一种局域网中设备通讯行为检测方法及装置制造方法及图纸

本发明专利技术公开了一种局域网中设备通讯行为检测方法及装置，该方法包括：获取局域网中设备的第一标识特征和第一流量分析特征；根据第一标识特征和第一流量分析特征得到安全流量模型；利用安全流量模型建立局域网中的设备白名单；根据设备白名单检测设备在局域网中的通讯行为。通过建立安全流量模型和设备白名单对局域网中的设备的通讯行为进行检测，能够发现局域网中未知设备接入内网产生通讯的行为，解决了工业现场内部设备异常连接内部设备问题。

A Method and Device for Detecting Equipment Communication Behavior in LAN

The invention discloses a method and device for detecting device communication behavior in LAN, which includes: acquiring the first identification feature and the first traffic analysis feature of devices in LAN; obtaining the safe traffic model according to the first identification feature and the first traffic analysis feature; establishing the white list of devices in LAN by using the safe traffic model; and detecting devices according to the white list of devices in LAN. Communication behavior in LAN. By establishing a safe traffic model and device whitelist to detect the communication behavior of the devices in the LAN, we can find the communication behavior of the unknown devices in the LAN when they are connected to the intranet, and solve the problem of abnormal connection of the devices in the industrial field.

【技术实现步骤摘要】
一种局域网中设备通讯行为检测方法及装置
本专利技术涉及工业控制网络信息安全
，具体涉及一种局域网中设备通讯行为检测方法及装置。
技术介绍
随着信息化和工业化进程的加速，工业化与信息化的融合趋势越来越明显，工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。未来为了提高生产效率和效益，工控网络会越来越开放，而开放带来的诸如木马、病毒、网络攻击等安全问题将成为制约两化融合以及工业4.0发展的重要因素。传统的物理隔离的解决方法已经不能满足现阶段两化融合发展对安全的需求了。
技术实现思路
有鉴于此，本专利技术实施例提供了一种局域网中设备通讯行为检测方法及装置，以解决工业现场内部设备异常连接内部设备问题。根据第一方面，本专利技术实施例提供了一种局域网中设备通讯行为检测方法，包括：获取局域网中设备的第一标识特征和第一流量分析特征；根据第一标识特征和第一流量分析特征得到安全流量模型；利用安全流量模型建立局域网中的设备白名单；根据设备白名单检测设备在局域网中的通讯行为。可选地，获取局域网中设备的第一标识特征和第一流量分析特征包括：获取发生通讯行为的设备的第一数据包；在第一数据包中提取第一标识特征；基于第一标识特征按至少一个第一预设时间间隔统计与第一标识特征对应的流量信息，得到第一流量分析特征，流量信息包括流量和/或报文数量。可选地，根据第一流量分析特征得到安全流量模型包括：利用第一标识特征和第一流量分析特征对机器学习模型训练，得到安全流量模型，安全流量模型包括：第一预设时间间隔内第一标识特征对应的流量和/或报文数量的区间范围。可选地，第一标识特征包括设备的IP地址和/或MAC地址。可选地，利用安全流量模型建立局域网中的设备白名单包括：获取当前设备的第二标识特征和第二流量分析特征；将当前设备的第二标识特征和第二流量分析特征输入安全流量模型得到对应的结果信息，结果信息用于表征当前设备的第二标识特征对应的流量和/或报文数量是否在安全流量模型中与当前设备的第二标识特征对应的第一标识特征的流量和/或报文数量的区间范围内；根据结果信息建立设备白名单。可选地，将当前设备的第二标识特征和第二流量分析特征输入安全流量模型得到对应的结果信息包括：判断安全流量模型中是否存在与当前设备的第二标识特征对应的第一标识特征；当安全流量模型中存在与当前设备的第二标识特征对应的第一标识特征时，判断当前设备的第二标识特征的流量和/或报文数是否在与当前设备的第二标识特征对应的第一标识特征的流量和/或报文数的区间范围内；当当前设备的第二标识特征的流量和/或报文数在与当前设备的第二标识特征对应的第一标识特征的流量和/或报文数的区间范围内，将当前设备加入设备白名单。可选地，当安全流量模型中不存在与当前设备的第二标识特征对应的第一标识特征时，禁止当前设备加入设备白名单。可选地，获取当前设备的第二标识特征和第二流量分析特征包括：获取发生通讯行为的当前设备的第二数据包；在第二数据包中提取当前设备的第二标识特征；基于当前设备的第二标识特征按第二预设时间间隔统计与当前设备的第二标识特征对应的流量信息，得到当前设备的第二流量分析特征，流量信息包括当前设备的流量和/或报文数量。可选地，根据设备白名单检测设备在局域网中的通讯行为包括：获取待检测标识特征；判断设备白名单中是否存在与待检测标识特征对应的第一标识特征；当述设备白名单中不存在与待检测标识特征对应的第一标识特征时，输出警告信息。可选地，当述设备白名单中存在与待检测标识特征对应的第一标识特征时，获取待检测标识特征对应的流量和/或报文数量；判断待检测标识特征对应的流量和/或报文数量是否在与待检测标识特征对应的第一标识特征对应的流量/和或报文数量区间范围内；当待检测标识特征对应的流量和/或报文数量超出与待检测标识特征对应的第一标识特征对应的流量/和或报文数量区间范围时，输出警告信息。根据第二方面，本专利技术实施例提供了一种局域网中设备通讯行为检测装置，包括：获取模块，用于获取局域网中设备的第一标识特征和第一流量分析特征；输出模块，用于根据第一标识特征和第一流量分析特征得到安全流量模型；建立模块，用于利用安全流量模型建立局域网中的设备白名单；检测模块，用于检测根据设备白名单检测设备在局域网中的通讯行为。根据第三方面，本专利技术实施例提供了一种工业现场内部网络系统，包括：管理层，具有安全管理平台；控制层，用于控制多个工业设备，通信行为采集装置，设置在管理层和控制层之间，用于采集多个工业设备的通讯行为；安全管理平台包括：至少一个处理器；以及与至少一个处理器通信连接的存储器；其中，存储器存储有可被一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器执行上述任意实施例的局域网中设备通讯行为检测方法。本专利技术实施例提供了一种局域网中设备通讯行为检测方法及装置，通过建立安全流量模型和设备白名单对局域网中的设备的通讯行为进行检测，能够发现局域网中未知设备接入内网产生通讯的行为，解决了工业现场内部设备异常连接内部设备问题。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1示出了本专利技术实施例局域网中设备通讯行为检测方法示意图；图2示出了本专利技术实施例建立设备白名单流程图；图3是根据本专利技术实施例监控非法连接流程图；图4示出了本专利技术实施例局域网中设备通讯行为检测装置结构示意图；图5示出了本专利技术实施例工业现场内部网络系统结构框图；图6示出了本专利技术实施例安全管理平台结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例提供了一种局域网中设备通讯行为检测方法，如图1所示，包括：S101.获取局域网中设备的第一标识特征和第一流量分析特征。在本实施例中，获取局域网中设备的第一标识特征和第一流量分析特征包括：获取发生通讯行为的设备的第一数据包；在第一数据包中提取第一标识特征；基于第一标识特征按至少一个第一预设时间间隔统计与第一标识特征对应的流量信息，得到第一流量分析特征，流量信息包括流量和/或报文数量。具体的，第一标识特征包括设备的IP地址和/或MAC地址。第一预设时间可以是每分钟、每小时或每天中的一种或多种。本专利技术实施例为了较为全面的获得第一流量分析特征，第一预设时间设置为每分钟、每小时和每天，也即按照每分钟、每小时和每天分别统计与设备的IP地址和/或MAC地址对应的流量信息。S102.根据第一标识特征和第一流量分析特征得到安全流量模型。在本实施例中，根据第一流量分析特征得到安全流量模型包括：利用第一标识特征和第一流量分析特征对机器学习模型训练，得到安全流量模型，安全流量模型包括：第一预设时间间隔内第一标识特征对应的流量本文档来自技高网...

【技术保护点】
1.一种局域网中设备通讯行为检测方法，其特征在于，包括：获取局域网中设备的第一标识特征和第一流量分析特征；根据所述第一标识特征和所述第一流量分析特征得到安全流量模型；利用所述安全流量模型建立所述局域网中的设备白名单；根据所述设备白名单检测设备在所述局域网中的通讯行为。

【技术特征摘要】
1.一种局域网中设备通讯行为检测方法，其特征在于，包括：获取局域网中设备的第一标识特征和第一流量分析特征；根据所述第一标识特征和所述第一流量分析特征得到安全流量模型；利用所述安全流量模型建立所述局域网中的设备白名单；根据所述设备白名单检测设备在所述局域网中的通讯行为。2.如权利要求1所述的局域网中设备通讯行为检测方法，其特征在于，获取局域网中设备的第一标识特征和第一流量分析特征包括：获取发生通讯行为的设备的第一数据包；在所述第一数据包中提取所述第一标识特征；基于所述第一标识特征按至少一个第一预设时间间隔统计与所述第一标识特征对应的流量信息，得到所述第一流量分析特征，所述流量信息包括流量和/或报文数量。3.如权利要求2所述的局域网中设备通讯行为检测方法，其特征在于，所述根据所述第一流量分析特征得到安全流量模型包括：利用所述第一标识特征和所述第一流量分析特征对机器学习模型训练，得到所述安全流量模型，所述安全流量模型包括：所述第一预设时间间隔内所述第一标识特征对应的流量和/或报文数量的区间范围。4.如权利要求2所述的局域网中设备通讯行为检测方法，其特征在于，所述第一标识特征包括设备的IP地址和/或MAC地址。5.如权利要求3所述的局域网中设备通讯行为检测方法，其特征在于，所述利用所述安全流量模型建立所述局域网中的设备白名单包括：获取当前设备的第二标识特征和第二流量分析特征；将所述当前设备的第二标识特征和所述第二流量分析特征输入所述安全流量模型得到对应的结果信息，所述结果信息用于表征所述当前设备的第二标识特征对应的流量和/或报文数量是否在所述安全流量模型中与所述当前设备的第二标识特征对应的第一标识特征的流量和/或报文数量的区间范围内；根据所述结果信息建立所述设备白名单。6.如权利要求5所述的局域网中设备通讯行为检测方法，其特征在于，所述将所述当前设备的第二标识特征和所述第二流量分析特征输入所述安全流量模型得到对应的结果信息包括：判断所述安全流量模型中是否存在与所述当前设备的第二标识特征对应的第一标识特征；当所述安全流量模型中存在与所述当前设备的第二标识特征对应的第一标识特征时，判断所述当前设备的第二标识特征的流量和/或报文数是否在与所述当前设备的第二标识特征对应的第一标识特征的流量和/或报文数的区间范围内；当所述当前设备的第二标识特征的流量和/或报文数在与所述当前设备的第二标识特征对应的第一标识特征的流量和/或报文数的区间范围内，将所述当前设备加入所述设备白名单。...

【专利技术属性】
技术研发人员：张明远，李飞，
申请(专利权)人：北京威努特技术有限公司，
类型：发明
国别省市：北京,11