一种工控网络设备异常流量的检测方法与流程

本发明涉及一种工控网络设备异常流量的检测方法,属于自动控制技术领域。

背景技术：

目前，随着信息技术的发展，原本物理隔离的工控生产和控制网络不得不打破隔离，与企业管理网络甚至是直接与互联网进行连通，这样原本稳定、可控、可靠的工控网络就面临越来越多的风险。从近几年发生的工控安全事件也看出工控网络遭受的攻击次数越来越多，攻击造成的伤害也越来越大。原本稳定运行，只为工控网络局域网客户端提供服务的实时服务器、历史服务器收到的请求是可控的，可度量的。原本只向工控网络局域网服务器请求数据的工作站发出的请求也是可控的，可度量的。而那些在控制层的控制器收到的指令和数据也是可控，可度量的。但现在两网融合趋势下，这些可控，可度量的流量是否还是正常的则值得思考。目前，现有的一种技术方案只适合智能变电站网络异常流量检测，方案还需要有能够镜像流量的交换机进行配合，将镜像的流量进行捕获，从而得到原始的报文信息，再通过对这些原始报文进行简单统计从而得到流量是否异常，当异常时会发送异常情况给远方调度系统，并将这些报文进行存储。

公开号为cn106611348a的专利申请公开了一种异常流量的检测方法和装置。其中，该方法包括：从广告的监测数据中提取访客访问广告的访客数据；从多个访客数据中提取第一访客数据，其中，第一访客数据为多个访客数据中时间信息在第一预设时间内的访客数据，并且第一访客数据的数量为多个；判断访客标识为同一个第一访客标识的任意两个第一访客数据的时间差是否在第二预设时间内；如果判断出访客标识为同一个第一访客标识的相邻的任意两个第一访客数据的时间差在第二预设时间内，从第一访客数据中提取出第二访客数据，并确定第二访客为导致流量异常的访客。解决了现有技术中由于某些访客流量作弊造成的广告主利益受损害的技术问题。

公开号为cn106357622a的专利申请公开了基于软件定义网络的网络异常流量检测防御系统，软件定义网络与传统网络对异常流量的检测方法大有不同，使得传统的检测方法不再适用，通过运用网络控制平面和数据平面分离的思想,软件定义网络为研发网络新应用和处理网络安全问题提供了新的解决方案。本发明利用软件定义网络架构的集中控制的特点，在攻击的源头实现流量实时监控，使用源ip防伪，接入层异常检测，链路流量异常检测形成多重防御体系，逐渐过滤异常流量，实现网络层ddos攻击在源端的检测和防御。

综上所述，目前，现有技术存在以下缺点：

1.只适用于智能变电站这一种工控网络。

2.需要有能够镜像流量的交换机进行配合才行，如果没有则无法进行异常流量检测。

3.只是站在单个网络会话的角度去度量是否异常，并没有站在设备的角度去整体度量流量是否异常。

4.异常判别的标准难以确定，并且不适合工业生产环境。

技术实现要素：

本发明的目的在于提供一种能够克服上述技术问题的工控网络设备异常流量的检测方法，由于工控网络的稳定、可靠和可控性由各方面的指标组成，其中每个设备对外的请求数量、收到的请求数量和对外提供的服务都是可度量、可控的。本发明所述方法通过一种既能够旁路部署又能够串入工控网络的设备对工控网络的流量进行实时采集和监测并利用智能学习引擎自学习工控网络正常流量形成安全基线并以此为基线对工控网络中的各个设备进行实时监测，对异常的流量进行实时告警并记录到告警日志中。本发明所述方法是解决如何全方面收集各工控系统中各个设备发送和收到的流量、如何建立安全基线、如何判定流量异常及流量异常后如何处理的问题。

本发明所述方法具体包括以下步骤：

步骤1.智能监测终端与管理平台连通：

所述智能监测终端用于采集现场流量，所述管理平台用于管理监测终端。

步骤2.设置智能监测终端部署方式：

设置的智能监测终端既能够旁路部署到支持镜像的交换机上，也能够串入网络中的指定位置进行数据采集，根据工业网络的实际情况选择设置智能监测终端的部署方式。

步骤3.开启学习模式，辅助建立网络流量监测基线：

通过开启自学习模式，建立网络流量监测基线，采用一个智能学习引擎，将采集到的现场流量进行智能化学习，辅助生成流量运行基线。只需要将智能监测终端切换到学习模式。

步骤4.转到运行模式，开始异常流量监测：

在步骤3形成的网络流量监测基线后，通过管理平台将智能监测终端切换到工作的运行模式下，正式开启流量采集及异常流量判别。

步骤5.实时采集流量，根据异常流量算法进行异常流量监测：

根据网络流量监测基线，针对每个设备进行异常流量的判别，包括流出流量、流入流量及总体流量和被访问的端口的几个维度进行综合判别，一旦有不在安全基线中的操作出现，将进行下一步。

步骤6.产生异常流量告警和记录日志：

当出现了异常流量，则在监控页面对应的设备将变成报警状态，同时产生一条能供后续查询的告警日志，并且在监控页面中当设备当前并未有异常流量但历史上曾经出现过异常但对应的异常日志还未被处理，则会有相应的提示出现在监控页面。

步骤7.重新开始监测：

经过一个监测周期后，相应的正常流量和异常流量会被重置，重新开始下一个周期的监测。

本发明的有益效果是：通过分析多行业里工业控制网络的实际流量，抽象出典型的流量模型，通过先进的自学习算法建立工业控制网络各个设备最基础的流量走势模型，以此为基础进行全天侯实时监测，一旦有异常流量触发，即以声、光的形式进行实时提醒，并产生相应的异常流量日志以供后续历史日志查询，为用户工业网络的安全、稳定、可靠运行提供有力的技术支撑。

附图说明

图1是正常情况下流量计算公式的示意图；

图2是不同周期会话老化后又重新建立流量计算公式的示意图；

图3是同一周期会话老化后又重新建立流量计算公式的示意图；

图4是周期内设备流量异常图形化显示的示意图；

图5是周期内设备流量正常图形化显示的示意图；

图6是周期内设备流量正常但有异常流量告警未处理图形化显示的示意图。

具体实施方式

下面结合说明书附图1-6对本发明的实施方式进行详细描述。本发明所述方法具体包括以下步骤：

步骤1.智能监测终端与管理平台连通：

所述智能监测终端用于采集现场流量，所述管理平台用于管理监测终端。

步骤2.设置智能监测终端部署方式：

许多工业现场的交换机都不支持镜像模式或者工业交换机也不支持镜像模式，本发明所述方法中的智能监测终端既能够旁路部署到支持镜像的交换机上，也能够串入网络中的指定位置进行数据采集，根据工业网络的实际情况选择设置智能监测终端的部署方式。

步骤3.开启学习模式，辅助建立网络流量监测基线：

通过开启自学习模式，辅助建立网络流量监测基线，采用一个智能学习引擎，将采集到的现场流量进行智能化学习，辅助生成流量运行基线，只需要将智能监测终端切换到学习模式。

步骤4.转到运行模式，开始异常流量监测：

在步骤3形成网络流量监测基线后，通过管理平台将智能监测终端切换到工作的运行模式下，正式开启流量采集及异常流量判别。

步骤5.实时采集流量，根据异常流量算法进行异常流量监测：

根据流量基线，针对每个设备进行异常流量的判别，包括流出流量、流入流量及总体流量和被访问的端口的几个维度进行综合判别，一旦有不在安全基线中的操作出现，将进行下一步。

步骤6.产生异常流量告警和记录日志：

当出现了异常流量，则在监控页面对应的设备将变成报警状态，同时产生一条能供后续查询的告警日志，并且在监控页面中当设备当前并未有异常流量但历史上曾经出现过异常但对应的异常日志还未被处理，则会有相应的提示出现在监控页面。

步骤7.重新开始监测；

经过一个监测周期后，相应的正常流量和异常流量会被重置，重新开始下一个周期的监测。

工控网络按逻辑分为企业管理层、过程监控层、现场控制层和现场设备层，整个监测支持分散部署，集中管理的方式；本发明所述方法实施方案中的多台智能监测终端分布式部署在各个工业交换机的镜像口，由所述管理平台进行统一集中管理。智能监测终端既支持旁路部署，也能够串入工控网络，无论何种部署方式，智能监测终端都不影响现场的业务生产。

在站控层的工业以太网中，支持镜像功能的工业交换机位置旁路部署一台智能监测终端，智能监测终端通过交换机镜像口复制一份经过该交换机的所有网络流量。因为是旁路部署，且智能监测终端只接收网络流量，不会对工控网络发生任何干扰报文，所以对生产工艺过程不会造成任何影响。

在现场设备层和控制层之间的交换机不支持镜像功能，智能监测终端串路部署，由于智能监测终端不拦截任何报文，也不会影响现场生产。

智能学习引擎的辅助建立网络流量监测基线的方法，学习引擎根据如下要素生成流量模型：

a.业务类型；

b.监测对象；

c.监测时间；

d.上行流量；

e.下行流量；

f.特殊波峰；

g.特殊波谷。

在以上这些要素中，根据业务类型的不同，采用的流量基础训练数据集也不同，而监测对象是工业网络中所有能够发出或接收数据的设备，包括：管理机、接口机、工程师站、操作员站、实时数据服务器、历史数据服务器、各rtu、plc。

合理判别流量是否异常的独特算法：

实施例1：

如图1所示：

开始监控时，从数据库中查到了上一周期(5分钟)最新流量值；

监控周期1(t0～t1)中，都是更新流量。

流程简述：从t0时刻开始，去数据库查询(按照5元组+开始时间查询)到了上一周期(t-1～t0)的最新流量值qc，此值就作为初值，之后周期1中接收到的流量值减去初值，作为该时间段的流量。

综上：监控周期1(t0～t1)的流量＝q1–qc。

实施例2：

如图2所示：

开始监控时，从数据库中查不到上一周期(5分钟)最新流量值；

监控周期1(t0～t1)中，都是更新流量。

流程简述：从t0时刻开始，在tm时刻，去数据库查询(按照5元组+开始时间查询)离t0时刻(这个时刻不在上一周期范围内)最近的流量值qc；为保证t0～tm时段内流量的准确性，采用以下公式计算出该段流量值：

δ＝(qm-qc)/tm-tc*(tm-t0)。

tm～t1时间段的流量＝新值qm。

所述新值：即tm～t1中再次接收到的流量值。

综上：监控周期1(t0～t1)的流量＝δ+q1–qm。

实施例3：

如图3所示：

监控周期1(t0～t1)中，同一五元组既有老化流也有新建流；监控时间段t0～td的流量计算，判断是否从数据库中查到了上一周期(5分钟)最新流量值，相应的按照情况1或者情况2处理，最后得到该时段(t0～td)的流量δ。

流程简述：从t0时刻开始，在ts2时刻，判断流量类型为1，则说明qs2表示新建流，那么周期1(t0～t1)的流量＝δ+q1。

设备流出流量：

以设备为源ip查询到的会话信息中，所有上行字节数+以设备为目的ip查询到的会话信息中，所有下行字节数。

设备流入流量：

以设备为源ip查询到的会话信息中，所有下行字节数+以设备为目的ip查询到的会话信息中，所有上行字节数。

异常流量出现后的呈现方式：

(1)当前监测周期内当设备的流量出现异常，将在监控画面用图4警示，并且持续闪烁：

(2)当前监测周期内当设备的流量无异常，并且此设备相关的所有异常流量日志都已被处理，则如图5所示：

(3)当前监测周期内当设备的流量无异常，但此设备相关的异常流量日志存在未被处理的情况，则在监控画面如图6所示。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明公开的范围内，能够轻易想到的变化或替换，都应涵盖在本发明权利要求的保护范围内。