本申請公開了一種KNXnet/IP協議入侵檢測方法、裝置、設備及介質，包括：獲取目標網絡系統的KNXnet/IP協議數據包；解析出KNXnet/IP協議數據包中的服務類型字段，得到對應的服務類型；服務類型字段為KNXnet/IP協議數據包中KNXnet協議數據的head頭中的字段；根據服務類型對KNXnet/IP協議數據包繼續解析，得到解析后的KNXnet/IP協議數據包；利用KNXnet/IP協議數據包對應的五元組和目標標識篩選出解析后的KNXnet/IP協議數據包中的會話組，得到對應的會話數據；利用預設檢測策略對所述會話數據進行匹配，若所述會話數據與所述預設檢測策略不匹配，則判定所述目標網絡系統存在入侵風險；所述預設檢測策略為與所述KNXnet協議數據的目標關鍵字段對應的檢測策略。這樣，能夠及時準確的檢測出KNXnet/IP入侵，從而提升網絡的安全性。

技術領域

本申請涉及信息安全技術領域，特別涉及一種KNXnet/IP協議入侵檢測方法、裝置、設備及介質。

背景技術

智能樓宇作為現代物聯網設備應用的場景，能夠有效的節約樓宇管理的成本，提高樓宇管理效率，被各大酒店、地鐵站、公共場所和核電站等場所廣泛使用。而KNX(Konnex)是唯一全球性的住宅和樓宇控制標準，在智能樓宇的應用中越來越廣泛，但隨著智能樓宇網絡建設的普及與聯網，攻擊智能樓宇網絡也逐步成為一個新的攻擊場景，因此智能樓宇網絡的安全性是網絡建設和驗收時都需要考慮的一個重要問題。

目前，KNX作為一種成熟的通信協議廣泛應用于智能樓宇中，由于實施KNX項目部署的人員安全意識不一，同時項目實施方也可能會基于項目周期、人力成本等因素的考慮，不能確保在KNX項目部署過程中按安全規范進行安全部署實施。因此，如何有效而客觀的發現智能樓宇網絡是否存在安全隱患是需要考慮的問題。

發明內容

有鑒于此，本申請的目的在于提供一種KNXnet/IP協議入侵檢測方法、裝置、設備及介質，能夠及時準確的檢測出KNXnet/IP入侵，從而提升網絡的安全性。其具體方案如下：

第一方面，本申請公開了一種KNXnet/IP協議入侵檢測方法，包括：

獲取目標網絡系統的KNXnet/IP協議數據包；

解析出所述KNXnet/IP協議數據包中的服務類型字段，得到對應的服務類型；所述服務類型字段為所述KNXnet/IP協議數據包中KNXnet協議數據的head頭中的字段；

根據所述服務類型對所述KNXnet/IP協議數據包繼續解析，得到解析后的所述KNXnet/IP協議數據包；

利用所述KNXnet/IP協議數據包對應的五元組和目標標識篩選出解析后的所述KNXnet/IP協議數據包中的會話組，得到對應的會話數據；

利用預設檢測策略對所述會話數據進行匹配，若所述會話數據與所述預設檢測策略不匹配，則判定所述目標網絡系統存在入侵風險；所述預設檢測策略為與所述KNXnet協議數據的目標關鍵字段對應的檢測策略。

可選的，所述獲取目標網絡系統的KNXnet/IP協議數據包，包括：

采集所述目標網絡系統中的流量數據；

利用預設端口號對所述流量數據進行過濾，得到對應的所述KNXnet/IP協議數據包。

可選的，所述KNXnet/IP協議入侵檢測方法，還包括：

利用五元組匹配策略對所述KNXnet/IP協議數據包進行匹配，若所述KNXnet/IP協議數據包與所述五元組匹配策略無法匹配，則生成對應的五元組級別告警，若所述KNXnet/IP協議數據包與所述五元組匹配策略匹配，則進入根據所述服務類型對所述KNXnet/IP協議數據包繼續解析的步驟，以利用預設檢測策略對所述會話數據進行匹配。