智能制造系统异常流量检测方法及检测装置与流程

本发明涉及入侵检测技术领域，尤其涉及一种智能制造系统异常流量检测方法及检测装置。

背景技术：

目前“智能制造”已经成为席卷全球的趋势，成为全球制造业的主要发展方向和战略制高点。智能制造将主流新兴技术的融合达到前所未有的程度，新兴技术的应用也使制造业迸发出前所未有的活力。主要表现为新的工业应用模式下，智能制造系统由原来封闭式的生产环境逐步向开放式环境发展，并且大量采用标准化软硬件模块，基于以太网构建现场总线通信，所有设备互联互通等。考虑到工业控制系统自身的结构特点、功能特性、应用环境，以及在信息安全方面的先天缺陷，智能制造系统从“内部隔离”状态走向“前台开放”状态时面临着严峻挑战。智能制造在带来更灵活的生产、更高效的运转和更强的竞争力的同时，也带来巨大的安全风险。

由于智能制造系统网络通信对于可靠性、延时等的特殊要求，智能制造系统中的现场总线多采用明文传输，而且很多都是标准公开的协议规范，这样使得暴露于网络中的智能制造设备或系统极易成为被攻击对象，进而通过协议欺骗、指令篡改、恶意监听等技术对智能制造系统及网络进行攻击。能否及时发现网络入侵者以及非法恶意报文，从而有效地检测出网络中的异常流量，成为智能制造行业应用及推广共同面临的一个重要问题。

技术实现要素：

本发明要解决的技术问题是如何对智能制造系统的异常流量进行检测，本发明提出一种智能制造系统异常流量检测方法及检测装置。

根据本发明实施例的智能制造系统异常流量检测方法，包括：

预先采集智能制造系统中待检测目标的流量数据；

对采集的所述流量数据进行深度解析以获取数据特征信息，并基于所述数据特征信息生成协议指纹数据；

对采集的所述流量数据进行流量分析以获取流量特征，并基于所述流量特征生成流量基准阈值；

基于所述协议指纹数据和所述流量基准阈值，对当前采集的所述待检测目标的流量数据进行匹配检测，以判定当前所述流量数据是否异常。

根据本发明实施例的智能制造系统异常流量的检测方法，采用流量异常检测方法与协议异常检测方法相结合的方式，实现智能制造系统异常流量检测。首先，采集智能制造现场总线流量数据，通过对流量数据进行深度解析和流量分析获取协议指纹数据和流量基准阈值，然后通过数据匹配算法发现流量数据包异常，实现智能制造现场总线流量实时监测和入侵检测，提高智能制造系统的安全性。

根据本发明的一些实施例，所述方法还包括：

当生成的所述协议指纹数据为多个时，创建存储多个所述协议指纹数据的协议指纹库；

当生成的所述流量基准阈值为多个时，创建存储多个所述流量基准阈值的流量基准阈值库。

在本发明的一些实施例中，基于所述协议指纹数据和所述流量基准阈值，对当前采集的所述待检测目标的流量数据进行匹配检测，以判定当前所述流量数据是否异常，包括：

基于所述协议指纹数据和所述流量基准阈值生成异常检测字符串；

对当前采集的所述待检测目标的流量数据进行解析；

将解析后的所述流量数据与所述异常检测字符串进行匹配；

根据匹配结果，判定当前所述流量数据是否异常。

根据本发明的一些实施例，采用boyer-moore算法对当前采集的所述待检测目标的流量数据进行匹配检测。

在本发明的一些实施例中，所述方法还包括：当判定当前所述流量数据异常时，进行警报提示。

根据本发明实施例的智能制造系统异常流量的检测装置，包括：

数据采集模块，用于预先采集智能制造系统中待检测目标的流量数据；

指纹数据生成模块，用于对采集的所述流量数据进行深度解析以获取数据特征信息，并基于所述数据特征信息生成协议指纹数据；

基准阈值生成模块，用于对采集的所述流量数据进行流量分析以获取流量特征，并基于所述流量特征生成流量基准阈值；

判定模块，用于基于所述协议指纹数据和所述流量基准阈值，对当前采集的所述待检测目标的流量数据进行匹配检测，以判定当前所述流量数据是否异常。

根据本发明实施例的智能制造系统异常流量的检测装置，采用流量异常检测方法与协议异常检测方法相结合的方式，实现智能制造系统异常流量检测。首先，通过数据采集模块采集智能制造现场总线流量数据，指纹数据生成模块通过对流量数据进行深度解析获取协议指纹数据，基准阈值生成模块通过对流量数据进行流量分析获取流量基准阈值，然后由判定模块通过数据匹配算法发现流量数据包异常，实现智能制造现场总线流量实时监测和入侵检测，提高智能制造系统的安全性。

根据本发明的一些实施例，所述检测装置还包括：

指纹库创建模块，用于当生成的所述协议指纹数据为多个时，创建存储多个所述协议指纹数据的协议指纹库；

基准阈值库创建模块，用于当生成的所述流量基准阈值为多个时，创建存储多个所述流量基准阈值的流量基准阈值库。

在本发明的一些实施例中，所述检测装置还包括：

异常检测字符串生成模块，用于基于所述协议指纹数据和所述流量基准阈值生成异常检测字符串；

所述判定模块具体用于，对采集解析后的所述流量数据与所述异常检测字符串进行匹配，并根据匹配结果，判定当前所述流量数据是否异常。

根据本发明的一些实施例，所述判定模块采用boyer-moore算法对当前采集的所述待检测目标的流量数据进行匹配检测。

在本发明的一些实施例中，所述装置还包括：警示模块，用于当判定当前所述流量数据异常时，进行警报提示。

附图说明

图1为根据本发明实施例的智能制造系统异常流量的检测方法流程图；

图2为根据本发明实施例的智能制造系统异常流量的检测装置组成示意图；

图3为根据本发明实施例的协议数据包解析流程图示意图。

检测装置100，

数据采集模块10，指纹数据生成模块20，指纹库创建模块200，基准阈值生成模块30，基准阈值库创建模块300，判定模块40，警示模块50，异常检测字符串生成模块60。

具体实施方式

为更进一步阐述本发明为达成预定目的所采取的技术手段及功效，以下结合附图及较佳实施例，对本发明进行详细说明如后。

本发明中说明书中对方法流程的描述及本发明说明书附图中流程图的步骤并非必须按步骤标号严格执行，方法步骤是可以改变执行顺序或并行执行的。而且，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。

如图1所示，根据本发明实施例的智能制造系统异常流量的检测方法，包括：

s110，预先采集智能制造系统待检测目标的流量数据；

例如，可以对待检测目标的工业控制流量数据进行采集。基于智能制造行业现场总线环境，可以将数据采集设备通过并联的方式接入智能制造行业现场总线，进行工业控制网络流量的无扰采集。

s120，对采集的流量数据进行深度解析以获取数据特征信息，并基于数据特征信息生成协议指纹数据；

例如，可以对上述采集的工业控制流量数据进行实时处理，选择有效的数据包进行工业控制协议深度解析。根据osi七层网络模型逐层进行解析，提取数据包载荷内容，按照层级格式对解析后的数据进行存储。对协议数据包的应用层全部解析，在解析网络层与传输层的32位源/目的ip地址、16位源/目的tcp端口数据情况下，对应用层数据的操作指令、工业过程数据等进一步解析与提取，实现数据包的指令语义、过程数值级别的解析。

工业控制协议深度解析主要分为协议识别、协议解析两个步骤。

其中，本发明采用基于端口的协议识别和基于负载的协议识别两种方法相结合来识别工业控制协议。

协议在设计初期按照通信规范一般会定义一个默认的通信端口，大部分基于tcp/ip的网络通信协议均可按照端口映射的方式进行识别，即根据协议通信端口在互联网数字分配机构中注册的端口号来识别通信协议类型，如s7com协议使用102端口，modbustcp使用502端口等。

基于负载的协议识别方法为：在识别协议数据包的网络层报头基础上，匹配协议关键字与应用层关键字，识别出应用层的协议类型。在通过端口不能有效识别出协议时，可以更加精确的对已知协议进行识别。

在进行协议解析时，本发明根据数据包封装标准规范，对数据包进行逐层拆包、解码，分析物理层、数据链路层、网络层、传输层和应用层各层字段包含的实际信息。

首先，按照协议数据包封装的格式进行拆包，根据报文头部信息确定数据链路层信息，之后按照该层协议格式进行解码，获取该层信息、捡查报文是否符合协议规范并根据协议标识符识别下一层协议。通过采用这样的方式对协议数据包的网络层、传输层及应用层进行逐层解析，从而实现协议的深度包解析。解析过程如图3所示，具体包括：

报文头部解码，对数据包中固定的头部信息进行解析，解析数据包中数据链路层协议标识符及报文总长度。

数据链路层解码，对数据包中的源mac地址、目标mac地址及网络层协议标识符进行解析。

网络层解码，对数据包中的源ip、目标ip及传输层协议标识符进行解析。

传输层解码，对数据包中的源port、目标port进行解析。

应用层解码与协议识别，主要包括应用层头部和数据部分信息的解析。报文应用层头部解析包括事务处理标识符、协议标识符、长度、单元标识符、功能码。数据部分解析主要包括寄存器地址、寄存器值。

通过以上的解析过程，获取工业控制协议在通信过程中的关键信息，下表显示了工业控制协议数据包的深度解析结果，表中所示的关键信息可以理解为上文所述的“数据特征信息”。

s130，对采集的流量数据进行流量分析以获取流量特征，并基于流量特征生成流量基准阈值；

基于采集到的流量数据和数据包深度解析方法，对监测对象(例如：工程师站、操作员站、数据服务器、rtu、plc)进行流量分析。通过统计五元组信息，包括源ip地址、源端口号、目的ip地址、目的端口号、协议，收集在一定时间内的流量特征，包括：连接持续时间、协议类型、连接次数、从源主机到目标主机的数据字节数等，基于上述流量特征生成对应的流量基准阈值。

s140，基于协议指纹数据和流量基准阈值，对当前采集的待检测目标的流量数据进行匹配检测，以判定当前流量数据是否异常。

根据本发明实施例的智能制造系统异常流量的检测方法，采用流量异常检测方法与协议异常检测方法相结合的方式，实现智能制造系统异常流量检测。首先，采集智能制造现场总线流量数据，通过对流量数据进行深度解析和流量分析获取协议指纹数据和流量基准阈值，然后通过数据匹配算法发现流量数据包异常，实现智能制造现场总线流量实时监测和入侵检测，提高智能制造系统的安全性。

根据本发明的一些实施例，方法还包括：

当生成的协议指纹数据为多个时，创建存储多个协议指纹数据的协议指纹库；

当生成的流量基准阈值为多个时，创建存储多个流量基准阈值的流量基准阈值库。

需要说明的是，协议指纹库与流量基准阈值库是在收集一段时间内的智能制造现场总线流量数据之后，基于数据统计的方法，进行操作数据阈值分析。一方面，通过深度协议解析提取多层协议特征，建立协议指纹库；另一方面，通过提取流量分析数据值，根据实际智能制造行业现场总线流量特征，定义合理的阈值范围，建立流量基准阈值库。并在实时分析智能制造行业现场总线流量数据的基础上，对协议指纹库与流量基准阈值库进行更新。

在本发明的一些实施例中，基于协议指纹数据和流量基准阈值，对当前采集的待检测目标的流量数据进行匹配检测，以判定当前流量数据是否异常，包括：

s141，基于协议指纹数据和流量基准阈值生成异常检测字符串；

需要说明的是，协议指纹库是由多层数据包字符串组成的，本发明通过将协议指纹库数据与流量基准阈值库数据进行拼接，组成新的异常检测字符串。

s142，对当前采集的待检测目标的流量数据进行解析；

s143，将解析后的流量数据与异常检测字符串进行匹配；

s144，根据匹配结果，判定当前流量数据是否异常。

根据本发明的一些实施例，采用boyer-moore算法对当前采集的待检测目标的流量数据进行匹配检测。为了提高异常检测效率，本发明采用boyer-moore(bm)算法，实现数据包指纹字符串快速匹配。

bm算法采用后缀匹配的模式，从右向左对输入字符串进行匹配。为了实现更快移动模式串，bm算法定义了两个规则，好后缀规则和坏字符规则，利用好后缀和坏字符可以大大加快模式串的移动距离，从而提高匹配效率。

在本发明的一些实施例中，方法还包括：当判定当前流量数据异常时，进行警报提示。例如，如果数据包指纹字符串与数据库数据匹配异常，则对当前数据包进行告警或采用其他处置方式，从而实现智能制造系统的入侵检测。

如图2所示，根据本发明实施例的智能制造系统异常流量的检测装置100，包括：数据采集模块10、指纹数据生成模块20、基准阈值生成模块30和判定模块40。

其中，数据采集模块10用于预先采集智能制造系统中待检测目标的流量数据；

指纹数据生成模块20用于对采集的流量数据进行深度解析以获取数据特征信息，并基于数据特征信息生成协议指纹数据；

基准阈值生成模块30用于对采集的流量数据进行流量分析以获取流量特征，并基于流量特征生成流量基准阈值；

判定模块40用于基于协议指纹数据和流量基准阈值，对当前采集的待检测目标的流量数据进行匹配检测，以判定当前流量数据是否异常。

根据本发明实施例的智能制造系统异常流量的检测装置100，采用流量异常检测方法与协议异常检测方法相结合的方式，实现智能制造系统异常流量检测。首先，通过数据采集模块10采集智能制造现场总线流量数据，指纹数据生成模块20通过对流量数据进行深度解析获取协议指纹数据，基准阈值生成模块30通过对流量数据进行流量分析获取流量基准阈值，然后由判定模块40通过数据匹配算法发现流量数据包异常，实现智能制造现场总线流量实时监测和入侵检测，提高智能制造系统的安全性。

根据本发明的一些实施例，如图2所示，检测装置100还包括：指纹库创建模块200和基准阈值库创建模块300。

指纹库创建模块200用于当生成的协议指纹数据为多个时，创建存储多个协议指纹数据的协议指纹库；

基准阈值库创建模块300用于当生成的流量基准阈值为多个时，创建存储多个流量基准阈值的流量基准阈值库。

在本发明的一些实施例中，如图2所示，检测装置100还包括：异常检测字符串生成模块60，用于基于协议指纹数据和流量基准阈值生成异常检测字符串；

判定模块40具体用于对采集解析后的流量数据与异常检测字符串进行匹配，并根据匹配结果，判定当前流量数据是否异常。

根据本发明的一些实施例，判定模块40采用boyer-moore算法对当前采集的待检测目标的流量数据进行匹配检测。

在本发明的一些实施例中，如图2所示，检测装置100还包括：警示模块50，用于当判定当前流量数据异常时，进行警报提示。

下面参照附图以一个具体的实施例详细描述根据本发明的智能制造系统异常流量的检测方法。值得理解的是，下述描述仅是示例性描述，而不应理解为对本发明的具体限制。

本实施例提供了一种基于智能制造行业现场总线流量感知技术的入侵检测方法，通过对流量数据包进行深度解析，实现智能制造行业现场总线流量的入侵检测。检测方法流程如下：

s1，采用旁路的方式采集智能制造系统流量数据，作为流量感知的数据来源。对采集到的数据包进行过滤，验证工控协议数据包合规性。

s2，对数据包中的工业控制协议进行深度解析，首先通过端口信息和负载信息识别协议类型，然后对数据包物理层、数据链路层、网络层、传输层和应用层进行逐层拆包，解析数据包头部信息、源mac地址、目标mac地址、网络层协议标识符、源ip、目标ip、传输层协议标识符、源port、目标port、事务处理标识符、协议标识符、长度、单元标识符、功能码、寄存器地址、寄存器值等多项内容，形成协议指纹数据。

s3，统计智能制造系统流量数据，提取连接持续时间、协议类型、连接次数、从源主机到目标主机的数据字节数等流量特征，形成流量基准阈值。

s4，基于协议指纹数据和流量基准阈值，采用bm算法，对协议指纹和流量基准阈值进行匹配，当流量包数据与系统正常运行状态阈值不匹配时，及时发出预警并报告相关异常信息。

通过具体实施方式的说明，应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解，然而所附图示仅是提供参考与说明之用，并非用来对本发明加以限制。