CN116405418A - 一种工业网络监测审计方法、装置、电子设备和存储介质 - Google Patents
一种工业网络监测审计方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN116405418A CN116405418A CN202310380950.0A CN202310380950A CN116405418A CN 116405418 A CN116405418 A CN 116405418A CN 202310380950 A CN202310380950 A CN 202310380950A CN 116405418 A CN116405418 A CN 116405418A
- Authority
- CN
- China
- Prior art keywords
- auditing
- protocol
- transmission protocol
- analyzing
- data information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000012544 monitoring process Methods 0.000 title claims abstract description 28
- 238000003860 storage Methods 0.000 title claims abstract description 13
- 230000005540 biological transmission Effects 0.000 claims abstract description 40
- 230000006399 behavior Effects 0.000 claims abstract description 24
- 238000012098 association analyses Methods 0.000 claims abstract description 8
- 238000007418 data mining Methods 0.000 claims abstract description 8
- 238000004891 communication Methods 0.000 claims description 19
- 238000004458 analytical method Methods 0.000 claims description 14
- 230000009471 action Effects 0.000 claims description 10
- 230000006870 function Effects 0.000 claims description 9
- 230000006798 recombination Effects 0.000 claims description 8
- 238000005215 recombination Methods 0.000 claims description 8
- 238000001914 filtration Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 5
- 238000005065 mining Methods 0.000 claims description 5
- 238000012550 audit Methods 0.000 description 12
- 238000011161 development Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000005272 metallurgy Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008521 reorganization Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/211—Schema design and management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2462—Approximate or statistical queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2465—Query processing support for facilitating data mining operations in structured databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/26—Visual data mining; Browsing structured data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Probability & Statistics with Applications (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Fuzzy Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Computational Linguistics (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种工业网络监测审计方法、装置、电子设备和存储介质,所述方法包括:从用户终端和数据库采集日志报文;对所述日志报文进行数据挖掘和关联分析,识别传输协议的类别;根据所述传输协议的类别,按照预设规则对所述传输协议进行审计,确定危险操作行为。本申请提高工业网络安全性。
Description
技术领域
本申请涉及工业网络技术领域,尤其涉及一种工业网络监测审计方法、装置、电子设备和存储介质。
背景技术
随着网络技术高速发展,越来越多的信息技术应用在工控领域上,在为工业生产带来提高效率的同时也带来了大量安全问题。这些安全问题将成为影响信息化与工业化发展的重要因素,传统防护措施已不能满足现阶段工业网络信息化发展的需求。目前工业网络的发展面临大量安全问题。
发明内容
本申请实施例的目的在于提供一种工业网络监测审计方法、装置、电子设备和存储介质,以解决工业网络的发展面临大量安全的问题。具体技术方案如下:
第一方面,提供了一种工业网络监测审计方法,所述方法包括:
从用户终端和数据库采集日志报文;
对所述日志报文进行数据挖掘和关联分析,识别传输协议的类别;
根据所述传输协议的类别,按照预设规则对所述传输协议进行审计,确定危险操作行为。
可选地,根据所述传输协议的类别,按照预设规则对所述传输协议进行审计,确定危险操作行为包括:
在所述传输协议为工控协议的情况下,解析出所述工控协议携带的第一数据信息;
对所述第一数据信息进行审计,确定逻辑下装和危险动作执行。
可选地,解析出所述工控协议携带的第一数据信息包括:
解析出所述工控协议携带的源IP地址、源端口、目的IP地址、目的端口、时间、功能码、操作行为、起始地址、偏移量和寄存器数值。
可选地,根据所述传输协议的类别,按照预设规则对所述传输协议进行审计,确定危险操作行为包括:
在所述传输协议为传统协议的情况下,解析出所述传统协议携带的第二数据信息;
对所述第二数据信息进行审计,确定危险信息标识。
可选地,解析出所述传统协议携带的第二数据信息包括:
解析出所述传统协议携带的网页URL、标题、FTP的登录用户名、密码和文件;或,
解析出所述传统协议携带的邮件内容和附件。
可选地,从用户终端和数据库采集日志报文之后,所述方法还包括:
对所述日志报文进行报文整流和会话重组;
对整流和会话重组后的报文进行词法分析;
将词法分析后的日志报文进行过滤。
第二方面,提供了一种工业网络监测审计装置,所述装置包括:
采集模块,用于从用户终端和数据库采集日志报文;
挖掘和分析模块,用于对所述日志报文进行数据挖掘和关联分析,识别传输协议的类别;
审计模块,用于根据所述传输协议的类别,按照预设规则对所述传输协议进行审计,确定危险操作行为。
可选地,所述审计模块用于:
在所述传输协议为工控协议的情况下,解析出所述工控协议携带的第一数据信息;
对所述第一数据信息进行审计,确定逻辑下装和危险动作执行。
第三方面,提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现任一所述的工业网络监测审计方法步骤。
第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现任一所述的工业网络监测审计方法步骤。
本申请实施例有益效果:
本申请实施例提供了一种工业网络监测审计方法,服务器根据对日志报文的分析和挖掘,确定协议类别,然后根据协议审计确定危险操作行为,这样可以提前预知危险以避免工业网络受到安全攻击,提高工业网络安全性。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种工业网络监测审计的方法流程图;
图2为本申请实施例提供的系统架构示意图;
图3为本申请实施例提供的一种工业网络监测审计装置的结构示意图;
图4为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本申请的说明,其本身并没有特定的意义。因此,“模块”与“部件”可以混合地使用。
为了解决背景技术中提及的问题,根据本申请实施例的一方面,提供了一种工业网络监测审计方法的实施例。
本申请实施例提供了一种工业网络监测审计方法,可以应用服务器,用于提高工业网络的安全性。
下面将结合具体实施方式,对本申请实施例提供的一种工业网络监测审计方法进行详细的说明,如图1所示,具体步骤如下:
步骤101:从用户终端和数据库采集日志报文。
服务器从用户终端和数据库采集日志报文,其中,数据库包括但不限于ORACLE,mysql,PI等。
步骤102:对日志报文进行数据挖掘和关联分析,识别传输协议的类别。
服务器对日志报文进行数据挖掘和关联分析,识别传输协议的类别。传输协议的类别包括传统协议和工控协议,其中,传统协议包括HTTP、FTP、TELNET、POP3、SMTP,工控协议包括MODBUS、ProfinetIO、S7Common、DNP3、OMRONFINS。
步骤103:根据传输协议的类别,按照预设规则对传输协议进行审计,确定危险操作行为。
不同类别的传输协议对应不同的审计方式和预设规则,其危险操作行为也是不同的。
在本申请中,服务器根据对日志报文的分析和挖掘,确定协议类别,然后根据协议审计确定危险操作行为,这样可以提前预知危险以避免工业网络受到安全攻击,提高工业网络安全性。
工业网络监测审计系统具有清晰的系统构架,除了可审计内置的目标外,还可根据用户的网络环境、应用需求、网络规模进行定制和扩充,增加新的安全审计类型。详细的系统架构示意图如图2所示。系统采用旁路方式部署,只需要将产品的数据监听网口接到交换机的镜像口即可,不需要对原有网络做任何改动,部署方式简单安全。
可以看出,审计数据源为终端和数据库,日志采集层通过网卡驱动层进行报文采集,对报文进行报文整流、会话重组、词法分析、日志过滤和日志存储,然后业务层对日志进行数据分析和数据统计,最后应用层进行综合展示,应用层还可设置权限管理、系统配置、规则过滤、报警设置,以及日志审计。
工业网络监测审计系统可应用于工业控制系统的各个行业,在电力、轨道交通、石油化工、港口、冶金、智能制造等行业都有广泛的应用。系统通过旁路监听技术,实现对各类操作行为的记录,完全不会影响到客户原有生产系统和网络的性能。通过对数据的分析,实时解析出各种操作行为,并按策略进行审计和报警,实现对目标行为的监控和审计。
根据传输协议的类别,按照预设规则对传输协议进行审计,确定危险操作行为包括两种实施例:
在一种实施例中,在传输协议为工控协议的情况下,解析出工控协议携带的第一数据信息;对第一数据信息进行审计,确定逻辑下装和危险动作执行。
服务器支持对工控协议(MODBUS、ProfinetIO、S7Common、DNP3、OMRONFINS等)的深度识别和解析,能够解析出源IP地址、源端口、目的IP地址、目的端口、时间、功能码、操作行为、起始地址、偏移量、寄存器数值等详细信息。通过对工控协议的识别,能够按照预设规则对工控协议进行精准的审计,以实现对工控协议敏感操作行为如逻辑下装、危险动作执行等关键操作的审计。
在另一种实施例中,在传输协议为传统协议的情况下,解析出传统协议携带的第二数据信息;对第二数据信息进行审计,确定危险信息标识。
服务器支持对传统协议(HTTP、FTP、TELNET、POP3、SMTP)的审计,能够从协议中解析出网页URL、标题、FTP的登录用户名、密码、文件等,能够解析出邮件内容、附件等信息。
作为一种可选的实施方式,从用户终端和数据库采集日志报文之后,方法还包括:对日志报文进行报文整流和会话重组;对整流和会话重组后的报文进行词法分析;将词法分析后的日志报文进行过滤。
服务器可根据预先设定的报警策略对产生的异常操作行为进行报警,通知管理员进行重点关注。除了本地记录告警日志外,还具备日志的远程上报功能,实现日志的远程存储。
工控数据库审计系统是针对目前主流数据库的数据库安全审计产品,能够根据配置的策略完整记录用户对数据库进行的所有操作。对异常操作能够进行报警,使管理员第一时间进行处理。以各种可视化的方式将用户的操作记录展示出来,为安全事件的调查取证提供依据。
基于相同的技术构思,本申请实施例还提供了一种工业网络监测审计工业网络监测审计装置,如图3所示,该装置包括:
采集模块301,用于从用户终端和数据库采集日志报文;
挖掘和分析模块302,用于对日志报文进行数据挖掘和关联分析,识别传输协议的类别;
审计模块303,用于根据传输协议的类别,按照预设规则对传输协议进行审计,确定危险操作行为。
可选地,审计模块303用于:
在传输协议为工控协议的情况下,解析出工控协议携带的第一数据信息;
对第一数据信息进行审计,确定逻辑下装和危险动作执行。
可选地,审计模块303用于:
解析出工控协议携带的源IP地址、源端口、目的IP地址、目的端口、时间、功能码、操作行为、起始地址、偏移量和寄存器数值。
可选地,审计模块303用于:
在传输协议为传统协议的情况下,解析出传统协议携带的第二数据信息;
对第二数据信息进行审计,确定危险信息标识。
可选地,审计模块303用于:
解析出传统协议携带的网页URL、标题、FTP的登录用户名、密码和文件;或,
解析出传统协议携带的邮件内容和附件。
可选地,该装置还用于:
对日志报文进行报文整流和会话重组;
对整流和会话重组后的报文进行词法分析;
将词法分析后的日志报文进行过滤。
根据本申请实施例的另一方面,本申请提供了一种电子设备,如图4所示,包括存储器403、处理器401、通信接口402及通信总线404,存储器403中存储有可在处理器401上运行的计算机程序,存储器403、处理器401通过通信接口402和通信总线404进行通信,处理器401执行计算机程序时实现上述方法的步骤。
上述电子设备中的存储器、处理器通过通信总线和通信接口进行通信。所述通信总线可以是外设部件互连标准(PeripheralComponent Interconnect,简称PCI)总线或扩展工业标准结构(ExtendedIndustry StandardArchitecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。
存储器可以包括随机存取存储器(RandomAccessMemory,简称RAM),也可以包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central ProcessingUnit,简称CPU)、网络处理器(NetworkProcessor,简称NP)等;还可以是数字信号处理器(DigitalSignalProcessing,简称DSP)、专用集成电路(ApplicationSpecificIntegratedCircuit,简称ASIC)、现场可编程门阵列(Field-ProgrammableGateArray,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
根据本申请实施例的又一方面还提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质。
可选地,在本申请实施例中,计算机可读介质被设置为存储用于所述处理器执行上述方法的程序代码。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
本申请实施例在具体实现时,可以参阅上述各个实施例,具有相应的技术效果。
可以理解的是,本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现,处理单元可以实现在一个或多个专用集成电路(ApplicationSpecificIntegratedCircuits,ASIC)、数字信号处理器(DigitalSignalProcessing,DSP)、数字信号处理设备(DSPDevice,DSPD)、可编程逻辑设备(ProgrammableLogic Device,PLD)、现场可编程门阵列(Field-ProgrammableGateArray,FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本申请所述功能的其它电子单元或其组合中。
对于软件实现,可通过执行本文所述功能的单元来实现本文所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种工业网络监测审计方法,其特征在于,所述方法包括:
从用户终端和数据库采集日志报文;
对所述日志报文进行数据挖掘和关联分析,识别传输协议的类别;
根据所述传输协议的类别,按照预设规则对所述传输协议进行审计,确定危险操作行为。
2.根据权利要求1所述的方法,其特征在于,根据所述传输协议的类别,按照预设规则对所述传输协议进行审计,确定危险操作行为包括:
在所述传输协议为工控协议的情况下,解析出所述工控协议携带的第一数据信息;
对所述第一数据信息进行审计,确定逻辑下装和危险动作执行。
3.根据权利要求2所述的方法,其特征在于,解析出所述工控协议携带的第一数据信息包括:
解析出所述工控协议携带的源IP地址、源端口、目的IP地址、目的端口、时间、功能码、操作行为、起始地址、偏移量和寄存器数值。
4.根据权利要求1所述的方法,其特征在于,根据所述传输协议的类别,按照预设规则对所述传输协议进行审计,确定危险操作行为包括:
在所述传输协议为传统协议的情况下,解析出所述传统协议携带的第二数据信息;
对所述第二数据信息进行审计,确定危险信息标识。
5.根据权利要求4所述的方法,其特征在于,解析出所述传统协议携带的第二数据信息包括:
解析出所述传统协议携带的网页URL、标题、FTP的登录用户名、密码和文件;或,
解析出所述传统协议携带的邮件内容和附件。
6.根据权利要求1所述的方法,其特征在于,从用户终端和数据库采集日志报文之后,所述方法还包括:
对所述日志报文进行报文整流和会话重组;
对整流和会话重组后的报文进行词法分析;
将词法分析后的日志报文进行过滤。
7.一种工业网络监测审计装置,其特征在于,所述装置包括:
采集模块,用于从用户终端和数据库采集日志报文;
挖掘和分析模块,用于对所述日志报文进行数据挖掘和关联分析,识别传输协议的类别;
审计模块,用于根据所述传输协议的类别,按照预设规则对所述传输协议进行审计,确定危险操作行为。
8.根据权利要求7所述的装置,其特征在于,所述审计模块用于:
在所述传输协议为工控协议的情况下,解析出所述工控协议携带的第一数据信息;
对所述第一数据信息进行审计,确定逻辑下装和危险动作执行。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-6任一所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310380950.0A CN116405418A (zh) | 2023-04-11 | 2023-04-11 | 一种工业网络监测审计方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310380950.0A CN116405418A (zh) | 2023-04-11 | 2023-04-11 | 一种工业网络监测审计方法、装置、电子设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116405418A true CN116405418A (zh) | 2023-07-07 |
Family
ID=87009984
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310380950.0A Pending CN116405418A (zh) | 2023-04-11 | 2023-04-11 | 一种工业网络监测审计方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116405418A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117579499A (zh) * | 2023-12-27 | 2024-02-20 | 长扬科技(北京)股份有限公司 | 网络行为审计记录方法、装置、计算设备及存储介质 |
-
2023
- 2023-04-11 CN CN202310380950.0A patent/CN116405418A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117579499A (zh) * | 2023-12-27 | 2024-02-20 | 长扬科技(北京)股份有限公司 | 网络行为审计记录方法、装置、计算设备及存储介质 |
| CN117579499B (zh) * | 2023-12-27 | 2024-05-31 | 长扬科技(北京)股份有限公司 | 网络行为审计记录方法、装置、计算设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110740141A (zh) | 一体化网络安全态势感知方法、装置及计算机设备 | |
| CN111262722A (zh) | 一种用于工业控制系统网络的安全监测方法 | |
| CN108011925B (zh) | 一种业务审计系统及方法 | |
| CN111935172A (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
| EP2633646A1 (en) | Methods and systems for detecting suspected data leakage using traffic samples | |
| CN112905548B (zh) | 一种安全审计系统及方法 | |
| CN109379390B (zh) | 一种基于全流量的网络安全基线生成方法 | |
| CN111078455A (zh) | 基于时间轴的异常行为序列关联处理方法以及装置、设备、存储介质 | |
| CN111131253A (zh) | 基于场景的安全事件全局响应方法以及装置、设备、存储介质 | |
| CN113687969A (zh) | 告警信息生成方法、装置、电子设备及可读存储介质 | |
| CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
| CN112416872A (zh) | 一种基于大数据的云平台日志管理系统 | |
| CN116405418A (zh) | 一种工业网络监测审计方法、装置、电子设备和存储介质 | |
| CN111191247A (zh) | 数据库安全审计系统 | |
| CN112350846A (zh) | 一种智能变电站的资产学习方法、装置、设备及存储介质 | |
| CN112118261A (zh) | 会话违规访问检测方法及装置 | |
| CN112165445B (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
| CN111176202A (zh) | 工业控制网络的安全管理方法、装置、终端设备及介质 | |
| CN113315771A (zh) | 一种基于工业控制系统的安全事件告警装置和方法 | |
| CN114666101B (zh) | 一种攻击溯源检测系统及方法 | |
| CN114138771B (zh) | 异常数据的处理方法、装置及电子设备 | |
| CN111193727A (zh) | 运行监测系统及运行监测方法 | |
| CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| CN116723212A (zh) | 数据处理方法、装置、电子设备和计算机可读存储介质 | |
| CN114500247B (zh) | 工控网络故障诊断方法、装置、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |