一种用于工业网络入侵监测的系统技术方案

一种用于工业网络入侵监测的系统，涉及工业网络安全领域，包括监测模块、诱饵模块、入侵定位模块、模拟验证模块和反向进攻模块；监测模块和诱饵模块均与入侵定位模块连接；模拟验证模块连接反向进攻模块和入侵定位模块。本发明专利技术采用监测模块和诱饵模块配合，攻守结合，全方位对入侵行为进行监测，提前发觉、定位击载荷投递行为，通过分析、模拟入侵的方式，判定入侵行为影响，再做出反向进攻和保护决策；操作方法简单，实用性、针对性强，监测全面、超前，攻守结合，及时发现和处理入侵行为，有效保证工业网络的安全。业网络的安全。业网络的安全。

【技术实现步骤摘要】
一种用于工业网络入侵监测的系统


[0001]本专利技术涉及工业网络安全领域，尤其涉及一种用于工业网络入侵监测的系统。

技术介绍

[0002]工业互联网是实现智能制造的的核心，是互联网和新一代信息技术与全球工业系统全方位深度融合集成所形成的产业和应用生态，是工业智能化发展的关键综合信息基础设施。工业互联网也将引领第四次工业革命，互联网所有的商业模式最终都会在工业互联网中得到应用。随着工业互联网技术与大数据、云计算、人工智能、区块链、5G、边缘计算等新技术的融合，以及第三方协作服务的深度介入增加了信息泄露、数据窃取的风险。随着5G的协议全面互联网化，被外部攻击的可能性著增加，同时提升了应用5G的工业互联网相关场景的安全挑战，因此工业网络入侵监测系统开始普及。现有的于工业网络入侵监测的系统注重威胁发生时的监控，超前性不强，容易出现监测漏洞，影响监测的效果。

技术实现思路

[0003](一)专利技术目的
[0004]为解决
技术介绍
中存在的技术问题，本专利技术提出一种用于工业网络入侵监测的系统。本专利技术采用监测模块和诱饵模块配合，攻守结合，全方位对入侵行为进行监测，提前发觉、定位击载荷投递行为，通过分析、模拟入侵的方式，判定入侵行为影响，再做出反向进攻和保护决策；操作方法简单，实用性、针对性强，监测全面、超前，攻守结合，及时发现和处理入侵行为，有效保证工业网络的安全。
[0005](二)技术方案
[0006]为解决上述问题，本专利技术提供了一种用于工业网络入侵监测的系统，包括监测模块、诱饵模块、入侵定位模块、模拟验证模块和反向进攻模块；监测模块和诱饵模块均与入侵定位模块连接；模拟验证模块连接反向进攻模块和入侵定位模块；监测模块包括数据收集单元、数据处理单元和异常数据判定单元；诱饵模块包括诱饵制造单元、武器化单元一、伪装化单元一、诱饵投放单元和诱饵更新单元；入侵定位模块包括击载荷投递标记单元和反向追踪单元；模拟验证模块包括入侵复制单元、模拟实施单元和结果分析单元；反向进攻模块包括反击制造单元、武器化单元二、伪装化单元二、反击投放单元和反击更新单元。
[0007]优选的，将工业网络设置为内网、外网，通过实体网路卡将内网、外网连接，并在连接节点上设置安全验证模块，建立两个独立的虚拟环境。
[0008]优选的，模拟验证模块设置在内网，入侵复制单元获取攻击软件或黑客软件的入侵模拟数据集来进行测试，搜集整个攻击过程中的攻击行为、入侵指令或执行参数，进而复制与黑客攻击模式数据库，供模拟实施单元演练网路攻防技术，最后对模拟过程、结果进行分析，以确认该攻击是否能对目标系统产生有意义和可靠的影响。
[0009]优选的，采用多点触摸式归因方式对模拟入侵的影响进行分析，并算出加权值。
[0010]优选的，反向进攻模块根据模拟入侵的影响加权结果，做出反向进攻和保护决策，
并向后台发送相应等级的警报信号。
[0011]优选的，监测模块首先获取网络数据获，接着识别网络协议，并对协议数据包解析，验证解析结果与协议规定的匹配度，验证特征字段与协议规定的匹配度，最终对匹配度低于设定阈值的异常数据进行判定，甄别入侵行为。
[0012]优选的，数据处理单元对收集的数据集进行归一化、降维化处理，再获取处理后的数据特征集，具体步骤如下：将获取的数据样品点映射到低维空间中，其中映射条件如下：将其转化为其中最终得到MY＝λY。
[0013]优选的，采用PCA法减少数据收集单元中的噪声和冗余。
[0014]优选的，诱饵模块设置有高交互蜜罐系统，诱饵投放点设置为无害的文件、数据库、旗标和代码。
[0015]本专利技术又提出一种用于工业网络入侵监测的方法，步骤如下：
[0016]S1、获取网络数据获，识别网络协议，并对协议数据包解析，验证解析结果与协议规定的匹配度，验证特征字段与协议规定的匹配度，最终对匹配度低于设定阈值的异常数据进行判定，甄别入侵行为；
[0017]S2、高交互蜜罐系统启动，在各个网关连接点设置动态诱饵，诱捕入侵方对其攻击；
[0018]S3、发现击载荷投递行为后，迅速标记并反向追踪；
[0019]S4、获取攻击软件或黑客软件的入侵模拟数据集来进行测试，搜集整个攻击过程中的攻击行为、入侵指令或执行参数，进而复制与黑客攻击模式数据库，供模拟实施单元演练网路攻防技术，最后对模拟过程、结果进行分析，以确认该攻击是否能对目标系统产生有意义和可靠的影响；
[0020]S5、根据入侵影响加权结果，做出反向进攻和保护决策，并向后台发送相应等级的警报信号。
[0021]本专利技术的上述技术方案具有如下有益的技术效果：
[0022]本专利技术采用监测模块和诱饵模块配合，攻守结合，全方位对入侵行为进行监测，提前发觉、定位击载荷投递行为，通过分析、模拟入侵的方式，判定入侵行为影响，再做出反向进攻和保护决策；操作方法简单，实用性、针对性强，监测全面、超前，攻守结合，及时发现和处理入侵行为，有效保证工业网络的安全。
附图说明
[0023]图1为本专利技术提出的一种用于工业网络入侵监测的系统的框架示意图。
[0024]图2为本专利技术提出的一种用于工业网络入侵监测的方法流程图。
具体实施方式
[0025]为使本专利技术的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参
照附图，对本专利技术进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本专利技术的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本专利技术的概念。
[0026]实施例1
[0027]如图1所示，本专利技术提出的一种用于工业网络入侵监测的系统，包括监测模块、诱饵模块、入侵定位模块、模拟验证模块和反向进攻模块；监测模块和诱饵模块均与入侵定位模块连接；模拟验证模块连接反向进攻模块和入侵定位模块；监测模块包括数据收集单元、数据处理单元和异常数据判定单元；诱饵模块包括诱饵制造单元、武器化单元一、伪装化单元一、诱饵投放单元和诱饵更新单元；入侵定位模块包括击载荷投递标记单元和反向追踪单元；模拟验证模块包括入侵复制单元、模拟实施单元和结果分析单元；反向进攻模块包括反击制造单元、武器化单元二、伪装化单元二、反击投放单元和反击更新单元。
[0028]在一个可选的实施例中，将工业网络设置为内网、外网，通过实体网路卡将内网、外网连接，并在连接节点上设置安全验证模块，建立两个独立的虚拟环境。
[0029]在一个可选的实施例中，模拟验证模块设置在内网，入侵复制单元获取攻击软件或黑客软件的入侵模拟数据集来进行测试，搜集整个攻击过程中的攻击行为、入侵指令或执行参数，进而复制与黑客攻击模式数据库，供模拟实施单元演练网路攻防技术，最后对模拟过程、结果进行分析，以确认该攻击是否能对目标系统产生有意义和可靠的影响。
[0030]在一个可选的实施例中，采用多点触摸式归因方式对模拟入侵的影响进行分析，并算出加权值。
[0031]在一个可选的实本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于工业网络入侵监测的系统，其特征在于，包括监测模块、诱饵模块、入侵定位模块、模拟验证模块和反向进攻模块；监测模块和诱饵模块均与入侵定位模块连接；模拟验证模块连接反向进攻模块和入侵定位模块；监测模块包括数据收集单元、数据处理单元和异常数据判定单元；诱饵模块包括诱饵制造单元、武器化单元一、伪装化单元一、诱饵投放单元和诱饵更新单元；入侵定位模块包括击载荷投递标记单元和反向追踪单元；模拟验证模块包括入侵复制单元、模拟实施单元和结果分析单元；反向进攻模块包括反击制造单元、武器化单元二、伪装化单元二、反击投放单元和反击更新单元。2.根据权利要求1所述的一种用于工业网络入侵监测的系统，其特征在于，将工业网络设置为内网、外网，通过实体网路卡将内网、外网连接，并在连接节点上设置安全验证模块，建立两个独立的虚拟环境。3.根据权利要求2所述的一种用于工业网络入侵监测的系统，其特征在于，模拟验证模块设置在内网，入侵复制单元获取攻击软件或黑客软件的入侵模拟数据集来进行测试，搜集整个攻击过程中的攻击行为、入侵指令或执行参数，进而复制与黑客攻击模式数据库，供模拟实施单元演练网路攻防技术，最后对模拟过程、结果进行分析，以确认该攻击是否能对目标系统产生有意义和可靠的影响。4.根据权利要求3所述的一种用于工业网络入侵监测的系统，其特征在于，采用多点触摸式归因方式对模拟入侵的影响进行分析，并算出加权值。5.根据权利要求4所述的一种用于工业网络入侵监测的系统，其特征在于，反向进攻模块根据模拟入侵的影响加权结果，做出反向进攻和保护决策，并向后台发送相应等级的警报信号。6.根据权利要求1所述的一种用于工业网络入侵监测的系统，其特征在于，监测模块首先获取网络数据获，接着识别网络协议，并对协议数据包解析，验证解析结果与...

【专利技术属性】
技术研发人员：赵越峰，赵西玉，
申请(专利权)人：北京网藤科技有限公司，
类型：发明
国别省市：