[发明专利]一种基于Ethernet IP工控协议的安全检测方法

说明书

本发明涉及一种基于Ethernet IP工控协议的安全检测方法，所述检测方法包括以下步骤：步骤1：建立网络数据抓包模块；步骤2：建立数据分析模块；步骤3：建立数据学习模块；步骤4：建立行为合法性判断模块；步骤5：建立行为异常响应模块。该技术方案根据Ethernet IP的协议特征，对相关命令和功能调用进行深度解析，解析的结果直接可以为一些可视化的工具进行处理，从而可以使用户对工控网络中所流转的内容有直观感受。

技术领域

本发明涉及一种检测方法，具体涉及一种基于Ethernet IP工控协议的安全检测方法，属于通用网络安全检测技术领域。

背景技术

随着工业4.0的时代到来，使用通用网络技术进行工业控制命令和工业数据传输的方式，尤其是利用以太网络进行通讯，在工业生产中也越来越为广泛，而相关工业设备也均支持此类的传输，而且由于工业自动化的需要，工业企业(如能源、电力等)也非常依赖于通用网络技术进行远程操控，这带来了如下若干问题：

1.一般而言，工控协议为明文传输方式，很少或者几乎不用加密算法，故极易进行伪造，攻击者通常可以采用“中间人”方式进行数据包的发送，从而对运行系统进行破坏；

2.对工控协议数据缺乏必要的监控手段，虽然目前大多数工控协议已经公开，但主流的安全设备一般并不会提供相关工控协议方面的支持，故在遭遇到相关针对工控方面的攻击时，就无法进行辨别，对于威胁的响应则更无从谈起；

3.对于工控协议，特别是复杂的工控协议，如Ethernet IP而言，缺乏深层次的解码和理解，在威胁发生和进行时候追溯时，大多数显得无能为力，从而无法对企业用户提供有力支撑，对于安全防护更无从谈起。

显然，对于工业网络的安全问题提供相关方法进行有效地监控或审计则成为必须，今年的一些相关安全事件也体现出这个方面的重要性，典型的工控网络安全事件包括：

■2006年8月，美国阿拉巴马州的Browns Ferry核电站3号机组受到网络攻击，反应堆再循环泵和冷凝除矿控制器工作失灵，导致3号机组被迫关闭；

■2013年3月，中国解放军报报道，美国曾利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备，造成伊朗核电站推迟发电；

■2016年4月24日德国Gundremmingen核电站的计算机系统，在常规安全检测中发现了恶意程序。核电站的操作员RWE为防不测，关闭了发电厂。

另外，根据知名报告显示，全球范围内系统遭遇攻击最多的三个国家为越南、阿尔及利亚和摩洛哥，遭受攻击程度分别为71％、67.1％及65.4％，中国工控系统遭受攻击程度排在第五位，占比达57.1％。

发明内容

本发明正是针对现有技术中存在的问题，提供一种基于Ethernet IP工控协议的安全检测方法，本发明主要针对Ethernet IP协议的相关命令及功能进行安全方面的处理，从而达到可以完全支撑工业企业用户对于Ethernet IP工控协议进行安全监控和威胁阻断的需要。本发明的主要方法包含如下几个处理部分，主要思想是利用对相关工控数据的学习的方法建立概率后缀树，如出现行为序列上的违反且高于一定阈值则认为存在异常，从而进行告警或阻断。

为了实现上述目的，本发明的技术方案如下，一种基于Ethernet IP工控协议的安全检测方法，其特征在于，所述检测方法包括以下步骤：

步骤1：建立网络数据抓包模块；

步骤2：建立数据分析模块；

步骤3：建立数据学习模块；

步骤4：建立行为合法性判断模块；

步骤5：建立行为异常响应模块。