数控加工环境中的无线信号监测及无线通信行为审计系统的制作方法

本发明属于数控系统及无线通信技术领域，尤其涉及一种数控加工环境中的无线信号监测及无线通信行为审计系统。

背景技术：

目前，大部分数控设备的网络结构均采用有线网络技术，主要包括：多串口卡的星型结构；tcp/ip-rs232转换器，hub组成的星型结构和internet的点对点结构等。但有线数控网络结构存在共同的不足，以最常见的rs232串口为例，由于串口的连接结构简单，其连接布线也相对固定，且受到现实环境的制约，可能会使得整个系统的通信网络显得繁琐，从而导致系统连线多，易出故障且检修故障不便，灵活性欠佳，不便于设备扩充。此外，若在大范围数控系统中使用有线通信技术，线缆长度过长还会带来不必要的成本问题以及故障发生的可能性以及检修难度的增加。使用无线技术可以有效的避免有线系统可能存在的以上问题。

随着5g技术的发展，在工业互联网领域，无线联网将会普及，自然数控加工环境中也会逐步使用无线联网的设备。而无线数控通信系统它具有两级计算机分级结构，即现场主控计算机和数控设备群。主控计算机和数控设备群之间通过上位及下位数据通信卡进行无线通信。上位数据通信卡与主控计算机可通过串口连接，也可采用usb接口连接，下位数据通信卡插入数控设备自带的串口即可。系统具有良好的可扩展性，每增加一台数控设备，只需将一块下位无线数据通信卡插入该数控设备通信串口即可实现通信，不必扩展主控计算机的通信接口。所以，构建无线数控通信系统可有效地避免有线数控网络的不足，改善工厂数控网络的性能，以适应数控技术乃至工业控制自动化技术进一步发展的要求。

目前，无线网络(或称无线局域网，即wlan)统一执行ieee802.11b标准，在物理层，ieee802.11b采用2.45ghz的无线频率，最大的位速率达l1mbps，使用直接序列扩频(dsss)传输技术。在数据链路层的mac子层，802.11b使用“载波侦听多点接入/冲突避免(csma/ca)”媒体访问控制(mac)协议。

在数控加工环境中使用无线网络，虽然加快了信息处理以及交换的速度，但由于wlan采用公共的电磁波作为载体，任何人都有条件窃听或干扰信息，对越权存取和窃听的行为也更不容易防备。因此，需要一个完整的监控系统来对无线信号进行监测和审计。

通过上述分析，现有技术存在的问题及缺陷为：现有无线数控通信系统容易被窃听，同时干扰信息多，容易被篡改，无法有效防备越权存取和窃听的行为，系统安全性不高。

解决以上问题及缺陷的难度为：首先，对于黑客入侵，系统需要分辨出接收到的信号是否来自于自身环境内，所以需要能够准确无误的知道环境内每一个无线ap信号的详细信息并进行记录。这需要一个高效的无线信号定位方法，会在后文中说明。

另为了保证主机能完整的记录数控环境中的所有收发信号，需要主机拥有足够的空间来储存大量数据。

最后为了能够快速及时地发现系统内出现的问题，本发明需要将数据分为四类并分别存储在四个不同的数据库内，并且能在主机上清晰明了的显示。对此，对数据库的设计及构建，以及对黑客入侵防护的实现是该发明的主要难点所在。

解决以上问题及缺陷的意义为：为了防止前文所提到的现有技术存在的问题及缺陷，本发明的主要目的即在于设法提高系统的安全性，即能够及时发现系统内是否遇到黑客入侵，防止信息泄露或是被恶意篡改。

同时，为了监测系统内是否存在违规操作如越权存取等，本发明同时在环境中加入了审计系统。通过审计数据库中各项数据，可以容易得知系统内是否存在错误或违规操作，也方便于及时发现系统内存在的故障，提高故障检修效率。

技术实现要素：

针对现有技术存在的问题，本发明提供了一种无线信号监测及无线通信行为审计系统及方法，具体涉及一种数控加工环境中的无线信号监测及无线通信行为审计系统及方法。

本发明是这样实现的，一种无线信号监测及无线通信行为审计系统，包括：

无线信号检测系统，包括无线信号检测模块、无线信号定位模块、无线信号分析模块、无线信号收发模块、环境地图显示与编辑模块；用于实时扫描周边无线信号，显示无线信号相关信息，定位无线信号的位置，并将无线信号在工程图纸中进行标注；同时用于进行无线信号分析以及无线设备管理；

无线通信行为审计系统，包括无线通信数据捕获模块、协议数据分析模块、主机漏洞扫描模块、入侵检测模块、安全事件预警模块、数据可视化管理模块、系统日志管理模块以及统计与分析报表模块；用于进行无线通信报文捕获、协议解析、分类统计，并记录通信协议关键信息；同时用于分析通信中明文数据的内容，识别网络入侵行为；并提供可视化数据管理界面。

进一步，所述无线信号检测系统包括：

无线信号检测模块，用于实时扫描监测周边无线信号，并显示无线信号相关信息；

无线信号定位模块，用于利用无线定位工具，进行无线信号位置的确定；

无线信号分析模块，用于利用无线信号分析软件对接收到的无线信号进行信号强度、信道，带宽，ssid，mac地址以及其他相关分析；

无线信号收发模块，用于利用无线信号接收发送设备进行无线信号接收与发送；

环境地图显示与编辑模块，用于显示环境地图，并基于确定的无线信号的位置，将分析后的无线信号在工程图纸中进行标注。

进一步，所述通信协议关键信息包括但不限于：来源目的ip地址、通信发生的时间、通信时长、通信数据量、应用层协议类型。

进一步，所述无线通信行为审计系统包括：

无线通信数据捕获模块，用于利用报文捕获软件进行无线通信报文的抓包捕获；

协议数据分析模块，用于对捕获的无线通信报文使用的协议进行解析并记录通信协议关键信息；同时判断相关通信报文是否为合理通信报文；

主机漏洞扫描模块，用于扫描主机漏洞；

入侵检测模块，用于识别捕获的无线通信报文明文数据，并识别入侵行为；

安全事件预警模块，用于当通信报文为可疑报文时，进行安全预警；

数据可视化管理模块：用于提供可视化数据管理界面，进行可视化数据管理；

系统日志管理模块，用于进行系统日志管理；

统计与分析报表模块，用于进行通信报文、通信报文协议以及其他数据的分类统计，并输出相关统计报表。

进一步，所述数控加工环境中的无线信号监测及无线通信行为审计系统还包括：

引用hadoop将系统内数据分别存储在四个数据库中，即无线设备管理数据库，入侵检测策略数据库，安全审计数据库，系统配置数据库；

无线设备管理数据库，用于存储相关无线信号信道，带宽，ssid，mac地址以及其他信息；

入侵策略数据库，用于存储不合理、可疑报文；

安全审计数据库，用于存储相关无线通信报文的相关信息以及分类统计结果、内容识别结果；

系统配置数据库，用于存储系统配置信息。

本发明的另一目的在于提供一种应用于所述数控加工环境中的无线信号监测及无线通信行为审计系统的数控加工环境中的无线信号监测及无线通信行为审计方法，所述数控加工环境中的无线信号监测及无线通信行为审计方法包括：

步骤一，在数控加工环境中，对所有的无线信号进行扫描，记录所有的无线信号的相关信息，并利用无线信号定位工具进行无线信号的定位，同时进行无线信号的接收和发送；

步骤二，对接收到的无线信号进行分析，基于步骤一中无线信号的位置以及分析结果将无线信号在工程图纸中标注；并将分析结果以及信号相关信息存储在无线设备管理数据库；

步骤三，针对步骤一、步骤二中的无线通信报文进行捕获，对报文所使用协议的解析和分类统计，记录通信协议关键信息，判断报文是否为合理通信报文；若报文不是合理通信报文，则发出安全预警，并将可疑报文信息存入入侵策略数据库；

步骤四，识别捕获的无线通信报文明文数据，识别入侵行为，并实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、dos及其他恶意流量；同时将相关信息存储于安全审计数据库。

进一步，步骤三中，所述对报文所使用协议的解析和分类统计包括：

针对http协议，获取服务器的域名、url地址、表单数据及其他信息；并判断http协议查询是否存在异常；

针对dns协议，获取查询域名及网络地址；并判断dns协议查询是否存在异常；

进一步，所述dns协议异常查询方法包括：

(1)提取dns查询信息将源ip表征为多维数据点，并进行降维处理，最大限度地保留有效信息，并观察源ip间的关联特性；

(2)对低维空间中数据点进行分析，计算同簇内各点的可信度，将可信度低的作为异常源ip，以各簇的质心点征作为其簇的总体特征，对各簇的总体特征分析，标记出异常；

(3)结合可信度指标及各簇质心点的特征，检测异常的源ip。

进一步，所述dns协议异常查询方法还包括：dns异常查询指标过高，则ip可能存在异常；

所述dns异常查询指标包括：dns查询总次数、dns查询次数峰值、错误报文的比例、服务器处理失败的比例。

本发明另一目的在于提供一种接收用户输入程序存储介质，所存储的计算机程序使电子设备执行所述无线信号监测及无线通信行为审计方法，包括下列步骤：

步骤1，在数控加工环境中，对所有的无线信号进行扫描，记录所有的无线信号的相关信息，并利用无线信号定位工具进行无线信号的定位，同时进行无线信号的接收和发送；

步骤2，对接收到的无线信号进行分析，基于步骤1中无线信号的位置以及分析结果将无线信号在工程图纸中标注；并将分析结果以及信号相关信息存储在无线设备管理数据库；

步骤3，针对步骤1、步骤2中的无线通信报文进行捕获，对报文所使用协议的解析和分类统计，记录通信协议关键信息，判断报文是否为合理通信报文；若报文不是合理通信报文，则发出安全预警，并将可疑报文信息存入入侵策略数据库；

步骤4，识别捕获的无线通信报文明文数据，识别入侵行为，并实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、dos及其他恶意流量；同时将相关信息存储于安全审计数据库。

本发明另一目的在于提供一种存储在计算机可读介质上的计算机程序产品，包括计算机可读程序，供于电子装置上执行时，提供用户输入接口以实施所述无线信号监测及无线通信行为审计方法。

结合上述的所有技术方案，本发明所具备的优点及积极效果为：

相较于现有技术，本发明将数控环境中各类性能进行了优化提升，具体对比可见如下表格：

结合表格分析：

本发明将覆盖整个数控加工环境，能够实时扫描环境中及周边ap信号，显示ap信号的相关信息，并通过ap定位工具，协助管理者或用户找到未知位置的ap并记录在数据库中。

本发明还能够对所在数控加工环境中无线通信行为进行审计，捕获无线通信报文，完成协议解析和分类统计，记录通信协议关键信息，分析通信中明文数据的内容。同时本发明还集成网络入侵检测功能，能够有效防止外部网络入侵行为，识别主流的网络入侵行为，并且最终能够提供可视化数据管理界面。

本发明有效保证了数控加工环境的通信安全，能够保证在数控加工环境中的无线信号不被其他网络窃听和篡改，同时保证在系统内部不存在越权存取等行为。本发明通过捕获并分析记录环境中的通信报文，确保系统内无违规操作。最终向管理员及客户提供可视化的数据管理界面。

附图说明

图1是本发明实施例提供的数控加工环境中的无线信号监测及无线通信行为审计系统结构示意图。

图中：1、无线信号检测系统；2、无线通信行为审计系统；3、无线设备管理数据库；4、入侵检测策略数据库；5、安全审计数据库；6、系统配置数据库；11、无线信号检测模块；12、无线信号定位模块；13、无线信号分析模块；14、无线信号收发模块；15、环境地图显示与编辑模块；21、无线通信数据捕获模块；22、协议数据分析模块；23、主机漏洞扫描模块；24、入侵检测模块；25、安全事件预警模块；26、数据可视化管理模块；27、系统日志管理模块；28、统计与分析报表模块。

图2是本发明实施例提供的数控加工环境中的无线信号监测及无线通信行为审计系统结构原理图。

图3是本发明实施例提供的数控加工环境中的无线信号监测及无线通信行为审计方法流程图。

图4是本发明实施例提供的dns协议异常查询方法流程图。

图5是本发明实施例提供的无线信号定位方法流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

针对现有技术存在的问题，本发明提供了一种数控加工环境中的无线信号监测及无线通信行为审计系统，下面结合附图对本发明作详细的描述。

如图1-图2所示，本发明实施例提供的数控加工环境中的无线信号监测及无线通信行为审计系统包括：

无线信号检测系统1，包括无线信号检测模块11、无线信号定位模块12、无线信号分析模块13、无线信号收发模块14、环境地图显示与编辑模块15；用于实时扫描周边无线信号，显示无线信号相关信息，定位无线信号的位置，并将无线信号在工程图纸中进行标注；同时用于进行无线信号分析以及无线设备管理；

无线通信行为审计系统2，包括无线通信数据捕获模块21、协议数据分析模块22、主机漏洞扫描模块23、入侵检测模块24、安全事件预警模块25、数据可视化管理模块26、系统日志管理模块27以及统计与分析报表模块28；用于进行无线通信报文捕获、协议解析、分类统计，并记录通信协议关键信息；同时用于分析通信中明文数据的内容，识别网络入侵行为；并提供可视化数据管理界面。

本发明实施例提供的无线信号检测系统1包括：

无线信号检测模块11，用于实时扫描监测周边无线信号，并显示无线信号相关信息；

无线信号定位模块12，用于利用无线定位工具，进行无线信号位置的确定；

无线信号分析模块13，用于利用无线信号分析软件对接收到的无线信号进行信号强度、信道，带宽，ssid，mac地址以及其他相关分析；

无线信号收发模块14，用于利用无线信号接收发送设备进行无线信号接收与发送；

环境地图显示与编辑模块15，用于显示环境地图，并基于确定的无线信号的位置，将分析后的无线信号在工程图纸中进行标注。

本发明实施例提供的通信协议关键信息包括但不限于：来源目的ip地址、通信发生的时间、通信时长、通信数据量、应用层协议类型。

本发明实施例提供的无线通信行为审计系统2包括：

无线通信数据捕获模块21，用于利用报文捕获软件进行无线通信报文的抓包捕获。

协议数据分析模块22，用于对捕获的无线通信报文使用的协议进行解析并记录通信协议关键信息；同时判断相关通信报文是否为合理通信报文。

主机漏洞扫描模块23，用于扫描主机漏洞。

入侵检测模块24，用于识别捕获的无线通信报文明文数据，并识别入侵行为。

安全事件预警模块25，用于当通信报文为可疑报文时，进行安全预警。

数据可视化管理模块26，用于提供可视化数据管理界面，进行可视化数据管理。

系统日志管理模块27，用于进行系统日志管理。

统计与分析报表模块28，用于进行通信报文、通信报文协议以及其他数据的分类统计，并输出相关统计报表。

本发明实施例提供的数控加工环境中的无线信号监测及无线通信行为审计系统还包括：

引用hadoop将系统内数据分别存储在四个数据库中，即无线设备管理数据库3，入侵检测策略数据库4，安全审计数据库5，系统配置数据库6。

无线设备管理数据库3，用于存储相关无线信号信道，带宽，ssid，mac地址以及其他信息。

入侵策略数据库4，用于存储不合理、可疑报文。

安全审计数据库5，用于存储相关无线通信报文的相关信息以及分类统计结果、内容识别结果。

系统配置数据库6，用于存储系统配置信息。

如图3所示，本发明实施例提供的数控加工环境中的无线信号监测及无线通信行为审计方法包括：

s101，在数控加工环境中，对所有的无线信号进行扫描，记录所有的无线信号的相关信息，并利用无线信号定位工具进行无线信号的定位，同时进行无线信号的接收和发送。

s102，对接收到的无线信号进行分析，基于步骤s101中无线信号的位置以及分析结果将无线信号在工程图纸中标注；并将分析结果以及信号相关信息存储在无线设备管理数据库。

s101，针对步骤s101、步骤s102中的无线通信报文进行捕获，对报文所使用协议的解析和分类统计，记录通信协议关键信息，判断报文是否为合理通信报文；若报文不是合理通信报文，则发出安全预警，并将可疑报文信息存入入侵策略数据库。

s104，识别捕获的无线通信报文明文数据，识别入侵行为，并实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、dos及其他恶意流量；同时将相关信息存储于安全审计数据库。

步骤s103中，本发明实施例提供的对报文所使用协议的解析和分类统计包括：

针对http协议，获取服务器的域名、url地址、表单数据及其他信息。并判断http协议查询是否存在异常。

针对dns协议，获取查询域名及网络地址。并判断dns协议查询是否存在异常。

如图4所示，本发明实施例提供的dns协议异常查询方法包括：

(1)提取dns查询信息将源ip表征为多维数据点，并进行降维处理，最大限度地保留有效信息，并观察源ip间的关联特性。

(2)对低维空间中数据点进行分析，计算同簇内各点的可信度，将可信度低的作为异常源ip，以各簇的质心点征作为其簇的总体特征，对各簇的总体特征分析，标记出异常。

(3)结合可信度指标及各簇质心点的特征，检测异常的源ip。

本发明实施例提供的dns协议异常查询方法还包括：dns异常查询指标过高，则ip可能存在异常。

所述dns异常查询指标包括：dns查询总次数、dns查询次数峰值、错误报文的比例、服务器处理失败的比例。

下面结合具体实施例对本发明的技术方案作进一步说明。

实施例1：

从本质上来讲，无线网络信号监测是指由终端控制中心为起点的数据管理平台，它能够将信息的收集、路径的规划以及信号状态的查询都统一到一起。无线网络信号监测的框架体系主要包括以下几个部分：

网络监督层。它也是系统组织中的上层，根据设备的运行状态将系统布局情况报送到控制中心，做到无盲点监控。

技术支持层。它处在无线网络信息监测框架中的中层，决定使用哪种技术对系统进行安全保护。

综合分析层。此层次是在信号整合的基础上对整个系统进行分析，找到所有的未知ap并进行记录，在后续的工作中进行持续的监督。

由于数控加工数据的海量特征，因此在数控加工环境中引入hadoop分布式系统基础架构。hadoop实现了一个分布式文件系统(hadoopdistributedfilesystem)，简称hdfs。本发明引用hadoop将系统内数据分别存储在四个数据库中，即无线设备管理数据库，入侵检测策略数据库，安全审计数据库，系统配置数据库。现将系统的主要工作模式做简要介绍。

一、无线信号监测系统主要完成以下工作：

首先通过无线信号检测软件(wirelessmon等)检测环境内所有无线设备接收及发出的无线信号，将结果可视化显示在主机。

根据软件检测结果，将所有无线信号的信道，带宽，ssid，mac地址等重要信息存入无线设备管理数据库中。

对于未知无线信号，可用多种方法定位，以下列举一种常用方法：

第一步，从数据库中获得目标ap的mac地址和信道。

第二步，利用第一步获取的ap相关参数将终端检测设备的无线网卡与目标ap相关联，在监听模式下抓取目标ap发出的beacon帧。

第三步，以加工环境中点为坐标原点构架一个直角坐标系将其分为四个象限，并在坐标原点抓取ap发出的beacon帧提取rss值，如果rss值在80dbm以下，则转入第四步，否则转入第五步。

第四步：(1)在第一象限的横轴和纵轴上分别选取与原点距离相等的a、b两点，然后分别在a、b和原点(设为o点)三点上探测单位时间内抓取的beacon帧个数并进行比较。单位时间内，如果在o点隔抓取的beacon帧的个数少于a点抓取的个数且少于b点抓取的个数，则判定目标ap位于第一象限。如果在a点抓取beacon帧的个数多于o点抓取的个数且o点抓取的个数多于b点抓取的个数，则判定目标ap位于第二象限。如果在o点抓取beacon帧的个数多于a点抓取的个数且多于b点抓取的个数，则判定目标ap位于第三象限。如果b点抓取beacon帧的个数多于o点个数且o点抓取的个数多于a点抓取的个数，则判定目标ap位于第四象限。(2)将判定的目标ap所在的象限作为新的搜索区域，然后以其中心为坐标原点构架一个直角坐标系将其分为四个象限，并在坐标原点抓取ap发出的beacon帧提取rss值，如果rss值在80dbm以下，则继续执行第四步，否则转入第五步。

第五步：(1)在第一象限中的横轴和纵轴上分别选取与原点距离相等的a、b两点，然后分别在a、b和原点(设为o点)三点上探测rss值并进行比较。如果在o点的rss值小于a点的rss值且小于b点的rss值，则判定目标ap位于第一象限。如果在a点的rss值大于o点的rss值且o点的rss值大于b点的rss值，则判定目标ap位于第二象限。如果在o点rss值的大于a点的rss值且大于b点的rss值，则判定目标ap在第三象限。如果b点rss值大于o点rss值且o点rss值大于a点rss值，则判定目标ap在第四象限。(2)如果在判定的目标ap所在的象限内目视找到了ap，则转入第六步，否则将判定的象限作为新的搜索区域，然后在以中心为坐标原点构架一个直角坐标系将其分为四个象限，继续执行第五步。

第六步：结束搜索。

将定位的无线信号标注在工程图纸上。

二、无线通信行为审计系统主要完成以下工作：

使用报文捕获软件(fiddler，wireshark等)对环境中通信报文进行抓包。

抓包完成后对所捕获的报文进行进一步解析，记录通信协议关键信息，如来源目的ip地址、通信发生的时间、通信时长、通信数据量、应用层协议类型等，确保报文是环境内合理通信报文。

对于可疑报文，审计系统向管理员发出安全预警，并将可疑报文信息存入入侵策略数据库。

特别的，对于http协议和dns协议，需要进一步分析，防止内部主机企图连接互联网，外联、木马泄密等行为发生。

对于http协议，通过抓包软件捕获报文后，可获取报文的服务器域、url地址、表单数据等具体信息。

对于dns协议，我们需要获得查询域名及网络地址。尤其是对dns查询的分析，能够发现内部主机企图连接互联网的行为。可用以下方法检测dns查询是否存在异常：

通过提取dns查询信息将源ip表征为多维数据点，并进行降维处理，最大限度地保留有效信息以及直观地观察到源ip间的关联特性。在低维空间中对异常源ip的检测算法，对低维空间中数据点进行分析，计算同簇内各点的可信度，将可信度低的作为异常源ip，以各簇的质心点征作为其簇的总体特征，对各簇的总体特征分析以标记出异常簇。结合可信度指标及各簇质心点的特征，精确快速地检测出异常的源ip。可根据以下特征来判断dns查询异常：

a：dns查询总次数。正常源ip的dns查询请求一般不会太多，当出现ddos攻击、僵尸网络时，异常ip的dns查询次数会急速飙升。

b：dns查询次数峰值。源ip的单位时间内dns请求总次数不多，但dns请求次数峰值过高，该ip也可能存在异常。

c：错误报文的比例。与非法域名类似，正常源ip几乎不存在错误的dns报文。

d：服务器处理失败的比例。通常，服务器处理失败往往是因为服务器自身的原因、不支持查询类型、因设置的策略拒绝给出应答等。

此外，审计系统还应包括一般的外部网络入侵防护，包括实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、dos等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的硬件平台的方式来实现，当然也可以全部通过硬件来实施。基于这样的理解，本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，都应涵盖在本发明的保护范围之内。