本发明专利技术涉及互联网安全领域,具体为一种基于流量分析的工业互联网安全威胁检测系统,其包括节点识别模块、节点分类组合模块、流量采集模块、流量解析模块和威胁处理模块;流量解析模块包括异常解析单元、来源解析单元和深度解析单元;异常解析单元对网络流量进行异常诊断,解析包括协议类型、目标地址、目标端口和行为类别;来源解析单元在异常解析单元识别出异常流量后,再对异常流量进行源地址和源端口进行解析,定位异常流量对应的具体的网络节点;深度解析单元对具体的网络节点进行深度解析,识别违规应用、异常应用、木马和病毒。本发明专利技术中,网络流量的解析分三次进行,大大降低了流量解析的工作量,有助于提高工业互联网安全威胁检测效率。胁检测效率。胁检测效率。
【技术实现步骤摘要】
一种基于流量分析的工业互联网安全威胁检测系统
[0001]本专利技术涉及互联网安全
,尤其涉及一种基于流量分析的工业互联网安全威胁检测系统。
技术介绍
[0002]工业互联网是面向制造业数字化、网络化、智能化需求,构建基于云平台的海量数据采集、汇聚、分析服务体系,支撑制造资源泛在连接、弹性供给、高效配置,日益成为新工业革命的关键支撑,对未来工业发展产生全方位、深层次、革命性影响。现有的传统网络安全威胁检测方式在工业互联网海量流量环境下性能较差,在检测精度和检测效率上有待提高。
[0003]授权公告号为CN113556354A的中国专利公开了一种基于流量分析的工业互联网安全威胁检测方法及系统。该方法包括:通过捕获标识解析网络节点数据包,确定标识解析数据流的原始特征数据;根据所述原始特征数据识别标识解析流量的标识解析流量特征;将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配,确定工业互联网安全威胁行为;根据所述标识解析流量特征周期性的迭代训练异常流量检测模型;根据所述异常流量检测模型确定未知安全威胁行为;根据所述工业互联网安全威胁行为以及所述未知安全威胁行为确定安全事件的检测结果。该专利技术能够提高工业互联网的安全防范能力,有效提升识别准确率以及避免误识别的情况。
[0004]但是上述已公开方案存在如下不足之处:需要全面深度解析所有的网络节点数据包,工作量大,检测效率低。
技术实现思路
[0005]本专利技术目的是针对
技术介绍
中存在的工业互联网安全威胁检测效率低的问题,提出一种基于流量分析的工业互联网安全威胁检测系统。
[0006]一方面,本专利技术提出一种基于流量分析的工业互联网安全威胁检测系统,包括节点识别模块、节点分类组合模块、流量采集模块、流量解析模块和威胁处理模块;
[0007]节点识别模块用来识别工业互联网中的所有网络节点;
[0008]节点分类组合模块用来对所有网络节点进行分类组合,形成若干个组合型网络节点;
[0009]流量采集模块用来采集组合型网络节点的网络流量并发送至流量解析模块;
[0010]流量解析模块包括异常解析单元、来源解析单元和深度解析单元;异常解析单元对网络流量进行异常诊断,解析包括协议类型、目标地址、目标端口和行为类别;来源解析单元在异常解析单元识别出异常流量后,再对异常流量进行源地址和源端口进行解析,定位异常流量对应的具体的网络节点;深度解析单元对具体的网络节点进行深度解析,识别违规应用、异常应用、木马和病毒;
[0011]威胁处理模块与流量解析模块通信连接,用来处理违规应用、异常应用、木马和病
毒。
[0012]优选的,网络节点按照办公室、各厂区以及其他设备聚集区域进行划分组合。
[0013]优选的,网络节点是工作站、客户、网络用户或个人计算机,还可以是服务器、打印机和其他网络连接设备。
[0014]优选的,还包括可视化模块,可视化模块用来展示异常流量、异常流量对应的网络节点、异常节点处理记录以及异常节点处理结果信息。
[0015]优选的,还包括报警模块,检测出异常流量时,报警模块向管理员告警信息。
[0016]优选的,威胁处理模块处理方式包括卸载应用,木马或病毒的查杀,卸载应用需要记录并通过管理员确认。
[0017]优选的,流量采集模块通过分光设备将流量镜像分离,然后存储发送给流量解析模块。
[0018]另一方面,本专利技术提出一种基于流量分析的工业互联网安全威胁检测系统的检测方法,包括以下步骤:
[0019]S1、检测识别所有网络节点;
[0020]S2、对网络节点进行分类组合,形成若干新的组合型网络节点;
[0021]S3、采集组合型网络节点的网络流量,并进行初步解析,解析内容包括协议类型、目标地址、目标端口和行为类别,判断是否存在异常流量;
[0022]S4、对异常流量进一步解析,得到源地址和源端口,定位具体的网络节点;
[0023]S5、对具体的网络节点进行深度解析,识别违规应用、异常应用、木马和病毒;
[0024]S6、处理违规应用、异常应用、木马和病毒。
[0025]与现有技术相比,本专利技术具有如下有益的技术效果:网络流量的解析分三次进行,第一次只解析协议类型、目标地址、目标端口和行为类别来判断是否为异常流量,没有异常直接忽略即可,第二次解析出异常流量对应的源地址和源端口,最后再对网络异常流量进行深度解析,从而处理掉违规应用、异常应用、木马和病毒,来维护工业互联网的安全,因为解析是分三次进行,大大降低了流量解析的工作量,有助于提高工业互联网安全威胁检测效率。
附图说明
[0026]图1为本专利技术一种实施例的结构示意图;
[0027]图2为实施例二的结构示意图;
[0028]图3为检测方法的工作流程图。
具体实施方式
[0029]实施例一
[0030]如图1所示,本专利技术提出的一种基于流量分析的工业互联网安全威胁检测系统,包括节点识别模块、节点分类组合模块、流量采集模块、流量解析模块和威胁处理模块;
[0031]节点识别模块用来识别工业互联网中的所有网络节点,网络节点是工作站、客户、网络用户或个人计算机,还可以是服务器、打印机和其他网络连接设备;
[0032]节点分类组合模块用来对所有网络节点进行分类组合,网络节点按照办公室、各
厂区以及其他设备聚集区域进行划分组合,形成若干个组合型网络节点;
[0033]流量采集模块用来采集组合型网络节点的网络流量并发送至流量解析模块,流量采集模块通过分光设备将流量镜像分离,然后存储发送给流量解析模块;
[0034]流量解析模块包括异常解析单元、来源解析单元和深度解析单元;异常解析单元对网络流量进行异常诊断,解析包括协议类型、目标地址、目标端口和行为类别;来源解析单元在异常解析单元识别出异常流量后,再对异常流量进行源地址和源端口进行解析,定位异常流量对应的具体的网络节点;深度解析单元对具体的网络节点进行深度解析,识别违规应用、异常应用、木马和病毒;
[0035]威胁处理模块与流量解析模块通信连接,用来处理违规应用、异常应用、木马和病毒,威胁处理模块处理方式包括卸载应用,木马或病毒的查杀,卸载应用需要记录并通过管理员确认。
[0036]工作原理:检测识别所有网络节点,对网络节点进行分类组合,形成若干新的组合型网络节点,如以办公室、厂区等区域性为单位组成的节点,通过流量采集模块采集组合型网络节点的网络流量,并进行初步解析,解析内容包括协议类型、目标地址、目标端口和行为类别,判断是否存在异常流量,无异常直接忽略,对异常流量进一步解析,得到源地址和源端口,定位具体的网络节点,再对具体的网络节点进行深度解析,识别违规应用、异常应用、木马和病毒,最后处理违规应用、异常应用、木马和病毒。
[0037]本实施例中,网络流量的解析分三次进行,第一次只解析协议类型本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于流量分析的工业互联网安全威胁检测系统,其特征在于,包括节点识别模块、节点分类组合模块、流量采集模块、流量解析模块和威胁处理模块;节点识别模块用来识别工业互联网中的所有网络节点;节点分类组合模块用来对所有网络节点进行分类组合,形成若干个组合型网络节点;流量采集模块用来采集组合型网络节点的网络流量并发送至流量解析模块;流量解析模块包括异常解析单元、来源解析单元和深度解析单元;异常解析单元对网络流量进行异常诊断,解析包括协议类型、目标地址、目标端口和行为类别;来源解析单元在异常解析单元识别出异常流量后,再对异常流量进行源地址和源端口进行解析,定位异常流量对应的具体的网络节点;深度解析单元对具体的网络节点进行深度解析,识别违规应用、异常应用、木马和病毒;威胁处理模块与流量解析模块通信连接,用来处理违规应用、异常应用、木马和病毒。2.根据权利要求1所述的基于流量分析的工业互联网安全威胁检测系统,其特征在于,网络节点按照办公室、各厂区以及其他设备聚集区域进行划分组合。3.根据权利要求1所述的基于流量分析的工业互联网安全威胁检测系统,其特征在于,网络节点是工作站、客户、网络用户或个人计算机,还可以是服务器、打印机和其他网络连接设备。4.根据权利要求1所述的基于流量分析的工业互联网安全...
【专利技术属性】
技术研发人员:张平,
申请(专利权)人:安徽玺含信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。