基于Modbus/Tcp的入侵检测分析方法技术

基于Modbus/Tcp的入侵检测分析方法，该方法包括数据采集模块与网络接口相连，并将数据包发送给数据解析模块；数据解析模块分别与规则生成模块和规则匹配模块相连；在规则自学习阶段，将数据包解析结果发送给规则生成模块；在规则匹配阶段，将数据包解析结果发送给规则匹配模块；规则生成模块接收解析后的数据包，生成规则集合；规则匹配模块对解析后的数据包与数据库中的规则进行匹配。本方法在不改变工业网络结构和不影响日常生产的前提下，为用户提供了规则离线学习，在线实时检测的安全措施，根据企业策略需求阻断潜在威胁，漏报和误报的现象少，入侵识别快，从而以较低的成本大大提高了工业控制系统的网络安全水平。

【技术实现步骤摘要】

本专利技术涉及工业控制网络
，特别涉及一种基于Modbus/Tcp的控制网络协议入侵检测的分析方法和入侵检测系统。
技术介绍
随着工业化、自动化向着网络化、信息化的转变，越来越多的工业控制系统采用标准的、通用的通信协议和软硬件系统；再这样的背景下，工业控制系统原有的封装性被打破，各种不安全因素，如病毒、木马、入侵等会随着正常的信息流进入工业控制网络，导致企业生产的不稳定，特别是电力传输、交通运输、油气开采、水处理等关系到国家安全的重要行业和领域，面临着日益严重的安全威胁。目前，工业控制网络多采用传统的防火墙、网闸等设备进行安全防护；这些设备的基本原理是提供较好的身份认证和访问控制，检测并隔离流经防护设备的异常信息流，防止已知病毒和攻击的入侵；但是这种方法不能防止来自防火墙内部的攻击、不能防备最新出现的威胁、不能防止绕过防火墙的攻击，入侵者利用带有危险操作控制命令的合法数据包来进行攻击，将会导致设备的运行出现异常甚至损坏；例如近几年出现的针对伊朗工业基础设施的震网病毒，通过篡改正常工业控制协议参数，对伊朗核设施造成了严重的破坏。近年来，入侵检测系统一般采用误用入侵检测和异常入侵检测；误用入侵检测根据已知特征匹配网络中的通讯流量，具有误报率较低的特征，但由于工控系统攻击行为特征库不可能包含所有的攻击行为，使用误用检测的方式容易产生漏报警的情况；而异常入侵检测，建立在工业控制系统本身通讯流量具有简单固定的通讯模式的基础上，通过建立正常的行为规则来识别出异常的流量，但由于没有对网络协议进行深度的解析，工业控制协议的特征没有得到灵活的运用，容易出现误报警现象。
技术实现思路
为了解决上述问题，本专利技术提供了一种基于Modbus/Tcp工业控制网络协议入侵检测的分析方法和入侵检测系统，不仅能够减少漏报和误报的现象，而且了实现对入侵攻击的快速检测。为了达到本专利技术的目的，本专利技术提供了一种基于Modbus/Tcp工业控制网络协议的入侵检测系统，该系统包括数据采集模块、数据解析模块、规则生成模块、规则匹配模块和客户窗口模块。所述的数据采集模块与网络接口相连，数据采集模块用于捕获流入的数据包，并将数据包发送给数据解析模块。数据解析模块分别与规则生成模块和规则匹配模块相连，用于对接收的数据包进行解析；在规则自学习阶段，将解析好的数据包信息发送给规则生成模块；在规则匹配阶段，将解析好的数据包信息发送给规则匹配模块。规则生成模块用于接收解析后的数据包，按照预先设置的算法，生成正常行为的规则集合；还可以添加带有异常特征的规则集合。规则匹配模块，用于将解析后的数据包与数据库中的规则进行匹配。如果和正常规则集合对应的规则匹配，判定为正常数据包；如果存在和异常规则集对应规则匹配的数据包，判定为异常数据包。客户窗口模块，对本系统的功能以图形界面的形式提供给用户使用，实现查看和修改数据库，从离线数据流量中自动学习规则、分析日志记录和报警记录信息、开始入侵检测和停止入侵检测等一些功能。另外，本系统还包括存储设备，用于存储、设置规则库，所述规则库包括规则生成模块产生的正常规则集合和手动添加的异常规则集，所述的存储设备还用来存储待检测的数据包。除此之外，该本系统还包括日志记录模块和报警记录模块；所述的日志记录模块和报警记录模块都与规则匹配模块相连；所述的日志记录模块用于记录正常数据流量；所述的报警记录模块用于记录异常的数据流量，以便以后分析。为了达到本专利技术的目的，本专利技术提供了一种基于Modbus/Tcp工业控制网络协议的入侵检测分析方法，该方法包括：数据采集模块与网络接口相连，用于捕获流入的数据包，并将数据包发送给数据解析模块；数据解析模块分别与规则生成模块和规则匹配模块相连，用于对接收的数据包进行解析；在规则自学习阶段，将数据包解析结果发送给规则生成模块；在规则匹配阶段，将数据包解析结果发送给规则匹配模块；规则生成模块接收解析后的数据包，生成规则集合；规则匹配模块对解析后的数据包与数据库中的规则进行匹配，如果和正常规则集合对应的规则匹配，判定为正常数据包；如果存在和异常规则集对应规则匹配的数据包，判定为异常数据包。首先，该方法包括数据采集模块，用来捕获网络流量。其次，该方法包括数据解析模块，对接收的数据包进行解析，在规则自学习阶段，将数据包解析结果发送给规则生成模块；在规则匹配阶段，将数据包的解析结果发送给规则匹配模块；详细地，数据解析模块从数据采集模块中获取数据包的到达时间；提取协议类型和数据包的长度；对数据包的网络层解析，提取源和目的IP地址；对传输层解析，提取源和目的端口号，以及按照源和目的端口号判断主从设备，标记数据包为请求数据包(Query)或者响应数据包(Response)，并且提取数据包的序列号、应答号、Modbus报文长度；对Modbus报文进行解析，提取Modbus功能码、线圈或寄存器的起始地址以及数量；提取Modbus的载荷。再次，该方法包括规则生成模块。1)规则生成模块接收所有的解析数据包，将序列号、应答号和Modbus报文长度的关系作为整体数据包的规则集R1；详细地，相邻的两个数据包，先接收的数据包记为A，后接收的数据包记为B，B的应答号等价于A的序列号和A的Modbus报文长度之和，而且B的序列号等价于A的应答号。2)规则生成模块对接收的解析数据包按照请求和响应数据包两两分对，计算请求和响应数据包之间的时间间隔范围，作为请求和响应数据包之间的规则集R2；详细地，规则生成模块认为每对请求和响应数据包的事务处理标识符、协议标识符、Modbus功能码、线圈或寄存器的起始位置以及数量这几个特征字段值相同，作为请求和响应数据包之间的规则，添加到规则R2。3)规则生成模块对分类数据包库中数据包的周期特性进行分析，将周期特性和数据包中每个字段值得变化规律作为分类后数据包的规则集R3；详细地，规则生成模块将解析后的数据包按照源和目的Ip、源和目的端口号、数据包长度、Modbus功能码、线圈或寄存器的起始地址以及数量进行数据包的分类；针对分类数据包的周期特性，可划分为有周期特性的数据包和无周期特性的数据包；有周期特性数据包把数据包之间到达的时间间隔作为它的周期，无周期特性数据包的周期记为零；将周期特性和数据包中每个字段值的变化规律作为分类后数据包的规则。4)规则生成模块还能手动添加带异常特征的规则集。最本文档来自技高网...

【技术保护点】
基于Modbus/Tcp的入侵检测系统，其特征在于：该系统包括数据采集模块、数据解析模块、规则生成模块、规则匹配模块和客户窗口模块；所述的数据采集模块与网络接口相连，数据采集模块用于捕获流入的数据包，并将数据包发送给数据解析模块；数据解析模块分别与规则生成模块和规则匹配模块相连，用于对接收的数据包进行解析；在规则自学习阶段，将解析好的数据包信息发送给规则生成模块；在规则匹配阶段，将解析好的数据包信息发送给规则匹配模块；规则生成模块用于接收解析后的数据包，按照预先设置的算法，生成正常行为的规则集合；还可以添加带有异常特征的规则集合；规则匹配模块，用于将解析后的数据包与数据库中的规则进行匹配；如果和正常规则集合对应的规则匹配，判定为正常数据包；如果存在和异常规则集对应规则匹配的数据包，判定为异常数据包；客户窗口模块，对本系统的功能以图形界面的形式提供给用户使用，实现查看和修改数据库，从离线数据流量中自动学习规则、分析日志记录和报警记录信息、开始入侵检测和停止入侵检测功能。

【技术特征摘要】
1.基于Modbus/Tcp的入侵检测系统，其特征在于：该系统包括数据采集模
块、数据解析模块、规则生成模块、规则匹配模块和客户窗口模块；
所述的数据采集模块与网络接口相连，数据采集模块用于捕获流入的数据
包，并将数据包发送给数据解析模块；
数据解析模块分别与规则生成模块和规则匹配模块相连，用于对接收的数据
包进行解析；在规则自学习阶段，将解析好的数据包信息发送给规则生成模块；
在规则匹配阶段，将解析好的数据包信息发送给规则匹配模块；
规则生成模块用于接收解析后的数据包，按照预先设置的算法，生成正常行
为的规则集合；还可以添加带有异常特征的规则集合；
规则匹配模块，用于将解析后的数据包与数据库中的规则进行匹配；如果和
正常规则集合对应的规则匹配，判定为正常数据包；如果存在和异常规则集对应
规则匹配的数据包，判定为异常数据包；
客户窗口模块，对本系统的功能以图形界面的形式提供给用户使用，实现查
看和修改数据库，从离线数据流量中自动学习规则、分析日志记录和报警记录信
息、开始入侵检测和停止入侵检测功能。
2.根据权利要求1所述的基于Modbus/Tcp的入侵检测系统，其特征在于：
本系统还包括存储设备，用于存储、设置规则库，所述规则库包括规则生成模块
产生的正常规则集合和手动添加的异常规则集，所述的存储设备还用来存储待检
测的数据包。
3.根据权利要求1所述的基于Modbus/Tcp的入侵检测系统，其特征在于：
该本系统还包括日志记录模块和报警记录模块；所述的日志记录模块和报警记录
模块都与规则匹配模块相连；所述的日志记录模块用于记录正常数据流量；所述
的报警记录模块用于记录异常的数据流量，以便以后分析。
4.基于Modbus/Tcp的入侵检测分析方法，该方法包括：数据采集模块与网
络接口相连，用于捕获流入的数据包，并将数据包发送给数据解析模块；数据解
析模块分别与规则生成模块和规则匹配模块相连，用于对接收的数据包进行解
析；在规则自学习阶段，将数据包解析结果发送给规则生成模块；在规则匹配阶
段，将数据包解析结果发送给规则匹配模块；规则生成模块接收解析后的数据包，
生成规则集合；规则匹配模块对解析后的数据包与数据库中的规则进行匹配，如

\t果和正常规则集合对应的规则匹配，判定为正常数据包；如果存在和异常规则集
对应规则匹配的数据包，判定为异常数据包；
首先，该方法包括数据采集模块，用来捕获网络流量；
其次，该方法包括数据解析模块，对接收的数据包进行解析，在规则自学习
阶段，将数据包解析结果发送...

【专利技术属性】
技术研发人员：赖英旭，王宇盛，宋站威，刘静，杨凯翔，蔡晓田，李亚娟，
申请(专利权)人：北京工业大学，
类型：发明
国别省市：北京;11