CN111726809B - 数控环境下的网络安全审计方法及系统 - Google Patents

数控环境下的网络安全审计方法及系统 Download PDF

Info

Publication number
CN111726809B
CN111726809B CN202010553870.7A CN202010553870A CN111726809B CN 111726809 B CN111726809 B CN 111726809B CN 202010553870 A CN202010553870 A CN 202010553870A CN 111726809 B CN111726809 B CN 111726809B
Authority
CN
China
Prior art keywords
module
data
communication
behavior
numerical control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010553870.7A
Other languages
English (en)
Other versions
CN111726809A (zh
Inventor
路松峰
蒋昌志
汤学明
吴俊军
崔永泉
朱建新
向文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huazhong University of Science and Technology
Original Assignee
Huazhong University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huazhong University of Science and Technology filed Critical Huazhong University of Science and Technology
Priority to CN202010553870.7A priority Critical patent/CN111726809B/zh
Publication of CN111726809A publication Critical patent/CN111726809A/zh
Application granted granted Critical
Publication of CN111726809B publication Critical patent/CN111726809B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明属于计算机系统审计技术领域,公开了一种数控环境下的网络安全审计方法及系统,由无线AP定位提供移动设备位置信息,在工程图纸中标注设备位置和移动路径;捕获接收到的通信报文,对于所捕获的数据报文进行协议解析和分类统计,记录通信协议关键信息;根据协议类型,进一步分析所包含的明文数据内容;检测发现内部主机企图连接互联网的行为,对违规外联、木马泄密行为进行监测;同时集成网络入侵检测功能并记录各实体操作,识别主流的网络入侵行为。本发明更适用于工作环境复杂,通信设备复杂,通信过程安全要求高的数控加工环境下的网络安全审计。

Description

数控环境下的网络安全审计方法及系统
技术领域
本发明属于计算机系统审计技术领域,尤其涉及一种数控环境下的网络安全审计方法及系统。
背景技术
安全审计系统对网络中各实体行为进行安全审计,记录发生的所有事务,提供给安全检查程序或者系统管理员,作为检查系统漏洞、维护系统安全以及防范入侵行为的依据。
传统计算机安全审计系统面对设备复杂、安全要求高的大型网络,需要对网络整体进行记录。但是由于网络中各设备往往自带审计模块,且由于提供功能不一致,数据格式不一致,审计分析规则不统一,无法批量调整更迭,系统日常运营及维护开销大等缺点。造成了无法对网络各实体做到尽职尽责的安全审计调查功能。如果需要全面了解系统内各设备运行状态,并对各设备的审计模块进行统一规范。同时需要从计算机网络出发建立一个适用于数控加工环境下的网络安全审计系统。
通过上述分析,现有技术存在的问题及缺陷为:(1)数控加工环境下,边缘设备由于性能和带宽等问题,现有方法对于设备性能及带宽要求偏高。
(2)工业生产环境下,设备品牌及类型多样,需要统一的数据格式。
(3)缺少对于可移动设备移动性的安全管控。
(4)在数控环境下,需要为设备使用不同的安全策略。同时设备行为可以预估,但是需要对其分级处理。
解决以上问题及缺陷的难度为:其难点在于在满足安全审计的前提下,保证多种通信需求下的通信质量。统一不同设备的通信接口及数据格式,对于各设备进行相对应的安全审核。设置合适的安全审计策略,会同系统其它方法进行协助。
解决以上问题及缺陷的意义为:开发适用于数控环境下的网络安全审计。在统一通信接口的基础上,完成审计功能,对于维护数控加工设备、关键G代码等核心数据安全,保证加工质量等方面具有重要意义。
发明内容
为了解决现有技术存在的问题,本发明提供了一种数控环境下的网络安全审计方法及系统。
本发明是这样实现的,一种数控环境下的网络安全审计的方法,包括:
步骤一,对数控加工环境中的无线AP信号进行扫描,记录AP信号关键信集成AP定位工具,获得未知位置的AP,并在工程图纸中进行标注;
步骤二,对于有线及无线通信过程中,所捕获到的通信报文进行协议解析和分类统计,记录通信协议关键信息;
步骤三,根据协议类型,进一步分析所包含的明文数据内容;检测发现内部主机企图连接互联网的行为,对违规外联、木马泄密行为进行监测;同时集成网络入侵检测功能并记录各实体操作,识别主流的网络入侵行为。
进一步,所述步骤二对于所捕获的数据报文进行协议解析和分类统计中,对通信端安全协商过程、数据通信行为、通信系统管理及事件进行记录,使用统一的格式生成审计日志。
进一步,所述步骤二中,通信数据捕获模块对所捕获的报文进行协议解析和分类统计,记录关键信息如来源与目的IP地址,数据量及应用层协议等关键信息;同时集成漏洞扫描工具,对于安全性错误配置、默认密码、常见密码以及密码缺失进行提示,同时进行网络主机探测、端口探测扫描,硬件特性及版本信息检测,对已知系统漏洞进行扫描;
集成的入侵检测模块根据入侵检测策略数据库所提供的入侵策略进行检测;
基于主机的通信检测,根据数据库中各设备对应的用户组权限或者使用的权限与预设相异,记录在安全设计数据库。
进一步,所述步骤二记录通信协议关键信息中,安全事件预警模块根据记录在数据库中的实体行为记录,按预设策略及敏感数据内容进行预警,将异常情况用可视化模块提供给上位机;同时系统日记管理模块对日志进行统一格式的处理及保护。
进一步,所述步骤三识别主流的网络入侵行为包括对数据通信行为中地理位置识别,所述对数据通信行为中地理位置识别包括:
1)对移动设备透明,通过多个无线设备网关,对于通信设备信号强度的探测,结合物理地图上各已知位置的信号强度,计算出移动设备位置;
2)通过模块化地图编辑对程序进行复用,用于不同工作环境;
3)通过地理位置的计算,结合神经网络获取行动轨迹。
进一步,所述步骤三识别主流的网络入侵行为包括针对工业互联网所研发,所述对数据通信行为中安全审计中,需要对原始数据流进行进行初步审查,根据其通信协议类型及实体信息,结合审计策略配置。对于主流通信行为如互联网访问、文件传输、收发邮件及远程访问等高风险行为通过快速匹配算法、查询审计策略数据库及敏感数据分级访问控制等方式进行审计分析。同时将得到的审计数据进行建模分析。对于风险行为进行预警和时间溯源。
本发明的另一目的在于提供一种数控加工环境下无线信号监测及通信行为审计系统,所述数控加工环境下无线信号监测及通信行为审计系统包括:
上位机、下位机、网关级和总线级智能模块;
上位机,负责人机界面交互、人脸识别、云服务器通讯;
下位机,负责加工控制、现场总线通讯;
智能模块,利用CPU对获取的数据进行运算处理,并把处理完的数据写入FPGA,通过总线与数控系统或其他现场设备进行数据交换;
网关级智能模块,为机器人、AGV小车、数控机床现场设备接入NC-Link网络的网关,还用于于现场设备通过无线和有线方式连接,与现场设备通信;
总线级智能模块,用于接入在数控系统的NCUC总线中,负责接收和处理多种传感器、无线设备的数据并将处理后的数据发送给数控系统。
进一步,所述智能模块包括:无线信号接收/发送模块、无线信号分析模块、通信数据捕获模块、协议数据分析模块、入侵检测模块、主机漏洞扫描模块、安全事件预警模块、系统日志管理模块及系统配置管理模块;
无线信号接收/发送模块,所接收/发送的信号,提供给无线信号检测模块和通信数据捕获模块,作为通信时的原始数据;
由无线信号检测模块和无线信号分析模块通过接收信号强度对AP信号进行物理位置定位;
环境地图显示与编辑模块,在固定设备移动以及固定点移动时,更新并计算移动AP的物理位置;
无线信号分析模块,将对于各个移动AP分析所得的物理位置的最终结果持久化存储,得到各AP的移动路径;
协议数据分析模块,实时收集流入网络内所有数据包,并对收集的数据包进行协议分析;通过对数据包拆包,记录设备识别码、源IP地址、目标IP地址、应用层通信协议类型、数据包大小、时间、通信时长关键信息;随后交付给入侵检测模块,根据协议类型,访问对象,访问频次信息,结合敏感数据访问控制系统,判断本次通信是否合法;随后将行为记录持久化保存;
入侵检测模块,将不符合配置或者行为异常予以标记并进行提示;在异常行为发生时,能够对入侵行为进行快速响应,对于严重违规行为进行拦截,同时防止入侵行为进入其他子网络;对于各目标网络内的异常流量进行检测与监控;最终将监听到的行为写入安全审计数据库中,对于蜜罐等实体,接受数据保存;
安全事件预警模块,分析多网络,多设备及多状态下的运行记录;对于行为数据进行预测;同时对于传统密码口令,配置或分组错误,设置不正确问题进行预警;反应到上位机中,通过可视化模块展示;
系统日志管理模块,将操作行为予以记录,归存,由统计与分析报表系统进行分类归档处理;
系统配置管理模块,对系统配置管理数据库维护,核实各用户权限组,操作记录,为各实体角色/用户组进行标记。
本发明的另一目的在于提供一种接收用户输入程序存储介质,所存储的计算机程序使电子设备执行所述数控加工环境下无线信号监测及通信行为审计的方法。
本发明的另一目的在于提供一种存储在计算机可读介质上的计算机程序产品,包括计算机可读程序,供于电子装置上执行时,提供用户输入接口以实施所述数控加工环境下无线信号监测及通信行为审计的方法。
本发明的另一目的在于提供一种执行所述数控加工环境下无线信号监测及通信行为审计的方法的计算机。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:本发明由各模块组成适用于加工环境下的安全审计系统,相较于传统安全审计系统而言,考虑了数控加工情况下的边缘设备加密能力差,数据安全性与完整性要求高,同时对于网络连接质量具有较高要求,设备状况相似,各实体行为可以预估。因此开发了一种更适用于数控加工环境下的网络安全审计系统。
对数控加工环境中的无线AP信号进行扫描,记录AP信号关键信集成AP定位工具,协助找到未知位置的AP,并在工程图纸中进行标注。捕获有线传输和无线传输的通信报文,对于所捕获的数据报进行协议解析和分类统计,记录通信协议关键信息。根据协议类型,进一步分析所包含的明文数据内容。检测发现内部主机企图连接互联网的行为,对违规外联、木马泄密等行为监测有重要意义。同时集成网络入侵检测功能并记录各实体操作,使其能够识别主流的网络入侵行为。
与现有技术相比,更适用于工作环境复杂,通信设备复杂,通信过程安全要求高的数控加工环境下的网络安全审计。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的数控加工环境下无线信号监测及通信行为审计方法流程图。
图2是本发明实施例提供的数控加工环境下无线信号监测及通信行为审计方法原理图。
图3是本发明实施例提供的数控加工环境下无线信号监测及通信行为审计系统示意图。
图4是本发明实施例提供的数控加工环境下无线信号监测及通信行为审计系统的智能模块示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
数控加工环境下,实体行为的审计及关键数据的记录效果差,通信设备复杂。
针对现有技术存在的问题,本发明提供了一种数控加工环境下无线信号监测及通信行为审计方法及系统,下面结合附图对本发明作详细的描述。
本发明从传统计算机安全审计系统出发,以网络审计模块、操作系统审计模块、数据库审计模块及主机审计模块为雏形,结合实际需求结合了以下技术:
网络监听技术:通过对网络流量的分析与还原,实现对于网络及数据库访问的审计,从而监控网络运行状态,管理网络所传输的关键信息,例如:端口,源IP,源主机识别码等。但是往往无法对传输具体内容进行审计。
审计数据读取技术:通过对敏感数据分级,根据实体所在的组确定其读写改权限。同时对于用户口令,设置是否正确进行检查。确保身份信息正确。通过合理的加密手段,确定该实体能正确拥有相应权限。
审计数据分析技术:借助系统的行为记录,考虑某一个或者某几个实体行为是否异常。对于异常行为按照预设规则进行提示和预警。此时对于行为的记录,合理的组织与联系,同时合理的策略以及对于配置的检查是审计数据分析技术的关键。
如图1所示,本发明提供一种数控加工环境下无线信号监测及通信行为审计的方法,包括:
S101,对数控加工环境中的无线AP信号进行扫描,记录AP信号关键信集成AP定位工具,获得未知位置的AP,并在工程图纸中进行标注。
S102,捕获接收到的通信报文,对于所捕获的数据报文进行协议解析和分类统计,记录通信协议关键信息。
S103,根据协议类型,进一步分析所包含的明文数据内容;检测发现内部主机企图连接互联网的行为,对违规外联、木马泄密行为进行监测;同时集成网络入侵检测功能并记录各实体操作,识别主流的网络入侵行为。
所述步骤S102对于所捕获的数据报文进行协议解析和分类统计中,对通信端安全协商过程、数据通信行为、通信系统管理及事件进行记录,使用统一的格式生成审计日志。
所述步骤S102中,通信数据捕获模块对所捕获的报文进行协议解析和分类统计,记录关键信息如来源与目的IP地址,数据量及应用层协议等关键信息;同时集成漏洞扫描工具,对于安全性错误配置、默认密码、常见密码以及密码缺失进行提示,同时进行网络主机探测、端口探测扫描,硬件特性及版本信息检测,对已知系统漏洞进行扫描。
集成的入侵检测模块根据入侵检测策略数据库所提供的入侵策略进行检测。
基于主机的通信检测,根据数据库中各设备对应的用户组权限或者使用的权限与预设相异,记录在安全设计数据库。
所述步骤S102记录通信协议关键信息中,安全事件预警模块根据记录在数据库中的实体行为记录,按预设策略及敏感数据内容进行预警,将异常情况用可视化模块提供给上位机;同时系统日记管理模块对日志进行统一格式的处理及保护。
所述步骤S103识别主流的网络入侵行为包括对数据通信行为中地理位置识别,所述对数据通信行为中地理位置识别包括:
1)对移动设备透明,通过多个无线设备网关,对于通信设备信号强度的探测,结合物理地图上各已知位置的信号强度,计算出移动设备位置。
2)通过模块化地图编辑对程序进行复用,用于不同工作环境。
3)通过地理位置的计算,结合神经网络获取行动轨迹。
如图3,本发明提供一种数控加工环境下无线信号监测及通信行为审计系统,包括:
上位机、下位机、网关级和总线级智能模块。
上位机,负责人机界面交互、人脸识别、云服务器通讯。
下位机,负责加工控制、现场总线通讯。
智能模块,利用CPU对获取的数据进行运算处理,并把处理完的数据写入FPGA,通过总线与数控系统或其他现场设备进行数据交换;
网关级智能模块,为机器人、AGV小车、数控机床现场设备接入NC-Link网络的网关,还用于于现场设备通过无线和有线方式连接,与现场设备通信;
总线级智能模块,用于接入在数控系统的NCUC总线中,负责接收和处理多种传感器、无线设备的数据并将处理后的数据发送给数控系统。
如图4,所述智能模块包括:无线信号接收/发送模块、无线信号分析模块、通信数据捕获模块、协议数据分析模块、入侵检测模块、主机漏洞扫描模块、安全事件预警模块、系统日志管理模块及系统配置管理模块。
无线信号接收/发送模块,所接收/发送的信号,提供给无线信号检测模块和无线通信数据捕获模块,作为通信时的原始数据。
由无线信号检测模块和无线信号分析模块通过接收信号强度对AP信号进行物理位置定位。
环境地图显示与编辑模块,在固定设备移动以及固定点移动时,更新并计算移动AP的物理位置。
无线分析模块,将对于各个移动AP分析所得的物理位置的最终结果持久化存储,得到各AP的移动路径;实时收集流入目标网络内所有数据包,并对收集的数据包进行协议分析;通过对数据包拆包,记录设备识别码、源IP地址、目标IP地址、应用层通信协议类型、数据包大小、时间、通信时长关键信息;随后交付给入侵检测模块,根据协议类型,访问对象,访问频次信息,结合敏感数据访问控制系统,判断本次通信是否合法;随后将行为记录持久化保存。
入侵检测模块,将不符合配置或者行为异常予以标记并进行提示;在异常行为发生时,能够对入侵行为进行快速响应,对于严重违规行为进行拦截,同时防止入侵行为进入其他子网络;对于各目标网络内的异常流量进行检测与监控;最终将监听到的行为写入安全审计数据库中,对于蜜罐等实体,接受数据保存。
安全事件预警模块,分析多网络,多设备及多状态下的运行记录;对于行为数据进行预测;同时对于传统密码口令,配置或分组错误,设置不正确问题进行预警;反应到上位机中,通过可视化模块展示。
系统日志管理模块,将操作行为予以记录,归存,由统计与分析报表系统进行分类归档处理。
系统配置管理模块,对系统配置管理数据库维护,核实各用户权限组,操作记录,为各实体角色/用户组进行标记。
下面结合具体实施例对本发明作进一步描述。
实施例
实施方案以华中9型NCU硬件架构为基础,如图3-图4所示,由上位机、下位机、网关级和总线级智能模块及其余模块构成。其中上位机主要负责人机界面交互、人脸识别、云服务器通讯等运算量大但对实时性要求不高的任务,下位机主要负责加工控制、现场总线通讯等对实时性要求较高的任务。网关级和总线级智能模块是一种分布式计算单元,根据假设位置不同负责不同的功能。其硬件上采用CPU+FPGA的结构,使其具备独立的数据处理能力。智能模块利用CPU对获取的数据进行运算处理,并把处理完的数据写入FPGA,通过总线来与数控系统或其他现场设备进行数据交换。总线级智能模块接入在数控系统的NCUC总线中,负责接收和处理多种传感器、无线设备等的数据并将处理后的数据发送给数控系统,这样可以减轻数控系统的运算负担,提高运行速度;网关级智能模块是机器人、AGV小车、数控机床等现场设备接入NC-Link网络的网关,现场设备通过无线和有线方式接入网关级智能模块,此外也可以通过网关级智能模块实现现场设备之间的连接。由智能模块构成了审计系统中的信号发送/接收模块,及通信数据捕获模块。
无线信号接收/发送模块所接收/发送的信号,提供给无线信号检测模块和无线通信数据捕获模块,作为通信时的原始数据。由无线信号检测模块和无线信号分析模块通过接收信号强度(RSS)对AP信号进行物理位置定位。基础三点定位算法中会受到多径、衰落以及某些办公设备等多原因的共同影响,计算得到的位置精度过低,使得计算结果难以使用。因此在计算过程阶段,结合实际工程图纸,在工程图纸上标明各已知固定点的位置,通过各固定点与已知固定位置设备的信号强度对比,提高计算精度,确定目标AP的物理位置,并在工程图纸上进行标注。该方法将工程图纸模块化为环境地图显示与编辑模块,在固定设备移动以及固定点移动时,能够快速更新并计算移动AP的物理位置。无线分析模块将其对于各个移动AP分析所得的物理位置的最终结果持久化存储。从而得到各AP的移动路径,为安全审计提供依据。
实时收集流入网络内所有数据包,并对收集的数据包进行协议分析。通过对数据包拆包,记录设备识别码、源IP地址、目标IP地址、应用层通信协议类型、数据包大小、时间、通信时长等关键信息。随后交付给入侵检测模块,根据协议类型,访问对象,访问频次等信息,结合敏感数据访问控制系统,判断本次通信是否合法。随后将行为记录持久化保存。入侵检测模块将不符合配置或者行为异常予以标记并进行提示。由访问控制系统与管理人员共同提供入侵检测策略。在异常行为发生时,能够对入侵行为进行快速响应,对于严重违规行为进行拦截,同时防止入侵行为进入其他子网络。对于各目标网络内的异常流量进行检测与监控。最终将监听到的行为写入安全审计数据库中,对于‘蜜罐’等实体,亦可将其接受数据保存。
安全事件预警模块分析多网络,多设备及多状态下的运行记录。对于行为数据进行预测。同时对于传统密码口令,配置或分组错误,设置不正确等问题进行预警。反应到上位机中,通过可视化模块展示在管理人员面前。由人工进行介入,同时核查身份,并将操作行为予以记录,归存至系统日志管理模块中。由统计与分析报表系统进行分类归档处理。
系统配置管理数据库由系统配置管理模块维护。系统配置管理模块需要核实各用户权限组,操作记录,为各实体角色/用户组进行标记。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的硬件平台的方式来实现,当然也可以全部通过硬件来实施。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上所述仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。

Claims (4)

1.一种数控环境下的网络安全审计的方法,其特征在于,所述数控环境下的网络安全审计的方法包括:
步骤一,对数控加工环境中的无线AP信号进行扫描,记录AP信号关键信息,集成AP定位工具,获得未知位置的AP,并在工程图纸中进行标注;
步骤二,捕获接收/发送的通信报文,对于所捕获的数据报文进行协议解析和分类统计,记录通信协议关键信息;
步骤三,根据协议类型,进一步分析所包含的明文数据内容;检测发现内部主机企图连接互联网的行为,对违规外联、木马泄密行为进行监测;同时集成网络入侵检测功能并记录各实体操作,识别主流的网络入侵行为;
所述步骤二对于所捕获的数据报文进行协议解析和分类统计中,对通信端安全协商过程、数据通信行为、通信系统管理及事件进行记录,使用统一的格式生成审计日志;
所述步骤二中,通信数据捕获模块对所捕获的报文进行协议解析和分类统计,记录包括来源与目的IP地址、数据量及应用层协议的关键信息;同时集成漏洞扫描工具,对于安全性错误配置、默认密码、常见密码以及密码缺失进行提示,同时进行网络主机探测、端口探测扫描,硬件特性及版本信息检测,对已知系统漏洞进行扫描;
集成的入侵检测模块根据入侵检测策略数据库所提供的入侵策略进行检测;
基于主机的通信检测,根据数据库中各设备对应的用户组权限或者使用的权限与预设相异,记录在安全审计数据库;
所述步骤二记录通信协议关键信息中,安全事件预警模块根据记录在数据库中的实体行为记录,按预设策略及敏感数据内容进行预警,将异常情况用可视化模块提供给上位机;同时系统日记管理模块对日志进行统一格式的处理及保护;
所述步骤三识别主流的网络入侵行为包括对数据通信行为中地理位置识别,所述对数据通信行为中地理位置识别包括:
1)对移动设备透明,通过多个无线设备网关,对于通信设备信号强度的探测,结合物理地图上各已知位置的信号强度,计算出移动设备位置;
2)通过模块化地图编辑对程序进行复用,用于不同工作环境;
3)通过地理位置的计算,结合神经网络获取行动轨迹。
2.一种采用如权利要求1所述数控环境下的网络安全审计的方法的数控环境下的网络安全审计系统,其特征在于,所述数控加工环境下无线信号监测及通信行为审计系统包括:
上位机、下位机、智能模块;智能模块包括网关级智能模块和总线级智能模块;
上位机,负责人机界面交互、人脸识别、云服务器通讯;
下位机,负责加工控制、现场总线通讯;
智能模块,利用CPU对获取的数据进行运算处理,并把处理完的数据写入FPGA,通过总线与数控系统或其他现场设备进行数据交换;
网关级智能模块,为机器人、AGV小车、数控机床现场设备接入NC-Link网络的网关,还用于与现场设备通过无线和有线方式连接,与现场设备通信;
总线级智能模块,用于接入在数控系统的NCUC总线中,负责接收和处理多种传感器、无线设备的数据并将处理后的数据发送给数控系统。
3.如权利要求2所述的数控环境下的网络安全审计系统,其特征在于,所述智能模块包括:无线信号接收/发送模块、无线信号分析模块、通信数据捕获模块、协议数据分析模块、入侵检测模块、主机漏洞扫描模块、安全事件预警模块、系统日志管理模块及系统配置管理模块;
无线信号接收/发送模块,所接收/发送的信号,提供给无线信号检测模块和无线通信数据捕获模块,作为通信时的原始数据;
由无线信号检测模块和无线信号分析模块通过接收信号强度对AP信号进行物理位置定位;
环境地图显示与编辑模块,在固定设备移动以及固定点移动时,更新并计算移动AP的物理位置;
无线分析模块,将对于各个移动AP分析所得的物理位置的最终结果持久化存储,得到各AP的移动路径;
协议数据分析模块,实时收集流入目标网络内所有数据包,并对收集的数据包进行协议分析;通过对数据包拆包,记录设备识别码、源IP地址、目标IP地址、应用层通信协议类型、数据包大小、时间、通信时长关键信息;随后交付给入侵检测模块,根据协议类型,访问对象,访问频次信息,结合敏感数据访问控制系统,判断本次通信是否合法;随后将行为记录持久化保存;
入侵检测模块,将不符合配置或者行为异常予以标记并进行提示;在异常行为发生时,能够对入侵行为进行快速响应,对于严重违规行为进行拦截,同时防止入侵行为进入其他子网络;对于各目标网络内的异常流量进行检测与监控;最终将监听到的行为写入安全审计数据库中,对于蜜罐实体,接受数据保存;
安全事件预警模块,分析多网络,多设备及多状态下的运行记录;对于行为数据进行预测;同时对于传统密码口令,配置或分组错误,设置不正确问题进行预警;反应到上位机中,通过可视化模块展示;
系统日志管理模块,将操作行为予以记录,归存,由统计与分析报表系统进行分类归档处理;
系统配置管理模块,对系统配置管理数据库维护,核实各用户权限组,操作记录,为各实体角色/用户组进行标记。
4.一种接收用户输入程序存储介质,所存储的计算机程序使电子设备执行权利要求1所述数控环境下的网络安全审计的方法。
CN202010553870.7A 2020-06-17 2020-06-17 数控环境下的网络安全审计方法及系统 Active CN111726809B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010553870.7A CN111726809B (zh) 2020-06-17 2020-06-17 数控环境下的网络安全审计方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010553870.7A CN111726809B (zh) 2020-06-17 2020-06-17 数控环境下的网络安全审计方法及系统

Publications (2)

Publication Number Publication Date
CN111726809A CN111726809A (zh) 2020-09-29
CN111726809B true CN111726809B (zh) 2021-11-23

Family

ID=72567154

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010553870.7A Active CN111726809B (zh) 2020-06-17 2020-06-17 数控环境下的网络安全审计方法及系统

Country Status (1)

Country Link
CN (1) CN111726809B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111931874B (zh) * 2020-10-09 2020-12-25 北京元支点信息安全技术有限公司 基于深度学习和数据聚类的伴随式诱饵生成方法及装置
CN114513383B (zh) * 2020-11-16 2023-07-21 沈阳中科数控技术股份有限公司 基于原始套接字的实时以太网现场总线数据包处理方法
CN112769598B (zh) * 2020-12-25 2022-06-07 武汉华中数控股份有限公司 一种网络通信系统及其通信实现方法
CN113872940B (zh) * 2021-09-02 2022-11-04 华中科技大学 基于NC-Link的访问控制方法、装置及设备
CN113691561B (zh) * 2021-09-07 2022-04-01 北京天融信网络安全技术有限公司 一种通信数据的审计方法和装置
CN113792076A (zh) * 2021-09-17 2021-12-14 甘肃同兴智能科技发展有限责任公司 一种数据审计系统
CN113852626A (zh) * 2021-09-23 2021-12-28 杭州安恒信息安全技术有限公司 一种泄密监控方法、系统、装置及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106571948A (zh) * 2016-08-31 2017-04-19 山东创惠电子科技有限责任公司 一种Wifi安全管控系统
CN108632207A (zh) * 2017-03-17 2018-10-09 中国机房设施工程有限公司 数控机床网络安全监测审计系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108040005B (zh) * 2017-12-05 2020-07-14 大连理工大学 一种基于物联网的数控机床智能监控网关

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106571948A (zh) * 2016-08-31 2017-04-19 山东创惠电子科技有限责任公司 一种Wifi安全管控系统
CN108632207A (zh) * 2017-03-17 2018-10-09 中国机房设施工程有限公司 数控机床网络安全监测审计系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
关于数控审计保护的技术研究;张冬艳等;《第三十一届中国( 天津) 2017 IT、网络、倍息技术、电子、仪器仪表创新学术会议》;20181231;正文第1-6页 *

Also Published As

Publication number Publication date
CN111726809A (zh) 2020-09-29

Similar Documents

Publication Publication Date Title
CN111726809B (zh) 数控环境下的网络安全审计方法及系统
CN112799358B (zh) 一种工业控制安全防御系统
EP3763099B1 (en) Attribute-based policies for integrity monitoring and network intrusion detection
CN107579986B (zh) 一种复杂网络中网络安全检测的方法
CN114760103B (zh) 一种工业控制系统异常检测系统、方法、设备及存储介质
CN111885210A (zh) 一种基于最终用户环境的云计算网络监控系统
US11356468B2 (en) System and method for using inventory rules to identify devices of a computer network
CN114070629A (zh) 针对apt攻击的安全编排与自动化响应方法、装置及系统
CN113079141A (zh) 基于人工智能的网络安全态势感知系统及方法
CN109639756A (zh) 一种终端网络关联关系展示和设备接入实时监测系统
CN117478441B (zh) 基于用户行为智能分析的动态访问控制方法及系统
CN112163198B (zh) 一种主机登录安全检测方法、系统、装置及存储介质
US11683336B2 (en) System and method for using weighting factor values of inventory rules to efficiently identify devices of a computer network
CN112565278A (zh) 一种捕获攻击的方法及蜜罐系统
CN115618353A (zh) 一种工业生产安全的识别系统及方法
CN116506200A (zh) 云安全服务实现系统及方法
CN117609974B (zh) 一种用于技术交易平台的服务管理系统及方法
US12010124B2 (en) Methods and systems for prevention of vendor data abuse
CN114500247B (zh) 工控网络故障诊断方法、装置、电子设备及可读存储介质
CN111935089B (zh) 基于大数据和边缘计算的数据处理方法及人工智能服务器
CN114137894A (zh) 一种基于vpn的plc远程诊断系统和技术
CN114416507A (zh) 通信行为监控方法、装置、计算机设备及存储介质
CN110855602B (zh) 物联网云平台事件识别方法及系统
Sand Incident handling, forensics sensors and information sources in industrial control systems
CN109412861A (zh) 一种终端网络建立安全关联展示方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant