一种异常访问行为检测方法、系统、介质及其设备技术方案

本发明专利技术公开了一种异常访问行为检测方法、系统、介质及其设备，该方法包括：自动生成每个网络行为主体的访问边界并将访问边界加入网络行为表格，网络行为主体由网络设备的IP构成，每个网络行为主体的访问边界由一个或多个访问边界条目进行描述；监听工业控制网络环境中的网络报文，分析网络报文得到网络报文的源IP、目的IP、网络协议和服务端口；判断网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中；若存在于网络行为表格中，认定网络报文所属网络行为主体无异常；反之，认定网络报文所属网络行为主体有异常。本发明专利技术能够在网络安全危机造成实质损害前检测到异常访问行为，有效提高网络安全处置效率。

【技术实现步骤摘要】
一种异常访问行为检测方法、系统、介质及其设备
本专利技术涉及网络安全
，特别是涉及一种应用于工业控制网络环境的异常访问行为检测方法、系统、介质及其设备。
技术介绍
随着信息化和工业化融合的不断深入，工业控制系统从单机走向互联，从封闭走向开放，从自动化走向智能化。在生产力显著提高的同时，工业控制系统面临着日益严峻的网络安全威胁。为了应对这些网络安全威胁，通常会将工业控制网络环境与互联网环境进行物理隔离。然而，物理隔离可以作为工业控制网络的有效保护的手段，但无法应对来自工业控制网络环境内部的网络威胁。工业控制网络环境与互联网环境的特性不同，工业控制网络环境的自动化程度远高于互联网，自动化具备更强的网络行为规律性，因此决定了工业控制网络环境需要更为适合自身特性的保护方式。目前工业控制网络环境中缺少符合自身特性的网络安全保护产品，而常规网络安全保护产品中，除防火墙等少数几种产品能够在工业控制网络环境中应用外，多数产品在工业控制网络环境难以表现出足够的适应性，无法满足当前工业控制安全要求。
技术实现思路
本专利技术的目的在于提供一种异常访问行为检测方法、系统、介质及其设备，能够在网络安全危机造成实质损害前检测到异常访问行为，有效提高网络安全处置效率。为解决上述技术问题，本专利技术采用的一个技术方案是：提供一种异常访问行为检测方法，应用于工业控制网络环境，包括以下步骤：S1：自动生成每个网络行为主体的访问边界并将访问边界加入网络行为表格，其中，所述网络行为主体由网络设备的IP构成，每个网络行为主体的访问边界由一个或多个访问边界条目进行描述，所述访问边界条目包括允许访问的行为主体IP、允许访问的行为客体IP、允许使用的网络协议、允许使用的服务端口；S2：监听工业控制网络环境中的网络报文，分析所述网络报文得到网络报文的源IP、目的IP、网络协议和服务端口；S3：判断所述网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中；若存在于网络行为表格中，则认定网络报文所属网络行为主体无异常；反之，则认定网络报文所属网络行为主体有异常。优选的，步骤S1的具体步骤包括：S11：抓取工业控制网络环境中的网络报文，提取网络报文中的源IP、目的IP作为网络行为主体；S12：设置学习期，分析每个网络行为主体在学习期内出现的关联IP报文协议及内容，并自动生成每个网络行为主体的访问边界，将访问边界加入网络行为表格，所述网络行为表格中每行记录一个访问边界条目；S13：当学习期结束时，不再生成新的访问边界并结束学习。优选的，所述步骤S12的具体步骤包括：S121：设置学习期，所述学习期包括开始时间和学习时长；S122：判断当前时间是否早于开始时间，若当前时间早于开始时间时，则直接结束；若当前时间不早于开始时间，则进行步骤S123；S123：判断当前累计学习时间是否大于学习时长，如果不大于学习时长，则进行步骤S124，如果大于学习时长，则进行步骤S13；S124：判断网络报文中的源IP、目的IP、网络协议和服务端口是否在网络行为表格中存在相同的访问边界条目，如果不存在相同的访问边界条目，则进行步骤S125，如果存在相同的访问边界条目，则进行步骤S126；S125：将网络报文中的源IP、目的IP、网络协议和服务端口作为新的访问边界条目加入网络行为表格，并新增记录访问边界条目的行为首次发生时间；S126：在网络行为表格中新增记录访问边界条目的行为最近发生时间。优选的，所述步骤S3具体包括：S31：判断所述网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中，如果存在于网络行为表格中，则进行步骤S32，如果不存在于网络行为表格中，则进行步骤S33；S32：认定网络报文所属网络行为主体无异常；S33：认定网络报文所属网络行为主体有异常；S34：查询异常网络行为表格中是否存在与所述网络报文的源IP、目的IP、网络协议和服务端口相同且行为状态为进行中的记录项，如果不存在相同的记录项，则进行步骤S35，如果存在相同的记录项，则进行步骤S36，其中，所述异常网络行为表格的表格结构包括记录项、记录项的开始时间、记录项的结束时间和记录项的行为状态；S35：将网络报文中的源IP、目的IP、网络协议和服务端口作为新的记录项加入异常网络行为表格，并更新开始时间，同时将行为状态设置为进行中；S36：分析所述网络报文所属的网络行为是否结束，如果结束，则进行步骤S37；S37：将所述异常网络行为表格中对应的记录项的行为状态设置为已结束，并更新记录项的结束时间。为解决上述技术问题，本专利技术采用的另一个技术方案是：提供一种异常访问行为检测系统，应用于工业控制网络环境，所述异常访问行为检测系统包括访问边界学习模块、访问监听模块和访问检测模块；所述访问边界学习模块用于自动生成每个网络行为主体的访问边界并将访问边界加入网络行为表格，其中，所述网络行为主体由网络设备的IP构成，每个网络行为主体的访问边界由一个或多个访问边界条目进行描述，所述访问边界条目包括允许访问的行为主体IP、允许访问的行为客体IP、允许使用的网络协议、允许使用的服务端口；所述访问监听模块用于监听工业控制网络环境中的网络报文，分析所述网络报文得到网络报文的源IP、目的IP、网络协议和服务端口；所述访问检测模块用于判断所述网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中；若存在于网络行为表格中，则认定网络报文所属网络行为主体无异常；反之，则认定网络报文所属网络行为主体有异常。优选的，所述访问边界学习模块包括报文抓取单元和学习单元；所述报文抓取单元用于抓取工业控制网络环境中的网络报文，提取网络报文中的源IP、目的IP作为网络行为主体；所述学习单元用于设置学习期，分析每个网络行为主体在学习期内出现的关联IP报文协议及内容，并自动生成每个网络行为主体的访问边界，将访问边界加入网络行为表格，所述网络行为表格中每行记录一个访问边界条目，以及在学习期结束时，不再生成新的访问边界并结束学习。优选的，所述学习单元具体包括时间设置子单元、计时子单元、判断子单元和集合生成单元；所述时间设置子单元用于设置学习期，所述学习期包括开始时间和学习时长；所述计时子单元用于判断当前时间是否早于开始时间，以及在当前时间早于开始时间时，直接结束，以及在当前时间不早于开始时间时，判断当前累计学习时间是否大于学习时长；所述判断子单元用于在计时子单元判断为当前累计学习时间不大于学习时长时，判断网络报文中的源IP、目的IP、网络协议和服务端口是否在网络行为表格中存在相同的访问边界条目；所述集合生成单元用于在判断子单元判断为不存在相同的访问边界条目时，将网络报文中的源IP、目的IP、网络协议和服务端口作为新的访问边界条目加入网络行为表格，并新增记录访问边界条目的行为首次发生时间，以及在判断子单元判断为存在相同的访问边界条目时，在网络行为表格中新增记录访问边界条目的行为最近发生时间。优选的，所述访问检测模块包括比对单元、判定单元、异常查询单元、访问分析单元和表格构建单元本文档来自技高网...

【技术保护点】
1.一种异常访问行为检测方法，应用于工业控制网络环境，其特征在于，包括以下步骤：/nS1：自动生成每个网络行为主体的访问边界并将访问边界加入网络行为表格，其中，所述网络行为主体由网络设备的IP构成，每个网络行为主体的访问边界由一个或多个访问边界条目进行描述，所述访问边界条目包括允许访问的行为主体IP、允许访问的行为客体IP、允许使用的网络协议、允许使用的服务端口；/nS2：监听工业控制网络环境中的网络报文，分析所述网络报文得到网络报文的源IP、目的IP、网络协议和服务端口；/nS3：判断所述网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中；若存在于网络行为表格中，则认定网络报文所属网络行为主体无异常；反之，则认定网络报文所属网络行为主体有异常。/n

【技术特征摘要】
1.一种异常访问行为检测方法，应用于工业控制网络环境，其特征在于，包括以下步骤：
S1：自动生成每个网络行为主体的访问边界并将访问边界加入网络行为表格，其中，所述网络行为主体由网络设备的IP构成，每个网络行为主体的访问边界由一个或多个访问边界条目进行描述，所述访问边界条目包括允许访问的行为主体IP、允许访问的行为客体IP、允许使用的网络协议、允许使用的服务端口；
S2：监听工业控制网络环境中的网络报文，分析所述网络报文得到网络报文的源IP、目的IP、网络协议和服务端口；
S3：判断所述网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中；若存在于网络行为表格中，则认定网络报文所属网络行为主体无异常；反之，则认定网络报文所属网络行为主体有异常。


2.根据权利要求1所述的异常访问行为检测方法，其特征在于，步骤S1的具体步骤包括：
S11：抓取工业控制网络环境中的网络报文，提取网络报文中的源IP、目的IP作为网络行为主体；
S12：设置学习期，分析每个网络行为主体在学习期内出现的关联IP报文协议及内容，并自动生成每个网络行为主体的访问边界，将访问边界加入网络行为表格，所述网络行为表格中每行记录一个访问边界条目；
S13：当学习期结束时，不再生成新的访问边界并结束学习。


3.根据权利要求2所述的异常访问行为检测方法，其特征在于，所述步骤S12的具体步骤包括：
S121：设置学习期，所述学习期包括开始时间和学习时长；
S122：判断当前时间是否早于开始时间，若当前时间早于开始时间时，则直接结束；若当前时间不早于开始时间，则进行步骤S123；
S123：判断当前累计学习时间是否大于学习时长，如果不大于学习时长，则进行步骤S124，如果大于学习时长，则进行步骤S13；
S124：判断网络报文中的源IP、目的IP、网络协议和服务端口是否在网络行为表格中存在相同的访问边界条目，如果不存在相同的访问边界条目，则进行步骤S125，如果存在相同的访问边界条目，则进行步骤S126；
S125：将网络报文中的源IP、目的IP、网络协议和服务端口作为新的访问边界条目加入网络行为表格，并新增记录访问边界条目的行为首次发生时间；
S126：在网络行为表格中新增记录访问边界条目的行为最近发生时间。


4.根据权利要求1所述的异常访问行为检测方法，其特征在于，所述步骤S3具体包括：
S31：判断所述网络报文的源IP、目的IP、网络协议和服务端口是否存在于网络行为表格中，如果存在于网络行为表格中，则进行步骤S32，如果不存在于网络行为表格中，则进行步骤S33；
S32：认定网络报文所属网络行为主体无异常；
S33：认定网络报文所属网络行为主体有异常；
S34：查询异常网络行为表格中是否存在与所述网络报文的源IP、目的IP、网络协议和服务端口相同且行为状态为进行中的记录项，如果不存在相同的记录项，则进行步骤S35，如果存在相同的记录项，则进行步骤S36，其中，所述异常网络行为表格的表格结构包括记录项、记录项的开始时间、记录项的结束时间和记录项的行为状态；
S35：将网络报文中的源IP、目的IP、网络协议和服务端口作为新的记录项加入异常网络行为表格，并更新开始时间，同时将行为状态设置为进行中；
S36：分析所述网络报文所属的网络行为是否结束，如果结束，则进行步骤S37；
S37：将所述异常网络行为表格中对应的记录项的行为状态设置为已结束，并更新记录项的结束时间。


5.一种异常访问行为检测系统，应用于工业控制网络环境，其特征在于，所述异常访问行...

【专利技术属性】
技术研发人员：李明明，龚海澎，王庭宇，
申请(专利权)人：四川英得赛克科技有限公司，
类型：发明
国别省市：四川;51