CN113285916A - 智能制造***异常流量检测方法及检测装置 - Google Patents

智能制造***异常流量检测方法及检测装置 Download PDF

Info

Publication number
CN113285916A
CN113285916A CN202110367533.3A CN202110367533A CN113285916A CN 113285916 A CN113285916 A CN 113285916A CN 202110367533 A CN202110367533 A CN 202110367533A CN 113285916 A CN113285916 A CN 113285916A
Authority
CN
China
Prior art keywords
flow
data
abnormal
manufacturing system
intelligent manufacturing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110367533.3A
Other languages
English (en)
Other versions
CN113285916B (zh
Inventor
杨佳宁
郭娴
杨立宝
陈柯宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Industrial Control Systems Cyber Emergency Response Team
Original Assignee
China Industrial Control Systems Cyber Emergency Response Team
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Industrial Control Systems Cyber Emergency Response Team filed Critical China Industrial Control Systems Cyber Emergency Response Team
Priority to CN202110367533.3A priority Critical patent/CN113285916B/zh
Publication of CN113285916A publication Critical patent/CN113285916A/zh
Application granted granted Critical
Publication of CN113285916B publication Critical patent/CN113285916B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Abstract

本发明提出了一种智能制造***异常流量检测方法及检测装置,检测方法,包括:预先采集智能制造***中待检测目标的流量数据;对采集的流量数据进行深度解析以获取数据特征信息,并基于数据特征信息生成协议指纹数据;对采集的流量数据进行流量分析以获取流量特征,并基于流量特征生成流量基准阈值;基于协议指纹数据和流量基准阈值,对当前采集的待检测目标的流量数据进行匹配检测,以判定当前流量数据是否异常。本发明采用流量异常检测方法与协议异常检测方法相结合的方式,实现智能制造***中入侵异常流量检测,检测方法高效、可靠,提高智能制造***的安全性。

Description

智能制造***异常流量检测方法及检测装置
技术领域
本发明涉及入侵检测技术领域,尤其涉及一种智能制造***异常流量检测方法及检测装置。
背景技术
目前“智能制造”已经成为席卷全球的趋势,成为全球制造业的主要发展方向和战略制高点。智能制造将主流新兴技术的融合达到前所未有的程度,新兴技术的应用也使制造业迸发出前所未有的活力。主要表现为新的工业应用模式下,智能制造***由原来封闭式的生产环境逐步向开放式环境发展,并且大量采用标准化软硬件模块,基于以太网构建现场总线通信,所有设备互联互通等。考虑到工业控制***自身的结构特点、功能特性、应用环境,以及在信息安全方面的先天缺陷,智能制造***从“内部隔离”状态走向“前台开放”状态时面临着严峻挑战。智能制造在带来更灵活的生产、更高效的运转和更强的竞争力的同时,也带来巨大的安全风险。
由于智能制造***网络通信对于可靠性、延时等的特殊要求,智能制造***中的现场总线多采用明文传输,而且很多都是标准公开的协议规范,这样使得暴露于网络中的智能制造设备或***极易成为被攻击对象,进而通过协议欺骗、指令篡改、恶意监听等技术对智能制造***及网络进行攻击。能否及时发现网络入侵者以及非法恶意报文,从而有效地检测出网络中的异常流量,成为智能制造行业应用及推广共同面临的一个重要问题。
发明内容
本发明要解决的技术问题是如何对智能制造***的异常流量进行检测,本发明提出一种智能制造***异常流量检测方法及检测装置。
根据本发明实施例的智能制造***异常流量检测方法,包括:
预先采集智能制造***中待检测目标的流量数据;
对采集的所述流量数据进行深度解析以获取数据特征信息,并基于所述数据特征信息生成协议指纹数据;
对采集的所述流量数据进行流量分析以获取流量特征,并基于所述流量特征生成流量基准阈值;
基于所述协议指纹数据和所述流量基准阈值,对当前采集的所述待检测目标的流量数据进行匹配检测,以判定当前所述流量数据是否异常。
根据本发明实施例的智能制造***异常流量的检测方法,采用流量异常检测方法与协议异常检测方法相结合的方式,实现智能制造***异常流量检测。首先,采集智能制造现场总线流量数据,通过对流量数据进行深度解析和流量分析获取协议指纹数据和流量基准阈值,然后通过数据匹配算法发现流量数据包异常,实现智能制造现场总线流量实时监测和入侵检测,提高智能制造***的安全性。
根据本发明的一些实施例,所述方法还包括:
当生成的所述协议指纹数据为多个时,创建存储多个所述协议指纹数据的协议指纹库;
当生成的所述流量基准阈值为多个时,创建存储多个所述流量基准阈值的流量基准阈值库。
在本发明的一些实施例中,基于所述协议指纹数据和所述流量基准阈值,对当前采集的所述待检测目标的流量数据进行匹配检测,以判定当前所述流量数据是否异常,包括:
基于所述协议指纹数据和所述流量基准阈值生成异常检测字符串;
对当前采集的所述待检测目标的流量数据进行解析;
将解析后的所述流量数据与所述异常检测字符串进行匹配;
根据匹配结果,判定当前所述流量数据是否异常。
根据本发明的一些实施例,采用Boyer-Moore算法对当前采集的所述待检测目标的流量数据进行匹配检测。
在本发明的一些实施例中,所述方法还包括:当判定当前所述流量数据异常时,进行警报提示。
根据本发明实施例的智能制造***异常流量的检测装置,包括:
数据采集模块,用于预先采集智能制造***中待检测目标的流量数据;
指纹数据生成模块,用于对采集的所述流量数据进行深度解析以获取数据特征信息,并基于所述数据特征信息生成协议指纹数据;
基准阈值生成模块,用于对采集的所述流量数据进行流量分析以获取流量特征,并基于所述流量特征生成流量基准阈值;
判定模块,用于基于所述协议指纹数据和所述流量基准阈值,对当前采集的所述待检测目标的流量数据进行匹配检测,以判定当前所述流量数据是否异常。
根据本发明实施例的智能制造***异常流量的检测装置,采用流量异常检测方法与协议异常检测方法相结合的方式,实现智能制造***异常流量检测。首先,通过数据采集模块采集智能制造现场总线流量数据,指纹数据生成模块通过对流量数据进行深度解析获取协议指纹数据,基准阈值生成模块通过对流量数据进行流量分析获取流量基准阈值,然后由判定模块通过数据匹配算法发现流量数据包异常,实现智能制造现场总线流量实时监测和入侵检测,提高智能制造***的安全性。
根据本发明的一些实施例,所述检测装置还包括:
指纹库创建模块,用于当生成的所述协议指纹数据为多个时,创建存储多个所述协议指纹数据的协议指纹库;
基准阈值库创建模块,用于当生成的所述流量基准阈值为多个时,创建存储多个所述流量基准阈值的流量基准阈值库。
在本发明的一些实施例中,所述检测装置还包括:
异常检测字符串生成模块,用于基于所述协议指纹数据和所述流量基准阈值生成异常检测字符串;
所述判定模块具体用于,对采集解析后的所述流量数据与所述异常检测字符串进行匹配,并根据匹配结果,判定当前所述流量数据是否异常。
根据本发明的一些实施例,所述判定模块采用Boyer-Moore算法对当前采集的所述待检测目标的流量数据进行匹配检测。
在本发明的一些实施例中,所述装置还包括:警示模块,用于当判定当前所述流量数据异常时,进行警报提示。
附图说明
图1为根据本发明实施例的智能制造***异常流量的检测方法流程图;
图2为根据本发明实施例的智能制造***异常流量的检测装置组成示意图;
图3为根据本发明实施例的协议数据包解析流程图示意图。
检测装置100,
数据采集模块10,指纹数据生成模块20,指纹库创建模块200,基准阈值生成模块30,基准阈值库创建模块300,判定模块40,警示模块50,异常检测字符串生成模块60。
具体实施方式
为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明进行详细说明如后。
本发明中说明书中对方法流程的描述及本发明说明书附图中流程图的步骤并非必须按步骤标号严格执行,方法步骤是可以改变执行顺序或并行执行的。而且,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
如图1所示,根据本发明实施例的智能制造***异常流量的检测方法,包括:
S110,预先采集智能制造***待检测目标的流量数据;
例如,可以对待检测目标的工业控制流量数据进行采集。基于智能制造行业现场总线环境,可以将数据采集设备通过并联的方式接入智能制造行业现场总线,进行工业控制网络流量的无扰采集。
S120,对采集的流量数据进行深度解析以获取数据特征信息,并基于数据特征信息生成协议指纹数据;
例如,可以对上述采集的工业控制流量数据进行实时处理,选择有效的数据包进行工业控制协议深度解析。根据OSI七层网络模型逐层进行解析,提取数据包载荷内容,按照层级格式对解析后的数据进行存储。对协议数据包的应用层全部解析,在解析网络层与传输层的32位源/目的IP地址、16位源/目的TCP端口数据情况下,对应用层数据的操作指令、工业过程数据等进一步解析与提取,实现数据包的指令语义、过程数值级别的解析。
工业控制协议深度解析主要分为协议识别、协议解析两个步骤。
其中,本发明采用基于端口的协议识别和基于负载的协议识别两种方法相结合来识别工业控制协议。
协议在设计初期按照通信规范一般会定义一个默认的通信端口,大部分基于TCP/IP的网络通信协议均可按照端口映射的方式进行识别,即根据协议通信端口在互联网数字分配机构中注册的端口号来识别通信协议类型,如S7COM协议使用102端口,Modbus TCP使用502端口等。
基于负载的协议识别方法为:在识别协议数据包的网络层报头基础上,匹配协议关键字与应用层关键字,识别出应用层的协议类型。在通过端口不能有效识别出协议时,可以更加精确的对已知协议进行识别。
在进行协议解析时,本发明根据数据包封装标准规范,对数据包进行逐层拆包、解码,分析物理层、数据链路层、网络层、传输层和应用层各层字段包含的实际信息。
首先,按照协议数据包封装的格式进行拆包,根据报文头部信息确定数据链路层信息,之后按照该层协议格式进行解码,获取该层信息、捡查报文是否符合协议规范并根据协议标识符识别下一层协议。通过采用这样的方式对协议数据包的网络层、传输层及应用层进行逐层解析,从而实现协议的深度包解析。解析过程如图3所示,具体包括:
报文头部解码,对数据包中固定的头部信息进行解析,解析数据包中数据链路层协议标识符及报文总长度。
数据链路层解码,对数据包中的源MAC地址、目标MAC地址及网络层协议标识符进行解析。
网络层解码,对数据包中的源IP、目标IP及传输层协议标识符进行解析。
传输层解码,对数据包中的源Port、目标Port进行解析。
应用层解码与协议识别,主要包括应用层头部和数据部分信息的解析。报文应用层头部解析包括事务处理标识符、协议标识符、长度、单元标识符、功能码。数据部分解析主要包括寄存器地址、寄存器值。
通过以上的解析过程,获取工业控制协议在通信过程中的关键信息,下表显示了工业控制协议数据包的深度解析结果,表中所示的关键信息可以理解为上文所述的“数据特征信息”。
Figure BDA0003008089320000061
S130,对采集的流量数据进行流量分析以获取流量特征,并基于流量特征生成流量基准阈值;
基于采集到的流量数据和数据包深度解析方法,对监测对象(例如:工程师站、操作员站、数据服务器、RTU、PLC)进行流量分析。通过统计五元组信息,包括源IP地址、源端口号、目的IP地址、目的端口号、协议,收集在一定时间内的流量特征,包括:连接持续时间、协议类型、连接次数、从源主机到目标主机的数据字节数等,基于上述流量特征生成对应的流量基准阈值。
S140,基于协议指纹数据和流量基准阈值,对当前采集的待检测目标的流量数据进行匹配检测,以判定当前流量数据是否异常。
根据本发明实施例的智能制造***异常流量的检测方法,采用流量异常检测方法与协议异常检测方法相结合的方式,实现智能制造***异常流量检测。首先,采集智能制造现场总线流量数据,通过对流量数据进行深度解析和流量分析获取协议指纹数据和流量基准阈值,然后通过数据匹配算法发现流量数据包异常,实现智能制造现场总线流量实时监测和入侵检测,提高智能制造***的安全性。
根据本发明的一些实施例,方法还包括:
当生成的协议指纹数据为多个时,创建存储多个协议指纹数据的协议指纹库;
当生成的流量基准阈值为多个时,创建存储多个流量基准阈值的流量基准阈值库。
需要说明的是,协议指纹库与流量基准阈值库是在收集一段时间内的智能制造现场总线流量数据之后,基于数据统计的方法,进行操作数据阈值分析。一方面,通过深度协议解析提取多层协议特征,建立协议指纹库;另一方面,通过提取流量分析数据值,根据实际智能制造行业现场总线流量特征,定义合理的阈值范围,建立流量基准阈值库。并在实时分析智能制造行业现场总线流量数据的基础上,对协议指纹库与流量基准阈值库进行更新。
在本发明的一些实施例中,基于协议指纹数据和流量基准阈值,对当前采集的待检测目标的流量数据进行匹配检测,以判定当前流量数据是否异常,包括:
S141,基于协议指纹数据和流量基准阈值生成异常检测字符串;
需要说明的是,协议指纹库是由多层数据包字符串组成的,本发明通过将协议指纹库数据与流量基准阈值库数据进行拼接,组成新的异常检测字符串。
S142,对当前采集的待检测目标的流量数据进行解析;
S143,将解析后的流量数据与异常检测字符串进行匹配;
S144,根据匹配结果,判定当前流量数据是否异常。
根据本发明的一些实施例,采用Boyer-Moore算法对当前采集的待检测目标的流量数据进行匹配检测。为了提高异常检测效率,本发明采用Boyer-Moore(BM)算法,实现数据包指纹字符串快速匹配。
BM算法采用后缀匹配的模式,从右向左对输入字符串进行匹配。为了实现更快移动模式串,BM算法定义了两个规则,好后缀规则和坏字符规则,利用好后缀和坏字符可以大大加快模式串的移动距离,从而提高匹配效率。
在本发明的一些实施例中,方法还包括:当判定当前流量数据异常时,进行警报提示。例如,如果数据包指纹字符串与数据库数据匹配异常,则对当前数据包进行告警或采用其他处置方式,从而实现智能制造***的入侵检测。
如图2所示,根据本发明实施例的智能制造***异常流量的检测装置100,包括:数据采集模块10、指纹数据生成模块20、基准阈值生成模块30和判定模块40。
其中,数据采集模块10用于预先采集智能制造***中待检测目标的流量数据;
指纹数据生成模块20用于对采集的流量数据进行深度解析以获取数据特征信息,并基于数据特征信息生成协议指纹数据;
基准阈值生成模块30用于对采集的流量数据进行流量分析以获取流量特征,并基于流量特征生成流量基准阈值;
判定模块40用于基于协议指纹数据和流量基准阈值,对当前采集的待检测目标的流量数据进行匹配检测,以判定当前流量数据是否异常。
根据本发明实施例的智能制造***异常流量的检测装置100,采用流量异常检测方法与协议异常检测方法相结合的方式,实现智能制造***异常流量检测。首先,通过数据采集模块10采集智能制造现场总线流量数据,指纹数据生成模块20通过对流量数据进行深度解析获取协议指纹数据,基准阈值生成模块30通过对流量数据进行流量分析获取流量基准阈值,然后由判定模块40通过数据匹配算法发现流量数据包异常,实现智能制造现场总线流量实时监测和入侵检测,提高智能制造***的安全性。
根据本发明的一些实施例,如图2所示,检测装置100还包括:指纹库创建模块200和基准阈值库创建模块300。
指纹库创建模块200用于当生成的协议指纹数据为多个时,创建存储多个协议指纹数据的协议指纹库;
基准阈值库创建模块300用于当生成的流量基准阈值为多个时,创建存储多个流量基准阈值的流量基准阈值库。
在本发明的一些实施例中,如图2所示,检测装置100还包括:异常检测字符串生成模块60,用于基于协议指纹数据和流量基准阈值生成异常检测字符串;
判定模块40具体用于对采集解析后的流量数据与异常检测字符串进行匹配,并根据匹配结果,判定当前流量数据是否异常。
根据本发明的一些实施例,判定模块40采用Boyer-Moore算法对当前采集的待检测目标的流量数据进行匹配检测。
在本发明的一些实施例中,如图2所示,检测装置100还包括:警示模块50,用于当判定当前流量数据异常时,进行警报提示。
下面参照附图以一个具体的实施例详细描述根据本发明的智能制造***异常流量的检测方法。值得理解的是,下述描述仅是示例性描述,而不应理解为对本发明的具体限制。
本实施例提供了一种基于智能制造行业现场总线流量感知技术的入侵检测方法,通过对流量数据包进行深度解析,实现智能制造行业现场总线流量的入侵检测。检测方法流程如下:
S1,采用旁路的方式采集智能制造***流量数据,作为流量感知的数据来源。对采集到的数据包进行过滤,验证工控协议数据包合规性。
S2,对数据包中的工业控制协议进行深度解析,首先通过端口信息和负载信息识别协议类型,然后对数据包物理层、数据链路层、网络层、传输层和应用层进行逐层拆包,解析数据包头部信息、源MAC地址、目标MAC地址、网络层协议标识符、源IP、目标IP、传输层协议标识符、源Port、目标Port、事务处理标识符、协议标识符、长度、单元标识符、功能码、寄存器地址、寄存器值等多项内容,形成协议指纹数据。
S3,统计智能制造***流量数据,提取连接持续时间、协议类型、连接次数、从源主机到目标主机的数据字节数等流量特征,形成流量基准阈值。
S4,基于协议指纹数据和流量基准阈值,采用BM算法,对协议指纹和流量基准阈值进行匹配,当流量包数据与***正常运行状态阈值不匹配时,及时发出预警并报告相关异常信息。
通过具体实施方式的说明,应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本发明加以限制。

Claims (10)

1.一种智能制造***异常流量检测方法,其特征在于,包括:
预先采集智能制造***中待检测目标的流量数据;
对采集的所述流量数据进行深度解析以获取数据特征信息,并基于所述数据特征信息生成协议指纹数据;
对采集的所述流量数据进行流量分析以获取流量特征,并基于所述流量特征生成流量基准阈值;
基于所述协议指纹数据和所述流量基准阈值,对当前采集的所述待检测目标的流量数据进行匹配检测,以判定当前所述流量数据是否异常。
2.根据权利要求1所述的智能制造***异常流量检测方法,其特征在于,所述方法还包括:
当生成的所述协议指纹数据为多个时,创建存储多个所述协议指纹数据的协议指纹库;
当生成的所述流量基准阈值为多个时,创建存储多个所述流量基准阈值的流量基准阈值库。
3.根据权利要求1所述的智能制造***异常流量检测方法,其特征在于,基于所述协议指纹数据和所述流量基准阈值,对当前采集的所述待检测目标的流量数据进行匹配检测,以判定当前所述流量数据是否异常,包括:
基于所述协议指纹数据和所述流量基准阈值生成异常检测字符串;
对当前采集的所述待检测目标的流量数据进行解析;
将解析后的所述流量数据与所述异常检测字符串进行匹配;
根据匹配结果,判定当前所述流量数据是否异常。
4.根据权利要求1所述的智能制造***异常流量检测方法,其特征在于,
采用Boyer-Moore算法对当前采集的所述待检测目标的流量数据进行匹配检测。
5.根据权利要求1-4中任一项所述的智能制造***异常流量检测方法,其特征在于,所述方法还包括:
当判定当前所述流量数据异常时,进行警报提示。
6.一种智能制造***异常流量检测装置,其特征在于,包括:
数据采集模块,用于预先采集智能制造***中待检测目标的流量数据;
指纹数据生成模块,用于对采集的所述流量数据进行深度解析以获取数据特征信息,并基于所述数据特征信息生成协议指纹数据;
基准阈值生成模块,用于对采集的所述流量数据进行流量分析以获取流量特征,并基于所述流量特征生成流量基准阈值;
判定模块,用于基于所述协议指纹数据和所述流量基准阈值,对当前采集的所述待检测目标的流量数据进行匹配检测,以判定当前所述流量数据是否异常。
7.根据权利要求6所述的智能制造***异常流量检测装置,其特征在于,所述检测装置还包括:
指纹库创建模块,用于当生成的所述协议指纹数据为多个时,创建存储多个所述协议指纹数据的协议指纹库;
基准阈值库创建模块,用于当生成的所述流量基准阈值为多个时,创建存储多个所述流量基准阈值的流量基准阈值库。
8.根据权利要求6所述的智能制造***异常流量检测装置,其特征在于,所述检测装置还包括:
异常检测字符串生成模块,用于基于所述协议指纹数据和所述流量基准阈值生成异常检测字符串;
所述判定模块具体用于,对采集解析后的所述流量数据与所述异常检测字符串进行匹配,并根据匹配结果,判定当前所述流量数据是否异常。
9.根据权利要求6所述的智能制造***异常流量检测装置,其特征在于,
所述判定模块采用Boyer-Moore算法对当前采集的所述待检测目标的流量数据进行匹配检测。
10.根据权利要求6-9中任一项所述的智能制造***异常流量检测装置,其特征在于,所述装置还包括:
警示模块,用于当判定当前所述流量数据异常时,进行警报提示。
CN202110367533.3A 2021-04-06 2021-04-06 智能制造***异常流量检测方法及检测装置 Active CN113285916B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110367533.3A CN113285916B (zh) 2021-04-06 2021-04-06 智能制造***异常流量检测方法及检测装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110367533.3A CN113285916B (zh) 2021-04-06 2021-04-06 智能制造***异常流量检测方法及检测装置

Publications (2)

Publication Number Publication Date
CN113285916A true CN113285916A (zh) 2021-08-20
CN113285916B CN113285916B (zh) 2022-11-11

Family

ID=77276509

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110367533.3A Active CN113285916B (zh) 2021-04-06 2021-04-06 智能制造***异常流量检测方法及检测装置

Country Status (1)

Country Link
CN (1) CN113285916B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338103A (zh) * 2021-12-15 2022-04-12 ***数智科技有限公司 一种基于tr069协议结合日志分析的异常流量处方法及***
CN114979828A (zh) * 2022-05-18 2022-08-30 成都安讯智服科技有限公司 基于Modbus的物联网通信模块流量控制方法及***
CN115238706A (zh) * 2022-07-15 2022-10-25 江苏柒捌玖电子科技有限公司 一种芯片检测及处理方法及***

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106559261A (zh) * 2016-11-03 2017-04-05 国网江西省电力公司电力科学研究院 一种基于特征指纹的变电站网络入侵检测与分析方法
US20190173899A1 (en) * 2017-12-05 2019-06-06 Schweitzer Engineering Laboratories, Inc. Network security assessment using a network traffic parameter
CN111835777A (zh) * 2020-07-20 2020-10-27 深信服科技股份有限公司 一种异常流量检测方法、装置、设备及介质
CN111988265A (zh) * 2019-05-23 2020-11-24 深信服科技股份有限公司 一种网络流量攻击识别方法、防火墙***及相关组件
CN112019575A (zh) * 2020-10-22 2020-12-01 腾讯科技(深圳)有限公司 数据包处理方法、装置、计算机设备以及存储介质
CN112134875A (zh) * 2020-09-18 2020-12-25 国网山东省电力公司青岛供电公司 一种IoT网络异常流量检测方法及***
CN112134873A (zh) * 2020-09-18 2020-12-25 国网山东省电力公司青岛供电公司 一种IoT网络异常流量实时检测方法及***

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106559261A (zh) * 2016-11-03 2017-04-05 国网江西省电力公司电力科学研究院 一种基于特征指纹的变电站网络入侵检测与分析方法
US20190173899A1 (en) * 2017-12-05 2019-06-06 Schweitzer Engineering Laboratories, Inc. Network security assessment using a network traffic parameter
CN111988265A (zh) * 2019-05-23 2020-11-24 深信服科技股份有限公司 一种网络流量攻击识别方法、防火墙***及相关组件
CN111835777A (zh) * 2020-07-20 2020-10-27 深信服科技股份有限公司 一种异常流量检测方法、装置、设备及介质
CN112134875A (zh) * 2020-09-18 2020-12-25 国网山东省电力公司青岛供电公司 一种IoT网络异常流量检测方法及***
CN112134873A (zh) * 2020-09-18 2020-12-25 国网山东省电力公司青岛供电公司 一种IoT网络异常流量实时检测方法及***
CN112019575A (zh) * 2020-10-22 2020-12-01 腾讯科技(深圳)有限公司 数据包处理方法、装置、计算机设备以及存储介质

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338103A (zh) * 2021-12-15 2022-04-12 ***数智科技有限公司 一种基于tr069协议结合日志分析的异常流量处方法及***
CN114338103B (zh) * 2021-12-15 2024-01-19 ***数智科技有限公司 一种基于tr069协议结合日志分析的异常流量处方法及***
CN114979828A (zh) * 2022-05-18 2022-08-30 成都安讯智服科技有限公司 基于Modbus的物联网通信模块流量控制方法及***
CN115238706A (zh) * 2022-07-15 2022-10-25 江苏柒捌玖电子科技有限公司 一种芯片检测及处理方法及***
CN115238706B (zh) * 2022-07-15 2023-11-07 江苏柒捌玖电子科技有限公司 一种芯片检测及处理方法及***

Also Published As

Publication number Publication date
CN113285916B (zh) 2022-11-11

Similar Documents

Publication Publication Date Title
CN113285916B (zh) 智能制造***异常流量检测方法及检测装置
US9860278B2 (en) Log analyzing device, information processing method, and program
CN107135093B (zh) 一种基于有限自动机的物联网入侵检测方法及检测***
KR100922579B1 (ko) 네트워크 공격 탐지 장치 및 방법
CN113645065B (zh) 基于工业互联网的工控安全审计***及其方法
CN106921676B (zh) 一种基于OPCClassic的入侵检测方法
CN109922085B (zh) 一种基于plc中cip协议的安全防护***及方法
CN112468488A (zh) 工业异常监测方法、装置、计算机设备及可读存储介质
CN113645232B (zh) 一种面向工业互联网的智能化流量监测方法、***及存储介质
CN101686239B (zh) 一种木马发现***
EA037617B1 (ru) Способ и система для обнаружения несанкционированного вторжения в трафик данных в сети передачи данных
CN109361673B (zh) 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法
CN107209834B (zh) 恶意通信模式提取装置及其***和方法、记录介质
CN112822151A (zh) 面向控制网络工业计算机的多层精准主动网络攻击检测方法及***
CN105592044B (zh) 报文攻击检测方法以及装置
CN110958231A (zh) 基于互联网的工控安全事件监测平台及其方法
CN111371651A (zh) 一种工业通讯协议逆向分析方法
CN111709034A (zh) 基于机器学习的工控环境智能安全检测***与方法
CN114785567B (zh) 一种流量识别方法、装置、设备及介质
KR100745678B1 (ko) 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법
CN113259367B (zh) 工控网络流量多级异常检测方法及装置
JP4309102B2 (ja) 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム
KR20070077517A (ko) 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법
Yu et al. Mining anomaly communication patterns for industrial control systems
WO2021237739A1 (zh) 工业控制***安全性分析方法、装置和计算机可读介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant