CN113542268B - 基于网络链路获取单个工控协议流量的方法 - Google Patents

基于网络链路获取单个工控协议流量的方法 Download PDF

Info

Publication number
CN113542268B
CN113542268B CN202110793520.2A CN202110793520A CN113542268B CN 113542268 B CN113542268 B CN 113542268B CN 202110793520 A CN202110793520 A CN 202110793520A CN 113542268 B CN113542268 B CN 113542268B
Authority
CN
China
Prior art keywords
array
push
source
destination
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110793520.2A
Other languages
English (en)
Other versions
CN113542268A (zh
Inventor
汪家鹏
刘长川
韩浩
任延平
张展翔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongneng Integrated Smart Energy Technology Co Ltd
Original Assignee
Zhongneng Integrated Smart Energy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongneng Integrated Smart Energy Technology Co Ltd filed Critical Zhongneng Integrated Smart Energy Technology Co Ltd
Priority to CN202110793520.2A priority Critical patent/CN113542268B/zh
Publication of CN113542268A publication Critical patent/CN113542268A/zh
Application granted granted Critical
Publication of CN113542268B publication Critical patent/CN113542268B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了基于网络链路获取单个工控协议流量的方法,包括,通过对工控协议数据包的分析,在设备上记录设备IP和统计设备单个协议单位时间内的数据包的数量和大小,计算网络设备互联实时流量;所述设备IP分为:源IP和目的IP;所述源IP为访问来源设备IP,所述目的IP为被访问设备IP;所述记录设备IP和统计设备单个协议单位时间内的数据包的数量和大小的方法为:在设备存储器中建立数组来分别记录所述源IP、所述源IP的设备发出的数据包的数量和大小、目的IP和所述目的IP的设备收到的数据包的数量和大小。

Description

基于网络链路获取单个工控协议流量的方法
技术领域
本申请涉及工业网络领域,尤其涉及基于网络链路获取单个工控协议流量的方法。
背景技术
网络威胁分析主要集中于单个数据包内容分析,但是工控网络协议不包含用户信息,只包含大量的设备参数信息。因此,对于工业协议应用数据包分析方法效果并不好。工业网络协议数据量大小是基本稳定的,如果发生攻击行为,协议数据包可能会异常增大或减小,对工业协议流量大小的分析是威胁分析的重要手段,因此,本发明主要解决工业网络环境中基于网络链路获取单个工业协议流量大小,实时监控网络链路异常。
如何设计工业网络环境中对单个工业协议流量大小检测,实时监控单个工业协议流量大小分析成为研究的重点。
通过对国内外论文、学术会议、科技文献、专利等等数据库的检索发现:第一,网略威胁的分析集中于单个数据包内容;第二,工控网略协议包含大量的设备参数信息,不包含用户信息;第三,如果发生攻击行为,数据包大小会发生异常变化。所以针对工控环境下基于时间窗口的获取单个工控协议流量大小的方法还处于探索阶段。
公开号为CN109862045B公开一种基于SDN的工业控制系统动态防御方法及装置,主要步骤包括:软件定义白名单协议模块采用偏移量机器学习分类方法自动识别工控私有协议,软件定义服务端口模块对工控协议高危端口进行混淆欺骗,软件定义纵深防御模块采用虚拟化安全引擎服务编排技术动态调度工业控制系统通信网络流量实现多层防御。
目前现有技术存在以下问题:
1、工控环境被攻击时不能监测单个流量情况;
2、工控环境下流量大小检测,及实时监控单个协议流量大小。
发明内容
有鉴于此,本发明提供一种基于网络链路获取单个工控协议流量的方法,包括:通过对工控协议数据包的分析,在设备上记录设备IP和统计设备单个协议单位时间内的数据包的数量和大小,计算网络设备互联实时流量;
所述设备IP分为:源IP和目的IP;所述源IP为访问来源设备IP,所述目的IP为被访问设备IP;
所述记录设备IP和统计设备单个协议单位时间内的数据包的数量和大小的方法为:在设备存储器中建立数组来分别记录所述源IP、所述源IP的设备发出的数据包的数量和大小、目的IP和所述目的IP的设备收到的数据包的数量和大小。
优选的,所述数组为二维数组。
优选的,由于网络连接分为源IP的设备和目的IP的设备,且具有双向性,所以,要在所述源IP的设备存储器中建立一个出栈数组和一个入栈数组。
优选的,所述源IP的出栈数组为二维数组,所述源IP的入栈数组为二维数组。
优选的,所述源IP的出栈数组的第一维向量记录所述目的IP的地址,所述源IP的出栈数组的第二维向量记录所述源IP的设备发出的数据包的大小。
优选的,由于网络连接分为源IP的设备和目的IP的设备,且具有双向性,所以,要在所述目的IP的设备存储器中建立一个出栈数组和一个入栈数组。
优选的,所述目的IP的出栈数组为二维数组,所述目的IP的入栈数组为二维数组。
优选的,所述目的IP的入栈数组的第一维向量记录所述源IP的地址,所述目的IP的出栈数组的第二维向量记录所述目的IP的设备收到的数据包的大小。
优选的,所述出栈数组的出栈方法为:
对出栈数据包进行协议检验,如果协议检验正确,出栈数据包进入出栈数组;
出栈数据包进入出栈数组后,检验出栈数据包IP是否有记录存在:如果存在,累加出栈数据包流量;如果不存在,创建出栈数据包IP记录,并记录出栈数据包流量大小;
计算所有出栈数据包流量。
优选的,所述入栈数组的入栈方法为:
对入栈数据包进行协议检验,如果协议检验正确,入栈数据包进入入栈数组;
入栈数据包进入入栈数组后,检验入栈数据包IP是否有记录存在:如果存在,累加入栈数据包流量;如果不存在,创建入栈数据包IP记录,并记录入栈数据包流量大小;
计算所有入栈数据包流量。
本申请实施例提供的上述技术方案与现有技术相比具有如下优点:
本申请实施例提供的该方法,在工控环境中,实现安全流量数据通过正向安全隔离设备,将采集流量传输到安全区分析服务器。分析服务器在时间窗口下,能够针对特有情况进行捕获单个工控协议流量,并且针对时间窗口获取的工控协议流量,进行有针对性地分析处理。在工控环境被攻击时,能够主动对于单个工业协议流量进行检测监控。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例提供的入栈流程图;
图2是本发明实施例提供的出栈流程图;
图3是本发明实施例提供的数据包传输示意图;
图4是本发明实施例提供的PLC流量监测拓扑。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1:
本申请实施例提供的基于网络链路获取单个工控协议流量的方法,
包括:通过对工控协议数据包的分析,在设备上记录设备IP和统计设备单个协议单位时间内的数据包的数量和大小,计算网络设备互联实时流量;
所述设备IP分为:源IP和目的IP;所述源IP为访问来源设备IP,所述目的IP为被访问设备IP;
所述记录设备IP和统计设备单个协议单位时间内的数据包的数量和大小的方法为:在设备存储器中建立数组来分别记录所述源IP、所述源IP的设备发出的数据包的数量和大小、目的IP和所述目的IP的设备收到的数据包的数量和大小;所述数组为二维数组;
由于网络连接分为源IP的设备和目的IP的设备,且具有双向性,所以,要在所述源IP的设备存储器中建立一个出栈数组和一个入栈数组;
所述源IP的出栈数组为二维数组,所述源IP的入栈数组为二维数组;
所述源IP的出栈数组的第一维向量记录所述目的IP的地址,所述源IP的出栈数组的第二维向量记录所述源IP的设备发出的数据包的大小;
如图2所示所述出栈数组的出栈方法为:
对出栈数据包进行协议检验,如果协议检验正确,出栈数据包进入出栈数组;
出栈数据包进入出栈数组后,检验出栈数据包IP是否有记录存在:如果存在,累加出栈数据包流量;如果不存在,创建出栈数据包IP记录,并记录出栈数据包流量大小;
计算所有出栈数据包流量;
由于网络连接分为源IP的设备和目的IP的设备,且具有双向性,所以,要在所述目的IP的设备存储器中建立一个出栈数组和一个入栈数组;
所述目的IP的出栈数组为二维数组,所述目的IP的入栈数组为二维数组;
所述目的IP的入栈数组的第一维向量记录所述源IP的地址,所述目的IP的出栈数组的第二维向量记录所述目的IP的设备收到的数据包的大小;
如图1所示所述入栈数组的入栈方法为:
对入栈数据包进行协议检验,如果协议检验正确,入栈数据包进入入栈数组;
入栈数据包进入入栈数组后,检验入栈数据包IP是否有记录存在:如果存在,累加入栈数据包流量;如果不存在,创建入栈数据包IP记录,并记录入栈数据包流量大小;
计算所有入栈数据包流量。
实施例2:
如图3所示网络中存在一个A设备的IP(192.168.1.1)和一个B设备的IP(192.168.1.2),此时将生成设备A的一个出栈二维数组和入栈二维数组,B设备的一个出栈二维数组和入栈二维数组。
当B设备访问A设备时,当协议包数据匹配特定协议P的特征(如S7Comm协议的协议类型字段标志为0x32)时,A设备的入栈二维数组将产生如下记录:
十进制IP(来源IP) 包的大小(B)
3232235777(192.168.1.2) 1024
设备B的出栈数据将产生如下记录:
十进制IP(目的IP) 包的大小(B)
3232235777(192.168.1.1) 1024
当B设备持续访问A设备时,数据包的大小统计将会累加。
每当有一个新的设备访问A设备时,设备A的入栈记录将逐渐增加。当A设备主动访问其他设备时,设备A的出栈记录将不断更新。最终效果举例如下:
入栈记录:
十进制IP(来源IP) 包的大小(B)
3232235777(192.168.1.2) 3534625673
3232235777(192.168.1.3) 523657
3232235777(192.168.1.4) 23451526
出栈记录:
十进制IP(目的IP) 包的大小(B)
3232235777(192.168.1.2) 15456543
3232235777(192.168.1.3) 978675
3232235777(192.168.1.4) 8645667568
单位时间内获取设备A的出栈记录和入栈记录,即可计算设备A于特定协议的网络访问流量大小。比如在10时10分10秒获取一次出栈记录,10时10分11秒获取一次出栈记录,根据十进制IP进行比对包的大小,即可获取设备A访问其他所有设备的协议P的流量大小。
实施例3:
如图4所示,基于本发明提供PLC流量监测拓扑功能,通过对工业网络流量分析,发现网络内的PLC设备,并将其绘制到拓扑上,通过历史数据学习,确定单个PLC流量大小历史活动区间,并手动调整范围区间大小。
例如,PLC4通过历史流量大小学习,发现最大峰值流量为20KB/s,最低为5KB/s,通过设置LOW=5KB/s,设置HIGH=20KB/s,系统基于本发明实时获取PLC4流量大小,当流量大于HIGH时,突出显示“异常增大”,当流量低于LOW时,显示“异常减小”,从而达到流量监控的目的。
假设第一次读取设备A到设备B访问的流量协议为P的出栈数据包大小为Cpab1,第二次读取设备A关于流量协议P的出栈数据包大小为Cpab2;第一次读取出栈时间为Tpab1(s),第二次读取出栈时间为Tpab2(s),则设备出栈流量大小计算方法为:
Spa1(设备A关于流量P流量大小)=(Cpab2-Cpab1)/(Tpab2-Tpab1)/1024(KB/s)
假设读取设备A关于协议P的目的设备B上关于设备A的入栈流量大小,第一次读取流量大小和时间分别记为Cpba1核Tpba1,第二次读取流量大小核时间分别记为Cpba2和Tpba2,则设备流量会话损失比为:
Cost(Pab)=((Cpab2-Cpab1)/(Tpab2-Tpab1)/1024)-((Cpba2-Cpba1)/(Tpba2-Tpba1)/1024)(KB/s)
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (3)

1.基于网络链路获取单个工控协议流量的方法,其特征在于,
包括:
通过对工控协议数据包的分析,在设备上记录设备IP和统计设备单个协议单位时间内的数据包的数量和大小,计算网络设备互联实时流量;
所述设备IP分为:源IP和目的IP;所述源IP为访问来源设备IP,所述目的IP为被访问设备IP;
所述记录设备IP和统计设备单个协议单位时间内的数据包的数量和大小的方法为:在设备存储器中建立数组来分别记录所述源IP、所述源IP的设备发出的数据包的数量和大小、目的IP和所述目的IP的设备收到的数据包的数量和大小;
所述数组为二维数组;在所述源IP的设备存储器中建立一个出栈数组和一个入栈数组;
所述源IP的出栈数组为二维数组,所述源IP的入栈数组为二维数组;
所述源IP的出栈数组的第一维向量记录所述目的IP的地址,所述源IP的出栈数组的第二维向量记录所述源IP的设备发出的数据包的大小;在所述目的IP的设备存储器中建立一个出栈数组和一个入栈数组;
所述目的IP的出栈数组为二维数组,所述目的IP的入栈数组为二维数组;
所述目的IP的入栈数组的第一维向量记录所述源IP的地址,所述目的IP的出栈数组的第二维向量记录所述目的IP的设备收到的数据包的大小。
2.根据权利要求1所述的基于网络链路获取单个工控协议流量的方法,其特征在于,
所述出栈数组的出栈方法为:
对出栈数据包进行协议检验,如果协议检验正确,出栈数据包进入出栈数组;
出栈数据包进入出栈数组后,检验出栈数据包IP是否有记录存在:如果存在,累加出栈数据包流量;
如果不存在,创建出栈数据包IP记录,并记录出栈数据包流量大小;
计算所有出栈数据包流量。
3.根据权利要求1所述的基于网络链路获取单个工控协议流量的方法,其特征在于,
所述入栈数组的入栈方法为:
对入栈数据包进行协议检验,如果协议检验正确,入栈数据包进入入栈数组;
入栈数据包进入入栈数组后,检验入栈数据包IP是否有记录存在:如果存在,累加入栈数据包流量;如果不存在,创建入栈数据包IP记录,并记录入栈数据包流量大小;
计算所有入栈数据包流量。
CN202110793520.2A 2021-07-14 2021-07-14 基于网络链路获取单个工控协议流量的方法 Active CN113542268B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110793520.2A CN113542268B (zh) 2021-07-14 2021-07-14 基于网络链路获取单个工控协议流量的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110793520.2A CN113542268B (zh) 2021-07-14 2021-07-14 基于网络链路获取单个工控协议流量的方法

Publications (2)

Publication Number Publication Date
CN113542268A CN113542268A (zh) 2021-10-22
CN113542268B true CN113542268B (zh) 2023-07-28

Family

ID=78098996

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110793520.2A Active CN113542268B (zh) 2021-07-14 2021-07-14 基于网络链路获取单个工控协议流量的方法

Country Status (1)

Country Link
CN (1) CN113542268B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105187279A (zh) * 2015-09-28 2015-12-23 广东睿江科技有限公司 一种流量统计并实时排名的方法
WO2017219476A1 (zh) * 2016-06-22 2017-12-28 邦彦技术股份有限公司 数据传输方法和装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101640666B (zh) * 2008-08-01 2012-06-06 北京启明星辰信息技术股份有限公司 一种面向目标网络的流量控制装置及方法
CN102118361B (zh) * 2009-12-31 2014-07-23 北京金山软件有限公司 一种基于网络协议的数据传输控制方法和装置
IL250635B (en) * 2016-03-21 2020-02-27 Palo Alto Networks Israel Analytics Ltd Detection of anomalous activity in a computer network
CN107483281A (zh) * 2016-06-07 2017-12-15 中兴通讯股份有限公司 一种基于软件定义网络的统计方法、装置及系统
CN108933706B (zh) * 2017-05-23 2022-02-25 华为技术有限公司 一种监测数据流量的方法、装置及系统
CN110022248A (zh) * 2019-04-19 2019-07-16 山东浪潮云信息技术有限公司 链路流量统计方法及系统、流量统计主机以及统计请求端
CN112367322B (zh) * 2020-11-10 2022-09-30 西安热工研究院有限公司 一种基于冒泡排序法的电站工控系统异常流量识别方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105187279A (zh) * 2015-09-28 2015-12-23 广东睿江科技有限公司 一种流量统计并实时排名的方法
WO2017219476A1 (zh) * 2016-06-22 2017-12-28 邦彦技术股份有限公司 数据传输方法和装置

Also Published As

Publication number Publication date
CN113542268A (zh) 2021-10-22

Similar Documents

Publication Publication Date Title
US10397260B2 (en) Network system
CN105681353B (zh) 防御端口扫描入侵的方法及装置
US10547674B2 (en) Methods and systems for network flow analysis
US8938534B2 (en) Automatic provisioning of new users of interest for capture on a communication network
US20150281176A1 (en) Method And Technique for Automated Collection, Analysis, and Distribution of Network Security Threat Information
US20150052606A1 (en) Method and a system to detect malicious software
CN102035793B (zh) 僵尸网络检测方法、装置以及网络安全防护设备
JP7079721B2 (ja) ネットワーク異常検知装置、ネットワーク異常検知システム及びネットワーク異常検知方法
WO2012164336A1 (en) Distribution and processing of cyber threat intelligence data in a communications network
US20220255961A1 (en) Abuse mailbox for facilitating discovery, investigation, and analysis of email-based threats
CN114268429A (zh) 特定终端加密通信接入设备
US9385993B1 (en) Media for detecting common suspicious activity occurring on a computer network using firewall data and reports from a network filter device
CN106685962B (zh) 一种反射型ddos攻击流量的防御系统及方法
CN114189361B (zh) 防御威胁的态势感知方法、装置及系统
WO2020027250A1 (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
CN113542268B (zh) 基于网络链路获取单个工控协议流量的方法
US11979374B2 (en) Local network device connection control
Freire et al. On metrics to distinguish skype flows from http traffic
JP7060800B2 (ja) 感染拡大攻撃検知システム及び方法、並びに、プログラム
CN114338221B (zh) 一种基于大数据分析的网络检测系统
Leal et al. MQTT flow signatures for the Internet of things
CN114553546B (zh) 基于网络应用的报文抓取的方法和装置
CN115664833A (zh) 基于局域网安全设备的网络劫持检测方法
Zhou et al. Classification of botnet families based on features self-learning under network traffic censorship
RU2685989C1 (ru) Способ снижения ущерба, наносимого сетевыми атаками серверу виртуальной частной сети

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant