CN111786986A - 一种数控系统网络入侵防范系统及方法 - Google Patents
一种数控系统网络入侵防范系统及方法 Download PDFInfo
- Publication number
- CN111786986A CN111786986A CN202010603652.XA CN202010603652A CN111786986A CN 111786986 A CN111786986 A CN 111786986A CN 202010603652 A CN202010603652 A CN 202010603652A CN 111786986 A CN111786986 A CN 111786986A
- Authority
- CN
- China
- Prior art keywords
- module
- alarm
- rule
- data packet
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络入侵防范技术领域,公开了一种数控系统网络入侵防范系统及方法,数控系统网络入侵防范系统包括:通过在被保护机器上运行工作程序,其中有四个模块分别为数据包捕获模块,预处理模块,检测模块和报警模块,四个模块配合工作,提供对异常流量和攻击性数据的防范功能;主机上运行服务器程序,包括前端页面,自定义安全规则模块,处理报警信息模块和监控工作程序状态模块,供系统管理员修改自定义安全规则并发布规则到工作程序以及修改报警行为。本发明结合了基于深度学习的异常流量检测技术和基于安全规则的匹配技术的优点,使得对于攻击性数据的检测更加完善,具有满足国防工业信息安全要求的网络安全功能。
Description
技术领域
本发明属于网络入侵防范技术领域,尤其涉及一种数控系统网络入侵防范 系统及方法。
背景技术
目前,网络入侵是网络中最普遍的攻击行为,对数据的安全造成隐患,由 于涉及到网络安全的各个层面,入侵防范存在一定困难。本课题拟通过加强管 理并采用必要的技术手段减少入侵和攻击行为,避免因入侵和攻击造成的各种 损失。网络入侵防范技术应具有实时收集流入目标网络内所有数据包的能力, 并对收集的数据包进行协议分析并发现其中的入侵行为,并能发现欺骗检测的 行为,同时,能够对入侵行为进行预先拦截,防止入侵行为进入目标网络,对 目标网络内的异常流量进行检测。
在智能数控机床出现之后,数控机床也具有了连接网络的能力,这使得远 程监控以及操控,网络内协调工作等等成为了可能。
由于计算机网络的开放性,互联性的特征,这是计算机网络易受黑客与恶 意软件和其他不法行为的攻击,如:窃取数据,使机床不能正常工作等等。
但目前并没有正式的数控网络整体安全架构和安全通信协议,也没有适用 于智能化数控系统的网络入侵防范技术。
智能化数控系统网络内的流量具有鲜明的特征,采用基于深度学习的流量 异常检测是非常有效的。网络异常流量检测技术多是基于深度学习算法的异常 检测技术,它们是一种动态的监测实体,是对于传统的网络防火墙静态技术的 补充。基于深度学习的异常检测方法主要有以下问题:(1)该类方法提取特征的 鲁棒性较差,当输入数据含有噪声时,其攻击检测性能变差;(2)当被测数据遭 到破坏时,该类方法检测准确率降低;(3)有些神经网络方法需先将网络流量转 换为图像,加大了数据处理负担,且未充分考虑网络结构信息对提取特征准确 性的影响。
有鉴于此,本发明提出了一种能够有效利用深度学习算法的优点,并在其 基础之上进一步提高检测的成功率和检测规则的可定制性的网络入侵防范技 术。
通过上述分析,现有技术存在的问题及缺陷为:
(1)目前并没有正式的数控网络整体安全架构和安全通信协议,也没有适 用于智能化数控系统的网络入侵防范技术。
(2)现有基于深度学习的异常检测方法提取特征的鲁棒性较差,当输入数 据含有噪声时,其攻击检测性能变差。
(3)现有基于深度学习的异常检测方法中,当被测数据遭到破坏时,该类 方法检测准确率降低。
(4)有些神经网络方法需先将网络流量转换为图像,加大了数据处理负担, 且未充分考虑网络结构信息对提取特征准确性的影响。
解决以上问题及缺陷的难度为:市面上主要的流量监测产品如Solera DeepSee、Narusn Systems等软件,既采用特征库又采用了行为偏差模型进行 监测。这些产品虽然在保障正确率的前提下提升了对未公开新型攻击行为监测 的能力,功能强大;但是由于行为偏差模型需要极高的计算复杂度和时间消耗, 价格过于昂贵,不能满足中小型企业低成本的需求。而且智能化数控设备的硬 件条件往往比较弱,且设备对于流量监测的时间消耗要求很高,不能允许较大 的时延,所以市面上主要的流量监测产品并不适用于智能数控机床网络
解决以上问题及缺陷的意义为:随着智能数控技术的发展,越来越多的智 能数控设备会连接入智能数控网络,然而现在市面上的网络入侵防范技术大多 都是针对PC或者服务器集群的,高精度的技术时间复杂度大,时间消耗多,而 基于深度学习的异常流量监测技术的准确性又不能得到保证。如果能提供一种 专门用于智能数控网络的方案,并且衡量了防范性能和时间代价,那么必然可 以在采用智能数控设备的大潮中占据一席之地。
发明内容
针对现有技术存在的问题,本发明提供了一种数控系统网络入侵防范系统 及方法。
本发明是这样实现的,一种数控系统网络入侵防范方法,所述数控系统网 络入侵防范方法包括以下步骤:
步骤一,局域网中所有被保护机器运行工作程序,工作程序数据包收集模 块首先收集本机接受到的所有数据包。
步骤二,在局域网内部选择一台机器作为主机,并运行服务器程序;所述 服务器程序负责监控被保护网络工作程序运行状态,持久化自定义规则,处理 报警信息并提供前端页面。
步骤三,将工作程序收集模块收集到的数据包输入至预处理模块,预处理 模块对收集的数据包通过深度学习算法利用流量异常检测技术进行数据包初步 过滤。
步骤四,将过滤之后的数据包输入至检测模块,通过检测模块根据预设的 自定义安全规则对过滤后的数据包进行检查,当与规则匹配时则通知报警模块。
步骤五,报警模块通知服务器主机,通过显示器来报警,或不通知服务器 主机直接丢弃数据包;所述报警模块可自定义报警方式,并记录报警日志。
步骤六,用户通过前端页面管理所述数控网络入侵防范系统,进行检测规 则的自定义以及报警功能的开关及设置。
进一步,步骤三中,所述对数据包进行初步过滤之前,还包括对数据包进 行深度的状态特征提取;所述状态特征包括ip地址,mac地址;对于tcp协议的 包,还包括源端口号字段和目的端口号字段;在智能数控机床网络中还包括两 两设备连接间的控制行为序列信息。
进一步,步骤三中,所述深度学习算法根据训练阶段采集的数据和工作环 境中采集的数据对未来数据进行预测,作为判断是否为异常流量的根据。
进一步,步骤四中,所述自定义安全规则包括对黑名单ip的排除,对非法 控制行为序列的排除。安全规则由系统管理员制定,由主机服务器程序发布至 各个被保护机器执行。每当安全规则有变更时,则发布新的安全规则到各被保 护机器。
本发明的另一目的在于提供一种应用所述数控系统网络入侵防范方法的数 控系统网络入侵防范系统,所述数控系统网络入侵防范系统包括:工作程序、 服务器程序;被保护机器只运行工作程序,主机运行服务器程序。
进一步,所述工作程序包括数据包捕获模块、预处理模块、检测模块和报 警模块;每一个模块的工作依赖上一个模块的工作成果,但每个模块的任务重 合度小。
数据包捕获模块,输出所有被保护机器上接收到的数据包;
预处理模块,输入为所有数据包,输出为经深度学习算法检测为可能危害 网络安全,为攻击性数据的数据包;
检测模块输入,为可能危害网络安全,为攻击性数据的数据包,输出为安 全规则的鉴定结果;
报警模块,输入为安全规则鉴定结果,如果结果是没有危害,则没有输出, 如果确实有不符合安全规则的数据包,则向主机报警,并按照已经定义的规则 对数据包进行处理。
进一步,所述服务器程序包括自定义安全规则模块、监控工作程序状态模 块和处理报警信息模块;三个模块无明确的依赖关系。
自定义安全规则模块,供系统管理员使用,每当系统管理员修改了安全规 则集合则向所有的被保护机器发布最新的规则集合;
监控工作程序状态模块,负责接受工作程序发来的工作程序运行状态的信 息;
处理报警模块,供系统管理员使用,每当管理员更改对不符合安全规则的 数据包的处理方式时,向所有被保护机器发布新的处理方式,同时此模块还承 担打印报警日志的功能。
本发明的另一目的在于提供一种计算机设备,所述计算机设备包括存储器 和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行 时,使得所述处理器执行如下步骤:
局域网中所有被保护机器运行工作程序,工作程序数据包收集模块首先收 集本机接受到的所有数据包;
在局域网内部选择一台机器作为主机,并运行服务器程序;所述服务器程 序负责监控被保护网络工作程序运行状态,持久化自定义规则,处理报警信息 并提供前端页面;
将工作程序收集模块收集到的数据包输入至预处理模块,预处理模块对收 集的数据包通过深度学习算法利用流量异常检测技术进行数据包初步过滤;
将过滤之后的数据包输入至检测模块,通过检测模块根据预设的自定义安 全规则对过滤后的数据包进行检查,当与规则匹配时则通知报警模块;
报警模块通知服务器主机,通过显示器来报警,或不通知服务器主机直接 丢弃数据包;所述报警模块可自定义报警方式,并记录报警日志;
用户通过前端页面管理所述数控网络入侵防范系统,进行检测规则的自定 义以及报警功能的开关及设置。
本发明的另一目的在于提供一种计算机可读存储介质,储存有指令,当所 述指令在计算机上运行时,使得计算机执行所述的数控系统网络入侵防范方法。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:本发明提 供了一种可行的应用在智能数控网络上的网络入侵防范方法,结合了基于深度 学习的异常流量检测技术和基于安全规则的匹配技术的优点,使得对于攻击性 数据的检测更加完善,在智能化机床大规模使用的趋势下具有满足国防工业信 息安全要求的网络安全功能。
本发明提供的数控系统网络入侵防范方法把工作合理分配到网络内的被保 护机器和服务器主机上,防止运行服务器程序的主机成为整个系统的性能瓶颈, 也给管理员提供了一个管理的接口,使得管理员能够更方便的管理整个系统。
下面是本发明和开源的网络入侵检测系统snort的技术要点和技术效果对比
本技术方案 | 开源软件snort | |
基于深度学习的预处理 | 有 | 无 |
基于规则的匹配技术 | 有 | 有 |
架构形式 | 分布式 | 单体 |
管理接口 | 有 | 无 |
前端页面 | 有 | 有 |
报警响应方式 | 可自定义 | 有限的选择 |
可以看出,本技术方案和开源软件snort一样支持基于安全规则的异常流量 监测,同时更针对智能数控网络做了优化。智能数控设备的架构是分布式的, 然而并不是完全没有中心的架构,本方案保留了一个中心节点作为管理员的管 理接口,更符合智能数控网络的需要。
在此基础之上,我们又增加了一个基于深度学习的预处理过程,降低了安 全规则模块的负载,可以提前以较低的代价过滤一些危险数据包,比较适合智 能数控设备普遍性能较低的特点。
整个系统也是模块化的,无论是安全规则模块还是预处理模块都可以动态 的插拔。在报警处理方面本方案也有一些
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所 需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本申请 的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下 还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的数控系统网络入侵防范方法流程图。
图2是本发明实施例提供的数控系统网络入侵防范方法原理图。
图3是本发明实施例提供的数控系统网络入侵防范系统结构框图;
图中:1、工作程序:数据包捕获模块1-1、预处理模块1-2、检测模块1-3 和报警模块1-4;2、服务器程序:自定义安全规则模块2-1、监控工作程序状态 模块2-2和处理报警信息模块2-3。
图4是本发明实施例提供的数控系统网络入侵防范系统工作程序和服务器 程序的工作流程图。
图5是本发明实施例提供的数控系统网络入侵防范系统工作程序各个功能 模块的连接框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例, 对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以 解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种数控系统网络入侵防范系统 及方法,下面结合附图对本发明作详细的描述。
如图1所示,本发明实施例提供的数控系统网络入侵防范方法包括以下步 骤:
S101,局域网中所有被保护机器运行工作程序,工作程序数据包收集模块 首先收集本机接受到的所有数据包。
S102,在局域网内部选择一台机器作为主机,并运行服务器程序;所述服 务器程序负责监控被保护网络工作程序运行状态,持久化自定义规则,处理报 警信息并提供前端页面。
S103,将工作程序收集模块收集到的数据包输入至预处理模块,预处理模 块对收集的数据包通过深度学习算法利用流量异常检测技术进行数据包初步过 滤。
S104,将过滤之后的数据包输入至检测模块,通过检测模块根据预设的自 定义安全规则对过滤后的数据包进行检查,当与规则匹配时则通知报警模块。
S105,报警模块通知服务器主机,通过显示器来报警,或不通知服务器主 机直接丢弃数据包;所述报警模块可自定义报警方式,并记录报警日志。
S106,用户通过前端页面管理所述数控网络入侵防范系统,进行检测规则 的自定义以及报警功能的开关及设置。
如图3所示,本发明实施例提供的数控系统网络入侵防范系统包括:工作 程序1、服务器程序2;被保护机器只运行工作程序,主机运行服务器程序。
本发明实施例提供的所述工作程序1包括数据包捕获模块1-1、预处理模块 1-2、检测模块1-3和报警模块1-4;每一个模块的工作依赖上一个模块的工作成 果,但每个模块的任务重合度小。
数据包捕获模块1-1,输出所有被保护机器上接收到的数据包;
预处理模块1-2,输入为所有数据包,输出为经深度学习算法检测为可能危 害网络安全,为攻击性数据的数据包;
检测模块1-3,输入为可能危害网络安全,为攻击性数据的数据包,输出为 安全规则的鉴定结果;
报警模块1-4,输入为安全规则鉴定结果,如果结果是没有危害,则没有输 出,如果确实有不符合安全规则的数据包,则向主机报警,并按照已经定义的 规则对数据包进行处理。
本发明实施例提供的所述服务器程序2包括自定义安全规则模块2-1、监控 工作程序状态模块2-2和处理报警信息模块2-3;三个模块无明确的依赖关系。
自定义安全规则模块2-1,供系统管理员使用,每当系统管理员修改了安全 规则集合则向所有的被保护机器发布最新的规则集合;
监控工作程序状态模块2-2,负责接受工作程序发来的工作程序运行状态的 信息;
处理报警模块2-3,供系统管理员使用,每当管理员更改对不符合安全规则 的数据包的处理方式时,向所有被保护机器发布新的处理方式,同时此模块还 承担打印报警日志的功能。
下面结合实施例对本发明作进一步描述。
本发明实施例提供的数控系统网络入侵防范方法主要包含以下步骤:
(1)局域网中所有被保护机器运行工作程序,工作程序数据包收集模块首 先收集本机接受到的所有数据包。
(2)在局域网内部选择一台机器作为主机,运行服务器程序,主要负责监 控被保护网络工作程序运行状态,持久化自定义规则,处理报警信息已及提供 前端页面方便用户管理整个系统。
(3)工作程序收集模块收集到的数据包进入预处理模块,对收集的数据包 采用某种深度学习算法实现的流量异常检测技术进行初步的数据包过滤。
(4)过滤之后的数据包进入检测模块,对经过过滤之后的数据包根据预先 设置好的规则进行检查,一旦与某条规则匹配则通知报警模块。
(5)报警模块通知服务器主机,以此警告网络管理人员,可以自定义报警 方式,比如邮件报警,记录报警日志,通过某种显示器来报警,或者不通知服 务器主机直接丢弃数据包。
(6)用户通过前端页面和管理整个数控网络入侵防范系统,实现检测规则 的自定义以及报警功能的开关,设置等等。
本发明实施例提供的数控系统网络入侵防范系统工作程序和服务器程序的 工作流程图如图4所示。
在具体实施方式中,步骤(1)中,如图5所示,被保护机器只运行工作程 序,工作程序分为四个模块:数据包捕获模块,预处理模块,检测模块和报警 模块。每一个模块的工作依赖上一个模块的工作成果,但每个模块的任务重合 度小。数据包捕获模块输出所有被保护机器上接收到的数据包;预处理模块的 输入为所有数据包,输出为经深度学习算法检测为可能危害网络安全,为攻击 性数据的数据包;检测模块输入为可能危害网络安全,为攻击性数据的数据包, 输出为安全规则的鉴定结果;报警模块输入为安全规则鉴定结果,如果结果是 没有危害,则没有输出,如果确实有不符合安全规则的数据包,则向主机报警,并按照已经定义的规则对数据包进行处理。报警模块还承担向主机汇报工作程 序工作状态的任务,每隔固定时间(如3s),像主机汇报工作程序运行状态的信 息。如果没有回报,则主机可确定工作程序可能已经停止。
在具体实施方式中,步骤(2)中,所选择的主机可以是智能化机床,也可 以是个人电脑或者高性能服务器。但应当具有以下特点:1.具有基本的输入输出 设备,比如键盘和屏幕,方便系统管理员使用。2.具有磁盘等持久化存储设备, 可以持久化自定义的安全规则。
如图2所示,主机运行服务器程序,服务器程序有三个模块,分别为自定义 安全规则模块,监控工作程序状态模块,处理报警信息模块。三个模块无明确 的依赖关系。自定义安全规则模块供系统管理员使用,每当系统管理员修改了 安全规则集合则向所有的被保护机器发布最新的规则集合;监控工作程序状态 模块负责接受工作程序发来的工作程序运行状态的信息;处理报警模块供系统 管理员使用,每当管理员更改对不符合安全规则的数据包的处理方式时,向所 有被保护机器发布新的处理方式,同时此模块还承担打印报警日志的功能。
在具体实施方式中,步骤(3)中,在过滤之前应当对包进行深度的状态特 征提取。提取的特征包括但不限于:ip地址,mac地址;对于tcp协议的包,还有 源端口号字段和目的端口号字段在智能数控机床网络中还有两两设备连接间的 控制行为序列信息。所述某种深度学习算法具有以下特点:1.应当可以根据训练 阶段采集的数据和工作环境中采集的数据对未来的数据进行有效的预测,以此 作为判断是否为异常流量的根据。2.在实际的生产环境中,异常流量随对应的异 常行为序列等特征数据获取不方便,不能因为样本少就降低了行为预测的准确 率。可采用的方法包括但不限于循环神经网络中的长短期记忆网络,对多个网 络特性的特征识别算法,单类支持向量机等。
在具体实施方式中,步骤(4)中,自定义的安全规则包括对黑名单ip的排 除,对非法控制行为序列的排除等等自定义内容。安全规则由系统管理员制定, 由主机服务器程序发布至各个被保护机器执行。每当安全规则有变更时,则发 布新的安全规则到各被保护机器。
以上实施方式中,管理员主要通过前端页面对整个系统进行管理用户的操 作进行管理,这样不仅方便了管理员使用,更防止管理员随便操作破坏系统的 整体运行。管理员的工作主要有:1.定义自定义安全规则2.定义接受报警之 后的处置行为3.工作程序暂停运行之后的结果处理。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组 合来实现。当使用全部或部分地以计算机程序产品的形式实现,所述计算机程 序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指 令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可 以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算 机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向 另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、 计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL)或 无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据 中心进行传输)。所述计算机可读取存储介质可以是计算机能够存取的任何可用 介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。 所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、 或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于 此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明 的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的 保护范围之内。
Claims (9)
1.一种数控系统网络入侵防范方法,其特征在于,所述数控系统网络入侵防范方法包括:
局域网中所有被保护机器运行工作程序,工作程序数据包收集模块首先收集本机接受到的所有数据包;
在局域网内部选择一台机器作为主机,并运行服务器程序;所述服务器程序负责监控被保护网络工作程序运行状态,持久化自定义规则,处理报警信息并提供前端页面;
将工作程序收集模块收集到的数据包输入至预处理模块,预处理模块对收集的数据包通过深度学习算法利用流量异常检测技术进行数据包初步过滤;
将过滤之后的数据包输入至检测模块,通过检测模块根据预设的自定义安全规则对过滤后的数据包进行检查,当与规则匹配时则通知报警模块;
报警模块通知服务器主机,通过显示器来报警,或不通知服务器主机直接丢弃数据包;所述报警模块可自定义报警方式,并记录报警日志;
用户通过前端页面管理所述数控网络入侵防范系统,进行检测规则的自定义以及报警功能的开关及设置。
2.如权利要求1所述的数控系统网络入侵防范方法,其特征在于,所述对数据包进行初步过滤之前,还包括对数据包进行深度的状态特征提取;所述状态特征包括ip地址,mac地址;对于tcp协议的包,还包括源端口号字段和目的端口号字段;在智能数控机床网络中还包括两两设备连接间的控制行为序列信息。
3.如权利要求1所述的数控系统网络入侵防范方法,其特征在于,所述深度学习算法根据训练阶段采集的数据和工作环境中采集的数据对未来数据进行预测,作为判断是否为异常流量的根据。
4.如权利要求1所述的数控系统网络入侵防范方法,其特征在于,所述自定义安全规则包括对黑名单ip的排除,对非法控制行为序列的排除;安全规则由系统管理员制定,由主机服务器程序发布至各个被保护机器执行;每当安全规则有变更时,则发布新的安全规则到各被保护机器。
5.一种应用如权利要求1~4任意一项所述的数控系统网络入侵防范方法的数控系统网络入侵防范系统,其特征在于,所述数控系统网络入侵防范系统包括:工作程序、服务器程序;被保护机器只运行工作程序,主机运行服务器程序。
6.如权利要求5所述的数控系统网络入侵防范系统,其特征在于,所述工作程序包括数据包捕获模块、预处理模块、检测模块和报警模块;每一个模块的工作依赖上一个模块的工作成果,但每个模块的任务重合度小;
数据包捕获模块,输出所有被保护机器上接收到的数据包;
预处理模块,输入为所有数据包,输出为经深度学习算法检测为可能危害网络安全,为攻击性数据的数据包;
检测模块输入,为可能危害网络安全,为攻击性数据的数据包,输出为安全规则的鉴定结果;
报警模块,输入为安全规则鉴定结果,如果结果是没有危害,则没有输出,如果确实有不符合安全规则的数据包,则向主机报警,并按照已经定义的规则对数据包进行处理。
7.如权利要求5所述的数控系统网络入侵防范系统,其特征在于,所述服务器程序包括自定义安全规则模块、监控工作程序状态模块和处理报警信息模块;三个模块无明确的依赖关系;
自定义安全规则模块,供系统管理员使用,每当系统管理员修改了安全规则集合则向所有的被保护机器发布最新的规则集合;
监控工作程序状态模块,负责接受工作程序发来的工作程序运行状态的信息;
处理报警模块,供系统管理员使用,每当管理员更改对不符合安全规则的数据包的处理方式时,向所有被保护机器发布新的处理方式,同时此模块还承担打印报警日志的功能。
8.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如下步骤:
局域网中所有被保护机器运行工作程序,工作程序数据包收集模块首先收集本机接受到的所有数据包;
在局域网内部选择一台机器作为主机,并运行服务器程序;所述服务器程序负责监控被保护网络工作程序运行状态,持久化自定义规则,处理报警信息并提供前端页面;
将工作程序收集模块收集到的数据包输入至预处理模块,预处理模块对收集的数据包通过深度学习算法利用流量异常检测技术进行数据包初步过滤;
将过滤之后的数据包输入至检测模块,通过检测模块根据预设的自定义安全规则对过滤后的数据包进行检查,当与规则匹配时则通知报警模块;
报警模块通知服务器主机,通过显示器来报警,或不通知服务器主机直接丢弃数据包;所述报警模块可自定义报警方式,并记录报警日志;
用户通过前端页面管理所述数控网络入侵防范系统,进行检测规则的自定义以及报警功能的开关及设置。
9.一种计算机可读存储介质,储存有指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1~4任意一项所述的数控系统网络入侵防范方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010603652.XA CN111786986B (zh) | 2020-06-29 | 2020-06-29 | 一种数控系统网络入侵防范系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010603652.XA CN111786986B (zh) | 2020-06-29 | 2020-06-29 | 一种数控系统网络入侵防范系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111786986A true CN111786986A (zh) | 2020-10-16 |
CN111786986B CN111786986B (zh) | 2021-08-27 |
Family
ID=72760084
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010603652.XA Active CN111786986B (zh) | 2020-06-29 | 2020-06-29 | 一种数控系统网络入侵防范系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111786986B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112769840A (zh) * | 2021-01-15 | 2021-05-07 | 杭州安恒信息技术股份有限公司 | 一种基于强化学习Dyna框架的网络攻击行为识别方法 |
CN113472809A (zh) * | 2021-07-19 | 2021-10-01 | 华中科技大学 | 一种加密恶意流量检测方法、检测系统及计算机设备 |
CN114866496A (zh) * | 2022-03-30 | 2022-08-05 | 清华大学 | 一种智能网络协作装置及方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106888205A (zh) * | 2017-01-04 | 2017-06-23 | 浙江大学 | 一种非侵入式基于功耗分析的plc异常检测方法 |
CN107370732A (zh) * | 2017-07-14 | 2017-11-21 | 成都信息工程大学 | 基于神经网络和最优推荐的工控系统异常行为发现系统 |
CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
CN108200030A (zh) * | 2017-12-27 | 2018-06-22 | 深信服科技股份有限公司 | 恶意流量的检测方法、系统、装置及计算机可读存储介质 |
CN108965340A (zh) * | 2018-09-25 | 2018-12-07 | 网御安全技术(深圳)有限公司 | 一种工业控制系统入侵检测方法及系统 |
CN109922038A (zh) * | 2018-12-29 | 2019-06-21 | 中国电力科学研究院有限公司 | 一种用于电力终端的异常数据的检测方法及装置 |
KR102001813B1 (ko) * | 2018-12-10 | 2019-07-18 | 한국남동발전 주식회사 | Dnn 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 장치 및 방법 |
CN110809873A (zh) * | 2017-07-06 | 2020-02-18 | 西门子股份公司 | 检测工业系统中的未定义的动作 |
CN111147504A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
-
2020
- 2020-06-29 CN CN202010603652.XA patent/CN111786986B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106888205A (zh) * | 2017-01-04 | 2017-06-23 | 浙江大学 | 一种非侵入式基于功耗分析的plc异常检测方法 |
CN110809873A (zh) * | 2017-07-06 | 2020-02-18 | 西门子股份公司 | 检测工业系统中的未定义的动作 |
CN107370732A (zh) * | 2017-07-14 | 2017-11-21 | 成都信息工程大学 | 基于神经网络和最优推荐的工控系统异常行为发现系统 |
CN108200030A (zh) * | 2017-12-27 | 2018-06-22 | 深信服科技股份有限公司 | 恶意流量的检测方法、系统、装置及计算机可读存储介质 |
CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
CN108965340A (zh) * | 2018-09-25 | 2018-12-07 | 网御安全技术(深圳)有限公司 | 一种工业控制系统入侵检测方法及系统 |
KR102001813B1 (ko) * | 2018-12-10 | 2019-07-18 | 한국남동발전 주식회사 | Dnn 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 장치 및 방법 |
CN109922038A (zh) * | 2018-12-29 | 2019-06-21 | 中国电力科学研究院有限公司 | 一种用于电力终端的异常数据的检测方法及装置 |
CN111147504A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
Non-Patent Citations (2)
Title |
---|
冯凯: "工业控制网络入侵检测系统的设计与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
刘灿成: "工业控制系统入侵检测技术研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112769840A (zh) * | 2021-01-15 | 2021-05-07 | 杭州安恒信息技术股份有限公司 | 一种基于强化学习Dyna框架的网络攻击行为识别方法 |
CN113472809A (zh) * | 2021-07-19 | 2021-10-01 | 华中科技大学 | 一种加密恶意流量检测方法、检测系统及计算机设备 |
CN113472809B (zh) * | 2021-07-19 | 2022-06-07 | 华中科技大学 | 一种加密恶意流量检测方法、检测系统及计算机设备 |
CN114866496A (zh) * | 2022-03-30 | 2022-08-05 | 清华大学 | 一种智能网络协作装置及方法 |
CN114866496B (zh) * | 2022-03-30 | 2023-06-20 | 清华大学 | 一种智能网络协作装置及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111786986B (zh) | 2021-08-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111786986B (zh) | 一种数控系统网络入侵防范系统及方法 | |
CN109962891B (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
Wang et al. | An exhaustive research on the application of intrusion detection technology in computer network security in sensor networks | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
CN108931968B (zh) | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 | |
CN111163115A (zh) | 一种基于双引擎的物联网安全监测方法及系统 | |
CN107579986B (zh) | 一种复杂网络中网络安全检测的方法 | |
CN111327601B (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
WO2013192477A1 (en) | Cyber security monitoring system and method for data center components | |
CN106101130A (zh) | 一种网络恶意数据检测方法、装置及系统 | |
CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
CN105378745A (zh) | 基于安全问题禁用和启用节点 | |
CN113596028A (zh) | 一种网络异常行为的处置方法及装置 | |
CN114826880A (zh) | 一种数据安全运行在线监测的方法及系统 | |
CN107493258A (zh) | 一种基于网络安全的入侵检测系统 | |
CN113746832B (zh) | 多方法混合的分布式apt恶意流量检测防御系统及方法 | |
CN112596984A (zh) | 业务弱隔离环境下的数据安全态势感知系统 | |
CN111049853A (zh) | 一种基于计算机网络的安全认证系统 | |
Chai et al. | Research of intelligent intrusion detection system based on web data mining technology | |
CN106878338B (zh) | 远动设备网关防火墙一体机系统 | |
CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 | |
CN112839029B (zh) | 一种僵尸网络活跃度的分析方法与系统 | |
Jakhale | Design of anomaly packet detection framework by data mining algorithm for network flow | |
CN112417434A (zh) | 一种结合ueba机制的程序白名单防护方法 | |
CN112769847A (zh) | 物联网设备的安全防护方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |