本发明专利技术提供一种工控主机流量带宽异常检测装置,涉及工业控制系统的安全分析技术领域,通过配置站对工控主机流量带宽异常检测装置进行检测规则配置,工控主机流量带宽异常检测装置加载该规则,工控主机流量带宽异常检测装置基于工控主机流量带宽异常检测规则对工控主机流量带宽进行检测,发现工控主机流量带宽异常事件时产生告警事件,解决了现有技术在各工控主机中各自配置流量带宽异常检测规则而带来的配置分散、效率低下且占用主机系统资源的问题。源的问题。源的问题。
An abnormal detection device for traffic bandwidth of industrial control host
【技术实现步骤摘要】
一种工控主机流量带宽异常检测装置
[0001]本专利技术属于工业控制系统的安全分析
,具体是一种支持工控协议应用层过滤规则的流量采集装置。
技术介绍
[0002]随着工业化和信息化的深度融合的快速发展,工控系统面临的威胁在逐步增多。由于工控网络中设备的重要性,更需要对对工控网络中的主机流量进行实时监控,能有效检测出主机流量异常情况,并希望能通过报警信息告知工控网络安全管理员,较早的察觉网络攻击行为或主机异常,进而采取相应的措施解决网络主机出现的异常,避免进一步的非法入侵攻击。
[0003]如图1所示,在现有工控网络中,安全管理人员会在工控主机上安装主机防护系统,在其上部署流量带宽异常检测规则,由主机安全防护系统对流量带宽进行异常检测,并且将告警信息上报给集中管理平台。该方案需要分别在每台工控主机上部署主机防护系统并配置流量带宽异常检测规则,并需要占用主机资源进行流量带宽异常检测。该方法存在配置分散、效率低下且占用主机系统资源的问题。
技术实现思路
[0004]本专利技术的目的在于提供一种工控主机流量带宽异常检测装置,解决现有工控网络中中配置分散、效率低下且占用主机系统资源的问题。
[0005]本专利技术提供一种工控主机流量带宽异常检测装置,包括
[0006]工控主机流量带宽异常检测规则配置模块,记录管理人员配置的工控主机流量带宽异常检测规则的配置信息,并将检测规则保存至数据库;
[0007]工控主机流量带宽异常检测模块,读取并加载工控主机流量带宽异常检测规则,并对交换机镜像流量进行工控主机流量带宽异常检测。
[0008]数据库模块,记录工控主机流量带宽异常检测规则和告警。
[0009]优选地,如检测出异常则产生工控主机流量带宽异常告警。
[0010]优选地,还包括配置站,对工控主机流量带宽异常检测装置进行检测规则配置。
[0011]优选地,工控主机流量带宽异常检测装置加载该规则。
[0012]本专利技术还提供了采用上述装置进行工控主机流量带宽异常检测的方法,包括以下步骤:
[0013]步骤一、通过配置站对工控主机流量带宽异常检测装置进行检测规则配置,工控主机流量带宽异常检测装置加载该规则;
[0014]步骤二、工控主机流量带宽异常检测装置基于工控主机流量带宽异常检测规则对工控主机流量带宽进行检测,发现工控主机流量带宽异常事件时产生告警事件。
[0015]本专利技术具备下述有益效果:
[0016]1.本专利技术工控主机流量带宽异常检测装置采用旁路方式接入服务器所在工控网
络中,对网络中的主机流量进行监听。安全管理员可以在该装置上,对该网络中工控主机配置工控主机流量带宽异常检测规则,检测出异常后生成工控主机流量带宽异常告警告知工控网络安全管理员采取相应的措施,解决了在工控主机上安装主机防护系统,在其上部署流量带宽异常检测规则导致的配置分散、效率低下且占用主机系统资源的问题。
附图说明
[0017]图1为本专利技术现有技术中工控网络的主机部署结构图。
[0018]图2为本专利技术工控主机流量带宽异常检测装置部署结构图。
[0019]图3为本专利技术工控主机流量带宽异常检测流程图。
具体实施方式
[0020]下面将结合实施例对本专利技术的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。
[0021]本专利技术提出了一种工控主机流量带宽异常检测装置,主要用来解决上述方案一中配置分散、效率低下且占用主机系统资源的问题。
[0022]如图2所示,工控主机流量带宽异常检测装置的包含如下模块结构:
[0023]1.工控主机流量带宽异常检测规则配置模块
[0024]该模块负责记录管理人员配置的工控主机流量带宽异常检测规则的配置信息,并将检测规则保存至数据库。
[0025]2.工控主机流量带宽异常检测模块
[0026]该模块负责读取并加载工控主机流量带宽异常检测规则,并对交换机镜像流量进行工控主机流量带宽异常检测。如检测出异常则产生工控主机流量带宽异常告警。
[0027]3.数据库模块
[0028]该模块会记录工控主机流量带宽异常检测规则和告警。
[0029]在本专利技术其他实施例中,如图3所示,还提供了工控主机流量带宽异常检测的方法,步骤如下:
[0030]步骤一、通过配置站对工控主机流量带宽异常检测装置进行检测规则配置,工控主机流量带宽异常检测装置加载该规则。
[0031]步骤二、工控主机流量带宽异常检测装置基于工控主机流量带宽异常检测规则对工控主机流量带宽进行检测,发现工控主机流量带宽异常事件时产生告警事件。
[0032]以上内容仅仅是对本专利技术结构所作的举例和说明,所属本
的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离专利技术的结构或者超越本权利要求书所定义的范围,均应属于本专利技术的保护范围。
[0033]在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本专利技术的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合
适的方式结合。
[0034]以上公开的本专利技术优选实施例只是用于帮助阐述本专利技术。优选实施例并没有详尽叙述所有的细节,也不限制该专利技术仅为的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本专利技术的原理和实际应用,从而使所属
技术人员能很好地理解和利用本专利技术。本专利技术仅受权利要求书及其全部范围和等效物的限制。
本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工控主机流量带宽异常检测装置,其特征在于,包括工控主机流量带宽异常检测规则配置模块,记录管理人员配置的工控主机流量带宽异常检测规则的配置信息,并将检测规则保存至数据库;工控主机流量带宽异常检测模块,读取并加载工控主机流量带宽异常检测规则,并对交换机镜像流量进行工控主机流量带宽异常检测。数据库模块,记录工控主机流量带宽异常检测规则和告警。2.根据权利要求1所述的工控主机流量带宽异常检测装置,其特征在于,如检测出异常则产生工控主机流量带宽异常告警。3.根据权利要求1所述的工控主机流量带宽异常检测装置,其特征在于,还包括配置站,对...
【专利技术属性】
技术研发人员:王小东,杨小帅,韩飞,
申请(专利权)人:北京天地和兴科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。