本发明专利技术涉及一种基于Ethernet IP工控协议的安全检测方法,所述检测方法包括以下步骤:步骤1:建立网络数据抓包模块;步骤2:建立数据分析模块;步骤3:建立数据学习模块;步骤4:建立行为合法性判断模块;步骤5:建立行为异常响应模块。该技术方案根据Ethernet IP的协议特征,对相关命令和功能调用进行深度解析,解析的结果直接可以为一些可视化的工具进行处理,从而可以使用户对工控网络中所流转的内容有直观感受。
A security detection method based on Ethernet IP industrial control protocol
【技术实现步骤摘要】
一种基于EthernetIP工控协议的安全检测方法
本专利技术涉及一种检测方法,具体涉及一种基于EthernetIP工控协议的安全检测方法,属于通用网络安全检测
技术介绍
随着工业4.0的时代到来,使用通用网络技术进行工业控制命令和工业数据传输的方式,尤其是利用以太网络进行通讯,在工业生产中也越来越为广泛,而相关工业设备也均支持此类的传输,而且由于工业自动化的需要,工业企业(如能源、电力等)也非常依赖于通用网络技术进行远程操控,这带来了如下若干问题:1.一般而言,工控协议为明文传输方式,很少或者几乎不用加密算法,故极易进行伪造,攻击者通常可以采用“中间人”方式进行数据包的发送,从而对运行系统进行破坏;2.对工控协议数据缺乏必要的监控手段,虽然目前大多数工控协议已经公开,但主流的安全设备一般并不会提供相关工控协议方面的支持,故在遭遇到相关针对工控方面的攻击时,就无法进行辨别,对于威胁的响应则更无从谈起;3.对于工控协议,特别是复杂的工控协议,如EthernetIP而言,缺乏深层次的解码和理解,在威胁发生和进行时候追溯时,大多数显得无能为力,从而无法对企业用户提供有力支撑,对于安全防护更无从谈起。显然,对于工业网络的安全问题提供相关方法进行有效地监控或审计则成为必须,今年的一些相关安全事件也体现出这个方面的重要性,典型的工控网络安全事件包括:■2006年8月,美国阿拉巴马州的BrownsFerry核电站3号机组受到网络攻击,反应堆再循环泵和冷凝除矿控制器工作失灵,导致3号机组被迫关闭;■2013年3月,中国解放军报报道,美国曾利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备,造成伊朗核电站推迟发电;■2016年4月24日德国Gundremmingen核电站的计算机系统,在常规安全检测中发现了恶意程序。核电站的操作员RWE为防不测,关闭了发电厂。另外,根据知名报告显示,全球范围内系统遭遇攻击最多的三个国家为越南、阿尔及利亚和摩洛哥,遭受攻击程度分别为71%、67.1%及65.4%,中国工控系统遭受攻击程度排在第五位,占比达57.1%。
技术实现思路
本专利技术正是针对现有技术中存在的问题,提供一种基于EthernetIP工控协议的安全检测方法,本专利技术主要针对EthernetIP协议的相关命令及功能进行安全方面的处理,从而达到可以完全支撑工业企业用户对于EthernetIP工控协议进行安全监控和威胁阻断的需要。本专利技术的主要方法包含如下几个处理部分,主要思想是利用对相关工控数据的学习的方法建立概率后缀树,如出现行为序列上的违反且高于一定阈值则认为存在异常,从而进行告警或阻断。为了实现上述目的,本专利技术的技术方案如下,一种基于EthernetIP工控协议的安全检测方法,其特征在于,所述检测方法包括以下步骤:步骤1:建立网络数据抓包模块;步骤2:建立数据分析模块;步骤3:建立数据学习模块;步骤4:建立行为合法性判断模块;步骤5:建立行为异常响应模块。作为本专利技术的一种改进,所述步骤1:建立网络数据抓包模块,从网卡中获取网络流量进行链路层、网络层及传输层进行解码;对相关应用层进行解码,应用层中包含了工业控制网络协议EthernetIP的相关控制命令、功能码及数据。作为本专利技术的一种改进,所述步骤2:建立数据分析模块:对相关EthernetIP协议的命令进行解析,在命令解析的基础上解析相关功能码;作为本专利技术的一种改进,所述步骤3:建立数据学习模块:针对上述分析结果的数据建立学习模型,其学习内容主要为客户端的请求命令和相关功能码及附加的一些参数;建立概率后缀树模型,后缀树的深度一般通过参数控制,一般不需要太深,最多2-3层;对于常见的操作序列建立模型。作为本专利技术的一种改进,所述步骤4:建立行为合法性判断模块,对于运行数据的操作序列进行判断,如出现概率低于阈值,则判断为异常,评估相关可信程度,为了提升模型准确性,需要向用户以图形化的方法提供判断过程,提示用户是否接收。作为本专利技术的一种改进,所述步骤5:建立行为异常响应模块,对于异常行为提供告警、邮件、阻断等响应动作作为本专利技术的一种改进,金属锁壳为四方体,其中,不含右侧面。相对于现有技术,本专利技术具有如下优点,1)根据EthernetIP的协议特征,对相关命令和功能调用进行深度解析,解析的结果直接可以为一些可视化的工具进行处理,从而可以使用户对工控网络中所流转的内容有直观感受;2)在协议解析中融合了相关功能参数的处理,使整体处理过程更为深入,结果更为可信,对于一些用户自定义的部分也可能进行相关的处理;3)使用概率后缀树的方法,对客户端发出的相关PLC操控命令进行学习,一旦发现其中有异常的部分则进行相关的响应处理,主要是节省内存,避免Markov转移矩阵的空间稀疏性,与采用马尔科夫转移矩阵方法不同,使用概率后缀树可以尽可能的节约内存使用,从而避免使用马尔科夫转移矩阵的而带来的稀疏性。附图说明图1为概率前缀树(PST)的示意图;图2为整体实现过程示意图。具体实施方式:为了加深对本专利技术的认识和理解,下面结合附图对本实施例做详细的说明。该方案中的相关名词解释:工控协议:一般专门指与工业控制相关的网络协议,这些工业控制网络协议中包含了针对可编程逻辑控制器(PLC)的操作,如发送命令、传输数据等;当前一般常见的工控协议均使用以太网传输,常见的工控协议包括如Modbus、S7Comm、EthernetIP/CIP、IEC、OPC(UA)等等,其中尤以EthernetIP/CIP最为复杂;可编程逻辑控制器:根据IEC(国际电工委员会)定义,可编程序控制器是一种数字运算操作的电子系统,专为在工业环境下应用而设计;它采用一类可编程的存储器,用于其内部存储程序,执行逻辑运算、顺序控制、定时、计数和算术操作等面向用户的指令;并通过数字是或模拟式输入/输出控制各种类型的机械或生产过程;SCADA:SCADA(SupervisoryControlAndDataAcquisition)系统,即数据采集与监视控制系统。SCADA系统是以计算机为基础的DCS与电力自动化监控系统;应用领域很广,可以应用于电力、冶金、石油、化工、燃气、铁路等领域的数据采集与监视控制以及过程控制等诸多领域;概率后缀树:概率后缀树,又被称为PST(即ProbabilitySuffixTree),即通过树的形式来表现不同事件之间的转移比例,其方法比较类似于马尔可夫转移概率,只不过在稀疏的情况下相较马尔可夫概率转移矩阵使用少很多。实施例1:参见图1、图2,一种基于EthernetIP工控协议的安全检测方法,所述方法包括以下步骤:步骤1,建立网络数据抓包模块,模块主要针对以太网络进行;模块中对一般的以太网络帧中的数据链路层进行解码,解码兼容VLAN格式以适应工控网络的一般要求;然后,模块对网络的三层即网络层进行解本文档来自技高网...
【技术保护点】
1.一种基于Ethernet IP工控协议的安全检测方法,其特征在于,所述检测方法包括以下步骤:/n步骤1:建立网络数据抓包模块;/n步骤2:建立数据分析模块;/n步骤3:建立数据学习模块;/n步骤4:建立行为合法性判断模块;/n步骤5:建立行为异常响应模块。/n
【技术特征摘要】
1.一种基于EthernetIP工控协议的安全检测方法,其特征在于,所述检测方法包括以下步骤:
步骤1:建立网络数据抓包模块;
步骤2:建立数据分析模块;
步骤3:建立数据学习模块;
步骤4:建立行为合法性判断模块;
步骤5:建立行为异常响应模块。
2.根据权利要求1所述的基于EthernetIP工控协议的安全检测方法,其特征在于,所述步骤1:建立网络数据抓包模块,从网卡中获取网络流量进行链路层、网络层及传输层进行解码;对相关应用层进行解码,应用层中包含了工业控制网络协议EthernetIP的相关控制命令、功能码及数据。
3.根据权利要求2所述的基于EthernetIP工控协议的安全检测方法,其特征在于,所述步骤2:建立数据分析模块:对相关EthernetIP协议的命令进行解析,在命令解析的基础上解析相关功能码。
【专利技术属性】
技术研发人员:陈虎,唐开达,
申请(专利权)人:南京聚铭网络科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。