一种针对分布式工业控制系统的网络入侵检测系统技术方案

技术编号:14116994 阅读:228 留言:0更新日期:2016-12-07 23:44
本发明专利技术提供一种针对分布式工业控制系统的网络入侵检测系统,能够提高工业控制系统的网络安全。所述系统包括:网络嗅探单元,用于捕获所述工业控制系统的网络通信数据;入侵检测单元,用于通过预先建立的网络特征hash值规则链表、实时更新生成的控制指令检测规则链表及预设的空间状态分类器对捕获的所述网络通信数据进行入侵检测,若有入侵行为,则发出报警信息;数据传输单元,用于将所述报警信息发送出去。本发明专利技术适用于网络安全技术领域。

【技术实现步骤摘要】

本专利技术涉及网络安全
,特别是指一种针对分布式工业控制系统的网络入侵检测系统
技术介绍
近年来,以太网技术的传递速率和实时性随其自身的发展得到了大幅度的提高,这也使其逐步应用到工业网络中,使现场总线型网络技术与以太网型网络技术自然而然的结合在一起。工业控制系统从一个封闭、孤立的系统逐渐发展为更加开放、与公共网络有多连接的系统。以太网带给传统工业的巨大利好时,信息安全这个过去与工业领域鲜有关联的问题却凸显在所有人的面前,给工业网络和核心设备带了严重的破坏。工业网络与传统的商业网络不同,工业网络之间面对的是现场工作人员和工作设备,即使是微小的误差也可能引起工业网络的崩溃,导致难以估量的生命财产损失。常规的网络产品或者由于自身存在的缺陷与不足,不能满足工业网络较高的防护要求,或者因为不是专门针对工业网络设计,难以在工业场合安全稳定的应用,这给工业网络带来了严重的威胁。
技术实现思路
本专利技术要解决的技术问题是提供一种针对分布式工业控制系统的网络入侵检测系统,以解决现有技术所存在的网络产品不能满足工业网络较高的防护要求,或不适用于工业场合的问题。为解决上述技术问题,本专利技术实施例提供一种针对分布式工业控制系统的网络入侵检测系统,包括:网络嗅探单元,用于捕获所述工业控制系统的网络通信数据;入侵检测单元,用于通过预先建立的网络特征hash值规则链表、实时更新生成的控制指令检测规则链表及预设的空间状态分类器对捕获的所述网络通信数据进行入侵检测,若有入侵行为,则发出报警信息;数据传输单元,用于将所述报警信息发送出去。进一步地,所述网络嗅探单元,用于以旁路侦听的方式接入所述工业控制系统,捕获所述工业控制系统的网络通信数据。进一步地,所述网络嗅探单元,具体用于利用libpcap抓包方法捕获所述工业控制系统的网络通信数据。进一步地,所述系统还包括:协议解析单元;所述协议解析单元,用于对捕获的所述网络通信数据进行协议解析,解析成功后,输出所述网络通信数据的协议格式。进一步地,所述协议解析单元包括:监控数据获取模块及协议解析模块;所述监控数据获取模块,用于从组态监控界面,获取监控到的监控数据;所述协议解析模块,用于对捕获的所述网络通信数据的数据包轮询套用预设的工业网络协议库中的工业总线协议,若协议套用成功,则输出套用成功的协议类型;否则,将所述数据包中的数据逐位组合进行浮点化处理,将浮点化处理后的数据与获取的所述监控数据进行匹配,输出浮点化处理后的数据在原始数据包中的起始位置与所述监控数据之间的匹配映射表。进一步地,所述入侵检测单元包括:网络特征检测模块;所述网络特征检测模块、用于提取捕获的所述网络通信数据的网络特征,获取所述网络特征的hash值,查询预先建立的网络特征hash值规则链表,若所述网络特征的hash值没有包含在所述预先建立的网络特征hash值规则链表中,则发出报警信息,其中,所述网络特征hash值规则链表包括:网络通信数据的网络特征的hash值;所述网络特征包括:协议类型、源IP地址、目的IP地址、源端口、目的端口。进一步地,所述网络特征检测模块、具体用于采用hash算法进行网络特征自学习建立所述网络特征hash值规则链表。进一步地,所述入侵检测单元包括:控制指令检测模块;所述控制指令检测模块、用于获取所述工业控制系统当前的运行状态,依据获取的所述工业控制系统当前的运行状态,利用三级链表结构,依据预设的工业控制模型规则库,实时更新生成控制指令检测规则链表;若捕获的所述网络通信数据为控制指令,则检测所述控制指令是否违反所述控制指令检测规则链表中规则,若违反所述控制指令检测规则链表中规则,则发出报警信息。进一步地,所述入侵检测单元还包括:空间状态检测模块;所述空间状态检测模块,具体用于利用工业控制系统正常状态下运行数据,生成训练样本,根据主元分析法对所述训练样本进行降维处理,利用单类支持向量机对降维后的训练样本进行训练生成所述空间状态分类器;对没有违反所述控制指令检测规则链表中规则的网络通信数据进行主元分析降维后,利用预设的空间状态分类器检测所述网络通信数据为正常数据,若不是正常数据,则发出报警信息。进一步地,所述系统还包括:4路数字量输入输出电路;所述数字量输入输出电路与所述工业控制系统中的报警模块相连,所述报警模块与所述工业控制系统中的控制器相连;所述数字量输入输出电路,用于将所述报警信息发送至所述报警模块。本专利技术的上述技术方案的有益效果如下:上述方案中,通过网络嗅探单元捕获所述工业控制系统的网络通信数据;由入侵检测单元通过预先建立的网络特征hash值规则链表、实时更新生成的控制指令检测规则链表及预设的空间状态分类器对捕获的所述网络通信数据进行入侵检测,若有入侵行为,则发出报警信息;最后,通过数据传输单元将所述报警信息发送出去。这样,通过入侵检测单元能够有效检测出所述工业控制系统是否被入侵,如果发现被入侵则进行报警,从而保护并提高所述工业控制系统的通信安全。附图说明图1为本专利技术实施例提供的针对分布式工业控制系统的网络入侵检测系统的结构示意图;图2为本专利技术实施例提供的针对分布式工业控制系统的网络入侵检测系统的硬件平台架构示意图;图3为本专利技术实施例提供的接入分布式工业控制系统的接入示意图;图4为本专利技术实施例提供的捕获网络通信数据的流程示意图;图5为本专利技术实施例提供的协议解析单元的工作流程示意图;图6为本专利技术实施例提供的协议解析单元中数据浮点化匹配过程示意图;图7为本专利技术实施例提供的网络特征检测模块的工作流程示意图;图8为本专利技术实施例提供的工业控制模型规则库的规则格式;图9为本专利技术实施例提供的控制指令检测模块的工作流程示意图;图10为本专利技术实施例提供的空间状态检测模块的工作流程示意图;图11为本专利技术实施例提供的针对分布式工业控制系统的网络入侵检测系统的详细结构示意图。具体实施方式为使本专利技术要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。本专利技术针对现有的网络产品不能满足工业网络较高的防护要求,或不适用于工业场合的问题,提供一种针对分布式工业控制系统的网络入侵检测系统。参看图1所示,本专利技术实施例提供的针对分布式工业控制系统的网络入侵检测系统,包括:网络嗅探单元11,用于捕获所述工业控制系统的网络通信数据;入侵检测单元12,用于通过预先建立的网络特征hash值规则链表、实时更新生成的控制指令检测规则链表及预设的空间状态分类器对捕获的所述网络通信数据进行入侵检测,若有入侵行为,则发出报警信息;数据传输单元13,用于将所述报警信息发送出去。本专利技术实施例所述的针对分布式工业控制系统的网络入侵检测系统,通过网络嗅探单元捕获所述工业控制系统的网络通信数据;由入侵检测单元通过预先建立的网络特征hash值规则链表、实时更新生成的控制指令检测规则链表及预设的空间状态分类器对捕获的所述网络通信数据进行入侵检测,若有入侵行为,则发出报警信息;最后,通过数据传输单元将所述报警信息发送出去。这样,通过入侵检测单元能够有效检测出所述工业控制系统是否被入侵,如果发现被入侵则进行报警,从而保护并提高所述工业控制系统的通信安全。本实施例中,所述针对分布式工业控制系统的网络入侵检测系统运行在嵌入式Linux操作本文档来自技高网...
一种针对分布式工业控制系统的网络入侵检测系统

【技术保护点】
一种针对分布式工业控制系统的网络入侵检测系统,其特征在于,包括:网络嗅探单元,用于捕获所述工业控制系统的网络通信数据;入侵检测单元,用于通过预先建立的网络特征hash值规则链表、实时更新生成的控制指令检测规则链表及预设的空间状态分类器对捕获的所述网络通信数据进行入侵检测,若有入侵行为,则发出报警信息;数据传输单元,用于将所述报警信息发送出去。

【技术特征摘要】
1.一种针对分布式工业控制系统的网络入侵检测系统,其特征在于,包括:网络嗅探单元,用于捕获所述工业控制系统的网络通信数据;入侵检测单元,用于通过预先建立的网络特征hash值规则链表、实时更新生成的控制指令检测规则链表及预设的空间状态分类器对捕获的所述网络通信数据进行入侵检测,若有入侵行为,则发出报警信息;数据传输单元,用于将所述报警信息发送出去。2.根据权利要求1所述的针对分布式工业控制系统的网络入侵检测系统,其特征在于,所述网络嗅探单元,用于以旁路侦听的方式接入所述工业控制系统,捕获所述工业控制系统的网络通信数据。3.根据权利要求1或2所述的针对分布式工业控制系统的网络入侵检测系统,其特征在于,所述网络嗅探单元,具体用于利用libpcap抓包方法捕获所述工业控制系统的网络通信数据。4.根据权利要求1所述的针对分布式工业控制系统的网络入侵检测系统,其特征在于,所述系统还包括:协议解析单元;所述协议解析单元,用于对捕获的所述网络通信数据进行协议解析,解析成功后,输出所述网络通信数据的协议格式。5.根据权利要求4所述的针对分布式工业控制系统的网络入侵检测系统,其特征在于,所述协议解析单元包括:监控数据获取模块及协议解析模块;所述监控数据获取模块,用于从组态监控界面,获取监控到的监控数据;所述协议解析模块,用于对捕获的所述网络通信数据的数据包轮询套用预设的工业网络协议库中的工业总线协议,若协议套用成功,则输出套用成功的协议类型;否则,将所述数据包中的数据逐位组合进行浮点化处理,将浮点化处理后的数据与获取的所述监控数据进行匹配,输出浮点化处理后的数据在原始数据包中的起始位置与所述监控数据之间的匹配映射表。6.根据权利要求1所述的针对分布式工业控制系统的网络入侵检测系统,其特征在于,所述入侵检测单元包括:网络特征检测模块;所述网络特征检测模块、用于提取捕获的所述网络通信数据的网络特征,获取所述网络特征的hash值,查询预先建立的网络特征...

【专利技术属性】
技术研发人员:解仑金良辰周育武王志良
申请(专利权)人:北京科技大学
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1