[发明专利]网络入侵检测方法、装置、系统和存储介质

说明书

本申请涉及一种网络入侵检测方法、装置、系统和存储介质。其中，该网络入侵检测方法包括：解析请求包和响应包的协议数据单元，得到协议数据单元的参数，其中，响应包为相同会话中响应于请求包的数据包；判断协议数据单元的参数是否符合第一预设规则；在判断到协议数据单元的参数未符合第一预设规则的情况下，发出用于表示存在网络入侵的第一告警消息。通过本申请，解决了相关技术中存在的无法支持会话层面的入侵检测的问题，实现了会话层面的入侵检测的有益效果。

技术领域

本申请涉及网络安全领域，特别是涉及一种网络入侵检测方法、网络入侵检测装置、网络入侵检测系统和计算机可读存储介质。

背景技术

ICS(Industrial Control System，工业控制系统)，简称工控系统。工控系统与传统的互联网环境有所不同，工控系统通常具有特定的生产目标，为达到此目标制定了明确的生产逻辑，并在实际运行中严格遵守，因此，一旦使用某个工控设备，则其通信模式、通信流量、通信对象等相关信息通常是稳定不变的。一旦有入侵者攻入工控系统，入侵者很容易通过篡改流量包或自行伪造工控包对工控设备发起攻击，引发工控设备生产事故。

现有的工控系统复杂多样，其工控设备所采用的工控协议也有所不同，常见的工控协议以Modbus、S7、Profinet为主。相关技术中的工控监测审计系统对常见的工控协议统一了策略模板，比如基于流量的五元组检测法，通过提取源IP、目的IP、目的端口、协议类型、指令，构造“正常模式”，以“正常模式”作为检测基准，将实时通信数据与检测基准进行比较，实现对未授权访问、中间人攻击、拒绝服务攻击等入侵行为的检测。然而，相关技术中的工控监测审计系统仅支持常见工控协议的入侵检测，对工控协议在会话层面的策略做得不够好，导致攻击者可以结合会话中的请求包或响应包展开攻击。而且，随着时间的发展，信息技术系统变得极为复杂，多应用支持使系统中充斥种类繁多的应用程序和协议，对于具备除五元组之外，还具备其他丰富的PDU(Protocol Data Unit，协议数据单元)的特定的协议，相关技术中的工控监测审计系统不支持全面详尽的审计，比如EGD(Ethernet GlobalData，一种可编程逻辑控制器设备的通讯协议)协议，通过EGD协议通信的设备往往都会依赖于EGD协议本身，而EGD协议本身所体现的丰富的PDU字段使得其功能丰富且效率又高。然而，相关技术中并没有针对诸如EGD协议等其他具备丰富的PDU的工控协议提供入侵检测方案，无法识别工控系统中的设备访问拓扑关系，更无法识别每一对互访设备的详尽的审计信息。

目前，针对相关技术中存在的无法支持会话层面的入侵检测的问题，尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种网络入侵检测方法、网络入侵检测装置、网络入侵检测系统和计算机可读存储介质，以至少解决相关技术中存在的无法支持会话层面的入侵检测的问题。

第一方面，本申请实施例提供了一种网络入侵检测方法，包括：

解析请求包和响应包的协议数据单元，得到所述协议数据单元的参数，其中，所述响应包为相同会话中响应于所述请求包的数据包；

判断所述协议数据单元的参数是否符合第一预设规则；

在判断到所述协议数据单元的参数未符合所述第一预设规则的情况下，发出用于表示存在网络入侵的第一告警消息。

在其中一些实施例中，判断所述协议数据单元的参数是否符合第一预设规则包括：

解析所述请求包和所述响应包的五元组，得到所述五元组的参数；

判断所述五元组的参数是否符合第二预设规则；

在判断到所述五元组的参数符合所述第二预设规则的情况下，判断所述协议数据单元的参数是否符合所述第一预设规则。

在其中一些实施例中，所述方法还包括：