本發明公開了一種異常訪問行為檢測方法、系統、介質及其設備，該方法包括：自動生成每個網絡行為主體的訪問邊界并將訪問邊界加入網絡行為表格，網絡行為主體由網絡設備的IP構成，每個網絡行為主體的訪問邊界由一個或多個訪問邊界條目進行描述；監聽工業控制網絡環境中的網絡報文，分析網絡報文得到網絡報文的源IP、目的IP、網絡協議和服務端口；判斷網絡報文的源IP、目的IP、網絡協議和服務端口是否存在于網絡行為表格中；若存在于網絡行為表格中，認定網絡報文所屬網絡行為主體無異常；反之，認定網絡報文所屬網絡行為主體有異常。本發明能夠在網絡安全危機造成實質損害前檢測到異常訪問行為，有效提高網絡安全處置效率。

技術領域

本發明涉及網絡安全技術領域，特別是涉及一種應用于工業控制網絡環境的異常訪問行為檢測方法、系統、介質及其設備。

背景技術

隨著信息化和工業化融合的不斷深入，工業控制系統從單機走向互聯，從封閉走向開放，從自動化走向智能化。在生產力顯著提高的同時，工業控制系統面臨著日益嚴峻的網絡安全威脅。為了應對這些網絡安全威脅，通常會將工業控制網絡環境與互聯網環境進行物理隔離。然而，物理隔離可以作為工業控制網絡的有效保護的手段，但無法應對來自工業控制網絡環境內部的網絡威脅。

工業控制網絡環境與互聯網環境的特性不同，工業控制網絡環境的自動化程度遠高于互聯網，自動化具備更強的網絡行為規律性，因此決定了工業控制網絡環境需要更為適合自身特性的保護方式。

目前工業控制網絡環境中缺少符合自身特性的網絡安全保護產品，而常規網絡安全保護產品中，除防火墻等少數幾種產品能夠在工業控制網絡環境中應用外，多數產品在工業控制網絡環境難以表現出足夠的適應性，無法滿足當前工業控制安全要求。

發明內容

本發明的目的在于提供一種異常訪問行為檢測方法、系統、介質及其設備，能夠在網絡安全危機造成實質損害前檢測到異常訪問行為，有效提高網絡安全處置效率。

為解決上述技術問題，本發明采用的一個技術方案是：提供一種異常訪問行為檢測方法，應用于工業控制網絡環境，包括以下步驟：S1：自動生成每個網絡行為主體的訪問邊界并將訪問邊界加入網絡行為表格，其中，所述網絡行為主體由網絡設備的IP構成，每個網絡行為主體的訪問邊界由一個或多個訪問邊界條目進行描述，所述訪問邊界條目包括允許訪問的行為主體IP、允許訪問的行為客體IP、允許使用的網絡協議、允許使用的服務端口；S2：監聽工業控制網絡環境中的網絡報文，分析所述網絡報文得到網絡報文的源IP、目的IP、網絡協議和服務端口；S3：判斷所述網絡報文的源IP、目的IP、網絡協議和服務端口是否存在于網絡行為表格中；若存在于網絡行為表格中，則認定網絡報文所屬網絡行為主體無異常；反之，則認定網絡報文所屬網絡行為主體有異常。

優選的，步驟S1的具體步驟包括：S11：抓取工業控制網絡環境中的網絡報文，提取網絡報文中的源IP、目的IP作為網絡行為主體；S12：設置學習期，分析每個網絡行為主體在學習期內出現的關聯IP報文協議及內容，并自動生成每個網絡行為主體的訪問邊界，將訪問邊界加入網絡行為表格，所述網絡行為表格中每行記錄一個訪問邊界條目；S13：當學習期結束時，不再生成新的訪問邊界并結束學習。

優選的，所述步驟S12的具體步驟包括：S121：設置學習期，所述學習期包括開始時間和學習時長；S122：判斷當前時間是否早于開始時間，若當前時間早于開始時間時，則直接結束；若當前時間不早于開始時間，則進行步驟S123； S123：判斷當前累計學習時間是否大于學習時長，如果不大于學習時長，則進行步驟S124，如果大于學習時長，則進行步驟S13；S124：判斷網絡報文中的源IP、目的IP、網絡協議和服務端口是否在網絡行為表格中存在相同的訪問邊界條目，如果不存在相同的訪問邊界條目，則進行步驟S125，如果存在相同的訪問邊界條目，則進行步驟S126；S125：將網絡報文中的源IP、目的IP、網絡協議和服務端口作為新的訪問邊界條目加入網絡行為表格，并新增記錄訪問邊界條目的行為首次發生時間；S126：在網絡行為表格中新增記錄訪問邊界條目的行為最近發生時間。