CN111786986A

CN111786986A - 一种数控系统网络入侵防范系统及方法

Info

Publication number: CN111786986A
Application number: CN202010603652.XA
Authority: CN
Inventors: 汤学明; 陈宇凡; 路松峰; 崔永泉; 骆婷
Original assignee: Huazhong University of Science and Technology
Current assignee: Huazhong University of Science and Technology
Priority date: 2020-06-29
Filing date: 2020-06-29
Publication date: 2020-10-16
Anticipated expiration: 2040-06-29
Also published as: CN111786986B

Abstract

本发明属于网络入侵防范技术领域，公开了一种数控系统网络入侵防范系统及方法，数控系统网络入侵防范系统包括：通过在被保护机器上运行工作程序，其中有四个模块分别为数据包捕获模块，预处理模块，检测模块和报警模块，四个模块配合工作，提供对异常流量和攻击性数据的防范功能；主机上运行服务器程序，包括前端页面，自定义安全规则模块，处理报警信息模块和监控工作程序状态模块，供系统管理员修改自定义安全规则并发布规则到工作程序以及修改报警行为。本发明结合了基于深度学习的异常流量检测技术和基于安全规则的匹配技术的优点，使得对于攻击性数据的检测更加完善，具有满足国防工业信息安全要求的网络安全功能。

Description

一种数控系统网络入侵防范系统及方法

技术领域

本发明属于网络入侵防范技术领域，尤其涉及一种数控系统网络入侵防范系统及方法。

背景技术

目前，网络入侵是网络中最普遍的攻击行为，对数据的安全造成隐患，由于涉及到网络安全的各个层面，入侵防范存在一定困难。本课题拟通过加强管理并采用必要的技术手段减少入侵和攻击行为，避免因入侵和攻击造成的各种损失。网络入侵防范技术应具有实时收集流入目标网络内所有数据包的能力，并对收集的数据包进行协议分析并发现其中的入侵行为，并能发现欺骗检测的行为，同时，能够对入侵行为进行预先拦截，防止入侵行为进入目标网络，对目标网络内的异常流量进行检测。

在智能数控机床出现之后，数控机床也具有了连接网络的能力，这使得远程监控以及操控，网络内协调工作等等成为了可能。

由于计算机网络的开放性，互联性的特征，这是计算机网络易受黑客与恶意软件和其他不法行为的攻击，如：窃取数据，使机床不能正常工作等等。

但目前并没有正式的数控网络整体安全架构和安全通信协议，也没有适用于智能化数控系统的网络入侵防范技术。

智能化数控系统网络内的流量具有鲜明的特征，采用基于深度学习的流量异常检测是非常有效的。网络异常流量检测技术多是基于深度学习算法的异常检测技术，它们是一种动态的监测实体，是对于传统的网络防火墙静态技术的补充。基于深度学习的异常检测方法主要有以下问题：(1)该类方法提取特征的鲁棒性较差，当输入数据含有噪声时，其攻击检测性能变差；(2)当被测数据遭到破坏时，该类方法检测准确率降低；(3)有些神经网络方法需先将网络流量转换为图像，加大了数据处理负担，且未充分考虑网络结构信息对提取特征准确性的影响。

有鉴于此，本发明提出了一种能够有效利用深度学习算法的优点，并在其基础之上进一步提高检测的成功率和检测规则的可定制性的网络入侵防范技术。

通过上述分析，现有技术存在的问题及缺陷为：

(1)目前并没有正式的数控网络整体安全架构和安全通信协议，也没有适用于智能化数控系统的网络入侵防范技术。

(2)现有基于深度学习的异常检测方法提取特征的鲁棒性较差，当输入数据含有噪声时，其攻击检测性能变差。

(3)现有基于深度学习的异常检测方法中，当被测数据遭到破坏时，该类方法检测准确率降低。

(4)有些神经网络方法需先将网络流量转换为图像，加大了数据处理负担，且未充分考虑网络结构信息对提取特征准确性的影响。

解决以上问题及缺陷的难度为：市面上主要的流量监测产品如Solera DeepSee、Narusn Systems等软件，既采用特征库又采用了行为偏差模型进行监测。这些产品虽然在保障正确率的前提下提升了对未公开新型攻击行为监测的能力，功能强大；但是由于行为偏差模型需要极高的计算复杂度和时间消耗，价格过于昂贵，不能满足中小型企业低成本的需求。而且智能化数控设备的硬件条件往往比较弱，且设备对于流量监测的时间消耗要求很高，不能允许较大的时延，所以市面上主要的流量监测产品并不适用于智能数控机床网络

解决以上问题及缺陷的意义为：随着智能数控技术的发展，越来越多的智能数控设备会连接入智能数控网络，然而现在市面上的网络入侵防范技术大多都是针对PC或者服务器集群的，高精度的技术时间复杂度大，时间消耗多，而基于深度学习的异常流量监测技术的准确性又不能得到保证。如果能提供一种专门用于智能数控网络的方案，并且衡量了防范性能和时间代价，那么必然可以在采用智能数控设备的大潮中占据一席之地。

发明内容

针对现有技术存在的问题，本发明提供了一种数控系统网络入侵防范系统及方法。

本发明是这样实现的，一种数控系统网络入侵防范方法，所述数控系统网络入侵防范方法包括以下步骤：

步骤一，局域网中所有被保护机器运行工作程序，工作程序数据包收集模块首先收集本机接受到的所有数据包。

步骤二，在局域网内部选择一台机器作为主机，并运行服务器程序；所述服务器程序负责监控被保护网络工作程序运行状态，持久化自定义规则，处理报警信息并提供前端页面。

步骤三，将工作程序收集模块收集到的数据包输入至预处理模块，预处理模块对收集的数据包通过深度学习算法利用流量异常检测技术进行数据包初步过滤。

步骤四，将过滤之后的数据包输入至检测模块，通过检测模块根据预设的自定义安全规则对过滤后的数据包进行检查，当与规则匹配时则通知报警模块。

步骤五，报警模块通知服务器主机，通过显示器来报警，或不通知服务器主机直接丢弃数据包；所述报警模块可自定义报警方式，并记录报警日志。

步骤六，用户通过前端页面管理所述数控网络入侵防范系统，进行检测规则的自定义以及报警功能的开关及设置。

进一步，步骤三中，所述对数据包进行初步过滤之前，还包括对数据包进行深度的状态特征提取；所述状态特征包括ip地址，mac地址；对于tcp协议的包，还包括源端口号字段和目的端口号字段；在智能数控机床网络中还包括两两设备连接间的控制行为序列信息。

进一步，步骤三中，所述深度学习算法根据训练阶段采集的数据和工作环境中采集的数据对未来数据进行预测，作为判断是否为异常流量的根据。

进一步，步骤四中，所述自定义安全规则包括对黑名单ip的排除，对非法控制行为序列的排除。安全规则由系统管理员制定，由主机服务器程序发布至各个被保护机器执行。每当安全规则有变更时，则发布新的安全规则到各被保护机器。

本发明的另一目的在于提供一种应用所述数控系统网络入侵防范方法的数控系统网络入侵防范系统，所述数控系统网络入侵防范系统包括：工作程序、服务器程序；被保护机器只运行工作程序，主机运行服务器程序。

进一步，所述工作程序包括数据包捕获模块、预处理模块、检测模块和报警模块；每一个模块的工作依赖上一个模块的工作成果，但每个模块的任务重合度小。

数据包捕获模块，输出所有被保护机器上接收到的数据包；

预处理模块，输入为所有数据包，输出为经深度学习算法检测为可能危害网络安全，为攻击性数据的数据包；

检测模块输入，为可能危害网络安全，为攻击性数据的数据包，输出为安全规则的鉴定结果；

报警模块，输入为安全规则鉴定结果，如果结果是没有危害，则没有输出，如果确实有不符合安全规则的数据包，则向主机报警，并按照已经定义的规则对数据包进行处理。

进一步，所述服务器程序包括自定义安全规则模块、监控工作程序状态模块和处理报警信息模块；三个模块无明确的依赖关系。

自定义安全规则模块，供系统管理员使用，每当系统管理员修改了安全规则集合则向所有的被保护机器发布最新的规则集合；

监控工作程序状态模块，负责接受工作程序发来的工作程序运行状态的信息；

处理报警模块，供系统管理员使用，每当管理员更改对不符合安全规则的数据包的处理方式时，向所有被保护机器发布新的处理方式，同时此模块还承担打印报警日志的功能。

本发明的另一目的在于提供一种计算机设备，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行如下步骤：

局域网中所有被保护机器运行工作程序，工作程序数据包收集模块首先收集本机接受到的所有数据包；

在局域网内部选择一台机器作为主机，并运行服务器程序；所述服务器程序负责监控被保护网络工作程序运行状态，持久化自定义规则，处理报警信息并提供前端页面；

将工作程序收集模块收集到的数据包输入至预处理模块，预处理模块对收集的数据包通过深度学习算法利用流量异常检测技术进行数据包初步过滤；

将过滤之后的数据包输入至检测模块，通过检测模块根据预设的自定义安全规则对过滤后的数据包进行检查，当与规则匹配时则通知报警模块；

报警模块通知服务器主机，通过显示器来报警，或不通知服务器主机直接丢弃数据包；所述报警模块可自定义报警方式，并记录报警日志；

用户通过前端页面管理所述数控网络入侵防范系统，进行检测规则的自定义以及报警功能的开关及设置。

本发明的另一目的在于提供一种计算机可读存储介质，储存有指令，当所述指令在计算机上运行时，使得计算机执行所述的数控系统网络入侵防范方法。

结合上述的所有技术方案，本发明所具备的优点及积极效果为：本发明提供了一种可行的应用在智能数控网络上的网络入侵防范方法，结合了基于深度学习的异常流量检测技术和基于安全规则的匹配技术的优点，使得对于攻击性数据的检测更加完善，在智能化机床大规模使用的趋势下具有满足国防工业信息安全要求的网络安全功能。

本发明提供的数控系统网络入侵防范方法把工作合理分配到网络内的被保护机器和服务器主机上，防止运行服务器程序的主机成为整个系统的性能瓶颈，也给管理员提供了一个管理的接口，使得管理员能够更方便的管理整个系统。

下面是本发明和开源的网络入侵检测系统snort的技术要点和技术效果对比

	本技术方案	开源软件snort
			基于深度学习的预处理	有	无
基于规则的匹配技术	有	有
			架构形式	分布式	单体
管理接口	有	无
			前端页面	有	有
报警响应方式	可自定义	有限的选择

可以看出，本技术方案和开源软件snort一样支持基于安全规则的异常流量监测，同时更针对智能数控网络做了优化。智能数控设备的架构是分布式的，然而并不是完全没有中心的架构，本方案保留了一个中心节点作为管理员的管理接口，更符合智能数控网络的需要。

在此基础之上，我们又增加了一个基于深度学习的预处理过程，降低了安全规则模块的负载，可以提前以较低的代价过滤一些危险数据包，比较适合智能数控设备普遍性能较低的特点。

整个系统也是模块化的，无论是安全规则模块还是预处理模块都可以动态的插拔。在报警处理方面本方案也有一些

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图做简单的介绍，显而易见地，下面所描述的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的数控系统网络入侵防范方法流程图。

图2是本发明实施例提供的数控系统网络入侵防范方法原理图。

图3是本发明实施例提供的数控系统网络入侵防范系统结构框图；

图中：1、工作程序：数据包捕获模块1-1、预处理模块1-2、检测模块1-3 和报警模块1-4；2、服务器程序：自定义安全规则模块2-1、监控工作程序状态模块2-2和处理报警信息模块2-3。

图4是本发明实施例提供的数控系统网络入侵防范系统工作程序和服务器程序的工作流程图。

图5是本发明实施例提供的数控系统网络入侵防范系统工作程序各个功能模块的连接框图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

针对现有技术存在的问题，本发明提供了一种数控系统网络入侵防范系统及方法，下面结合附图对本发明作详细的描述。

如图1所示，本发明实施例提供的数控系统网络入侵防范方法包括以下步骤：

S101，局域网中所有被保护机器运行工作程序，工作程序数据包收集模块首先收集本机接受到的所有数据包。

S102，在局域网内部选择一台机器作为主机，并运行服务器程序；所述服务器程序负责监控被保护网络工作程序运行状态，持久化自定义规则，处理报警信息并提供前端页面。

S103，将工作程序收集模块收集到的数据包输入至预处理模块，预处理模块对收集的数据包通过深度学习算法利用流量异常检测技术进行数据包初步过滤。

S104，将过滤之后的数据包输入至检测模块，通过检测模块根据预设的自定义安全规则对过滤后的数据包进行检查，当与规则匹配时则通知报警模块。

S105，报警模块通知服务器主机，通过显示器来报警，或不通知服务器主机直接丢弃数据包；所述报警模块可自定义报警方式，并记录报警日志。

S106，用户通过前端页面管理所述数控网络入侵防范系统，进行检测规则的自定义以及报警功能的开关及设置。

如图3所示，本发明实施例提供的数控系统网络入侵防范系统包括：工作程序1、服务器程序2；被保护机器只运行工作程序，主机运行服务器程序。

本发明实施例提供的所述工作程序1包括数据包捕获模块1-1、预处理模块 1-2、检测模块1-3和报警模块1-4；每一个模块的工作依赖上一个模块的工作成果，但每个模块的任务重合度小。

数据包捕获模块1-1，输出所有被保护机器上接收到的数据包；

预处理模块1-2，输入为所有数据包，输出为经深度学习算法检测为可能危害网络安全，为攻击性数据的数据包；

检测模块1-3，输入为可能危害网络安全，为攻击性数据的数据包，输出为安全规则的鉴定结果；

报警模块1-4，输入为安全规则鉴定结果，如果结果是没有危害，则没有输出，如果确实有不符合安全规则的数据包，则向主机报警，并按照已经定义的规则对数据包进行处理。

本发明实施例提供的所述服务器程序2包括自定义安全规则模块2-1、监控工作程序状态模块2-2和处理报警信息模块2-3；三个模块无明确的依赖关系。

自定义安全规则模块2-1，供系统管理员使用，每当系统管理员修改了安全规则集合则向所有的被保护机器发布最新的规则集合；

监控工作程序状态模块2-2，负责接受工作程序发来的工作程序运行状态的信息；

处理报警模块2-3，供系统管理员使用，每当管理员更改对不符合安全规则的数据包的处理方式时，向所有被保护机器发布新的处理方式，同时此模块还承担打印报警日志的功能。

下面结合实施例对本发明作进一步描述。

本发明实施例提供的数控系统网络入侵防范方法主要包含以下步骤：

(1)局域网中所有被保护机器运行工作程序，工作程序数据包收集模块首先收集本机接受到的所有数据包。

(2)在局域网内部选择一台机器作为主机，运行服务器程序，主要负责监控被保护网络工作程序运行状态，持久化自定义规则，处理报警信息已及提供前端页面方便用户管理整个系统。

(3)工作程序收集模块收集到的数据包进入预处理模块，对收集的数据包采用某种深度学习算法实现的流量异常检测技术进行初步的数据包过滤。

(4)过滤之后的数据包进入检测模块，对经过过滤之后的数据包根据预先设置好的规则进行检查，一旦与某条规则匹配则通知报警模块。

(5)报警模块通知服务器主机，以此警告网络管理人员，可以自定义报警方式，比如邮件报警，记录报警日志，通过某种显示器来报警，或者不通知服务器主机直接丢弃数据包。

(6)用户通过前端页面和管理整个数控网络入侵防范系统，实现检测规则的自定义以及报警功能的开关，设置等等。

本发明实施例提供的数控系统网络入侵防范系统工作程序和服务器程序的工作流程图如图4所示。

在具体实施方式中，步骤(1)中，如图5所示，被保护机器只运行工作程序，工作程序分为四个模块：数据包捕获模块，预处理模块，检测模块和报警模块。每一个模块的工作依赖上一个模块的工作成果，但每个模块的任务重合度小。数据包捕获模块输出所有被保护机器上接收到的数据包；预处理模块的输入为所有数据包，输出为经深度学习算法检测为可能危害网络安全，为攻击性数据的数据包；检测模块输入为可能危害网络安全，为攻击性数据的数据包，输出为安全规则的鉴定结果；报警模块输入为安全规则鉴定结果，如果结果是没有危害，则没有输出，如果确实有不符合安全规则的数据包，则向主机报警，并按照已经定义的规则对数据包进行处理。报警模块还承担向主机汇报工作程序工作状态的任务，每隔固定时间(如3s)，像主机汇报工作程序运行状态的信息。如果没有回报，则主机可确定工作程序可能已经停止。

在具体实施方式中，步骤(2)中，所选择的主机可以是智能化机床，也可以是个人电脑或者高性能服务器。但应当具有以下特点：1.具有基本的输入输出设备，比如键盘和屏幕，方便系统管理员使用。2.具有磁盘等持久化存储设备，可以持久化自定义的安全规则。

如图2所示，主机运行服务器程序，服务器程序有三个模块，分别为自定义安全规则模块，监控工作程序状态模块，处理报警信息模块。三个模块无明确的依赖关系。自定义安全规则模块供系统管理员使用，每当系统管理员修改了安全规则集合则向所有的被保护机器发布最新的规则集合；监控工作程序状态模块负责接受工作程序发来的工作程序运行状态的信息；处理报警模块供系统管理员使用，每当管理员更改对不符合安全规则的数据包的处理方式时，向所有被保护机器发布新的处理方式，同时此模块还承担打印报警日志的功能。

在具体实施方式中，步骤(3)中，在过滤之前应当对包进行深度的状态特征提取。提取的特征包括但不限于：ip地址，mac地址；对于tcp协议的包，还有源端口号字段和目的端口号字段在智能数控机床网络中还有两两设备连接间的控制行为序列信息。所述某种深度学习算法具有以下特点：1.应当可以根据训练阶段采集的数据和工作环境中采集的数据对未来的数据进行有效的预测，以此作为判断是否为异常流量的根据。2.在实际的生产环境中，异常流量随对应的异常行为序列等特征数据获取不方便，不能因为样本少就降低了行为预测的准确率。可采用的方法包括但不限于循环神经网络中的长短期记忆网络，对多个网络特性的特征识别算法，单类支持向量机等。

在具体实施方式中，步骤(4)中，自定义的安全规则包括对黑名单ip的排除，对非法控制行为序列的排除等等自定义内容。安全规则由系统管理员制定，由主机服务器程序发布至各个被保护机器执行。每当安全规则有变更时，则发布新的安全规则到各被保护机器。

以上实施方式中，管理员主要通过前端页面对整个系统进行管理用户的操作进行管理，这样不仅方便了管理员使用，更防止管理员随便操作破坏系统的整体运行。管理员的工作主要有：1.定义自定义安全规则2.定义接受报警之后的处置行为3.工作程序暂停运行之后的结果处理。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用全部或部分地以计算机程序产品的形式实现，所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输)。所述计算机可读取存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，都应涵盖在本发明的保护范围之内。

Claims

1.一种数控系统网络入侵防范方法，其特征在于，所述数控系统网络入侵防范方法包括：

2.如权利要求1所述的数控系统网络入侵防范方法，其特征在于，所述对数据包进行初步过滤之前，还包括对数据包进行深度的状态特征提取；所述状态特征包括ip地址，mac地址；对于tcp协议的包，还包括源端口号字段和目的端口号字段；在智能数控机床网络中还包括两两设备连接间的控制行为序列信息。

3.如权利要求1所述的数控系统网络入侵防范方法，其特征在于，所述深度学习算法根据训练阶段采集的数据和工作环境中采集的数据对未来数据进行预测，作为判断是否为异常流量的根据。

4.如权利要求1所述的数控系统网络入侵防范方法，其特征在于，所述自定义安全规则包括对黑名单ip的排除，对非法控制行为序列的排除；安全规则由系统管理员制定，由主机服务器程序发布至各个被保护机器执行；每当安全规则有变更时，则发布新的安全规则到各被保护机器。

5.一种应用如权利要求1～4任意一项所述的数控系统网络入侵防范方法的数控系统网络入侵防范系统，其特征在于，所述数控系统网络入侵防范系统包括：工作程序、服务器程序；被保护机器只运行工作程序，主机运行服务器程序。

6.如权利要求5所述的数控系统网络入侵防范系统，其特征在于，所述工作程序包括数据包捕获模块、预处理模块、检测模块和报警模块；每一个模块的工作依赖上一个模块的工作成果，但每个模块的任务重合度小；

数据包捕获模块，输出所有被保护机器上接收到的数据包；

7.如权利要求5所述的数控系统网络入侵防范系统，其特征在于，所述服务器程序包括自定义安全规则模块、监控工作程序状态模块和处理报警信息模块；三个模块无明确的依赖关系；

8.一种计算机设备，其特征在于，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行如下步骤：

9.一种计算机可读存储介质，储存有指令，当所述指令在计算机上运行时，使得计算机执行如权利要求1～4任意一项所述的数控系统网络入侵防范方法。