一种工控流量分析方法及装置制造方法及图纸

本发明专利技术提供一种工控流量分析方法及装置，包括，步骤S1，数据采集模块通过预先设置的镜像端口采集网络中的数据报文，获取网络中实时的会话数据；步骤S2，预处理模块对实时的所述会话数据进行会话还原，获得会话还原数据；从所述会话还原数据中抽取结构化的元数据信息，并将所述元数据信息输出给异常判断模块和存储模块；步骤S3，异常判断模块获取所述元数据信息，通过所述结构化的元数据信息与预设的阈值进行比较，判断网络是否存在异常行为，生成异常判断结果；所述异常判断结果包括异常或正常。本发明专利技术能够连续性的采集和分析工控网络的数据，并对数据进行全面准确的分析。

【技术实现步骤摘要】
一种工控流量分析方法及装置
本专利技术涉及互联网
，特别是涉及一种工控流量分析方法及装置。
技术介绍
随着电力行业两化融合工作的不断深入，越来越多的业务系统因自身管理和数据交互要求，将办公网和工控生产网上下贯通，传统存在于配电、输电环节的工控网及信息系统已不再封闭和孤立，工控网已逐步融入内部办公网，甚至是物理连接到外部广域网网络，成为电力行业网络重要的组成部分。与此同时两化融合也带来了一些问题，主要表现在以下几个方面：一、生产网、办公网和互联网已实现互联互通，工控网及系统已直接面对互联网带来的安全威胁；二、目前工控网核心业务系统主要集中在工控网层(涉及发电、输电等系统)，具有高度信息化、多系统交互的特点，且系统作业无法人工替代，一旦发生安全事件，对生产的影响程度显而易见；三、目前对于工控网层来说，缺乏针对工业生产网络统一有效的技术防护措施，工控安全防御保障水平待提升，属于网络信息安全防护的盲区和短板，一旦发生工控网络安全事件，可能会影响工控网络及信息系统的安全稳定运行。传统的工控网安全技术，例如工控网防火墙，一般会串联接入本文档来自技高网...

【技术保护点】
1.一种工控流量分析方法，其特征在于，包括以下步骤：/n步骤S1，数据采集模块通过预先设置的镜像端口采集网络中的数据报文，获取网络中实时的会话数据；/n步骤S2，预处理模块对实时的所述会话数据进行会话还原，获得会话还原数据；从所述会话还原数据中抽取结构化的元数据信息，并将所述元数据信息输出给异常判断模块和存储模块；/n步骤S3，异常判断模块获取所述元数据信息，通过所述结构化的元数据信息与预设的阈值进行比较，判断网络是否存在异常行为，生成异常判断结果；所述异常判断结果包括异常或正常。/n

【技术特征摘要】
1.一种工控流量分析方法，其特征在于，包括以下步骤：
步骤S1，数据采集模块通过预先设置的镜像端口采集网络中的数据报文，获取网络中实时的会话数据；
步骤S2，预处理模块对实时的所述会话数据进行会话还原，获得会话还原数据；从所述会话还原数据中抽取结构化的元数据信息，并将所述元数据信息输出给异常判断模块和存储模块；
步骤S3，异常判断模块获取所述元数据信息，通过所述结构化的元数据信息与预设的阈值进行比较，判断网络是否存在异常行为，生成异常判断结果；所述异常判断结果包括异常或正常。


2.如权利要求1所述的方法，其特征在于，所述步骤S1包括：
所述数据采集模块通过在工控网络核心或汇聚交换机的镜像端口设置数据采集点，捕获数据报文，获取网络中数据流会话信息，所述数据流会话信息包括物理端点会话、IP主机会话、TCP会话和UDP会话信息、应用和协议会话信息；以及识别所述数据流会话信息内包含的网络协议类型，根据网络协议进行解析格式化，获得实时的会话数据，将实时的会话数据发送到预处理模块。


3.如权利要求2所述的方法，其特征在于，所述步骤S2包括：
所述预处理模块根据预设规则对接收的所述会话数据进行除噪，将除噪后的会话数据根据数据标识位对会话进行还原重组，得到会话还原数据，并从所述会话还原数据中抽取结构化的元数据信息。


4.如权利要求3所述的方法，其特征在于，所述步骤S2包括：
所述存储模块接收预数据预处理模块输出的元数据信息；将所述元数据信息分类为网络会话数据、链路流量参数数据以及元数据的全索引数据进行文件式存储。


5.如权利要求4所述的方法，其特征在于，所述步骤S3包括：
所述异常判断模块对所述元数据信息内记录的任一主机的流量参数数据进行分析，根据预设的异常检测规则，检测主机的可疑的网络行为，生成网络行为检测结果；所述检测结果包括正常或异常；
所述异常判断模块对所述元数据信息内的网络应用流量和网络主机流量的通讯流量参数数据进行分析，根据预设的异常检测规则，检测网络通讯异常情况，生成网络通讯检测结果；所述网络通讯检测结果包括正常或异常；
所述异常判断模块对所述元数据信息内的链路的流量数据进行分析，根据预设的异常检测规则，检测异常的流量情况，生成流量检测结果；所述流量检测结果包括正常或异常；
所述异常判断模块对所述元数据信息内的特征数据进行分析，根据预设的异常检测规则，检测全流量采集过程中的特征行为或异常通讯情况，生成特征数据检测结果；所述特征数据检测结果包括正常或异常；
当网络行为检测结果、网络通讯检测结果、流量检测结果及特征数据检测结果其中任一为异常时，则输出异常信号。


6.如权利要求5所述的方法，其特征在于，该方法还包括：所述数据传输模块接受所述预处理模块输出的所述元数据信息以及获取的异常判断结果，当异常判断结果为正常时，将所述元数据信息进行回传到智能终端；当异常判断结果为异常时，则将元数据信息输出...

【专利技术属性】
技术研发人员：康文倩，林子钊，杨小卫，李曼，车向北，欧阳宇宏，
申请(专利权)人：深圳供电局有限公司，
类型：发明
国别省市：广东;44