一种面向工业互联网的异常流量监测方法和系统技术方案

本发明专利技术实施方式涉及工业互联网信息安全领域，公开了一种面向工业互联网的异常流量监测方法和系统，以对工业协议的深度解析为基础，建立基于白名单的可信架构及动态拓扑，对现对入侵行为进行特征分析，实现对网络结构风险和活动即时可见；并基于对工业控制协议(如Modbus/TCP、OPC、西门子S7、电力IEC104等)的深度解析，对指定保护目标采取相应的检测策略实现网络中已知威胁和和病毒实现入侵检测报警；同时，对网络通讯行为进行详实的审计记录，定期生成统计报表，并将合法数据流转化为安全策略规则，供管理员筛选和确认。为联网工业系统的安全运行保障提供一站式管理和监测。的安全运行保障提供一站式管理和监测。的安全运行保障提供一站式管理和监测。

【技术实现步骤摘要】
一种面向工业互联网的异常流量监测方法和系统


[0001]一种面向工业互联网的异常流量监测方法和系统主要使用在工业互联网信息安全领域，特别涉及一种网络流量监测方法和系统。

技术介绍

[0002]随着互联网、云计算、大数据等信息技术对工业生产活动的不断渗透，工业互联网也面临着越来越严峻的信息安全风险。根据美国工业控制系统网络安全应急响应小组(ICS
‑
CERT)的统计，近2年ICS
‑
CERT共响应了540起工业控制系统信息安全事件，能源、装备制备、市政等关键信息基础设施领域成为遭受黑客攻击的重灾区。
[0003]由DCS、PCS、PLC和SCADA等控制系统构成的控制网络，在过去几十年的发展中呈现出整体开放的趋势。随着信息技术在工业企业中的应用，工业互联网中大量采用通用TCP/IP和OPC协议技术，ICS网络和企业管理网的联系越来越紧密。而传统工业控制系统采用专用的硬件、软件和通信协议，设计上基本没有考虑互联互通的通信安全问题。因此在工控系统开放的同时，减弱了控制系统与外界的隔离，随之而来的通信协议漏洞本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向工业互联网的异常流量监测方法，其特征在于，包括：数据包捕捉：通过核心工业交换机的镜像口，以旁路方式采用驱动层数据拷贝技术采集工业控制网的数据；预处理：对数据包捕捉步骤进行IP包碎片重组处理，重组完成后，按照MAC，IP，TCP进行分类，将分类后的数据传输给数据解析模块；协议解析：将预处理后的数据首先进行二层包解析，并按照预先配置的安全mac过滤预警策略进行匹配报警，然后对TCP/IP包进行解析，并按照IP安全策略进行过滤报警，最后根据端口和包特征确定工业协议类型，开始进行工业协议的深度解析；工控协议深度解析包括对功能码、寄存器地址、IO点位的值的精准解析，工业协议包括：Modbus、OPC、IEC104、DNP3、IEC61850
‑
GOOSE、Fins；数据分析：对解析后的工业数据进行深度挖掘和关联分析，并针对构成工业系统的工控设备、网络设备、工控应用、服务及工控设备的通信行为，通信内容、流量进行综合性的安全分析和评估；安全预警及可视化呈现：基于工业互联网数据的深度关联分析，对安全威胁进行识别、定位、预测和跟踪，形成可视化的工控资产拓扑图、安全威胁报警表，直观地展现工业互联网安全状况。2.根据权利要求1所述的一种面向工业互联网的异常流量监测方法，其特征在于，所述安全预警及可视化呈现包...

【专利技术属性】
技术研发人员：朱秀平，
申请(专利权)人：上海帝焚思信息科技有限公司，
类型：发明
国别省市：