The invention discloses a method and device for detecting device communication behavior in LAN, which includes: acquiring the first identification feature and the first traffic analysis feature of devices in LAN; obtaining the safe traffic model according to the first identification feature and the first traffic analysis feature; establishing the white list of devices in LAN by using the safe traffic model; and detecting devices according to the white list of devices in LAN. Communication behavior in LAN. By establishing a safe traffic model and device whitelist to detect the communication behavior of the devices in the LAN, we can find the communication behavior of the unknown devices in the LAN when they are connected to the intranet, and solve the problem of abnormal connection of the devices in the industrial field.
【技术实现步骤摘要】
一种局域网中设备通讯行为检测方法及装置
本专利技术涉及工业控制网络信息安全
,具体涉及一种局域网中设备通讯行为检测方法及装置。
技术介绍
随着信息化和工业化进程的加速,工业化与信息化的融合趋势越来越明显,工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。未来为了提高生产效率和效益,工控网络会越来越开放,而开放带来的诸如木马、病毒、网络攻击等安全问题将成为制约两化融合以及工业4.0发展的重要因素。传统的物理隔离的解决方法已经不能满足现阶段两化融合发展对安全的需求了。
技术实现思路
有鉴于此,本专利技术实施例提供了一种局域网中设备通讯行为检测方法及装置,以解决工业现场内部设备异常连接内部设备问题。根据第一方面,本专利技术实施例提供了一种局域网中设备通讯行为检测方法,包括:获取局域网中设备的第一标识特征和第一流量分析特征;根据第一标识特征和第一流量分析特征得到安全流量模型;利用安全流量模型建立局域网中的设备白名单;根据设备白名单检测设备在局域网中的通讯行为。可选地,获取局域网中设备的第一标识特征和第一流量分析特征包括:获取发生通讯行为的设备的第一数据包;在第一数据包中提取第一标识特征;基于第一标识特征按至少一个第一预设时间间隔统计与第一标识特征对应的流量信息,得到第一流量分析特征,流量信息包括流量和/或报文数量。可选地,根据第一流量分析特征得到安全流量模型包括:利用第一标识特征和第一流量分析特征对机器学习模型训练,得到安全流量模型,安全流量模型包括:第一预设时间间隔内第一标识特征对应的流量和/或报文数量的区间范围。可选地,第一 ...
【技术保护点】
1.一种局域网中设备通讯行为检测方法,其特征在于,包括:获取局域网中设备的第一标识特征和第一流量分析特征;根据所述第一标识特征和所述第一流量分析特征得到安全流量模型;利用所述安全流量模型建立所述局域网中的设备白名单;根据所述设备白名单检测设备在所述局域网中的通讯行为。
【技术特征摘要】
1.一种局域网中设备通讯行为检测方法,其特征在于,包括:获取局域网中设备的第一标识特征和第一流量分析特征;根据所述第一标识特征和所述第一流量分析特征得到安全流量模型;利用所述安全流量模型建立所述局域网中的设备白名单;根据所述设备白名单检测设备在所述局域网中的通讯行为。2.如权利要求1所述的局域网中设备通讯行为检测方法,其特征在于,获取局域网中设备的第一标识特征和第一流量分析特征包括:获取发生通讯行为的设备的第一数据包;在所述第一数据包中提取所述第一标识特征;基于所述第一标识特征按至少一个第一预设时间间隔统计与所述第一标识特征对应的流量信息,得到所述第一流量分析特征,所述流量信息包括流量和/或报文数量。3.如权利要求2所述的局域网中设备通讯行为检测方法,其特征在于,所述根据所述第一流量分析特征得到安全流量模型包括:利用所述第一标识特征和所述第一流量分析特征对机器学习模型训练,得到所述安全流量模型,所述安全流量模型包括:所述第一预设时间间隔内所述第一标识特征对应的流量和/或报文数量的区间范围。4.如权利要求2所述的局域网中设备通讯行为检测方法,其特征在于,所述第一标识特征包括设备的IP地址和/或MAC地址。5.如权利要求3所述的局域网中设备通讯行为检测方法,其特征在于,所述利用所述安全流量模型建立所述局域网中的设备白名单包括:获取当前设备的第二标识特征和第二流量分析特征;将所述当前设备的第二标识特征和所述第二流量分析特征输入所述安全流量模型得到对应的结果信息,所述结果信息用于表征所述当前设备的第二标识特征对应的流量和/或报文数量是否在所述安全流量模型中与所述当前设备的第二标识特征对应的第一标识特征的流量和/或报文数量的区间范围内;根据所述结果信息建立所述设备白名单。6.如权利要求5所述的局域网中设备通讯行为检测方法,其特征在于,所述将所述当前设备的第二标识特征和所述第二流量分析特征输入所述安全流量模型得到对应的结果信息包括:判断所述安全流量模型中是否存在与所述当前设备的第二标识特征对应的第一标识特征;当所述安全流量模型中存在与所述当前设备的第二标识特征对应的第一标识特征时,判断所述当前设备的第二标识特征的流量和/或报文数是否在与所述当前设备的第二标识特征对应的第一标识特征的流量和/或报文数的区间范围内;当所述当前设备的第二标识特征的流量和/或报文数在与所述当前设备的第二标识特征对应的第一标识特征的流量和/或报文数的区间范围内,将所述当前设备加入所述设备白名单。...
【专利技术属性】
技术研发人员:张明远,李飞,
申请(专利权)人:北京威努特技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。