CN116418599A - 一种基于工业交换机的报文检测方法及装置 - Google Patents
一种基于工业交换机的报文检测方法及装置 Download PDFInfo
- Publication number
- CN116418599A CN116418599A CN202310678001.0A CN202310678001A CN116418599A CN 116418599 A CN116418599 A CN 116418599A CN 202310678001 A CN202310678001 A CN 202310678001A CN 116418599 A CN116418599 A CN 116418599A
- Authority
- CN
- China
- Prior art keywords
- node
- message
- transmission
- target message
- mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 25
- 230000005540 biological transmission Effects 0.000 claims abstract description 275
- 230000002159 abnormal effect Effects 0.000 claims abstract description 56
- 238000000034 method Methods 0.000 claims abstract description 43
- 230000005856 abnormality Effects 0.000 claims abstract description 20
- 238000004891 communication Methods 0.000 claims description 52
- 230000008569 process Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000011895 specific detection Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种基于工业交换机的报文检测方法及装置,涉及报文检测技术领域,该方法包括以下步骤:复制目标报文,获得对应的镜像目标报文;识别镜像目标报文中的传输节点标记;基于传输节点标记,获得目标报文的报文传输路径;基于报文传输路径,识别目标报文是否异常。本申请基于报文传输途径生成对应的传输节点标记,后期基于传输节点标记对报文的传输工作进行检测,进而识别是否出现异常,具有简单高效的优势。
Description
技术领域
本申请涉及报文检测技术领域,具体涉及一种基于工业交换机的报文检测方法及装置。
背景技术
随着网络信息的迅速发展,工业交换机的工作负担也日益增加,其报文交互工作也逐渐频繁,因此在日常生产工作中,信息安全的要求也逐渐。
传统的信息安全工作多为在信息传输过程中加入加密算法,但随着加密算法的开发,对应的解密算法也随之得到迅速发展,使得非法攻击手段逐渐多样化,安全漏洞防不胜防。
因此,为满足现阶段的信息安全需求,提供一种基于工业交换机的报文检测技术。
发明内容
本申请提供一种基于工业交换机的报文检测方法及装置,基于报文传输途径生成对应的传输节点标记,后期基于传输节点标记对报文的传输工作进行检测,进而识别是否出现异常,具有简单高效的优势。
第一方面,本申请提供了一种基于工业交换机的报文检测方法,所述方法包括以下步骤:
复制目标报文,获得对应的镜像目标报文;
识别所述镜像目标报文中的传输节点标记;
基于所述传输节点标记,获得所述目标报文的报文传输路径;
基于所述报文传输路径,识别所述目标报文是否异常;其中,
所述传输节点标记为多个单字符组成的用于表示所述目标报文传输途经节点的数据信息。
进一步的,所述方法包括传输节点标记生成流程,所述传输节点标记生成流程包括以下步骤:
第一节点接收所述目标报文,基于发出所述目标报文的上级节点与所述第一节点在所处的网络通信架构中的结构关系,向所述目标报文的传输标记字段中加入与所述第一节点对应的传输节点标记;
待所述第一节点对应的传输节点标记添加至所述目标报文后,所述第一节点将所述目标报文转发至所述第二节点;其中,
所述传输标记字段中的所述传输节点标记基于传输顺序依次排序;
所述网络通信架构中的结构关系中,当前节点对应各上一级节点均存在一对应的特定符号作为传输节点标记,用于作为当前节点的身份标记。
进一步的,所述传输节点标记生成流程还包括以下步骤:
第一节点接收所述目标报文,基于发出所述目标报文的上级节点与所述第一节点在所处的网络通信架构中的结构关系,向所述目标报文的传输标记字段中加入与所述第一节点对应的传输节点标记;
第一节点基于发出所述目标报文的上级节点的报文发出时间以及第一节点接收所述报文的报文接收时间,向对应的传输节点标记中添加传输延迟时间;
待所述第一节点对应的传输节点标记以及对应的传输延迟时间添加至所述目标报文后,所述第一节点将所述目标报文转发至所述第二节点;
所述基于所述报文传输路径,识别所述目标报文是否异常中包括以下步骤:
识别所述目标报文的传输延迟时间;
将所述传输延迟时间与预设的传输延迟时间阈值进行比对,判断所述目标报文是否异常。
进一步的,基于所述报文传输路径,识别所述目标报文是否异常中,包括以下步骤:
基于所述目标报文的报文传输路径,获取所述目标报文依次传输至的节点的身份信息;
检测各所述节点的身份信息对应的节点是否存在所述目标报文以及对应的报文到达时间,进而识别所述目标报文是否异常。
进一步的,基于所述报文传输路径,识别所述目标报文是否异常中,包括以下步骤:
基于所述报文传输路径,获取所述目标报文依次传输至的节点的身份信息,整合获得第一身份信息集合;
基于所述目标报文所处的网络通信架构,识别存在所述目标报文的节点的身份信息,整合获得第二身份信息集合;
比对所述第一身份信息集合与所述第二身份信息集合,识别所述目标报文是否异常。
进一步的,基于所述报文传输路径,识别所述目标报文是否异常中,包括以下步骤:
基于所述报文传输路径,获得所述目标报文依次传输至的节点的身份信息;
基于所述目标报文依次传输至的节点的身份信息,结合所述目标报文所处的网络通信架构,核实所述目标报文传输先后顺序是否合理,从而识别所述目标报文是否异常。
进一步的,所述方法还包括以下步骤:
在预设周期内,获取多个不同的目标报文对应的镜像目标报文;
识别各所述镜像目标报文中的传输节点标记;
基于所述传输节点标记,统计所述目标报文所处的网络通信架构中各节点接收报文的次数,记作报文流量值;
将各所述节点的报文流量值与预设的报文流量阈值进行比对,识别处于异常状态的节点。
进一步的,所述方法还包括以下步骤:
识别所述镜像目标报文中是否存在预设攻击内容信息;
若存在,则识别所述攻击内容信息对应的节点的身份信息;
基于所述攻击内容信息对应的节点的身份信息,重建与所述节点对应的通信链路。
进一步的,所述方法还包括以下步骤:
基于所述目标报文的所述报文传输路径以及所述攻击内容信息对应的节点的身份信息,识别获得疑似报文发送节点;
对所述疑似报文发送节点进行检测,判断其是否处于异常。
第二方面,本申请提供了一种基于工业交换机的报文检测装置,所述装置包括:
报文镜像模块,其用于复制目标报文,获得对应的镜像目标报文;
标记识别模块,其用于识别所述镜像目标报文中的传输节点标记;
路径获取模块,其用于基于所述传输节点标记,获得所述目标报文的报文传输路径;
异常识别模块,其用于基于所述报文传输路径,识别所述目标报文是否异常;其中,
所述传输节点标记为多个单字符组成的用于表示所述目标报文传输途经节点的数据信息。
进一步的,所述装置包括传输节点标记生成模块,其用于控制第一节点接收所述目标报文,基于发出所述目标报文的上级节点与所述第一节点在所处的网络通信架构中的结构关系,向所述目标报文的传输标记字段中加入与所述第一节点对应的传输节点标记;
所述传输节点标记生成模块还用于待所述第一节点对应的传输节点标记添加至所述目标报文后,控制所述第一节点将所述目标报文转发至所述第二节点;其中,
所述传输标记字段中的所述传输节点标记基于传输顺序依次排序。
进一步的,所述网络通信架构中的结构关系中,当前节点对应各上一级节点均存在一对应的特定符号作为传输节点标记,用于作为当前节点的身份标记。
进一步的,所述异常识别模块还用于基于所述目标报文的报文传输路径,获取所述目标报文依次传输至的节点的身份信息;
所述异常识别模块还用于检测各所述节点的身份信息对应的节点是否存在所述目标报文以及对应的报文到达时间,进而识别所述目标报文是否异常。
进一步的,所述异常识别模块还用于基于所述报文传输路径,获取所述目标报文依次传输至的节点的身份信息,整合获得第一身份信息集合;
所述异常识别模块还用于基于所述目标报文所处的网络通信架构,识别存在所述目标报文的节点的身份信息,整合获得第二身份信息集合;
所述异常识别模块还用于比对所述第一身份信息集合与所述第二身份信息集合,识别所述目标报文是否异常。
进一步的,所述异常识别模块还用于基于所述报文传输路径,获得所述目标报文依次传输至的节点的身份信息;
所述异常识别模块还用于基于所述目标报文依次传输至的节点的身份信息,结合所述目标报文所处的网络通信架构,核实所述目标报文传输先后顺序是否合理,从而识别所述目标报文是否异常。
进一步的,所述报文镜像模块还用于在预设周期内,获取多个不同的目标报文对应的镜像目标报文;
所述标记识别模块还用于识别各所述镜像目标报文中的传输节点标记;
所述路径获取模块还用于基于所述传输节点标记,统计所述目标报文所处的网络通信架构中各节点接收报文的次数,记作报文流量值;
所述异常识别模块还用于将各所述节点的报文流量值与预设的报文流量阈值进行比对,识别处于异常状态的节点。
进一步的,所述异常识别模块还用于识别所述镜像目标报文中是否存在预设攻击内容信息;
所述异常识别模块还用于若所述镜像目标报文中存在预设攻击内容信息,则识别所述攻击内容信息对应的节点的身份信息;
所述异常识别模块还用于基于所述攻击内容信息对应的节点的身份信息,重建与所述节点对应的通信链路。
进一步的,所述异常识别模块还用于基于所述目标报文的所述报文传输路径以及所述攻击内容信息对应的节点的身份信息,识别获得疑似报文发送节点;
所述异常识别模块还用于对所述疑似报文发送节点进行检测,判断其是否处于异常。
本申请提供的技术方案带来的有益效果包括:
本申请基于报文传输途径生成对应的传输节点标记,后期基于传输节点标记对报文的传输工作进行检测,进而识别是否出现异常,具有简单高效的优势。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中提供的基于工业交换机的报文检测方法的步骤流程图;
图2为本申请实施例中提供的基于工业交换机的报文检测装置的结构框图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下结合附图对本申请的实施例作进一步详细说明。
本申请实施例提供一种基于工业交换机的报文检测方法及装置,基于报文传输途径生成对应的传输节点标记,后期基于传输节点标记对报文的传输工作进行检测,进而识别是否出现异常,具有简单高效的优势。
为达到上述技术效果,本申请的总体思路如下:
一种基于工业交换机的报文检测方法,该方法包括以下步骤:
S1、复制目标报文,获得对应的镜像目标报文;
S2、识别镜像目标报文中的传输节点标记;
S3、基于传输节点标记,获得目标报文的报文传输路径;
S4、基于报文传输路径,识别目标报文是否异常;其中,
传输节点标记为多个单字符组成的用于表示目标报文传输途经节点的数据信息。
以下结合附图对本申请的实施例作进一步详细说明。
第一方面,参见图1所示,本申请实施例提供一种基于工业交换机的报文检测方法,该方法包括以下步骤:
S1、复制目标报文,获得对应的镜像目标报文;
S2、识别镜像目标报文中的传输节点标记;
S3、基于传输节点标记,获得目标报文的报文传输路径;
S4、基于报文传输路径,识别目标报文是否异常;其中,
传输节点标记为多个单字符组成的用于表示目标报文传输途经节点的数据信息。
本申请实施例中,基于报文传输途径生成对应的传输节点标记,后期基于传输节点标记对报文的传输工作进行检测,进而识别是否出现异常,具有简单高效的优势。
进一步的,所述方法包括传输节点标记生成流程,所述传输节点标记生成流程包括以下步骤:
第一节点接收所述目标报文,基于发出所述目标报文的上级节点与所述第一节点在所处的网络通信架构中的结构关系,向所述目标报文的传输标记字段中加入与所述第一节点对应的传输节点标记;
待所述第一节点对应的传输节点标记添加至所述目标报文后,所述第一节点将所述目标报文转发至所述第二节点;其中,
所述传输标记字段中的所述传输节点标记基于传输顺序依次排序。
需要说明的是,在该流程为每个节点对报文进行针对性处理的流程;
首先,第一节点接收所述目标报文,基于发出所述目标报文的上级节点与所述第一节点在所处的网络通信架构中的结构关系,向所述目标报文的传输标记字段中加入与所述第一节点对应的传输节点标记,该传输节点标记拥有唯一性,作为发出所述目标报文的上级节点,其下一级节点,即第一节点相对其的唯一性身份标识,即传输节点标记;
如此设置,在知道该报文的源节点后,根据逐级的传输节点标记,即能够知道逐级节点对应的身份信息;
故而,在待所述第一节点对应的传输节点标记添加至所述目标报文后,所述第一节点将所述目标报文转发至所述第二节点,同样,第二节点接收到目标报文后,
基于所述第一节点与所述第二节点在所处的网络通信架构中的结构关系,向所述目标报文的传输标记字段中加入与所述第二节点对应的传输节点标记,该传输节点标记拥有唯一性,作为发出所述目标报文的上级节点,其下一级节点,即第二节点相对第一节点的唯一性身份标识,即传输节点标记。
为了更清楚的说明,通过三级节点进行说明:
第一级节点的下级节点对应多个第二级节点,每个第二级节点可以对应有不同的传输节点标记,诸如A、B、C、D;
第二级节点的下级节点也可以对应多个第三级节点,每个第三级节点可以对应有不同的传输节点标记。
基于此情况,进行举例说明:
第一级节点将报文发送给名称为甲二的第二级节点,该第二级节点对应的传输节点标记为A,而名称为甲二的第二级节点包括多个对应多个第三级节点,每个第三级节点可以对应有不同的传输节点标记,诸如Q、W、E、R;
当第二节点发送给标记为Q的第三级节点时,该第三节点名称为甲三,传输节点标记为AQ,识别时,由于源节点为第一级节点,因此A代表名称为甲二的第二级节点,通过名称为甲二的第二级节点,能够得知Q对应的是名称对应甲三的第二级节点;
若第一级节点将报文发送给名称为乙二的第二级节点,该第二级节点对应的传输节点标记为B,而名称为乙二的第二级节点包括多个对应多个第三级节点,每个第三级节点可以对应有不同的传输节点标记,诸如A、S、D、F;
当第二节点发送给标记为F的第三级节点时,该第三节点名称为丙四,传输节点标记为BF,识别时,由于源节点为第一级节点,因此B代表名称为乙二的第二级节点,通过名称为乙二的第二级节点,能够得知F对应的是名称对应丙四的第二级节点。
即,综上所述,所述网络通信架构中的结构关系中,当前节点对应各上一级节点均存在一对应的特定符号作为传输节点标记,用于作为当前节点的身份标记。
再者,需要说明的是,上述配置方法可以配合预设的加密方法进行传输节点标记的生成,以便保障信息的安全性;
但是,加密方法以及传输节点标记的生成方法,仅在网络通信架构对应的总服务器以及对应的节点上配置,而节点间无法得知其他节点的加密方法,即也无法得知对应的传输节点标记生成方法。
另外,为了进一步提升安全性,所述传输节点标记生成流程还可以包括以下步骤:
第一节点接收所述目标报文,基于发出所述目标报文的上级节点与所述第一节点在所处的网络通信架构中的结构关系,向所述目标报文的传输标记字段中加入与所述第一节点对应的传输节点标记;
第一节点基于发出所述目标报文的上级节点的报文发出时间以及第一节点接收所述报文的报文接收时间,向对应的传输节点标记中添加传输延迟时间;
待所述第一节点对应的传输节点标记以及对应的传输延迟时间添加至所述目标报文后,所述第一节点将所述目标报文转发至所述第二节点;
所述基于所述报文传输路径,识别所述目标报文是否异常中包括以下步骤:
识别所述目标报文的传输延迟时间;
将所述传输延迟时间与预设的传输延迟时间阈值进行比对,判断所述目标报文是否异常。
即上述流程,传输延迟时间阈值是预计正常情况下报文传输过程中所需的时间进行设定的,其可以是一个阈值范围,也可以是一个数值;
当传输延迟时间不在该阈值范围或超出该数值时,则判定在对应节点间传输所述目标报文时,传输延迟大于正常情况,因此可以认为在对应节点间的传输存在异常,即目标报文传输工作出现异常,需要针对两个节点进行具体检测,以判定其是否确实存在异常情况。
进一步的,步骤S4,基于所述报文传输路径,识别所述目标报文是否异常中,包括以下步骤:
A1、基于所述目标报文的报文传输路径,获取所述目标报文依次传输至的节点的身份信息;
A2、检测各所述节点的身份信息对应的节点是否存在所述目标报文以及对应的报文到达时间,进而识别所述目标报文是否异常。
需要说明的是,所述目标报文依次传输至的节点的身份信息,能够掌握目标报文传输的对象和顺序,再从各节点中识别是否存在目标报文以及报文到达时间,从而能够比对是否存在目标报文以及报文传输顺序是否正确,以此来判断目标报文的传输是否存在异常。
进一步的,步骤S4,基于所述报文传输路径,识别所述目标报文是否异常中,包括以下步骤:
B1、基于所述报文传输路径,获取所述目标报文依次传输至的节点的身份信息,整合获得第一身份信息集合;
B2、基于所述目标报文所处的网络通信架构,识别存在所述目标报文的节点的身份信息,整合获得第二身份信息集合;
B3、比对所述第一身份信息集合与所述第二身份信息集合,识别所述目标报文是否异常。
需要说明的是,步骤B1~B3与步骤A1~A2在原理上存在本质区别,步骤A1~A2是为了比对报文的传输路径上,是否存在节点差异或传输顺序差异,而步骤B1~B3则是为了比对是否向其他未知节点发送了目标报文;
即步骤B1识别传输路径中经过的节点,步骤B2识别存在于网络通信架构的节点,从而能够得知目标报文跳出网络通信架构传输至的节点;
其中,在此情况下,为了避免被发现异常,通常情况下报文在发送至不在网络通信架构的节点后,会添加特定内容,再通过特定手段返回至网络通信架构,因此,当发现向其他未知节点发送了目标报文时,则可判定出现异常。
当然,步骤B1~B3得以实施的前提是目标报文中存在预设控制指令,即控制接收其的通信节点按照对应的预设算法生成传输节点标记,若对应的通信节点无法生成传输节点标记,则通过调用某种较为通用的常规算法生成对应的传输节点标识,以便骗过网络通信架构的攻击方,使得目标报文能够正常传输,在最后识别时再识别异常,避免在目标报文传输过程中由于传输失败导致攻击方意识到,从而调整攻击手段。
进一步的,步骤S4,基于所述报文传输路径,识别所述目标报文是否异常中,包括以下步骤:
C1、基于所述报文传输路径,获得所述目标报文依次传输至的节点的身份信息;
C2、基于所述目标报文依次传输至的节点的身份信息,结合所述目标报文所处的网络通信架构,核实所述目标报文传输先后顺序是否合理,从而识别所述目标报文是否异常。
需要说明的是,该步骤的核心在于基于传输先后顺序进行识别,而网络通信架构中,不同节点的通信结构关系清楚,通过通信结构关系能够得知其支持怎么样的传输先后顺序。
进一步的,该方法还包括以下步骤:
Q1、在预设周期内,获取多个不同的目标报文对应的镜像目标报文;
Q2、识别各所述镜像目标报文中的传输节点标记;
Q3、基于所述传输节点标记,统计所述目标报文所处的网络通信架构中各节点接收报文的次数,记作报文流量值;
Q4、将各所述节点的报文流量值与预设的报文流量阈值进行比对,识别处于异常状态的节点。
需要说明的是,该步骤旨在针对各节点的报文传输情况进行管理,
若某一节点其报文流量值高于预设的报文流量阈值,则判定其传输报文的频率过于密集,存在工作异常的状况;
因此,判定该节点处于异常状态,以便后期进行具体运维工作。
进一步的,所述方法还包括攻击内容识别流程,该攻击内容识别流程包括以下步骤:
T1、识别所述镜像目标报文中是否存在预设攻击内容信息;
T2、若存在,则识别所述攻击内容信息对应的节点的身份信息;
T3、基于所述攻击内容信息对应的节点的身份信息,重建与所述节点对应的通信链路。
需要说明的是,本申请实施例还存在一攻击内容预设流程,该攻击内容预设流程包括以下步骤:
设定信息收集器;
利用信息收集器收集已判定处于异常的节点接收的历史报文;
解析所述历史报文,提取历史攻击内容信息;
基于所述历史攻击内容信息,设定所述预设攻击内容信息。
其中,历史攻击内容信息或预设攻击内容信息,两者具体是控制节点执行违规内容或向节点添加违规信息。
另外,必要时,工作人员还可模拟不同类型的攻击指令,获取不同类型的攻击指令中的关键攻击信息,该关键攻击信息可以是一种标记信息,即只要识别获得关键攻击信息,即可对应识别获得该攻击指令;
故而,可以基于关键攻击信息设置历史攻击内容信息。
进一步的,该攻击内容识别流程还包括以下步骤:
T4、基于所述目标报文的所述报文传输路径以及所述攻击内容信息对应的节点的身份信息,识别获得疑似报文发送节点;
T5、对所述疑似报文发送节点进行检测,判断其是否处于异常。
需要说明的是,该流程,通过检测所述疑似报文发送节点,能够保障通信框架的安全性,避免信息安全问题的出现。
第二方面,如说明书附图的图2所示,本申请实施例在第一方面提及的一种基于工业交换机的报文检测方法的基础上,提供一种基于工业交换机的报文检测装置,该装置包括:
报文镜像模块,其用于复制目标报文,获得对应的镜像目标报文;
标记识别模块,其用于识别所述镜像目标报文中的传输节点标记;
路径获取模块,其用于基于所述传输节点标记,获得所述目标报文的报文传输路径;
异常识别模块,其用于基于所述报文传输路径,识别所述目标报文是否异常;其中,
所述传输节点标记为多个单字符组成的用于表示所述目标报文传输途经节点的数据信息。
本申请实施例中,基于报文传输途径生成对应的传输节点标记,后期基于传输节点标记对报文的传输工作进行检测,进而识别是否出现异常,具有简单高效的优势。
进一步的,所述装置包括传输节点标记生成模块,其用于控制第一节点接收所述目标报文,基于发出所述目标报文的上级节点与所述第一节点在所处的网络通信架构中的结构关系,向所述目标报文的传输标记字段中加入与所述第一节点对应的传输节点标记;
所述传输节点标记生成模块还用于待所述第一节点对应的传输节点标记添加至所述目标报文后,控制所述第一节点将所述目标报文转发至所述第二节点;其中,
所述传输标记字段中的所述传输节点标记基于传输顺序依次排序。
需要说明的是,在该流程为每个节点对报文进行针对性处理的流程;
首先,第一节点接收所述目标报文,基于发出所述目标报文的上级节点与所述第一节点在所处的网络通信架构中的结构关系,向所述目标报文的传输标记字段中加入与所述第一节点对应的传输节点标记,该传输节点标记拥有唯一性,作为发出所述目标报文的上级节点,其下一级节点,即第一节点相对其的唯一性身份标识,即传输节点标记;
如此设置,在知道该报文的源节点后,根据逐级的传输节点标记,即能够知道逐级节点对应的身份信息;
故而,在待所述第一节点对应的传输节点标记添加至所述目标报文后,所述第一节点将所述目标报文转发至所述第二节点,同样,第二节点接收到目标报文后,
基于所述第一节点与所述第二节点在所处的网络通信架构中的结构关系,向所述目标报文的传输标记字段中加入与所述第二节点对应的传输节点标记,该传输节点标记拥有唯一性,作为发出所述目标报文的上级节点,其下一级节点,即第二节点相对第一节点的唯一性身份标识,即传输节点标记。
为了更清楚的说明,通过三级节点进行说明:
第一级节点的下级节点对应多个第二级节点,每个第二级节点可以对应有不同的传输节点标记,诸如A、B、C、D;
第二级节点的下级节点也可以对应多个第三级节点,每个第三级节点可以对应有不同的传输节点标记。
基于此情况,进行举例说明:
第一级节点将报文发送给名称为甲二的第二级节点,该第二级节点对应的传输节点标记为A,而名称为甲二的第二级节点包括多个对应多个第三级节点,每个第三级节点可以对应有不同的传输节点标记,诸如Q、W、E、R;
当第二节点发送给标记为Q的第三级节点时,该第三节点名称为甲三,传输节点标记为AQ,识别时,由于源节点为第一级节点,因此A代表名称为甲二的第二级节点,通过名称为甲二的第二级节点,能够得知Q对应的是名称对应甲三的第二级节点;
若第一级节点将报文发送给名称为乙二的第二级节点,该第二级节点对应的传输节点标记为B,而名称为乙二的第二级节点包括多个对应多个第三级节点,每个第三级节点可以对应有不同的传输节点标记,诸如A、S、D、F;
当第二节点发送给标记为F的第三级节点时,该第三节点名称为丙四,传输节点标记为BF,识别时,由于源节点为第一级节点,因此B代表名称为乙二的第二级节点,通过名称为乙二的第二级节点,能够得知F对应的是名称对应丙四的第二级节点。
即,综上所述,所述网络通信架构中的结构关系中,当前节点对应各上一级节点均存在一对应的特定符号作为传输节点标记,用于作为当前节点的身份标记。
再者,需要说明的是,上述配置方法可以配合预设的加密方法进行传输节点标记的生成,以便保障信息的安全性;
但是,加密方法以及传输节点标记的生成方法,仅在网络通信架构对应的总服务器以及对应的节点上配置,而节点间无法得知其他节点的加密方法,即也无法得知对应的传输节点标记生成方法。
另外,为了进一步提升安全性,传输节点标记生成模块还可以用于执行以下操作:
当第一节点接收所述目标报文,传输节点标记生成模块基于发出所述目标报文的上级节点与所述第一节点在所处的网络通信架构中的结构关系,向所述目标报文的传输标记字段中加入与所述第一节点对应的传输节点标记;
传输节点标记生成模块基于发出所述目标报文的上级节点的报文发出时间以及第一节点接收所述报文的报文接收时间,向对应的传输节点标记中添加传输延迟时间;
待所述第一节点对应的传输节点标记以及对应的传输延迟时间添加至所述目标报文后,传输节点标记生成模块可以控制所述第一节点将所述目标报文转发至所述第二节点;
此时,异常识别模块还用于识别所述目标报文的传输延迟时间;
异常识别模块还用于将所述传输延迟时间与预设的传输延迟时间阈值进行比对,判断所述目标报文是否异常。
即上述流程,传输延迟时间阈值是预计正常情况下报文传输过程中所需的时间进行设定的,其可以是一个阈值范围,也可以是一个数值;
当传输延迟时间不在该阈值范围或超出该数值时,则判定在对应节点间传输所述目标报文时,传输延迟大于正常情况,因此可以认为在对应节点间的传输存在异常,即目标报文传输工作出现异常,需要针对两个节点进行具体检测,以判定其是否确实存在异常情况。
进一步的,所述网络通信架构中的结构关系中,当前节点对应各上一级节点均存在一对应的特定符号作为传输节点标记,用于作为当前节点的身份标记。
进一步的,所述异常识别模块还用于基于所述目标报文的报文传输路径,获取所述目标报文依次传输至的节点的身份信息;
所述异常识别模块还用于检测各所述节点的身份信息对应的节点是否存在所述目标报文以及对应的报文到达时间,进而识别所述目标报文是否异常。
进一步的,所述异常识别模块还用于基于所述报文传输路径,获取所述目标报文依次传输至的节点的身份信息,整合获得第一身份信息集合;
所述异常识别模块还用于基于所述目标报文所处的网络通信架构,识别存在所述目标报文的节点的身份信息,整合获得第二身份信息集合;
所述异常识别模块还用于比对所述第一身份信息集合与所述第二身份信息集合,识别所述目标报文是否异常。
进一步的,所述异常识别模块还用于基于所述报文传输路径,获得所述目标报文依次传输至的节点的身份信息;
所述异常识别模块还用于基于所述目标报文依次传输至的节点的身份信息,结合所述目标报文所处的网络通信架构,核实所述目标报文传输先后顺序是否合理,从而识别所述目标报文是否异常。
进一步的,所述报文镜像模块还用于在预设周期内,获取多个不同的目标报文对应的镜像目标报文;
所述标记识别模块还用于识别各所述镜像目标报文中的传输节点标记;
所述路径获取模块还用于基于所述传输节点标记,统计所述目标报文所处的网络通信架构中各节点接收报文的次数,记作报文流量值;
所述异常识别模块还用于将各所述节点的报文流量值与预设的报文流量阈值进行比对,识别处于异常状态的节点。
进一步的,所述异常识别模块还用于识别所述镜像目标报文中是否存在预设攻击内容信息;
所述异常识别模块还用于若所述镜像目标报文中存在预设攻击内容信息,则识别所述攻击内容信息对应的节点的身份信息;
所述异常识别模块还用于基于所述攻击内容信息对应的节点的身份信息,重建与所述节点对应的通信链路。
进一步的,所述异常识别模块还用于基于所述目标报文的所述报文传输路径以及所述攻击内容信息对应的节点的身份信息,识别获得疑似报文发送节点;
所述异常识别模块还用于对所述疑似报文发送节点进行检测,判断其是否处于异常。
需要说明的是,本申请实施例中的基于工业交换机的报文检测装置,其技术问题、技术领域、技术方案以及技术效果,与第一方面提及的基于工业交换机的报文检测方法在技术原理层面相似,在此不做赘述。
需要说明的是,在本申请中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种基于工业交换机的报文检测方法,其特征在于,所述方法包括以下步骤:
复制目标报文,获得对应的镜像目标报文;
识别所述镜像目标报文中的传输节点标记;
基于所述传输节点标记,获得所述目标报文的报文传输路径;
基于所述报文传输路径,识别所述目标报文是否异常;其中,
所述传输节点标记为多个单字符组成的用于表示所述目标报文传输途经节点的数据信息。
2.如权利要求1所述的基于工业交换机的报文检测方法,其特征在于,所述方法包括传输节点标记生成流程,所述传输节点标记生成流程包括以下步骤:
第一节点接收所述目标报文,基于发出所述目标报文的上级节点与所述第一节点在所处的网络通信架构中的结构关系,向所述目标报文的传输标记字段中加入与所述第一节点对应的传输节点标记;
待所述第一节点对应的传输节点标记添加至所述目标报文后,所述第一节点将所述目标报文转发至第二节点;其中,
所述传输标记字段中的所述传输节点标记基于传输顺序依次排序;
所述网络通信架构中的结构关系中,当前节点对应各上一级节点均存在一对应的特定符号作为传输节点标记,用于作为当前节点的身份标记。
3.如权利要求2所述的基于工业交换机的报文检测方法,其特征在于,所述传输节点标记生成流程还包括以下步骤:
第一节点接收所述目标报文,基于发出所述目标报文的上级节点与所述第一节点在所处的网络通信架构中的结构关系,向所述目标报文的传输标记字段中加入与所述第一节点对应的传输节点标记;
第一节点基于发出所述目标报文的上级节点的报文发出时间以及第一节点接收所述报文的报文接收时间,向对应的传输节点标记中添加传输延迟时间;
待所述第一节点对应的传输节点标记以及对应的传输延迟时间添加至所述目标报文后,所述第一节点将所述目标报文转发至所述第二节点;
所述基于所述报文传输路径,识别所述目标报文是否异常中包括以下步骤:
识别所述目标报文的传输延迟时间;
将所述传输延迟时间与预设的传输延迟时间阈值进行比对,判断所述目标报文是否异常。
4.如权利要求1所述的基于工业交换机的报文检测方法,其特征在于,基于所述报文传输路径,识别所述目标报文是否异常中,包括以下步骤:
基于所述目标报文的报文传输路径,获取所述目标报文依次传输至的节点的身份信息;
检测各所述节点的身份信息对应的节点是否存在所述目标报文以及对应的报文到达时间,进而识别所述目标报文是否异常。
5.如权利要求1所述的基于工业交换机的报文检测方法,其特征在于,基于所述报文传输路径,识别所述目标报文是否异常中,包括以下步骤:
基于所述报文传输路径,获取所述目标报文依次传输至的节点的身份信息,整合获得第一身份信息集合;
基于所述目标报文所处的网络通信架构,识别存在所述目标报文的节点的身份信息,整合获得第二身份信息集合;
比对所述第一身份信息集合与所述第二身份信息集合,识别所述目标报文是否异常。
6.如权利要求1所述的基于工业交换机的报文检测方法,其特征在于,基于所述报文传输路径,识别所述目标报文是否异常中,包括以下步骤:
基于所述报文传输路径,获得所述目标报文依次传输至的节点的身份信息;
基于所述目标报文依次传输至的节点的身份信息,结合所述目标报文所处的网络通信架构,核实所述目标报文传输先后顺序是否合理,从而识别所述目标报文是否异常。
7.如权利要求1所述的基于工业交换机的报文检测方法,其特征在于,所述方法还包括以下步骤:
在预设周期内,获取多个不同的目标报文对应的镜像目标报文;
识别各所述镜像目标报文中的传输节点标记;
基于所述传输节点标记,统计所述目标报文所处的网络通信架构中各节点接收报文的次数,记作报文流量值;
将各所述节点的报文流量值与预设的报文流量阈值进行比对,识别处于异常状态的节点。
8.如权利要求1所述的基于工业交换机的报文检测方法,其特征在于,所述方法还包括以下步骤:
识别所述镜像目标报文中是否存在预设攻击内容信息;
若存在,则识别所述攻击内容信息对应的节点的身份信息;
基于所述攻击内容信息对应的节点的身份信息,重建与所述节点对应的通信链路。
9.如权利要求8所述的基于工业交换机的报文检测方法,其特征在于,所述方法还包括以下步骤:
基于所述目标报文的所述报文传输路径以及所述攻击内容信息对应的节点的身份信息,识别获得疑似报文发送节点;
对所述疑似报文发送节点进行检测,判断其是否处于异常。
10.一种基于工业交换机的报文检测装置,其特征在于,所述装置包括:
报文镜像模块,其用于复制目标报文,获得对应的镜像目标报文;
标记识别模块,其用于识别所述镜像目标报文中的传输节点标记;
路径获取模块,其用于基于所述传输节点标记,获得所述目标报文的报文传输路径;
异常识别模块,其用于基于所述报文传输路径,识别所述目标报文是否异常;其中,
所述传输节点标记为多个单字符组成的用于表示所述目标报文传输途经节点的数据信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310678001.0A CN116418599B (zh) | 2023-06-09 | 2023-06-09 | 一种基于工业交换机的报文检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310678001.0A CN116418599B (zh) | 2023-06-09 | 2023-06-09 | 一种基于工业交换机的报文检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116418599A true CN116418599A (zh) | 2023-07-11 |
CN116418599B CN116418599B (zh) | 2023-09-15 |
Family
ID=87054634
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310678001.0A Active CN116418599B (zh) | 2023-06-09 | 2023-06-09 | 一种基于工业交换机的报文检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116418599B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070242604A1 (en) * | 2006-04-12 | 2007-10-18 | Hitachi Communication Technologies, Ltd. | Network system and node |
US20090310482A1 (en) * | 2008-06-17 | 2009-12-17 | Hitachi Communication Technologies, Ltd. | Communication Node and Communication System |
CN112311580A (zh) * | 2019-08-01 | 2021-02-02 | 华为技术有限公司 | 报文传输路径确定方法、装置及系统、计算机存储介质 |
CN112422357A (zh) * | 2019-08-23 | 2021-02-26 | 华为技术有限公司 | 网络通信路径的状态检测方法以及设备 |
CN113612657A (zh) * | 2021-07-31 | 2021-11-05 | 南京云利来软件科技有限公司 | 一种异常http连接的检测方法 |
CN113691507A (zh) * | 2021-08-05 | 2021-11-23 | 武汉卓尔信息科技有限公司 | 一种工业控制网络安全检测方法及系统 |
CN115766570A (zh) * | 2022-12-02 | 2023-03-07 | 安徽皖通邮电股份有限公司 | 基于保护组策略的双发冗余方法及存储介质 |
CN116232519A (zh) * | 2023-02-24 | 2023-06-06 | 新华三技术有限公司 | 一种时钟的同步方法和网络设备 |
-
2023
- 2023-06-09 CN CN202310678001.0A patent/CN116418599B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070242604A1 (en) * | 2006-04-12 | 2007-10-18 | Hitachi Communication Technologies, Ltd. | Network system and node |
US20090310482A1 (en) * | 2008-06-17 | 2009-12-17 | Hitachi Communication Technologies, Ltd. | Communication Node and Communication System |
CN112311580A (zh) * | 2019-08-01 | 2021-02-02 | 华为技术有限公司 | 报文传输路径确定方法、装置及系统、计算机存储介质 |
CN112422357A (zh) * | 2019-08-23 | 2021-02-26 | 华为技术有限公司 | 网络通信路径的状态检测方法以及设备 |
CN113612657A (zh) * | 2021-07-31 | 2021-11-05 | 南京云利来软件科技有限公司 | 一种异常http连接的检测方法 |
CN113691507A (zh) * | 2021-08-05 | 2021-11-23 | 武汉卓尔信息科技有限公司 | 一种工业控制网络安全检测方法及系统 |
CN115766570A (zh) * | 2022-12-02 | 2023-03-07 | 安徽皖通邮电股份有限公司 | 基于保护组策略的双发冗余方法及存储介质 |
CN116232519A (zh) * | 2023-02-24 | 2023-06-06 | 新华三技术有限公司 | 一种时钟的同步方法和网络设备 |
Also Published As
Publication number | Publication date |
---|---|
CN116418599B (zh) | 2023-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101153968B1 (ko) | 금융사기 방지 시스템 및 방법 | |
CN105264861B (zh) | 用于检测多阶段事件的方法和设备 | |
CN110336827B (zh) | 一种基于异常字段定位的Modbus TCP协议模糊测试方法 | |
US20060034305A1 (en) | Anomaly-based intrusion detection | |
CN102315988B (zh) | 高效的域间路由协议前缀劫持检测方法 | |
CN112769833B (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
CN107210927A (zh) | 协议处理中的异常检测 | |
CN112995183A (zh) | 一种互联网路由信息泄漏检测方法 | |
CN116418599B (zh) | 一种基于工业交换机的报文检测方法及装置 | |
CN117040943B (zh) | 基于IPv6地址驱动的云网络内生安全防御方法和装置 | |
Sukhwani et al. | A survey of anomaly detection techniques and hidden markov model | |
CN111565124B (zh) | 拓扑分析方法及装置 | |
CN112532467B (zh) | 用于实现故障检测的方法、装置及系统 | |
KR20190104759A (ko) | 지능형 장비 이상 증상 사전 탐지 시스템 및 방법 | |
CN109729084B (zh) | 一种基于区块链技术的网络安全事件检测方法 | |
KR102083028B1 (ko) | 네트워크 침입탐지 시스템 | |
CN107222359B (zh) | 一种is-is网络中的链路异常检测方法及系统 | |
CN112953956A (zh) | 一种基于主被动结合的反射放大器识别方法 | |
EP2911362B1 (en) | Method and system for detecting intrusion in networks and systems based on business-process specification | |
CN113411209A (zh) | 一种分布式的密码服务全链路检测系统及方法 | |
CN111146863A (zh) | 一种变电站的电力安全检测方法 | |
CN113285977A (zh) | 基于区块链和大数据的网络维护方法及系统 | |
CN101534225B (zh) | 一种检测路由信息真实性的方法和装置 | |
KR101829712B1 (ko) | 제어시스템 네트워크 취약점 검출 방법 및 장치 | |
CN114785879A (zh) | 一种用于识别ospf协议异常行为的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |