CN111988343B - 一种远程设定规则并监测工业网络入侵的系统及方法 - Google Patents

一种远程设定规则并监测工业网络入侵的系统及方法 Download PDF

Info

Publication number
CN111988343B
CN111988343B CN202011091457.XA CN202011091457A CN111988343B CN 111988343 B CN111988343 B CN 111988343B CN 202011091457 A CN202011091457 A CN 202011091457A CN 111988343 B CN111988343 B CN 111988343B
Authority
CN
China
Prior art keywords
rule
module
protocol
monitoring
industrial network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011091457.XA
Other languages
English (en)
Other versions
CN111988343A (zh
Inventor
张富军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Lab
Original Assignee
Zhejiang Lab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Lab filed Critical Zhejiang Lab
Priority to CN202011091457.XA priority Critical patent/CN111988343B/zh
Publication of CN111988343A publication Critical patent/CN111988343A/zh
Application granted granted Critical
Publication of CN111988343B publication Critical patent/CN111988343B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种远程设定规则并监测工业网络入侵的系统及方法,系统包括:规则设计模块、控制模块、规则存储模块和工业网络监测模块,所述的控制模块分别与规则设计模块、规则存储模块和工业网络监测模块连接;方法包括:S1,规则设计模块发送操作指令给控制模块,发送新增或修改指令时同时发送已设定的规则,控制模块将操作结果返回规则设计模块;S2,控制模块控制存储模块进行规则的存储或删除,控制模块从存储模块读取已存储的规则;S3,控制模块控制工业网络监测模块对工业网络数据进行监测,工业网络监测模块将监测的结果返回控制模块。

Description

一种远程设定规则并监测工业网络入侵的系统及方法
技术领域
本发明涉及入侵监测技术领域,尤其是涉及了一种远程设定规则并监测工业网络入侵的系统及方法。
背景技术
目前,通用的工业网络入侵监测方法通常需要在嵌入式设备上实现,每次进行规则的增加和修改都需要在嵌入式设备上实现,操作过程繁琐且对规则本身没有校验功能,效率低。入侵监测的开启和结果查询也需要在嵌入式设备上进行,操作复杂,查询结果不直观。
发明内容
为解决现有技术的不足,实现远程设定规则的目的,本发明采用如下的技术方案:
一种远程设定规则并监测工业网络入侵的系统,包括规则设计模块、控制模块、规则存储模块和工业网络监测模块,所述的控制模块分别与规则设计模块、规则存储模块和工业网络监测模块连接,规则设计模块发送操作指令给控制模块,发送新增或修改指令时同时发送已设定的规则,控制模块将操作结果返回规则设计模块,控制模块控制存储模块进行规则的存储或删除,控制模块从存储模块读取已存储的规则,控制模块控制工业网络监测模块对工业网络数据进行监测,工业网络监测模块将监测的结果返回控制模块。实现了规则的远程设定及协议网络数据包实时监测与过滤,高效的防御网络入侵和捕获特征数据。
所述的工业网络监测模块包括检测模块和分别与检测模块连接的规则解析模块和工业网络数据读取模块,工业网络数据读取模块用于抓取协议数据包。
所述的工业网络数据读取模块包括网络数据获取单元、协议识别单元、协议数据包解析单元和协议规则匹配单元,网络数据获取单元抓取网络上的数据包,通过协议识别单元对数据包进行初步解析,再由协议数据包解析单元按协议规定的格式,深入解析出协议的特征字段,协议规则匹配单元将特征字段与所述规则进行匹配,并将匹配结果返回所述控制模块。
所述规则包括关键字段、值操作符和取值,协议规则匹配单元先匹配特征字段与关键字段,通过与关键字段匹配来分析该数据包是否属于组网内的已知设备,进而来确保系统安全,再匹配特征字段的取值是否符合值操作符和取值的要求,以此判断数据包是否是目标数据包。
一种远程设定规则并监测工业网络入侵的方法,包括如下步骤:
S1,规则设计模块发送操作指令给控制模块,发送新增或修改指令时同时发送已设定的规则,控制模块将操作结果返回规则设计模块;
S2,控制模块控制存储模块进行规则的存储或删除,控制模块从存储模块读取已存储的规则;
S3,控制模块控制工业网络监测模块对工业网络数据进行监测,工业网络监测模块将监测的结果返回控制模块。
实现了规则的远程设定及协议网络数据包实时监测与过滤,高效的防御网络入侵和捕获特征数据。
所述规则的新增或修改,包括如下步骤:
S11,按规则的格式新增或修改规则,选择工业协议并配置规则;
S12,规则校验,根据规则中字段的取值进行校验,校验取值是否符合语法和工业协议要求,校验采用正则字符串匹配的方式;
S13,对通过校验的规则进行存储。
所述的监测,包括如下步骤:
S21,选择所要监视的目标网络和规则后,开启监测;
S22,进入准备监测状态,读取已存储的规则并发送至所述的工业网络监测模块;
S23,工业网络监测模块抓取目标网络上的网络数据并解析,将工业协议的数据内容和规则中的内容进行匹配,匹配成功则记录内容到日志并上报。
所述的解析,包括如下步骤:
S231,对数据包进行初步解析;
S232,解析单元按协议规定的格式,深入解析出协议的特征字段;
S233,将特征字段与所述规则进行匹配。
所述的规则包括关键字段、值操作符和取值,所述的匹配,是先匹配特征字段与关键字段,通过与关键字段匹配来分析该数据包是否属于组网内的已知设备,进而来确保系统安全,再匹配特征字段的取值是否符合值操作符和取值的要求,以此判断数据包是否是目标数据包。
本发明的优势和有益效果在于:
可以通过可视化页面远程设定工业网络监测的规则,远程开启目标工业网络的实时监测,同时利用已经设置的规则对工业网络数据进行实时匹配,监测到工业网络被入侵则上报入侵事件和入侵信息,并且支持多种工业协议的规则设定。
附图说明
图1是本发明的模块结构示意图。
图2是本发明中实现远程网络监测的操作流程图。
图3是本发明中工业网络监测模块的结构示意图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
如图1所示,一种远程设定规则并监测工业网络入侵的系统,包括规则设计模块、控制模块、规则存储模块和工业网络监测模块,规则设计模块发送新增、查询或删除的操作指令给控制模块,发送新增指令时需要同时发送已设定的规则,控制模块返回操作结果给规则设计模块;控制模块发送要新增或删除的规则给存储模块,存储模块对规则进行存储或删除,控制模块可以从存储模块读取已存储的所有规则;当控制模块收到开始监测的操作指令时,控制模块发送开始监测的操作给工业网络监测模块,工业网络监测模块开始工业网络数据监测,将监测的结果发送给控制模块。
如图2所示,以ESIO工业协议为例,远程设定规则的过程如下:规则格式为规则设置界面通过可视化页面显示,规则设定支持选择多种工业协议,可以选择所要操作的工业协议。在没有输入时,处于等待状态,需要对规则进行新增操作或修改操作时,进入规则输入状态,在输入状态,页面会显示当前工业协议规则需要输入的字段,选择ESIO工业协议后,会显示该协议可以过滤的协议字段为源站点ID和目的站点ID,以及网络IP和网络端口等字段。依据工业协议的特征设计。对应字段填写内容后,对填写的字段取值进行实时校验,校验填写的内容是否符合语法和协议要求,校验通过后提交规则进行存储,规则内容存储采用固定的数据结构,操作符采用确定的枚举来规范描述。
校验用正则字符串匹配的方式,首先对规则的格式进行匹配。规则的格式需符合上述设计模式,按照关键字段、值操作符和取值的顺序排列,关键字段不允许出现设定字段以外的取值,操作符也只能使用设计要求中的操作,取值只能是符合字段要求的字符或数字。对规则中的关键字段进行正则匹配后,再记录值操作符和数值。例如,对ESIO协议的站点ID进行填写,会校验填写的值必须为数字且为正数,如果填入字母或复数,则会提示输入字段错误。
选择查询操作或删除操作时,页面首先会显示当前协议已有的所有规则,如果需要删除操作,则选择对应的规则执行删除操作,提交操作后对规则进行删除。
在监测可视化页面没有输入时,处于等待状态,在监测可视化页面选择所要监测的目标网络和配置监测特征参数后,通过远程操作,触发监测模块,执行开始监测的操作后,进入准备监测的状态,准备状态会首先读取已经存储的工业协议规则及其特征参数,特征参数主要是关键字段和取值,该实例中为ESIO协议的规则内容,例如“alert esio anyany -> any any (msg:"Suricata Esio detected"; flow:to_server; esio:source 7;sid:2251101; rev:1;)”发送给监测模块,监测模块实时抓取目标网络上的网络数据并解析,将工业协议的内容和设置规则中的内容进行匹配,匹配成功则记录内容到日志,并上报入侵事件和入侵信息至可视化页面。
如图3所示,监测模块包括检测模块和分别与检测模块连接的规则解析模块和工业网络数据读取模块,工业网络数据读取模块用于抓取ESIO协议数据包,包括网络数据获取单元、ESIO协议识别单元、ESIO协议数据包解析单元和ESIO协议规则匹配单元,网络数据获取单元实时抓取网络上的数据包,ESIO协议识别单元对数据包进行初步解析,识别出ESIO协议的数据包,ESIO协议数据包解析单元按照协议规定的格式,解析出ESIO协议的特征字段取值,ESIO协议规则匹配单元为ESIO协议设计了规则样式,该规则样式清晰的表达需要监测的协议目标字段内容,解析协议规则,并记录每条规则需要过滤的字段和字段取值,当ESIO协议的数据包中解析的字段与规则中的关键字段匹配且字段的取值也匹配,则该数据包为目标数据包,记录该数据包并上报。ESIO协议规则匹配单元,实现了ESIO协议的网络数据包实时监测与过滤,高效的防御网络入侵和捕获特征数据。
ESIO协议的数据包封装在UDP协议的数据包中,识别ESIO协议则需先识别到UDP协议,下表为ESIO协议报文头格式的字段样式:
header type ver len trans_id
包括ESIO协议的特征字段header、类型、版本号、长度和传输id,识别ESIO协议使用协议数据段头格式中的header字段,该字段为4个字节,内容为“esio”的字符串,ESIO协议的网络数据报文解析UDP协议之后,判断应用层协议报文的前4个字节是否为“esio”,如果是,即判定为ESIO协议。
识别ESIO协议后,进一步解析ESIO协议数据包的其他字段含义。ESIO协议的数据包除了协议头部的数据,剩余字段为ESIO协议数据段内容。根据ESIO协议头字段内的type取值,可以将ESIO协议分为ESIO诊断报文和数据传输报文,下表为ESIO协议状态诊断数据的格式:
sts_type sts_size src_stn_id rio_sts rio_tlgs_lost rio_diag rio_flag
ESIO诊断报文包含状态类型、状态长度、源站点的ID、RIO的状态、RIO丢失的信息、RIO诊断信息和RIO标志位。
下表为ESIO协议数据传输的报文格式:
Figure 745292DEST_PATH_IMAGE001
ESIO数据报文包含通信ID、源站点ID、数据段个数、数据段标志位,数据段包括data_nbr个固定格式的数据,数据包括数据传输ID、数据模板ID、数据长度和数据。
按上述格式,依次解析数据报文的每一个字节并按照对应的长度和意义进行分别存储,用来与规则进行匹配。
ESIO协议规则设计需依据ESIO协议深度解析的字段含义,提取关键字段用来甄别带有攻击的报文或获取有用的信息。设计协议规则,通过识别ESIO协议数据报文中的源站点ID、目标地址作为关键字段,通过源站点ID和目标站点ID来分析该报文是否属于组网内的已知设备,进而来确保系统安全。规则设计包括关键字段、值操作符和取值,其中关键字段使用字符串表示,与ESIO协议报文的字段一一对应,值操作符包括等于、不等于、大于或小于等,规则中的关键字段,按照顺序依次罗列,中间使用分隔符号分割。
针对ESIO的协议字段,可以选择源站点的ID或目标站点ID作为关键字段,使用大于、等于或小于操作符,添加地址值,以空格符合间隔,生成ESIO协议规则。如果报文内源站点的ID与规则所期望的源站点的ID匹配,则判断报文是目标报文。
当解析的ESIO协议报文中对应的字段取值符合规则含义,则该报文为目标报文。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的范围。

Claims (2)

1.一种远程设定规则并监测工业网络入侵的系统,包括规则设计模块、控制模块、规则存储模块和工业网络监测模块,其特征在于所述的控制模块分别与规则设计模块、规则存储模块和工业网络监测模块连接,规则设计模块发送操作指令给控制模块,发送新增或修改指令时同时发送已设定的规则,控制模块将操作结果返回规则设计模块,控制模块控制存储模块进行规则的存储或删除,控制模块从存储模块读取已存储的规则,控制模块控制工业网络监测模块对工业网络数据进行监测,工业网络监测模块将监测的结果返回控制模块;
远程设定规则的过程中,对填写的字段取值进行实时校验,校验填写的内容是否符合语法和协议要求,校验通过后提交规则进行存储;在监测可视化页面没有输入时,处于等待状态,在监测可视化页面选择所要监测的目标网络和配置监测特征参数后,通过远程操作,触发监测模块,执行开始监测的操作后,进入准备监测的状态,准备状态会首先读取已经存储的工业协议规则及其特征参数;
所述的工业网络监测模块包括检测模块和分别与检测模块连接的规则解析模块和工业网络数据读取模块,工业网络数据读取模块用于抓取协议数据包;
所述的工业网络数据读取模块包括网络数据获取单元、协议识别单元、协议数据包解析单元和协议规则匹配单元,网络数据获取单元抓取网络上的数据包,通过协议识别单元对数据包进行初步解析,再由协议数据包解析单元按协议规定的格式,深入解析出协议的特征字段,协议规则匹配单元将特征字段与所述规则进行匹配,并将匹配结果返回所述控制模块;协议规则匹配单元为协议设计了规则样式,按上述格式,依次解析数据报文的每一个字节并按照对应的长度和意义进行分别存储;
所述规则包括关键字段、值操作符和取值,协议规则匹配单元先匹配特征字段与关键字段,再匹配特征字段的取值是否符合值操作符和取值的要求。
2.一种远程设定规则并监测工业网络入侵的方法,其特征在于包括如下步骤:
S1,规则设计模块发送操作指令给控制模块,发送新增或修改指令时同时发送已设定的规则,控制模块将操作结果返回规则设计模块;
S2,控制模块控制存储模块进行规则的存储或删除,控制模块从存储模块读取已存储的规则;
S3,控制模块控制工业网络监测模块对工业网络数据进行监测,工业网络监测模块将监测的结果返回控制模块;
所述规则的新增或修改,包括如下步骤:
S11,按规则的格式新增或修改规则,选择工业协议并配置规则;
S12,规则校验,根据规则中字段的取值进行校验,校验取值是否符合语法和工业协议要求,校验采用正则字符串匹配的方式;
S13,对通过校验的规则进行存储;
所述的监测,包括如下步骤:
S21,选择所要监视的目标网络和规则后,开启监测;
S22,进入准备监测状态,读取已存储的规则并发送至所述的工业网络监测模块;
S23,工业网络监测模块抓取目标网络上的网络数据并解析,将工业协议的数据内容和规则中的内容进行匹配,匹配成功则记录内容到日志并上报;
所述的解析,包括如下步骤:
S231,对数据包进行初步解析;
S232,解析单元按协议规定的格式,深入解析出协议的特征字段;
S233,将特征字段与所述规则进行匹配;为协议设计了规则样式,按上述格式,依次解析数据报文的每一个字节并按照对应的长度和意义进行分别存储;
所述的规则包括关键字段、值操作符和取值,所述的匹配,是先匹配特征字段与关键字段,再匹配特征字段的取值是否符合值操作符和取值的要求。
CN202011091457.XA 2020-10-13 2020-10-13 一种远程设定规则并监测工业网络入侵的系统及方法 Active CN111988343B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011091457.XA CN111988343B (zh) 2020-10-13 2020-10-13 一种远程设定规则并监测工业网络入侵的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011091457.XA CN111988343B (zh) 2020-10-13 2020-10-13 一种远程设定规则并监测工业网络入侵的系统及方法

Publications (2)

Publication Number Publication Date
CN111988343A CN111988343A (zh) 2020-11-24
CN111988343B true CN111988343B (zh) 2021-03-02

Family

ID=73450983

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011091457.XA Active CN111988343B (zh) 2020-10-13 2020-10-13 一种远程设定规则并监测工业网络入侵的系统及方法

Country Status (1)

Country Link
CN (1) CN111988343B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112532642B (zh) * 2020-12-07 2022-05-20 河北工业大学 一种基于改进Suricata引擎的工控系统网络入侵检测方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103685224A (zh) * 2013-09-05 2014-03-26 北京安博达通科技有限责任公司 网络入侵检测方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7904942B2 (en) * 2008-02-22 2011-03-08 Inventec Corporation Method of updating intrusion detection rules through link data packet
CN104811437B (zh) * 2015-03-16 2017-12-22 南京麦伦思科技有限公司 一种工业控制网络中生成安全策略的系统和方法
US11334067B2 (en) * 2018-04-11 2022-05-17 Hyundai Motor Company Apparatus and method for providing safety strategy in vehicle

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103685224A (zh) * 2013-09-05 2014-03-26 北京安博达通科技有限责任公司 网络入侵检测方法

Also Published As

Publication number Publication date
CN111988343A (zh) 2020-11-24

Similar Documents

Publication Publication Date Title
US9848004B2 (en) Methods and systems for internet protocol (IP) packet header collection and storage
US7903566B2 (en) Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data
US8726382B2 (en) Methods and systems for automated detection and tracking of network attacks
US7996523B2 (en) Free string match encoding and preview
CN102594625B (zh) 一种apt智能检测分析平台中的白数据过滤方法及系统
CN109600317B (zh) 一种自动识别流量并提取应用规则的方法及装置
EP2244418A1 (en) Database security monitoring method, device and system
US20100046393A1 (en) Methods and systems for internet protocol (ip) traffic conversation detection and storage
CN110401624A (zh) 源网荷系统交互报文异常的检测方法及系统
US20100050084A1 (en) Methods and systems for collection, tracking, and display of near real time multicast data
CN112532642B (zh) 一种基于改进Suricata引擎的工控系统网络入侵检测方法
CN105491018B (zh) 一种基于dpi技术的网络数据安全性分析方法
CN107612730A (zh) 一种日志采集分析方法、装置以及系统
CN104022924A (zh) 一种http通信内容检测的方法
US20030084340A1 (en) System and method of graphically displaying data for an intrusion protection system
CN111988343B (zh) 一种远程设定规则并监测工业网络入侵的系统及方法
CN106250290A (zh) 异常信息的分析方法及装置
CN112887274A (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN109614518A (zh) 一种网络流量数据存储、还原方法及系统
CN106657145B (zh) 一种基于通信协议和sql语法的数据库自动发现方法
CN114244609A (zh) 用于工业防火墙的Modbus TCP协议防护方法
US20220309034A1 (en) Method and system for performing unification processing on multi-format logs in security situation awareness system
CN112640392B (zh) 一种木马检测方法、装置和设备
CN112217896A (zh) 一种json报文转换方法以及相关装置
Tian et al. Industrial control intrusion detection model based on s7 protocol

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant