[发明专利]一种入侵检测方法及相关装置

说明书

本申请公开了一种入侵检测方法，包括：根据modbus协议对工控通信数据包进行解析，得到工控数据；通过白名单自学习算法对所述工控数据进行处理，得到工控数据白名单；根据所述工控数据白名单对待检测工控通信数据包进行检测，得到入侵行为。通过先根据对工控通信数据包进行解析后得到工控数据，然后再处理出工控数据白名单，最后通过工控数据白名单对待检测工控通信数据包进行检测，得到入侵行为，实现了入侵检测，提高了入侵检测的准确性和精度。本申请还公开一种入侵检测装置、计算设备以及计算机可读存储介质，具有以上有益效果。

技术领域

本申请涉及工控领域，特别涉及一种入侵检测方法、入侵检测装置、计算设备以及计算机可读存储介质。

背景技术

随着信息技术的不断发展，在不同的工业场景下都应用了不同的工控系统，以便采用自动化技术对各个场景进行自动化控制，提高工业控制的效率和精度，避免人工控制出现的各种主观问题。目前，通常采用的工控网络系统与传统的网络系统相比，工控系统的封闭性更高，它使用专用的嵌入式系统和设备，并且通过特定的工控协议与外界通信。其中，modbus协议是一种控制协议，应用于工业控制系统中。在越来越多应用工控系统的基础上，对工控系统进行相应的安全操作例如进行入侵检测显得越来越重要。

现有技术中，入侵检测方法在大规模的组合式、分布式的入侵攻击方面，还没有较好的方法和成熟的解决方案，误报与漏报现象严重，并且对工控系统的私有协议针对性差；同时在处理大数据量时，存在检测精度低和检测速度慢的缺点；传统的SVM(SupportVector Machine，支持向量机)分类器只能识别正常和异常行为，不能识别出具体是哪一种攻击行为，并且传统的工控入侵检测方法缺乏自适应性和可扩展性，不能根据周围环境的变化动态调整检测攻击的顺序。可见，现有技术中采用检测方式的准确性和精度均较低，无法满足当前应用环境的检测要求。

因此，如何提高工控系统的入侵检测的准确性和精度是本领域技术人员关注的重点问题。

发明内容

本申请的目的是提供一种入侵检测方法、入侵检测装置、计算设备以及计算机可读存储介质，通过先根据对工控通信数据包进行解析后得到工控数据，然后再处理出工控数据白名单，最后通过工控数据白名单对待检测工控通信数据包进行检测，得到入侵行为，实现了入侵检测，提高了入侵检测的准确性和精度。

为解决上述技术问题，本申请提供一种入侵检测方法，包括：

根据modbus协议对工控通信数据包进行解析，得到工控数据；

通过白名单自学习算法对所述工控数据进行处理，得到工控数据白名单；

根据所述工控数据白名单对待检测工控通信数据包进行检测，得到入侵行为。

可选的，还包括：

通过SVM分类器按照不同级别对所述入侵行为进行分类，得到不同级别对应的入侵行为；

根据对应的级别对每个入侵行为执行对应的处理操作。

可选的，根据modbus协议对工控通信数据包进行解析，得到工控数据，包括：

对所述工控通信数据包进行链路层解析，得到链路层信息；

对所述工控通信数据包进行网络层解析，得到网络层信息；

对所述工控通信数据包进行传输层解析，得到传输层信息；

对所述工控通信数据包进行应用层解析，得到应用层信息；

将所述链路层信息、所述网络层信息、所述传输层信息以及所述应用层信息进行组合，得到所述工控数据。

可选的，根据所述工控数据白名单对待检测工控通信数据包进行检测，得到入侵行为，包括：