【技术实现步骤摘要】
一种基于网络流量实时检测工控主机状态的方法
本专利技术涉及计算机安全设备网络通信领域,具体的说是一种可以对工控网络环境内的主机进行实时状态检测的方法,包括主机在线状态、非法外联状态、网络攻击等状态。
技术介绍
目前,随着信息技术和智能制造的发展,工业4.0及中国制造2025对工业控制安全提出了全新的要求,明确提出工控环境的实时性必须放在首位。目前工控环境具有封闭性、网络结构混杂、设备多样化老龄化等问题,一但出现不能及时检测到某个主机或者终端执行设备停止运行、非法连接外部网络、入侵攻击的情况,不仅会对工业生产造成巨大经济损失,而且及有可能对人员造成意外伤害。为了全面了解工控环境内主机实时状态信息,以及监测工控主机遭受外部入侵攻击的风险。目前现有技术一般基于主动检测技术,如利用周期性向目标主机进行ping或者利用诸如nmap等软件进行存活期扫描探测,判断主机当前是否在线;利用终端安装的防护软件对主机进行扫描,检测主机浏览器是否由访问外部网络的历史痕迹和检测主机是否已被入侵攻击的情况。现有技术存在如下缺陷:1)需要利用ping命令或者类似nmap等软件周期性向目标设备发送存活性的检测数据包,由于存在周期性,所以不能对主机当前是否在线状态进行实时监测,同时也会对网络带宽及主机资源造成一定的消耗。2)需要安装额外的检测防护软件,扫描检测主机浏览器上网历史记录和检测异常文件、异常进程等情况,导致每一次检测需要人为操作或者周期性任务触发,失去了实时检测主机状态的要求,同时由于人为可以删除浏览器缓存记录文件,可以躲避检测防护软件主机非法外联的检测。
技术实现思路
鉴于现有技术 ...
【技术保护点】
1.一种基于网络流量实时检测工控主机状态的方法,分为主机状态检测知识库模块、流量采集模块、流量分析模块、告警模块,方法实现主要包含以下步骤:步骤一:在监测审计设备上对要检测的主机建立状态知识库,分别配置主机在线状态检测规则库、主机非法外联状态检测规则库和主机网络攻击规则库(避免在多台主机部署及维护防护软件);步骤去二:采用旁路接入方式,对要检测的所有主机流量进行镜像配置(避免对网络或主机造成资源消耗);步骤三:流量采集,对流量数据包进行获取,主要涉及抓包、解包等操作,只将和主机关联的数据包送往流量分析模块(可以提高主机流量分析效率);步骤四:流量分析,采取多线程和多模匹配算法对数据包流量进行实时分析,并与主机知识库里面的规则进行匹配,分析主机在线状态、主机非法外联、主机网络攻击的状态;步骤四:告警分析,当检测到主机离线、主机非法访问外部网络、主机被入侵攻击时,进行实时告警。
【技术特征摘要】
1.一种基于网络流量实时检测工控主机状态的方法,分为主机状态检测知识库模块、流量采集模块、流量分析模块、告警模块,方法实现主要包含以下步骤:步骤一:在监测审计设备上对要检测的主机建立状态知识库,分别配置主机在线状态检测规则库、主机非法外联状态检测规则库和主机网络攻击规则库(避免在多台主机部署及维护防护软件);步骤去二:采用旁路接入方式,对要检测的所有主机流量进行镜像配置(避免对网络或主机造...
【专利技术属性】
技术研发人员:傅涛,王力,郑轶,邓勇,
申请(专利权)人:江苏博智软件科技股份有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。