[发明专利]一种基于Ethernet IP工控协议的安全检测方法

权利要求书

1.一种基于Ethernet IP工控协议的安全检测方法，其特征在于，所述检测方法包括以下步骤：

步骤1：建立网络数据抓包模块；

步骤2：建立数据分析模块；

步骤3：建立数据学习模块；

步骤4：建立行为合法性判断模块；

步骤5：建立行为异常响应模块。

2.根据权利要求1所述的基于Ethernet IP工控协议的安全检测方法，其特征在于，所述步骤1：建立网络数据抓包模块，从网卡中获取网络流量进行链路层、网络层及传输层进行解码；对相关应用层进行解码，应用层中包含了工业控制网络协议Ethernet IP的相关控制命令、功能码及数据。

3.根据权利要求2所述的基于Ethernet IP工控协议的安全检测方法，其特征在于，所述步骤2：建立数据分析模块：对相关Ethernet IP协议的命令进行解析，在命令解析的基础上解析相关功能码。

4.根据权利要求3所述的基于Ethernet IP工控协议的安全检测方法，其特征在于，所述步骤3：建立数据学习模块：针对上述分析结果的数据建立学习模型，其学习内容主要为客户端的请求命令和相关功能码及附加的一些参数；建立概率后缀树模型，后缀树的深度通过参数控制，2-3层；对于常见的操作序列建立模型。

5.根据权利要求4所述的基于Ethernet IP工控协议的安全检测方法，其特征在于，所述步骤4：建立行为合法性判断模块，对于运行数据的操作序列进行判断，如出现概率低于阈值，则判断为异常，评估相关可信程度，为了提升模型准确性，需要向用户以图形化的方法提供判断过程，提示用户是否接收。

6.根据权利要求4所述的基于Ethernet IP工控协议的安全检测方法，其特征在于，所述步骤5：建立行为异常响应模块，对于异常行为提供告警、邮件、阻断等响应动作。