logo好方法网

网络入侵检测方法、装置、系统和存储介质

发布时间:2020-09-13 发布人:admin 分类:专利技术 资料大小:1.35M 资料格式:pdf 举报 版权申诉

技术摘要:
本申请涉及一种网络入侵检测方法、装置、系统和存储介质。其中,该网络入侵检测方法包括:解析请求包和响应包的协议数据单元,得到协议数据单元的参数,其中,响应包为相同会话中响应于请求包的数据包;判断协议数据单元的参数是否符合第一预设规则;在判断到协议数据  全部
背景技术:
ICS(Industrial  Control  System,工业控制系统),简称工控系统。工控系统与传 统的互联网环境有所不同,工控系统通常具有特定的生产目标,为达到此目标制定了明确 的生产逻辑,并在实际运行中严格遵守,因此,一旦使用某个工控设备,则其通信模式、通信 流量、通信对象等相关信息通常是稳定不变的。一旦有入侵者攻入工控系统,入侵者很容易 通过篡改流量包或自行伪造工控包对工控设备发起攻击,引发工控设备生产事故。 现有的工控系统复杂多样,其工控设备所采用的工控协议也有所不同,常见的工 控协议以Modbus、S7、Profinet为主。相关技术中的工控监测审计系统对常见的工控协议统 一了策略模板,比如基于流量的五元组检测法,通过提取源IP、目的IP、目的端口、协议类 型、指令,构造“正常模式”,以“正常模式”作为检测基准,将实时通信数据与检测基准进行 比较,实现对未授权访问、中间人攻击、拒绝服务攻击等入侵行为的检测。然而,相关技术中 的工控监测审计系统仅支持常见工控协议的入侵检测,对工控协议在会话层面的策略做得 不够好,导致攻击者可以结合会话中的请求包或响应包展开攻击。而且,随着时间的发展, 信息技术系统变得极为复杂,多应用支持使系统中充斥种类繁多的应用程序和协议,对于 具备除五元组之外,还具备其他丰富的PDU(Protocol  Data  Unit,协议数据单元)的特定的 协议,相关技术中的工控监测审计系统不支持全面详尽的审计,比如EGD(Ethernet  Global  Data,一种可编程逻辑控制器设备的通讯协议)协议,通过EGD协议通信的设备往往都会依 赖于EGD协议本身,而EGD协议本身所体现的丰富的PDU字段使得其功能丰富且效率又高。然 而,相关技术中并没有针对诸如EGD协议等其他具备丰富的PDU的工控协议提供入侵检测方 案,无法识别工控系统中的设备访问拓扑关系,更无法识别每一对互访设备的详尽的审计 信息。 目前,针对相关技术中存在的无法支持会话层面的入侵检测的问题,尚未提出有 效的解决方案。
技术实现要素:
本申请实施例提供了一种网络入侵检测方法、网络入侵检测装置、网络入侵检测 系统和计算机可读存储介质,以至少解决相关技术中存在的无法支持会话层面的入侵检测 的问题。 第一方面,本申请实施例提供了一种网络入侵检测方法,包括: 解析请求包和响应包的协议数据单元,得到所述协议数据单元的参数,其中,所述 响应包为相同会话中响应于所述请求包的数据包; 判断所述协议数据单元的参数是否符合第一预设规则; 4 CN 111600863 A 说 明 书 2/11 页 在判断到所述协议数据单元的参数未符合所述第一预设规则的情况下,发出用于 表示存在网络入侵的第一告警消息。 在其中一些实施例中,判断所述协议数据单元的参数是否符合第一预设规则包 括: 解析所述请求包和所述响应包的五元组,得到所述五元组的参数; 判断所述五元组的参数是否符合第二预设规则; 在判断到所述五元组的参数符合所述第二预设规则的情况下,判断所述协议数据 单元的参数是否符合所述第一预设规则。 在其中一些实施例中,所述方法还包括: 在判断到所述五元组的参数未符合所述第二预设规则的情况下,发出用于表示存 在网络入侵的第二告警消息。 在其中一些实施例中,解析请求包和响应包的协议数据单元,得到所述协议数据 单元的参数包括: 采集数据包; 解析所述数据包的协议数据单元的参数; 根据所述数据包的协议数据单元的参数,从所述数据包中筛选出所述请求包和所 述响应包。 在其中一些实施例中,根据所述数据包的协议数据单元的参数,从所述数据包中 筛选出所述请求包和所述响应包包括: 从所述数据包中提取第一数据包和第二数据包,并根据所述第一数据包和所述第 二数据包的协议数据单元的参数,判断所述第一数据包和所述第二数据包是否为相同会话 中对应的请求包和响应包; 在判断到所述第一数据包和所述第二数据包为相同会话中对应的请求包和响应 包的情况下,将所述第一数据包和所述第二数据包作为所述请求包和所述响应包。 在其中一些实施例中,根据所述数据包的协议数据单元的参数,从所述数据包中 筛选出所述请求包和所述响应包包括: 根据所述数据包的协议数据单元的参数,判断所述数据包的类型是否为数据消息 类型; 在判断到所述数据包的类型不为所述数据消息类型的情况下,从所述数据包中筛 选出所述请求包和所述响应包。 在其中一些实施例中,所述方法还包括: 在判断到所述数据包的类型为所述数据消息类型的情况下,解析所述数据消息类 型的数据包的预设字段的参数; 判断所述数据消息类型的数据包的预设字段的参数是否符合第三预设规则; 在判断到所述数据消息类型的数据包的预设字段的参数未符合所述第三预设规 则的情况下,发出用于表示存在网络入侵的第三告警消息。 第二方面,本申请实施例提供了一种网络入侵检测装置,包括: 解析模块,用于解析请求包和响应包的协议数据单元,得到所述协议数据单元的 参数,其中,所述响应包为相同会话中响应于所述请求包的数据包; 5 CN 111600863 A 说 明 书 3/11 页 判断模块,用于判断所述协议数据单元的参数是否符合第一预设规则; 告警模块,用于在判断到所述协议数据单元的参数未符合所述第一预设规则的情 况下,发出用于表示存在网络入侵的第一告警消息。 第三方面,本申请实施例提供了一种网络入侵检测系统,包括:业务设备、采集设 备和管理设备;其中, 所述业务设备用于提供数据包的流量访问; 所述采集设备,耦接至所述业务设备,用于通过访问所述数据包的流量,采集所述 数据包; 所述管理设备,耦接至所述采集设备,用于管理所述采集设备,并执行如上述第一 方面所述的网络入侵检测方法。 第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程 序,该程序被处理器执行时实现如上述第一方面所述的网络入侵检测方法。 相比于相关技术,本申请实施例提供的网络入侵检测方法、网络入侵检测装置、网 络入侵检测系统和计算机可读存储介质,通过解析请求包和响应包的协议数据单元,得到 协议数据单元的参数,其中,响应包为相同会话中响应于请求包的数据包;判断协议数据单 元的参数是否符合第一预设规则;在判断到协议数据单元的参数未符合第一预设规则的情 况下,发出用于表示存在网络入侵的第一告警消息,解决了相关技术中存在的无法支持会 话层面的入侵检测的问题,实现了会话层面的入侵检测的有益效果。 本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他 特征、目的和优点更加简明易懂。 附图说明 此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申 请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中: 图1是根据相关技术的一种工业控制系统架构图; 图2是根据本申请实施例的一种网络入侵检测方法流程图; 图3是根据本申请实施例的一种基于EDG协议的网络入侵检测方法的流程图; 图4是根据本申请实施例的一种网络入侵检测系统部署示意图; 图5是根据本申请实施例的网络入侵检测装置的结构框图。
    分享到:
    收藏

    相关推荐