智能制造系统异常流量检测方法及检测装置制造方法及图纸

本发明专利技术提出了一种智能制造系统异常流量检测方法及检测装置，检测方法，包括：预先采集智能制造系统中待检测目标的流量数据；对采集的流量数据进行深度解析以获取数据特征信息，并基于数据特征信息生成协议指纹数据；对采集的流量数据进行流量分析以获取流量特征，并基于流量特征生成流量基准阈值；基于协议指纹数据和流量基准阈值，对当前采集的待检测目标的流量数据进行匹配检测，以判定当前流量数据是否异常。本发明专利技术采用流量异常检测方法与协议异常检测方法相结合的方式，实现智能制造系统中入侵异常流量检测，检测方法高效、可靠，提高智能制造系统的安全性。

【技术实现步骤摘要】
智能制造系统异常流量检测方法及检测装置
本专利技术涉及入侵检测
，尤其涉及一种智能制造系统异常流量检测方法及检测装置。
技术介绍
目前“智能制造”已经成为席卷全球的趋势，成为全球制造业的主要发展方向和战略制高点。智能制造将主流新兴技术的融合达到前所未有的程度，新兴技术的应用也使制造业迸发出前所未有的活力。主要表现为新的工业应用模式下，智能制造系统由原来封闭式的生产环境逐步向开放式环境发展，并且大量采用标准化软硬件模块，基于以太网构建现场总线通信，所有设备互联互通等。考虑到工业控制系统自身的结构特点、功能特性、应用环境，以及在信息安全方面的先天缺陷，智能制造系统从“内部隔离”状态走向“前台开放”状态时面临着严峻挑战。智能制造在带来更灵活的生产、更高效的运转和更强的竞争力的同时，也带来巨大的安全风险。由于智能制造系统网络通信对于可靠性、延时等的特殊要求，智能制造系统中的现场总线多采用明文传输，而且很多都是标准公开的协议规范，这样使得暴露于网络中的智能制造设备或系统极易成为被攻击对象，进而通过协议欺骗、指令篡改、恶意监听等技术对智能制造系统及网络进行攻击。能否及时发现网络入侵者以及非法恶意报文，从而有效地检测出网络中的异常流量，成为智能制造行业应用及推广共同面临的一个重要问题。
技术实现思路
本专利技术要解决的技术问题是如何对智能制造系统的异常流量进行检测，本专利技术提出一种智能制造系统异常流量检测方法及检测装置。根据本专利技术实施例的智能制造系统异常流量检测方法，包括：预先采集智能制造系统中待检测目标的流量数据；对采集的所述流量数据进行深度解析以获取数据特征信息，并基于所述数据特征信息生成协议指纹数据；对采集的所述流量数据进行流量分析以获取流量特征，并基于所述流量特征生成流量基准阈值；基于所述协议指纹数据和所述流量基准阈值，对当前采集的所述待检测目标的流量数据进行匹配检测，以判定当前所述流量数据是否异常。根据本专利技术实施例的智能制造系统异常流量的检测方法，采用流量异常检测方法与协议异常检测方法相结合的方式，实现智能制造系统异常流量检测。首先，采集智能制造现场总线流量数据，通过对流量数据进行深度解析和流量分析获取协议指纹数据和流量基准阈值，然后通过数据匹配算法发现流量数据包异常，实现智能制造现场总线流量实时监测和入侵检测，提高智能制造系统的安全性。根据本专利技术的一些实施例，所述方法还包括：当生成的所述协议指纹数据为多个时，创建存储多个所述协议指纹数据的协议指纹库；当生成的所述流量基准阈值为多个时，创建存储多个所述流量基准阈值的流量基准阈值库。在本专利技术的一些实施例中，基于所述协议指纹数据和所述流量基准阈值，对当前采集的所述待检测目标的流量数据进行匹配检测，以判定当前所述流量数据是否异常，包括：基于所述协议指纹数据和所述流量基准阈值生成异常检测字符串；对当前采集的所述待检测目标的流量数据进行解析；将解析后的所述流量数据与所述异常检测字符串进行匹配；根据匹配结果，判定当前所述流量数据是否异常。根据本专利技术的一些实施例，采用Boyer-Moore算法对当前采集的所述待检测目标的流量数据进行匹配检测。在本专利技术的一些实施例中，所述方法还包括：当判定当前所述流量数据异常时，进行警报提示。根据本专利技术实施例的智能制造系统异常流量的检测装置，包括：数据采集模块，用于预先采集智能制造系统中待检测目标的流量数据；指纹数据生成模块，用于对采集的所述流量数据进行深度解析以获取数据特征信息，并基于所述数据特征信息生成协议指纹数据；基准阈值生成模块，用于对采集的所述流量数据进行流量分析以获取流量特征，并基于所述流量特征生成流量基准阈值；判定模块，用于基于所述协议指纹数据和所述流量基准阈值，对当前采集的所述待检测目标的流量数据进行匹配检测，以判定当前所述流量数据是否异常。根据本专利技术实施例的智能制造系统异常流量的检测装置，采用流量异常检测方法与协议异常检测方法相结合的方式，实现智能制造系统异常流量检测。首先，通过数据采集模块采集智能制造现场总线流量数据，指纹数据生成模块通过对流量数据进行深度解析获取协议指纹数据，基准阈值生成模块通过对流量数据进行流量分析获取流量基准阈值，然后由判定模块通过数据匹配算法发现流量数据包异常，实现智能制造现场总线流量实时监测和入侵检测，提高智能制造系统的安全性。根据本专利技术的一些实施例，所述检测装置还包括：指纹库创建模块，用于当生成的所述协议指纹数据为多个时，创建存储多个所述协议指纹数据的协议指纹库；基准阈值库创建模块，用于当生成的所述流量基准阈值为多个时，创建存储多个所述流量基准阈值的流量基准阈值库。在本专利技术的一些实施例中，所述检测装置还包括：异常检测字符串生成模块，用于基于所述协议指纹数据和所述流量基准阈值生成异常检测字符串；所述判定模块具体用于，对采集解析后的所述流量数据与所述异常检测字符串进行匹配，并根据匹配结果，判定当前所述流量数据是否异常。根据本专利技术的一些实施例，所述判定模块采用Boyer-Moore算法对当前采集的所述待检测目标的流量数据进行匹配检测。在本专利技术的一些实施例中，所述装置还包括：警示模块，用于当判定当前所述流量数据异常时，进行警报提示。附图说明图1为根据本专利技术实施例的智能制造系统异常流量的检测方法流程图；图2为根据本专利技术实施例的智能制造系统异常流量的检测装置组成示意图；图3为根据本专利技术实施例的协议数据包解析流程图示意图。检测装置100，数据采集模块10，指纹数据生成模块20，指纹库创建模块200，基准阈值生成模块30，基准阈值库创建模块300，判定模块40，警示模块50，异常检测字符串生成模块60。具体实施方式为更进一步阐述本专利技术为达成预定目的所采取的技术手段及功效，以下结合附图及较佳实施例，对本专利技术进行详细说明如后。本专利技术中说明书中对方法流程的描述及本专利技术说明书附图中流程图的步骤并非必须按步骤标号严格执行，方法步骤是可以改变执行顺序或并行执行的。而且，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。如图1所示，根据本专利技术实施例的智能制造系统异常流量的检测方法，包括：S110，预先采集智能制造系统待检测目标的流量数据；例如，可以对待检测目标的工业控制流量数据进行采集。基于智能制造行业现场总线环境，可以将数据采集设备通过并联的方式接入智能制造行业现场总线，进行工业控制网络流量的无扰采集。S120，对采集的流量数据进行深度解析以获取数据特征信息，并基于数据特征信息生成协议指纹数据；例如，可以对上述采集的工业控制流量数据进行实时处理，选择有效的数据包进行工业控制协议深度解析。根据OSI七层网络模型逐层进行解析，提取数据包载荷内容，按照层本文档来自技高网...

【技术保护点】
1.一种智能制造系统异常流量检测方法，其特征在于，包括：/n预先采集智能制造系统中待检测目标的流量数据；/n对采集的所述流量数据进行深度解析以获取数据特征信息，并基于所述数据特征信息生成协议指纹数据；/n对采集的所述流量数据进行流量分析以获取流量特征，并基于所述流量特征生成流量基准阈值；/n基于所述协议指纹数据和所述流量基准阈值，对当前采集的所述待检测目标的流量数据进行匹配检测，以判定当前所述流量数据是否异常。/n

【技术特征摘要】
1.一种智能制造系统异常流量检测方法，其特征在于，包括：
预先采集智能制造系统中待检测目标的流量数据；
对采集的所述流量数据进行深度解析以获取数据特征信息，并基于所述数据特征信息生成协议指纹数据；
对采集的所述流量数据进行流量分析以获取流量特征，并基于所述流量特征生成流量基准阈值；
基于所述协议指纹数据和所述流量基准阈值，对当前采集的所述待检测目标的流量数据进行匹配检测，以判定当前所述流量数据是否异常。


2.根据权利要求1所述的智能制造系统异常流量检测方法，其特征在于，所述方法还包括：
当生成的所述协议指纹数据为多个时，创建存储多个所述协议指纹数据的协议指纹库；
当生成的所述流量基准阈值为多个时，创建存储多个所述流量基准阈值的流量基准阈值库。


3.根据权利要求1所述的智能制造系统异常流量检测方法，其特征在于，基于所述协议指纹数据和所述流量基准阈值，对当前采集的所述待检测目标的流量数据进行匹配检测，以判定当前所述流量数据是否异常，包括：
基于所述协议指纹数据和所述流量基准阈值生成异常检测字符串；
对当前采集的所述待检测目标的流量数据进行解析；
将解析后的所述流量数据与所述异常检测字符串进行匹配；
根据匹配结果，判定当前所述流量数据是否异常。


4.根据权利要求1所述的智能制造系统异常流量检测方法，其特征在于，
采用Boyer-Moore算法对当前采集的所述待检测目标的流量数据进行匹配检测。


5.根据权利要求1-4中任一项所述的智能制造系统异常流量检测方法，其特征在于，所述方法还包括：
当判定当前所述流量数据异常时，进行警报提示。


6.一...

【专利技术属性】
技术研发人员：杨佳宁，郭娴，杨立宝，陈柯宇，
申请(专利权)人：国家工业信息安全发展研究中心，
类型：发明
国别省市：北京;11