数控环境下的网络安全审计方法及系统与流程

本发明属于计算机系统审计技术领域，尤其涉及一种数控环境下的网络安全审计方法及系统。

背景技术：

安全审计系统对网络中各实体行为进行安全审计，记录发生的所有事务，提供给安全检查程序或者系统管理员，作为检查系统漏洞、维护系统安全以及防范入侵行为的依据。

传统计算机安全审计系统面对设备复杂、安全要求高的大型网络，需要对网络整体进行记录。但是由于网络中各设备往往自带审计模块，且由于提供功能不一致，数据格式不一致，审计分析规则不统一，无法批量调整更迭，系统日常运营及维护开销大等缺点。造成了无法对网络各实体做到尽职尽责的安全审计调查功能。如果需要全面了解系统内各设备运行状态，并对各设备的审计模块进行统一规范。同时需要从计算机网络出发建立一个适用于数控加工环境下的网络安全审计系统。

通过上述分析，现有技术存在的问题及缺陷为：(1)数控加工环境下，边缘设备由于性能和带宽等问题，现有方法对于设备性能及带宽要求偏高。

(2)工业生产环境下，设备品牌及类型多样，需要统一的数据格式。

(3)缺少对于可移动设备移动性的安全管控。

(4)在数控环境下，需要为设备使用不同的安全策略。同时设备行为可以预估，但是需要对其分级处理。

解决以上问题及缺陷的难度为：其难点在于在满足安全审计的前提下，保证多种通信需求下的通信质量。统一不同设备的通信接口及数据格式，对于各设备进行相对应的安全审核。设置合适的安全审计策略，会同系统其它方法进行协助。

解决以上问题及缺陷的意义为：开发适用于数控环境下的网络安全审计。在统一通信接口的基础上，完成审计功能，对于维护数控加工设备、关键g代码等核心数据安全，保证加工质量等方面具有重要意义。

技术实现要素：

为了解决现有技术存在的问题，本发明提供了一种数控环境下的网络安全审计方法及系统。

本发明是这样实现的，一种数控环境下的网络安全审计的方法，包括：

步骤一，对数控加工环境中的无线ap信号进行扫描，记录ap信号关键信集成ap定位工具，获得未知位置的ap，并在工程图纸中进行标注；

步骤二，对于有线及无线通信过程中，所捕获到的通信报文进行协议解析和分类统计，记录通信协议关键信息；

步骤三，根据协议类型，进一步分析所包含的明文数据内容；检测发现内部主机企图连接互联网的行为，对违规外联、木马泄密行为进行监测；同时集成网络入侵检测功能并记录各实体操作，识别主流的网络入侵行为。

进一步，所述步骤二对于所捕获的数据报文进行协议解析和分类统计中，对通信端安全协商过程、数据通信行为、通信系统管理及事件进行记录，使用统一的格式生成审计日志。

进一步，所述步骤二中，通信数据捕获模块对所捕获的报文进行协议解析和分类统计，记录关键信息如来源与目的ip地址，数据量及应用层协议等关键信息；同时集成漏洞扫描工具，对于安全性错误配置、默认密码、常见密码以及密码缺失进行提示，同时进行网络主机探测、端口探测扫描，硬件特性及版本信息检测，对已知系统漏洞进行扫描；

集成的入侵检测模块根据入侵检测策略数据库所提供的入侵策略进行检测；

基于主机的通信检测，根据数据库中各设备对应的用户组权限或者使用的权限与预设相异，记录在安全设计数据库。

进一步，所述步骤二记录通信协议关键信息中，安全事件预警模块根据记录在数据库中的实体行为记录，按预设策略及敏感数据内容进行预警，将异常情况用可视化模块提供给上位机；同时系统日记管理模块对日志进行统一格式的处理及保护。

进一步，所述步骤三识别主流的网络入侵行为包括对数据通信行为中地理位置识别，所述对数据通信行为中地理位置识别包括：

1)对移动设备透明，通过多个无线设备网关，对于通信设备信号强度的探测，结合物理地图上各已知位置的信号强度，计算出移动设备位置；

2)通过模块化地图编辑对程序进行复用，用于不同工作环境；

3)通过地理位置的计算，结合神经网络获取行动轨迹。

进一步，所述步骤三识别主流的网络入侵行为包括针对工业互联网所研发，所述对数据通信行为中安全审计中，需要对原始数据流进行进行初步审查，根据其通信协议类型及实体信息，结合审计策略配置。对于主流通信行为如互联网访问、文件传输、收发邮件及远程访问等高风险行为通过快速匹配算法、查询审计策略数据库及敏感数据分级访问控制等方式进行审计分析。同时将得到的审计数据进行建模分析。对于风险行为进行预警和时间溯源。

本发明的另一目的在于提供一种数控加工环境下无线信号监测及通信行为审计系统，所述数控加工环境下无线信号监测及通信行为审计系统包括：

上位机、下位机、网关级和总线级智能模块；

上位机，负责人机界面交互、人脸识别、云服务器通讯；

下位机，负责加工控制、现场总线通讯；

智能模块，利用cpu对获取的数据进行运算处理，并把处理完的数据写入fpga，通过总线与数控系统或其他现场设备进行数据交换；

网关级智能模块，为机器人、agv小车、数控机床现场设备接入nc-link网络的网关，还用于于现场设备通过无线和有线方式连接，与现场设备通信；

总线级智能模块，用于接入在数控系统的ncuc总线中，负责接收和处理多种传感器、无线设备的数据并将处理后的数据发送给数控系统。

进一步，所述智能模块包括：无线信号接收/发送模块、无线信号分析模块、通信数据捕获模块、协议数据分析模块、入侵检测模块、主机漏洞扫描模块、安全事件预警模块、系统日志管理模块及系统配置管理模块；

无线信号接收/发送模块，所接收/发送的信号，提供给无线信号检测模块和通信数据捕获模块，作为通信时的原始数据；

由无线信号检测模块和无线信号分析模块通过接收信号强度对ap信号进行物理位置定位；

环境地图显示与编辑模块，在固定设备移动以及固定点移动时，更新并计算移动ap的物理位置；

无线信号分析模块，将对于各个移动ap分析所得的物理位置的最终结果持久化存储，得到各ap的移动路径；

协议数据分析模块，实时收集流入网络内所有数据包，并对收集的数据包进行协议分析；通过对数据包拆包，记录设备识别码、源ip地址、目标ip地址、应用层通信协议类型、数据包大小、时间、通信时长关键信息；随后交付给入侵检测模块，根据协议类型，访问对象，访问频次信息，结合敏感数据访问控制系统，判断本次通信是否合法；随后将行为记录持久化保存；

入侵检测模块，将不符合配置或者行为异常予以标记并进行提示；在异常行为发生时，能够对入侵行为进行快速响应，对于严重违规行为进行拦截，同时防止入侵行为进入其他子网络；对于各目标网络内的异常流量进行检测与监控；最终将监听到的行为写入安全审计数据库中，对于蜜罐等实体，接受数据保存；

安全事件预警模块，分析多网络，多设备及多状态下的运行记录；对于行为数据进行预测；同时对于传统密码口令，配置或分组错误，设置不正确问题进行预警；反应到上位机中，通过可视化模块展示；

系统日志管理模块，将操作行为予以记录，归存，由统计与分析报表系统进行分类归档处理；

系统配置管理模块，对系统配置管理数据库维护，核实各用户权限组，操作记录，为各实体角色/用户组进行标记。

本发明的另一目的在于提供一种接收用户输入程序存储介质，所存储的计算机程序使电子设备执行所述数控加工环境下无线信号监测及通信行为审计的方法。

本发明的另一目的在于提供一种存储在计算机可读介质上的计算机程序产品，包括计算机可读程序，供于电子装置上执行时，提供用户输入接口以实施所述数控加工环境下无线信号监测及通信行为审计的方法。

本发明的另一目的在于提供一种执行所述数控加工环境下无线信号监测及通信行为审计的方法的计算机。

结合上述的所有技术方案，本发明所具备的优点及积极效果为：本发明由各模块组成适用于加工环境下的安全审计系统，相较于传统安全审计系统而言，考虑了数控加工情况下的边缘设备加密能力差，数据安全性与完整性要求高，同时对于网络连接质量具有较高要求，设备状况相似，各实体行为可以预估。因此开发了一种更适用于数控加工环境下的网络安全审计系统。

对数控加工环境中的无线ap信号进行扫描，记录ap信号关键信集成ap定位工具，协助找到未知位置的ap，并在工程图纸中进行标注。捕获有线传输和无线传输的通信报文，对于所捕获的数据报进行协议解析和分类统计，记录通信协议关键信息。根据协议类型，进一步分析所包含的明文数据内容。检测发现内部主机企图连接互联网的行为，对违规外联、木马泄密等行为监测有重要意义。同时集成网络入侵检测功能并记录各实体操作，使其能够识别主流的网络入侵行为。

与现有技术相比，更适用于工作环境复杂，通信设备复杂，通信过程安全要求高的数控加工环境下的网络安全审计。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图做简单的介绍，显而易见地，下面所描述的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的数控加工环境下无线信号监测及通信行为审计方法流程图。

图2是本发明实施例提供的数控加工环境下无线信号监测及通信行为审计方法原理图。

图3是本发明实施例提供的数控加工环境下无线信号监测及通信行为审计系统示意图。

图4是本发明实施例提供的数控加工环境下无线信号监测及通信行为审计系统的智能模块示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

数控加工环境下，实体行为的审计及关键数据的记录效果差，通信设备复杂。

针对现有技术存在的问题，本发明提供了一种数控加工环境下无线信号监测及通信行为审计方法及系统，下面结合附图对本发明作详细的描述。

本发明从传统计算机安全审计系统出发，以网络审计模块、操作系统审计模块、数据库审计模块及主机审计模块为雏形，结合实际需求结合了以下技术：

网络监听技术：通过对网络流量的分析与还原，实现对于网络及数据库访问的审计，从而监控网络运行状态，管理网络所传输的关键信息，例如：端口，源ip，源主机识别码等。但是往往无法对传输具体内容进行审计。

审计数据读取技术：通过对敏感数据分级，根据实体所在的组确定其读写改权限。同时对于用户口令，设置是否正确进行检查。确保身份信息正确。通过合理的加密手段，确定该实体能正确拥有相应权限。

审计数据分析技术：借助系统的行为记录，考虑某一个或者某几个实体行为是否异常。对于异常行为按照预设规则进行提示和预警。此时对于行为的记录，合理的组织与联系，同时合理的策略以及对于配置的检查是审计数据分析技术的关键。

如图1所示，本发明提供一种数控加工环境下无线信号监测及通信行为审计的方法，包括：

s101，对数控加工环境中的无线ap信号进行扫描，记录ap信号关键信集成ap定位工具，获得未知位置的ap，并在工程图纸中进行标注。

s102，捕获接收到的通信报文，对于所捕获的数据报文进行协议解析和分类统计，记录通信协议关键信息。

s103，根据协议类型，进一步分析所包含的明文数据内容；检测发现内部主机企图连接互联网的行为，对违规外联、木马泄密行为进行监测；同时集成网络入侵检测功能并记录各实体操作，识别主流的网络入侵行为。

所述步骤s102对于所捕获的数据报文进行协议解析和分类统计中，对通信端安全协商过程、数据通信行为、通信系统管理及事件进行记录，使用统一的格式生成审计日志。

所述步骤s102中，通信数据捕获模块对所捕获的报文进行协议解析和分类统计，记录关键信息如来源与目的ip地址，数据量及应用层协议等关键信息；同时集成漏洞扫描工具，对于安全性错误配置、默认密码、常见密码以及密码缺失进行提示，同时进行网络主机探测、端口探测扫描，硬件特性及版本信息检测，对已知系统漏洞进行扫描。

集成的入侵检测模块根据入侵检测策略数据库所提供的入侵策略进行检测。

基于主机的通信检测，根据数据库中各设备对应的用户组权限或者使用的权限与预设相异，记录在安全设计数据库。

所述步骤s102记录通信协议关键信息中，安全事件预警模块根据记录在数据库中的实体行为记录，按预设策略及敏感数据内容进行预警，将异常情况用可视化模块提供给上位机；同时系统日记管理模块对日志进行统一格式的处理及保护。

所述步骤s103识别主流的网络入侵行为包括对数据通信行为中地理位置识别，所述对数据通信行为中地理位置识别包括：

1)对移动设备透明，通过多个无线设备网关，对于通信设备信号强度的探测，结合物理地图上各已知位置的信号强度，计算出移动设备位置。

2)通过模块化地图编辑对程序进行复用，用于不同工作环境。

3)通过地理位置的计算，结合神经网络获取行动轨迹。

如图3，本发明提供一种数控加工环境下无线信号监测及通信行为审计系统，包括：

上位机、下位机、网关级和总线级智能模块。

上位机，负责人机界面交互、人脸识别、云服务器通讯。

下位机，负责加工控制、现场总线通讯。

智能模块，利用cpu对获取的数据进行运算处理，并把处理完的数据写入fpga，通过总线与数控系统或其他现场设备进行数据交换；

网关级智能模块，为机器人、agv小车、数控机床现场设备接入nc-link网络的网关，还用于于现场设备通过无线和有线方式连接，与现场设备通信；

总线级智能模块，用于接入在数控系统的ncuc总线中，负责接收和处理多种传感器、无线设备的数据并将处理后的数据发送给数控系统。

如图4，所述智能模块包括：无线信号接收/发送模块、无线信号分析模块、通信数据捕获模块、协议数据分析模块、入侵检测模块、主机漏洞扫描模块、安全事件预警模块、系统日志管理模块及系统配置管理模块。

无线信号接收/发送模块，所接收/发送的信号，提供给无线信号检测模块和无线通信数据捕获模块，作为通信时的原始数据。

由无线信号检测模块和无线信号分析模块通过接收信号强度对ap信号进行物理位置定位。

环境地图显示与编辑模块，在固定设备移动以及固定点移动时，更新并计算移动ap的物理位置。

无线分析模块，将对于各个移动ap分析所得的物理位置的最终结果持久化存储，得到各ap的移动路径；实时收集流入目标网络内所有数据包，并对收集的数据包进行协议分析；通过对数据包拆包，记录设备识别码、源ip地址、目标ip地址、应用层通信协议类型、数据包大小、时间、通信时长关键信息；随后交付给入侵检测模块，根据协议类型，访问对象，访问频次信息，结合敏感数据访问控制系统，判断本次通信是否合法；随后将行为记录持久化保存。

入侵检测模块，将不符合配置或者行为异常予以标记并进行提示；在异常行为发生时，能够对入侵行为进行快速响应，对于严重违规行为进行拦截，同时防止入侵行为进入其他子网络；对于各目标网络内的异常流量进行检测与监控；最终将监听到的行为写入安全审计数据库中，对于蜜罐等实体，接受数据保存。

安全事件预警模块，分析多网络，多设备及多状态下的运行记录；对于行为数据进行预测；同时对于传统密码口令，配置或分组错误，设置不正确问题进行预警；反应到上位机中，通过可视化模块展示。

系统日志管理模块，将操作行为予以记录，归存，由统计与分析报表系统进行分类归档处理。

系统配置管理模块，对系统配置管理数据库维护，核实各用户权限组，操作记录，为各实体角色/用户组进行标记。

下面结合具体实施例对本发明作进一步描述。

实施例

实施方案以华中9型ncu硬件架构为基础，如图3-图4所示，由上位机、下位机、网关级和总线级智能模块及其余模块构成。其中上位机主要负责人机界面交互、人脸识别、云服务器通讯等运算量大但对实时性要求不高的任务，下位机主要负责加工控制、现场总线通讯等对实时性要求较高的任务。网关级和总线级智能模块是一种分布式计算单元，根据假设位置不同负责不同的功能。其硬件上采用cpu+fpga的结构，使其具备独立的数据处理能力。智能模块利用cpu对获取的数据进行运算处理，并把处理完的数据写入fpga，通过总线来与数控系统或其他现场设备进行数据交换。总线级智能模块接入在数控系统的ncuc总线中，负责接收和处理多种传感器、无线设备等的数据并将处理后的数据发送给数控系统，这样可以减轻数控系统的运算负担，提高运行速度；网关级智能模块是机器人、agv小车、数控机床等现场设备接入nc-link网络的网关，现场设备通过无线和有线方式接入网关级智能模块，此外也可以通过网关级智能模块实现现场设备之间的连接。由智能模块构成了审计系统中的信号发送/接收模块，及通信数据捕获模块。

无线信号接收/发送模块所接收/发送的信号，提供给无线信号检测模块和无线通信数据捕获模块，作为通信时的原始数据。由无线信号检测模块和无线信号分析模块通过接收信号强度(rss)对ap信号进行物理位置定位。基础三点定位算法中会受到多径、衰落以及某些办公设备等多原因的共同影响，计算得到的位置精度过低，使得计算结果难以使用。因此在计算过程阶段，结合实际工程图纸，在工程图纸上标明各已知固定点的位置，通过各固定点与已知固定位置设备的信号强度对比，提高计算精度，确定目标ap的物理位置，并在工程图纸上进行标注。该方法将工程图纸模块化为环境地图显示与编辑模块，在固定设备移动以及固定点移动时，能够快速更新并计算移动ap的物理位置。无线分析模块将其对于各个移动ap分析所得的物理位置的最终结果持久化存储。从而得到各ap的移动路径，为安全审计提供依据。

实时收集流入网络内所有数据包，并对收集的数据包进行协议分析。通过对数据包拆包，记录设备识别码、源ip地址、目标ip地址、应用层通信协议类型、数据包大小、时间、通信时长等关键信息。随后交付给入侵检测模块，根据协议类型，访问对象，访问频次等信息，结合敏感数据访问控制系统，判断本次通信是否合法。随后将行为记录持久化保存。入侵检测模块将不符合配置或者行为异常予以标记并进行提示。由访问控制系统与管理人员共同提供入侵检测策略。在异常行为发生时，能够对入侵行为进行快速响应，对于严重违规行为进行拦截，同时防止入侵行为进入其他子网络。对于各目标网络内的异常流量进行检测与监控。最终将监听到的行为写入安全审计数据库中，对于‘蜜罐’等实体，亦可将其接受数据保存。

安全事件预警模块分析多网络，多设备及多状态下的运行记录。对于行为数据进行预测。同时对于传统密码口令，配置或分组错误，设置不正确等问题进行预警。反应到上位机中，通过可视化模块展示在管理人员面前。由人工进行介入，同时核查身份，并将操作行为予以记录，归存至系统日志管理模块中。由统计与分析报表系统进行分类归档处理。

系统配置管理数据库由系统配置管理模块维护。系统配置管理模块需要核实各用户权限组，操作记录，为各实体角色/用户组进行标记。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的硬件平台的方式来实现，当然也可以全部通过硬件来实施。基于这样的理解，本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

以上所述仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，都应涵盖在本发明的保护范围之内。