用于工控的违规外联检测方法、装置、设备及存储介质制造方法及图纸

本发明专利技术公开一种用于工控的违规外联检测方法、装置、设备及存储介质。违规外联检测方法，包括：获取已接收的数据报文的操作信息，操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种；将操作信息与用于违规外联检测的合规基线库进行匹配，所述合规基线库至少包括IP地址合规基线、域名合规基线、协议合规基线以及应用合规基线中的任一种；当所述操作信息包括的任一种或多种信息与所述合规基线库中的对应合规基线不匹配时，确定发生违规外联操作。本发明专利技术无需占用终端设备资源以及任何网络带宽资源，部署更加简单，且合规基线库的配置更具个性化，可操作性强，保证了违规检测的范围更全面、可控性更高。

Illegal external connection detection method, device, equipment and storage medium for industrial control

【技术实现步骤摘要】
用于工控的违规外联检测方法、装置、设备及存储介质
本专利技术涉及网络安全领域，尤其涉及一种用于工控的违规外联检测方法、装置、设备及存储介质。
技术介绍
随着我国政府上网工程的不断开展，计算机及网络泄密案件正逐年增加，信息安全现状非常严峻。为了提高内网的安全性，禁止内部网络与互联网连接，采取物理隔离或逻辑隔离的方式进行控制，从而减小来自互联网的安全威胁。但是，常常会有缺乏安全意识的员工在不断开与内部网络连接的情况下，将终端接入互联网，产生非法外联。信息安全等级保护2.0对边界防护提出了明确的要求，即应能够对应能够对非授权设备私自联到内部网络的行为进行检查或限制，应能够对内部用户非授权联到外部网络的行为进行检查或限制。在工控领域，由于行业自身的封闭性、特殊性，边界安全防护显得尤为重要，一旦出现非法外联行为，可能就会对工业生产造成巨大经济损失。目前，在工控领域，传统的非法外联检测系统一般采用C/S架构或者双机探测。其中，在C/S架构下即给每台工控机安装主机卫士客户端，占用客户端资源，且此方式部署实施非常困难，同时需要考虑兼容性等一系列问题。双本文档来自技高网...

【技术保护点】
1.一种违规外联检测方法，适用于工控领域，其特征在于，包括：/n获取已接收的数据报文的操作信息，所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种；/n将所述操作信息与用于违规外联检测的合规基线库进行匹配，所述合规基线库至少包括IP地址合规基线、域名合规基线、协议合规基线以及应用合规基线中的任一种；/n当所述操作信息包括的任一种或多种信息与所述合规基线库中的对应合规基线不匹配时，确定发生违规外联操作。/n

【技术特征摘要】
1.一种违规外联检测方法，适用于工控领域，其特征在于，包括：
获取已接收的数据报文的操作信息，所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种；
将所述操作信息与用于违规外联检测的合规基线库进行匹配，所述合规基线库至少包括IP地址合规基线、域名合规基线、协议合规基线以及应用合规基线中的任一种；
当所述操作信息包括的任一种或多种信息与所述合规基线库中的对应合规基线不匹配时，确定发生违规外联操作。


2.根据权利要求1所述的方法，其特征在于，所述方法，还包括：
确定预先配置的合规基线库对应的时间范围操作信息；
在所述时间范围内，每当接收到一条数据报文时，获取所述数据报文的操作信息；
根据所述操作信息生成一条或多条合规基线；
使用所述时间范围内生成的所有合规基线，构建或更新合规基线库。


3.根据权利要求2所述的方法，其特征在于，所述根据所述操作信息生成一条或多条合规基线，包括：
当所述操作信息中包括IP地址信息时，由所述IP地址信息生成IP地址合规基线；
当所述操作信息中包括域名信息时，由所述域名信息生成域名合规基线；
当所述操作信息中包括应用层协议信息时，由所述应用层协议信息生成协议合规基线；
当所述操作信息中包括应用类型信息时，由所述应用类型信息生成应用合规基线。


4.根据权利要求1所述的方法，其特征在于，所述将所述操作信息与用于违规外联检测的合规基线库进行匹配，包括：
所述操作信息中包括IP地址信息时，从所述合规基线库中的IP地址合规基线中查询所述IP地址信息，若查询到所述IP地址信息，确定所述操作信息中的IP地址信息与所述合规基线库中的IP地址合规基线相匹配；
所述操作信息中包括域名信息时，从所述合规基线库中的域名合规基线中查询所述域名信息，若查询到所述域名信息，确定所述操作信息中的域名信息与所述合规基线库中的域名合规基线相匹配；
所述操作信息中包括应用层协议信息时，从所述合规基线库中的协议合规基线中查询所述应用层协议信息，若查询到所述应用层协议信息，确定所述操作信息中的应用层协议信息与所述合规基线库中的协议基线相匹配；
所述操作信息中包括应用类型信息时，从所述合规基线库中的应用合规基线中查询所述应用类型信息，若查询到所述应用类型信息，确定所述操作信息中的应用类型信息与所述合规基线库中的应用合规基线相匹配。


5.一种用于违规外联检测的合规基线库的生成方法，其特征在于，包括：
确定预先配置的合规基线库对应的时间范围；
在所述时间范围内，每当接收到一条数据报文时，获取所述数据报文的操作信息，所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种；
根据所述操作信息生成一条或多条合规基线；
使用所述时间范围内生成的所有合规基线，构建或更新合规基线库。


6.根据权利要求5所述的方法，其特征在于，
当所述操作信息中包括IP地址信息时，由所述IP地址信息生成一条IP地址合规基线；
当所述操作信息中包括域名信息时，由所述域名信息生成一条域名合规基线；
当所述操作信息中包括应用层协议信息时，由所述应用层协议信息生成一条协议合规基线；
当所述操作信息中包括应用类型信息时，由所述应用类型信息生成一条应用合规基线。


7.根据权利要求6所述的方法，其特征在于，所述方法还包括：
根据用户操作，更新所述合规基线库对应的时间范围。


8.一种违规...

【专利技术属性】
技术研发人员：胡光俊，邓如林，李海威，陈燕斌，蔡忠杰，陆立业，刘一兵，
申请(专利权)人：北京华赛在线科技有限公司，
类型：发明
国别省市：北京;11