CN115065568B - 一种工控网络入侵检测方法及系统 - Google Patents
一种工控网络入侵检测方法及系统 Download PDFInfo
- Publication number
- CN115065568B CN115065568B CN202210995536.6A CN202210995536A CN115065568B CN 115065568 B CN115065568 B CN 115065568B CN 202210995536 A CN202210995536 A CN 202210995536A CN 115065568 B CN115065568 B CN 115065568B
- Authority
- CN
- China
- Prior art keywords
- session
- attack
- data
- leakage
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及入侵检测技术领域,具体公开了一种工控网络入侵检测方法及系统。本发明通过构建工控网络中与多个运行设备的运行会话框,进行运行会话记录,生成多个会话记录数据;实时提取实时会话数据,对实时会话数据进行攻击检测;标记攻击会话数据,进行攻击溯源分析,进行入侵攻击溯源过滤;对多个会话记录数据进行泄露行为检测,在存在泄露行为时,进行入侵泄露处理。能够构建工控网络中多个运行设备的运行会话框,按照多个运行会话框对应的实时会话数据进行攻击检测和泄露行为检测,进而按照不同的检测结果,进行入侵攻击溯源过滤和入侵泄露处理,实现外部和内部的入侵检测与处理,从而提供全面的入侵检测,为工控网络提供更加安全的环境。
Description
技术领域
本发明属于入侵检测技术领域,尤其涉及一种工控网络入侵检测方法及系统。
背景技术
工控入侵检测系统,是一种能够实时发现网络攻击企图、攻击行为的入侵检测的工业应用系统,通过实时地监视网络,一旦发现异常情况就发出警告,采用先进的协议分析和入侵检测引擎,通过硬件驱动优化,快速处理网络数据,准确发现各种攻击行为,识别安全威胁和风险。工控入侵检测系统适用于SCADA、DCS、PCS、PLC等工业控制系统,可以被广泛的应用到石油石化、天然气、电力、智能制造、水利、铁路、城市轨道交通、城市市政以及其他与国计民生紧密相关领域的工业控制系统。
然而现有的工控入侵检测系统的入侵检测方法较为单一,通常只能够对外网进入内网的外部攻击进行入侵检测,而工控入侵过程中,往往存在内部攻击和外部攻击的不同情况,且内部攻击往往更隐蔽、危害性更大,因此现有的工控入侵检测系统无法进行全面的入侵检测,入侵检测能力不强,无法为工控网络提供更加安全的环境。
发明内容
本发明实施例的目的在于提供一种工控网络入侵检测方法及系统,旨在解决背景技术中提出的问题。
为实现上述目的,本发明实施例提供如下技术方案:
一种工控网络入侵检测方法,所述方法具体包括以下步骤:
进行工控网络实时运行监测,构建工控网络中与多个运行设备的运行会话框,进行运行会话记录,生成多个会话记录数据;
实时提取多个所述会话记录数据中的实时会话数据,对所述实时会话数据进行攻击检测;
将存在攻击的实时会话数据标记为攻击会话数据,通过对对应的会话记录数据进行攻击溯源分析,进行入侵攻击溯源过滤;
对多个所述会话记录数据进行泄露行为检测,并在存在泄露行为时,进行入侵泄露处理。
作为本发明实施例技术方案进一步的限定,所述方法还包括以下步骤:
对多个所述会话记录数据进行流量分析,更新生成多个流量占用数据,按照多个所述流量占用数据,对多个所述运行设备进行共享带宽控制。
作为本发明实施例技术方案进一步的限定,所述进行工控网络实时运行监测,构建工控网络中与多个运行设备的运行会话框,进行运行会话记录,生成多个会话记录数据具体包括以下步骤:
进行工控网络实时运行监测,生成运行监测信息;
根据所述运行监测信息,创建多个运行设备对应的运行会话框;
按照所述运行监测信息,在多个所述运行会话框进行会话构建,生成运行会话数据;
按照多个所述运行会话框,进行运行会话数据的过程记录,生成多个会话记录数据。
作为本发明实施例技术方案进一步的限定,所述实时提取多个所述会话记录数据中的实时会话数据,对所述实时会话数据进行攻击检测具体包括以下步骤:
实时提取多个所述会话记录数据中的实时会话数据;
按照预设的多个攻击特征,对多个所述实时会话数据进行攻击检测,生成攻击检测信息。
作为本发明实施例技术方案进一步的限定,所述将存在攻击的实时会话数据标记为攻击会话数据,通过对对应的会话记录数据进行攻击溯源分析,进行入侵攻击溯源过滤具体包括以下步骤:
根据所述攻击检测信息,进行攻击判断;
在存在攻击时,将对应的实时会话数据标记为攻击会话数据;
对所述攻击会话数据对应的运行设备进行运行溯源分析,确定溯源攻击网站;
配置网站访问策略,屏蔽所述溯源攻击网站。
作为本发明实施例技术方案进一步的限定,所述对多个所述会话记录数据进行泄露行为检测,并在存在泄露行为时,进行入侵泄露处理具体包括以下步骤:
提取多个所述会话记录数据中的传输信息;
对多个所述传输信息进行泄露检测,生成泄露检测结果;
按照所述泄露检测结果,判断是否存在泄露行为;
在存在泄露行为时,进行入侵泄露处理。
作为本发明实施例技术方案进一步的限定,所述对多个所述会话记录数据进行流量分析,更新生成多个流量占用数据,按照多个所述流量占用数据,对多个所述运行设备进行共享带宽控制具体包括以下步骤:
实时对多个所述会话记录数据进行流量分析更新,生成多个与运行设备对应的流量占用数据;
根据多个所述流量占用数据进行流量占比规划,生成流量占比规划信息;
按照所述流量占比规划信息,对多个所述运行设备进行共享带宽控制。
一种工控网络入侵检测系统,所述系统包括运行会话构建单元、会话攻击检测单元、攻击分析处理单元和泄露检测处理单元,其中:
运行会话构建单元,用于进行工控网络实时运行监测,构建工控网络中与多个运行设备的运行会话框,进行运行会话记录,生成多个会话记录数据;
会话攻击检测单元,用于实时提取多个所述会话记录数据中的实时会话数据,对所述实时会话数据进行攻击检测;
攻击分析处理单元,用于将存在攻击的实时会话数据标记为攻击会话数据,通过对对应的会话记录数据进行攻击溯源分析,进行入侵攻击溯源过滤;
泄露检测处理单元,用于对多个所述会话记录数据进行泄露行为检测,并在存在泄露行为时,进行入侵泄露处理。
作为本发明实施例技术方案进一步的限定,所述运行会话构建单元具体包括:
运行监测模块,用于进行工控网络实时运行监测,生成运行监测信息;
会话框创建模块,用于根据所述运行监测信息,创建多个运行设备对应的运行会话框;
会话构建模块,用于按照所述运行监测信息,在多个所述运行会话框进行会话构建,生成运行会话数据;
过程记录模块,用于按照多个所述运行会话框,进行运行会话数据的过程记录,生成多个会话记录数据。
作为本发明实施例技术方案进一步的限定,所述泄露检测处理单元具体包括:
信息提取模块,用于提取多个所述会话记录数据中的传输信息;
泄露检测模块,用于对多个所述传输信息进行泄露检测,生成泄露检测结果;
泄露判断模块,用于按照所述泄露检测结果,判断是否存在泄露行为;
泄露处理模块,用于在存在泄露行为时,进行入侵泄露处理。
与现有技术相比,本发明的有益效果是:
本发明通过进行工控网络实时运行监测,构建工控网络中与多个运行设备的运行会话框,进行运行会话记录,生成多个会话记录数据;实时提取实时会话数据,对实时会话数据进行攻击检测;标记攻击会话数据,进行攻击溯源分析,进行入侵攻击溯源过滤;对多个会话记录数据进行泄露行为检测,在存在泄露行为时,进行入侵泄露处理。能够构建工控网络中多个运行设备的运行会话框,按照多个运行会话框对应的实时会话数据进行攻击检测和泄露行为检测,进而按照不同的检测结果,进行入侵攻击溯源过滤和入侵泄露处理,实现外部和内部的入侵检测与处理,从而提供全面的入侵检测,为工控网络提供更加安全的环境。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例。
图1示出了本发明实施例提供的方法的流程图。
图2示出了本发明实施例提供的方法的又一流程图。
图3示出了本发明实施例提供的方法中运行会话框构建的流程图。
图4示出了本发明实施例提供的方法中会话数据攻击检测的流程图。
图5示出了本发明实施例提供的方法中会话攻击溯源分析的流程图。
图6示出了本发明实施例提供的方法中泄露行为检测处理的流程图。
图7示出了本发明实施例提供的方法中流量分析带宽控制的流程图。
图8示出了本发明实施例提供的系统的应用架构图。
图9示出了本发明实施例提供的系统中运行会话构建单元的结构框图。
图10示出了本发明实施例提供的系统中泄露检测处理单元的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
可以理解的是,现有的工控入侵检测系统的入侵检测方法较为单一,通常只能够对外网进入内网的外部攻击进行入侵检测,而工控入侵过程中,往往存在内部攻击和外部攻击的不同情况,且内部攻击往往更隐蔽、危害性更大,因此现有的工控入侵检测系统无法进行全面的入侵检测,入侵检测能力不强,无法为工控网络提供更加安全的环境。
为解决上述问题,本发明实施例通过进行工控网络实时运行监测,构建工控网络中与多个运行设备的运行会话框,进行运行会话记录,生成多个会话记录数据;实时提取实时会话数据,对实时会话数据进行攻击检测;标记攻击会话数据,进行攻击溯源分析,进行入侵攻击溯源过滤;对多个会话记录数据进行泄露行为检测,在存在泄露行为时,进行入侵泄露处理。能够构建工控网络中多个运行设备的运行会话框,按照多个运行会话框对应的实时会话数据进行攻击检测和泄露行为检测,进而按照不同的检测结果,进行入侵攻击溯源过滤和入侵泄露处理,实现外部和内部的入侵检测与处理,从而提供全面的入侵检测,为工控网络提供更加安全的环境。
图1示出了本发明实施例提供的方法的流程图。
具体的,一种工控网络入侵检测方法,所述方法具体包括以下步骤:
步骤S101,进行工控网络实时运行监测,构建工控网络中与多个运行设备的运行会话框,进行运行会话记录,生成多个会话记录数据。
在本发明实施例中,对多个运行设备在工控网络中的运行过程进行监测,生成运行监测信息,通过创建与多个运行设备相对应的运行会话框,将运行设备与工控网络的数据传输过程在运行会话框中进行会话构建,按照相互进行数据传输的时间、内容、链接等信息,生成运行设备与工控网络之间的运行会话数据,并对相关运行会话框建立之后的所有运行会话数据进行记录,生成与多个运行设备相对应的会话记录数据。
例如:运行设备为“气密性检测设备”时,工控网络向“气密性检测设备”发送“检测指令”,“气密性检测设备”按照“检测指令”进行气密性检测,并向工控网络反馈发送“气密性检测结果”,则可以在与“气密性检测设备”相对应的运行会话框中,以工控网络和“气密性检测设备”为两个会话者,按照相应的会话时间,进行“检测指令”和“气密性检测结果”的会话构建,生成相应的运行会话数据。
具体的,图3示出了本发明实施例提供的方法中运行会话框构建的流程图。
其中,在本发明提供的优选实施方式中,所述进行工控网络实时运行监测,构建工控网络中与多个运行设备的运行会话框,进行运行会话记录,生成多个会话记录数据具体包括以下步骤:
步骤S1011,进行工控网络实时运行监测,生成运行监测信息。
步骤S1012,根据所述运行监测信息,创建多个运行设备对应的运行会话框。
步骤S1013,按照所述运行监测信息,在多个所述运行会话框进行会话构建,生成运行会话数据。
步骤S1014,按照多个所述运行会话框,进行运行会话数据的过程记录,生成多个会话记录数据。
进一步的,所述工控网络入侵检测方法还包括以下步骤:
步骤S102,实时提取多个所述会话记录数据中的实时会话数据,对所述实时会话数据进行攻击检测。
在本发明实施例中,实时提取会话记录数据中的运行会话数据,得到实时会话数据,基于系统中预设的多个攻击特征,对实时会话数据进行攻击检测,生成攻击检测信息。具体的,实时提取的实时会话数据,即可能是工控网络向运行设备传输的数据,也可能是运行设备向工控网络传输的数据,因此,攻击检测可以同时检测内部攻击和外部攻击。
可以理解的是,系统中预设有攻击特征库,内置7000多种攻击特征,并支持特征库更新,确保实现对最新攻击方式的检测,支持溢出类攻击、暴力破解类攻击、后门类攻击、CGI类攻击、SQL注入类攻击、Webshell类攻击、跨站脚本类攻击、扫描类攻击、跨站请求伪造攻击、分布式拒绝服务攻击等多种攻击检测。
具体的,图4示出了本发明实施例提供的方法中会话数据攻击检测的流程图。
其中,在本发明提供的优选实施方式中,所述实时提取多个所述会话记录数据中的实时会话数据,对所述实时会话数据进行攻击检测具体包括以下步骤:
步骤S1021,实时提取多个所述会话记录数据中的实时会话数据。
步骤S1022,按照预设的多个攻击特征,对多个所述实时会话数据进行攻击检测,生成攻击检测信息。
进一步的,所述工控网络入侵检测方法还包括以下步骤:
步骤S103,将存在攻击的实时会话数据标记为攻击会话数据,通过对对应的会话记录数据进行攻击溯源分析,进行入侵攻击溯源过滤。
在本发明实施例中,按照攻击检测信息进行攻击判断,在存在攻击时,将对应的实时会话数据标记为攻击会话数据,通过对攻击会话数据进行对应的运行设备的溯源分析,确定与对应的运行设备在工控网络中运行联系的外接网络信息,标记溯源攻击网站,配置访问检测策略,将溯源攻击网站设置为阻断站点,实现对溯源攻击网站的过滤屏蔽。例如:在存在攻击时,对应的运行设备具有相应时间访问外部网站的记录,则会将该网站的URL发往KServices服务器进行查询,返回分类信息,若存在访问行为,将被检测将生成告警。
具体的,图5示出了本发明实施例提供的方法中会话攻击溯源分析的流程图。
其中,在本发明提供的优选实施方式中,所述将存在攻击的实时会话数据标记为攻击会话数据,通过对对应的会话记录数据进行攻击溯源分析,进行入侵攻击溯源过滤具体包括以下步骤:
步骤S1031,根据所述攻击检测信息,进行攻击判断。
步骤S1032,在存在攻击时,将对应的实时会话数据标记为攻击会话数据。
步骤S1033,对所述攻击会话数据对应的运行设备进行运行溯源分析,确定溯源攻击网站。
步骤S1034,配置网站访问策略,屏蔽所述溯源攻击网站。
进一步的,所述工控网络入侵检测方法还包括以下步骤:
步骤S104,对多个所述会话记录数据进行泄露行为检测,并在存在泄露行为时,进行入侵泄露处理。
在本发明实施例中,通过提取多个会话记录数据中的传输信息,通过对传输信息进行泄露检测,生成泄露检测结果,按照泄露检测结果进行泄露行为判断,在判断存在泄露行为时,进行入侵泄露处理。具体的,入侵泄露处理可以包括屏蔽、例外、封禁、封禁发送者、隔离来源IP地址或接口等。
可以理解的是,工控网络与运行设备之间的传输信息,可以通过Web、电子邮件、FTP、NNTP、IM及会话控制等方式进行传输,都可以被有效的控制和监控,具体的,数据泄漏防护对于电子邮件的检查,包括主体、主题、发送方、接收方、附件、邮件大小、是否加密等多种方式进行检测,当通过邮件或HTTP方式传输文件时,可以检测TXT、Word、PDF的文本内容,对其中有可能产生数据泄漏的内容进行控制,当发现有数据泄露行为时,可采取的处理动作包括屏蔽、例外、封禁、封禁发送者、隔离来源IP地址或接口等方式,数据泄露防护功能还可以对内容进行归档,方便以后进行提取、检查。
具体的,图6示出了本发明实施例提供的方法中泄露行为检测处理的流程图。
其中,在本发明提供的优选实施方式中,所述对多个所述会话记录数据进行泄露行为检测,并在存在泄露行为时,进行入侵泄露处理具体包括以下步骤:
步骤S1041,提取多个所述会话记录数据中的传输信息。
步骤S1042,对多个所述传输信息进行泄露检测,生成泄露检测结果。
步骤S1043,按照所述泄露检测结果,判断是否存在泄露行为。
步骤S1044,在存在泄露行为时,进行入侵泄露处理。
进一步的,图2示出了本发明实施例提供的方法的又一流程图。
其中,在本发明提供的优选实施方式中,所述方法还包括以下步骤:
步骤S105,对多个所述会话记录数据进行流量分析,更新生成多个流量占用数据,按照多个所述流量占用数据,对多个所述运行设备进行共享带宽控制。
在本发明实施例中,对多个会话记录数据的流量使用进行实时分析与更新,生成保持更新的多个流量占用数据,多个流量占用数据分别与多个运行设备相对应,按照多个流量占用数据进行流量占比规划,生成流量占比规划信息,进而按照流量占比规划信息,对多个运行设备进行共享带宽控制,具体的,通过设置共享的带宽控制,配置后该端口下的策略共享带宽,为每个运行设备相对应的IP分配固定的带宽。
具体的,图7示出了本发明实施例提供的方法中流量分析带宽控制的流程图。
其中,在本发明提供的优选实施方式中,所述对多个所述会话记录数据进行流量分析,更新生成多个流量占用数据,按照多个所述流量占用数据,对多个所述运行设备进行共享带宽控制具体包括以下步骤:
步骤S1051,实时对多个所述会话记录数据进行流量分析更新,生成多个与运行设备对应的流量占用数据。
步骤S1052,根据多个所述流量占用数据进行流量占比规划,生成流量占比规划信息。
步骤S1053,按照所述流量占比规划信息,对多个所述运行设备进行共享带宽控制。
进一步的,图8示出了本发明实施例提供的系统的应用架构图。
其中,在本发明提供的又一个优选实施方式中,一种工控网络入侵检测系统,包括:
运行会话构建单元101,用于进行工控网络实时运行监测,构建工控网络中与多个运行设备的运行会话框,进行运行会话记录,生成多个会话记录数据。
在本发明实施例中,运行会话构建单元101对多个运行设备在工控网络中的运行过程进行监测,生成运行监测信息,通过创建与多个运行设备相对应的运行会话框,将运行设备与工控网络的数据传输过程在运行会话框中进行会话构建,按照相互进行数据传输的时间、内容、链接等信息,生成运行设备与工控网络之间的运行会话数据,并对相关运行会话框建立之后的所有运行会话数据进行记录,生成与多个运行设备相对应的会话记录数据。
具体的,图9示出了本发明实施例提供的系统中运行会话构建单元101的结构框图。
其中,在本发明提供的优选实施方式中,所述运行会话构建单元101具体包括:
运行监测模块1011,用于进行工控网络实时运行监测,生成运行监测信息。
会话框创建模块1012,用于根据所述运行监测信息,创建多个运行设备对应的运行会话框。
会话构建模块1013,用于按照所述运行监测信息,在多个所述运行会话框进行会话构建,生成运行会话数据。
过程记录模块1014,用于按照多个所述运行会话框,进行运行会话数据的过程记录,生成多个会话记录数据。
进一步的,所述工控网络入侵检测系统还包括:
会话攻击检测单元102,用于实时提取多个所述会话记录数据中的实时会话数据,对所述实时会话数据进行攻击检测。
在本发明实施例中,会话攻击检测单元102实时提取会话记录数据中的运行会话数据,得到实时会话数据,基于系统中预设的多个攻击特征,对实时会话数据进行攻击检测,生成攻击检测信息。
攻击分析处理单元103,用于将存在攻击的实时会话数据标记为攻击会话数据,通过对对应的会话记录数据进行攻击溯源分析,进行入侵攻击溯源过滤。
在本发明实施例中,攻击分析处理单元103按照攻击检测信息进行攻击判断,在存在攻击时,将对应的实时会话数据标记为攻击会话数据,通过对攻击会话数据进行对应的运行设备的溯源分析,确定与对应的运行设备在工控网络中运行联系的外接网络信息,标记溯源攻击网站,配置访问检测策略,将溯源攻击网站设置为阻断站点,实现对溯源攻击网站的过滤屏蔽。
泄露检测处理单元104,用于对多个所述会话记录数据进行泄露行为检测,并在存在泄露行为时,进行入侵泄露处理。
在本发明实施例中,泄露检测处理单元104通过提取多个会话记录数据中的传输信息,通过对传输信息进行泄露检测,生成泄露检测结果,按照泄露检测结果进行泄露行为判断,在判断存在泄露行为时,进行入侵泄露处理。具体的,入侵泄露处理可以包括屏蔽、例外、封禁、封禁发送者、隔离来源IP地址或接口等。
具体的,图10示出了本发明实施例提供的系统中泄露检测处理单元104的结构框图。
其中,在本发明提供的优选实施方式中,所述泄露检测处理单元104具体包括:
信息提取模块1041,用于提取多个所述会话记录数据中的传输信息。
泄露检测模块1042,用于对多个所述传输信息进行泄露检测,生成泄露检测结果。
泄露判断模块1043,用于按照所述泄露检测结果,判断是否存在泄露行为。
泄露处理模块1044,用于在存在泄露行为时,进行入侵泄露处理。
应该理解的是,虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种工控网络入侵检测方法,其特征在于,所述方法具体包括以下步骤:
进行工控网络实时运行监测,构建工控网络中与多个运行设备的运行会话框,进行运行会话记录,生成多个会话记录数据;
实时提取多个所述会话记录数据中的实时会话数据,对所述实时会话数据进行攻击检测;
将存在攻击的实时会话数据标记为攻击会话数据,通过对对应的会话记录数据进行攻击溯源分析,进行入侵攻击溯源过滤;
对多个所述会话记录数据进行泄露行为检测,并在存在泄露行为时,进行入侵泄露处理;
所述进行工控网络实时运行监测,构建工控网络中与多个运行设备的运行会话框,进行运行会话记录,生成多个会话记录数据具体包括以下步骤:
进行工控网络实时运行监测,生成运行监测信息;
根据所述运行监测信息,创建多个运行设备对应的运行会话框;
按照所述运行监测信息,在多个所述运行会话框进行会话构建,生成运行会话数据;
按照多个所述运行会话框,进行运行会话数据的过程记录,生成多个会话记录数据。
2.根据权利要求1所述的种工控网络入侵检测方法,其特征在于,所述方法还包括以下步骤:
对多个所述会话记录数据进行流量分析,更新生成多个流量占用数据,按照多个所述流量占用数据,对多个所述运行设备进行共享带宽控制。
3.根据权利要求1所述的工控网络入侵检测方法,其特征在于,所述实时提取多个所述会话记录数据中的实时会话数据,对所述实时会话数据进行攻击检测具体包括以下步骤:
实时提取多个所述会话记录数据中的实时会话数据;
按照预设的多个攻击特征,对多个所述实时会话数据进行攻击检测,生成攻击检测信息。
4.根据权利要求3所述的工控网络入侵检测方法,其特征在于,所述将存在攻击的实时会话数据标记为攻击会话数据,通过对对应的会话记录数据进行攻击溯源分析,进行入侵攻击溯源过滤具体包括以下步骤:
根据所述攻击检测信息,进行攻击判断;
在存在攻击时,将对应的实时会话数据标记为攻击会话数据;
对所述攻击会话数据对应的运行设备进行运行溯源分析,确定溯源攻击网站;
配置网站访问策略,屏蔽所述溯源攻击网站。
5.根据权利要求1所述的工控网络入侵检测方法,其特征在于,所述对多个所述会话记录数据进行泄露行为检测,并在存在泄露行为时,进行入侵泄露处理具体包括以下步骤:
提取多个所述会话记录数据中的传输信息;
对多个所述传输信息进行泄露检测,生成泄露检测结果;
按照所述泄露检测结果,判断是否存在泄露行为;
在存在泄露行为时,进行入侵泄露处理。
6.根据权利要求2所述的工控网络入侵检测方法,其特征在于,所述对多个所述会话记录数据进行流量分析,更新生成多个流量占用数据,按照多个所述流量占用数据,对多个所述运行设备进行共享带宽控制具体包括以下步骤:
实时对多个所述会话记录数据进行流量分析更新,生成多个与运行设备对应的流量占用数据;
根据多个所述流量占用数据进行流量占比规划,生成流量占比规划信息;
按照所述流量占比规划信息,对多个所述运行设备进行共享带宽控制。
7.一种工控网络入侵检测系统,其特征在于,所述系统包括运行会话构建单元、会话攻击检测单元、攻击分析处理单元和泄露检测处理单元,其中:
运行会话构建单元,用于进行工控网络实时运行监测,构建工控网络中与多个运行设备的运行会话框,进行运行会话记录,生成多个会话记录数据;
会话攻击检测单元,用于实时提取多个所述会话记录数据中的实时会话数据,对所述实时会话数据进行攻击检测;
攻击分析处理单元,用于将存在攻击的实时会话数据标记为攻击会话数据,通过对对应的会话记录数据进行攻击溯源分析,进行入侵攻击溯源过滤;
泄露检测处理单元,用于对多个所述会话记录数据进行泄露行为检测,并在存在泄露行为时,进行入侵泄露处理;
所述运行会话构建单元具体包括:
运行监测模块,用于进行工控网络实时运行监测,生成运行监测信息;
会话框创建模块,用于根据所述运行监测信息,创建多个运行设备对应的运行会话框;
会话构建模块,用于按照所述运行监测信息,在多个所述运行会话框进行会话构建,生成运行会话数据;
过程记录模块,用于按照多个所述运行会话框,进行运行会话数据的过程记录,生成多个会话记录数据。
8.根据权利要求7所述的工控网络入侵检测系统,其特征在于,所述泄露检测处理单元具体包括:
信息提取模块,用于提取多个所述会话记录数据中的传输信息;
泄露检测模块,用于对多个所述传输信息进行泄露检测,生成泄露检测结果;
泄露判断模块,用于按照所述泄露检测结果,判断是否存在泄露行为;
泄露处理模块,用于在存在泄露行为时,进行入侵泄露处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210995536.6A CN115065568B (zh) | 2022-08-19 | 2022-08-19 | 一种工控网络入侵检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210995536.6A CN115065568B (zh) | 2022-08-19 | 2022-08-19 | 一种工控网络入侵检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115065568A CN115065568A (zh) | 2022-09-16 |
| CN115065568B true CN115065568B (zh) | 2022-12-20 |
Family
ID=83207970
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210995536.6A Active CN115065568B (zh) | 2022-08-19 | 2022-08-19 | 一种工控网络入侵检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115065568B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017206499A1 (zh) * | 2016-05-31 | 2017-12-07 | 华为技术有限公司 | 网络攻击检测方法以及攻击检测装置 |
| CN108737417A (zh) * | 2018-05-16 | 2018-11-02 | 南京大学 | 一种面向工业控制系统的脆弱性检测方法 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN110401642A (zh) * | 2019-07-10 | 2019-11-01 | 浙江中烟工业有限责任公司 | 一种工控流量的采集与协议解析方法 |
| CN111031006A (zh) * | 2019-11-22 | 2020-04-17 | 国网浙江省电力有限公司绍兴供电公司 | 一种基于网络流的智能电网通信异常检测方法 |
| CN111343032A (zh) * | 2020-05-18 | 2020-06-26 | 中国航空油料集团有限公司 | 一种工控网络异常会话检测方法,装置,电子设备以及存储介质 |
| CN111600863A (zh) * | 2020-05-08 | 2020-08-28 | 杭州安恒信息技术股份有限公司 | 网络入侵检测方法、装置、系统和存储介质 |
| CN113098846A (zh) * | 2021-03-17 | 2021-07-09 | 苏州三六零智能安全科技有限公司 | 工控流量监测方法、设备、存储介质及装置 |
| CN114584401A (zh) * | 2022-05-06 | 2022-06-03 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种面向大规模网络攻击的追踪溯源系统及方法 |
-
2022
- 2022-08-19 CN CN202210995536.6A patent/CN115065568B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017206499A1 (zh) * | 2016-05-31 | 2017-12-07 | 华为技术有限公司 | 网络攻击检测方法以及攻击检测装置 |
| CN108737417A (zh) * | 2018-05-16 | 2018-11-02 | 南京大学 | 一种面向工业控制系统的脆弱性检测方法 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN110401642A (zh) * | 2019-07-10 | 2019-11-01 | 浙江中烟工业有限责任公司 | 一种工控流量的采集与协议解析方法 |
| CN111031006A (zh) * | 2019-11-22 | 2020-04-17 | 国网浙江省电力有限公司绍兴供电公司 | 一种基于网络流的智能电网通信异常检测方法 |
| CN111600863A (zh) * | 2020-05-08 | 2020-08-28 | 杭州安恒信息技术股份有限公司 | 网络入侵检测方法、装置、系统和存储介质 |
| CN111343032A (zh) * | 2020-05-18 | 2020-06-26 | 中国航空油料集团有限公司 | 一种工控网络异常会话检测方法,装置,电子设备以及存储介质 |
| CN113098846A (zh) * | 2021-03-17 | 2021-07-09 | 苏州三六零智能安全科技有限公司 | 工控流量监测方法、设备、存储介质及装置 |
| CN114584401A (zh) * | 2022-05-06 | 2022-06-03 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种面向大规模网络攻击的追踪溯源系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115065568A (zh) | 2022-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Fovino et al. | Modbus/DNP3 state-based intrusion detection system | |
| CN109922085B (zh) | 一种基于plc中cip协议的安全防护系统及方法 | |
| Carcano et al. | State-based network intrusion detection systems for SCADA protocols: a proof of concept | |
| CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
| Stirland et al. | Developing cyber forensics for SCADA industrial control systems | |
| CN111327601B (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
| CN110113336B (zh) | 一种用于变电站网络环境的网络流量异常分析与识别方法 | |
| US20110307936A1 (en) | Network analysis | |
| CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
| CN214306527U (zh) | 一种燃气管网调度监控网络安全系统 | |
| CN114125083B (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
| CN111835680A (zh) | 一种工业自动制造的安全防护系统 | |
| CN112149120A (zh) | 一种透传式双通道电力物联网安全检测系统 | |
| Januário et al. | Security challenges in SCADA systems over Wireless Sensor and Actuator Networks | |
| Xiong et al. | A vulnerability detecting method for Modbus-TCP based on smart fuzzing mechanism | |
| KR20160087187A (ko) | 사이버 블랙박스 시스템 및 그 방법 | |
| CN115865526A (zh) | 一种基于云边协同的工业互联网安全检测方法及系统 | |
| CN115065568B (zh) | 一种工控网络入侵检测方法及系统 | |
| CN113518067A (zh) | 一种基于原始报文的安全分析方法 | |
| Binnar et al. | Cyber forensic case study of waste water treatment plant | |
| CN115550034B (zh) | 一种配网电力监控系统业务流量监测方法及装置 | |
| Kolosok et al. | Cyber resilience of SCADA at the level of energy facilities | |
| CN112839029B (zh) | 一种僵尸网络活跃度的分析方法与系统 | |
| KR102295348B1 (ko) | 운영 기술 데이터의 보안 위협 분석 및 탐지 방법 | |
| CN114465800A (zh) | 烟草行业工控网络安全防护架构和网络安全防护方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |