CN113098846A - 工控流量监测方法、设备、存储介质及装置 - Google Patents

Abstract

本发明公开了一种工控流量监测方法、设备、存储介质及装置，相较于现有的仅对工控流量的流量大小进行异常监测，本发明中，通过基于网络交换机镜像端口获取工控网络中的交换机的工控流量匹配的镜像流量；对镜像流量进行异常检测，以确定工控流量中是否存在异常流量；若工控流量中存在异常流量，则通知工控网络中的交换机进行安全防控，通过网络交换机镜像端口来获取工控网络中的交换机的工控流量匹配的镜像流量，可实现在不破坏工控网络的工作状态下对工控流量进行深层次异常检测分析，从而优化工控流量监测过程，进一步提高安全防控效果。

Description

工控流量监测方法、设备、存储介质及装置

技术领域

本发明涉及工控技术领域，尤其涉及一种工控流量监测方法、设备、存储介质及装置。

背景技术

目前，目前市面上有很多针对传统互联网流量的异常流量监测系统，传统互联网流量的异常流量检测手段一般包括异常域名、异常URL、异常DNS等检测手段，而针对工控流量，由于工业控制中的工控流量大多是由工控设备按照生产工艺自动产生，与大部分由人为产生的互联网流量有极大的区别，因此传统的互联网流量检测手段无法检测出工控流量中的异常流量。

从工控流量中发现异常流量是保护工控系统的手段之一，因此充分了解工业控制系统流量的特点有利于更好地开发有效的威胁检测手段。目前大部分的研究都是基于在不同时间尺度上对工控流量波动幅度进行周期性观察，仅仅是对工控流量的流量大小进行异常监测，却没有对工控流量进行深层次监测分析。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种工控流量监测方法、设备、存储介质及装置，旨在解决如何优化工控流量监测过程的技术问题。

为实现上述目的，本发明提供一种工控流量监测方法，应用于旁路监听服务器，其中，所述旁路监听服务器通过交换机镜像端口与工控网络中的交换机连接，所述工控流量监测方法包括以下步骤：

基于所述网络交换机镜像端口获取所述工控网络中的交换机的工控流量匹配的镜像流量；

对所述镜像流量进行异常检测，以确定所述工控流量中是否存在异常流量；

若所述工控流量中存在异常流量，则通知所述工控网络中的交换机进行安全防控。

此外，为实现上述目的，本发明还提出一种工控流量监测设备，所述工控流量监测设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工控流量监测程序，所述工控流量监测程序配置为实现如上文所述的工控流量监测方法的步骤。

此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有工控流量监测程序，所述工控流量监测程序被处理器执行时实现如上文所述的工控流量监测方法的步骤。

此外，为实现上述目的，本发明还提出一种工控流量监测装置，所述工控流量监测装置包括：获取模块、检测模块和防控模块；

获取模块，用于基于所述网络交换机镜像端口获取所述工控网络中的交换机的工控流量匹配的镜像流量；

检测模块，用于对所述镜像流量进行异常检测，以确定所述工控流量中是否存在异常流量；

防控模块，用于若所述工控流量中存在异常流量，则通知所述工控网络中的交换机进行安全防控。

本发明提出的工控流量监测方法，通过基于网络交换机镜像端口获取工控网络中的交换机的工控流量匹配的镜像流量；对镜像流量进行异常检测，以确定工控流量中是否存在异常流量；若工控流量中存在异常流量，则通知工控网络中的交换机进行安全防控，相比现有技术中仅对工控流量的流量大小进行异常监测，本发明提出的工控流量监测方法通过网络交换机镜像端口来获取工控网络中的交换机的工控流量匹配的镜像流量，可实现在不破坏工控网络的工作状态下对工控流量进行深层次异常检测分析，从而优化工控流量监测过程，进一步提高安全防控效果。

附图说明

图1是本发明实施例方案涉及的硬件运行环境的工控流量监测设备的结构示意图；

图2为本发明工控流量监测方法第一实施例的流程示意图；

图3为本发明工控流量监测方法一实施例涉及的旁路监听服务器与工控网络中的交换机的连接示意图；

图4为本发明工控流量监测方法第二实施例的流程示意图；

图5为本发明工控流量监测方法第三实施例的流程示意图；

图6为本发明工控流量监测方法第四实施例的流程示意图；

图7为本发明工控流量监测方法第五实施例的流程示意图；

图8为本发明工控流量监测方法第六实施例的流程示意图；

图9为本发明工控流量监测装置一实施例的结构框图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

参照图1，图1为本发明实施例方案涉及的硬件运行环境的工控流量监测设备结构示意图。

如图1所示，该工控流量监测设备可以包括：处理器1001，例如中央处理器(Central Processing Unit，CPU)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)，可选用户接口1003还可以包括标准的有线接口、无线接口，对于用户接口1003的有线接口在本发明中可为USB接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity，WI-FI)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory，RAM)存储器，也可以是稳定的存储器(Non-volatileMemory，NVM)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的结构并不构成对工控流量监测设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，认定为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及工控流量监测程序。

在图1所示的工控流量监测设备中，网络接口1004主要用于连接后台服务器，与所述后台服务器进行数据通信；用户接口1003主要用于连接用户设备；所述工控流量监测设备通过处理器1001调用存储器1005中存储的工控流量监测程序，并执行本发明实施例提供的工控流量监测方法。

基于上述硬件结构，提出本发明工控流量监测方法的实施例。

参照图2，图2为本发明工控流量监测方法第一实施例的流程示意图，提出本发明工控流量监测方法第一实施例。

在第一实施例中，所述工控流量监测方法包括以下步骤：

步骤S10：基于所述网络交换机镜像端口获取所述工控网络中的交换机的工控流量匹配的镜像流量；

应当理解地，本发明提出的工控流量监测方法应用于旁路监听服务器，具体而言，旁路监听指代通过交换机等网络设备的“端口镜像”功能来实现监控，在此模式下，监控设备只需要连接到交换机的指定镜像端口，即可对经过交换机的流量进行监控。

需要说明的是，工控网络与传统的互联网网络构造不同，工控网络的部署分层比较简单，一般典型的工业现场网络大多分为企业管理层、MES(制造企业生产过程执行管理系统)层、过程监控层、现场控制层及现场设备层，其中，企业管理层一般包括OA(办公自动化)系统、ERP(企业资源计划)系统、企业数据库服务器等，MES层一般包括一些仓储管理系统、历史数据库等，过程监控层一般包括工程师站、HMI(人机接口)、SCADA(数据采集与监视控制系统)等，现场控制层，一般包括PLC(控制系统)/DCS(分布式控制系统)等，现场设备层一般包括传感器，电动机、阀门等。可见企业管理层及MES层属于传统互联网侧网络，过程监控层及现场控制层之间的交互是纯工控协议网络的交互，现场设备层为物理设备，因此本实施例中采用在过程监控层及现场控制层之间旁路监听工控网络的数据，通过分析具体的工控网络的数据，发现一些异常行为，以便及早采取预防措施，防止更严重的后果产生，此外，参考图3，工控网络中过程监控层及现场控制层之间基于交换机进行数据交互，因此本实施例中，旁路监听服务器通过交换机镜像端口与工控网络中的交换机连接，在此模式下，旁路监听服务器只需要连接到交换机的指定镜像端口，即可对经过交换机的工控流量进行监控。

本实施例中，上述旁路监听服务器的数量可包括一个或多个，例如，为工控网络中的每一个交换机均配置一台旁路监听服务器，或为工控网络中的多个交换机配置一台旁路监听服务器，本实施例对此不作限制。

应当理解地，镜像是一种文件存储形式，是冗余的一种类型，一个磁盘上的数据在另一个磁盘上存在一个完全相同的副本即为镜像，因此上述镜像端口指代可将某些数据镜像到指定的镜像目的端口，本实施例中，通过将经过交换机的某些工控流量映射到网络交换机镜像端口，以便获取获取工控网络中的交换机的工控流量匹配的镜像流量，应当理解地，镜像流量即为与工控网络中的交换机的工控流量的数据内容完全相同的副本。

且容易理解的是，本实施例中，工控流量可大致分为两种，一种为工控网络中的至少一个工控设备进行工控作业时产生的流量数据，例如工控设备A与工控设备B之间的控制指令交互对应流量数据、工控设备A与工控设备B之间的数据库进行交互时对应的流量数据、工控设备A与工控设备B之间的工控协议进行交互时对应的流量数据等，另一种为旁路监听服务器基于网络交换机镜像端口向工控网络进行网络安全测试时产生的流量数据，例如本实施例中，通过扫描工具例如nmap(网络映射器)从网络交换机镜像端口发送工控网络对应的开放端口扫描测试指令，以通过开放端口扫描测试指令获取开放端口扫描测试对应的流量数据。

步骤S20：对所述镜像流量进行异常检测，以确定所述工控流量中是否存在异常流量；

容易理解的是，本实施例中，镜像流量即为与工控网络中的交换机的工控流量的数据内容完全相同的副本，因此对镜像流量进行异常检测时的检测结果即为工控流量对应的检测结果。

具体而言，在实际应用中，上述异常流量指代会对工控网络存在威胁的数据，例如导致工控网络瘫痪的控制指令、导致工控数据信息泄露的源IP、数据请求及故障设备信息等、篡改敏感工控数据的数据请求或指令等，例如温度阈值控制参数，时间范围控制参数等，这些参数一旦遭受到篡改带来的风险是不可预估的，此外对于一些加密块的错误密码访问请求等也被视为对工控网络存在威胁的请求数据。

此外，值得一提的是，本实施例的上述异常检测的检测手段基于镜像流量对应的流量类型确定，例如，当镜像流量对应的流量类型为工控协议报文时，则其对应的检测手段可为对工控协议报文进行协议报文解析，以进行异常检测，当镜像流量对应的流量类型为数据请求时，其对应的检测手段可为对工控协议报文进行协议报文解析，以进行异常检测，当镜像流量对应的流量类型为工控网络中的源IP时，其对应的检测手段可为源IP进行源IP行为分析，以进行异常检测等。

为了便于理解，本实施例对步骤S200举例进行具体说明。

例如，对于一待检测的镜像流量，应当理解地，本实施例中是将经过交换机的某些工控流量映射到网络交换机镜像端口，因此镜像流量实际是镜像文件，具体而言，镜像文件其实和rar ZIP压缩包类似，它将特定的一系列文件按照一定的格式制作成单一的文件，因此在对镜像流量进行异常检测之前，需先对镜像流量进行解压，以将镜像流量解压成一个或多个流量文件，以便后续进行异常检测，此外应当理解地，在数据通信中为保证数据通信网中通信双方能有效，可靠通信而规定通信双方约定一种特定数据通信方式进行数据通信，即数据通信协议，因此工控网络中的交换机的工控流量是一种或多种特定数据通信协议格式的数据，即镜像流量解压后的一个或多个流量文件是一种或多种特定数据通信协议格式的数据文件，因此为了提高异常检测结果的精准率，本实施例中在对一个或多个流量文件进行异常检测之前，先获取工控网络中的交换机与其他工控设备之间的数据通信规则，即旁路监听服务器通过交换机镜像端口获取交换机的端口信息、IP地址信息及交换机与其他工控设备的一种或多种工控通信协议，以基于上述数据通信规则对流量文件进行解析，进而对解析结果进行异常流量检测，其中，解析结果指代具体的流量数据、例如源IP、请求、指令、报文等流量数据。

且容易理解的是，本实施例中通过对镜像流量进行异常检测，由于镜像流量即为与工控网络中的交换机的工控流量的数据内容完全相同的副本，因此对镜像流量进行异常检测时的检测结果即为工控流量对应的检测结果，即可实现在不破坏工控网络的工作状态下对工控流量进行深层次异常检测分析，从而优化工控流量监测过程，进一步提高安全防控效果。

步骤S30：若所述工控流量中存在异常流量，则通知所述工控网络中的交换机进行安全防控。

从工控流量中发现异常流量是保护工控系统的手段之一，因此本实施例中，在检测到工控流量中存在异常流量之后，立即启动相应的安全防控策略，以防止更严重的事故发生。

具体而言，在实际应用中，一些异常流量仅会导致工控网络短暂的卡顿，而一些异常流量则会导致工控网络瘫痪或工控网络中的一些工控设备顺坏等，则在检测到工控流量中存在异常流量之后，可选地，先确定异常流量的异常等级，在根据异常流量的异常等级通知工控网络中的交换机进行安全防控。

此外，值得一提的是，在本实施例中上述异常流量的异常等级指代异常流量所导致后果的严重等级，例如当异常流量所导致的后果是工控网络短暂的卡顿，则其对应的异常等级为低等级，当异常流量所导致的后果是工控网络瘫痪或工控网络中的一些工控设备顺坏时，其对应的异常等级为中等级或高等级，其中，各等级的设定标准可为工控网络的网络监管员设定。

此外，在一些实施例中，上述安全防控策略还可为在检测到工控流量中存在异常流量之后，对相应的异常流量启动拦截机制，例如当检测到工控网络中存在异常源IP时，则将异常源IP加入黑名单中以进行拦截，或者对异常源IP的行为进行追踪，并对异常源IP对应的异常行为进行拦截等，本实施例对此并不限制。

且容易理解的是，在一些实施例中，若旁路监听服务器仅具备监听功能，或者由于工控网络中部分信息不可泄露的原因，旁路监听服务器在检测出异常流量之后，无法生成相应的安全防控策略，因此为了提高安全防控的灵活性，上述若所述工控流量中存在异常流量，则通知所述工控网络中的交换机进行安全防控的实施方案包括：

若所述工控流量中存在异常流量，则生成所述异常流量对应的异常流量列表清单；

发送携带有所述异常流量列表清单的防控指令至所述工控网络中的交换机，以通知所述工控网络中的交换机进行安全防控。

具体而言，上述异常流量列表清单指代异常源IP、异常数据请求、异常报文等具体的异常流量数据所构成的列表清单，本实施例中，在旁路监听服务器无法生成相应的安全防控策略时，可发送携带有异常流量列表清单的防控指令至工控网络中的交换机，以通知工控网络中的交换机进行安全防控，由此提高了安全防控的灵活性。

此外，在一些实施例中，上述若所述工控流量中存在异常流量，则通知所述工控网络中的交换机进行安全防控的步骤之后，还包括：

获取所述异常流量对应的安全防控结果；

根据所述安全防控结果及所述异常流量生成安全防控日志。

具体而言，上述安全防控日志中记载了异常流量对应的异常信息、异常流量对应的安全防控策略及安全防控策略对应的安全防控结果。

本实施例中，在交换机进行安全防控之后，根据异常流量对应的安全防控结果生成相应的安全防控日志，由此有助于后期工控网络进行维修时进行故障追溯，此外，当再次出现相同的异常流量时，基于上述安全防控日志可进一步提高安全防控速度及安全防控效果，容易理解地是，安全防控日志中记载了异常流量对应的异常信息、异常流量对应的安全防控策略及安全防控策略对应的安全防控结果，若安全防控结果为安全防控有效，则可直接采用安全防控日志中记载的安全防控策略进行安全防控，无需再次对异常流量进行分析以生成相应的安全防控策略，而若安全防控结果为安全防控无效，则基于安全防控日志中记载的安全防控策略生成新的安全防控策略，由此避免安全防控策略对应的策略结无效。

本实施例中，通过基于网络交换机镜像端口获取工控网络中的交换机的工控流量匹配的镜像流量；对镜像流量进行异常检测，以确定工控流量中是否存在异常流量；若工控流量中存在异常流量，则通知工控网络中的交换机进行安全防控，相比现有技术中仅对工控流量的流量大小进行异常监测，本发明提出的工控流量监测方法通过网络交换机镜像端口来获取工控网络中的交换机的工控流量匹配的镜像流量，可实现在不破坏工控网络的工作状态下对工控流量进行深层次异常检测分析，从而优化工控流量监测过程，进一步提高安全防控效果。

进一步地，基于本发明工控流量监测方法的第一实施例，提出本发明工控流量监测方法第二实施例。

参照图4，图4为本发明工控流量监测方法第二实施例的流程示意图；

所述工控流量监测方法第二实施例与所述工控流量监测方法第一实施例的区别在于，所述对所述镜像流量进行异常检测，以确定所述工控流量中是否存在异常流量的步骤还包括：

步骤S2010：对所述镜像流量进行协议分析，以获取所述工控流量对应的至少一工控协议报文；

步骤S2011：分别对各所述工控协议报文进行报文解析，以获取各所述工控协议报文中携带的至少一功能码；

步骤S2012：将各所述功能码与预设功能码黑名单进行匹配，生成第一匹配结果；

步骤S2013：判断与各所述功能码分别对应的第一匹配结果中是否存在第一目标匹配结果，其中，所述第一目标匹配结果为匹配成功；

步骤S2014：若存在第一目标匹配结果，则判定所述工控流量中存在异常流量，并将所述第一目标匹配结果对应的工控协议报文作为异常流量；以及，

步骤S2015：若不存在第一目标匹配结果，判定所述工控流量中不存在异常流量。

应当理解地，一般常见的工控协议报文中包含了大量的功能码，如读、写数据等，其中有一部分高级的功能码带有自定义功能往往给用户安全带来很多危险，如Modbus通讯协议中的0x5A功能码可能导致CPU进入停机状态，0x08功能码可能导致设备进入待机状态，0x43功能码有可能正在导致设备以及固件版本信息泄露等，因此本实施例中，为了实现对工控流量进行深层次监测分析，在获取镜像流量之后，对镜像流量进行协议分析，即识别镜像流量中的数据通信协议，以从镜像流量中提取出工控协议报文，此外，本实施例中，镜像流量即为与工控网络中的交换机的工控流量的数据内容完全相同的副本，因此对镜像流量进行异常检测时的检测结果即为工控流量对应的检测结果，即从镜像流量中提取出的工控协议报文即为工控流量对应的工控协议报文。

此外，值得注意的是，由于一些工控协议报文中会包含给工控网络安全带来威胁的功能码，因此本实施例中分别对各工控协议报文进行报文解析，以获取各工控协议报文中携带的至少一功能码，具体地，基于各工控协议报文的工控协议类型，启动相应的报文解析手段对工控协议报文进行报文解析，需要说明的是，本实施例中报文解析手段与现有技术相同，因此本实施例中在此不再赘述。

此外，在实际应用中，一些高危功能码通常是从工程师站、人机接口、数据采集与监视控制系统端发起的，因此本实施例中，上述预设功能码黑名单中包括给工控网络安全带来威胁的某一特定的功能码，还包括给工控网络安全带来威胁的某一特定主机所包含的功能码等，本实施例对此并不限制。

本实施例中，通过对镜像流量进行协议分析，以获取工控流量对应的至少一工控协议报文；分别对各工控协议报文进行报文解析，以获取各工控协议报文中携带的至少一功能码；将各功能码与预设功能码黑名单进行匹配，生成第一匹配结果；判断与各功能码分别对应的第一匹配结果中是否存在第一目标匹配结果，若存在第一目标匹配结果，则判定工控流量中存在异常流量，并将第一目标匹配结果对应的工控协议报文作为异常流量；以及，若不存在第一目标匹配结果，判定工控流量中不存在异常流量，由此对异常流量进行深层次异常功能码检测分析，从而优化工控流量监测过程，进一步提高安全防控效果。

进一步地，基于本发明工控流量监测方法的第一实施例，提出本发明工控流量监测方法第三实施例。

参照图5，图5为本发明工控流量监测方法第三实施例的流程示意图；

所述工控流量监测方法第三实施例与所述工控流量监测方法第一实施例的区别在于，所述对所述镜像流量进行异常检测，以确定所述工控流量中是否存在异常流量的步骤还包括：

步骤S2020：对所述镜像流量进行数据请求分析，以获取所述工控流量对应的至少一数据请求；

步骤S2021：判断所述至少一数据请求中是否存在异常数据请求；

步骤S2022：若存在异常数据请求，则判定所述工控流量中存在异常流量，并将所述异常数据请求为异常流量；以及，

步骤S2023：若不存在异常数据请求，则判定所述工控流量中不存在异常流量。

应当理解地，一些敏感数据例如温度阈值控制参数，时间范围控制参数等，这些参数一旦遭受到篡改带来的风险是不可预估的，因此该类数据仅允许被访问而不能被篡改等，因此当检测到该类数据对应的篡改请求时，可判定该类请求为异常数据请求，此外，对于一些加密块的错误密码访问请求等也被视为对工控网络存在威胁的异常数据请求。

具体地，为了便于理解，本实施例对上述判断所述至少一数据请求中是否存在异常数据请求的实施方案具体说明：

确定各所述数据请求对应的数据请求类型及各所述数据请求对应的请求对象；

将各所述数据请求对应的数据请求类型与各所述数据请求对应的请求对象的预设操作权限进行匹配，生成第二匹配结果；

判断与各所述数据请求对应的第二匹配结果中是否存在第二目标匹配结果，其中，所述第二目标匹配结果为匹配不成功；

若存在第二目标匹配结果，则判定所述工控流量中存在异常流量，并将所述第二目标匹配结果对应的异常数据请求作为异常流量；以及，

若不存在第二目标匹配结果，判定所述工控流量中不存在异常流量。

具体而言，上述请求对象指代具体的数据或数据存储对象，例如一些敏感数据会放在被保护的加密存储块中，这些加密存储块往往是不能被修改的，因此该加密存储块对应的预设操作权限为数据存储权限及数据预览权限，则当接收到数据更改请求时，该数据更改请求对应的数据请求类型为更改数据，显然两者匹配不成功，则判定该数据更改请求为异常数据请求。

此外，在另一实施例中，当数据请求中携带有用于解密的解密数据时，确定该数据请求对应的请求对象真实的解密数据，将该数据请求中携带的解密数据与该数据请求对应的请求对象真实的解密数据进行匹配，当匹配不成功时，则判定该数据更改请求为异常数据请求。

本实施例中，通过对镜像流量进行数据请求分析，以获取工控流量对应的至少一数据请求；判断至少一数据请求中是否存在异常数据请求；若存在异常数据请求，则判定工控流量中存在异常流量，并将异常数据请求为异常流量；以及，若不存在数据请求，则判定工控流量中不存在异常流量，由此对异常流量进行深层次异常数据请求检测分析，从而优化工控流量监测过程，进一步提高安全防控效果。

进一步地，基于本发明工控流量监测方法的第一实施例，提出本发明工控流量监测方法第四实施例。

参照图6，图6为本发明工控流量监测方法第四实施例的流程示意图；

所述工控流量监测方法第四实施例与所述工控流量监测方法第一实施例的区别在于，所述对所述镜像流量进行异常检测，以确定所述工控流量中是否存在异常流量的步骤还包括：

步骤S2030：对所述镜像流量进行数据报文分析，以获取所述工控流量对应的至少一数据报文；

步骤S2031：分别对各所述数据报文进行报文解析，以获取各所述数据报文中携带的至少一数据包；

步骤S2032：统计各所述数据包的字符长度；

步骤S2033：判断各所述数据包的字符长度中是否存在异常字符长度；

步骤S2034：若存在异常字符长度，则判定所述工控流量中存在异常流量，并将所述异常字符长度对应的数据包对应的数据报文作为异常流量；以及，

步骤S2035：若不存在异常字符长度，则判定所述工控流量中不存在异常流量。

具体而言，在实际应用中，在工控协议中，一般的访问请求数据包的长度是有大小限制的，过长的数据包一般都不是正常的访问请求，比如在modbus协议中，对某些型号的斯奈德设备下发payload超过260字节的数据会导致设备的拒绝服务。

因此本实施例中，当工控流量中存在数据报文时，分别对各数据报文进行报文解析，以获取各数据报文中携带的至少一数据包，接着统计各数据包的字符长度，当数据包的字符长度为异常字符长度，判定该数据报文作为异常流量。

具体而言，上述异常字符长度指代字符长度超出预设字符阈值，或字符长度与该数据报文对应的报文类型不匹配等，例如，当数据报文的报文类型为访问数据请求对应的数据报文，则当该数据报文中携带的数据包的字符长度超过正常访问请求对应的字符长度时，表明该数据包中可能存在篡改数据的字符指令，因此本实施例中通过监控数据包的字符长度来避免严重后果产生。

本实施例中，通过对镜像流量进行数据报文分析，以获取工控流量对应的至少一数据报文；分别对各数据报文进行报文解析，以获取各数据报文中携带的至少一数据包；统计各数据包的字符长度；判断各数据包的字符长度中是否存在异常字符长度；若存在异常字符长度，则判定工控流量中存在异常流量，并将异常字符长度对应的数据包对应的数据报文作为异常流量，由此对异常流量进行深层次异常数据包检测分析，从而优化工控流量监测过程，进一步提高安全防控效果。

进一步地，基于本发明工控流量监测方法的第一实施例，提出本发明工控流量监测方法第五实施例。

参照图7，图7为本发明联邦建模方法第五实施例的流程示意图；

所述工控流量监测方法第五实施例与所述工控流量监测方法第一实施例的区别在于，所述对所述镜像流量进行异常检测，以确定所述工控流量中是否存在异常流量的步骤还包括：

步骤S2040：对所述镜像流量执行指定IP查询操作，以获取所述工控流量中各源IP的端口信息；

步骤S2041：根据所述各源IP的端口信息确定所述工控流量中是否存在异常流量。

具体而言，上述指定IP查询操作指代对流量数据进行IP源统计，其中，IP源指代发起流量行为的IP，应当理解地，正常情况下，工控网络中一个源IP通常仅访问一个端口，或访问某几个特定的端口，因此当一个源IP的端口访问数量异常时，可判定该源IP出现异常行为，例如一个源IP即尝试连接了modbusTcp的502端口，又尝试连接了s7common的102端口，此外还尝试连接了其他工控协议的端口等，则此源IP可被视为异常源IP。

为了便于理解，本实施例对上述根据所述各源IP的端口信息确定所述工控流量中是否存在异常流量的实施方案具体说明：

根据所述各源IP的端口信息，统计所述各源IP对应的端口访问数量；

判断所述各源IP对应的端口访问数量中是否存在异常端口访问数量；

若存在异常端口访问数量，则判定所述工控流量中存在异常流量，并将所述异常端口访问数量对应的源IP作为异常流量；以及，

若不存在异常端口访问数量，则判定所述工控流量中不存在异常流量。

应当理解地，上述异常端口访问数量指代预设时间内源IP尝试连接或访问的端口数量超出预设阈值，当预设时间内源IP尝试连接或访问的端口数量超出预设阈值时，将该源IP作为异常流量，以通知工控网络中的交换机及时进行安全防控，从而避免严重后果产生。

本实施例中，通过对镜像流量执行指定IP查询操作，以获取工控流量中各源IP的端口信息；根据各源IP的端口信息确定工控流量中是否存在异常流量，由此对异常流量进行深层次源IP检测分析，从而优化工控流量监测过程，进一步提高安全防控效果。

进一步地，基于本发明工控流量监测方法的第一实施例，提出本发明工控流量监测方法第六实施例。

参照图8，图8为本发明联邦建模方法第六实施例的流程示意图；

所述工控流量监测方法第六实施例与所述工控流量监测方法第一实施例的区别在于，所述若所述工控流量中存在异常流量，则通知所述工控网络中的交换机进行安全防控的步骤包括：

步骤S301：若所述工控流量中存在异常流量，则发送部署方案获取请求至所述工控网络中的交换机；

步骤S302：接收所述工控网络中的交换机反馈的工控网络部署方案；

步骤S303：根据所述异常流量及所述工控网络部署方案生成第一安全防控策略；

步骤S304：发送所述第一安全防控策略至所述工控网络中的交换机，以通知所述工控网络中的交换机进行安全防控。

应当理解地，在一实施例中，当工控网络中的交换机的负载过大时，为了减轻工控网络中的交换机的工作压力，旁路监听服务器可获取工控网络中的工控网络部署方案，以由旁路监听服务器生成相应的安全防控策略，由工控网络中的交换机执行相应的安全防控策略。

具体而言，上述工控网络部署方案指代工控网络中的网络构造，例如企业管理层、MES层、过程监控层、现场控制层及现场设备层的构造、工控网络中的工控通信协议、各设备的IP地址、端口信息等。本实施例中在获取到交换机反馈的工控网络部署方案之后，可选地，对异常流量进行流量源头警告或者拦截，例如当异常流量为异常数据请求时，则对异常数据请求进行解析，以获取异常数据请求的请求发起端的身份标识，例如主机代号，接着基于交换机反馈的工控网络部署方案确定该身份标识对应的设备信息，以根据设备信息生成相应的安全防控策略。

此外，在实际应用中，异常流量可能为异常源IP、异常请求、异常报文等，因此本实施例中针对不同类型的异常流量生成不同的第一安全防控策略，为了便于理解，本实施例对上述根据所述异常流量及所述工控网络部署方案生成第一安全防控策略的实施方案具体说明：

情况一：

若所述异常流量为第一目标匹配结果对应的工控协议报文，则根据所述工控网络部署方案确定所述第一目标匹配结果对应的工控协议报文对应的协议报文发送端及协议报文接收端；

根据所述协议报文发送端及协议报文接收端生成第一安全防控策略。

具体而言，上述第一目标匹配结果指代工控协议报文中携带的至少一功能码存在于与预设功能码黑名单中，应当理解地，一般常见的工控协议报文中包含了大量的功能码，如读、写数据等，其中有一部分高级的功能码带有自定义功能往往给用户安全带来很多危险，如Modbus通讯协议中的0x5A功能码可能导致CPU进入停机状态，0x08功能码可能导致设备进入待机状态，0x43功能码有可能正在导致设备以及固件版本信息泄露等，此外，一些高危功能码通常是从工程师站、人机接口、数据采集与监视控制系统端发起的，因此本实施例中，上述预设功能码黑名单中包括给工控网络安全带来威胁的某一特定的功能码，还包括给工控网络安全带来威胁的某一特定主机所包含的功能码等，本实施例对此并不限制。

应当理解地，工控协议报文存在对应的协议报文发送端及协议报文接收端，因此本实施例中，在异常流量为第一目标匹配结果对应的工控协议报文后，基于工控协议报文的报文解析结果及工控网络部署方案确定所述第一目标匹配结果对应的工控协议报文对应的协议报文发送端及协议报文接收端，以根据协议报文发送端及协议报文接收端生成第一安全防控策略，例如发送警告提示消息至协议报文发送端和/或协议报文接收端，或通知工控网络中的交换机断开协议报文发送端与协议报文接收端之间的通信连接，或将协议报文发送端加入至黑名单等，本实施例对此并不限制。

情况二：

若所述异常流量为异常端口访问数量对应的源IP，则根据所述工控网络部署方案确定所述异常端口访问数量对应的源IP匹配的目标主机信息；

根据所述目标主机信息生成第一安全防控策略。

具体而言，上述异常端口访问数量指代预设时间内源IP尝试连接或访问的端口数量超出预设阈值，例如一个源IP即尝试连接了modbusTcp的502端口，又尝试连接了s7common的102端口，此外还尝试连接了其他工控协议的端口等，则此源IP可被视为异常源IP，因此本实施例中为了提高工控网络的安全性，在监测到异常源IP之后，根据工控网络部署方案确定出源IP匹配的目标主机信息，其中，本实施例中，上述目标主机可包括源IP发送方对应的主机，还包括源IP访问端口方的主机，进而根据目标主机信息对源发送方对应的主机进行监管，或发送警示提示消息至源IP访问端口方的主机等，从而提高工控网络安全。

此外，在一些实施例中，当异常流量为异常数据请求时，则根据工控网络部署方案确定异常数据请求对应的请求发起端及请求接收端；根据请求发起端及请求接收端生成第一安全防控策略，此外，当异常流量为异常数据报文时，则根据工控网络部署方案确定异常数据报文对应的数据报文生成端及数据报文接收端；根据数据报文生成端及数据报文接收端生成第一安全防控策略等，在此不再赘述。

在本实施例中，通过若工控流量中存在异常流量，则发送部署方案获取请求至工控网络中的交换机；接收工控网络中的交换机反馈的工控网络部署方案；根据异常流量及工控网络部署方案生成第一安全防控策略；发送第一安全防控策略至工控网络中的交换机，以通知工控网络中的交换机进行安全防控，由此提高了工控网络的安全性，此外，由旁路监听服务器生成相应的安全防控策略，即减轻工控网络中的交换机的工作压力，又提高了安全防控的灵活性。

此外，本发明实施例还提出一种存储介质，所述存储介质上存储有工控流量监测程序，所述工控流量监测程序被处理器执行时实现如上文所述的工控流量监测方法的步骤。

此外，本实施例还提供一种工控流量装置。参照图9，图9为本发明工控流量装置第一实施例的功能模块示意图。

本实施例中，所述工控流量装置为虚拟装置，存储于图1所示的工控流量设备的存储器1005中，以实现工控流量程序的所有功能：用于基于所述网络交换机镜像端口获取所述工控网络中的交换机的工控流量匹配的镜像流量；用于对所述镜像流量进行异常检测，以确定所述工控流量中是否存在异常流量；用于若所述工控流量中存在异常流量，则通知所述工控网络中的交换机进行安全防控。

具体地，参照图9，所述工控流量装置包括：

获取模块10，用于基于所述网络交换机镜像端口获取所述工控网络中的交换机的工控流量匹配的镜像流量；

检测模块20，用于对所述镜像流量进行异常检测，以确定所述工控流量中是否存在异常流量；

此外，在一实施例中，上述检测模块，还用于对所述镜像流量进行协议分析，以获取所述工控流量对应的至少一工控协议报文；

所述检测模块，还用于分别对各所述工控协议报文进行报文解析，以获取各所述工控协议报文中携带的至少一功能码；

所述检测模块，还用于将各所述功能码与预设功能码黑名单进行匹配，生成第一匹配结果；

所述检测模块，还用于判断与各所述功能码分别对应的第一匹配结果中是否存在第一目标匹配结果，其中，所述第一目标匹配结果为匹配成功；

所述检测模块，还用于若存在第一目标匹配结果，则判定所述工控流量中存在异常流量，并将所述第一目标匹配结果对应的工控协议报文作为异常流量；以及，

所述检测模块，还用于若不存在第一目标匹配结果，判定所述工控流量中不存在异常流量。

此外，在一实施例中，上述检测模块，还用于对所述镜像流量进行数据请求分析，以获取所述工控流量对应的至少一数据请求；

所述检测模块，还用于判断所述至少一数据请求中是否存在异常数据请求；

所述检测模块，还用于若存在异常数据请求，则判定所述工控流量中存在异常流量，并将所述异常数据请求为异常流量；以及，

所述检测模块，还用于若不存在异常数据请求，则判定所述工控流量中不存在异常流量。

此外，在一实施例中，上述检测模块，还用于对所述镜像流量进行数据报文分析，以获取所述工控流量对应的至少一数据报文；

所述检测模块，还用于分别对各所述数据报文进行报文解析，以获取各所述数据报文中携带的至少一数据包；

所述检测模块，还用于统计各所述数据包的字符长度；

所述检测模块，还用于判断各所述数据包的字符长度中是否存在异常字符长度；

所述检测模块，还用于若存在异常字符长度，则判定所述工控流量中存在异常流量，并将所述异常字符长度对应的数据包对应的数据报文作为异常流量；以及，

所述检测模块，还用于若不存在异常字符长度，则判定所述工控流量中不存在异常流量。

此外，在一实施例中，上述检测模块，还用于对所述镜像流量进行异常检测，以确定所述工控流量中是否存在异常流量的步骤还包括：

对所述镜像流量执行指定IP查询操作，以获取所述工控流量中各源IP的端口信息；

根据所述各源IP的端口信息确定所述工控流量中是否存在异常流量。

防控模块30，用于若所述工控流量中存在异常流量，则通知所述工控网络中的交换机进行安全防控。

此外，在一实施例中，上述防控模块，还用于若所述工控流量中存在异常流量，则生成所述异常流量对应的异常流量列表清单；

发送携带有所述异常流量列表清单的防控指令至所述工控网络中的交换机，以通知所述工控网络中的交换机进行安全防控。

本发明所述工控流量监测装置的其他实施例或具体实现方式可参照上述各方法实施例，此处不再赘述。

本实施例提供的工控流量装置，通过基于网络交换机镜像端口获取工控网络中的交换机的工控流量匹配的镜像流量；对镜像流量进行异常检测，以确定工控流量中是否存在异常流量；若工控流量中存在异常流量，则通知工控网络中的交换机进行安全防控，相比现有技术中仅对工控流量的流量大小进行异常监测，本发明提出的工控流量监测方法通过网络交换机镜像端口来获取工控网络中的交换机的工控流量匹配的镜像流量，可实现在不破坏工控网络的工作状态下对工控流量进行深层次异常检测分析，从而优化工控流量监测过程，进一步提高安全防控效果。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。词语第一、第二、以及第三等的使用不表示任何顺序，可将这些词语解释为名称。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如只读存储器镜像(Read Only Memory image，ROM)/随机存取存储器(Random AccessMemory，RAM)、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种工控流量监测方法，其特征在于，应用于旁路监听服务器，其中，所述旁路监听服务器通过交换机镜像端口与工控网络中的交换机连接，所述工控流量监测方法包括以下步骤：

基于所述网络交换机镜像端口获取所述工控网络中的交换机的工控流量匹配的镜像流量；

对所述镜像流量进行异常检测，以确定所述工控流量中是否存在异常流量；

若所述工控流量中存在异常流量，则通知所述工控网络中的交换机进行安全防控。

2.如权利要求1所述的工控流量监测方法，其特征在于，所述对所述镜像流量进行异常检测，以确定所述工控流量中是否存在异常流量的步骤还包括：

对所述镜像流量进行协议分析，以获取所述工控流量对应的至少一工控协议报文；

分别对各所述工控协议报文进行报文解析，以获取各所述工控协议报文中携带的至少一功能码；

将各所述功能码与预设功能码黑名单进行匹配，生成第一匹配结果；

判断与各所述功能码分别对应的第一匹配结果中是否存在第一目标匹配结果，其中，所述第一目标匹配结果为匹配成功；

若存在第一目标匹配结果，则判定所述工控流量中存在异常流量，并将所述第一目标匹配结果对应的工控协议报文作为异常流量；以及，

若不存在第一目标匹配结果，判定所述工控流量中不存在异常流量。

3.如权利要求1所述的工控流量监测方法，其特征在于，所述对所述镜像流量进行异常检测，以确定所述工控流量中是否存在异常流量的步骤还包括：

对所述镜像流量进行数据请求分析，以获取所述工控流量对应的至少一数据请求；

判断所述至少一数据请求中是否存在异常数据请求；

若存在异常数据请求，则判定所述工控流量中存在异常流量，并将所述异常数据请求为异常流量；以及，

若不存在异常数据请求，则判定所述工控流量中不存在异常流量。

4.如权利要求1所述的工控流量监测方法，其特征在于，所述对所述镜像流量进行异常检测，以确定所述工控流量中是否存在异常流量的步骤还包括：

对所述镜像流量进行数据报文分析，以获取所述工控流量对应的至少一数据报文；

分别对各所述数据报文进行报文解析，以获取各所述数据报文中携带的至少一数据包；

统计各所述数据包的字符长度；

判断各所述数据包的字符长度中是否存在异常字符长度；

若存在异常字符长度，则判定所述工控流量中存在异常流量，并将所述异常字符长度对应的数据包对应的数据报文作为异常流量；以及，

若不存在异常字符长度，则判定所述工控流量中不存在异常流量。

5.如权利要求1所述的工控流量监测方法，其特征在于，所述对所述镜像流量进行异常检测，以确定所述工控流量中是否存在异常流量的步骤还包括：

对所述镜像流量执行指定IP查询操作，以获取所述工控流量中各源IP的端口信息；

根据所述各源IP的端口信息确定所述工控流量中是否存在异常流量。

6.如权利要求1至5任一项所述的工控流量监测方法，其特征在于，所述若所述工控流量中存在异常流量，则通知所述工控网络中的交换机进行安全防控的步骤包括：

若所述工控流量中存在异常流量，则发送部署方案获取请求至所述工控网络中的交换机；

接收所述工控网络中的交换机反馈的工控网络部署方案；

根据所述异常流量及所述工控网络部署方案生成第一安全防控策略；

发送所述第一安全防控策略至所述工控网络中的交换机，以通知所述工控网络中的交换机进行安全防控。

7.如权利要求6所述的工控流量监测方法，其特征在于，所述根据所述异常流量及所述工控网络部署方案生成第一安全防控策略的步骤包括：

若所述异常流量为第一目标匹配结果对应的工控协议报文，则根据所述工控网络部署方案确定所述第一目标匹配结果对应的工控协议报文对应的协议报文发送端及协议报文接收端；

根据所述协议报文发送端及协议报文接收端生成第一安全防控策略。

8.一种工控流量监测设备，其特征在于，所述工控流量监测设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工控流量监测程序，所述工控流量监测程序被所述处理器执行时实现如权利要求1至7中任一项所述的工控流量监测方法的步骤。

9.一种存储介质，其特征在于，所述存储介质上存储有工控流量监测程序，所述工控流量监测程序被处理器执行时实现如权利要求1至7中任一项所述的工控流量监测方法的步骤。

10.一种工控流量监测装置，其特征在于，所述工控流量监测装置包括：获取模块、检测模块和防控模块；

获取模块，用于基于所述网络交换机镜像端口获取所述工控网络中的交换机的工控流量匹配的镜像流量；

检测模块，用于对所述镜像流量进行异常检测，以确定所述工控流量中是否存在异常流量；

防控模块，用于若所述工控流量中存在异常流量，则通知所述工控网络中的交换机进行安全防控。

Images