一种工控网络设备异常流量的检测方法技术

本发明专利技术公开了一种工控网络设备异常流量的检测方法,包括以下步骤：1.智能监测终端与管理平台连通；2.设置智能监测终端部署方式；3.开启学习模式，辅助建立安全基线：4.转到运行模式，开始异常流量监测；5.实时采集流量，根据异常流量算法进行异常流量监测；6.产生异常流量告警和记录日志；7.重新开始监测；本发明专利技术的有益效果是：通过先进的自学习算法建立工业控制网络各个设备最基础的流量走势模型，以此为基础进行全天侯实时监测，一旦有异常流量触发，即以声、光的形式进行实时提醒，并产生相应的异常流量日志以供后续历史日志查询。为用户工业网络的安全、稳定、可靠运行提供有力的技术支撑。

An abnormal flow detection method for industrial control network equipment

The invention discloses a method for detecting abnormal traffic control network equipment, which comprises the following steps: 1. intelligent monitoring terminal and communication management platform; 2. set intelligent monitoring terminal deployment; 3. open learning mode, supporting the establishment of security baseline: 4. to run mode, start monitoring abnormal flow; 5. real-time flow monitoring according to the abnormal traffic anomaly algorithm; 6. abnormal flow alarm and log; 7. start monitoring; the beneficial effect of the invention is: through the self-learning algorithm to establish the basic trend of flow model of industrial control network in each equipment advanced, as the basis for all day long Hou real-time monitoring, once triggered by abnormal traffic, sound and light form real-time alerts, and abnormal traffic logs corresponding for subsequent history log query. It provides a strong technical support for the safe, stable and reliable operation of the user industrial network.

【技术实现步骤摘要】
一种工控网络设备异常流量的检测方法
本专利技术涉及一种工控网络设备异常流量的检测方法,属于自动控制

技术介绍
目前，随着信息技术的发展，原本物理隔离的工控生产和控制网络不得不打破隔离，与企业管理网络甚至是直接与互联网进行连通，这样原本稳定、可控、可靠的工控网络就面临越来越多的风险。从近几年发生的工控安全事件也看出工控网络遭受的攻击次数越来越多，攻击造成的伤害也越来越大。原本稳定运行，只为工控网络局域网客户端提供服务的实时服务器、历史服务器收到的请求是可控的，可度量的。原本只向工控网络局域网服务器请求数据的工作站发出的请求也是可控的，可度量的。而那些在控制层的控制器收到的指令和数据也是可控，可度量的。但现在两网融合趋势下，这些可控，可度量的流量是否还是正常的则值得思考。目前，现有的一种技术方案只适合智能变电站网络异常流量检测，方案还需要有能够镜像流量的交换机进行配合，将镜像的流量进行捕获，从而得到原始的报文信息，再通过对这些原始报文进行简单统计从而得到流量是否异常，当异常时会发送异常情况给远方调度系统，并将这些报文进行存储。公开号为CN106611348A的专利申请公开了一种异常流量的检测方法和装置。其中，该方法包括：从广告的监测数据中提取访客访问广告的访客数据；从多个访客数据中提取第一访客数据，其中，第一访客数据为多个访客数据中时间信息在第一预设时间内的访客数据，并且第一访客数据的数量为多个；判断访客标识为同一个第一访客标识的任意两个第一访客数据的时间差是否在第二预设时间内；如果判断出访客标识为同一个第一访客标识的相邻的任意两个第一访客数据的时间差在第二预设时间内，从第一访客数据中提取出第二访客数据，并确定第二访客为导致流量异常的访客。解决了现有技术中由于某些访客流量作弊造成的广告主利益受损害的技术问题。公开号为CN106357622A的专利申请公开了基于软件定义网络的网络异常流量检测防御系统，软件定义网络与传统网络对异常流量的检测方法大有不同，使得传统的检测方法不再适用，通过运用网络控制平面和数据平面分离的思想,软件定义网络为研发网络新应用和处理网络安全问题提供了新的解决方案。本专利技术利用软件定义网络架构的集中控制的特点，在攻击的源头实现流量实时监控，使用源IP防伪，接入层异常检测，链路流量异常检测形成多重防御体系，逐渐过滤异常流量，实现网络层DDoS攻击在源端的检测和防御。综上所述，目前，现有技术存在以下缺点：1.只适用于智能变电站这一种工控网络。2.需要有能够镜像流量的交换机进行配合才行，如果没有则无法进行异常流量检测。3.只是站在单个网络会话的角度去度量是否异常，并没有站在设备的角度去整体度量流量是否异常。4.异常判别的标准难以确定，并且不适合工业生产环境。
技术实现思路
本专利技术的目的在于提供一种能够克服上述技术问题的工控网络设备异常流量的检测方法，由于工控网络的稳定、可靠和可控性由各方面的指标组成，其中每个设备对外的请求数量、收到的请求数量和对外提供的服务都是可度量、可控的。本专利技术所述方法通过一种既能够旁路部署又能够串入工控网络的设备对工控网络的流量进行实时采集和监测并利用智能学习引擎自学习工控网络正常流量形成安全基线并以此为基线对工控网络中的各个设备进行实时监测，对异常的流量进行实时告警并记录到告警日志中。本专利技术所述方法是解决如何全方面收集各工控系统中各个设备发送和收到的流量、如何建立安全基线、如何判定流量异常及流量异常后如何处理的问题。本专利技术所述方法具体包括以下步骤：步骤1.智能监测终端与管理平台连通：所述智能监测终端用于采集现场流量，所述管理平台用于管理监测终端。步骤2.设置智能监测终端部署方式：设置的智能监测终端既能够旁路部署到支持镜像的交换机上，也能够串入网络中的指定位置进行数据采集，根据工业网络的实际情况选择设置智能监测终端的部署方式。步骤3.开启学习模式，辅助建立网络流量监测基线：通过开启自学习模式，建立网络流量监测基线，采用一个智能学习引擎，将采集到的现场流量进行智能化学习，辅助生成流量运行基线。只需要将智能监测终端切换到学习模式。步骤4.转到运行模式，开始异常流量监测：在步骤3形成的网络流量监测基线后，通过管理平台将智能监测终端切换到工作的运行模式下，正式开启流量采集及异常流量判别。步骤5.实时采集流量，根据异常流量算法进行异常流量监测：根据网络流量监测基线，针对每个设备进行异常流量的判别，包括流出流量、流入流量及总体流量和被访问的端口的几个维度进行综合判别，一旦有不在安全基线中的操作出现，将进行下一步。步骤6.产生异常流量告警和记录日志：当出现了异常流量，则在监控页面对应的设备将变成报警状态，同时产生一条能供后续查询的告警日志，并且在监控页面中当设备当前并未有异常流量但历史上曾经出现过异常但对应的异常日志还未被处理，则会有相应的提示出现在监控页面。步骤7.重新开始监测：经过一个监测周期后，相应的正常流量和异常流量会被重置，重新开始下一个周期的监测。本专利技术的有益效果是：通过分析多行业里工业控制网络的实际流量，抽象出典型的流量模型，通过先进的自学习算法建立工业控制网络各个设备最基础的流量走势模型，以此为基础进行全天侯实时监测，一旦有异常流量触发，即以声、光的形式进行实时提醒，并产生相应的异常流量日志以供后续历史日志查询，为用户工业网络的安全、稳定、可靠运行提供有力的技术支撑。附图说明图1是正常情况下流量计算公式的示意图；图2是不同周期会话老化后又重新建立流量计算公式的示意图；图3是同一周期会话老化后又重新建立流量计算公式的示意图；图4是周期内设备流量异常图形化显示的示意图；图5是周期内设备流量正常图形化显示的示意图；图6是周期内设备流量正常但有异常流量告警未处理图形化显示的示意图。具体实施方式下面结合说明书附图1-6对本专利技术的实施方式进行详细描述。本专利技术所述方法具体包括以下步骤：步骤1.智能监测终端与管理平台连通：所述智能监测终端用于采集现场流量，所述管理平台用于管理监测终端。步骤2.设置智能监测终端部署方式：许多工业现场的交换机都不支持镜像模式或者工业交换机也不支持镜像模式，本专利技术所述方法中的智能监测终端既能够旁路部署到支持镜像的交换机上，也能够串入网络中的指定位置进行数据采集，根据工业网络的实际情况选择设置智能监测终端的部署方式。步骤3.开启学习模式，辅助建立网络流量监测基线：通过开启自学习模式，辅助建立网络流量监测基线，采用一个智能学习引擎，将采集到的现场流量进行智能化学习，辅助生成流量运行基线，只需要将智能监测终端切换到学习模式。步骤4.转到运行模式，开始异常流量监测：在步骤3形成网络流量监测基线后，通过管理平台将智能监测终端切换到工作的运行模式下，正式开启流量采集及异常流量判别。步骤5.实时采集流量，根据异常流量算法进行异常流量监测：根据流量基线，针对每个设备进行异常流量的判别，包括流出流量、流入流量及总体流量和被访问的端口的几个维度进行综合判别，一旦有不在安全基线中的操作出现，将进行下一步。步骤6.产生异常流量告警和记录日志：当出现了异常流量，则在监控页面对应的设备将变成报警状态，同时产生一条能供后续查询的告警日志，并且在监控页面中当设备当前并未有异本文档来自技高网...

【技术保护点】
一种工控网络设备异常流量的检测方法，其特征在于，包括以下步骤：步骤1.智能监测终端与管理平台连通；所述智能监测终端用于采集现场流量，所述管理平台用于管理监测终端；步骤2.设置智能监测终端部署方式；设置的智能监测终端既能够旁路部署到支持镜像的交换机上，也能够串入网络中的指定位置进行数据采集；步骤3.开启学习模式，辅助建立网络流量监测基线；通过开启自学习模式，建立网络流量监测基线，采用一个智能学习引擎，将采集到的现场流量进行智能化学习，辅助生成流量运行基线；步骤4.转到运行模式，开始异常流量监测；在步骤3形成网络流量监测基线后，通过管理平台将智能监测终端切换到工作的运行模式下，正式开启流量采集及异常流量判别；步骤5.实时采集流量，根据异常流量算法进行异常流量监测；步骤6.产生异常流量告警和记录日志；当出现了异常流量，则在监控页面对应的设备将变成报警状态，同时产生一条能供后续查询的告警日志，并且在监控页面中当设备当前并未有异常流量但历史上曾经出现过异常但对应的异常日志还未被处理，则会有相应的提示出现在监控页面；步骤7.重新开始监测；经过一个监测周期后，相应的正常流量和异常流量会被重置，重新开始下一个周期的监测。...

【技术特征摘要】
1.一种工控网络设备异常流量的检测方法，其特征在于，包括以下步骤：步骤1.智能监测终端与管理平台连通；所述智能监测终端用于采集现场流量，所述管理平台用于管理监测终端；步骤2.设置智能监测终端部署方式；设置的智能监测终端既能够旁路部署到支持镜像的交换机上，也能够串入网络中的指定位置进行数据采集；步骤3.开启学习模式，辅助建立网络流量监测基线；通过开启自学习模式，建立网络流量监测基线，采用一个智能学习引擎，将采集到的现场流量进行智能化学习，辅助生成流量运行基线；步骤4.转到运行模式，开始异常流量监测；在步骤3形成网络流量监测基线后，通过管理平台将智能监测终端切换到工作的运行模式下，正式开启流量采集及异常流量判别；步骤5.实时采集流量，根据异常流量算法进行异常流量监测；步骤6.产生异常流量告警和记录日志；当出现了异常流量，则在监控页面对应的设备将变成报警状态，同时...

【专利技术属性】
技术研发人员：冯全宝，韩延鹏，乔金峰，张明远，
申请(专利权)人：北京威努特技术有限公司，
类型：发明
国别省市：北京,11