一种局域网中设备通讯行为检测方法及装置与流程

本发明涉及工业控制网络信息安全技术领域，具体涉及一种局域网中设备通讯行为检测方法及装置。

背景技术：

随着信息化和工业化进程的加速，工业化与信息化的融合趋势越来越明显，工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。未来为了提高生产效率和效益，工控网络会越来越开放，而开放带来的诸如木马、病毒、网络攻击等安全问题将成为制约两化融合以及工业4.0发展的重要因素。传统的物理隔离的解决方法已经不能满足现阶段两化融合发展对安全的需求了。

技术实现要素：

有鉴于此，本发明实施例提供了一种局域网中设备通讯行为检测方法及装置，以解决工业现场内部设备异常连接内部设备问题。

根据第一方面，本发明实施例提供了一种局域网中设备通讯行为检测方法，包括：获取局域网中设备的第一标识特征和第一流量分析特征；根据第一标识特征和第一流量分析特征得到安全流量模型；利用安全流量模型建立局域网中的设备白名单；根据设备白名单检测设备在局域网中的通讯行为。

可选地，获取局域网中设备的第一标识特征和第一流量分析特征包括：获取发生通讯行为的设备的第一数据包；在第一数据包中提取第一标识特征；基于第一标识特征按至少一个第一预设时间间隔统计与第一标识特征对应的流量信息，得到第一流量分析特征，流量信息包括流量和/或报文数量。

可选地，根据第一流量分析特征得到安全流量模型包括：利用第一标识特征和第一流量分析特征对机器学习模型训练，得到安全流量模型，安全流量模型包括：第一预设时间间隔内第一标识特征对应的流量和/或报文数量的区间范围。

可选地，第一标识特征包括设备的ip地址和/或mac地址。

可选地，利用安全流量模型建立局域网中的设备白名单包括：获取当前设备的第二标识特征和第二流量分析特征；将当前设备的第二标识特征和第二流量分析特征输入安全流量模型得到对应的结果信息，结果信息用于表征当前设备的第二标识特征对应的流量和/或报文数量是否在安全流量模型中与当前设备的第二标识特征对应的第一标识特征的流量和/或报文数量的区间范围内；根据结果信息建立设备白名单。

可选地，将当前设备的第二标识特征和第二流量分析特征输入安全流量模型得到对应的结果信息包括：判断安全流量模型中是否存在与当前设备的第二标识特征对应的第一标识特征；当安全流量模型中存在与当前设备的第二标识特征对应的第一标识特征时，判断当前设备的第二标识特征的流量和/或报文数是否在与当前设备的第二标识特征对应的第一标识特征的流量和/或报文数的区间范围内；当当前设备的第二标识特征的流量和/或报文数在与当前设备的第二标识特征对应的第一标识特征的流量和/或报文数的区间范围内，将当前设备加入设备白名单。

可选地，当安全流量模型中不存在与当前设备的第二标识特征对应的第一标识特征时，禁止当前设备加入设备白名单。

可选地，获取当前设备的第二标识特征和第二流量分析特征包括：获取发生通讯行为的当前设备的第二数据包；在第二数据包中提取当前设备的第二标识特征；基于当前设备的第二标识特征按第二预设时间间隔统计与当前设备的第二标识特征对应的流量信息，得到当前设备的第二流量分析特征，流量信息包括当前设备的流量和/或报文数量。

可选地，根据设备白名单检测设备在局域网中的通讯行为包括：获取待检测标识特征；判断设备白名单中是否存在与待检测标识特征对应的第一标识特征；当述设备白名单中不存在与待检测标识特征对应的第一标识特征时，输出警告信息。

可选地，当述设备白名单中存在与待检测标识特征对应的第一标识特征时，获取待检测标识特征对应的流量和/或报文数量；判断待检测标识特征对应的流量和/或报文数量是否在与待检测标识特征对应的第一标识特征对应的流量/和或报文数量区间范围内；当待检测标识特征对应的流量和/或报文数量超出与待检测标识特征对应的第一标识特征对应的流量/和或报文数量区间范围时，输出警告信息。

根据第二方面，本发明实施例提供了一种局域网中设备通讯行为检测装置，包括：获取模块，用于获取局域网中设备的第一标识特征和第一流量分析特征；输出模块，用于根据第一标识特征和第一流量分析特征得到安全流量模型；建立模块，用于利用安全流量模型建立局域网中的设备白名单；检测模块，用于检测根据设备白名单检测设备在局域网中的通讯行为。

根据第三方面，本发明实施例提供了一种工业现场内部网络系统，包括：管理层，具有安全管理平台；控制层，用于控制多个工业设备，通信行为采集装置，设置在管理层和控制层之间，用于采集多个工业设备的通讯行为；安全管理平台包括：至少一个处理器；以及与至少一个处理器通信连接的存储器；其中，存储器存储有可被一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器执行上述任意实施例的局域网中设备通讯行为检测方法。

本发明实施例提供了一种局域网中设备通讯行为检测方法及装置，通过建立安全流量模型和设备白名单对局域网中的设备的通讯行为进行检测，能够发现局域网中未知设备接入内网产生通讯的行为，解决了工业现场内部设备异常连接内部设备问题。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明实施例局域网中设备通讯行为检测方法示意图；

图2示出了本发明实施例建立设备白名单流程图；

图3是根据本发明实施例监控非法连接流程图；

图4示出了本发明实施例局域网中设备通讯行为检测装置结构示意图；

图5示出了本发明实施例工业现场内部网络系统结构框图；

图6示出了本发明实施例安全管理平台结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供了一种局域网中设备通讯行为检测方法，如图1所示，包括：

s101.获取局域网中设备的第一标识特征和第一流量分析特征。

在本实施例中，获取局域网中设备的第一标识特征和第一流量分析特征包括：获取发生通讯行为的设备的第一数据包；在第一数据包中提取第一标识特征；基于第一标识特征按至少一个第一预设时间间隔统计与第一标识特征对应的流量信息，得到第一流量分析特征，流量信息包括流量和/或报文数量。

具体的，第一标识特征包括设备的ip地址和/或mac地址。第一预设时间可以是每分钟、每小时或每天中的一种或多种。本发明实施例为了较为全面的获得第一流量分析特征，第一预设时间设置为每分钟、每小时和每天，也即按照每分钟、每小时和每天分别统计与设备的ip地址和/或mac地址对应的流量信息。

s102.根据第一标识特征和第一流量分析特征得到安全流量模型。

在本实施例中，根据第一流量分析特征得到安全流量模型包括：利用第一标识特征和第一流量分析特征对机器学习模型训练，得到安全流量模型，安全流量模型包括：第一预设时间间隔内第一标识特征对应的流量和/或报文数量的区间范围。

具体的，基本安全流量模型中只保存相同第一标识特征每分钟最小流量与报文数、最大流量与报文数、每小时最小流量与报文数、最大流量与报文数、每天最小流量与报文数、最大流量与报文数。第一标识特征对应的流量区间范围为最大流量与最小流量的区间，第一标识特征对应的报文数量的区间范围为最大报文数量与最小报文数量的区间。

s103.利用安全流量模型建立局域网中的设备白名单。

在本实施例中，利用安全流量模型建立局域网中的设备白名单是将当前设备的第二标识特征和第二标识特征对应的流量和/或报文数量第一标识和第一标识特征对应的流量和/或报文数量的区间范围进行匹配得到的。

s104.根据设备白名单检测设备在局域网中的通讯行为。

本发明实施例提供了一种局域网中设备通讯行为检测方法及装置，通过建立安全流量模型和设备白名单对局域网中的设备的通讯行为进行检测，能够发现局域网中未知设备接入内网产生通讯的行为，解决了工业现场内部设备异常连接内部设备问题。

在可选的实施例中，如图2所示，利用安全流量模型建立局域网中的设备白名单包括：

s21.获取当前设备的第二标识特征和第二流量分析特征；

在本实施例中，获取当前设备的第二标识特征和第二流量分析特征包括：获取发生通讯行为的当前设备的第二数据包；在第二数据包中提取当前设备的第二标识特征；基于当前设备的第二标识特征按第二预设时间间隔统计与当前设备的第二标识特征对应的流量信息，得到当前设备的第二流量分析特征，流量信息包括当前设备的流量和/或报文数量。将当前设备的第二标识特征和第二流量分析特征输入安全流量模型得到对应的结果信息，结果信息用于表征当前设备的第二标识特征对应的流量和/或报文数量是否在安全流量模型中与当前设备的第二标识特征对应的第一标识特征的流量和/或报文数量的区间范围内。具体的将当前设备的第二标识特征和第二流量分析特征输入安全流量模型得到对应的结果信息可以包括如下步骤：

s22.判断安全流量模型中是否存在与当前设备的第二标识特征对应的第一标识特征；当安全流量模型中存在与当前设备的第二标识特征对应的第一标识特征时，进入步骤s23。当安全流量模型中不存在与当前设备的第二标识特征对应的第一标识特征时，进入步骤s25。

s23.判断当前设备的第二标识特征的流量和/或报文数是否在与当前设备的第二标识特征对应的第一标识特征的流量和/或报文数的区间范围内；当当前设备的第二标识特征的流量和/或报文数在与当前设备的第二标识特征对应的第一标识特征的流量和/或报文数的区间范围内，进入步骤s24。当当前设备的第二标识特征的流量和/或报文数超出与当前设备的第二标识特征对应的第一标识特征的流量和/或报文数的区间范围时，进入步骤s25。

s24.将当前设备加入设备白名单。

s25.禁止当前设备加入设备白名单。

在可选的实施例中，如图3所示，根据设备白名单检测设备在局域网中的通讯行为包括：

s31.获取待检测标识特征。

s32.判断设备白名单中是否存在与待检测标识特征对应的第一标识特征；当设备白名单中不存在与待检测标识特征对应的第一标识特征时，进入步骤s36。当设备白名单中存在与待检测标识特征对应的第一标识特征时，进入步骤s33。

s33.获取待检测标识特征对应的流量和/或报文数量。

s34.判断待检测标识特征对应的流量和/或报文数量是否在与待检测标识特征对应的第一标识特征对应的流量/和或报文数量区间范围内；当待检测标识特征对应的流量和/或报文数量超出与待检测标识特征对应的第一标识特征对应的流量/和或报文数量区间范围时，进入步骤s36。当待检测标识特征对应的流量和/或报文数量超出与待检测标识特征对应的第一标识特征对应的流量/和或报文数量区间范围时，进入步骤s35。

s35.允许运行。

s36.发出告警信息。

具体的，工业防火墙设备(teg)用于收集工业设备通讯行为，工控监测终端(sma)用于收集所有经过交换机的通讯行为。安全管理平台(usm)接收到工业防火墙设备与工控监测终端上传的通讯行为数据后，获取数据ip、mac标识特征，判断设备白名单中是否存在该ip、mac标识特征，当设备白名单中不存在该ip、mac标识特征，生成告警信息，告警级别为关键。在未知设备白名单列表中，但是违反流量白名单也会产生告警信息告警级别为警告。告警信息包含的字段：ip地址、mac地址、告警时间、告警设备ip、告警设备名称，告警产生区域、设备具体位置、流量数、报文数、告警级别。告警在未知设备告警页面展示。

在可选的实施例中，当产生告警信息后，产生告警信息同时会有短信、邮件、声音告警。审计管理员收到告警短信、邮件、声音告警后，可登录usm查看并处理告警信息。未知设备告警页面关键级别的告警，处理动作有：加入白名单、阻断、关闭。选择加入白名单后，更新设备白名单。阻断选择后，usm下发当前告警信息中ip地址与mac地址信息到ieg，ieg接收信息后会直接阻断当前ip、mac的通讯行为，后续相同ip、mac的通讯行为都会被阻断。关闭选择后，会关闭当前ip、mac告警信息，不会阻止通讯，后续相同ip、mac产生通讯行为会继续产生告警。未知设备告警页面告警级别的告警，处理动作有：加入白名单、关闭。选择加入白名单后，更新流量白名单内当前ip、mac的范围信息，关闭选择后，会关闭当前ip、mac告警信息，不会阻止通讯，后续相同ip、mac产生通讯行为会继续产生告警。

本发明实施例还提供了一种局域网中设备通讯行为检测装置，如图4所示，包括：获取模块61，用于获取局域网中设备的第一标识特征和第一流量分析特征；输出模块62，用于根据第一标识特征和第一流量分析特征得到安全流量模型；建立模块63，用于利用安全流量模型建立局域网中的设备白名单；检测模块64，用于检测根据设备白名单检测设备在局域网中的通讯行为。具体的实施例详见上述实施例局域网中设备通讯行为检测方法的描述。

本发明实施例还提供了一种工业现场内部网络系统，如图5所示，包括：管理层10，具有安全管理平台11；控制层30，用于控制多个工业设备40；通信行为采集装置20，设置在管理层10和控制层30之间，用于采集多个工业设备40的通讯行为。

具体的，安全管理平台11(简称usm)部署在管理层10，控制层30布置有多个工控主机卫士31，用于控制多个工业设备40，通信行为采集装置20包括工业防火墙21(简称teg)和工控监测终端22(简称sma)。安全管理平台11用于统一管理工业防火墙21与工控监测终端22，分析工业防火墙21与工控监测终端22上报数据，建立通常通讯行为白名单，展示告警，处理告警。工业防火墙21部署于工业网络环境边界，用于收集工业设备40的通讯行为，阻断所有不在正常通讯行为白名单中的通讯行为。工控监测终端22镜像部署于交换机50，用于所有经过交换机50的通讯行为。工控主机卫士30安装在过程控制层所有主机上，用于阻断非法设备通讯。工业现场部署图如图5所示，2台监测终端旁路部署在管理层10与控制层30之间，记录所有管理层10与控制层30之间的通讯行为，3台工业防火墙并联部署在管理层10与控制层30之间，记录所有的工业设备40的通讯行为，通过交换机50把工业防火墙21与工控监测终端22记录的所有通讯行为上传给安全管理平台11。安全管理平台11通过交换机50与工业防火墙21和工控监测终端22通讯，配置管理员通过安全管理平台11下发学习模式到工业防火墙21和工控监测终端22。

安全管理平台11包括：至少一个处理器；以及与至少一个处理器通信连接的存储器；图6中以一个处理器71为例。

安全管理平台还可以包括：输入装置73和输出装置74。

处理器71、存储器72、输入装置73和输出装置74可以通过总线或者其他方式连接，图6中以通过总线连接为例。

处理器71可以为中央处理器(centralprocessingunit，cpu)。处理器71还可以为其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field－programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

存储器72作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如本申请实施例中的局域网中设备通讯行为检测方法对应的程序指令/模块。处理器71通过运行存储在存储器72中的非暂态软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述方法实施例局域网中设备通讯行为检测方法。

存储器72可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据用户终端操作的处理装置的使用所创建的数据等。此外，存储器72可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器72可选包括相对于处理器71远程设置的存储器，这些远程存储器可以通过网络连接至图像检测、处理装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置73可接收输入的数字或字符信息，以及产生与用户终端的处理装置的用户设置以及功能控制有关的键信号输入。输出装置74可包括显示屏等显示设备。

一个或者多个模块存储在存储器72中，当被一个或者多个处理器71执行时，执行如图1所示的方法。

其中，存储器存储有可被一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器执行上述任意实施例的局域网中设备通讯行为检测方法。

虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。