本發明提出了一種智能制造系統異常流量檢測方法及檢測裝置，檢測方法，包括：預先采集智能制造系統中待檢測目標的流量數據；對采集的流量數據進行深度解析以獲取數據特征信息，并基于數據特征信息生成協議指紋數據；對采集的流量數據進行流量分析以獲取流量特征，并基于流量特征生成流量基準閾值；基于協議指紋數據和流量基準閾值，對當前采集的待檢測目標的流量數據進行匹配檢測，以判定當前流量數據是否異常。本發明采用流量異常檢測方法與協議異常檢測方法相結合的方式，實現智能制造系統中入侵異常流量檢測，檢測方法高效、可靠，提高智能制造系統的安全性。

技術領域

本發明涉及入侵檢測技術領域，尤其涉及一種智能制造系統異常流量檢測方法及檢測裝置。

背景技術

目前“智能制造”已經成為席卷全球的趨勢，成為全球制造業的主要發展方向和戰略制高點。智能制造將主流新興技術的融合達到前所未有的程度，新興技術的應用也使制造業迸發出前所未有的活力。主要表現為新的工業應用模式下，智能制造系統由原來封閉式的生產環境逐步向開放式環境發展，并且大量采用標準化軟硬件模塊，基于以太網構建現場總線通信，所有設備互聯互通等。考慮到工業控制系統自身的結構特點、功能特性、應用環境，以及在信息安全方面的先天缺陷，智能制造系統從“內部隔離”狀態走向“前臺開放”狀態時面臨著嚴峻挑戰。智能制造在帶來更靈活的生產、更高效的運轉和更強的競爭力的同時，也帶來巨大的安全風險。

由于智能制造系統網絡通信對于可靠性、延時等的特殊要求，智能制造系統中的現場總線多采用明文傳輸，而且很多都是標準公開的協議規范，這樣使得暴露于網絡中的智能制造設備或系統極易成為被攻擊對象，進而通過協議欺騙、指令篡改、惡意監聽等技術對智能制造系統及網絡進行攻擊。能否及時發現網絡入侵者以及非法惡意報文，從而有效地檢測出網絡中的異常流量，成為智能制造行業應用及推廣共同面臨的一個重要問題。

發明內容

本發明要解決的技術問題是如何對智能制造系統的異常流量進行檢測，本發明提出一種智能制造系統異常流量檢測方法及檢測裝置。

根據本發明實施例的智能制造系統異常流量檢測方法，包括：

預先采集智能制造系統中待檢測目標的流量數據；

對采集的所述流量數據進行深度解析以獲取數據特征信息，并基于所述數據特征信息生成協議指紋數據；

對采集的所述流量數據進行流量分析以獲取流量特征，并基于所述流量特征生成流量基準閾值；

基于所述協議指紋數據和所述流量基準閾值，對當前采集的所述待檢測目標的流量數據進行匹配檢測，以判定當前所述流量數據是否異常。

根據本發明實施例的智能制造系統異常流量的檢測方法，采用流量異常檢測方法與協議異常檢測方法相結合的方式，實現智能制造系統異常流量檢測。首先，采集智能制造現場總線流量數據，通過對流量數據進行深度解析和流量分析獲取協議指紋數據和流量基準閾值，然后通過數據匹配算法發現流量數據包異常，實現智能制造現場總線流量實時監測和入侵檢測，提高智能制造系統的安全性。

根據本發明的一些實施例，所述方法還包括：

當生成的所述協議指紋數據為多個時，創建存儲多個所述協議指紋數據的協議指紋庫；

當生成的所述流量基準閾值為多個時，創建存儲多個所述流量基準閾值的流量基準閾值庫。

在本發明的一些實施例中，基于所述協議指紋數據和所述流量基準閾值，對當前采集的所述待檢測目標的流量數據進行匹配檢測，以判定當前所述流量數據是否異常，包括：

基于所述協議指紋數據和所述流量基準閾值生成異常檢測字符串；

對當前采集的所述待檢測目標的流量數據進行解析；

將解析后的所述流量數據與所述異常檢測字符串進行匹配；