【技术实现步骤摘要】
一种支持工控协议应用层过滤规则的流量采集装置
[0001]本专利技术属于工业控制系统的安全分析
,具体是一种支持工控协议应用层过滤规则的流量采集装置。
技术介绍
[0002]随着信息技术的发展,工业控制系统逐步走向开放,互联,通用。很多工业控制协议逐渐运行于工业以太网上,同时针对工业控制系统的攻击也更加普遍。近年来,随着越来越多的工业信息安全事件的出现,我国的工业基础设施正面临着前所未有的挑战。因此能够针对工控网络中的关键流量进行保存,以便于对安全事件进行详细回溯分析已经成为安全管理的重要一环。
[0003]现有的流量捕获装置是通过在交换机旁路监听服务器上部署tcpdump抓包程序来进行流量抓包,生成pcap文件以供事后的分析回溯。缺点是类似于tcpdump这种抓包工具只能基于工控协议的数据链路层、网络层、传输层进行方便的过滤规则设置,而无法针对工控协议应用层设置抓包过滤规则。
技术实现思路
[0004]本专利技术的目的之一在于提供一种支持工控协议应用层过滤规则的流量采集装置,主要用来支持能够方...
【技术保护点】
【技术特征摘要】
1.一种支持工控协议应用层过滤规则的流量采集装置,其特征在于,包括抓包过滤规则配置模块,记录管理人员配置的工控协议传统过滤规则以及应用层过滤规则的配置信息,并检查过滤规则的有效性并将过滤规则保存至数据库;报文抓取与解析模块,抓取报文,并对报文特征进行解析,供过滤规则匹配模块进行匹配;过滤规则匹配模块,将报文特征与过滤规则进行匹配,只有满足条件的报文才会记录到pcap文件中。2.根据权利要求1所述的支持工控协议应用层过滤规则的流量采集装置,其特征在于,应用层过滤规则采用旁路方式接入服务器所在工控网络中,对网络流量进行监听。3.根据权利要求1所述的支持工控协议应用层过滤规则的流量采集装置,其特征在于,应用层过滤规则在netfil...
【专利技术属性】
技术研发人员:王小东,杨小帅,韩飞,
申请(专利权)人:北京天地和兴科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。