本发明专利技术涉及异常检测领域,并且具体地涉及一种用于工控机控制系统的异常检测方法。一种用于工控机控制系统的异常检测方法包括如下步骤:系统日志数据编号和系统日志数据变更检测。本发明专利技术通过用数据编号对系统日志数据进行标记,使得系统日志数据具有连续的序列值,并且通过每间隔相同时间对系统日志数据的数据编号进行检测,能够方便地进行对系统日志数据变更情况的检测,实现对工控机控制系统的异常检测;及时向用户发送警示,提醒用户及时检查配置文件,避免出现工控机控制系统中存在漏洞,从而防止入侵者下次随意入侵工控机控制系统。统。统。
【技术实现步骤摘要】
一种用于工控机控制系统的异常检测方法
[0001]本专利技术涉及异常检测领域,并且具体地涉及一种用于工控机控制系统的异常检测方法。
技术介绍
[0002]工控机控制系统是指依赖于工控机和通信网络建立的一整套管理控制系统。目前工业生产越来越依赖工控机控制系统,通过工控机控制系统可以方便地对整个工业生产流程进行管理,实现工业生产的规模化和规范化。但是由于工控机控制需要依赖于通信网络,便不可避免的会受到入侵者的入侵行为,对整个工业生产造成威胁。当入侵者实现对工控机控制系统的攻击行为之后,一般会修改工控机控制系统的配置文件,留下漏洞便于下次入侵,同时对系统日志文件进行修改,删除系统日志文件中的对应配置文件修改记录,一旦发生此种情况,由于工控机控制系统中存在漏洞,入侵者将更加容易入侵工控机控制系统,会对工控机控制系统造成进一步的破坏。
技术实现思路
[0003]本专利技术提供一种用于工控机控制系统的异常检测方法,通过用数据编号对系统日志数据进行标记,使得系统日志数据具有连续的序列值,并且通过每间隔相同时间对系统日志数据的数据编号进行检测,能够方便地进行对系统日志数据变更情况的检测,实现对工控机控制系统的异常检测;及时向用户发送警示,提醒用户及时检查配置文件,避免出现工控机控制系统中存在漏洞,从而防止入侵者下次随意入侵工控机控制系统。
[0004]一种用于工控机控制系统的异常检测方法,具体包括如下步骤:S1:系统日志数据编号S1.1:接收进程上传的系统日志数据;S1.2:令k=1,k用于作为数据编号记录系统日志数据,并将k值存入编号寄存器中;S1.3:从编号寄存器中提取k值,将k作为所接受的系统日志数据的数据编号,并将此数据编号添加至系统日志数据中的末尾,再将此系统日志数据添加至系统日志文件中;S1.4:继续接收下一个进程上传的系统日志数据,并将k+1赋值给k,同时对编号寄存器中的k值进行更新,回到S3;S2:系统日志数据变更检测S2.1:将系统日志文件中的所有系统日志数据对应的数据编号提取出来,并将所有数据编号按照从小到大的顺序进行排序,将排序后的数据编号记为D
n
,其中n=1,2,3
······
N,N为所有数据编号的总个数;S2.2:令m=1,m用于选择数据编号;S2.3:判断“D
m+1
‑
D
m
=1”是否成立,若是“D
m+1
‑
D
m
=1”成立,进入S2.5;若是“D
m+1
‑
D
m
=1”成立,进入S2.4;S2.4:将D
m
和D
m+1
对应的系统日志数据内时间作为起始时间和终止时间,并将起始
时间和终止时间界定的异常时间段发送至用户端,同时向用户端发送警示信息;S2.5:判断“m<N
‑
1”是否成立,若是“m<N
‑
1”成立,进入S2.6;若是“m<N
‑
1”不成立,进入S2.7;S2.6:将m+1赋值给m,回到S2.3,实现对数据编号的循环检查;S2.7:启动计时器,实时获取检测周期时间t1;S2.8:判断“t1<t
2”是否成立,t2为检测周期阈值,若是“t1<t
2”成立,进入S2.9;若是“t1<t
2”不成立,回到S2.1,进行下一轮系统日志数据变更检测;S2.9:继续实时获取检测周期时间t1,回到S2.8。
[0005]进一步地,还包括对编号寄存器中的k值进行校验,具体步骤如下:持续监测编号寄存器中的k值的状态,当k值发生变化时,记录k值的变化次数Q;每当步骤S1.3中从编号寄存器中提取k值时,判断“Q=k”是否成立,若是“Q=k”成立,执行步骤S1.3
‑
S1.4,再清空路径存储器中所有路径对应的所有数据,将经过步骤S1.4更新后的k值复制f份,再将此f份k值随机发送至工控机的存储器中,同时记录此f份k值的路径至路径存储器中;若是“Q=k”不成立,提取路径存储器中所有路径对应数据中的k值,并且选择所有k值中出现频次最高的k值作为真实值对编号寄存器内的k值进行更新,执行步骤S1.3
‑
S1.4,再清空路径存储器中所有路径对应的所有数据,将经过步骤S1.4更新后的k值复制f份,再将此f份k值随机发送至工控机的存储器中,同时记录此f份k值的路径至路径存储器中。
[0006]进一步地,还包括对系统日志数据的修改的检测,具体步骤如下:当所述步骤S1.3中将系统日志数据添加至系统日志文件中时,计算此系统日志数据的第一哈希值,并且将此系统日志数据的数据编号和第一哈希值建立一一映射的关系;间隔检测周期阈值t2遍历系统日志文件中所有系统日志数据的数据编号,并实时计算数据编号对应系统日志数据的第二哈希值,判断第一哈希值与第二哈希值是否完全一致,若是第一哈希值与第二哈希值完全一致,无操作;若是第一哈希值与第二哈希值不是完全一致,向用户端发送警示信息。
[0007]进一步地,所述步骤S1.3中的数据编号以16进制的形式存在。
[0008]进一步地,所述步骤S2.1中采用冒泡排序算法将所有数据编号按照从小到大的顺序进行排序。
[0009]进一步地,所述步骤S2.4中的向用户端发送警示信息采用短信和语音提示的手段。
[0010]进一步地,所述哈希值的计算采用MD5算法。
[0011]进一步地,所述步骤S1.2中的编号寄存器为32位通用寄存器。
[0012]本专利技术具有以下优点:1、本专利技术通过用数据编号对系统日志数据进行标记,使得系统日志数据具有连续的序列值,并且通过每间隔相同时间对系统日志数据的数据编号进行检测,能够方便地进行对系统日志数据变更情况的检测,实现对工控机控制系统的异常检测;及时向用户发送警示,提醒用户及时检查配置文件,避免出现工控机控制系统中存在漏洞,从而防止入侵者下次随意入侵工控机控制系统。
[0013]2、本专利技术通过对k值与k值变化次数Q进行比较,检测出入侵者的修改造成k值变化的情况,避免入侵者修改k值逃脱系统日志数据变更的检测;通过将k值存储多份,实现当入侵者的修改造成k值变化时,能够通过多份k值实现提取真实值对编号寄存器内的k值进行
更新,避免影响系统日志数据变更的检测。
[0014]3、本专利技术通过对系统日志数据的第一哈希值与第二哈希值进行判断,对系统日志数据是否发生修改进行检测,避免系统日志数据发生修改影响对工控机控制系统入侵行为的检测。
附图说明
[0015]图1为本专利技术采用的用于工控机控制系统的异常检测方法的流程示意图。
具体实施方式
[0016]为了使本
的人员更好地理解本专利技术中的技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述。
[0017]实施例1
[0018]一种用于工控机控制系统的异常检测方法,如图1所示,具本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于工控机控制系统的异常检测方法,其特征在于,具体包括如下步骤:S1:系统日志数据编号S1.1:接收进程上传的系统日志数据;S1.2:令k=1,k用于作为数据编号记录系统日志数据,并将k值存入编号寄存器中;S1.3:从编号寄存器中提取k值,将k作为所接受的系统日志数据的数据编号,并将此数据编号添加至系统日志数据中的末尾,再将此系统日志数据添加至系统日志文件中;S1.4:继续接收下一个进程上传的系统日志数据,并将k+1赋值给k,同时对编号寄存器中的k值进行更新,回到S3;S2:系统日志数据变更检测S2.1:将系统日志文件中的所有系统日志数据对应的数据编号提取出来,并将所有数据编号按照从小到大的顺序进行排序,将排序后的数据编号记为D
n
,其中n=1,2,3
······
N,N为所有数据编号的总个数;S2.2:令m=1,m用于选择数据编号;S2.3:判断“D
m+1
‑
D
m
=1”是否成立,若是“D
m+1
‑
D
m
=1”成立,进入S2.5;若是“D
m+1
‑
D
m
=1”成立,进入S2.4;S2.4:将D
m
和D
m+1
对应的系统日志数据内时间作为起始时间和终止时间,并将起始时间和终止时间界定的异常时间段发送至用户端,同时向用户端发送警示信息;S2.5:判断“m<N
‑
1”是否成立,若是“m<N
‑
1”成立,进入S2.6;若是“m<N
‑
1”不成立,进入S2.7;S2.6:将m+1赋值给m,回到S2.3,实现对数据编号的循环检查;S2.7:启动计时器,实时获取检测周期时间t1;S2.8:判断“t1<t
2”是否成立,t2为检测周期阈值,若是“t1<t
2”成立,进入S2.9;若是“t1<t
2”不成立,回到S2.1,进行下一轮系统日志数据变更检测;S2.9:继续实时获取检测周期时间t1,回到S2.8;还包括对编号寄存器中的k值进...
【专利技术属性】
技术研发人员:张红其,
申请(专利权)人:深圳市深蓝宇科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。