加入新的访问边界条目。在学习期结束时,网络行为表格就包含多条访问边界条目,且访问边界条目除了包含允许访问的行为主体IP、允许访问的行为客体IP、允许使用的网络协议、允许使用的服务端口之外,还包含行为首次发生时间以及行为最近发生时间。
参见图8,访问检测模块40包括比对单元41、判定单元42、异常查询单元 43、访问分析单元44和表格构建单元45。
比对单元41用于判断网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中。
判定单元42用于在比对单元41判断为存在于网络行为表格中时,认定网络报文所属网络行为主体无异常,以及在比对单元41判断为不存在于网络行为表格中时,认定网络报文所属网络行为主体有异常。
异常查询单元43用于在判定单元42认定网络报文所属网络行为主体有异常之后,查询异常网络行为表格中是否存在与网络报文的源IP、目的IP、网络协议和服务端口相同且行为状态为进行中的记录项。
访问分析单元44用于在异常查询单元43查询到存在相同的记录项时,分析网络报文所属的网络行为是否结束。
表格构建单元45用于在异常查询单元43查询到不存在相同的记录项时,将网络报文中的源IP、目的IP、网络协议和服务端口作为新的记录项加入异常网络行为表格,并更新开始时间,同时将行为状态设置为进行中,以及在访问分析单元44判断为结束时,将异常网络行为表格中对应的记录项的行为状态设置为已结束,并更新记录项的结束时间。
其中,在初始状态下,异常网络行为表格为空。通过将监听到的网络报文与网络行为表格对比,如果网络行为表格中不存在与网络报文的源IP、目的IP、网络协议和服务端口相同的记录项,则表明网络报文的源IP、目的IP、网络协议和服务端口不能在网络行为表格中找到,该网络报文所属的网络行为主体发生了异常访问行为。异常网络行为表格中每一行记录一个记录项、记录项的开始时间、记录项的结束时间和行为状态,每个记录项表示一个异常访问行为,通过查询异常网络行为表格可以得知每个异常访问行为的内容、开始时间、结束时间以及是否结束。
通过上述方式,本发明的应用于工业控制网络环境的异常访问行为检测系统根据工业控制网络环境的特点,通过学习工业网络通信规律来建立访问边界,根据建立的访问边界,能够在网络安全危机造成实质损害前检测到异常网络行为,有效提高网络安全处置效率。
由于上述所述的应用于工业控制网络环境的异常访问行为检测的实现载体可以为一整套硬件或安装于服务器上的软件,则本发明又一实施例提供了一种计算机可读存储介质,其应用于工业控制网络环境,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如前述实施例的异常访问行为检测方法的步骤。
本发明又一实施例还提供了一种异常访问行为检测设备,其应用于工业控制网络环境,包括:存储器,用于存储计算机程序;处理器,用于执行计算机程序时实现如前述实施例的异常访问行为检测方法的步骤。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统和方法,也可以通过其它的方式实现。以上所描述的系统实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种异常访问行为检测方法,应用于工业控制网络环境,其特征在于,包括以下步骤:
S1:自动生成每个网络行为主体的访问边界并将访问边界加入网络行为表格,其中,所述网络行为主体由网络设备的IP构成,每个网络行为主体的访问边界由一个或多个访问边界条目进行描述,所述访问边界条目包括允许访问的行为主体IP、允许访问的行为客体IP、允许使用的网络协议、允许使用的服务端口;
S2:监听工业控制网络环境中的网络报文,分析所述网络报文得到网络报文的源IP、目的IP、网络协议和服务端口;
S3:判断所述网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中;若存在于网络行为表格中,则认定网络报文所属网络行为主体无异常;反之,则认定网络报文所属网络行为主体有异常。
2.根据权利要求1所述的异常访问行为检测方法,其特征在于,步骤S1的具体步骤包括:
S11:抓取工业控制网络环境中的网络报文,提取网络报文中的源IP、目的IP作为网络行为主体;
S12:设置学习期,分析每个网络行为主体在学习期内出现的关联IP报文协议及内容,并自动生成每个网络行为主体的访问边界,将访问边界加入网络行为表格,所述网络行为表格中每行记录一个访问边界条目;
S13:当学习期结束时,不再生成新的访问边界并结束学习。
3.根据权利要求2所述的异常访问行为检测方法,其特征在于,所述步骤S12的具体步骤包括:
S121:设置学习期,所述学习期包括开始时间和学习时长;
S122:判断当前时间是否早于开始时间,若当前时间早于开始时间时,则直接结束;若当前时间不早于开始时间,则进行步骤S123;
S123:判断当前累计学习时间是否大于学习时长,如果不大于学习时长,则进行步骤S124,如果大于学习时长,则进行步骤S13;
S124:判断网络报文中的源IP、目的IP、网络协议和服务端口是否在网络行为表格中存在相同的访问边界条目,如果不存在相同的访问边界条目,则进行步骤S125,如果存在相同的访问边界条目,则进行步骤S126;
S125:将网络报文中的源IP、目的IP、网络协议和服务端口作为新的访问边界条目加入网络行为表格,并新增记录访问边界条目的行为首次发生时间;
S126:在网络行为表格中新增记录访问边界条目的行为最近发生时间。
4.根据权利要求1所述的异常访问行为检测方法,其特征在于,所述步骤S3具体包括:
S31:判断所述网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中,如果存在于网络行为表格中,则进行步骤S32,如果不存在于网络行为表格中,则进行步骤S33;
S32:认定网络报文所属网络行为主体无异常;
S33:认定网络报文所属网络行为主体有异常;
S34:查询异常网络行为表格中是否存在与所述网络报文的源IP、目的IP、网络协议和服务端口相同且行为状态为进行中的记录项,如果不存在相同的记录项,则进行步骤S35,如果存在相同的记录项,则进行步骤S36,其中,所述异常网络行为表格的表格结构包括记录项、记录项的开始时间、记录项的结束时间和记录项的行为状态;
S35:将网络报文中的源IP、目的IP、网络协议和服务端口作为新的记录项加入异常网络行为表格,并更新开始时间,同时将行为状态设置为进行中;
S36:分析所述网络报文所属的网络行为是否结束,如果结束,则进行步骤S37;
S37:将所述异常网络行为表格中对应的记录项的行为状态设置为已结束,并更新记录项的结束时间。
5.一种异常访问行为检测系统,应用于工业控制网络环境,其特征在于,所述异常访问行为检测系统包括:
访问边界学习模块,用于自动生成每个网络行为主体的访问边界并将访问边界加入网络行为表格;
访问监听模块,用于监听工业控制网络环境中的网络报文,分析所述网络报文得到网络报文的源IP、目的IP、网络协议和服务端口;
访问检测模块,用于判断所述网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中。
6.根据权利要求5所述的异常访问行为检测系统,其特征在于,所述访问边界学习模块包括报文抓取单元和学习单元;所述报文抓取单元用于抓取工业控制网络环境中的网络报文,提取网络报文中的源IP、目的IP作为网络行为主体;所述学习单元用于设置学习期,分析每个网络行为主体在学习期内出现的关联IP报文协议及内容,并自动生成每个网络行为主体的访问边界,将访问边界加入网络行为表格,所述网络行为表格中每行记录一个访问边界条目,以及在学习期结束时,不再生成新的访问边界并结束学习。
7.根据权利要求6所述的异常访问行为检测系统,其特征在于,所述学习单元具体包括时间设置子单元、计时子单元、判断子单元和集合生成单元;
所述时间设置子单元用于设置学习期,所述学习期包括开始时间和学习时长;
所述计时子单元用于判断当前时间是否早于开始时间,以及在当前时间早于开始时间时,直接结束,以及在当前时间不早于开始时间时,判断当前累计学习时间是否大于学习时长;
所述判断子单元用于在计时子单元判断为当前累计学习时间不大于学习时长时,判断网络报文中的源IP、目的IP、网络协议和服务端口是否在网络行为表格中存在相同的访问边界条目;
所述集合生成单元用于在判断子单元判断为不存在相同的访问边界条目时,将网络报文中的源IP、目的IP、网络协议和服务端口作为新的访问边界条目加入网络行为表格,并新增记录访问边界条目的行为首次发生时间,以及在判断子单元判断为存在相同的访问边界条目时,在网络行为表格中新增记录访问边界条目的行为最近发生时间。
8.根据权利要求5所述的异常访问行为检测系统,其特征在于,所述访问检测模块包括比对单元、判定单元、异常查询单元、访问分析单元和表格构建单元,所述比对单元用于判断所述网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中;所述判定单元用于在比对单元判断为存在于网络行为表格中时,认定网络报文所属网络行为主体无异常,以及在比对单元判断为不存在于网络行为表格中时,认定网络报文所属网络行为主体有异常;所述异常查询单元用于在判定单元认定网络报文所属网络行为主体有异常之后,查询异常网络行为表格中是否存在与所述网络报文的源IP、目的IP、网络协议和服务端口相同且行为状态为进行中的记录项;所述访问分析单元用于在异常查询单元查询到存在相同的记录项时,分析所述网络报文所属的网络行为是否结束;所述表格构建单元用于在异常查询单元查询到不存在相同的记录项时,将网络报文中的源IP、目的IP、网络协议和服务端口作为新的记录项加入异常网络行为表格,并更新开始时间,同时将行为状态设置为进行中,以及在访问分析单元判断为结束时,将所述异常网络行为表格中对应的记录项的行为状态设置为已结束,并更新记录项的结束时间。
9.一种计算机可读存储介质,应用于工业控制网络环境,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的异常访问行为检测方法的步骤。
10.一种异常访问行为检测设备,应用于工业控制网络环境,其特征在于,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现如权利要求1至4任一项所述的异常访问行为检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010435023.0A CN111614674B (zh) | 2020-05-21 | 2020-05-21 | 一种异常访问行为检测方法、系统、介质及其设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010435023.0A CN111614674B (zh) | 2020-05-21 | 2020-05-21 | 一种异常访问行为检测方法、系统、介质及其设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111614674A true CN111614674A (zh) | 2020-09-01 |
| CN111614674B CN111614674B (zh) | 2022-12-06 |
Family
ID=72198342
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010435023.0A Active CN111614674B (zh) | 2020-05-21 | 2020-05-21 | 一种异常访问行为检测方法、系统、介质及其设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111614674B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115567322A (zh) * | 2022-11-15 | 2023-01-03 | 成都数默科技有限公司 | 一种基于tcp服务开放端口识别异常通信的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104994076A (zh) * | 2015-06-01 | 2015-10-21 | 广东电网有限责任公司信息中心 | 一种基于机器学习的日常访问模型实现方法及系统 |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
| CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
| CN109495508A (zh) * | 2018-12-26 | 2019-03-19 | 成都科来软件有限公司 | 基于服务访问数据的防火墙配置方法 |
| CN110113336A (zh) * | 2019-05-06 | 2019-08-09 | 四川英得赛克科技有限公司 | 一种用于变电站网络环境的网络流量异常分析与识别方法 |
-
2020
- 2020-05-21 CN CN202010435023.0A patent/CN111614674B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104994076A (zh) * | 2015-06-01 | 2015-10-21 | 广东电网有限责任公司信息中心 | 一种基于机器学习的日常访问模型实现方法及系统 |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
| CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
| CN109495508A (zh) * | 2018-12-26 | 2019-03-19 | 成都科来软件有限公司 | 基于服务访问数据的防火墙配置方法 |
| CN110113336A (zh) * | 2019-05-06 | 2019-08-09 | 四川英得赛克科技有限公司 | 一种用于变电站网络环境的网络流量异常分析与识别方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115567322A (zh) * | 2022-11-15 | 2023-01-03 | 成都数默科技有限公司 | 一种基于tcp服务开放端口识别异常通信的方法 |
| CN115567322B (zh) * | 2022-11-15 | 2023-03-10 | 成都数默科技有限公司 | 一种基于tcp服务开放端口识别异常通信的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111614674B (zh) | 2022-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109829310B (zh) | 相似攻击的防御方法及装置、系统、存储介质、电子装置 | |
| KR101519936B1 (ko) | 컴퓨터 네트워크 보안을 보조하기 위한 변하는 상태 데이터추적 | |
| CN111988339B (zh) | 一种基于dikw模型的网络攻击路径发现、提取和关联的方法 | |
| CN111756759B (zh) | 一种网络攻击溯源方法、装置及设备 | |
| US20150128267A1 (en) | Context-aware network forensics | |
| CN109104438B (zh) | 窄带物联网中的僵尸网络预警方法、装置及可读存储介质 | |
| US20080034363A1 (en) | Methods, systems and computer program products for rationalization of computer system configuration change data through correlation with product installation activity | |
| CN114006771B (zh) | 一种流量检测方法及装置 | |
| CN111092881B (zh) | 一种访问拦截方法、装置、设备及可读存储介质 | |
| EP3595297A1 (en) | Abnormality detection method, network video recorder (nvr) and video server | |
| CN108234400B (zh) | 一种攻击行为确定方法、装置及态势感知系统 | |
| EP3584990A1 (en) | Data processing method, device, and system | |
| CN114363044B (zh) | 一种分层告警方法、系统、存储介质和终端 | |
| CN112528279B (zh) | 一种入侵检测模型的建立方法和装置 | |
| CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
| CN111614674B (zh) | 一种异常访问行为检测方法、系统、介质及其设备 | |
| JP2015179979A (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| CN113709186B (zh) | 一种高效蜜罐代理转发的方法与装置 | |
| CN113472789B (zh) | 一种攻击检测方法、攻击检测系统、存储介质和电子设备 | |
| CN105187449B (zh) | 一种接口调用方法及装置 | |
| CN113259364B (zh) | 一种网络事件关联分析方法及装置、计算机设备 | |
| CN109005181A (zh) | 一种dns放大攻击的检测方法、系统及相关组件 | |
| CN115801305B (zh) | 一种网络攻击的检测识别方法及相关设备 | |
| CN114205169B (zh) | 网络安全防御方法、装置及系统 | |
| CN113141376B (zh) | 一种恶意ip扫描检测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 1101, 11 / F, unit 2, building 1, No. 777, north section of Yizhou Avenue, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu 610041 Applicant after: SICHUAN YINGDESAIKE TECHNOLOGY Co.,Ltd. Address before: No.1, 3 / F, building 1, No.366, Hupan Road north section, Tianfu New District, Chengdu, Sichuan 610041 Applicant before: SICHUAN YINGDESAIKE TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |