本发明专利技术公开了基于工业环境下工业流量收集并重放的方法,包括工业流量收集和工业流量实时回放两个阶段,工业流量的收集采用工业环境下部署流量收集服务器的方法,将流量收集服务器和工业环境下的交换机的镜像口连接,在流量服务器中抓取工业环境中的实时流量,并保存成pcap包,pcap包可以按照时间段分时存储;工业流量实时回放是把流量收集服务器中的pcap包,按照src ip,src port、dst ip、dst port、src mac、dst mac、protocol从全流量的pcap包中过滤出特定协议、特定ip和特定mac(特定设备)的流量进行分类回放,也可以按照时段和全流量回放,有针对行的进行检测和测试,增加了检测的灵活性和针对性。
【技术实现步骤摘要】
一种基于工业环境下工业流量收集并重放的方法
本专利技术涉及计算机
,特别涉及一种基于工业环境下工业流量收集并重放的方法。
技术介绍
工业物联网正是促进工业制造转型升级的重要技术创新,将大量具有感知、监控能力的采集、传感等物联网技术不断融入到工业生产环节中,但由于工业物联网中设备种类庞杂、位置分散、缺乏安全设计,存在信息泄露、数据伪造、拒绝服务等大量威胁工业生产安全的问题。传统的工业网络安全检测和测试,是将工业安全检测设备放置在真实的工业网络的环境中,但由于工业环境安全和保密性要求特别高,特别是像石油、化工厂、电厂等工业环境一旦出现事故,后果很严重,影响也比较大,所以需要找到一种方法来模拟真实工业环境中流量,收集记录下来,并进行重放和有效的安全检测。
技术实现思路
针对现有技术存在的不足,本专利技术的目的在于提供一种基于工业环境下工业流量收集并重放的方法。本专利技术的上述技术目的是通过以下技术方案得以实现的:一种基于工业环境下工业流量收集并重放的方法,包括工业流量收集和工业流量实时回放两个阶段;步骤1,采用工业环境下部署流量收集服务器的方法,将流量收集服务器和工业环境下的交换机的镜像口连接,在流量收集服务器中抓取工业环境中的实时流量;步骤2,将从工业环境中抓取的实时流量保存成pcap包,pcap包可按照时间段分时存储等结构化数据存储方式生成结构化数据,最终生成原始全流量pcap数据包;步骤3,针对实时抓取的pcap数据包,按照src-ip、src-port、dst-ip、dst-port、src-mac、dst-mac、protocol从全流量的pcap包中过滤出特定协议、特定ip和特定mac的流量进行分类处理并进行存储,在存储PCAP文件同时,创建若干PCAP文件内容索引文件;步骤4,对生成的各流量分类回放或原始数据包回放,回放方式按照时段和全流量回放。进一步优选为:所述步骤1中的流量收集服务器分为两个部分,具体如下:一、连接交换设备的镜像口,将镜像流量存储成PCAP数据包;二、流量提取发送服务a)按照srcip,srcport、dstip、dstport、srcmac、dstmac、protocol各个维度,提取全量数据包中的数据;b)根据需求,向各类分析设备,回放数据包。进一步优选为:所述步骤4中的按照时间段和全流量回放是根据PCAP文件内容索引文件快速定位文件内容,并提取内容进行回放。综上所述,本专利技术对比于现有技术的有益效果为:使用在工业环境抓取的流量pcap包来模拟工业环境中的真实流量,并使用pcap回放工具进行数据包的回放,代替真实环境的测试和检测,提高了工业环境测试和检测的易用性,提高了效率和流量检测的灵活性和针对性。附图说明图1为实施例的流程图。具体实施方案以下结合附图对专利技术作进一步详细说明。一种基于工业环境下工业流量收集并重放的方法,参照图1所示,包括工业流量收集和工业流量实时回放两个阶段;步骤1,采用工业环境下部署流量收集服务器的方法,将流量收集服务器和工业环境下的交换机的镜像口连接,在流量收集服务器中抓取工业环境中的实时流量;步骤2,将从工业环境中抓取的实时流量保存成pcap包,pcap包可以按照时间段分时存储等结构化数据存储方式生成结构化数据,最终生成原始全流量pcap数据包;步骤3,针对实时抓取的pcap数据包,按照src-ip、src-port、dst-ip、dst-port、src-mac、dst-mac、protocol从全流量的pcap包中过滤出特定协议、特定ip和特定mac(特定设备)的流量进行分类处理并进行存储,在存储PCAP文件同时,创建若干PCAP文件内容索引文件;步骤4,对生成的各流量分类回放或原始数据包回放,回放方式按照时段和全流量回放。上述步骤1中的流量收集服务器分为两个部分,具体如下:一、连接交换设备的镜像口,将镜像流量存储成PCAP数据包;二、流量提取发送服务a)按照srcip,srcport、dstip、dstport、srcmac、dstmac、protocol各个维度,提取全量数据包中的数据;b)根据需求,向各类分析设备,回放数据包。上述各维度含义:src-ip:源IP地址;src-port:源端口号;dst-ip:目的IP地址;dst-port:目的端口号;src-mac:源MAC地址;dst-mac:目的MAC地址;protocol:数据包所属协议。上述步骤4中的按照时间段和全流量回放是根据PCAP文件内容索引文件快速定位文件内容,并提取内容进行回放;索引文件为按照srcip,srcport、dstip、dstport、srcmac、dstmac、protocol各数据维度创建各自索引文件,创新点是快速对数据包创建索引,并利用索引提前数据进行回放。基于上述内容,现举例说明以更直观的表达此专利技术的操作过程:例如:需回放源IP为192.168.0.1,协议为FTP,时间在19:00-19:30的数据;在源IP索引文件中,提取IP为192.168.0.1的全部定位信息;在协议索引文件中,提取协议为FTP的全部定位信息;在时间戳索引文件中,提前时间戳在19:00-19:30范围内的全部定位信息;将上述3组维度中的定位信息,进行差分,形成满足维度的定位信息,依此在全量PCAP包中,快速提取满足的全部数据;将数据做出新的PCAP包,放入临时存储,并使用回放程序对其进行回放。以上所述仅是本专利技术的示范性实施方式,而非用于限制本专利技术的保护范围,本专利技术的保护范围由所附的权利要求确定。本文档来自技高网...
【技术保护点】
1.一种基于工业环境下工业流量收集并重放的方法,其特征在于,包括工业流量收集和工业流量实时回放两个阶段;/n步骤1,采用工业环境下部署流量收集服务器的方法,将流量收集服务器和工业环境下的交换机的镜像口连接,在流量收集服务器中抓取工业环境中的实时流量;/n步骤2,将从工业环境中抓取的实时流量保存成pcap包,pcap包可按照时间段分时存储等结构化数据存储方式生成结构化数据,最终生成原始全流量pcap数据包;/n步骤3,针对实时抓取的pcap数据包,按照src-ip、src-port、dst-ip、dst-port、src-mac、dst-mac、protocol从全流量的pcap包中过滤出特定协议、特定ip和特定mac的流量进行分类处理并进行存储,在存储PCAP文件同时,创建若干PCAP文件内容索引文件;/n步骤4,对生成的各流量分类回放或原始数据包回放,回放方式按照时段和全流量回放。/n
【技术特征摘要】
1.一种基于工业环境下工业流量收集并重放的方法,其特征在于,包括工业流量收集和工业流量实时回放两个阶段;
步骤1,采用工业环境下部署流量收集服务器的方法,将流量收集服务器和工业环境下的交换机的镜像口连接,在流量收集服务器中抓取工业环境中的实时流量;
步骤2,将从工业环境中抓取的实时流量保存成pcap包,pcap包可按照时间段分时存储等结构化数据存储方式生成结构化数据,最终生成原始全流量pcap数据包;
步骤3,针对实时抓取的pcap数据包,按照src-ip、src-port、dst-ip、dst-port、src-mac、dst-mac、protocol从全流量的pcap包中过滤出特定协议、特定ip和特定mac的流量进行分类处理并进行存储,在存储PCAP文件同时,创建若干PCAP文件内容索引文件;
【专利技术属性】
技术研发人员:卜磊,仪智奇,赵宇,
申请(专利权)人:杭州九略智能科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。