本发明属于工业网络流量检测,具体涉及到一种工业网络流量检测系统。
背景技术:
1、随着信息化技术的发展,工业网络在各行业中的应用越来越多,但是随之而来的就是各类非法网络攻击对工业网络用户的安全威胁。现有技术中,对于工业网络攻击的检测通常是通过对攻击特征进行识别来进行直接的检测,这种方式耗时长,对于网络攻击的检测实时性不佳,经常发生检测出网络攻击时,网络系统已经收到了不可逆的破坏或信息泄露。
技术实现思路
1、本发明所要解决的技术问题在于克服上述现有技术的缺点,提供一种工业网络流量检测系统。
2、解决上述技术问题所采用的技术方案是:一种工业网络流量检测系统,包括以下步骤:
3、s1、布设集中处理模块与多个采集子模块。
4、s2、通过s1中布设的采集模块来获得工业网络流量的数据。
5、s3、集中处理模块通过流量特征提取工具分析获得的工业网络流量数据,并获得提取特征。
6、s4、对s3中获得的特征进行再检测识别,得到识别结果。
7、s5、集中处理模块根据识别结果进行记录。
8、进一步的,s1中所述的集中采集模块包括上传有公共通信协议以及私有协议的服务器,所述的集中采集模块与采集子模块均具有以太网标准接口,所述的采集子模块具备有rs485、rs232、can、profibus、ethernet中的一个或者多个接口。
9、进一步的,s3中所述的流量特征提取工具为wireshark。
10、进一步的,s3中所述的提取特征为获取待检测工业网络流量对应的连接行为特征和时间特征,并对连接行为特征进行分类编码,得到待检测编码连接行为特征,其中工业流量对应的源ip、目的ip以及对应的协议属于所述的连接行为特征。
11、进一步的,s4中的所述再检测识别包括以下步骤:
12、s4.1、集中采集模块对s3中所得特征进行判断,若识别该通信协议是否包含在网络模拟服务所支持的通信协议中,获得识别结果。
13、s4.2、根据s4.1中进行判断的结果,若识别结果为网络流量的通信协议为所支持的通信协议,则服务器允许建立通信。
14、s4.3、若识别结果为网络流量的通信协议不为所支持的通信协议,则服务器返回默认响应报文。
15、进一步的,s5中所述的对识别结果记录包括以下步骤:
16、s5.1、对识别结果未通过通信协议的网络流量进行再识别,识别出含有攻击行为的数据流量。
17、s5.2、对s5.1中识别出的数据流量进行二次检测,识别出攻击行为所涉及的数据。
18、s5.3、将s5.2中生成的报告进行储存,为后续检测提供数据支持。
19、进一步的,s5.1中所述的再识别具体为提取网路流量中的关键字作为高可信度序列。
20、进一步的,s5.2中所述的二次检测具体为利用高可信度序列对数据流量进行匹配关联。
21、本发明的有益效果如下:本发明通过布设的多个采集子模块与集中处理模块进行数据采集,并通过对特征进行提取,再根据所上传的通信协议对数据进行响应,并对攻击数据进行识别记录,对历史数据进行实时更新,可以进一步提高对攻击行为检测的准确度,从而保证攻击行为检测的准确度以及检测反应速度。
1.一种工业网络流量检测系统,包括以下步骤:
2.根据权利要求1所述的一种工业网络流量检测系统,其特征在于:s1中所述的集中采集模块包括上传有公共通信协议以及私有协议的服务器,所述的集中采集模块与采集子模块均具有以太网标准接口,所述的采集子模块具备有rs485、rs232、can、profibus、ethernet中的一个或者多个接口。
3.根据权利要求1所述的一种工业网络流量检测系统,其特征在于:s3中所述的流量特征提取工具为wireshark。
4.根据权利要求1所述的一种工业网络流量检测系统,其特征在于:s3中所述的提取特征为获取待检测工业网络流量对应的连接行为特征和时间特征,并对连接行为特征进行分类编码,得到待检测编码连接行为特征,其中工业流量对应的源ip、目的ip以及对应的协议属于所述的连接行为特征。
5.根据权利要求1所述的一种工业网络流量检测系统,其特征在于:s4中的所述再检测识别包括以下步骤:
6.根据权利要求1所述的一种工业网络流量检测系统,其特征在于:s5中所述的对识别结果记录包括以下步骤:
7.根据权利要求6所述的一种工业网络流量检测系统,其特征在于:s5.1中所述的再识别具体为提取网路流量中的关键字作为高可信度序列。
8.根据权利要求7所述的一种工业网络流量检测系统,其特征在于:s5.2中所述的二次检测具体为利用高可信度序列对数据流量进行匹配关联。
