【技术实现步骤摘要】
本专利技术涉及工业控制网络
,特别涉及一种基于Modbus/Tcp的控制网络协议入侵检测的分析方法和入侵检测系统。
技术介绍
随着工业化、自动化向着网络化、信息化的转变,越来越多的工业控制系统采用标准的、通用的通信协议和软硬件系统;再这样的背景下,工业控制系统原有的封装性被打破,各种不安全因素,如病毒、木马、入侵等会随着正常的信息流进入工业控制网络,导致企业生产的不稳定,特别是电力传输、交通运输、油气开采、水处理等关系到国家安全的重要行业和领域,面临着日益严重的安全威胁。目前,工业控制网络多采用传统的防火墙、网闸等设备进行安全防护;这些设备的基本原理是提供较好的身份认证和访问控制,检测并隔离流经防护设备的异常信息流,防止已知病毒和攻击的入侵;但是这种方法不能防止来自防火墙内部的攻击、不能防备最新出现的威胁、不能防止绕过防火墙的攻击,入侵者利用带有危险操作控制命令的合法数据包来进行攻击,将会导致设备的运行出现异常甚至损坏;例如近几年出现的针对伊朗工业基础设施的震网病毒,通过篡改正常工业控制协议参数,对伊朗核设施造成了严重的破坏。近年来,入侵检测系统一般采用误用入侵检测和异常入侵检测;误用入侵检测根据已知特征匹配网络中的通讯流量,具有误报率较低的特征,但由于工控系统攻击行为特征库不可能包含所有的攻击行为,使用误用检测的方式容易产生漏报警的情况;而异常入侵检测,建立在工业控制系统本身通讯流量具有简 ...
【技术保护点】
基于Modbus/Tcp的入侵检测系统,其特征在于:该系统包括数据采集模块、数据解析模块、规则生成模块、规则匹配模块和客户窗口模块;所述的数据采集模块与网络接口相连,数据采集模块用于捕获流入的数据包,并将数据包发送给数据解析模块;数据解析模块分别与规则生成模块和规则匹配模块相连,用于对接收的数据包进行解析;在规则自学习阶段,将解析好的数据包信息发送给规则生成模块;在规则匹配阶段,将解析好的数据包信息发送给规则匹配模块;规则生成模块用于接收解析后的数据包,按照预先设置的算法,生成正常行为的规则集合;还可以添加带有异常特征的规则集合;规则匹配模块,用于将解析后的数据包与数据库中的规则进行匹配;如果和正常规则集合对应的规则匹配,判定为正常数据包;如果存在和异常规则集对应规则匹配的数据包,判定为异常数据包;客户窗口模块,对本系统的功能以图形界面的形式提供给用户使用,实现查看和修改数据库,从离线数据流量中自动学习规则、分析日志记录和报警记录信息、开始入侵检测和停止入侵检测功能。
【技术特征摘要】
1.基于Modbus/Tcp的入侵检测系统,其特征在于:该系统包括数据采集模
块、数据解析模块、规则生成模块、规则匹配模块和客户窗口模块;
所述的数据采集模块与网络接口相连,数据采集模块用于捕获流入的数据
包,并将数据包发送给数据解析模块;
数据解析模块分别与规则生成模块和规则匹配模块相连,用于对接收的数据
包进行解析;在规则自学习阶段,将解析好的数据包信息发送给规则生成模块;
在规则匹配阶段,将解析好的数据包信息发送给规则匹配模块;
规则生成模块用于接收解析后的数据包,按照预先设置的算法,生成正常行
为的规则集合;还可以添加带有异常特征的规则集合;
规则匹配模块,用于将解析后的数据包与数据库中的规则进行匹配;如果和
正常规则集合对应的规则匹配,判定为正常数据包;如果存在和异常规则集对应
规则匹配的数据包,判定为异常数据包;
客户窗口模块,对本系统的功能以图形界面的形式提供给用户使用,实现查
看和修改数据库,从离线数据流量中自动学习规则、分析日志记录和报警记录信
息、开始入侵检测和停止入侵检测功能。
2.根据权利要求1所述的基于Modbus/Tcp的入侵检测系统,其特征在于:
本系统还包括存储设备,用于存储、设置规则库,所述规则库包括规则生成模块
产生的正常规则集合和手动添加的异常规则集,所述的存储设备还用来存储待检
测的数据包。
3.根据权利要求1所述的基于Modbus/Tcp的入侵检测系统,其特征在于:
该本系统还包括日志记录模块和报警记录模块;所述的日志记录模块和报警记录
模块都与规则匹配模块相连;所述的日志记录模块用于记录正常数据流量;所述
的报警记录模块用于记录异常的数据流量,以便以后分析。
4.基于Modbus/Tcp的入侵检测分析方法,该方法包括:数据采集模块与网
络接口相连,用于捕获流入的数据包,并将数据包发送给数据解析模块;数据解
析模块分别与规则生成模块和规则匹配模块相连,用于对接收的数据包进行解
析;在规则自学习阶段,将数据包解析结果发送给规则生成模块;在规则匹配阶
段,将数据包解析结果发送给规则匹配模块;规则生成模块接收解析后的数据包,
生成规则集合;规则匹配模块对解析后的数据包与数据库中的规则进行匹配,如
\t果和正常规则集合对应的规则匹配,判定为正常数据包;如果存在和异常规则集
对应规则匹配的数据包,判定为异常数据包;
首先,该方法包括数据采集模块,用来捕获网络流量;
其次,该方法包括数据解析模块,对接收的数据包进行解析,在规则自学习
阶段,将数据包解析结果发送...
【专利技术属性】
技术研发人员:赖英旭,王宇盛,宋站威,刘静,杨凯翔,蔡晓田,李亚娟,
申请(专利权)人:北京工业大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。