用于工控的违规外联检测方法、装置、设备及存储介质制造方法及图纸

本发明专利技术公开一种用于工控的违规外联检测方法、装置、设备及存储介质。违规外联检测方法，包括：获取已接收的数据报文的操作信息，操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种；将操作信息与用于违规外联检测的合规基线库进行匹配，所述合规基线库至少包括IP地址合规基线、域名合规基线、协议合规基线以及应用合规基线中的任一种；当所述操作信息包括的任一种或多种信息与所述合规基线库中的对应合规基线不匹配时，确定发生违规外联操作。本发明专利技术无需占用终端设备资源以及任何网络带宽资源，部署更加简单，且合规基线库的配置更具个性化，可操作性强，保证了违规检测的范围更全面、可控性更高。

Illegal external connection detection method, device, equipment and storage medium for industrial control

【技术实现步骤摘要】
用于工控的违规外联检测方法、装置、设备及存储介质
本专利技术涉及网络安全领域，尤其涉及一种用于工控的违规外联检测方法、装置、设备及存储介质。
技术介绍
随着我国政府上网工程的不断开展，计算机及网络泄密案件正逐年增加，信息安全现状非常严峻。为了提高内网的安全性，禁止内部网络与互联网连接，采取物理隔离或逻辑隔离的方式进行控制，从而减小来自互联网的安全威胁。但是，常常会有缺乏安全意识的员工在不断开与内部网络连接的情况下，将终端接入互联网，产生非法外联。信息安全等级保护2.0对边界防护提出了明确的要求，即应能够对应能够对非授权设备私自联到内部网络的行为进行检查或限制，应能够对内部用户非授权联到外部网络的行为进行检查或限制。在工控领域，由于行业自身的封闭性、特殊性，边界安全防护显得尤为重要，一旦出现非法外联行为，可能就会对工业生产造成巨大经济损失。目前，在工控领域，传统的非法外联检测系统一般采用C/S架构或者双机探测。其中，在C/S架构下即给每台工控机安装主机卫士客户端，占用客户端资源，且此方式部署实施非常困难，同时需要考虑兼容性等一系列问题。双机探测方式采用内网机周期性发送探测包，通过在外网机上是否能收到被检测终端的响应报文来判断外联，该方式受防火墙等安全产品限制较大，同时扫描周期太大容易漏报，太小又会占用较大的网络带宽。更严重的是，工控行业的机器一般比较老旧，网络设备比较脆弱，增加一个检测的设备到网络中，需要占用现有的网络资源。所以很多工控场景明确要求，不允许检测设备占用网络资源，不允许检测设备与被检测的工控终端有报文交互。
技术实现思路
本专利技术提供一种用于工控的违规外联检测方法、装置、设备及存储介质，用以解决上述技术问题，在不占用资源的前提下，检测违规外联行为。本专利技术提供的一种违规外联检测方法，适用于工控领域，包括：获取已接收的数据报文的操作信息，所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种；将所述操作信息与用于违规外联检测的合规基线库进行匹配，所述合规基线库至少包括IP地址合规基线、域名合规基线、协议合规基线以及应用合规基线中的任一种；当所述操作信息包括的任一种或多种信息与所述合规基线库中的对应合规基线不匹配时，确定发生违规外联操作。本专利技术还提供一种用于违规外联检测的合规基线库的生成方法，包括：确定预先配置的合规基线库对应的时间范围；在所述时间范围内，每当接收到一条数据报文时，获取所述数据报文的操作信息，所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种；根据所述操作信息生成一条或多条合规基线；使用所述时间范围内生成的所有合规基线，构建或更新合规基线库。本专利技术还提供一种违规外联检测装置，包括：获取模块，用于获取已接收的数据报文的操作信息，所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种；匹配模块，用于将所述操作信息与预先获取的合规基线库进行匹配，所述合规基线库至少包括IP地址合规基线、域名合规基线、协议合规基线以及应用合规基线中的任一种；检测模块，用于在所述操作信息包括的任一种或多种信息与所述合规基线库中的对应合规基线不匹配时，确定发生违规外联操作。本专利技术还提供一种用于违规外联检测的合规基线库的生成装置，包括：确定模块，用于确定预先配置的合规基线库对应的时间范围；获取模块，用于在所述时间范围内，每当接收到一条数据报文时，获取所述数据报文的操作信息，所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种；生成模块，用于根据所述操作信息生成一条或多条合规基线；合规基线库构建更新模块，用于使用所述时间范围内生成的所有合规基线，构建或更新合规基线库。本专利技术还提供一种违规外联检测设备，包括：处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序；其中，所述处理器运行所述计算机程序时实现上述的违规外联检测方法。本专利技术还提供一种用于违规外联检测的合规基线库的生成设备，包括：处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序；其中，所述处理器运行所述计算机程序时实现上述用于违规外联检测的合规基线库的生成。本专利技术还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序可被执行上述的违规外联检测方法，或用于违规外联检测的合规基线库的生成方法。本专利技术摒弃了工控行业中传统非法外联行为的检查模式，以预先构建的合规基线库为基础，进行流量分析从而实现违规外联检测。与工控行业中传统非法外联行为的检测模式相比，本专利技术进行的流量分析无需在终端设备或应用系统中部署任何程序，即无需占用终端设备资源以及任何网络带宽资源。且本专利技术的检测方案的部署更加简单，无需改变现有专用网的网络结构，不会对整体网络的现有环境造成任何影响。这样，对于用户而言，整个违规检测操作可以达到用户无感知的效果。另外，预先构建的合规基线库可以由用户自主配置，因此，合规基线库的配置更具个性化，可操作性强。在违规检测过程中，合规基线库还可以进行更新，从而保证违规检测的范围更全面、可控性更高。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种违规外联检测方法的流程图；图2为本专利技术实施例提供的一种用于违规外联检测的合规基线库的生成方法的流程图；图3(a)为本专利技术实施例提供的一种违规外联检测方法的详细流程图；图3(b)为图3(a)所示方法中构建合规基线库的详细流程图；图4为本专利技术实施例提供的一种违规外联检测装置的结构示意图；图5为本专利技术实施例提供的一种用于违规外联检测的合规基线库的生成装置的结构示意图；图6为本专利技术实施例提供的一种可执行违规外联检测方法或用于违规外联检测的合规基线库的生成方法的装置的结构示意图；具体实施方式为使本专利技术的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。为使本专利技术的技术方案更加清楚，以下结合附图对本专利技术的实施例进行详细说明。图1为本专利技术实施例提供的一种违规外联检测方法的流程图。如图1所示，本实施例的方法包括如下步骤：步骤S11，获取已接收的数据报文的操作信息，操作信息至少包括IP地址信息、域名信息、应用本文档来自技高网...

【技术保护点】
1.一种违规外联检测方法，适用于工控领域，其特征在于，包括：/n获取已接收的数据报文的操作信息，所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种；/n将所述操作信息与用于违规外联检测的合规基线库进行匹配，所述合规基线库至少包括IP地址合规基线、域名合规基线、协议合规基线以及应用合规基线中的任一种；/n当所述操作信息包括的任一种或多种信息与所述合规基线库中的对应合规基线不匹配时，确定发生违规外联操作。/n

【技术特征摘要】
1.一种违规外联检测方法，适用于工控领域，其特征在于，包括：
获取已接收的数据报文的操作信息，所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种；
将所述操作信息与用于违规外联检测的合规基线库进行匹配，所述合规基线库至少包括IP地址合规基线、域名合规基线、协议合规基线以及应用合规基线中的任一种；
当所述操作信息包括的任一种或多种信息与所述合规基线库中的对应合规基线不匹配时，确定发生违规外联操作。


2.根据权利要求1所述的方法，其特征在于，所述方法，还包括：
确定预先配置的合规基线库对应的时间范围操作信息；
在所述时间范围内，每当接收到一条数据报文时，获取所述数据报文的操作信息；
根据所述操作信息生成一条或多条合规基线；
使用所述时间范围内生成的所有合规基线，构建或更新合规基线库。


3.根据权利要求2所述的方法，其特征在于，所述根据所述操作信息生成一条或多条合规基线，包括：
当所述操作信息中包括IP地址信息时，由所述IP地址信息生成IP地址合规基线；
当所述操作信息中包括域名信息时，由所述域名信息生成域名合规基线；
当所述操作信息中包括应用层协议信息时，由所述应用层协议信息生成协议合规基线；
当所述操作信息中包括应用类型信息时，由所述应用类型信息生成应用合规基线。


4.根据权利要求1所述的方法，其特征在于，所述将所述操作信息与用于违规外联检测的合规基线库进行匹配，包括：
所述操作信息中包括IP地址信息时，从所述合规基线库中的IP地址合规基线中查询所述IP地址信息，若查询到所述IP地址信息，确定所述操作信息中的IP地址信息与所述合规基线库中的IP地址合规基线相匹配；
所述操作信息中包括域名信息时，从所述合规基线库中的域名合规基线中查询所述域名信息，若查询到所述域名信息，确定所述操作信息中的域名信息与所述合规基线库中的域名合规基线相匹配；
所述操作信息中包括应用层协议信息时，从所述合规基线库中的协议合规基线中查询所述应用层协议信息，若查询到所述应用层协议信息，确定所述操作信息中的应用层协议信息与所述合规基线库中的协议基线相匹配；
所述操作信息中包括应用类型信息时，从所述合规基线库中的应用合规基线中查询所述应用类型信息，若查询到所述应用类型信息，确定所述操作信息中的应用类型信息与所述合规基线库中的应用合规基线相匹配。


5.一种用于违规外联检测的合规基线库的生成方法，其特征在于，包括：
确定预先配置的合规基线库对应的时间范围；
在所述时间范围内，每当接收到一条数据报文时，获取所述数据报文的操作信息，所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种；
根据所述操作信息生成一条或多条合规基线；
使用所述时间范围内生成的所有合规基线，构建或更新合规基线库。


6.根据权利要求5所述的方法，其特征在于，
当所述操作信息中包括IP地址信息时，由所述IP地址信息生成一条IP地址合规基线；
当所述操作信息中包括域名信息时，由所述域名信息生成一条域名合规基线；
当所述操作信息中包括应用层协议信息时，由所述应用层协议信息生成一条协议合规基线；
当所述操作信息中包括应用类型信息时，由所述应用类型信息生成一条应用合规基线。


7.根据权利要求6所述的方法，其特征在于，所述方法还包括：
根据用户操作，更新所述合规基线库对应的时间范围。


8.一种违规...

【专利技术属性】
技术研发人员：胡光俊，邓如林，李海威，陈燕斌，蔡忠杰，陆立业，刘一兵，
申请(专利权)人：北京华赛在线科技有限公司，
类型：发明
国别省市：北京;11