工业网络攻击流量检测方法及服务器技术

本发明专利技术实施例公开了一种工业网络攻击流量检测方法及服务器，方法包括：接收用户的编辑操作以生成配置文件；接收用户的导入操作以获取规则文件，所述规则文件包括多种工业协议规则，所述工业协议规则为按照Suricata规则编写的工业网络漏洞描述；接收用户的启动操作以启动Suricata，并通过Suricata进行工业网络攻击流量检测以得到检测日志。实施本发明专利技术实施例，利用Suricata多线程，高性能的优点，通过编写工业协议漏洞攻击规则进行工业网络攻击流量检测，提高了攻击检测的效率和准确率，大大增强了实时性要求的工业网络安全的防护功能。

Detection method and server of industrial network attack traffic

The embodiment of the invention discloses an industrial network attack traffic detection method and a server, the method includes: receiving the user's editing operation to generate a configuration file; receiving the user's import operation to obtain a rule file, the rule file includes a variety of industrial protocol rules, the industrial protocol rules are descriptions of industrial network vulnerabilities prepared according to the Suricata rules; receiving the user Suricata is started by the start operation of, and the industrial network attack traffic is detected by Suricata to get the detection log. The embodiment of the invention, taking advantage of the advantages of Suricata's multithreading and high performance, improves the efficiency and accuracy of attack detection and greatly enhances the protection function of industrial network security required by real-time performance by compiling industrial protocol vulnerability attack rules to detect industrial network attack traffic.

【技术实现步骤摘要】
工业网络攻击流量检测方法及服务器
本专利技术涉及计算机
，具体涉及一种工业网络攻击流量检测方法及服务器。
技术介绍
工业控制系统是国家关键基础设施的重要组成部分。工业互联网与传统的IT网络也有了越来越多的联系，工业网络的安全问题也越来越受到人们的重视。据统计，全球每年都会发生几百起针对工业网络系统的攻击事件，如何在工业网络高实时性和资源受限条件下对攻击进行有效预测和控制，即工业网络攻击流量检测，是工业安全领域的热点研究方向。目前，现有的工业网络攻击流量检测方法，比如基于Snort进行攻击规则匹配检测。虽然攻击检测效果良好，但是Snort规则开发对人员水平要求较高，而且匹配效率较低，性能不高，对于高实时性要求的工业网络不太适合。
技术实现思路
本专利技术实施例的目的在于提供一种工业网络攻击流量检测方法及服务器，以增强高实时性要求的工业网络安全的防护功能。为实现上述目的，第一方面，本专利技术实施例提供了一种工业网络攻击流量检测方法，包括：接收用户的编辑操作以生成配置文件；所述配置文件包括监听接口、规本文档来自技高网...

【技术保护点】
1.一种工业网络攻击流量检测方法，其特征在于，包括：/n接收用户的编辑操作以生成配置文件；/n接收用户的导入操作以获取规则文件，所述规则文件包括多种工业协议规则，所述工业协议规则为按照Suricata规则编写的工业网络漏洞描述；/n接收用户的启动操作以启动Suricata，并通过Suricata进行工业网络攻击流量检测以得到检测日志。/n

【技术特征摘要】
1.一种工业网络攻击流量检测方法，其特征在于，包括：
接收用户的编辑操作以生成配置文件；
接收用户的导入操作以获取规则文件，所述规则文件包括多种工业协议规则，所述工业协议规则为按照Suricata规则编写的工业网络漏洞描述；
接收用户的启动操作以启动Suricata，并通过Suricata进行工业网络攻击流量检测以得到检测日志。


2.如权利要求1所述的工业网络攻击流量检测方法，其特征在于，通过Suricata进行工业网络攻击流量检测以得到检测日志，具体包括：
通过Suricata获取待检测的工业网络流量报文；
对所述工业网络流量报文进行协议识别；
根据所述规则文件对进行协议识别后的所述工业网络流量报文进行匹配，以得到匹配结果；
将所述匹配结果记录于数据库以形成所述检测日志。


3.如权利要求2所述的工业网络攻击流量检测方法，其特征在于，Suricata采用libpcap、netmap或af-packet方式获取待检测的工业网路流量报文。


4.如权利要求2所述的工业网络攻击流量检测方法，其特征在于，所述匹配结果包括告警、阻断和放行。


5.如权利你要求2所述的工业网络攻击流量检测方法，其特征在于，接收用户的编辑操作以生成配置文件之前，所述方法还包括：
采用旁路部署模式或在线部署模式接入工业网络。


6.如权利要求5所述的工业网络攻击流量检测方法，其特征在于，得到检测日志之后，所述方法还...

【专利技术属性】
技术研发人员：赵宇，杨二伟，仪智奇，郑国栋，
申请(专利权)人：杭州九略智能科技有限公司，
类型：发明
国别省市：浙江;33