目前工控環(huán)境具有封閉性、網(wǎng)絡(luò)結(jié)構(gòu)混雜、設(shè)備多樣化老齡化等問題，工控環(huán)境的實時性是工控環(huán)境最重要的因素。一但出現(xiàn)不能及時檢測到某個主機或者終端執(zhí)行設(shè)備停止運行、非法連接外部網(wǎng)絡(luò)、入侵攻擊的情況，不僅會對工業(yè)生產(chǎn)造成巨大經(jīng)濟損失，而且及有可能對人員造成意外傷害。提出一種基于網(wǎng)絡(luò)流量檢測工控主機狀態(tài)的方法，來對主機在線狀態(tài)、主機非法外聯(lián)、主機遭受網(wǎng)絡(luò)攻擊的情況進行實時檢測分析，避免給工業(yè)生產(chǎn)及人員造成不必要的損失。

技術(shù)領(lǐng)域

本發(fā)明涉及計算機安全設(shè)備網(wǎng)絡(luò)通信領(lǐng)域，具體的說是一種可以對工控網(wǎng)絡(luò)環(huán)境內(nèi)的主機進行實時狀態(tài)檢測的方法，包括主機在線狀態(tài)、非法外聯(lián)狀態(tài)、網(wǎng)絡(luò)攻擊等狀態(tài)。

背景技術(shù)

目前，隨著信息技術(shù)和智能制造的發(fā)展，工業(yè)4.0及中國制造2025對工業(yè)控制安全提出了全新的要求，明確提出工控環(huán)境的實時性必須放在首位。目前工控環(huán)境具有封閉性、網(wǎng)絡(luò)結(jié)構(gòu)混雜、設(shè)備多樣化老齡化等問題，一但出現(xiàn)不能及時檢測到某個主機或者終端執(zhí)行設(shè)備停止運行、非法連接外部網(wǎng)絡(luò)、入侵攻擊的情況，不僅會對工業(yè)生產(chǎn)造成巨大經(jīng)濟損失，而且及有可能對人員造成意外傷害。

為了全面了解工控環(huán)境內(nèi)主機實時狀態(tài)信息，以及監(jiān)測工控主機遭受外部入侵攻擊的風(fēng)險。目前現(xiàn)有技術(shù)一般基于主動檢測技術(shù)，如利用周期性向目標(biāo)主機進行ping或者利用諸如nmap等軟件進行存活期掃描探測，判斷主機當(dāng)前是否在線；利用終端安裝的防護軟件對主機進行掃描，檢測主機瀏覽器是否由訪問外部網(wǎng)絡(luò)的歷史痕跡和檢測主機是否已被入侵攻擊的情況。

現(xiàn)有技術(shù)存在如下缺陷：1）需要利用ping命令或者類似nmap等軟件周期性向目標(biāo)設(shè)備發(fā)送存活性的檢測數(shù)據(jù)包，由于存在周期性，所以不能對主機當(dāng)前是否在線狀態(tài)進行實時監(jiān)測，同時也會對網(wǎng)絡(luò)帶寬及主機資源造成一定的消耗。2）需要安裝額外的檢測防護軟件，掃描檢測主機瀏覽器上網(wǎng)歷史記錄和檢測異常文件、異常進程等情況，導(dǎo)致每一次檢測需要人為操作或者周期性任務(wù)觸發(fā)，失去了實時檢測主機狀態(tài)的要求，同時由于人為可以刪除瀏覽器緩存記錄文件，可以躲避檢測防護軟件主機非法外聯(lián)的檢測。

發(fā)明內(nèi)容

鑒于現(xiàn)有技術(shù)的缺陷，本發(fā)明創(chuàng)造提出一種基于網(wǎng)絡(luò)流量實時檢測工控主機狀態(tài)的方法，基于網(wǎng)絡(luò)流量實時檢測工控主機狀態(tài)的方法，主要通過旁路部署一臺檢測設(shè)備，對網(wǎng)絡(luò)內(nèi)部所有流量進行鏡像后實時監(jiān)控檢測，通過分析網(wǎng)絡(luò)鏡像流量并與配置的主機在線狀態(tài)、非法外聯(lián)、網(wǎng)絡(luò)攻擊等檢測規(guī)則庫進行匹配，來實時分析，當(dāng)前主機是否在線、當(dāng)前主機是否有非法訪問外部網(wǎng)絡(luò)、是否正遭受網(wǎng)絡(luò)攻擊等問題。

解決了如下問題：1）傳統(tǒng)檢測主機在線狀態(tài)、主機非法訪問外部網(wǎng)絡(luò)狀態(tài)、主機是否被網(wǎng)絡(luò)攻擊的狀態(tài)，需要人為觸發(fā)任務(wù)或周期性執(zhí)行任務(wù)的非實時性。2）主動發(fā)送檢測數(shù)據(jù)包導(dǎo)致的網(wǎng)絡(luò)帶寬和主機資源的消耗問題.3）需要對每一臺主機安裝部署檢測防護軟件的問題。

傳統(tǒng)技術(shù)檢測工控環(huán)境所有主機在線、非法外聯(lián)和網(wǎng)絡(luò)攻擊的狀態(tài) ，會對每一臺主機部署檢測防護軟件，會導(dǎo)致檢測非實時性、主機資源異常消耗、部署的眾多軟件難以運維管理等問題。因此提出了基于網(wǎng)絡(luò)流量實時檢測主機狀態(tài)的方法。

采用的技術(shù)解決方案如下：

一種基于網(wǎng)絡(luò)流量實時檢測工控主機狀態(tài)的方法，分為主機狀態(tài)檢測知識庫模塊、流量采集模塊、流量分析模塊、告警模塊，方法實現(xiàn)主要包含以下步驟：

步驟一：在監(jiān)測審計設(shè)備上對要檢測的主機建立狀態(tài)知識庫，分別配置主機在線狀態(tài)檢測規(guī)則庫、主機非法外聯(lián)狀態(tài)檢測規(guī)則庫和主機網(wǎng)絡(luò)攻擊規(guī)則庫(避免在多臺主機部署及維護防護軟件)；

步驟去二：采用旁路接入方式，對要檢測的所有主機流量進行鏡像配置（避免對網(wǎng)絡(luò)或主機造成資源消耗）；

步驟三：流量采集，對流量數(shù)據(jù)包進行獲取，主要涉及抓包、解包等操作，只將和主機關(guān)聯(lián)的數(shù)據(jù)包送往流量分析模塊(可以提高主機流量分析效率)；