本发明专利技术公开了一种工业互联网的入侵检测系统及方法,所述系统包括通信接口模块、签名验证模块、报文检测模块、日志记录模块、指令下发模块;通信接口模块用于工业互联网与对外开放网络的通信;签名验证模块用于验证输入进内部网络的数据签名;报文检测模块用于对网络流量进行入侵检测;日志记录模块用于对来往数据以及检测结果进行记录;指令下发模块用于在的报文检测模块得出结论后,决定要不要将包发送到内网的模块,如果结果安全,就继续转发相关请求,如果不安全,则拒绝转发,保证内网的安全。本发明专利技术可以在大量数据实时传输中高校检测,符合工业互联网的应用实际,在不安全的流量进入时,高效准确的检测方式,避免黑客的外部攻击。部攻击。部攻击。
【技术实现步骤摘要】
一种工业互联网的入侵检测系统及方法
[0001]本专利技术涉及计算机
,尤其涉及一种工业互联网的入侵检测系统及方法。
技术介绍
[0002]工业互联网(Industrial Internet)是新一代信息通信技术与工业经济深度融合的新型基础设施、应用模式和工业生态,通过对人、机、物、系统等的全面连接,构建起覆盖全产业链、全价值链的全新制造和服务体系,为工业乃至产业数字化、网络化、智能化发展提供了实现途径,是第四次工业革命的重要基石。
[0003]随着工业互联网的发展,工业控制系统逐步拥有了对外开放的网路环境。由于工控系统没有特殊的安全措施,对工控系统的各种恶意攻击可以通过网络化系统进行破坏性操作,从而破坏工控系统的安全运行。
[0004]对网络的安全监控技术中,常用的手段有网络入侵检测和网络入侵防御技术。这些技术也可以应用在工业互联网中。传统的入侵检测在技术方面具有实现简单、处理速度快,且对应用透明等优点。现有技术中典型的网络入侵系统通常有四个部分组成,如图1所示。但是,这都是仅仅基于只对单包进行的检查,不能对大块的网络数据流在实时传输过程中进行快速的检测和判断;最重要的一点是传统包检测的安全策略受限,它的使用被局限于较低层次的应用中,不能真正对来自应用的安全威胁进行预警和阻断。
技术实现思路
[0005]为解决上述问题,本专利技术提出一种工业互联网的入侵检测系统及方法,可以在大量数据实时传输中高效检测,弥补传统检测技术的不足,避免黑客的攻击,保障工业互联网的安全。
[0006]本专利技术通过以下技术方案来实现上述目的:
[0007]一种工业互联网的入侵检测系统,包括通信接口模块、签名验证模块、报文检测模块、日志记录模块、指令下发模块;
[0008]所述通信接口模块用于工业互联网与对外开放网络的通信;
[0009]所述签名验证模块用于验证输入进内部网络的数据签名;
[0010]所述报文检测模块用于对网络流量进行入侵检测;
[0011]所述日志记录模块用于对来往数据以及检测结果进行记录;
[0012]所述指令下发模块用于对检测后安全的通信数据执行相关请求的模块或对不安全的通信请求进行报警;
[0013]网络流量从通信接口模块进入,通过签名验证模块验签,由报文检测模块对请求报文进行安全性检测,检测结果记录在日志记录模块,最后通过指令下发模块进行执行,转发数据包到内网。
[0014]进一步方案为,所述通信接口模块将进入内部网络的数据送到所述签名验证模块,没有通过签名验证的数据被所述日志记录模块记录,通过验证的数据进入到所述报文
检测模块,进入的数据和检测结果被所述日志记录模块进行记录,最后由所述指令下发模块根据结果决定执行还是报警。
[0015]进一步方案为,在IP数据报文通过所述的报文检测模块时,通过读取数据段载荷信息对OSI协议层的应用层重组,按照检测模块预先规定的策略对网络数据流进行检测。
[0016]进一步方案为,所述日志记录模块用于对签名验证和报文检测过程和结果的记录,并对有问题的数据及其来源进行示警。
[0017]进一步方案为,所述报文检测模块包括端口识别模块、协议解析模块、特征匹配模块和统计分析模块四个部分;
[0018]所述端口识别模块用于初步判断请求的流量是否安全,是否是协议目的端口,是否请求了某些危险系数较高的端口,初步检验请求的安全性;
[0019]所述协议解析模块用于输入的流量进行分类,通过负载中协议头部的信息或者协议的行为来进行识别,为安全性的判断提供依据;
[0020]所述特征匹配模块使用正则表达式进行匹配,兼容各个请求和使用场景以及不同的硬件;
[0021]所述统计分析模块用于将所述的端口识别、所述的协议解析和所述的特征匹配得出的结果进行统计归类,并记录数据包长度、传输层协议、流分组的到达间隔时间、流开始和停止的时间戳的信息。
[0022]进一步方案为,所述签名验证模块将通过约定的复杂的签名算法验证流量的来源和信息是否安全。
[0023]进一步方案为,所述日志记录模块记录了所有进入的数据,包括安全的流量以及没有通过所述的签证签名模块的数据和所述的报文检测模块判断为不安全的数据。
[0024]进一步方案为,所述指令下发模块用于在所述的报文检测模块得出结论后,决定要不要将包发送到内网的模块,如果结果安全,就继续转发相关请求,如果不安全,则拒绝转发,保证内网的安全。
[0025]本专利技术另一方面还提供了上述一种工业互联网的入侵检测系统的检测方法,包括以下步骤:
[0026]步骤1,外部通过通信接口模块传进一个请求;
[0027]步骤2,该请求包进入到签证签名模块;
[0028]步骤3.1,验签成功,数据进入报文检测模块。若验签失败,数据将被日志记录模块记录下来并报警;
[0029]步骤3.2,进入报文检测模块的请求包,通过端口识别,初步检验数据请求的安全性;若为正常端口,属于正常请求,进入下一步。若为敏感端口,此时对该请求的安全存疑,还需要继续检测;
[0030]步骤3.3,对包进行协议解析;
[0031]步骤3.4,对报文的有效载荷进行特征匹配;
[0032]步骤3.5,对上述检测结果进行记录并且统计分析结果,综合判断该请求的安全性;
[0033]步骤4,将上述结果记录到日志记录模块;
[0034]步骤5,根据判断的结果进行执行。
[0035]本专利技术的有益效果在于:
[0036]本专利技术可以为新型的接通了外网的工业互联网提供安全保护,保障企业和数据的安全,解决了新型工业互联网在接通外部网络后没有安全保障的隐患。
[0037]本专利技术可以在大量数据实时传输中高校检测,符合工业互联网的应用实际,在不安全的流量进入时,高效准确的检测方式,避免黑客的外部攻击。
附图说明
[0038]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例或现有技术描述中所需要实用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0039]图1为本专利技术法人工业互联网的入侵检测方法示意图;
[0040]图2为本专利技术的IP数据报文检测示意图。
具体实施方式
[0041]为使本专利技术的目的、技术方案和优点更加清楚,下面将对本专利技术的技术方案进行详细的描述。显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本专利技术所保护的范围。
[0042]在任一实施例中,如图1
‑
2所示,本专利技术的一种工业互联网的入侵检测系统,包括通信接口模块、签名验证模块、报文检测模块、日志记录模块、指令下发模块;<本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工业互联网的入侵检测系统,其特征在于,包括通信接口模块、签名验证模块、报文检测模块、日志记录模块、指令下发模块;所述通信接口模块用于工业互联网与对外开放网络的通信;所述签名验证模块用于验证输入进内部网络的数据签名;所述报文检测模块用于对网络流量进行入侵检测;所述日志记录模块用于对来往数据以及检测结果进行记录;所述指令下发模块用于对检测后安全的通信数据执行相关请求的模块或对不安全的通信请求进行报警;网络流量从通信接口模块进入,通过签名验证模块验签,由报文检测模块对请求报文进行安全性检测,检测结果记录在日志记录模块,最后通过指令下发模块进行执行,转发数据包到内网。2.如权利要求1所述一种工业互联网的入侵检测系统,其特征在于,所述通信接口模块将进入内部网络的数据送到所述签名验证模块,没有通过签名验证的数据被所述日志记录模块记录,通过验证的数据进入到所述报文检测模块,进入的数据和检测结果被所述日志记录模块进行记录,最后由所述指令下发模块根据结果决定执行还是报警。3.如权利要求1所述一种工业互联网的入侵检测系统,其特征在于,在IP数据报文通过所述的报文检测模块时,通过读取数据段载荷信息对OSI协议层的应用层重组,按照检测模块预先规定的策略对网络数据流进行检测。4.如权利要求1所述一种工业互联网的入侵检测系统,其特征在于,所述日志记录模块用于对签名验证和报文检测过程和结果的记录,并对有问题的数据及其来源进行示警。5.如权利要求1所述一种工业互联网的入侵检测系统,其特征在于,所述报文检测模块包括端口识别模块、协议解析模块、特征匹配模块和统计分析模块四个部分;所述端口识别模块用于初步判断请求的流量是否安全,是否是协议目的端口,是否请求了某些危险系数较高的端口,初步检验请求的安全性;所述协议解析模块用于输入的流...
【专利技术属性】
技术研发人员:何精铭,
申请(专利权)人:四川启睿克科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。