一种面向工控网络的动态基线管理与监测方法与流程

本发明属于计算机系统领域，具体涉及一种面向工控网络的动态基线管理与监测方法。
背景技术：
：作为新一轮产业变革的核心驱动力和战略焦点，卷烟生产制造的技术改革基于物联网、互联网、大数据、云计算、移动互联网等新一代信息技术，贯穿于设计、生产、管理、服务等卷烟制造各个环节，由此带来工业网络架构巨大的技术变革，其传统隔离于互联网、办公网的封闭式网络边界将逐步消失，包括智能传感控制软、硬件、新型工业网络、工业大数据平台等综合信息技术元素将替代原有老旧技术，因此其所包含的“设备”、“网络”、“应用与数据”的安全则显得尤为至关重要。而面对如此复杂庞大的新工业网络，如何利用人工智能、监督学习、大数据以及流量识别技术对工控网络安全自动建立动态安全基线并进行实时监测，已逐步成为工控网络安全管理重点关注的研究内容，是新形势下解决工控网络安全监测的新思路。技术实现要素：为了解决上述的技术问题，本发明的目的是提供一种面向工控网络的动态基线管理与监测方法，该方法能提升工控网络安全管理水平，实现“看得清”、“管得全”、“用的好”的工控网络安全管理目标。为了实现上述目的，本发明采用了以下的技术方案：一种面向工控网络的动态基线管理与监测方法，包括以下步骤，1）、数据分流：将原始的流量信息进行数据清洗、格式化操作后，提取源地址、目的地址等关键信息，对地址信息做内网、互联网地址的判断，并根据网络分类的不同将格式化后的数据发送到不同的处置模块，内网地址数据进行基线学习模块，互联网地址直接进入预警分析模块；2）、基线学习：首先，对分流而来的内网摘要数据进行源地址、目的地址、协议、端口的聚合归并，形成基线基准表；其次，对基线基准表进行目的地址最小掩码计算，形成源地址、目的地址、目的地址最小掩码的基线掩码表；最后，实时对捕获的数据做基线匹配度计算，建立基于数量的匹配度模型，逐步剔除不匹配或者很少匹配的基线；3）、预警分析：3.1）对内网流量进行分析系统实时监测工控网环境下的流量信息，提取后的摘要数据和基线表、基线掩码表做匹配，对不匹配的数据进行提取，形成异常流量告警；对异常流量告警做进一步关联，如果出现单一地址访问多个ip或者多个端口的情况，判定为内网的恶意扫描行为；若访问的端口中存在高危端口如445端口，则提示出现了可疑端口访问告警；对基线表、基线掩码表中长期不匹配的数据做标记、提醒使用者基线存在失效的可能；3.2）对互联网流量进行分析工控环境下不应该存在访问互联网的行为，一旦发现发送互联网的数据包，首先进行回包判断，如果没有回包，认为威胁程度较低，如果存在互联网回包，则进行进一步分析，根据行为特征进行关联，形成告警。作为优选方案：所述数据分流步骤如下，（1）对采集到的流量进行清洗操作，首先对传输层会话进行还原，消除网络上造成的乱序、重传，然后进行地址、协议、端口识别，从非结构化的数据流中提取摘要信息：源地址、目的地址、端口、协议，形成摘要数据，这些摘要数据将被用于后续问题定位、综合分析的数据源；（2）工控环境下，网段有严格的划分，系统内置了工控环境下的内网网段，对源地址、目的地址做正则表达式匹配，如果源地址、目的地址都是内网地址，则判定是内网通讯行为，如果源地址或目的地址符合互联网地址特征，判定是访问互联网行为；（3）如果是互联网通讯行为，即将数据包发送到预警分析模块；如果是内网通讯行为，则将数据包发送到基线学习模块。作为优选方案：步骤2）中对匹配基线掩码表不匹配基线基准表的数据，对这类进行标记、由使用人员裁定，使用人员经过研判后确定是正常通讯，则将此记录加入到基线基准表和基线掩码表中。作为优选方案：步骤2）中基线不断的学习过程中，如果发现某些通信消失，则自动变更基线、重新匹配基线掩码表，基线学习过程会不间断的对掩码范围进行重匹配，对基线掩码表进行优化。作为优选方案：步骤3.2）中的告警包括以下五类：a）单地址疑似感染：访问互联网的数据中，对源地址进行聚合，如果目的地址有多个，该源地址可能存在感染；b）多地址疑似感染：访问互联网的数据中，对目的地址进行聚合，如果出现多个源地址，可能存在多台设备被感染；c）非工作时间段告警：非正常工作时间段内，不应该存在访问互联网的行为，一旦出现访问互联网行为，认为主机可能被感染；d）频发访问互联网告警：周期性的访问互联网的行为，主机上可能存在定期建立连接或者传输数据的任务，主机可能被感染；e）访问互联网黑名单告警：本方案中内置黑名单库，当检测到访问的互联网地址中包含了黑名单地址，说明系统访问了高危ip地址，主机可能被感染。本发明通过识别工控网络内的全部应用网络协议，基于网络通讯五元组自动建立连接关系，结合监督学习算法形成动态安全基线并形成实时监测机制，提升工控网络安全管理水平，实现“看得清”、“管得全”、“用的好”的工控网络安全管理目标。与现有技术相比，本发明的优点还包括：（1）本发明具有领域创新性，建立流量的基线不同于传统的网络拓扑、流量基线更直观的反应了设备之间的最底层通讯关系、更能精确的反应出场内环境的异常流量问题、查找问题根源。（2）基线借鉴监督学习算法，具备独创性，本发明使用监督学习算法，不断优化基线，提高了基线准确度。（3）对内网流量和互联网流量根据互联网攻击特征进行深层次分析，提高了预警准确性。附图说明图1为本发明的整体流程示意图；图2为本发明的告警分类图；图3为本发明的流量分流模块示意图；图4为本发明的基线学习模块示意图；图5为本发明的预警分析模块示意图。具体实施方式为了相关技术人员更清晰的了解本发明的技术方案，现结合附图对本发明做进一步的详细说明。如图1至图5所示，本发明提供一种面向工控网络的动态基线管理与监测方法，该方法包括：对复杂的网络流量分析，从功能上分为三个模块：数据分流模块，基线学习模块，预警分析模块。数据分流模块负责将采集上来的数据做格式化处理，形成摘要数据，根据源地址、目的地址做内外网判断，并将内外网数据做分流处理。基线学习模块对摘要数据进行源地址、目的地址、目的端口等信息做聚合判断，形成基线基准表，在此基础上在做最小掩码匹配，形成基线掩码表。预警分析模块分别对内外网流量做关联统计，对异常行为形成进行聚合归并、并形成预警。、数据分流模块：数据分流：将原始的流量信息进行数据清洗、格式化等操作后，提取源地址、目的地址等关键信息，对地址信息做内网、互联网地址的判断，并根据网络分类的不同将格式化后的数据发送到不同的处置模块，内网地址数据进行基线学习模块，互联网地址直接进入预警分析模块。数据分流提高了流量分析效率、降低处理负荷、节省系统资源，实现了资源的最大化利用。数据分流步骤如下（1）对采集到的流量进行清洗操作，首先对传输层会话进行还原，消除网络上造成的乱序、重传，然后进行地址、协议、端口识别，从非结构化的数据流中提取摘要信息：源地址、目的地址、端口、协议，形成摘要数据，这些摘要数据将被用于后续问题定位、综合分析的数据源。（2）工控环境下，网段有严格的划分，系统内置了工控环境下的内网网段，对源地址、目的地址做正则表达式匹配，如果源地址、目的地址都是内网地址，则判定是内网通讯行为，如果源地址或目的地址符合互联网地址特征，判定是访问互联网行为。（3）如果是互联网通讯行为，即将数据包发送到预警分析模块；如果是内网通讯行为，则将数据包发送到基线学习模块。、基线学习模块：传统的流量学习方法面向的是网络流量的监测即是通过对网络数据的连续采集来监测网络的流量。通过历史流量数据，形成流量阈值来判断流量是否异常。传统的流量学习方法不能有效的监测出具体的异常流量，无法做微观的判断，无法捕获异常的ip信息及摘要信息，对历史数据无法回溯和分析，另外网络管理员对底层设备之间的通讯关系并不是十分明确，对出现的异常流量很难做出准确的判断，本发明提供一种基于网络流量监督学习方法，对微观数据建立通讯模型，形成通讯基线。监督学习：学习者无需任何推理或其它的知识转换，直接吸取环境所提供的信息。系统的学习方法是直接通过事先编好、构造好的基线算法来学习，学习者不作任何工作，或者是通过直接接收既定的事实和数据进行学习。基线学习算法如下（1）对分流而来的内网摘要数据进行源地址、目的地址、协议、端口的聚合归并，形成基线基准表。基线基准表，是最基本的通讯关系表，存储了每一个设备和其他设备的通讯数据概要信息包括源地址、目的地址、通讯协议、通讯端口等，清晰的展示出最底层的通讯关系。（2）对基线基准表进行目的地址最小掩码计算，形成源地址、目的地址、目的地址最小掩码的基线掩码表。例如192.168.0.1和192.168.1.1、192.168.1.2、192.168.1.3、192.168.1.4、192.168.1.5的tcp22进行通讯，则形成基线掩码表如下源地址目的地址协议端口目的地址最小掩码频率（每天）192.168.0.1192.168.1.1tcp22255.255.255.2481000192.168.0.1192.168.1.2tcp22255.255.255.2481000192.168.0.1192.168.1.3tcp22255.255.255.2481000192.168.0.1192.168.1.4tcp22255.255.255.2481000192.168.0.1192.168.1.5tcp22255.255.255.2481000a）对匹配基线掩码表不匹配基线基准表的数据如192.168.0.1与192.168.1.6的tcp22进行通讯，对这类进行标记、由使用人员裁定，使用人员经过研判后确定是正常通讯，则将此记录加入到基线基准表和基线掩码表中。b)不断的学习过程中，如果发现某些通信消失，则自动变更基线、重新匹配基线掩码表，如下192.68.0.1与192.168.1.5的tcp22频率变成0次/每天，提醒给使用人员，经确认基线失效后，则更新基线掩码表，变更最小掩码范围。源地址目的地址协议端口目的地址最小掩码频率（每天）192.168.0.1192.168.1.1tcp22255.255.255.2521000192.168.0.1192.168.1.2tcp22255.255.255.2521000192.168.0.1192.168.1.3tcp22255.255.255.2521000192.168.0.1192.168.1.4tcp22255.255.255.2521000基线学习过程会不间断的对掩码范围进行重匹配，对基线掩码表进行优化，提高基线精准。（3）实时对捕获的数据做基线匹配度计算，建立基于数量的匹配度模型，逐步剔除不匹配或者很少匹配的基线，提高基线精准度。、预警分析模块：预警分析模块对内网和互联网流量进行分别分析。（1）对内网流量进行分析系统实时监测工控网环境下的流量信息，提取后的摘要数据和基线表、基线掩码表做匹配，对不匹配的数据进行提取，形成异常流量告警。对异常流量告警做进一步关联，如果出现单一地址访问多个ip或者多个端口的情况，判定为内网的恶意扫描行为。若访问的端口中存在高危端口如445端口，则提示出现了可疑端口访问告警。对基线表、基线掩码表中长期不匹配的数据做标记、提醒使用者基线存在失效的可能。（2）对互联网流量进行分析工控环境下不应该存在访问互联网的行为，一旦发现发送互联网的数据包，首先进行回包判断，如果没有回包，认为威胁程度较低，如果存在互联网回包，则进行进一步分析，根据行为特征进行关联，形成以下五类告警，如图2所示：a）单地址疑似感染：访问互联网的数据中，对源地址进行聚合，如果目的地址有多个，该源地址可能存在感染；b）多地址疑似感染：访问互联网的数据中，对目的地址进行聚合，如果出现多个源地址，可能存在多台设备被感染；c）非工作时间段告警：非正常工作时间段内，不应该存在访问互联网的行为，一旦出现访问互联网行为，认为主机可能被感染；d）频发访问互联网告警：周期性的访问互联网的行为，主机上可能存在定期建立连接或者传输数据的任务，主机可能被感染；e）访问互联网黑名单告警：本方案中内置黑名单库，当检测到访问的互联网地址中包含了黑名单地址，说明系统访问了高危ip地址，主机可能被感染。本发明提供了一种海量流量数据的学习分析方法，具体执行方法如下：第一阶段，流量分流模块，如图3所示，其执行方法如下1.对采集的流量进行格式化处理，形成摘要数据，摘要数据包括源地址、目的地址、源端口、目的端口、摘要、包长等信息。2.根据流量中的源地址、目的地址匹配判断是否为内网地址，如果是内网地址，进入内网基线学习模块，如果是互联网地址进入到告警分析模块。第二阶段，基线学习模块，如图4所示，其执行方法如下1.对摘要数据聚合形成基线基础表；2.对源地址、协议、端口做目的地址的最小掩码匹配；3.计算聚合的数据包的频率是否达到匹配掩码条件；4.检查最小匹配掩码是否超过24位，超过24位则认为不是一个网段，重新读取基线基础表数据做匹配。如果最小匹配掩码不超过24位，则将数据读入基线掩码表；5.读取流量信息与掩码表做匹配，对不匹配的数据做预警。产生的告警经用户确认为正常访问后，系统重新匹配掩码，自动变更掩码范围。第三阶段，告警分析模块，如图5所示，其执行体方法如下：1.分别读取内网流量、外网流量；2.内网流量进行掩码匹配，流量没有匹配到基线生成内网预警。3.内网流量中访问目的ip和端口的频率过高做内网预警；4.对访问互联网的流量做分析，首先判断访问互联网的流量是否存在回包，然后对目的地址、源地址、告警时间做关联分析，当达到一定条件时生成互联网预警。如图中所示，存在下列行为的，产生互联网告警：a)源地址周期性的访问互联网行为；b)单一内网地址访问多个互联网地址的行为；c)多个地址访问一个互联网地址的行为；d)非工作时间，内网访问互联网的行为；e)目的地址再黑名单库中的访问行为。以上所述的仅是本发明的优选实施方式。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明原理的情况下，还可以作出若干改进和变型，这也视为本发明的保护范围。当前第1页12