CN111901138A - 一种工业网络非法接入的可视化审计方法 - Google Patents

一种工业网络非法接入的可视化审计方法 Download PDF

Info

Publication number
CN111901138A
CN111901138A CN201911362866.6A CN201911362866A CN111901138A CN 111901138 A CN111901138 A CN 111901138A CN 201911362866 A CN201911362866 A CN 201911362866A CN 111901138 A CN111901138 A CN 111901138A
Authority
CN
China
Prior art keywords
information
client
server
equipment
address information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911362866.6A
Other languages
English (en)
Other versions
CN111901138B (zh
Inventor
肖景辉
郝建强
王亚婷
赵华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Changyang Technology Beijing Co ltd
Original Assignee
Changyang Tech Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Changyang Tech Beijing Co ltd filed Critical Changyang Tech Beijing Co ltd
Priority to CN201911362866.6A priority Critical patent/CN111901138B/zh
Publication of CN111901138A publication Critical patent/CN111901138A/zh
Application granted granted Critical
Publication of CN111901138B publication Critical patent/CN111901138B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种工业网络非法接入的可视化审计方法,包括上层组件接收底层组件上报的流量统计信息;基于流量统计信息处理服务器端的IP地址信息以及客户端IP地址信息,得到服务器端和客户端的设备合法性信息;基于流量统计信息处理服务器端和客户端的通信连接关系,得到服务器端和客户端的通信连接合法性信息;基于流量统计信息处理网络协议分析详情信息;通过网络接口将处理结果展示至web用户交互界面。解决工业网络审计场景下网络异常接入审计结果不够直观的问题;对网络种的异常接入行为行以拓扑的方式进行直观的展示,可以直观的体现出非法设备的异常接入行为,异常接入的影响范围,同时可以对非法设备影响合法设备的通信内容进行审计和查看。

Description

一种工业网络非法接入的可视化审计方法
技术领域
本发明涉及通信技术领域,具体地涉及一种工业网络非法接入的可视化审计方法
背景技术
为确保网络信息系统安全运行,保障网络信息数据安全,防范网络非法异常接入的入侵,参照国家的分级保护要求,重点要解决信息系统的异常接入安全控制问题。
当异常接入发生时,需要管理人员快速定位非法异常接入的设备,并了解异常接入所影响到的设备。同时为了还原非法异常接入过程中使用的通信报文,需要能够关联到通信过程中使用的数据报文。为此,需要监测审计设备能够直观的体现出异常接入设备与合法设备的逻辑连接关系,以及能够直观的展示出异常接入的影响范围,并能够关联获知通信过程中传输的数据报文。
现有的展示技术:列表展示。其缺点为:
首先,通过列表展示可以标识通信对,但存在不够直观的问题。列表可以描述每个通信对之间的连接,但无法描述整体网络的情况。
其次,通信网络结点展示可以表示发生通信的结点,但存在无法展示连接信息的问题。对于异常接入问题,不但要知道哪个外网设备产生的接入,还需要知道异常接入的设备都连接了哪些合法设备。
发明内容
(一)发明目的
本发明的目的是针对现有技术存在的技术问题,提供一种工业网络非法接入的可视化审计方法。
(二)技术方案
为解决上述问题,本发明一种工业网络非法接入的可视化审计方法,包括:
步骤a:上层组件通过队列接收底层组件上报的流量统计信息;
步骤b:基于流量统计信息处理服务器端的IP地址信息以及客户端IP地址信息,得到服务器端和客户端的设备合法性信息;
步骤c:基于流量统计信息处理服务器端和客户端的通信连接关系,得到服务器端和客户端的通信连接合法性信息;
步骤d:基于流量统计信息处理网络协议分析详情信息;步骤e:通过网络接口将步骤b、步骤c和步骤d的处理结果展示至web用户交互界面。
进一步的,所述流量统计信息还包括服务端MAC、服务端IP、服务端端口、客户端MAC、客户端IP、客户端端口、3层协议类型、4层协议类型、应用层协议类型、网络协议分析详情和统计周期。
进一步的,步骤b基于流量统计信息处理服务器端的IP地址信息包括:
判断是否有服务器端流向客户端的流量,如果有,将服务器端的IP地址信息识别为一个设备;
对服务器端的IP地址信息去重处理,同时判断当前服务器设备的合法性信息,将当前服务器的设备的合法性信息和当前服务器IP地址信息插入设备数据库表;
基于流量统计信息处理客户端的IP地址信息包括:
判断是否有客户端流向服务端的流量,如果有,将客户端的IP地址信息识别为一个设备;
对客户端IP地址信息去重处理,同时判断当前客户端设备合法性信息,将当前客户端设备合法性信息和客户端的IP地址信息插入设备数据库表中。
进一步的,对服务器端的IP地址信息去重处理,同时判断当前服务器设备的合法性信息,将当前服务器的设备的合法性信息和当前服务器IP地址信息插入设备数据库表具体包括:
对服务器端的IP地址信息取哈希,判断服务器端的IP地址信息的哈希是否在设备哈希表中存在;如果存在则不处理该服务器端的IP地址信息,如果不存在则判断服务器端的IP地址对应的节点是否存在于设备哈希表中对应的哈希桶列表中;如果存在,则不处理该服务器端的IP地址信息,如果不存在于设备哈希表中对应的哈希桶列表中,则判断当前服务器端是否为学习阶段,如果是则该服务器端的IP地址信息为合法设备,如果不是,则将服务器端的IP地址信息写入设备哈希表,将服务器端的合法性信息写入设备数据库表;
对客户端IP地址信息去重处理,同时判断当前客户端设备合法性信息,将当前客户端设备合法性信息和客户端的IP地址信息插入设备数据库表中具体包括:对客户端端的IP地址信息取哈希,判断客户端的IP地址信息的哈希是否在设备哈希表中存在;如果存在则不处理该客户端的IP地址信息,如果不存在则判断客户端的IP地址对应的节点是否存在于设备哈希表中对应的哈希桶列表中;如果存在,则不处理该客户端的IP地址信息,如果不存在于设备哈希表中对应的哈希桶列表中,则判断当前客户端端是否为学习阶段,如果是则该客户端的IP地址信息为合法设备,如果不是,则将客户端的IP地址信息写入设备哈希表,将客户端的合法性信息写入设备数据库表。
进一步的,步骤c中,基于流量统计信息处理服务器端和客户端的通信连接关系具体包括:
判断服务器端和客户端是否至少有一个方向向对方发送了网络数据;如果是,处理两者的通信连接关系,并将通信连接关系经过去重处理后存入通信关系数据库表。
进一步的,处理两者的通信连接关系,并将通信连接关系经过去重处理后存入通信连接关系数据库表,具体包括
取服务器端或客户端的五元组哈希,判断五元组哈希是否在五元组哈希表中存在;
如果存在则不处理五元组信息,如果不存在,则判断五元组对应的结点是否存在于五元组哈希表中对应的哈希桶列表中;
如果五元组对应的结点不存在于五元组哈希表中对应的哈希桶列表中,则判断服务器端和客户端是否均为合法设备;
如果均为合法设备则通信连接关系为合法连接,如果一个为合法设备,另一个为非法设备,则通信连接关系为异常接入连接;
将五元组信息与通信连接关系是否为异常接入连接的属性加入到五元组哈希表中去重;
将通信连接关系写入通信连接关系数据库中。
进一步的,基于流量统计信息处理网络协议分析详情信息包括:
获取底层组件上报的网络协议分析数据;
取服务器端或客户端的五元组哈希,判断五元组哈希是否在五元组哈希表中存在;
如果存在则不处理五元组信息,如果不存在,则判断五元组对应的结点是否存在于五元组哈希表中对应的哈希桶列表中;
如果五元组对应的结点不存在于五元组哈希表中对应的哈希桶列表中,则将服务器或客户端结点加入到五元组哈希表;
将五元组信息插入到五元组数据库表;
将网络协议分析详情信息插入到网络协议分析详情数据库表,并通过flowdataId字段关联到五元组数据库表中。
进一步的,web用户交互界面通过拓扑图形式展示设备合法性信息和通信连接关系,并对非法设备和非法连接关系突出显示。
(三)有益效果
本发明的上述技术方案具有如下有益的技术效果:解决工业网络审计场景下网络异常接入审计结果不够直观的问题;对网络种的异常接入行为行以拓扑的方式进行直观的展示,可以直观的体现出非法设备的异常接入行为,异常接入的影响范围,同时可以对非法设备影响合法设备的通信内容进行审计和查看。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明具体实施方式所述的上层组件处理流量统计信息的流程示意图。
图2为本发明具体实施方式所述的处理IP地址信息的流程示意图。
图3为本发明具体实施方式所述的处理通信连接关系的流程示意图;
图4为本发明具体实施方式所述的上层组件获取网络协议分析详情数据的流程示意图;
图5为本发明具体实施方式所述的展示网络通信关系拓扑示意图的web用户界面;
图6为本发明具体实施方式所述的展示网页点击过滤一个非法异常接入设备后的网络通信关系拓扑示意图的web用户界面;
图7为本发明具体实施方式所述的展示网页展示点击异常接入设备与合法设备通信连接线示意图的web用户界面;
图8为本发明具体实施方式所述的网页展示异常接入设备与合法设备通详情页选中一种网络协议的示意图。
图9为本发明具体实施方式所述的,网页展示异常接入设备与合法设备通详情点击一条会话协议详情的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
一种工业网络非法接入的可视化审计方法,包括如下步骤:
步骤a:上层组件通过队列接收底层组件上报的流量统计信息;
步骤b:基于流量统计信息处理服务器端的IP地址信息以及客户端IP地址信息,得到服务器端和客户端的设备合法性信息;
步骤c:基于流量统计信息处理服务器端和客户端的通信连接关系,得到服务器端和客户端的通信连接合法性信息;
步骤d:基于流量统计信息处理网络协议分析详情信息;
步骤e:通过网络接口将步骤b、步骤c和步骤d的处理结果展示至web用户交互界面。
结合附图1,上层组件处理流量统计信息的流程示意图。
所述方法包括以下步骤:
S11:上层组件通过队列(包括但不限于zmq、kafka、rabitmq、socket)接收底层组件上报的流量统计信息。每条信息的内容包括:服务端MAC、服务端IP、服务端端口、客户端MAC、客户端IP、客户端端口、3层协议类型、4层协议类型、应用层协议类型、统计周期、服务端流向客户端的流量、客户端流向服务端的流量。
S12:判断是否有服务端到客户端的流量。只有在存在服务端到客户端的流量时才会在后续将服务端的IP信息识别为一个设备;
S13:将服务端的IP识别为一个设备,经过去重处理后,插入设备数据库表;
S14:判断是否有客户端到服务端的流量。只有在存在客户端到服务端的流量时才会在后续将客户端的IP信息识别为一个设备;
S15:将客户端的IP识别为一个设备,经过去重处理后,插入设备数据库表;
S16:确认次会话统计信息的服务端和客户端至少有一个方向向对方发送了网络数据;
S17:如果S16结果为真,则说明服务端和客户端之间存在通信,有必要处理两者的通信关系,将通信关系经过去重处理后存入通信关系数据库表;
步骤b基于流量统计信息处理服务器端的IP地址信息包括:
判断是否有服务器端流向客户端的流量,如果有,将服务器端的IP地址信息识别为一个设备;
对服务器端的IP地址信息去重处理,同时判断当前服务器设备的合法性信息,将当前服务器的设备的合法性信息和当前服务器IP地址信息插入设备数据库表;
基于流量统计信息处理客户端的IP地址信息包括:
判断是否有客户端流向服务端的流量,如果有,将客户端的IP地址信息识别为一个设备;
对客户端IP地址信息去重处理,同时判断当前客户端设备合法性信息,将当前客户端设备合法性信息和客户端的IP地址信息插入设备数据库表中。
对服务器端的IP地址信息去重处理,同时判断当前服务器设备的合法性信息,将当前服务器的设备的合法性信息和当前服务器IP地址信息插入设备数据库表具体包括:
对服务器端的IP地址信息取哈希,判断服务器端的IP地址信息的哈希是否在设备哈希表中存在;如果存在则不处理该服务器端的IP地址信息,如果不存在则判断服务器端的IP地址对应的节点是否存在于设备哈希表中对应的哈希桶列表中;如果存在,则不处理该服务器端的IP地址信息,如果不存在于设备哈希表中对应的哈希桶列表中,则判断当前服务器端是否为学习阶段,如果是则该服务器端的IP地址信息为合法设备,如果不是,则将服务器端的IP地址信息写入设备哈希表,将服务器端的合法性信息写入设备数据库表;
对客户端IP地址信息去重处理,同时判断当前客户端设备合法性信息,将当前客户端设备合法性信息和客户端的IP地址信息插入设备数据库表中具体包括:对客户端端的IP地址信息取哈希,判断客户端的IP地址信息的哈希是否在设备哈希表中存在;如果存在则不处理该客户端的IP地址信息,如果不存在则判断客户端的IP地址对应的节点是否存在于设备哈希表中对应的哈希桶列表中;如果存在,则不处理该客户端的IP地址信息,如果不存在于设备哈希表中对应的哈希桶列表中,则判断当前客户端端是否为学习阶段,如果是则该客户端的IP地址信息为合法设备,如果不是,则将客户端的IP地址信息写入设备哈希表,将客户端的合法性信息写入设备数据库表。
如图2所示,S21、S22:通过哈希的方式对IP表示的设备信息进行去重,如果在哈希表中发现此IP信息,表示设个设备不是新发现的,已经处理过的则不再处理;
S23:判断当前设备是处于网络学习阶段,还是处于正常工作阶段。如果处于网络学习阶段,则新发现的设备均属于合法设备。如果处于正常工作阶段,则新发现的设备均数据非法的异常设备。
S24:将设备的合法性信息,连同获取的其他信息写入设备数据库表
基于流量统计信息处理服务器端和客户端的通信连接关系具体包括:
判断服务器端和客户端是否至少有一个方向向对方发送了网络数据;如果是,处理两者的通信连接关系,并将通信连接关系经过去重处理后存入通信关系数据库表。
处理两者的通信连接关系,并将通信连接关系经过去重处理后存入通信连接关系数据库表,具体包括
取服务器端或客户端的五元组哈希,判断五元组哈希是否在五元组哈希表中存在;
如果存在则不处理五元组信息,如果不存在,则判断五元组对应的结点是否存在于五元组哈希表中对应的哈希桶列表中;
如果五元组对应的结点不存在于五元组哈希表中对应的哈希桶列表中,则判断服务器端和客户端是否均为合法设备;
如果均为合法设备则通信连接关系为合法连接,如果一个为合法设备,另一个为非法设备,则通信连接关系为异常接入连接;
将五元组信息与通信连接关系是否为异常接入连接的属性加入到五元组哈希表中去重;
将通信连接关系写入通信连接关系数据库中。
如图3所示,S31、S32:通过哈希的方式对通信会话的五元组信息进行去重;
S33、S34:判断进行通信的两个设备是否是一个为合法折别,另一个为非法设备。因为只有合法设备收到了非法设备的通信,才算作是异常接入行为;
S35将网络会话的通信关系信息,连同是否为异常接入的属性信息,写入连接关系数据库表中;
步骤d中基于流量统计信息处理网络协议分析详情信息包括:
获取底层组件上报的网络协议分析数据;
取服务器端或客户端的五元组哈希,判断五元组哈希是否在五元组哈希表中存在;
如果存在则不处理五元组信息,如果不存在,则判断五元组对应的结点是否存在于五元组哈希表中对应的哈希桶列表中;
如果五元组对应的结点不存在于五元组哈希表中对应的哈希桶列表中,则将服务器或客户端结点加入到五元组哈希表;
将五元组信息插入到五元组数据库表;
将网络协议分析详情信息插入到网络协议分析详情数据库表,并通过flowdataId字段关联到五元组数据库表中。
如图4所示。通过哈希去重,将五元组信息存入五元组数据库表,将协议分析获取的详情信息存入协议详情数据库表;
前台展示逻辑首先从后端获取到所有的合法主机,异常主机,以及连接关系。
web用户交互界面通过拓扑图形式展示设备合法性信息、通信连接关系和网络协议分析详情信息,并对非法设备和非法连接关系突出显示
如图5所示,可按照过滤条件查看网络通信关系拓扑图展现出的界面效果图,如图5中为所有设备IP的相互连接关系。具体数据结构为(以下数据只是用于展示数据结构)
Figure BDA0002337660780000081
Figure BDA0002337660780000091
其中属性known_property里为已知合法设备,属性unknown_property里为异常设备,属性all_connection存储所有的连接关系。
先循环处理合法设备的数据和异常设备的数据,处理以下数据格式
已知设备
Figure BDA0002337660780000092
Figure BDA0002337660780000101
然后循环所有的连接关系,看连接关系中的点是否在异常设备中或者已知设备中是否存在,如果都不存在,剔除该条连接关系。
处理完成,拿到处理好的数据进行绘制成拓扑图。图上非法设备和非法解脱网络会话连接以红色进行高亮展示,通过拓扑图可以清晰直观的了解网络中存在的非法异常接入行为;
图6为点击图上非法接入设备结点时的示例。点击某个设备结点时进行筛选条件修改。当筛选条件改变时,带着筛选条件,重新请求数据,重复上面的绘制逻辑。筛选条件:IP地址为172.16.2.100展现出的效果(假定此IP的设备为非法接入设备),筛选出所有与此非法接入设备有连接关系的点(在拓扑图上点击该点是同样的效果)。由此就能够直观的展示出非法接入设备与其他设备的通信连接情况,从而直观的了解非法接入行为对合法设备的影响范围;
如果向进一步详细的了解非法接入具体使用了哪些网络协议,以及具体的协议详情,可以点击设备结点之间的连线。网页前端在连接关系线上绑定点击事件,点击连接关系线,进入具体的点对点视图,向后台发送
Figure BDA0002337660780000102
图7为得到的非法接入设备与合法设备之间的通信协议数据,异常设备172.16.2.100和已知设备172.16.45.31之间使用的通信协议为enip-udp。看似正常的工业协议通信,实则可能时伪装的网络攻击行为;
当点击某个协议时,向后台发送两个点的ip和点击的协议
Figure BDA0002337660780000103
Figure BDA0002337660780000111
图8为得到的非法接入设备与合法设备结点间有关该协议的信息;
图9中,当点击表格里详情,前端会向后台请求有关这次session的会话详情,并展示出协议中具体报文的详情,从而可以为进一步分析网络异常接入提供更丰富的信息。
本方法应用于系统中可以通过页面控制开启网络学习,学习完成后可以通过网络报文的分析获取网络中的合法设备,并生成合法设备列表;在所述学习过程中,通过对网络数据报文的分析,底层组件的流量统计模块向上层组件输出流量统计信息。上层组件接收到流量统计信息后,提取出设备信息(包含IP信息),并将提取出的设备被标识为合法设备,之后将信息插入到设备数据库表中。
系统本身具备网络审计功能,可以审计到网络中会话的源MAC、源IP、源端口、目的MAC、目的IP、目的端口、3层协议类型、4层协议类型、应用层协议类型、应用层协议详情等网络报文的信息。同时,由网络审计即可以获得网络中各种设备的通信连接关系;
该系统工作提供“未知非法设备”的监测功能,即:网络审计通过网络报文发现的设备,不属于合法设备列表范围内的设备都是未知的非法设备;
由于能够审计到网络流量中的各个设备之间的会话连接关系,也就能获取未知非法设备与合法设备之间的连接信息;
将这些信息格式化后传递给前端,经过前传适当的数据处理后,可以在web页面展示出合法设备与非法设备,以及各个设备之间的连接关系。将非法设备,以及非法设备与合法设备的连接关系使用突出的颜色表示,即可以很容易且直观的展示出非法设备的异常接入。
工作过程中,底层的协议分析组件可以通过对网络数据包的分析,获取数据包中的信息,包括:源MAC、源IP、源端口、目的MAC、目的IP、目的端口、3层协议类型、4层协议类型、应用层协议类型、应用层协议详情等网络报文的信息。底层组件将协议分析的结果上报给上层组件。上层组件将其接收并存入协议分析数据库表中。同时分析出设备间的连接关系,存入连接关系数据库表中。
设备信息通过IP与连接关系信息进行关联。
通过网页启动异常接入监测开关。底层组件上报流量统计信息,上层从接收到的流量统计信息中获取设备信息,并与数据库中的合法设备信息进行对比。设备信息不在合法设备数据库表中的作为非法设备。一个网络会话连接中同时存在合法设备和未知非法设备的通信连接关系作为网络异常接入行为。
通过上层组件从数据库获得网络设备信息(包括合法设备和非法设备),上层组组件从数据库获得设备连接信息(包括合法连接和非法连接),将这些信息格式化后上报给网页接口。网页前端通过拓扑图形式展示设备信息和连接关系信息,并高亮呈现出非法设备和非法连接关系,即异常接入行为。
性能方面,主要有4点:根据底层上报的流量统计数据获取设备信息的速度;根据底层上报的协议分析数据获取获取网络报文详情和设备通信连接关系的速度;通过设备资产查询通信关系信息的速度;通过设备信息查询协议分析结果的速度。前两点关系到从接收的网络报文分析处理到入数据库能性能,后两点关系到页面展示审计信息的时候的响应速度。
对于所述的数据完整性方面,主要是指展示全部设备(包括合法设备和非法接入设备),展示全部的网络连接关系(尤其是非法接入的连接关系)。这要求了不论是从底层上报,还是数据库中的信息要完整且不能重复。
对于从底层上报的流量统计数据获取设备信息,由于流量统计数据还有其他模块需要使用,因此会周期上报。为了做到快速的去重,上层处理模块使用了内置的哈希表,对设备的IP进行哈希,只处理新增的设备以避免设备重复。
对于标识合法设备信息和非法设备信息。网络学习阶段获取的设备为合法设备,将设备信息哈希表对应设备结点的属性标注为合法设备。在网络学习阶段之外的时间获取的新设备信息均为非法设备,将设备信息哈希表对应设备结点的属性标注为非法设备。在向设备数据库表中添加数据时,同时将合法/非法的属性也以通写入。
对于设备通信连接关系也是从流量统计数据获得,对于一条会话,只会在通信连接关系数据库表中存放一条信息,通信关系信息在插入数据库表之前会先经过哈希去重。对于从底层上报的协议分析详细信息,为了高效的处理,将五元组信息单独存入五元组数据库表方便索引,将协议详情存入另一个协议详情数据库表。对于一条会话,只会在五元组数据库表中存放一条信息,通过五元组信息可以索引到多条协议详情数据。五元组信息在插入数据库表之前会先经过哈希去重。
协议详情数据通过五元组进行索引,设备通信关系数据通过设备信息来索引,五元组数据也可通过设备信息来索引。由此,将整个网络通信的设备信息和网络连接信息,以及协议报文详情信息紧密的结合在了一起。
在网页进行展示时,通过网络拓扑的方式进行展示。
后台先从设备数据库表中获取全部的设备信息(包括合法设备和非法设备),将获取的设备信息上报给网页前端进行展示。
后台从连接关系数据库表中获取连接关系的数据(包括合法的数据连接和非法异常接入的连接),将获取的设备通信连接关系上报给网页前端进行展示。
网页前端在流量拓扑图进行设备展示的时候,将合法的设备标识为蓝色,将非法的异常设备标识为高亮的红色。
网页前端在进行流量拓扑图中进行连接关系展示的时候(表示为设备到设备的连接线),将合法的连接关系以蓝色线表示,将非法异常接入连接用高亮的红色线表示。
通过流量拓扑图的展示,可以清晰直观的看到网络中出现过的每个设备和出现过的设备通信连接。能够对整个网络的数据流通信有一个整体直观的认识。
更进一步,通过对非法设备的红色高亮表示,以及对非法异常连接的红色高亮表示,可以清晰直观的看出网络中发生异常接入问题的设备,已经受影响的合法设备,可以轻易获知异常接入危害的范围。
通过点击一个非法设备,可以仅展示于当前设备发生通信的其他设备。这样可以直观了解次非法设备连接了哪些合法设备。
如果想进一步了解非法设备在接入过程中的行为,可以通过点击非法设备于合法设备之间的连接线,进入到协议分析页面。通过设备数据库表与五元组数据库表以及协议详情数据库表之间的索引关系,可以获取到这两个设备之间通信使用的协议类型,以及每个数据包的协议详情。从而为更全面审计异常接入过程提供了完整的多维度的直观的方式。
首先收集底层报上来的海量数据报文;在学习过程中根据流量统计结果获取网络内的IP信息,并标识为合法设备;监测审计设备运行过程中会获取网络中的协议流量信息,同时会自动识别到未知的非法设备;结合协议流量信息和合法资产与非法资产的信息,经过综合分析可以获得网络的逻辑拓扑链接关系,可以在web页面呈现出哪些是合设备产哪些是非法设备,以及他们之间的流量连接关系。从而可以提供一个清晰的可视化展示非法设备的异常接入的方法。
显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
以上参照本发明的实施例对本发明予以了说明。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本发明的范围。本发明的范围由所附权利要求及其等价物限定。不脱离本发明的范围,本领域技术人员可以做出多种替换和修改,这些替换和修改都应落在本发明的范围之内。
尽管已经详细描述了本发明的实施方式,但是应该理解的是,在不偏离本发明的精神和范围的情况下,可以对本发明的实施方式做出各种改变、替换和变更。

Claims (9)

1.一种工业网络非法接入的可视化审计方法,其特征在于,包括如下步骤:
步骤a:上层组件通过队列接收底层组件上报的流量统计信息;
步骤b:基于流量统计信息处理服务器端的IP地址信息以及客户端IP地址信息,得到服务器端和客户端的设备合法性信息;
步骤c:基于流量统计信息处理服务器端和客户端的通信连接关系,得到服务器端和客户端的通信连接合法性信息;
步骤d:基于流量统计信息处理网络协议分析详情信息;
步骤e:通过网络接口将步骤b、步骤c和步骤d的处理结果展示至web用户交互界面。
2.根据权利要求1所述的工业网络非法接入的可视化审计方法,其特征在于,所述流量统计信息包括服务端流向客户端的流量、客户端流向服务端的流量。
3.根据权利要求2所述的工业网络非法接入的可视化审计方法,其特征在于,所述流量统计信息还包括服务端MAC、服务端IP、服务端端口、客户端MAC、客户端IP、客户端端口、3层协议类型、4层协议类型、应用层协议类型、网络协议分析详情和统计周期。
4.根据权利要求3所述的工业网络非法接入的可视化审计方法,其特征在于,步骤b基于流量统计信息处理服务器端的IP地址信息包括:
判断是否有服务器端流向客户端的流量,如果有,将服务器端的IP地址信息识别为一个设备;
对服务器端的IP地址信息去重处理,同时判断当前服务器设备的合法性信息,将当前服务器的设备的合法性信息和当前服务器IP地址信息插入设备数据库表;
基于流量统计信息处理客户端的IP地址信息包括:
判断是否有客户端流向服务端的流量,如果有,将客户端的IP地址信息识别为一个设备;
对客户端IP地址信息去重处理,同时判断当前客户端设备合法性信息,将当前客户端设备合法性信息和客户端的IP地址信息插入设备数据库表中。
5.根据权利要求4所述的工业网络非法接入的可视化审计方法,其特征在于,对服务器端的IP地址信息去重处理,同时判断当前服务器设备的合法性信息,将当前服务器的设备的合法性信息和当前服务器IP地址信息插入设备数据库表具体包括:
对服务器端的IP地址信息取哈希,判断服务器端的IP地址信息的哈希是否在设备哈希表中存在;如果存在则不处理该服务器端的IP地址信息,如果不存在则判断服务器端的IP地址对应的节点是否存在于设备哈希表中对应的哈希桶列表中;如果存在,则不处理该服务器端的IP地址信息,如果不存在于设备哈希表中对应的哈希桶列表中,则判断当前服务器端是否为学习阶段,如果是则该服务器端的IP地址信息为合法设备,如果不是,则将服务器端的IP地址信息写入设备哈希表,将服务器端的合法性信息写入设备数据库表;
对客户端IP地址信息去重处理,同时判断当前客户端设备合法性信息,将当前客户端设备合法性信息和客户端的IP地址信息插入设备数据库表中具体包括:对客户端端的IP地址信息取哈希,判断客户端的IP地址信息的哈希是否在设备哈希表中存在;如果存在则不处理该客户端的IP地址信息,如果不存在则判断客户端的IP地址对应的节点是否存在于设备哈希表中对应的哈希桶列表中;如果存在,则不处理该客户端的IP地址信息,如果不存在于设备哈希表中对应的哈希桶列表中,则判断当前客户端端是否为学习阶段,如果是则该客户端的IP地址信息为合法设备,如果不是,则将客户端的IP地址信息写入设备哈希表,将客户端的合法性信息写入设备数据库表。
6.根据权利要求5所述的工业网络非法接入的可视化审计方法,其特征在于,步骤c中,基于流量统计信息处理服务器端和客户端的通信连接关系具体包括:
判断服务器端和客户端是否至少有一个方向向对方发送了网络数据;如果是,处理两者的通信连接关系,并将通信连接关系经过去重处理后存入通信关系数据库表。
7.根据权利要求6所述的工业网络非法接入的可视化审计方法,其特征在于,处理两者的通信连接关系,并将通信连接关系经过去重处理后存入通信连接关系数据库表,具体包括
取服务器端或客户端的五元组哈希,判断五元组哈希是否在五元组哈希表中存在;
如果存在则不处理五元组信息,如果不存在,则判断五元组对应的结点是否存在于五元组哈希表中对应的哈希桶列表中;
如果五元组对应的结点不存在于五元组哈希表中对应的哈希桶列表中,则判断服务器端和客户端是否均为合法设备;
如果均为合法设备则通信连接关系为合法连接,如果一个为合法设备,另一个为非法设备,则通信连接关系为异常接入连接;
将五元组信息与通信连接关系是否为异常接入连接的属性加入到五元组哈希表中去重;
将通信连接关系写入通信连接关系数据库中。
8.根据权利要求7所述的工业网络非法接入的可视化审计方法,其特征在于,步骤d中基于流量统计信息处理网络协议分析详情信息包括:
获取底层组件上报的网络协议分析数据;
取服务器端或客户端的五元组哈希,判断五元组哈希是否在五元组哈希表中存在;
如果存在则不处理五元组信息,如果不存在,则判断五元组对应的结点是否存在于五元组哈希表中对应的哈希桶列表中;
如果五元组对应的结点不存在于五元组哈希表中对应的哈希桶列表中,则将服务器或客户端结点加入到五元组哈希表;
将五元组信息插入到五元组数据库表;
将网络协议分析详情信息插入到网络协议分析详情数据库表,并通过flowdataId字段关联到五元组数据库表中。
9.根据权利要求8所述的工业网络非法接入的可视化审计方法,其特征在于,web用户交互界面通过拓扑图形式展示设备合法性信息、通信连接关系和网络协议分析详情信息,并对非法设备和非法连接关系突出显示。
CN201911362866.6A 2019-12-26 2019-12-26 一种工业网络非法接入的可视化审计方法 Active CN111901138B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911362866.6A CN111901138B (zh) 2019-12-26 2019-12-26 一种工业网络非法接入的可视化审计方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911362866.6A CN111901138B (zh) 2019-12-26 2019-12-26 一种工业网络非法接入的可视化审计方法

Publications (2)

Publication Number Publication Date
CN111901138A true CN111901138A (zh) 2020-11-06
CN111901138B CN111901138B (zh) 2021-10-19

Family

ID=73169671

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911362866.6A Active CN111901138B (zh) 2019-12-26 2019-12-26 一种工业网络非法接入的可视化审计方法

Country Status (1)

Country Link
CN (1) CN111901138B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113179267A (zh) * 2021-04-27 2021-07-27 长扬科技(北京)有限公司 一种网络安全事件关联分析方法和系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1728609A (zh) * 2004-07-27 2006-02-01 华为技术有限公司 一种检测多框设备连接方式的方法
CN101964749A (zh) * 2010-09-21 2011-02-02 北京网康科技有限公司 一种基于多核构架的报文转发方法及系统
US20120011390A1 (en) * 2009-03-31 2012-01-12 Zte Corporation Method and system for service error connection and error prevention in automatic switched optical network
CN102331751A (zh) * 2010-07-13 2012-01-25 北京国电智深控制技术有限公司 一种实时工业控制系统的监控方法及系统
CN103532738A (zh) * 2013-09-26 2014-01-22 福建星网锐捷网络有限公司 一种端口连接关系的确定方法及装置
CN107612733A (zh) * 2017-09-19 2018-01-19 杭州安恒信息技术有限公司 一种基于工控系统的网络审计和监测方法及其系统
CN109474607A (zh) * 2018-12-06 2019-03-15 连云港杰瑞深软科技有限公司 一种工业控制网络安全保护监测系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1728609A (zh) * 2004-07-27 2006-02-01 华为技术有限公司 一种检测多框设备连接方式的方法
US20120011390A1 (en) * 2009-03-31 2012-01-12 Zte Corporation Method and system for service error connection and error prevention in automatic switched optical network
CN102331751A (zh) * 2010-07-13 2012-01-25 北京国电智深控制技术有限公司 一种实时工业控制系统的监控方法及系统
CN101964749A (zh) * 2010-09-21 2011-02-02 北京网康科技有限公司 一种基于多核构架的报文转发方法及系统
CN103532738A (zh) * 2013-09-26 2014-01-22 福建星网锐捷网络有限公司 一种端口连接关系的确定方法及装置
CN107612733A (zh) * 2017-09-19 2018-01-19 杭州安恒信息技术有限公司 一种基于工控系统的网络审计和监测方法及其系统
CN109474607A (zh) * 2018-12-06 2019-03-15 连云港杰瑞深软科技有限公司 一种工业控制网络安全保护监测系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113179267A (zh) * 2021-04-27 2021-07-27 长扬科技(北京)有限公司 一种网络安全事件关联分析方法和系统

Also Published As

Publication number Publication date
CN111901138B (zh) 2021-10-19

Similar Documents

Publication Publication Date Title
CN110460594B (zh) 威胁情报数据采集处理方法、装置及存储介质
CN107690776B (zh) 用于异常检测中的将特征分组为具有选择的箱边界的箱的方法和装置
US20200106662A1 (en) Systems and methods for managing network health
KR100949803B1 (ko) 아이피 주소 분할 표시 장치 및 방법
US20050021683A1 (en) Method and apparatus for correlating network activity through visualizing network data
CN104115463B (zh) 用于处理网络元数据的流式传输方法和系统
CN105791213B (zh) 一种策略优化装置及方法
US9584533B2 (en) Performance enhancements for finding top traffic patterns
CN112905548B (zh) 一种安全审计系统及方法
Chi et al. Cyclops: the AS-level connectivity observatory
WO2019084072A1 (en) GRAPHIC MODEL FOR ALERT INTERPRETATION IN AN ENTERPRISE SECURITY SYSTEM
CN111885106A (zh) 一种基于终端设备特征信息的物联网安全管控方法及系统
CN111191247A (zh) 数据库安全审计系统
CN112019523A (zh) 一种工控系统的网络审计方法和装置
CN111901138B (zh) 一种工业网络非法接入的可视化审计方法
CN104883362A (zh) 异常访问行为控制方法及装置
CN112422434A (zh) Ipfix消息处理方法及其应用、asic芯片
CN115865525B (zh) 日志数据处理方法、装置、电子设备和存储介质
CN109190408B (zh) 一种数据信息的安全处理方法及系统
CN110460558B (zh) 一种基于可视化的攻击模型发现的方法及系统
CN111177281A (zh) 一种访问管控方法、装置、设备及存储介质
CN112910842B (zh) 一种基于流量还原的网络攻击事件取证方法与装置
CN111147516B (zh) 基于sdn的安全设备动态互联与智能选路决策系统及方法
CN113821412A (zh) 一种设备运维管理方法及装置
WO2017118430A1 (zh) 一种实现报文检错的方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address

Address after: Room 01, floor 1, building 104, No. 3 minzhuang Road, Haidian District, Beijing 100195

Patentee after: Changyang Technology (Beijing) Co.,Ltd.

Address before: 100195 2nd floor, building 3, yuquanhuigu phase II, No.3 minzhuang Road, Haidian District, Beijing

Patentee before: CHANGYANG TECH (BEIJING) Co.,Ltd.

CP03 Change of name, title or address