目前工控環境具有封閉性、網絡結構混雜、設備多樣化老齡化等問題，工控環境的實時性是工控環境最重要的因素。一但出現不能及時檢測到某個主機或者終端執行設備停止運行、非法連接外部網絡、入侵攻擊的情況，不僅會對工業生產造成巨大經濟損失，而且及有可能對人員造成意外傷害。提出一種基于網絡流量檢測工控主機狀態的方法，來對主機在線狀態、主機非法外聯、主機遭受網絡攻擊的情況進行實時檢測分析，避免給工業生產及人員造成不必要的損失。

技術領域

本發明涉及計算機安全設備網絡通信領域，具體的說是一種可以對工控網絡環境內的主機進行實時狀態檢測的方法，包括主機在線狀態、非法外聯狀態、網絡攻擊等狀態。

背景技術

目前，隨著信息技術和智能制造的發展，工業4.0及中國制造2025對工業控制安全提出了全新的要求，明確提出工控環境的實時性必須放在首位。目前工控環境具有封閉性、網絡結構混雜、設備多樣化老齡化等問題，一但出現不能及時檢測到某個主機或者終端執行設備停止運行、非法連接外部網絡、入侵攻擊的情況，不僅會對工業生產造成巨大經濟損失，而且及有可能對人員造成意外傷害。

為了全面了解工控環境內主機實時狀態信息，以及監測工控主機遭受外部入侵攻擊的風險。目前現有技術一般基于主動檢測技術，如利用周期性向目標主機進行ping或者利用諸如nmap等軟件進行存活期掃描探測，判斷主機當前是否在線；利用終端安裝的防護軟件對主機進行掃描，檢測主機瀏覽器是否由訪問外部網絡的歷史痕跡和檢測主機是否已被入侵攻擊的情況。

現有技術存在如下缺陷：1）需要利用ping命令或者類似nmap等軟件周期性向目標設備發送存活性的檢測數據包，由于存在周期性，所以不能對主機當前是否在線狀態進行實時監測，同時也會對網絡帶寬及主機資源造成一定的消耗。2）需要安裝額外的檢測防護軟件，掃描檢測主機瀏覽器上網歷史記錄和檢測異常文件、異常進程等情況，導致每一次檢測需要人為操作或者周期性任務觸發，失去了實時檢測主機狀態的要求，同時由于人為可以刪除瀏覽器緩存記錄文件，可以躲避檢測防護軟件主機非法外聯的檢測。

發明內容

鑒于現有技術的缺陷，本發明創造提出一種基于網絡流量實時檢測工控主機狀態的方法，基于網絡流量實時檢測工控主機狀態的方法，主要通過旁路部署一臺檢測設備，對網絡內部所有流量進行鏡像后實時監控檢測，通過分析網絡鏡像流量并與配置的主機在線狀態、非法外聯、網絡攻擊等檢測規則庫進行匹配，來實時分析，當前主機是否在線、當前主機是否有非法訪問外部網絡、是否正遭受網絡攻擊等問題。

解決了如下問題：1）傳統檢測主機在線狀態、主機非法訪問外部網絡狀態、主機是否被網絡攻擊的狀態，需要人為觸發任務或周期性執行任務的非實時性。2）主動發送檢測數據包導致的網絡帶寬和主機資源的消耗問題.3）需要對每一臺主機安裝部署檢測防護軟件的問題。

傳統技術檢測工控環境所有主機在線、非法外聯和網絡攻擊的狀態 ，會對每一臺主機部署檢測防護軟件，會導致檢測非實時性、主機資源異常消耗、部署的眾多軟件難以運維管理等問題。因此提出了基于網絡流量實時檢測主機狀態的方法。

采用的技術解決方案如下：

一種基于網絡流量實時檢測工控主機狀態的方法，分為主機狀態檢測知識庫模塊、流量采集模塊、流量分析模塊、告警模塊，方法實現主要包含以下步驟：

步驟一：在監測審計設備上對要檢測的主機建立狀態知識庫，分別配置主機在線狀態檢測規則庫、主機非法外聯狀態檢測規則庫和主機網絡攻擊規則庫(避免在多臺主機部署及維護防護軟件)；

步驟去二：采用旁路接入方式，對要檢測的所有主機流量進行鏡像配置（避免對網絡或主機造成資源消耗）；

步驟三：流量采集，對流量數據包進行獲取，主要涉及抓包、解包等操作，只將和主機關聯的數據包送往流量分析模塊(可以提高主機流量分析效率)；