本发明专利技术涉及一种工业网络异常中断的检测方法,所述方法包括:用户根据工业网络的具体部署情况,设置检测工业网络异常中断的规则,并将所述规则存储在工业网络检测设备的存储器中;更新规则的最后更新时间;工业网络检测设备启动一个线程或进程,定时检测规则的超时情况,并根据检测结果发出工业网络异常中断告警。本发明专利技术提出的工业网络异常中断的检测方法能够应用到工业防火墙、工业审计等工业网络检测设备中,当工业网络发生异常中断时,工业网络检测设备在第一时间发出告警,有助于定位网络异常中断的原因并尽快恢复正常生产。
【技术实现步骤摘要】
一种工业网络异常中断的检测方法
本专利技术属于工业网络安全
,具体涉及一种工业网络异常中断的检测方法。
技术介绍
工业控制系统网络是由工业自动化生产设备组成的网络。与IT网络不同,工业自动化生产设备往往是长时间稳定的相互通信,工业自动化设备之间的通信异常中断往往意味着出现了设备故障等问题,对整个工业生产环境会产生较大的影响。现有的工业网络异常检测设备,如工业防火墙、工业审计等都将检测重点放在工业网络攻击、工业网络防护等检测。申请号为201210008504.9的中国专利技术专利,公开了一种工业控制网络安全防护方法,所述方法包括以下步骤:针对外部网络攻击,前方主机对外部网络数据进行第一层数据过滤和访问控制,安全控制主机通过共用存储区来缓存数据,对数据进行入侵检测,对非法数据进行及时报警并通知两侧主机,后方主机对数据进行深层过滤和访问控制,合法数据进入到内部网络;针对内部网络攻击,后方主机对内部网络数据进行第一层数据过滤和访问控制,安全控制主机通过共用存储区来缓存数据,对数据进行入侵检测,对非法数据进行及时报警并通知两侧主机,前方主机对数据进行深层过滤和访问控制,合法数据进入到外部网络。该专利技术能提高工业控制系统的网络安全水平,降低投资、改造系统及管理的成本。但是该专利技术不能实现与工业网络异常中断有关的检测,当工业网络中的生产设备发生异常时无法第一时间发出告警并及时恢复生产。
技术实现思路
为了解决现有技术中存在的上述问题,本专利技术提出一种工业网络异常中断的检测方法,该方法能够应用到工业防火墙、工业审计等工业网络检测设备中。当工业网络发生异常中断时,工业网络检测设备在第一时间发出告警,有助于确定网络异常中断的原因并助恢复正常的生产。为达到上述目的,本专利技术采用如下技术方案。一种工业网络异常中断的检测方法,包括以下步骤:步骤1,用户根据工业网络的具体部署情况,设置检测工业网络异常中断的规则,并将所述规则存储在工业网络检测设备的存储器中。所述规则的内容包括:服务器IP地址,客户端IP地址,服务器监听的端口,工业网络中断时间。步骤2,当有工业网络报文进入工业网络检测设备时,所述工业网络检测设备检查所述报文的目的IP地址、源IP地址和源端口是否分别与规则的客户端IP地址、服务器IP地址和服务器监听端口相符。如果不相符,此报文与所述规则不匹配;如果相符,更新规则的最后更新时间,所述规则的最后更新时间为所述工业网络报文进入工业网络检测设备的时间,同所述规则一起保存在工业网络检测设备的存储器中。如果这条规则已发送过工业网络中断告警,则所述工业网络检测设备发送一条工业网络中断恢复告警。步骤3,工业网络检测设备启动一个线程或进程,定时检测规则的超时情况。如果当前时间(即线程或进程获取的系统时间)减去规则的最后更新时间大于所述规则的工业网络中断时间,则所述工业网络检测设备发送一条工业网络异常中断告警。进一步地,所述工业网络检测设备为工业防火墙或工业审计网络检测设备。进一步地,步骤3定时检测规则超时情况的时间间隔根据工业网络检测设备的性能通过实验确定。与现有技术相比,本专利技术具有以下有益效果:本专利技术提出的工业网络异常中断的检测方法,根据工业网络的具体部署情况,设置检测工业网络异常中断的规则,并保存在工业网络检测设备的存储器中,工业网络检测设备通过定时检测规则的超时情况判断工业网络是否发生异常中断并发出告警。本专利技术能够应用到工业防火墙、工业审计等工业网络检测设备中,当工业网络发生异常中断时,工业网络检测设备在第一时间发出告警,有助于定位网络异常中断的原因并尽快恢复正常生产。附图说明图1为定时检测规则超时情况的方法流程图。具体实施方式下面结合附图和实施例对本专利技术做进一步说明。一种工业网络异常中断的检测方法,包括以下步骤:步骤1,用户根据工业网络的具体部署情况,设置检测工业网络异常中断的规则,并将所述规则存储在工业网络检测设备的存储器中。所述规则的内容包括:服务器IP地址,客户端IP地址,服务器监听的端口,最后更新时间,工业网络中断时间。规则中的服务器IP地址、客户端IP地址、服务器监听的端口用来确定需要检测的网络会话;工业网络中断时间是允许符合上述条件的网络会话没有报文经过工业网络检测设备的最长时间。例如,工业现场中的客户端IP地址192.168.1.100到服务器IP地址192.168.1.1的502的端口的通信报文应该长时间存在,如果超过10秒钟没有任何报文经过工业网络检测设备,则可能产生网络异常,需要工业网络检测设备报警。那么这条工业网络异常中断规则应该配置为:客户端IP地址为192.168.1.100,服务器IP地址为192.168.1.1,服务器监听端口为502,工业网络中断时间为10秒。步骤2,当有工业网络报文进入工业网络检测设备时,所述工业网络检测设备检查所述报文的目的IP地址、源IP地址和源端口是否分别与规则的客户端IP地址、服务器IP地址和服务器监听端口相符,如果不相符,说明此报文与所述规则不匹配;如果相符,更新规则的最后更新时间,所述最后更新时间为所述工业网络报文进入工业网络检测设备的时间,同所述规则一起保存在工业网络检测设备的存储器中。如果这条规则已发送过工业网络中断告警,说明这条规则所对应的会话之前中断过,现在收到的报文是中断后的恢复通信的报文,则所述工业网络检测设备发送一条工业网络中断恢复告警。步骤3,工业网络检测设备启动一个线程或进程,定时检测规则的超时情况。如果当前时间减去规则的最后更新时间大于规则的工业网络中断时间,说明所述规则对应的会话没有报文经过工业网络检测设备的时间超过了规则配置的工业网络中断时间,则所述工业网络检测设备发送一条工业网络异常中断告警。所述工业网络检测设备是指如工业防火墙或工业审计网络检测设备等。步骤3定时检测规则超时情况的时间间隔根据工业网络检测设备的性能通过实验确定。如果工业网络检测设备的性能较好,对工业网络通信中断时间的要求较高,可以将此时间间隔设置为小于1秒;否则可以适当增加此时间间隔。本专利技术不限于上述实施方式,本领域技术人员所做出的对上述实施方式任何显而易见的改进或变更,都不会超出本专利技术的构思和所附权利要求的保护范围。本文档来自技高网...
【技术保护点】
一种工业网络异常中断的检测方法,其特征在于,包括以下步骤:步骤1,用户根据工业网络的具体部署情况,设置检测工业网络异常中断的规则,并将所述规则存储在工业网络检测设备的存储器中;所述规则的内容包括:服务器IP地址,客户端IP地址,服务器监听的端口,工业网络中断时间;步骤2,当有工业网络报文进入工业网络检测设备时,所述工业网络检测设备检查所述报文的目的IP地址、源IP地址和源端口是否分别与规则的客户端IP地址、服务器IP地址和服务器监听端口相符,如果不相符,此报文与所述规则不匹配;如果相符,更新规则的最后更新时间,所述规则的最后更新时间为所述工业网络报文进入工业网络检测设备的时间,同所述规则一起保存在工业网络检测设备的存储器中。如果这条规则已发送过工业网络中断告警,则所述工业网络检测设备发送一条工业网络中断恢复告警;步骤3,工业网络检测设备启动一个线程或进程,定时检测规则的超时情况;如果当前时间减去规则的最后更新时间大于所述规则的工业网络中断时间,所述工业网络检测设备发送一条工业网络异常中断告警。
【技术特征摘要】
1.一种工业网络异常中断的检测方法,其特征在于,包括以下步骤:步骤1,用户根据工业网络的具体部署情况,设置检测工业网络异常中断的规则,并将所述规则存储在工业网络检测设备的存储器中;所述规则的内容包括:服务器IP地址,客户端IP地址,服务器监听的端口,工业网络中断时间;步骤2,当有工业网络报文进入工业网络检测设备时,所述工业网络检测设备检查所述报文的目的IP地址、源IP地址和源端口是否分别与规则的客户端IP地址、服务器IP地址和服务器监听端口相符,如果不相符,此报文与所述规则不匹配;如果相符,更新规则的最后更新时间,所述规则的最后更新时间为所述工业网络报文进入工业网络检测设备的时...
【专利技术属性】
技术研发人员:韩延鹏,黄敏,龙国东,
申请(专利权)人:北京威努特技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。