一种基于非嵌入式探针的跨域功能安全异常检测溯源方法

技术特征：

1.一种基于非嵌入式探针的跨域功能安全异常检测溯源方法，其特征在于，步骤如下：

步骤1，在网络协同制造平台的核心网络设备构建网络镜像的非侵入式跨域监测探针，在不影响协同平台的正常业务运行的情况下，有效采集功能安全关联的各类异常数据；

步骤2，通过基于分布式共识机制建立各节点采集数据的及时数据信息留痕存储；参与it/ot跨域网络协同过程的实体作为基本单元节点，依次建立多节点分布式共识的联盟信任群组，运行的群组代码上定义安全交互信息数据集合的操作方法，边缘节点能够对数据集合进行调用更改等操作，并请求其他节点验证，通过后节点利用共识机制将该安全交互信息添加到本地存储的数据集合，完成安全交互信息的共享；

步骤3，借助已上链数据进行多维关联数据检测分析，利用基于多维关联数据监测的功能安全异常精准定位技术，对联盟信任群组批量汇总后的安全交互信息，通过深度智能关联分析技术，对包、流、文件、协议元数据、网络行为、文件行为的多维数据进行实时透视监测的关联分析和比对分析与异常功能安全模型匹配，完成实体的健康度评价、攻击行为检测；通过跨域信任群组的实体异常定位执行中心，根据异常行为监测结果，在跨域信任链条上准确定位溯源功能安全事件主体。

2.根据权利要求1所述的一种基于非嵌入式探针的跨域功能安全异常检测溯源方法，其特征在于，所述步骤1中：

采用非侵入式方法对核心交换设备部署跨域监测探针，实时监测跨域网络中的功能安全异常，将捕获到的数据提交给联盟信任群组留痕存储；所述的核心层包括it信息网层、ot中心控制层、ot设备层。

3.根据权利要求2所述的一种基于非嵌入式探针的跨域功能安全异常检测溯源方法，其特征在于：

所述ot设备层以核心网络设备为中心，包括传感器、阀门、监控设备、马达、驱动器设备，监测探针接入其中的驱动器以检测到整个ot设备层中任何有功能安全异常的设备；

所述ot控制中心层包括网络核心设备，连接工业交换机、图像传输终端ptu、plc控制系统、监测系统，监测探针接入其中选定的设备，可监测到整个ot控制中心层的功能安全异常信息；

it信息网层中网络核心设备连接pdm(productdatamanagement)系统、mes(manufacturingexecutionsystem)系统、erp(enterpriseresourceplanning)系统以及plm(productlifecyclemanagement)系统，同样的，将监测探针接入该层任意设备可实现对整个it信息网层的功能安全异常信息监测。

4.根据权利要求2所述的一种基于非嵌入式探针的跨域功能安全异常检测溯源方法，其特征在于，所述步骤1中：

所述探针的设计以分流器的工作原理作为基础，配置两块网卡用于嗅探；该探针设计有4个rj45口，形成一个飞镖状的十字结构，将j1和j2串接入待嗅探的核心交换设备网络中，j3和j4连接监听系统；j3和j4两个接口分别捕获流入方向和流出方向的流量数据，分别复制给监听系统的两个网络端口，通过深度包检测、高效数据包捕获、包重组过滤技术，利用端口镜像方式进行流入、流出网络流量全量镜像复制，对捕获到数据经过格式化处理，提交给基于分布式共识机制建立的节点联盟信任群组留痕存储。

5.根据权利要求1所述的一种基于非嵌入式探针的跨域功能安全异常检测溯源方法，其特征在于，所述步骤2中：

所述联盟各节点与节点之间以p2p方式通信，提高了网络的可扩展性，节点能随意的添加和删除；联盟信任群组通过高速共识机制和实体可信身份指纹，并借助节点自主调用执行的运行在联盟信任群组上的代码，快速完成分布式实体功能安全交互信息的高通量、高精确的深度留痕存储；

所述边缘节点都具有安全交互数据集合的一个副本，并且都能调用代码中定义的操作方法对数据集合进行更改，联盟信任群组节点通过调用代码中安全交互信息数据集合的添加方法实现数据的提交，该添加请求会被扩散到全群组，其它节点对该请求进行验证，如验证请求提交者的数字签名等。

6.根据权利要求1所述的一种基于非嵌入式探针的跨域功能安全异常检测溯源方法，其特征在于，所述步骤2中：

所述请求在多次验证后不能得到有效回复，为保证联盟信任群组的安全交互信息的有效共享，通过自我协同维持技术动态的删除信任群组中节点；对新申请加入的节点，在满足一半以上节点验证通过后，即可加入联盟信任群组，实现弹性可伸缩分布式扩展。

7.根据权利要求1所述的一种基于非嵌入式探针的跨域功能安全异常检测溯源方法，其特征在于，所述步骤3具体包括：

(1)深度智能关联分析的实时数据透视监测，深度学习关联分析基于时序来对相同数据源或来自不同数据源的安全事件，使用关联规则来进行综合的关联分析，对包、流、文件、协议元数据、网络行为、文件行为的多维数据进行实时透视监测的关联分析和比对分析与异常功能安全模型匹配，深度学习关联分析；

(2)匹配结果基于ot节点或it节点的健康模型匹配的实体健康度评价该节点是否为功能安全异常节点；

(3)基于实体身份标识和监测探针的跨域信任链条异常实体精准定位，分析来自跨域网络中各节点数据包的安全状态，判定异常实体在ot节点或it节点中的位置，通过跨域信任群组的实体异常定位执行中心，根据异常行为监测结果，在跨域信任链条上准确定位溯源功能安全事件主体。

8.根据权利要求7所述的一种基于非嵌入式探针的跨域功能安全异常检测溯源方法，其特征在于，所述步骤1具体包括：

(1.1)通过对正常事件训练建模，来检测异常或攻击事件；

(1.2)算法的实现是将经过归一化后具备相同数据结构的安全事件，输出为带有标记的安全事件，标记分为两类:正常与异常；关联分析引擎的输出就是单类支持向量机分类算法输出的带标记的正常或异常事件；

(1.3)系统的关联规则的配置字段包括:事件id，时间戳，插件id，源ip，源端口，目的ip，目的端口，协议；为了关联分析规则不依赖于传感器配置，将所有字段拆分成关键词标签，针对每一条检测规则生成其关键词标签统计模型。

技术总结
本发明提出一种基于非嵌入式探针的跨域功能安全异常检测溯源方法，步骤如下：第一步，在网络协同制造平台的核心网络设备构建网络镜像的非侵入式跨域监测探针，在不影响协同平台的正常业务运行的情况下，有效采集功能安全关联的各类异常数据。第二步，通过基于分布式共识机制建立各节点采集数据的及时数据信息留痕存储，依次建立多节点分布式共识的联盟信任群组，验证通过后节点利用共识机制将该安全交互信息添加到本地存储的数据集合，完成安全交互信息的共享；第三步，通过深度智能关联分析技术，对包、流、文件、协议元数据、网络行为、文件行为的多维数据进行实时透视监测的关联分析和比对分析与异常功能安全模型匹配。

技术研发人员：王瑜;王雅哲;张艳秋;霍冬冬
受保护的技术使用者：中国科学院信息工程研究所
技术研发日：2021.01.21
技术公布日：2021.05.11