一种入侵检测装置及其检测方法制造方法及图纸

本发明专利技术公开了一种入侵检测装置，包括检测接口，连接于网络链路层，用于提供数据采集通道；数据采集模块，连接于检测接口上，用于采集网络通讯数据；预处理模块，与数据采集模块连接，用于对采集到的数据进行预处理；分级模块，与预处理模块连接，用于对预处理后的数据进行分级；比对模块，与分级模块连接，用于对数据进行比对分析；判定模块，与比对模块连接，用于对异常入侵数据进行判定并处理。本发明专利技术能够改进现有技术的不足，提高了工控安全防护的水平。

An intrusion detection device and its detection method

The invention discloses an intrusion detection device, which comprises a detection interface connected to a network link layer for providing a data acquisition channel; a data acquisition module connected to a detection interface for collecting network communication data; and a pretreatment module connected to a data acquisition module for pretreatment of the collected data. The classification module is connected with the pre-processing module to classify the pre-processed data; the comparison module is connected with the classification module to compare and analyze the data; the judgment module is connected with the comparison module to judge and process the abnormal intrusion data. The invention can improve the deficiency of the existing technology and improve the level of industrial control safety protection.

【技术实现步骤摘要】
一种入侵检测装置及其检测方法
本专利技术涉及工业控制系统安全防御
，尤其是一种入侵检测装置及其检测方法。
技术介绍
工业控制系统环境属于一种特定的信息化应用场景，由于其系统的特殊性，安全防护水平相对薄弱。异常数据的非法入侵是影响工业控制系统的一种常见问题，现有技术中对于异常数据的入侵检测实时性较差，无法有效保护工业控制系统。
技术实现思路
本专利技术要解决的技术问题是提供一种入侵检测装置及其检测方法，能够解决现有技术的不足，提高了工控安全防护的水平。为解决上述技术问题，本专利技术所采取的技术方案如下。一种入侵检测装置，包括，检测接口，连接于网络链路层，用于提供数据采集通道；数据采集模块，连接于检测接口上，用于采集网络通讯数据；预处理模块，与数据采集模块连接，用于对采集到的数据进行预处理；分级模块，与预处理模块连接，用于对预处理后的数据进行分级；比对模块，与分级模块连接，用于对数据进行比对分析；判定模块，与比对模块连接，用于对异常入侵数据进行判定并处理。一种上述的入侵检测装置的检测方法，包括以下步骤：A、数据采集模块通过检测接口对网络上的通讯数据进行采集；B、预处理模块将步骤A中采集到的数据进行分割，形成数据字段、地址字段和路径字段；C、分级模块将数据字段设为第一优先级，将路径字段设为第二优先级，将地址字段设为第三优先级；然后在数据字段内，将高风险数据设为高优先级，将低风险数据设为低优先级，在路径字段内，将最短路径设为低优先级，将非最短路径设为高优先级，在地址字段内，将核心地址设为高优先级，将非核心地址设为低优先级；D、比对模块根据步骤C给出的优先级先后顺序将数据与入侵特征数据库进行对比；E、判定模块根据对比结果给出判定结果，并对异常入侵数据进行处理。作为优选，步骤A中，数据采集模块的采集频率与数据流量的平方成正比，且在采集过的数据上进行标示。作为优选，步骤D中，比对模块采用非遍历方式进行对比，遍历量与对比对象的优先级成正比。作为优选，步骤E中，判定模块将异常入侵数据进行隔离，然后将异常入侵数据发送至预处理模块进行分割，根据分割结果对入侵特征数据库进行更新。采用上述技术方案所带来的有益效果在于：本专利技术通过改进对于异常数据的检测过程，降低了数据处理量，提高了有效运算比例，从而实现快速、准确地发现异常数据入侵行为，提高了，工控安全防护的水平。附图说明图1是本专利技术一个具体实施方式的系统原理图。具体实施方式参照图1，本专利技术一个具体实施方式包括，一种入侵检测装置，包括，检测接口1，连接于网络链路层，用于提供数据采集通道；数据采集模块2，连接于检测接口1上，用于采集网络通讯数据；预处理模块3，与数据采集模块2连接，用于对采集到的数据进行预处理；分级模块4，与预处理模块3连接，用于对预处理后的数据进行分级；比对模块5，与分级模块4连接，用于对数据进行比对分析；判定模块6，与比对模块5连接，用于对异常入侵数据进行判定并处理。一种上述的入侵检测装置的检测方法，包括以下步骤：A、数据采集模块2通过检测接口1对网络上的通讯数据进行采集；B、预处理模块3将步骤A中采集到的数据进行分割，形成数据字段、地址字段和路径字段；C、分级模块4将数据字段设为第一优先级，将路径字段设为第二优先级，将地址字段设为第三优先级；然后在数据字段内，将高风险数据设为高优先级，将低风险数据设为低优先级，在路径字段内，将最短路径设为低优先级，将非最短路径设为高优先级，在地址字段内，将核心地址设为高优先级，将非核心地址设为低优先级；D、比对模块5根据步骤C给出的优先级先后顺序将数据与入侵特征数据库进行对比；E、判定模块6根据对比结果给出判定结果，并对异常入侵数据进行处理。步骤A中，数据采集模块2的采集频率与数据流量的平方成正比，且在采集过的数据上进行标示。步骤D中，比对模块5采用非遍历方式进行对比，遍历量与对比对象的优先级成正比。步骤E中，判定模块6将异常入侵数据进行隔离，然后将异常入侵数据发送至预处理模块3进行分割，根据分割结果对入侵特征数据库进行更新。以上显示和描述了本专利技术的基本原理和主要特征和本专利技术的优点。本行业的技术人员应该了解，本专利技术不受上述实施例的限制，上述实施例和说明书中描述的只是说明本专利技术的原理，在不脱离本专利技术精神和范围的前提下，本专利技术还会有各种变化和改进，这些变化和改进都落入要求保护的本专利技术范围内。本专利技术要求保护范围由所附的权利要求书及其等效物界定。本文档来自技高网...

【技术保护点】
1.一种入侵检测装置，其特征在于：包括，检测接口（1），连接于网络链路层，用于提供数据采集通道；数据采集模块（2），连接于检测接口（1）上，用于采集网络通讯数据；预处理模块（3），与数据采集模块（2）连接，用于对采集到的数据进行预处理；分级模块（4），与预处理模块（3）连接，用于对预处理后的数据进行分级；比对模块（5），与分级模块（4）连接，用于对数据进行比对分析；判定模块（6），与比对模块（5）连接，用于对异常入侵数据进行判定并处理。

【技术特征摘要】
1.一种入侵检测装置，其特征在于：包括，检测接口（1），连接于网络链路层，用于提供数据采集通道；数据采集模块（2），连接于检测接口（1）上，用于采集网络通讯数据；预处理模块（3），与数据采集模块（2）连接，用于对采集到的数据进行预处理；分级模块（4），与预处理模块（3）连接，用于对预处理后的数据进行分级；比对模块（5），与分级模块（4）连接，用于对数据进行比对分析；判定模块（6），与比对模块（5）连接，用于对异常入侵数据进行判定并处理。2.一种权利要求1所述的入侵检测装置的检测方法，其特征在于包括以下步骤：A、数据采集模块（2）通过检测接口（1）对网络上的通讯数据进行采集；B、预处理模块（3）将步骤A中采集到的数据进行分割，形成数据字段、地址字段和路径字段；C、分级模块（4）将数据字段设为第一优先级，将路径字段设为第二优先级，将地址字段设为第三优先级；然后在数据字段内，将高风险数据设为高...

【专利技术属性】
技术研发人员：赵西玉，李佐民，赵越峰，
申请(专利权)人：北京网藤科技有限公司，
类型：发明
国别省市：北京,11