目前工控环境具有封闭性、网络结构混杂、设备多样化老龄化等问题,工控环境的实时性是工控环境最重要的因素。一但出现不能及时检测到某个主机或者终端执行设备停止运行、非法连接外部网络、入侵攻击的情况,不仅会对工业生产造成巨大经济损失,而且及有可能对人员造成意外伤害。提出一种基于网络流量检测工控主机状态的方法,来对主机在线状态、主机非法外联、主机遭受网络攻击的情况进行实时检测分析,避免给工业生产及人员造成不必要的损失。
A Real-time Detection Method of Industrial Control Host Based on Network Traffic
【技术实现步骤摘要】
一种基于网络流量实时检测工控主机状态的方法
本专利技术涉及计算机安全设备网络通信领域,具体的说是一种可以对工控网络环境内的主机进行实时状态检测的方法,包括主机在线状态、非法外联状态、网络攻击等状态。
技术介绍
目前,随着信息技术和智能制造的发展,工业4.0及中国制造2025对工业控制安全提出了全新的要求,明确提出工控环境的实时性必须放在首位。目前工控环境具有封闭性、网络结构混杂、设备多样化老龄化等问题,一但出现不能及时检测到某个主机或者终端执行设备停止运行、非法连接外部网络、入侵攻击的情况,不仅会对工业生产造成巨大经济损失,而且及有可能对人员造成意外伤害。为了全面了解工控环境内主机实时状态信息,以及监测工控主机遭受外部入侵攻击的风险。目前现有技术一般基于主动检测技术,如利用周期性向目标主机进行ping或者利用诸如nmap等软件进行存活期扫描探测,判断主机当前是否在线;利用终端安装的防护软件对主机进行扫描,检测主机浏览器是否由访问外部网络的历史痕迹和检测主机是否已被入侵攻击的情况。现有技术存在如下缺陷:1)需要利用ping命令或者类似nmap等软件周期性向目标设备发送存活性的检测数据包,由于存在周期性,所以不能对主机当前是否在线状态进行实时监测,同时也会对网络带宽及主机资源造成一定的消耗。2)需要安装额外的检测防护软件,扫描检测主机浏览器上网历史记录和检测异常文件、异常进程等情况,导致每一次检测需要人为操作或者周期性任务触发,失去了实时检测主机状态的要求,同时由于人为可以删除浏览器缓存记录文件,可以躲避检测防护软件主机非法外联的检测。
技术实现思路
鉴于现有技术的缺陷,本专利技术创造提出一种基于网络流量实时检测工控主机状态的方法,基于网络流量实时检测工控主机状态的方法,主要通过旁路部署一台检测设备,对网络内部所有流量进行镜像后实时监控检测,通过分析网络镜像流量并与配置的主机在线状态、非法外联、网络攻击等检测规则库进行匹配,来实时分析,当前主机是否在线、当前主机是否有非法访问外部网络、是否正遭受网络攻击等问题。解决了如下问题:1)传统检测主机在线状态、主机非法访问外部网络状态、主机是否被网络攻击的状态,需要人为触发任务或周期性执行任务的非实时性。2)主动发送检测数据包导致的网络带宽和主机资源的消耗问题.3)需要对每一台主机安装部署检测防护软件的问题。传统技术检测工控环境所有主机在线、非法外联和网络攻击的状态,会对每一台主机部署检测防护软件,会导致检测非实时性、主机资源异常消耗、部署的众多软件难以运维管理等问题。因此提出了基于网络流量实时检测主机状态的方法。采用的技术解决方案如下:一种基于网络流量实时检测工控主机状态的方法,分为主机状态检测知识库模块、流量采集模块、流量分析模块、告警模块,方法实现主要包含以下步骤:步骤一:在监测审计设备上对要检测的主机建立状态知识库,分别配置主机在线状态检测规则库、主机非法外联状态检测规则库和主机网络攻击规则库(避免在多台主机部署及维护防护软件);步骤去二:采用旁路接入方式,对要检测的所有主机流量进行镜像配置(避免对网络或主机造成资源消耗);步骤三:流量采集,对流量数据包进行获取,主要涉及抓包、解包等操作,只将和主机关联的数据包送往流量分析模块(可以提高主机流量分析效率);步骤四:流量分析,采取多线程和多模匹配算法对数据包流量进行实时分析,并与主机知识库里面的规则进行匹配,分析主机在线状态、主机非法外联、主机网络攻击的状态;步骤四:告警分析,当检测到主机离线、主机非法访问外部网络、主机被入侵攻击时,进行实时告警。有益效果:与现有技术相比,本专利技术创造的优点在于:优点1:实时检测分析工控环境内每一台主机的状态情况优点2:不会对网络带宽或工控主机资源有任何的消耗;优点3:易于对多台工控主机状态检测规则进行管理维护。附图说明:图1为本专利技术创造的流程图。具体实施方式:下面结合附图1,对本专利技术创造做进一步阐述:本专利技术创造提出了一种基于网络流量实时检测工控主机状态的方法,第一,建立主机状态知识库:首先建立主机状态检测规则库,其中包括主机在线状态规则库、主机非法外联状态规则库、主机网络攻击状态规则库。主机在线状态规则库,设置要检测主机的IP地址,根据主机业务行为特征设置检测时间间隔内,统计主机流量大小或者数据包个数。如主机5s内数据包个数等于零个。当检测到此值,则判断主机处于离线状态。主机非法外联状态规则库,设置要检测主机的IP地址,根据主机业务行为特征设置与主机通讯的IP会话白名单。当检测到流量中有白名单之外的IP会话连接,则判断为主机非法外联外部网络。主机网络攻击状态规则库,设置要检测主机的IP地址,根据主机业务行为特征设置如单位时间间隔内能主机通信流量大小或者主机通信数据包个数,如10s中出现10000个数据包或者1M流量。当检测到超过此值,则判断为遭受了网络攻击。第二,流量镜像设置:对要实时检测主机状态的网络端口进行网络流量镜像,便于后续抓包分析。第三,流量采集:通过对镜像口数据流量进行转包、解包等操作进行流量采集,并把和主机有关的流量数据包送往流量分析模块进行处理。第四,流量分析:将主机流量数据包特征依次与主机在线状态规则库、主机非法外联规则库、主机网络状态规则库进行判断,如果匹配则进入告警分析模块,如果不匹配则回到流量采集模块继续后续操作。第五,告警分析:对流量分析匹配中工控主机状态知识库,进行主机在线状态、主机非法外联和主机网络攻击的实时告。本文档来自技高网...
【技术保护点】
1.一种基于网络流量实时检测工控主机状态的方法,分为主机状态检测知识库模块、流量采集模块、流量分析模块、告警模块,方法实现主要包含以下步骤:步骤一:在监测审计设备上对要检测的主机建立状态知识库,分别配置主机在线状态检测规则库、主机非法外联状态检测规则库和主机网络攻击规则库(避免在多台主机部署及维护防护软件);步骤去二:采用旁路接入方式,对要检测的所有主机流量进行镜像配置(避免对网络或主机造成资源消耗);步骤三:流量采集,对流量数据包进行获取,主要涉及抓包、解包等操作,只将和主机关联的数据包送往流量分析模块(可以提高主机流量分析效率);步骤四:流量分析,采取多线程和多模匹配算法对数据包流量进行实时分析,并与主机知识库里面的规则进行匹配,分析主机在线状态、主机非法外联、主机网络攻击的状态;步骤四:告警分析,当检测到主机离线、主机非法访问外部网络、主机被入侵攻击时,进行实时告警。
【技术特征摘要】
1.一种基于网络流量实时检测工控主机状态的方法,分为主机状态检测知识库模块、流量采集模块、流量分析模块、告警模块,方法实现主要包含以下步骤:步骤一:在监测审计设备上对要检测的主机建立状态知识库,分别配置主机在线状态检测规则库、主机非法外联状态检测规则库和主机网络攻击规则库(避免在多台主机部署及维护防护软件);步骤去二:采用旁路接入方式,对要检测的所有主机流量进行镜像配置(避免对网络或主机造...
【专利技术属性】
技术研发人员:傅涛,王力,郑轶,邓勇,
申请(专利权)人:江苏博智软件科技股份有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。